Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Zunehmend sprechen deutsche Gerichte Klägern Schadensersatz wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) zu. Da viele dieser Klagen auf einem identischen oder zumindest sehr ähnlichen Sachverhalt beruhen, können sie oftmals als Sammel- bzw. Massenklage vorgebracht werden. Dies bedeutet, dass sich solche Schadensersatzforderungen mit überschaubarem Aufwand massenhaft geltend machen lassen und so für Verteidiger ein lukratives Geschäftsmodell darstellen. Für Unternehmen bergen diese Schadensersatzklagen zunehmend Risiken und verfahrensrechtliche Besonderheiten, über die sich genauestens informiert werden sollte, sodass sie vermieden werden können. Im folgenden Artikel erfahren Sie, welche Risiken und Besonderheiten sich ergeben.
Die Schadensersatzforderungen ergeben sich aus Art. 82 DSGVO. Diese Vorschrift erlaubt es Klägern auch immaterielle Schadensersatzansprüche wegen unzuverlässiger Verarbeitung ihrer personenbezogenen Daten geltend zu machen. Neben materiellen Forderungen stellt dies nun eine neu geschaffene Möglichkeit dar, die weitreichende Folgen für die Praxis hat, da Datenschutzverstöße für gewöhnlich zur Verletzung von Persönlichkeitsrechten und nicht zu Vermögensschäden führt.
Inzwischen gibt es bereits eine Reihe von Gerichten, die in ihren Urteilen den Klägern immateriellen Schadensersatz zugesprochen haben als Folge von Datenschutzverstößen. Da sich solche Klagen aufgrund ihres ähnlichen oder identischen Sachverhalts für Massenklagen eignen, bieten sie ein lukratives Geschäftsmodell für die jeweiligen Vertreter. Dies stellt ein besonderes Risiko für Unternehmen dar, da eventuelle Fehler beim Datenschutz meist eine Vielzahl von Personen betreffen – insbesondere nach Hackerangriffen, Datenpannen und der datenschutzrechtlich unzulässigen Offenlegung personenbezogener Daten im Rahmen sonstiger Cyber-Security Incidents. Das hat wiederum zur Folge, dass Verbraucheranwälte ohne allzu großen Aufwand derartige Schadensersatzforderungen massenhaft geltend machen können.
Fraglich ist jedoch, ob derartige Schadensersatzansprüche überhaupt abtretbar sind. Hierüber herrscht noch keine Einigkeit und so bleibt abzuwarten, wie sich andere Gerichte in ihrer Rechtsprechung zu der Abtretbarkeit solcher Forderungen positionieren werden.
Literatur und Rechtsprechung haben bisher noch keine Einigkeit zu den Anforderungen an Schadenersatzansprüche nach Art. 82 DSGVO gefunden und so bestehen einige Streitpunkte, die im Folgenden kurz dargestellt werden sollen.
Einleuchtend ist, dass zunächst ein Verstoß gegen die DSGVO oder ihre ergänzenden Rechtsakte vorliegen muss, um einen Anspruch auf Schadensersatz nach Art. 82 I DSGVO geltend machen zu können.
Zunächst kommt ein Verstoß durch unzureichende Datensicherheit in Betracht, der sich aus Art. 32 DSGVO ableiten lässt. Hiernach müssen Unternehmen oder andere datenschutzrechtliche Verantwortliche ein angemessenes Maß an Datensicherheit gewährleisten. Kläger argumentieren hierbei nach einem erfolgreichen Hackerangriff oder einer Datenpanne häufig, dass ihnen – aufgrund der unzureichenden Maßnahmen für Datensicherheit des Unternehmens – ein immaterieller Schaden durch die Offenlegung ihrer personenbezogenen Daten entstanden sei.
Weiterhin können auch Verstöße gegen Art. 15 DSGVO, der die Auskunftspflichten regelt, bestehen. Die Norm regelt, dass Betroffene auf Antrag hin Auskünfte über die Verarbeitung ihrer personenbezogenen Daten von den Verantwortlichen erhalten müssen. So liegen auch schon Urteile von verschiedenen Gerichten vor, in denen dem Kläger immaterieller Schadensersatz zugesprochen wurde, weil das Unternehmen der Auskunftspflicht nur ungenügend nachkam. Die Gerichte argumentierten, dass bereits mögliche Schäden entstehen, wenn Betroffenen die Kontrolle über die sie betreffenden personenbezogenen Daten nicht gewährleistet wird. Die Gerichte gehen hierbei von einem eher weit gefassten immateriellen Schadensbegriff aus.
Bei Verfahren nach Art. 82 DSGVO werden oftmals mögliche Verstöße gegen eine Vielzahl von datenschutzrechtlichen Vorgaben debattiert. Aus diesem Grund sollten Unternehmen bzw. datenschutzrechtlich Verantwortliche sowie Auftragsverarbeiter mögliche datenschutzrechtliche Schwachstellen identifizieren und beheben und dafür eventuell auch Spezialisten hinzuziehen. Wichtig hierbei ist auch später in einem möglichen gerichtlichen Verfahren nachweisen zu können, dass datenschutzkonforme Prozesse und Strukturen geschaffen wurden – abgeschlossene Verträge sowie die getroffenen technisch-organisatorischen Maßnahmen (TOM) sollten vor Gericht dargelegt und bewiesen werden können.
Datenschutzrechtlich Verantwortlichen obliegt eine Darlegungs- und Beweislast, d.h. sie müssen nachweisen können, dass sie die Datenschutzprinzipien des Art. 5 I DSGVO einhalten. Hieraus wird nun zum Teil gefolgter, dass die Verantwortlichen auch in Verfahren nach Art. 82 DSGVO ihre Datenschutzkonformität darlegen und beweisen können müssen. Der Verantwortliche wird sodann von der Haftung befreit, wenn er nachweisen kann, dass er in keiner Hinsicht für den entstandenen Schaden verantwortlich war.
In der Praxis ergibt sich hier jedoch das Problem, dass Beklagte vor Gericht umfassend darlegen und beweisen müssten, dass sie jede DSGVO-Vorgabe umgesetzt haben, was allerdings extrem aufwendig und prozessual meist kaum umsetzbar wäre.
Allerdings sprechen in rechtlicher Hinsicht einige Argumente gegen dieses Abweichen von der allgemeinen Beweislast, da die entsprechenden Normen (Art. 5 und Art. 24 I DSGVO) ihrem Wortlaut nach nicht die Beweislast in Zivilverfahren betreffen. Art. 82 S. 2 DSGVO legt nahe, dass die Nachweispflicht allein gegenüber den Aufsichtsbehörden für den Datenschutz gelte. Auch viele Gerichte lehnen eine derartige Beweislastumkehr ab.
Zuletzt ist umstritten, worin immaterielle Schäden aufgrund von Datenschutzverstößen überhaupt bestehen. Infrage kommt hier zunächst ein möglicher Schaden durch die unzuverlässige Verarbeitung personenbezogener Daten. Die überwiegende Rechtsprechung erachtet diese Auffassung jedoch als zu weit gefasst. Es solle hingegen eine nachgewiesene und nicht unerhebliche Beeinträchtigung dargelegt werden müssen. Diese muss kausal auf einem Verstoß gegen die Vorgaben der DSGVO zur Verarbeitung personenbezogener Daten beruhen. Auch das Kurzpapier Nr. 18 der Datenschutzkonferenz (DSK) unterscheidet zwischen einem durch eine Datenverarbeitung verursachtem Risiko und einem tatsächlich eingetretenen Schaden. Zudem stellt ein Verstoß selbst erst einmal kein Schadensereignis dar – ein Schaden muss kausal durch den Verstoß verursacht worden sein, um einen möglichen Schadensersatzanspruch zu begründen.
Als zweites könnte der Anspruch auf immateriellen Schadensersatz aus einem „erzieherischen Effekt“ (LAG Köln) heraus begründet werden. So wird zum Teil argumentiert, dass Schadensersatz nach Art. 82 DSGVO nur dann wirksam sei, wenn er eine abschreckende Wirkung erziele und Kläger zugleich Genugtuung für das erlittene Unrecht gewähre. Allerdings zeigt u.a. Erwägungsgrund 146 S. 5 DSGVO, dass Schadensersatz nur für einen tatsächlich erlittenen Schaden geltend gemacht werden kann und nicht auch für mögliche Risiken o.ä.
An dritter Stelle stellt sich die Frage, wo eine Bagatellgrenze bei immateriellen Schäden liegt. Zunächst wurde auch von der Rechtsprechung davon ausgegangen, dass nur immaterielle Schäden von einiger Erheblichkeit im Rahmen von Art. 82 DSGVO erstattungsfähig seien, sodass Bagatellschäden ausgeschlossen werden. Auch wenn einige gute Argumente für diese Ansicht sprechen, so gibt es indes auch Entscheidungen, die den Klägern Schadensersatz bereits bei geringfügigen Schäden zusprechen. Vertreter dieser Ansicht stützen sich wiederum auf das Argument der Abschreckung, dem eine Erheblichkeitsschwelle entgegenstehen würde. Allerdings könnte diese Ausdehnung auch ein erhebliches Missbrauchsrisiko mit sich bringen.
Das BVerfG entschied aktuell nun, dass Schadensersatzforderungen nach Art. 82 DSGVO nicht allein aufgrund einer nicht überschrittenen Erheblichkeitsschwelle abgewiesen werden dürften. Diese Entscheidung führt jedoch dazu, dass deutsche Gerichte Schadensersatzansprüche nach der DSGVO nicht mehr allein deswegen ablehnen können, weil ein Bagatellverstoß vorliege.
Zuletzt sei jedoch erwähnt, dass bereits eine teilweise Minderung eingetretener Schäden oder möglicher Risiken zur Folge haben kann, dass die daraus folgenden „Schäden“ unterhalb der Erheblichkeitsschwelle liegen und somit ggf. nicht erstattungsfähig sind. Daher lohnt es sich als Verantwortlicher auch solche Art Maßnahmen zu ergreifen.
Wesentlich ist zuletzt die Kausalität des eingetretenen Schadens. Der Schaden muss durch den Rechtsverstoß entstanden sein – es genügt nicht, dass er nur durch eine Verarbeitung entstanden ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Der Kläger muss hier die haftungsbegründende Kausalität beweisen, denn pauschale Behauptungen genügen nicht.
Zusammengefasst lässt sich sagen, dass es voraussichtlich noch einige Jahre dauern wird, bis die obersten Gerichte in Deutschland und der EuGH eine einheitliche Rechtsprechung zu Schadensersatzansprüchen nach Art. 82 DSGVO entwickelt haben werden.
Die aktuelle Entscheidung des BVerfG bringt für den EuGH nun die Gelegenheit zumindest die Frage nach einer Erheblichkeitsschwelle zu klären.
Die Rechtsanwälte von SBS Legal unterstützen Sie und Ihr Unternehmen gerne in allen Belangen des Datenschutzrechtes, um eventuellen Klagen auf Schadensersatz vorzubeugen. Wir vertreten Sie sowohl gerichtlich als auch außergerichtlich.
Das Team von SBS Legal begleitet Unternehmen bei der Umsetzung der umfangreichen gesetzlichen Bestimmungen, die sich durch die DSGVO stellen. Unsere Tätigkeit soll alle Datenschutzrechtsverstöße und damit behördenrechtliche Verfahren ausschließen.
Wir beraten in sämtlichen datenschutzrechtlichen Belangen, die im Unternehmensalltag aufkommen. Unsere erfahrenen Tätigkeiten gehen über die allgemeine Prüfung und Umsetzung der datenschutzrechtlichen Pflichten und die Gestaltung rechtssicherer Verträge zur Auftragsdatenverarbeitung hinaus. Wir bieten auch datenschutzrechtliche Compliance, um die Vorgaben auch aus wirtschaftlicher Sicht abzuwägen.
Wir stehen auch Ihnen gern als Partner in allen Belangen des Datenschutzes zur Seite. Sehen Sie sich entsprechenden rechtlichen Fragestellungen ausgesetzt, freuen wir uns jederzeit über Ihre Kontaktaufnahme.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.