Auf Unternehmen kommen hohe Schadensersatzforderungen zu, wenn sie die strengen Anforderungen des neuen Datenschutzrechts nicht richtig umsetzen. Tim Wybitul erklärt, was Manager über den Umgang mit Daten von Kunden oder Mitarbeitern wissen müssen.
Am 25. Mai 2018 endet die Übergangsfrist für die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO). Für Unternehmen, die das neue Datenschutzrecht noch nicht richtig umgesetzt haben, kann es dann teuer werden. Art. 83 DSGVO sieht Bußgelder von bis zu 4 Prozent des globalen Umsatzes vor, großen Konzernen drohen durchaus Milliardenbeträge, je nachdem ob und unter welchen Voraussetzungen die Aufsichtsbehörden für den Datenschutz den von der DSGVO vorgegebenen Bußgeldrahmen tatsächlich ausschöpfen werden.
Doch zu den neuen Risiken gehören nicht nur hohe Bußgelder. Unternehmen drohen auch erhebliche Risiken durch Schadensersatzforderungen. Die DSGVO bringt wichtige Änderungen zum bisherigen Recht. Letztlich sorgt der Gesetzgeber dafür, dass Firmen den Datenschutz umsetzen, indem er es Verbrauchern erleichtert, Unternehmen wegen tatsächlichen oder auch nur vermuteten Fehlern zu verklagen. Denn ab 2018 lohnt es sich für Verbraucher und deren Anwälte finanziell, wenn Unternehmen den neuen Datenschutz nicht richtig umsetzen.
Die DSGVO gilt für jedes Unternehmen, das Daten automatisiert verarbeitet. Also zunächst für alle Firmen mit Kundendatenbanken, Personaldatensystemen oder sonstigen IT-Strukturen. Weitgehend jedes Unternehmen verarbeitet personenbezogene Daten, etwa für Zwecke der Werbung, der Kundepflege, zur Durchführung von Verträgen oder von Beschäftigungsverhältnissen.
Auch für "emotional distress" kann es Geld geben
Was müssen Unternehmen also künftig beachten? Erstens sollten sie sich auf hohe Schadensersatzforderungen allein wegen Datenschutzverstößen einstellen. Zweitens müssen sie künftig nach Art. 24 Abs. 1 DSGVO in der Lage sein, zu beweisen, dass sie beim Datenschutz alles richtig gemacht haben, wenn sie die Haftung vermeiden wollen. Und drittens müssen sie sich auf Verbandsklagen auf Unterlassung einstellen und damit auf eine sehr hohe Anzahl von Gerichtsverfahren. Das kann schon rein logistisch eine große Herausforderung sein.
Genau hier bringt die DSGVO eine ganz wesentliche Neuerung. Bislang mussten Unternehmen nach Fehlern beim Datenschutz nach § 7 Bundesdatenschutzgesetz (BDSG a.F.) lediglich klar bezifferbare Vermögensschäden ersetzen, also etwa Anwaltskosten oder sonstige finanzielle Nachteile. Künftig müssen sie nach Art. 82 Abs. 1 DSGVO auch "immaterielle Schäden" ersetzen.
Juristischer formuliert geht es um die finanzielle Erstattung von Eingriffen in das Persönlichkeitsrecht. In den USA ist das unter dem Stichwort "emotional distress" bereits seit Langem geltendes Recht. Die DSGVO nennt als Beispiel für solche immateriellen Schäden etwa bereits den "Verlust der Kontrolle" über die eigenen Daten. Das ist ein ausgesprochen weiter Schadensbegriff.
Schadensersatz dürfte künftig deutlich höher ausfallen
Im Kern geht es bei Datenschutzverletzungen um Schadensersatz dafür, dass ein Unternehmen die Daten einer Person auf unzulässige Weise verarbeitet oder in sonstiger Weise gegen die strengen Vorgaben der DSGVO verstößt. Häufig werden Unternehmen etwa bei der vorgeschriebenen Unterrichtung betroffener Personen Fehler machen. Oder auch bei den gesetzlich geforderten Löschkonzepten.
Anders als in den USA verurteilten deutsche Gerichte Unternehmen bislang sehr selten wegen solcher sogenannter "Nichtvermögensschäden" zu nennenswerten Schadensersatzzahlungen. Eine Ausnahme davon war der Fall von Altkanzler Helmut Kohl, der für die von Heribert Schwan veröffentlichten "Kohl-Protokolle" ein Rekord-Schmerzensgeld in Höhe von einer Millionen Euro erhielt.
Aber künftig müssen Unternehmen wohl auch bei Klagen von Normalbürgern tiefer in die Tasche greifen. Denn nach der Rechtsprechung des Europäischen Gerichtshofs müssen auch deutsche Gerichte unser nationales Schadensrecht so anwenden, dass es das EU-Recht möglichst wirksam umsetzt. Das ist der sogenannte Effektivitätsgrundsatz. Deswegen wird es voraussichtlich wohl höhere Schadensersatzzahlungen als bisher geben. Das könnte durchaus ähnliche Folgen haben wie die bei Unternehmen gefürchteten US-amerikanischen Strafschadensforderungen, die sogenannten "punitive damages".
Bei Schäden nach der DSGVO kommt aber noch ein anderes Risiko ins Spiel. Denn Datenschutzverstöße sind in der Regel sogenannte Streuschäden. Oft verarbeiten Unternehmen nicht nur die Daten eines Kunden oder Mitarbeiters falsch, sondern meist gleich von allen oder zumindest vielen Betroffenen. Unternehmen müssen sich daher auf Schadensersatzforderungen einstellen, die in der Summe durchaus sehr hoch werden könnten.
2/2 Die Beweislast liegt bei den Unternehmen
In einem entsprechenden Schadensersatzprozess müssen Kläger zunächst einmal nachweisen, dass ein Unternehmen ihre personenbezogenen Daten verarbeitet. Das ist einfach, auch weil die DSGVO umfassende Informationspflichten bringt.
Ist das der Fall, müssen die Unternehmen beweisen, dass sie alles richtig gemacht haben. Und das ist in der Praxis sehr schwierig. Einen Verstoß kann man dagegen vergleichsweise leicht beweisen. Das ist ja schließlich ein einzelner Vorgang. Wenn ein Unternehmen dagegen beweisen muss, dass es sämtliche Vorgaben der DSGVO erfüllt hat, braucht es eine umfassende Dokumentation. In einem Schriftsatz ans Gericht sind das schnell Dutzende von Seiten – und ebenso viele Anlagen mit den erforderlichen Prozessbeschreibungen.
Zudem muss es auch technisch in der Lage sein, zu belegen, wie und für welche Zwecke es die Daten eines Klägers oder Beschwerdeführers verarbeitet. In den allermeisten Unternehmen stellt das die IT für enorm hohe Herausforderungen. Gelingt das nicht, können Firmen Gerichtsverfahren allein deshalb verlieren.
Drohen flächendeckende Verfahren?
Datenschutz- oder Verbraucherverbände können sogar ohne Auftrag einer von einem Datenschutzverstoß betroffenen Person Unterlassungsklagen durchsetzen. Zudem könnten Verbraucheranwälte wohl recht offensiv um Mandanten für Schadensersatzklagen werben, wenn ein Gericht einmal festgestellt hat, dass ein Unternehmen Daten nicht nach den Vorgaben des neuen Rechts verarbeitet – oder dies auch nur nicht nachweisen kann.
Was sollten Unternehmen jetzt tun? Viele Unternehmen arbeiten bereits jetzt an großen Projekten zur Umsetzung der Anforderungen der DSGVO. Eines der wichtigen Projektziele sollte dabei auch die Vorbereitung späterer Gerichtsverfahren sein. Firmen sollten bereits jetzt daran denken, die notwendige Dokumentation zu erstellen, die sie künftig für Bußgeldverfahren, Schadensersatzprozesse oder Kündigungsschutzverfahren brauchen. Beispielsweise sollten Sie auch das nach der DSGVO vorgeschriebenen Verarbeitungsverzeichnis gleich so gestalten, dass sie später wichtige Informationen und Dokumente direkt aus dem Verarbeitungsverzeichnis exportieren können. Es kann sogar sinnvoll sein, schon jetzt entsprechende Textbausteine und Anlagen für spätere Schriftsätze vorzubereiten, die dann später in Gerichtsverfahren verwendet werden können.
Welche konkreten Schritte Unternehmen jeweils zur Verringerung von Risiken sollten, hängt allerdings vor allem davon ab, wie umfassend sie die Anforderungen der DSGVO umsetzen können und welche Daten sie für welche Zwecke verarbeiten.
Tim Wybitul ist Partner bei Hogan Lovells in Frankfurt und berät Unternehmen zum Datenschutz.
Tim Wybitul, Was Unternehmen nach der DSGVO beachten müssen: Schadensersatz in Millionenhöhe wegen Fehlern beim Datenschutz? . In: Legal Tribune Online, 03.01.2018 , https://www.lto.de/persistent/a_id/26267/ (abgerufen am: 05.07.2024 )
Infos zum Zitiervorschlag