Datenschutzverstoß und Schadensersatz: Was Unternehmen wissen müssen

Deutsche Gerichte beschäftigen sich zunehmend mit Schadensersatzklagen aufgrund von Datenschutzverstößen. Dabei rücken Schadensersatzansprüche durch immaterielle Schäden stärker in den Vordergrund, denn laut Datenschutz-Grundverordnung (DSGVO) können betroffene Personen bei Datenschutzverstößen neben materiellen Ansprüchen auch Ansprüche auf eine Entschädigung für etwaige Nichtvermögensschäden geltend machen. Erste deutsche Gerichte haben bereits entschieden, dass der DSGVO-Verstoß selbst bereits zum Eintritt eines ersatzfähigen Schadens führen kann.

Das kann schwerwiegende Folgen für Unternehmen haben, die personenbezogene Daten verarbeiten: Datenpannen betreffen häufig nicht nur einzelne Personen, sondern ganze Personengruppen, die gegebenenfalls alle einen Anspruch auf Schadensersatz geltend machen könnten. Um solche Folgen zu vermeiden, sollten Datenschutz und IT-Sicherheit noch stärker im Fokus liegen.

Immaterieller Schadensersatz auf Grundlage der DSGVO

Im Fall von Datenschutzverstößen drohen weitreichende finanzielle Einbußen. Die meisten Unternehmen sind bereits dafür sensibilisiert, dass Aufsichtsbehörden in solchen Fällen gemäß Artikel 83 der DSGVO Bußgelder verhängen können. Jedoch rechnen viele Unternehmen noch nicht damit, dass Datenschutzverstöße auch Schadensersatzansprüche gemäß Artikel 82 DSGVO auslösen können.

Besonders relevant erscheint insofern, dass Personen bei einem Verstoß gegen die DSGVO nicht nur materielle, sondern auch immaterielle Schäden geltend machen können – vergleichbar mit einem Schmerzensgeld.

Spätestens im Falle von Datenpannen oder Cyber-Angriffen, die das Unternehmen beispielsweise durch mangelhafte IT-Sicherheitsmaßnahmen mitverschuldet oder auf die es nicht angemessen reagiert hat, stellt dies ein signifikantes Risiko dar: Bei solchen Vorfällen werden nicht selten die Datenschutzrechte von hunderten oder gar tausenden Kunden, Mitarbeitern oder Geschäftspartnern zugleich verletzt. Sind die Bedingungen für einen Anspruch auf Schadensersatz erfüllt, kann das für das betroffene Unternehmen kostspielig werden.

Erste Gerichtsurteile bereits ergangen

Lange Zeit waren deutsche Gerichte eher zurückhaltend, wenn es um die Höhe des Ersatzes für immaterielle Schäden ging, doch das scheint sich zu ändern: Deutsche Gerichte geben vermehrt an, dass die Schadensersatzbeträge so hoch sein müssen, dass sie eine abschreckende Wirkung haben und Unternehmen veranlassen, ihre Datenschutzvorkehrungen zu erhöhen.

So verurteilte das Arbeitsgericht Düsseldorf am 5. März 2020 ein Unternehmen dazu, einem früheren Mitarbeiter 5.000 Euro Schadensersatz zu zahlen. Der Mitarbeiter hatte von seinem Recht auf Auskunft nach Artikel 15 DSGVO Gebrauch gemacht. Das Unternehmen war dem Ersuchen jedoch laut dem Gericht nicht fristgerecht und nur unvollständig nachgekommen.

In seinem Urteil vom 26. Mai 2020 sprach zudem das Landgericht (LG) Darmstadt einem Bewerber 1.000 Euro immateriellen Schadensersatz zu. Das Unternehmen, bei dem er sich beworben hatte, hatte eine auf seine Bewerbung bezugnehmende Email irrtümlich nicht an ihn, sondern an einen unbeteiligten Dritten versandt, der hierdurch Kenntnis über die Gehaltsvorstellung des Bewerbers erlangen konnte. Das Unternehmen hatte zudem versäumt, den Bewerber zeitnah über den Vorfall zu informieren.

Bei dem Urteil des LG Darmstadt handelt es sich um eines der ersten Urteile eines sogenannten ordentlichen Gerichts, in dem einem Betroffenen ein immaterieller Schadensersatz zugesprochen worden ist. Zuvor waren überwiegend Entscheidungen von Arbeitsgerichten ergangen. Die Entscheidung des LG Darmstadt macht jedoch deutlich, dass das Thema auch außerhalb der Arbeitsgerichtsbarkeit von Relevanz ist.

Das Gericht kam zu dem Schluss, dass durch die unrechtmäßige Veröffentlichung gegenüber einem unbeteiligten Dritten und die verspätete Unterrichtung des Betroffenen hierüber eine Bagatellgrenze überschritten wurde. So führt nach Ansicht des Gerichts bereits der versehentliche Versand der personenbezogenen Daten des Betroffenen an einen Dritten dazu, dass der Betroffene die Kontrolle über seine personenbezogenen Daten verliert, und spricht daher einen Anspruch auf immateriellen Schadensersatz zu. Das Gericht verlangt dabei keinen Nachweis über konkret erlittene Nachteile. Damit legt es einen deutlich geringeren Maßstab an die Darlegungs- und Beweislast an, als dies bisher vor deutschen Gerichten üblich war.

Beide Urteile legen damit Artikel 82 der DSGVO weit aus. Sie sind jedoch noch nicht rechtskräftig und können damit in der nächsten Instanz oder den nächsten Instanzen noch korrigiert werden.

Hohe Schadensersatzbeträge scheinen auch im Interesse der Aufsichtsbehörden zu sein: So wies die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk im Rahmen einer Pressemitteilung vom 17. Juli 2020 zum Schrems-II-Urteil des Europäischen Gerichtshofs darauf hin, dass betroffene Personen im Falle von Datenschutzverletzungen (bzw. bezogen auf die Pressemitteilung: bei unzulässigen Datenexporten) Schadensersatz verlangen können und dieser eine „abschreckende Höhe“ aufweisen müsse.

Zusätzliches Risiko durch EU-Sammelklagen

Ist ein größerer Personenkreis von einem Datenschutzverstoß betroffen, besteht die Gefahr, dass Schadensersatzansprüche mittels Sammelklageverfahren geltend gemacht werden könnten. Das neue EU-System für Sammelklagen könnte den Betroffenen solche Klagen noch zusätzlich erleichtern, was das Risiko für datenverarbeitende Unternehmen weiter erhöhen kann.

Das Europäische Parlament und der Rat der Europäischen Union haben im November 2020 die Richtlinie zur neuen europäischen Verbandsklage verabschiedet. Bis spätestens Ende 2022 müssen alle EU-Mitgliedstaaten eine den Vorgaben entsprechende Form der Sammelklage einführen.

Der Entwurf der Richtlinie sieht vor, dass zukünftig sogenannte qualifizierte Einrichtungen – wie etwa Verbraucherverbände – die Möglichkeit haben, stellvertretend für geschädigte Verbraucher gegen Unternehmen auf Unterlassung oder Schadensersatz zu klagen.

Das harmonisierte Modell für Sammelklagen soll die Verbraucher in den Mitgliedsstaaten besser vor Massenschadensereignissen schützen. Auch Bagatellschäden, welche der einzelne Verbraucher nicht einklagen würde, die aber wiederum eine Vielzahl von Verbrauchern in gleicher Weise treffen, sollen auf diese Weise effektiv verfolgt werden können.