Übersicht
Schadenersatz – Wer von wem und wie hoch?
Wer hat im Datenschutzrecht Anspruch auf Schadenersatz?
Wem aus dem Verhalten eines Dritten ein Schaden entsteht, hat Anspruch auf Ersatz dieses Schadens. So der Grundsatz im Privatrecht, der auch im Datenschutzrecht gilt (vgl. Art. 82 Abs. 1 DSGVO). Im Fall des Datenschutzes entsteht der Person ein Schaden grundsätzlich dann, wenn deren Daten widerrechtlich gespeichert, genutzt oder veröffentlicht wurden und dies eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen zur Folge hatte.
Das wiederum ist vor allem dann der Fall, wenn der Person aus dem missbräuchlichen Umgang mit ihren persönlichen Daten ein bezifferbarer materieller Nachteil entstand (Beispiel: Die Veröffentlichung des vollen Namens nach einem Lotteriegewinn, der Begehrlichkeiten weckte). Immaterielle Bagatellschäden begründen hingegen keinen Ersatzanspruch(Beispiel: Die zeitweilige Sperre in Sozialen Netzwerken). Es braucht also im Datenschutzrecht – wie auch sonst – das Vorliegen eines handfesten, nachvollziehbaren Schadens, um einen Ersatzanspruch zu haben.
Ersatzpflicht besteht dabei grundsätzlich auch dann, wenn der Schutz der persönlichen Daten nicht vorsätzlich, sondern durch Fahrlässigkeit erheblich verletzt wurde, wenn also etwa ein Unternehmen das Risiko einer missbräuchlichen Verwendung von Kunden- oder Mitarbeiterdaten unterschätzt und daher zu wenig darauf geachtet hat, dass diese Daten sicher sind. Der Anspruch auf Schadensersatz richtet sich gegen den Verantwortlichen bzw. dessen Auftragsverarbeiter.
Mangelnde Sorgfalt oder bewusster Missbrauch – wenn der Schaden erst einmal entstanden ist, kann die Ersatzpflicht teuer werden. Die Tücke liegt dabei in der Technik der Datenhaltung. Daten werden in Datenbanken gespeichert. Gibt es darauf beispielsweise einen temporären Zugriff von außen oder wird die Datenbank insgesamt (etwa durch einen technischen Fehler) durch Unbefugte nutzbar, sind gleich hunderte oder tausende Datensätze betroffen. Allen Personen hinter den Daten, etwa Kunden oder Mitarbeiter, könnte damit gleichzeitig ein Schaden entstehen, dessen Ersatz im Einzelfall als geringfügig anzusehen ist, der in der Summe aller Betroffenen jedoch schnell eine empfindliche Höhe erreichen kann. Das ist dann mehr als nur ärgerlich – es kann das Unternehmen finanziell schwer treffen. Entscheidend für Unternehmen ist es also, alles zu tun, dass ein Schadenersatzfall gar nicht erst eintritt.
Lassen Sie sich als Unternehmer unbedingt anwaltlich beraten. So können unberechtigte Schadenersatzforderungen zurückgewiesen oder in der Höhe erheblich herabgesenkt werden. Gerne stehen wir Ihnen zur Verfügung. Kontaktieren Sie uns einfach. Wir können Ihnen helfen – Dank Erfahrung und Expertise.
Und wenn Sie durch den laxen Umgang mit Ihren persönlichen Daten von Seiten eines Unternehmens Schaden erlitten haben, sind wir ebenfalls zur Stelle und holen für Sie das Beste raus. Wir kennen uns damit aus.
Vertragsgestaltung
Vertragsgestaltung und Prüfung – Auftragsverarbeitungsvertrag oder doch nicht? Welche Vertragsart ist richtig für mein Projekt?
Die Einordnung der Verantwortlichkeit im Datenschutz ist hochkomplex. Eine anwaltliche Beratung im Vorfeld eines Vertragsabschlusses kann viel Ärger (und Kosten) ersparen, ebenso die (rasche und gar nicht teure) Prüfung eines Vertrags. Wir klären gemeinsam mit Ihnen die wichtigsten Fragen rund um den Datenschutz im Vertrag, insbesondere, in welche datenschutzrechtliche Kategorie der geplante Vertrag einzuordnen ist. Wir helfen Ihnen bei der wasserdichten Formulierung Ihres Vertragswerks. Kontaktieren Sie uns dazu einfach.
Bußgeldverfahren
Was tun, wenn trotzdem es schief gegangen ist?
Wenn ein Unternehmen Datenschutzregelungen missachtet, wird es gegenüber dem Betroffenen nicht nur möglicherweise schadensersatzpflichtig (s. Punkt 1), es droht auch ein Bußgeld (vgl. Art. 83 DSGVO), und das in oft beträchtlicher Höhe. Hierzu muss nicht der Geschädigte selbst tätig werden, sondern die für den Datenschutz in einer bestimmten Region zuständige Aufsichtsbehörde. Diese wird aufgrund von Anzeigen, Hinweisen oder Meldungen betroffener Personen, aber auch bereits nach thematisch einschlägigen Presseberichten aktiv.
Zunächst zwei gute Nachrichten: 1. Nachdem bei Inkrafttreten der DSGVO im Jahr 2018 zunächst sehr viel Sorge vor Abmahnungen im Bereich des Datenschutzrechts bestand, kann heute festgestellt werden, dass diese Sorge unberechtigt war. Und: 2. Wenn Sie als Unternehmer trotzdem trifft, sind wir an Ihrer Seite.
Nun die schlechte Nachricht: Es zeigt sich zunehmend, dass die datenschutzrechtlichen Aufsichtsbehörden tätig werden und Bußgelder in z.T. enormen Höhen verhängen. Prominente Fälle mit Millionenbußgeld betrafen etwa große und bekannte Unternehmen wie H&M oder Deutsche Wohnen. Doch die Nachforschungen der Datenschützer können im Grunde jeden treffen, auch kleine und mittelständische Betriebe. Dabei ist nicht mal vorsätzlich schuldhaftes Verhalten nötig (wie etwa bei H&M), es reicht ein fahrlässiger Umgang mit den Daten, über die das Unternehmen verfügt.
Wie läuft das Verfahren ab?
Sobald die Datenschutzbehörde ein Verfahren einleitet, erhält der Verantwortliche ein schriftliches Auskunftsersuchen, welches der rechtlichen Bewertung durch die Behörde dient und dem Verantwortlichen die Möglichkeit bietet, eine Stellungnahme zu dem beanstandeten Vorfall abzugeben. Hier ist es (spätestens!) an der Zeit, sich anwaltlich beraten zu lassen.
Wenn dem Unternehmen eines der in Art. 83 Abs. 4 und 5 DSGVO genannten Verstöße nachgewiesen wird (bzw. umgekehrt: der begründete Vorwurf eines Verstoßes nicht überzeugend ausgeräumt werden kann), dann kann die Aufsichtsbehörde dies mit dem Verhängen eines Bußgeld sanktionieren, muss dies aber nicht (Art. 83 Abs. 2 S. 1 DSGVO). Aus dieser Kann-Option ergibt sich verhandlungsstrategisch ein gewisser Spielraum, der genutzt werden sollte. Möglicherweise führen Sofortmaßnahmen, die Abhilfe versprechen, dazu, dass bei Erstverstößen von einem Bußgeld abgesehen wird. Das kann jedenfalls Ziel der Verhandlungen sein.
Geht die Behörde nach der Anhörung davon aus, dass ein gravierender Verstoß gegen die DSGVO vorliegt, wird das eigentliche Bußgeldverfahren eingeleitet. Dessen Ablauf richtet sich nach dem Ordnungswidrigkeitsgesetz (OWiG). Nach Erlass des Bußgeldbescheids bleibt dem Unternehmen die Möglichkeit des Einspruchs. Wenn dieser abgelehnt wird, muss Klage erhoben werden.
Wie wird das Bußgeld berechnet – und wie hoch kann es liegen?
Wenn es dann allerdings schlussendlich ein Bußgeld gibt, kann das empfindlich hoch liegen – bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes (vgl. Art. 83 DSGVO). Da zahlreiche Unternehmen gerade mal einige Prozent Umsatzrentabilität aufweisen, wäre also der Überschuss des laufenden Geschäftsjahrs ganz oder zu einem Großteil weg.
Allerdings sind die genannten Werte Obergrenzen – die Datenschutzbehörden bestimmen, wie hoch das Bußgeld im Einzelfall tatsächlich ausfällt. Sie sind es auch, die einschätzen, ob ein Verstoß als leicht oder schwer zu bewerten ist. Man darf annehmen, dass es auch aus ihrer Sicht nicht im Interesse des Datenschutzes ist, Unternehmen (also: Arbeitgeber) in den Ruin zu treiben.
Die Obergrenzen gelten nicht immer und auch nicht absolut. Sie gelten nur für Unternehmen, also weder für Privatpersonen noch für Vereine. Gerichte sind in ihrer Entscheidung nicht an diese Grenzen gebunden. Weiterhin binden sie nicht die Datenschutzbehörden anderer Mitgliedsstaaten der EU und gelten nicht für grenzüberschreitende Fälle.
Also: Viele Fragezeichen bei der bangen Frage, was im Fall des Falles auf das Unternehmen zukommt. Doch – wie gesagt: Wir lassen Sie nicht allein.
Unsere Expertise zum Datenschutz, Schadensersatz und Bußgeldern
- Beratung mit Hinblick auf die neue EU-Datenschutzgrundverordnung (DSGVO)
- Beratung mit Hinblick auf die neue ePrivacy-Verordnung
- Durchführung von Datenschutz Due Diligence Prüfungen
- Stellung eines EU-Vertreters gem. Art. 27 DSGVO
- Juristische Beratung rund um E-Mail-Marketing
- Schutz vor Abmahnungen und einstweiligen Verfügungen
- Reputationsmanagement
- Verhandlungstrategie & Prozesstaktik