Was passiert nach einem Datenschutzverstoß? Haftet das Unternehmen?
Besonders aus dem Datenschutzrecht bekannt ist das Schreckensgespenst der Bußgelder. Liegt ein Datenschutzverstoß vor, können von der zuständigen Datenschutzbehörde hohe Bußgelder von bis zu einem Viertel des weltweiten Jahresumsatzes auf ein Unternehmen zukommen. Doch auch durch eine zivilrechtliche Haftung können danebenstehende Ansprüche von den Betroffenen gel-tend gemacht werden.
I. Art. 82 DSGVO
Art. 82 der Datenschutzgrundverordnung ist dabei eine der bekanntesten Normen. Mit dieser kön-nen nicht nur materielle Schäden ersetzt werden, sondern es besteht weiterhin die Möglichkeit des Regresses bei immateriellen Schäden. Unter materiellen Schäden versteht man solche Schä-den, die greifbar sind, während bei immateriellen Schäden solche gemeint sind, die bspw. durch Schmerzen entstanden sind, d. h. auf dem ersten Blick nicht in Geld bezifferbar sind.
- Voraussetzungen
Nur die betroffene Person gem. Art. 4 Nr. 1 DSGVO kann einen Anspruch aus Art. 82 DSGVO gel-tend machen. Weiterhin kann nur die verantwortliche oder auftragsverarbeitende Stelle An-spruchsgegenseite sein (Vgl. Gola/Heckmann/Gola/Piltz DS-GVO Art. 82 Rn. 11).Voraussetzung für die Haftung aus Art. 82 DSGVO ist das Vorliegen einer Datenschutzverletzung. Eine Datenschutzverletzung kann verschieden ausgeprägt bestehen. Bereits hier kann durch die verantwortlichen oder auftragsverarbeitenden Stellen entschieden durch eine ausreichende Do-kumentation entgegengetreten werden. Denn die Betroffenen haben oftmals nur wenig Einblicke in bspw. das Unternehmen (vgl. EuGH, Urteil vom 14.12.2023 – C-340/21).Weiterhin bedarf es für das Vorliegen eines Anspruchs ein Verschulden. Die Beweislast trägt die Anspruchsgegenseite, Art. 82 Abs. 3 DSGVO (zur Zurechenbarkeit im Verschulden: EuGH, Urteil vom 21.12.2023 – C-667/21). Besonders hier ist es eine Dokumentation von Abläufen und ein aktu-elles Datenschutzkonzept von Vorteil.
Für einen Anspruch aus Art. 82 DSGVO ist ebenso ein Schaden erforderlich. Dieser kann in einem materiellen oder immateriellen Schaden bestehen. Dabei stellt der Schaden eine eigene Voraus-setzung für einen Schaden dar. Aus einer Datenschutzverletzung folgt nicht gleichermaßen ein Schaden (vgl. EUGH Urteil v. 04.05.2023 – C-300/21).
Der Schaden muss auch kausal zur Datenschutzverletzung sein, d. h. der Schaden muss Folge der Datenschutzverletzung sein.Weiterer Beachtung bedarf ein etwaiges Mitverschulden durch die betroffene Person sowie der Verjährungsfristen.
- Das Problem des Schadens
Nicht ohne Grund stellen sich immer wieder Fragen zum Schaden, denn die betroffene Person muss nachweisen, dass ihr tatsächlich ein Schaden entstanden ist. Dies kann zu erheblichen Prob-lemen führen, weshalb ein Anspruch im gerichtlichen Verfahren abgelehnt werden kann.Zur Eindämmung des immateriellen Schadens wurde zunächst versucht aus Art. 82 Abs. 1 DSGVO eine Erheblichkeitsschwelle zu lesen. So sollte nur bei vorliegender Erheblichkeit von einem An-spruch auf einen immateriellen Schaden ausgegangen werden. Der EuGH sprach mit Urteil v. 04.05.2023 – C-300/21 dem entgegen und verwies auf den Wortlaut der Norm. Der Gesetzgeber normierte keine Erheblichkeitsschwelle.Für das Vorliegen eines immateriellen Schadens liegt die Beweislast bei der betroffenen Stelle (vgl. EuGH, Urteil vom 14.12.2023 – C-456/22). Dies geht mit erheblichen Problemen einher. Zwar nen-nen die Erwägungsgründe 75 und 85 der DSGVO Beispiele von möglichen immateriellen Schäden, diese sind allerdings oftmals schwierig nachzuweisen. Dies zeigt sich auch in der Rechtsprechung. So wird bspw. der Verweis auf das Vorliegen eines Kontrollverlusts oftmals nicht als ausreichend angesehen (bspw. OLG Frankfurt a. M. GRUR 2022, 1252 Rn. 63 ff.; OLG Dresden ZD 2021, 93 Rn. 32; LG München I ZD 2022, 52 Rn. 23; LG Essen ZD 2022, 50 Rn. 49 ff; andere Ansicht: OLG Düsseldorf ZD 2022, 337 Rn. 41 f.; OLG Frankfurt a. M. NJW-RR 2022, 1608 Rn. 41 ff.). Auch enthält Art. 82 Abs. 1 DSGVO keine Vermutung zum Vorliegen eines einhergehenden Kontrollverlusts (so bspw. LAG Baden-Württemberg Urt. v. 27.7.2023 – 3 Sa 33/22). Vielmehr bedarf es einer weitergehenden Be-gründung. Hier kommt es gerade darauf an, dass dargelegt wird, inwiefern tatsächlich ein immate-rieller Schaden besteht. Ein Ärger oder einfacher Kontrollverlust reichen dazu oft nicht aus. Es bleibt abzuwarten, welche Kriterien für einen immateriellen Schadensersatz die Rechtsprechung weiter aufstellen wird und wie ein solcher dargelegt werden kann.
Mit dem EuGH Urteil v. 04.05.2023 – C-300/21 wird darauf hingewiesen, dass die Höhe des Scha-densersatzes durch die Gerichte der Mitgliedsstaaten bestimmt wird. Dabei zeigt sich, dass die Tendenz in der Höhe eher verhalten ist. Zu beachten ist dabei, dass Art. 82 DSGVO lediglich eine Kompensationsfunktion hat und keine Straffunktion. Ebenso kommt es für die Höhe nicht auf das Verschulden der verantwortlichen oder auftragsverarbeitenden Stelle an (vgl. EuGH, Urteil vom 21.12.2023 – C-667/21). Oftmals wird es daher maximal um drei- bis vierstellige Summen gehen.
II. Weitere Haftungsnormen
Neben der DSGVO bestehen weitere Gesetze, welche ebenso zivilrechtliche Haftungsnormen ent-halten. Grund dafür ist der in Art. 2 Absatz 2 DSGVO enthaltene Anwendungsausschluss. Dabei werden bspw. mitgliedsstaatliche Verarbeitungen außerhalb des Unionsrechts oder Verarbeitun-gen zum Zwecke der Strafverfolgung und des Strafvollzugs ausgeschlossen. Es bestehen weitere Normen mit eigenen Haftungsnormen auf Bundesebene, bspw. § 83 BDSG, auf Landesebene, bspw. § 23 SächsDSG oder § 65 Nr. 9 SächsJVollzDSG mit Verweis auf § 47 SächsDSUG. Dies enthal-ten meisten auch eine Haftung für immaterielle Schäden bei welchen die Grundsätze der DSGVO herangezogen werden können.
III. vertragliche Haftung und sonstige Haftung
Auch im Vertragsrecht können datenschutzrechtliche Haftungen bestehen. So können bspw. im Rahmen der Sachmangelhaftung eigene Ansprüche bestehen. Diese begrenzen sich allerdings al-lein auf den Vertragsinhalt und umfassen immaterielle Schäden nicht, § 253 Abs. 1 BGB. So können sich aus Datenschutzverletzungen bspw. Nacherfüllungspflichten ergeben. Eine Ersatzmöglichkeit besteht nur in den Fällen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der se-xuellen Selbstbestimmung, § 253 Abs. 2 BGB.
Ebenso können §§ 823 Absatz 1, Absatz 2, 1004 BGB einschlägig sein. Auch hier ist § 253 BGB zu be-achten.
IV. Fazit
Besonders Unternehmen sind beraten, sich bereits vorher ausreichend mit den technischen und organisatorischen Maßnahmen zum Schutz der Daten vertraut zu machen und die datenschutz-rechtlichen Vorgaben zu beachten. Durch das Hinzuziehen von Beratung können bereits frühzeitig Datenschutzverletzungen vermieden werden. Damit vermeidet man bereits für die Zukunft auftre-tende Haftungsfälle. Denn bereits vorher können viele Datenschutzverletzungen durch geeignete Maßnahmen vermieden werden.
Haben Sie Fragen zum Thema Datenschutzrecht? Dann melden Sie sich gerne mit Ihren Fragen!
