Martin Strauch, Rechtsanwalt, Senior Associate [im Bereich Prozessführung bei] Hogan Lovells International LLP
Tim Wybitul, Rechtsanwalt, Partner [im Bereich Datenschutz bei] Hogan Lovells International LLP

Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen

Seit dem 25.05.2018 gilt die neue Datenschutzgrundverordnung (DS-GVO). Die DS-GVO sieht europaweit ein strenges Datenschutzrecht vor. Bei Fehlern drohen Bußgelder von bis zu vier Prozent des weltweiten Umsatzes. Daneben müssen datenverarbeitende Unternehmen im Rahmen von Art. 82 DS-GVO mit erheblichen Schadenersatzansprüchen rechnen, sofern sie die Vorgaben der DS-GVO nicht richtig umsetzen. Zudem ist die Beweislage für Unternehmen ungünstig. Außerdem haben Kläger nun die Möglichkeit, auch Ersatz für immaterielle Schäden zu fordern. Ferner will die DS-GVO auch die effektive Durchsetzung der Ansprüche etwa durch Verbandsklagen erleichtern. Datenverarbeitenden Unternehmen ist es deshalb zu raten, spätestens jetzt effektive Maßnahmen umzusetzen, um Schadensersatzforderungen zu vermeiden.

Der vorliegende Überblick zeigt die Voraussetzungen solcher Schadensersatzansprüche und beschreibt, mit welchen konkreten Maßnahmen Unternehmen die Risiken durch solche Ansprüche effektiv verringern können.

 

Was löst die Schadensersatzpflicht aus?

Nach Art. 82 DS-GVO kann jeder Verstoß gegen die DS-GVO einen Schadensersatzanspruch begründen. Beispielsweise kommen Verstöße gegen folgende Pflichten in Betracht:

  • Dokumentationspflichten (z. B. nach Art. 24 DS-GVO)
  • Informationspflichten (z. B. nach Art. 13, 14 DS-GVO)
  • Melde- und Benachrichtigungspflichten (z. B. nach Art. 33 DS-GVO)
  • Löschpflichten (Art. 17 DS-GVO)
  • Anforderungen an datenschutzrechtliche Einwilligungen (Art. 7 DS-GVO)

 

Wer kommt als Anspruchsteller in Betracht?

Als Anspruchsteller kommt nach Art. 82 Abs. 1 DS-GVO „jede natürliche Person“ infrage. Somit kommen in erster Linie die betroffenen Personen in Betracht, deren Daten Gegenstand einer Datenverarbeitung sind. Darunter fallen insbesondere bestehende oder potentielle Kunden sowie Mitarbeiter des datenverarbeitenden Unternehmens. Es kommen aber auch Geschäftspartner (z. B. Einzelkaufleute) und andere natürliche Personen infrage, die durch einen Verstoß gegen die DS-GVO geschädigt werden. Darüber hinaus können auch weiteren Personen Ansprüche zustehen, etwa nahen Angehörigen, die infolge des Datenschutzverstoßes Beeinträchtigungen psychischer oder sonstiger Art erleiden. Juristische Personen wie eine GmbH oder AG können hingegen aus eigenem Recht keine Ansprüche aus Art. 82 DS-GVO geltend machen.

 

Wer kann in Anspruch genommen werden?

Fast jedes Unternehmen verarbeitet Informationen über Mitarbeiter, Kunden und sonstige Geschäftspartner. Auch Unternehmen, die in der Vergangenheit ausschließlich mit Unternehmen Geschäfte gemacht haben (klassisches B2B-Geschäft) verarbeiten immer häufiger auch Daten von Endkunden, z. B. im Rahmen von Auftragsdatenverarbeitungen nach Art. 28 DS-GVO oder als Plattformanbieter.

Anspruchsgegner eines Schadensersatzanspruchs können „Verantwortliche“ i. S. v. Art. 4 Nr. 7 sowie „Auftragsverarbeiter“ i. S. v. Art. 4 Nr. 8 DS-GVO sein. Da wie dargestellt nahezu alle Unternehmen Daten von Kunden, Geschäftspartnern und eigenen Mitarbeitern verarbeiten, kann dementsprechend eine Vielzahl von Unternehmen einem solchen Anspruch ausgesetzt sein. Kann ein Datenschutzverstoß sowohl einem Verantwortlichen als auch einem Auftragsverarbeiter zugerechnet werden, haften beide im Außenverhältnis als Gesamtschuldner. Das bedeutet, dass der Anspruchsteller sowohl den Verantwortlichen als auch den Auftragsverarbeiter auf den vollen Schadensbetrag in Anspruch nehmen kann. Der in Anspruch genommene kann dann seinerseits fordern, dass sein Vertragspartner (Auftragsverarbeiter oder Verantwortlicher) ihm einen Anteil des Schadens ersetzt.

 

Wer trägt die Beweislast?

Im Hinblick auf die Verteidigung gegen Schadenersatzforderungen ist die Beweislast von besonderer Bedeutung. Normalerweise muss im deutschen Recht der Anspruchsteller selbst die Verstöße gegen die Datenschutzbestimmungen beweisen und darlegen, dass der Anspruchsgegner zumindest fahrlässig gehandelt hat. Da für Betroffene selten die Möglichkeit besteht, die Verarbeitung ihrer Daten nachzuvollziehen, war es für sie in Vergangenheit schwierig, entsprechende Verstöße nachzuweisen. In der DS-GVO gilt nun das sog. „Rechenschaftsprinzip“ (Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO). Danach muss der Verantwortliche bei Anfragen oder Prüfungen der Aufsichtsbehörden nachweisen, die Vorgaben der Verordnung einzuhalten. Es bleibt abzuwarten, ob und wie sich das Rechenschaftsprinzip auch in Beweisfragen im Zivilprozess auswirken wird.

Im Zivilprozess wegen tatsächlichen oder vermuteten Datenschutzverstößen wird aber nach dem Wortlaut der DS-GVO künftig wohl zumindest vermutet werden, dass der Anspruchsgegner den Verstoß verschuldet hat. Um sich zu entlasten, muss er darlegen können, was er alles getan hat, um die Vorgaben der DS-GVO einzuhalten. Wichtig ist dabei auch, dass es unter der DS-GVO keine Möglichkeit gibt, sich für Verschulden (also zumindest fahrlässiges Handeln) der eigenen Mitarbeiter zu entlasten, indem man darlegt, dass man diese sorgfältig ausgewählt und überwacht hat. Handelt hier also ein Mitarbeiter fahrlässig, haftet das Unternehmen.

Der Nachweis einer Verletzung der Vorgaben der DS-GVO wird für die Anspruchsteller darüber hinaus dadurch erleichtert, dass ihnen umfangreiche Informationsrechte (etwa nach Art. 13 oder 14 DS-GVO) und umfassende Auskunftsrechte nach Art. 15 DS-GVO zustehen. All das führt dazu, dass die Geltendmachung von Schadensersatzansprüchen unter der DS-GVO im Vergleich zum bisher geltenden Recht deutlich vereinfacht wird.

Praxistipp

In der Praxis wird es zwischen Auftragsverarbeiter und Verantwortlichem häufig entscheidend sein, dem jeweils anderen das Verschulden nachzuweisen oder sich vom Vorwurf des Verschuldens zu entlasten. Es ist daher ratsam, die Beweislast sowie Auskunftsansprüche und Informationspflichten durch entsprechende Regelungen in Verträge (z. B. zur Auftragsverarbeitung) mit aufzunehmen.

Wer trägt die Beweislast?

Im Hinblick auf die Verteidigung gegen Schadenersatzforderungen ist die Beweislast von besonderer Bedeutung. Normalerweise muss im deutschen Recht der Anspruchsteller selbst die Verstöße gegen die Datenschutzbestimmungen beweisen und darlegen, dass der Anspruchsgegner zumindest fahrlässig gehandelt hat. Da für Betroffene selten die Möglichkeit besteht, die Verarbeitung ihrer Daten nachzuvollziehen, war es für sie in Vergangenheit schwierig, entsprechende Verstöße nachzuweisen. In der DS-GVO gilt nun das sog. „Rechenschaftsprinzip“ (Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO). Danach muss der Verantwortliche bei Anfragen oder Prüfungen der Aufsichtsbehörden nachweisen, die Vorgaben der Verordnung einzuhalten. Es bleibt abzuwarten, ob und wie sich das Rechenschaftsprinzip auch in Beweisfragen im Zivilprozess auswirken wird.

Im Zivilprozess wegen tatsächlichen oder vermuteten Datenschutzverstößen wird aber nach dem Wortlaut der DS-GVO künftig wohl zumindest vermutet werden, dass der Anspruchsgegner den Verstoß verschuldet hat. Um sich zu entlasten, muss er darlegen können, was er alles getan hat, um die Vorgaben der DS-GVO einzuhalten. Wichtig ist dabei auch, dass es unter der DS-GVO keine Möglichkeit gibt, sich für Verschulden (also zumindest fahrlässiges Handeln) der eigenen Mitarbeiter zu entlasten, indem man darlegt, dass man diese sorgfältig ausgewählt und überwacht hat. Handelt hier also ein Mitarbeiter fahrlässig, haftet das Unternehmen.

Der Nachweis einer Verletzung der Vorgaben der DS-GVO wird für die Anspruchsteller darüber hinaus dadurch erleichtert, dass ihnen umfangreiche Informationsrechte (etwa nach Art. 13 oder 14 DS-GVO) und umfassende Auskunftsrechte nach Art. 15 DS-GVO zustehen. All das führt dazu, dass die Geltendmachung von Schadensersatzansprüchen unter der DS-GVO im Vergleich zum bisher geltenden Recht deutlich vereinfacht wird.

Praxistipp

Unter diesem Gesichtspunkt ist Unternehmen zu raten, sich auf solche Situationen mit einem umfassenden Datenschutzmanagementsystem vorzubereiten, welches Datenschutzmaßnahmen gerichtsverwertbar dokumentiert. So können sie ihrer Beweislast genügen und sich erforderlichenfalls sowohl im Behördenverfahren als auch im Zivilprozess effektiv verteidigen. Die Dokumentation sollte sich dabei gleich an den Anforderungen möglicher Gerichtsverfahren orientieren. Optimalerweise dokumentieren Unternehmen ihre Maßnahmen zur Umsetzung der DS-GVO gleich in einer Form, die sie später auch im Rahmen von Schriftsätzen oder Anlagen hierzu in Gerichtsverfahren vorlegen können.

Welche Schäden sind in welcher Höhe ersatzfähig?

Neben dem Ersatz von materiellen Schäden sieht Art. 82 Abs. 1 DS-GVO auch eine Ersatzpflicht für immaterielle Schäden vor. Materielle Schäden waren auch bisher schon ersatzfähig. Sie fallen bei Datenschutzverstößen aber in der Praxis regelmäßig recht niedrig aus. Solche Schäden umfassen alle Nachteile, welche dem Geschädigten an seinen rechtlich geschützten Gütern entstehen und auf dem Datenschutzverstoß beruhen. Zu denken ist hier an Kosten für den Ersatz von Kreditkarten, Portokosten und ggf. auch Rechtsverfolgungskosten.

Unternehmen mussten immaterielle Schäden nach dem bisherigen Datenschutzrecht hingegen nicht ersetzen. Es handelt sich dabei um Nichtvermögensschäden, die deshalb nur schwer in Geld zu messen sind. Die DS-GVO trifft hinsichtlich der Höhe solcher immaterieller Schäden keine eigenen Regelungen. Daher ist auf nationale Bestimmungen zurückzugreifen. Mangels umfassender Vorgaben zur Ermittlung des Umfangs im deutschen Recht, kommt dem Gericht ein erhebliches Ermessen zu. Betrachtet man Verstöße gegen das sog. allgemeine Persönlichkeitsrecht (z. B. bei unberechtigter Videoüberwachung am Arbeitsplatz), die mit Datenschutzverstößen vergleichbar sind, fielen die Schadensersatzsummen bisher im Vergleich zu Ländern wie den USA noch relativ gering aus. So lagen die bisher zugesprochenen Entschädigungen beispielsweise im Falle von Observation eines arbeitsunfähig erkrankten Arbeitnehmers bei 1.000 €, bei unzulässiger Videoüberwachung am Arbeitsplatz bei 7.000 € oder bei einer unzulässigen Überwachung durch einen vom Arbeitgeber beauftragten Detektiv 10.000 €. Maßstäbe bei der Bemessung waren bisher insbesondere die Dauer, Art und Schwere der Beeinträchtigung. Es bleibt abzuwarten, ob und wann entsprechende Maßstäbe durch den Europäischen Gerichtshof für die Bemessung der immateriellen Schäden bei Datenschutzverstößen entwickelt werden.

Führt man sich vor Augen, dass bei Datenschutzverstößen regelmäßig nicht nur die Daten einer einzelnen Person betroffen sind, sondern häufig viele (hundert, tausend oder hunderttausend) Datensätze, wird schnell klar, dass selbst relativ kleine Schadensersatzbeträge im Einzelfall bei solchen „Streuschäden“ zu großen Gesamtbeträgen werden können.

Praxistipp

Je mehr Datensätze von einem Unternehmen verarbeitet werden, desto wichtiger ist deshalb auch die Vorbereitung auf den Umgang mit möglichen Schadensersatz- oder Auskunftsforderungen. Fehler bei der Umsetzung der DS-GVO können sowohl Bußgelder als auch Schadensersatzforderungen nach sich ziehen, etwa dadurch, dass ein Unternehmen Auskunfts- und Informationsrechte verletzt. Daher sollten Unternehmen insbesondere auch auf solche Anfragen gut vorbereitet sein. Wichtig ist dabei, die Abwehr möglicher Schadensersatzansprüche so vorzubereiten, dass man sie auch nach Drucksituationen wie z. B. einem Cyberangriff, nach internen Ermittlungen oder in möglichen Erpressungsszenarien noch ohne weiteres umsetzen kann. Unternehmen sollten gerade wegen der ungünstigen Beweislast beispielsweise auch auf Bewerber vorbereitet sein, die sich allein mit dem Ziel bewerben, nach einer Ablehnung später Schadensersatzansprüche geltend zu machen.

Besteht eine Gefahr von Sammelklagen?

Neben der Geltendmachung von Schadensersatzansprüchen, besteht nunmehr die Möglichkeit, einzelne Ansprüche effizient im Wege von verschiedenen Ausprägungen von Sammelklagen geltend zu machen. Dabei sind insbesondere drei Ausprägungen denkbar:

 

  • Verbandsklage: Die sog. „Verbandsklage“ ermöglicht es Verbänden, wie etwa Verbraucherzentralen, auch im Fall von Datenschutzverletzungen Unternehmen insbesondere auf Unterlassung in Anspruch zu nehmen. Dabei ist keine Beauftragung durch einen einzelnen Betroffenen erforderlich. Verbraucherzentralen, aber auch z. B. spezialisierte Vereine können damit ein Urteil erwirken, das die Unrechtmäßigkeit einer Datenverarbeitung feststellt. Auch wenn diese Entscheidung keine Bindungswirkung für Schadensersatzansprüche von Verbrauchern hat, können sich einzelne Verbraucher zumindest faktisch auf die Feststellungen stützen.
  • Musterfeststellungsklage: Eine Bindungswirkung soll jedoch die sog. Musterfeststellungsklage haben, die gerade das Gesetzgebungsverfahren passiert. Grund für deren schnelle Einführung durch die neue Bundesregierung ist in erster Linie die Stärkung von Verbrauchern, die Fahrzeuge mit manipulierter Abgassoftware gekauft haben. Das Verfahren ist darauf jedoch nicht beschränkt. Es kann auch in anderen Bereichen – wie etwa dem Datenschutzrecht – zum Einsatz kommen. In einem Musterfeststellungsverfahren entscheidet dann das Gericht über die zentralen Fragen des Falls. Zwar entfaltet das Urteil eine bloße Feststellungswirkung und kann damit noch keinen Schadensersatz zusprechen. Jedoch könnten sich die Betroffenen ohne anwaltliche Vertretung in einem elektronischen Klageregister eintragen lassen, die Verjährung dadurch hemmen und sich bei einer nachfolgenden, auf Schadensersatz gerichteten Individualklage auf das Musterfeststellungsurteil berufen. Darüber hinaus ist davon auszugehen, dass es in vielen Fällen keiner Individualklage mehr bedarf, da das Musterfeststellungsurteil die Basis einer außergerichtlichen Einigung schafft.
  • Klagevehikel: Daneben ist es denkbar, dass sog. „professionelle Kläger“ die Geltendmachung von Schadensersatzansprüchen durch sog. Klagevehikel übernehmen. Dies sind speziell gegründete Unternehmen, die mehrere Ansprüche bündeln, um diese gesammelt gerichtlich durchzusetzen. Klagevehikel gibt es in zwei Ausprägungen. Einerseits kann ein Klagevehikel fremde Rechte in eigenem Namen geltend machen, wenn der Rechtsinhaber dafür eine Bevollmächtigung erteilt hat. Die zweite Möglichkeit besteht darin, die Ansprüche als eigenes Recht vor Gericht geltend zu machen, nachdem der ursprüngliche Rechtsinhaber seine Rechte abgetreten hat. Letzteres Modell ist einfacher und bereits jetzt im Kartellrecht ein beliebtes Mittel.
Praxistipp

Im Hinblick auf die Gefahr insbesondere von Sammelklagen ist es ratsam, bereits bei der Einführung und Überarbeitung sämtlicher Maßnahmen zur Umsetzung der DS-GVO und anderer datenschutzrechtlicher Vorschriften sämtliche Prozesse (auch die Umsetzungs- und Überarbeitungsprozesse) schon so detailliert zu dokumentieren, dass man diese in einem etwaigen Rechtsstreit gut darstellen und beweisen kann.

Fazit

Neben den möglicherweise erheblichen Bußgeldern sind auch Schadensersatzansprüche ein ernstzunehmendes Risiko, auf das sich Unternehmen vorbereiten sollten. Eine entscheidende Rolle spielt dabei ein entsprechendes Datenschutz-Management-System sowie eine umfassende und gerichtsfeste Dokumentation der wesentlichen Datenverarbeitungsprozesse.

Die wichtigsten Praxistipps auf einen Blick
  • In Verträgen mit Geschäftspartnern (Auftragsdatenverarbeitern) sind die Beweislast, Auskunftsansprüche und Informationspflichten betreffend den Umgang mit Daten ausdrücklich zu regeln.
  • Zur Vorbereitung auf etwaige Streitigkeiten oder Kundenanfragen sind Datenschutzmaßnahmen sorgfältig und möglichst gerichtsverwertbar zu dokumentieren.
  • Der saubere Nachweis eines ordnungsgemäßen Verhaltens ist für eine erfolgreiche Verteidigung gegen Datenschutzklagen essentiell.