Als 2016 die Datenschutz-Grundverordnung (DS-GVO) verabschiedet wurde, sorgte insbesondere der Bußgeldrahmen für ungläubiges Staunen: bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens sollte ein Verstoß kosten – je nachdem, welcher der Beträge höher ist. Der Gesetzgeber wollte damit zum Ausdruck bringen, wie ernst es ihm mit dem Datenschutz ist. In Artikel 83 der Verordnung hat er ausdrücklich hineingeschrieben, dass jede Aufsichtsbehörde sicherstellen muss, „dass die Verhängung von Geldbußen … in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“
Nach anfänglicher Zurückhaltung der Datenschützer sind inzwischen, mehr als vier Jahre nach Wirksamwerden der DS-GVO, Bußgelder in Millionenhöhe keine Seltenheit mehr. „Diese Entwicklung ist angesichts des erhöhten Bußgeldrahmens zu erwarten gewesen und entspricht dem klaren Willen des europäischen Gesetzgebers“, kommentiert Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, die aktuelle Praxis.
Höhere Strafen auch in Deutschland
Dabei gelten die deutschen Behörden noch als relativ nachsichtig; andere EU-Staaten, beispielsweise Frankreich, Italien und Spanien, gehen sehr viel strenger vor. „Die deutschen Aufsichtsbehörden werden bislang eher dafür kritisiert, dass sie zu wenige und zu niedrige Bußgelder verhängen“, weiß Thomas Spaeing vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD). Entsprechend nennt Spaeing die jüngst gegenüber VW (1,1 Millionen Euro) und der Hannoverschen Volksbank (0,9 Millionen Euro) verhängten Bußgelder „Blitzlicht-Ausnahmen“. Der BvD-Vorsitzende erwartet: „Der Druck aus Brüssel und den anderen Staaten wird auch in Deutschland mittelfristig zu mehr und höheren Bußgeldern führen.“
Das Gute daran: Eine einheitliche Anwendung des Bußgeldrahmens in der gesamten Europäischen Union würde zu mehr Rechtssicherheit führen. „Ein EU-weit tätiges Unternehmen muss sich derzeit an unterschiedliche, teilweise widersprüchliche Auslegungen und Gerichtsentscheidungen in den verschiedenen Mitgliedstaaten anpassen“, kritisiert Kei-Lin Ting-Winarto, Referentin für Datenschutz beim Deutschen Industrie- und Handelskammertag (DIHK).
Schadensersatz, die unbekannte Größe
Doch es existiert noch eine andere Gefahr, und die könnte noch höhere Beträge aufrufen. Artikel 83 der Grundverordnung bestimmt: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Auf den ersten Blick mag der Schadensersatzanspruch einer einzelnen Person gegenüber einem aufsichtsbehördlichen Bußgeld in Millionenhöhe vernachlässigbar erscheinen. Datenschutzverstöße betreffen jedoch oftmals eine Vielzahl an Verarbeitungsprozessen, Datensätzen und damit auch an Personen. Geht man von Hunderten, Tausenden oder gar Hunderttausenden Betroffenen aus, summieren sich Einzelschäden schnell und übertreffen womöglich die verhängte Geldbuße.
„Es ist bisher unklar, unter welchen Voraussetzungen und in welchem Umfang Schadensersatz geltend gemacht werden kann“, weist DIHK-Referentin Ting-Winarto auf die „große Rechtsunsicherheit zu Lasten aller Unternehmen“ hin. Bisher gingen Betroffene zumeist individuell gegen die Datenschutzverstöße vor. Die von den Gerichten derzeit zugesprochenen Schadensersatzzahlungen variieren dabei enorm, je nach Schwere des jeweiligen Rechtsbruchs (siehe Kasten).
Die häufigsten DS-GVO-Verstöße
Ein Blick in die aktuelle Rechtsprechung zeigt: Es gibt nicht den einen klassischen Datenschutzverstoß, den es zu verhindern gilt. Vielmehr betreffen die ausgeurteilten Sachverhalte die unterschiedlichsten Anspruchsgrundlagen, Verletzungshandlungen und Rechtsbeziehungen.
„Die häufigste Ursache für Datenschutzverstöße und Datenpannen sind unzureichende technische und organisatorische Maßnahmen“, bestätigt der oberste Datenschützer Baden-Württembergs, Stefan Brink. Darunter fallen auch Hackerangriffe, die das Unternehmen hätte abwehren müssen. Gerade weil es hier um vermeidbare Fehler geht, werden solche unbefugten Datenabflüsse und -weitergaben von den Gerichten mit hohen Schadensersatzsummen belegt.
Immer öfter werden zudem Verstöße gegen Auskunftspflichten gerügt. Datenschutzrechtlich Verantwortliche müssen betroffenen Personen auf deren Antrag hin Auskünfte über die Verarbeitung ihrer personenbezogenen Daten erteilen. Geschieht dies nicht, zu spät oder nicht vollständig, kommt ein immaterieller Schaden in Betracht. Ähnliches gilt für Löschpflichten.
Und auch der Arbeitnehmerdatenschutz dringt zunehmend ins Bewusstsein. Hier geht es etwa um Verstöße im Zusammenhang mit nicht gelöschten Bewerberdaten, um den ungeschützten Zugriff auf Personaldaten oder um die verspätete Löschung ausgeschiedener Mitarbeiter von der Homepage.
Neue prozessuale Mittel
Gefährlich für Unternehmen: Neue Instrumente im Zivilverfahren machen Sammelklagen immer leichter. Mittels einer Musterfeststellungsklage dürfen etwa Verbraucherverbände feststellen lassen, ob eine Verletzung des geltenden Datenschutzrechts durch ein datenverarbeitendes Unternehmen vorliegt. Wird der Verstoß vom Gericht bejaht, können die Betroffenen in individuellen Folgeverfahren ihre Rechte und ihren Schadensersatz durchsetzen.
Ebenso ist es möglich, die eigenen Schadensersatzansprüche an professionelle Kläger abzutreten. Häufig werben diese Profis nach Bekanntwerden einer Datenpanne größeren Ausmaßes in der Öffentlichkeit aktiv darum, die Rechte der Betroffenen gesammelt wahrzunehmen. Und schließlich wird bis Jahresende 2022 die neue EU-Verbandsklage zur Verfügung stehen. Eine entsprechende EU-Richtlinie, die bis Jahresende umzusetzen ist, ermöglicht dann direkte Sammelklagen auf Schadensersatz bei Verstößen gegen die DS-GVO.
Die Datenschutzschlinge zieht sich also immer mehr zu. „Noch immer wird Datenschutz wie ein vorübergehendes Thema behandelt“, kritisiert der BvD-Vorsitzende Thomas Spaeing. Angesichts der Entwicklungen im Bereich Bußgeldhöhe, Schadensersatz und Sammelklagen sollte diese Sichtweise schleunigst abgelegt werden.
Die Autorin: Anja Falkenstein,
Rechtsanwältin, Karlsruhe
Schadensersatz aufgrund eines Datenschutzverstoßes (Urteile aus 2021 und 2022)
25 Euro Schadensersatz für das unverlangte Übersenden von Werbemails.
300 Euro Schadensersatz in einem anderen Fall für das unverlangte Übersenden von Werbemails.
1000 Euro für eine Angestellte, die nach Ende der Beschäftigung noch eine Zeitlang auf der Internetseite ihres ehemaligen Arbeitsgebers aufgeführt war.
1000 Euro für eine Angestellte, deren Arbeitgeber nur eine unvollständige Auskunft über gespeicherte Daten, insbesondere zur Arbeitszeiterfassung, erteilte.
2000 Euro für eine Patientin, deren Krankenversicherung ihre Gesundheitsakte an eine falsche Mailadresse verschickte.
2500 Euro für einen Kläger, dessen Konto- und Ausweisdaten bei einem Finanzdienstleister aufgrund eines Datenlecks abgeflossen waren.
5000 Euro, nachdem der Erlass eines Mahnbescheids der Schufa gemeldet wurde, bevor er dem Betroffenen überhaupt zugestellt worden war.
