Datenschutz: Schadensersatz, wenn Missbrauch von Daten befürchtet wird
-
Die Befürchtung eines Missbrauchs der eigenen Daten kann alleine schon einen Anspruch auf Schadensersatz auslösen. Es existiert hier keine Bagatellgrenze. Allerdings muss aus dem Verstoß auch ein nachgewiesener Schaden resultieren.
Diese Grundsätze hat der Europäische Gerichtshof (EuGH) in seinen jüngsten Entscheidungen zu dieser Thematik aufgestellt. Unternehmen, die die datenschutzrechtlichen Voraussetzungen nicht erfüllen, laufen daher Gefahr, sich Schadensersatzansprüchen ausgesetzt zu sehen. So können beispielsweise nach einem Hackerangriff unter Umständen Kunden- oder Beschäftigtendaten verschlüsselt oder geleakt werden, was auf Seiten der Betroffenen einen entsprechenden Schaden bedeuten würde.
Ein Verstoß kommt selten allein
In seinem Urteil vom 4. Mai 2023 (Az. C‑300/21) hat der EuGH entschieden, dass der bloße Verstoß gegen die DSGVO für sich betrachtet noch keinen Schadenersatzanspruch begründet. Die Vorschrift des Art. 82 DSGVO verlangt vielmehr, dass aus dem Verstoß auch ein kausaler Schaden entsteht, den der Betroffene nachvollziehbar darlegen muss.
Wenn dies jedoch gelingt, dann ist der Schadensersatz nicht auf solche Schäden begrenzt, die eine gewisse Erheblichkeit aufweisen. Sprich: Auch das bloße Gefühl des Verlustes der Kontrolle über die eigenen Daten können einen solchen Schaden darstellen, laut EuGH existiert keine Ausnahme für etwaige »Bagatellen«.
Die Bemessung der konkreten Höhe eines etwaigen Schadenersatzanspruchs wiederum ist dann Sache der nationalen Gerichte, sodass z.B. ein deutsches Gericht im Einzelfall ggf. auch nur 50 Euro zusprechen kann. Aber auch diese 50 Euro können ganz schnell sehr teuer werden, wenn man bedenkt, dass insbesondere nach einem Datenleck oder nach dem Einbruch in den eigenen Unternehmensserver nicht selten sehr vielen Betroffenen ein Anspruch auf Schadenersatz zusteht.
Unternehmen sind in der Verantwortung
Einer Bagatellgrenze erteilte der EuGH in seinem Urteil vom 14. Dezember 2023 (Az. C-456/22) erneut eine Abfuhr.
In einer weiteren Entscheidung vom gleichen Tag (Az. C-340/21) verschärfte der EuGH die Lage für verantwortliche Stellen noch weiter. Kommt es zu Datenverletzungen, müssen Unternehmen den Nachweis erbringen, dass die von ihnen ergriffenen Schutzmaßnahmen angemessen und ausreichend waren. Darüber hinaus haften Unternehmen nicht nur für eigenes (datenschutzrechtliches) Fehlverhalten, sondern unter Umständen auch für das beauftragter Dienstleister. Es kann für die Begründung eines Schadenersatzanspruchs bereits ausreichen, wenn der Betroffene angibt, einen Missbrauch seiner Daten zu befürchten – obwohl ein solcher möglicherweise (noch) gar nicht stattgefunden hat.
Umsetzung des Datenschutzes gewinnt an Brisanz
Insgesamt hat der EuGH in den genannten Entscheidungen die Hürde für die Geltendmachung von Schadenersatzansprüchen recht niedrig angelegt. Wer es bislang mit den Themen Datenschutz und IT-Sicherheit bislang nicht ganz so genau genommen hat, der sollte spätestens jetzt umdenken. Denn neben den ohnehin für Unternehmen drohenden aufsichtsbehördlichen Sanktionen, wie insbesondere Bußgelder, stellen auch Schadenersatzforderungen ernsthafte Unternehmensrisiken dar.
Mit dem Thema Datenschutz müssen sich alle Unternehmen auseinandersetzen, vom Solo-Selbstständigen über kleine und mittlere Betriebe bis zum Großunternehmen.
Unser Ratgeber unterstützt Sie bei der Umsetzung!
→ Datenschutz einfach umsetzen
Der Praxisratgeber zur DSGVO für Selbstständige und kleine Unternehmen
Inhaltsverzeichnis | Leseprobe (PDF) | zum Shop
(AW)