Wer noch (zu) wenig getan hat, sollte Vollgas geben und Versäumtes nachholen
Die Risiken drohen von zwei Seiten: Bußgelder auf der einen und Schadenersatzansprüche auf der anderen Seite.
Und: Die Tendenz ist eindeutig: Europäische Gerichte und Behörden sanktionieren Verstöße gegen die Vorgaben des Datenschutzes immer härter. Das betrifft zum einen Bußgelder nach Art. 83 DS-GVO. Europäische Aufsichtsbehörden verhängen dreistellige Millionenbußgelder. Der Europäische Datenschutzausschuss (EDSA)will bald sein EU-weit geltendes Bußgeldmodell vorstellen, das zu noch höheren Bußgeldern als nach dem Bußgeldkonzept der DSKführen könnte. Zum anderen drohen Unternehmen auch wegen Schadensersatzforderungen nach Art. 82 DS-GVO hohe Risiken. Immer mehr ordentliche Zivilgerichte sprechen Klägern Schmerzensgeld wegen Datenschutzverletzungen zu. Das BAGgeht in einem aktuellen Vorlagebeschluss zu Art. 82 DS-GVO offenbar sogar von einer Art verschuldensunabhängiger Gefährdungshaftung aus und verzichtet auf die Geltendmachung eines eingetretenen Schadens. Es vertritt dabei auch weitere Positionen, die es Klägern künftig massiv erleichtern könnten, vor Gericht erfolgreich Forderungen nach immateriellem Schadensersatz durchzusetzen.
Hinzu kommt: Die Bundesdeutschen Datenschutzaufsichtsbehörden verzeichnen eine sehr starken Anstieg der Beschwerden. Eine Beschwerde und schon hat man die Behörde am Hals.
Ich gehe von Folgendem aus: Je weniger ein Unternehmen sich um datenschutzrechtliche Vorgaben geschert hat, desto höher das Bußgeld.
EU-Behörden verhängen dreistellige Millionenbußgelder
Hohe Bußgelder wegen Datenschutzverstößen sind mittlerweile Realität. Nachdem die französische Aufsichtsbehörde CNIL bereits recht bald nach Geltung der DS-GVO ein Bußgeld über 50 Mio. EUR verhängte, markiert die hamburgische Behörde mit gut 35 Mio. EUR den bisherigen Höchstwert für deutsche Aufsichtsbehörden. Doch das war offenbar erst der Anfang. Kürzlich hat die irische Behörde ein Bußgeld iHv 225 Mio. EUR verhängt. Sogar noch deutlich höher fiel ein von der luxemburgischen Behörde verhängtes Bußgeld iHv 746 Mio. EUR aus. Beide Bußgelder sind nicht rechtskräftig. In beiden Fällen ging der Verhängung des Bußgelds eine Abstimmung auf EU-Ebene voraus, die zu einer massiven Erhöhung der zunächst von der zuständigen federführenden Behörde vorgeschlagenen Beträge führte. In Bezug auf derzeit laufende Verfahren bewahren Behörden und betroffene Unternehmen aus gutem Grund Stillschweigen. Bereits jetzt zeigt sich klar, dass Bußgelder nach Art. 83 DS-GVO für Unternehmen mittlerweile ein sehr konkretes Risiko darstellen.
Natürlich droht „kleinen“ Unternehmen kein Bußgeld in dieser Höhe. Aber auch ein Bußgeld in einem mittleren 5-stelligen Bereich wird manches Unternehmen härter Treffen als Facebook ein paar hundert Millionen.
Und Zeit kostet das Ganze auch noch. Und spätestens dann ist Datenschutz voll umzusetzen, einen Wiederholungsfall werden sich auch die Hartnäckigsten kaum gönnen wollen.
Und oberndrauf droht noch der Imageverlust für das Unternehmen, bei Auswirkungen auf (potentielle) Kunden kann das existenzgefährdend werden.
Ich will keine Ängste schüren: Aber mit nur ein klein wenig Aufwand an Zeit und Kosten kann sehr viel vermieden werden, schauen Sie doch einfach mal…
Das war die behördliche ebene. Hinzu kommt, dass sich in der
Rechtsprechung eine Tendenz zur Ausurteilung von Schadensersatzansprüchen abzeichnet
Zunächst waren vor allem Arbeitsgerichte gewillt, Klägern immateriellen Schadensersatz nach Art. 82 DS-GVO zuzusprechen. Das ArbG Düsseldorf sprach einem ehemaligen Arbeitnehmer in einer vielbeachteten Entscheidung 5.000 EUR Schadensersatz wegen eines verspätet und intransparent beantworteten Auskunftsersuchens nach Art. 15 DS-GVO zu. Diese Entscheidung blieb kein Einzelfall. Mittlerweile verurteilen sogar Landesarbeitsgerichte beklagte Unternehmen zur Zahlung von Schadensersatz.
Das LAG Hamm sprach z.B. kürzlich einem Kläger 1.000 EUR wegen der verspäteten Beantwortung eines Auskunftsersuchens zu. In einer ähnlichen Fallkonstellation verurteilte das LAG Niedersachseneinen Arbeitgeber sogar zur Zahlung von 1.250 EUR. Aber auch ordentliche Gerichte verurteilen beklagte Unternehmen immer öfter zur Zahlung von immateriellem Schadensersatz nach Art. 82 DS-GVO. So sprach etwa auch das LG Mainz (U. v. 12.11.2021 – 3 O 12/20) einem Kläger wegen der Verarbeitung seiner personenbezogenen Daten 5.000 EUR zu.
Daneben gibt es auch eine Vielzahl von Entscheidungen, die sich klar gegen überbordende Möglichkeiten zur Geltendmachung von Datenschutz-Schadensersatz positionieren. Die Meinungsvielfalt in der aktuellen deutschen Rechtsprechung ist beeindruckend. So hat z.B. der 9. Zivilsenat des OLG Stuttgart klar geurteilt, dass weder aus Art. 82 DS-GVO noch aus der Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 DS-GVO eine Umkehr oder Erleichterung der Beweislast folge. Nur wenig später entschied der 12. Zivilsenat desselben Gerichts, dass Beklagte in Verfahren wegen Ansprüchen nach Art. 82 DS-GVO auf Grund der datenschutzrechtlichen Rechenschaftspflicht nicht nur für die Rechtmäßigkeit der Datenerhebung verantwortlich seien, sondern die Einhaltung der DS-GVO auch nachweisen müssten. Im Ergebnis habe daher der Beklagte nachzuweisen, dass er seine Datenverarbeitungen rechtmäßig betreibe. Gelinge ihm dies nicht, sei von einem Verstoß iSv Art. 82 Abs. 1 DS-GVO auszugehen. Mittlerweile ist auch der EuGH mit der Frage befasst, ob in solchen Verfahren Kläger oder Beklagte DS-GVO-Verstoß, Schaden und Kausalität beweisen müssen (Rs. C-340/21).
In der Praxis wird die Frage der Beweislast künftig wohl über den Ausgang der allermeisten Verfahren um immateriellen Schadensersatz wegen DS-GVO-Verstößen entscheiden.
Ein Paukenschlag des BAG hilft Klägern
Mittlerweile hat sich auch das BAG umfassend mit der Auslegung von Art. 82 DS-GVO befasst. In einem Vorlagebeschluss v. 26.8.2021 hat es dem EuGH einige für die Praxis überaus wichtige Fragen vorgelegt. In der Entscheidung trifft der 8. Senat einige überraschende Aussagen, die der EuGH hoffentlich korrigieren wird. Das BAG geht von einer sehr weiten Auslegung von Art. 82 DS-GVO aus.
Bereits der bloße Verstoß gegen die Vorgaben der DS-GVO solle einen ersatzfähigen immateriellen Schaden begründen. Das BAG verzichtet damit vollständig auf den Nachweis eines konkreten Schadens des Klägers. Bereits der Verstoß selbst solle einen Schaden darstellen. Zudem setze die Haftung nach Art. 82 DS-GVO auch kein schuldhaftes Handeln des Verantwortlichen voraus.
Quelle: Wybitul, Gerichte und Behörden geben Vollgas bei Bußgeldern und Schadensersatz, ZD 2022, 15.
