Datenpanne - Bußgeld - Schadenersatz nach DSGVO

HMDATA Datenschutz-Newsletter 04/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Traurige Berühmtheit erlangte der Schadenersatz nach Art. 82 DSGVO durch die Abmahnungen rund um den Einsatz der sog. Google-Fonts auf WebSites durch in betrügerischer Absicht handelnde Rechtsanwälte.
Mittlerweile ist gerade zum Glück die Staatsanwaltschaft mit den Fällen beauftragt und hat bereits Verfahren wegen Betruges eingeleitet und Konten eingefroren.

Man kann also hervorragend durch Prävention und Sensibilisierung eine Cyber-Schutzmauer aufbauen, die den gängigen Cyber-Attacken Stand hält. Letztlich wissen aber alle, dass es eine 100%ige Sicherheit nicht gegeben kann, vor allem nicht aus betriebswirtschaftlicher Sicht.

Und somit kommt zwangsläufig: die Datenpanne.

Übrig bleibt allerdings die Erkenntnis, dass Betroffene nach Art. 82 DSGVO sehr wohl einen Schadenersatzanspruch direkt gegenüber Unternehmen stellen können, die der Verantwortung im sicheren Umgang mit Kundendaten nicht gerecht wurden.

In Art. 82 Abs. 1 DSGVO heißt es hierzu:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die anderen Voraussetzungen, dass es sich beim Anspruchsteller um eine natürlich Person handeln muss und dass Gegenstand des Schadenersatzes immer ein schuldhafter Verstoß gegen die Pflichten der DSGVO vorliegen muss, sind einsichtig. Zudem ist zu beachten, dass eine Schadenersatzforderung immer kumulativ zu einem möglichen Bußgeld zu bewerten ist.

Was heißt das für mein Unternehmen?

Und hier zeigt sich dann, warum mögliche Schadenersatzforderungen von jedem Unternehmen ernst zu nehmen sind:
Zusätzlich zum Bußgeld kommt eine mögliche Schadenersatzforderung hinzu. Und das für jeden Einzelfall. Hat man also eine Schadenersatzforderung eines Einzelnen aus einer Datenpanne mit 1.000 weiteren Datensätzen multipliziert sich der Schadenersatz sofort trotz geringen Schadenersatzes im Einzelfall in unternehmenskritische Höhen. Das Bußgeld nach Art. 83 Abs. 4f DSGVO ist immer limitiert auf max. 4% des weltweiten Jahresumsatzes im schlimmsten Fall, Schadenersatzforderungen kennen hier keine Obergrenze.
Die Varianz der bisher verhängten typischen Schadenersatzforderungen wegen immateriell erlittenen Schäden ist beträchtlich, bisherige Urteile beziffern Forderungen zwischen 100 und 2.500 Euro.
Es gibt also durchaus verschieden diskutierte Ansichten, wie hoch der immaterielle Schaden zu bewerten ist und ob mit der Schadenersatzforderung auch eine Sanktionsfunktion gegen das Unternehmen erteilt werden soll.

Welche Schadenersatzforderungen wurden bisher gegen Unternehmen verhängt?

Bekannte gerichtlich verhängte Schadenersatzforderungen wurden bspw. wegen ungeeigneter Technisch-Organisatorischer Maßnahmen zum Schutz der Kundendaten mit 2.500 Euro, unbegründete verspätete Auskunft nach Art. 15 DSGVO mit 500 Euro oder eine vorsätzlich unvollständige Auskunft nach Art. 15 DSGVO mit 1.000 Euro bewertet.
Da jeder Betroffene das Recht auf Schadenersatz einzeln gegenüber dem Unternehmen geltend machen kann, stellen Datenpannen mit sehr vielen Kundendaten möglicherweise ein existenzielles Risiko für Betriebe dar.

Was kann ich tun?

Da zu einer Schadenersatzforderung immer ein Verschulden des Unternehmens im Sinne eines Verstoßes gegen die DSGVO vorliegen muss, ist es ziemlich leicht, präventiv vorzubeugen: einfach DSGVO-Compliance einhalten.
Typischerweise lässt sich die Prävention aber viel leichter betreiben, wenn man die bisherigen Fälle betrachtet: sinnvolle Technische-Organisatorische Maßnahmen (bspw. IT-Sicherheit und Mitarbeitersensibilisierungen) evaluieren und umsetzen und die Rechte der Betroffenen ernst nehmen. Also wie immer: vertrauensvoller und seriöser Umgang mit Kundendaten.