Was Unternehmen nach der DSGVO beachten müssen: Scha­dens­er­satz in Mil­lio­nen­höhe wegen Feh­lern beim Daten­schutz?

von Tim Wybitul

03.01.2018

Auf Unternehmen kommen hohe Schadensersatzforderungen zu, wenn sie die strengen Anforderungen des neuen Datenschutzrechts nicht richtig umsetzen. Tim Wybitul erklärt, was Manager über den Umgang mit Daten von Kunden oder Mitarbeitern wissen müssen.

Am 25. Mai 2018 endet die Übergangsfrist für die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO). Für Unternehmen, die das neue Datenschutzrecht noch nicht richtig umgesetzt haben, kann es dann teuer werden. Art. 83 DSGVO sieht Bußgelder von bis zu 4 Prozent des globalen Umsatzes vor, großen Konzernen drohen durchaus Milliardenbeträge, je nachdem ob und unter welchen Voraussetzungen die Aufsichtsbehörden für den Datenschutz den von der DSGVO vorgegebenen Bußgeldrahmen tatsächlich ausschöpfen werden.

Doch zu den neuen Risiken gehören nicht nur hohe Bußgelder. Unternehmen drohen auch erhebliche Risiken durch Schadensersatzforderungen. Die DSGVO bringt wichtige Änderungen zum bisherigen Recht. Letztlich sorgt der Gesetzgeber dafür, dass Firmen den Datenschutz umsetzen, indem er es Verbrauchern erleichtert, Unternehmen wegen tatsächlichen oder auch nur vermuteten Fehlern zu verklagen. Denn ab 2018 lohnt es sich für Verbraucher und deren Anwälte finanziell, wenn Unternehmen den neuen Datenschutz nicht richtig umsetzen.

Die DSGVO gilt für jedes Unternehmen, das Daten automatisiert verarbeitet. Also zunächst für alle Firmen mit Kundendatenbanken, Personaldatensystemen oder sonstigen IT-Strukturen. Weitgehend jedes Unternehmen verarbeitet personenbezogene Daten, etwa für Zwecke der Werbung, der Kundepflege, zur Durchführung von Verträgen oder von Beschäftigungsverhältnissen.

Auch für "emotional distress" kann es Geld geben

Was müssen Unternehmen also künftig beachten? Erstens sollten sie sich auf hohe Schadensersatzforderungen allein wegen Datenschutzverstößen einstellen. Zweitens müssen sie künftig nach Art. 24 Abs. 1 DSGVO in der Lage sein, zu beweisen, dass sie beim Datenschutz alles richtig gemacht haben, wenn sie die Haftung vermeiden wollen. Und drittens müssen sie sich auf Verbandsklagen auf Unterlassung einstellen und damit auf eine sehr hohe Anzahl von Gerichtsverfahren. Das kann schon rein logistisch eine große Herausforderung sein.

Genau hier bringt die DSGVO eine ganz wesentliche Neuerung. Bislang mussten Unternehmen nach Fehlern beim Datenschutz nach § 7 Bundesdatenschutzgesetz (BDSG a.F.) lediglich klar bezifferbare Vermögensschäden ersetzen, also etwa Anwaltskosten oder sonstige finanzielle Nachteile. Künftig müssen sie nach Art. 82 Abs. 1 DSGVO auch "immaterielle Schäden" ersetzen.

Juristischer formuliert geht es um die finanzielle Erstattung von Eingriffen in das Persönlichkeitsrecht. In den USA ist das unter dem Stichwort "emotional distress" bereits seit Langem geltendes Recht. Die DSGVO nennt als Beispiel für solche immateriellen Schäden etwa bereits den "Verlust der Kontrolle" über die eigenen Daten. Das ist ein ausgesprochen weiter Schadensbegriff.

Schadensersatz dürfte künftig deutlich höher ausfallen

Im Kern geht es bei Datenschutzverletzungen um Schadensersatz dafür, dass ein Unternehmen die Daten einer Person auf unzulässige Weise verarbeitet oder in sonstiger Weise gegen die strengen Vorgaben der DSGVO verstößt. Häufig werden Unternehmen etwa bei der vorgeschriebenen Unterrichtung betroffener Personen Fehler machen. Oder auch bei den gesetzlich geforderten Löschkonzepten.

Anders als in den USA verurteilten deutsche Gerichte Unternehmen bislang sehr selten wegen solcher sogenannter "Nichtvermögensschäden" zu nennenswerten Schadensersatzzahlungen. Eine Ausnahme davon war der Fall von Altkanzler Helmut Kohl, der für die von Heribert Schwan veröffentlichten "Kohl-Protokolle" ein Rekord-Schmerzensgeld in Höhe von einer Millionen Euro erhielt.

Aber künftig müssen Unternehmen wohl auch bei Klagen von Normalbürgern tiefer in die Tasche greifen. Denn nach der Rechtsprechung des Europäischen Gerichtshofs müssen auch deutsche Gerichte unser nationales Schadensrecht so anwenden, dass es das EU-Recht möglichst wirksam umsetzt. Das ist der sogenannte Effektivitätsgrundsatz. Deswegen wird es voraussichtlich wohl höhere Schadensersatzzahlungen als bisher geben. Das könnte durchaus ähnliche Folgen haben wie die bei Unternehmen gefürchteten US-amerikanischen Strafschadensforderungen, die sogenannten "punitive damages".

Bei Schäden nach der DSGVO kommt aber noch ein anderes Risiko ins Spiel. Denn Datenschutzverstöße sind in der Regel sogenannte Streuschäden. Oft verarbeiten Unternehmen nicht nur die Daten eines Kunden oder Mitarbeiters falsch, sondern meist gleich von allen oder zumindest vielen Betroffenen. Unternehmen müssen sich daher auf Schadensersatzforderungen einstellen, die in der Summe durchaus sehr hoch werden könnten.

Zitiervorschlag

Tim Wybitul, Was Unternehmen nach der DSGVO beachten müssen: Schadensersatz in Millionenhöhe wegen Fehlern beim Datenschutz? . In: Legal Tribune Online, 03.01.2018 , https://www.lto.de/persistent/a_id/26267/ (abgerufen am: 23.04.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 03.01.2018 10:38, Achtung

    Tim Wybitul mal wieder mit einem seiner unjuristischen Werbeaufsätze. Peinlich...

    Auf diesen Kommentar antworten
    • 03.01.2018 11:54, Alle Achtung ...!

      Wer einen besseren Werbeaufsatz hinbekommt, melde sich bei der Redaktion der LTO. Wer keinen schreiben will, lasse es bleiben. Wer keinen lesen will, meide Werbeaufsätze.

    • 03.01.2018 21:53, Tim Wybitul

      Lieber Achtung,

      ein etwas „juristischerer“ Überblick zu dem Thema erscheint nach jetziger Planung in Heft 3/2018 der NJW. Schade, dass Ihnen der LTO-Beitrag hier nicht gefällt. Aber man kann es natürlich nicht allen recht machen. Und der Ansatz hier in der LTO ist ja auch ganz bewusst nicht derselbe wie bei der NJW oder der ZD.

      Viele Grüße

      Tim Wybitul

    • 04.01.2018 17:02, Wilfried Reiners, PRW Rechtsanwälte

      Lieber Achtung,
      schon mal dran gedacht, dass Tim Wybitul hier für LESER der LTO schreibt. Es ist doch klasse, dass die Leser seine Texte verstehen können ohne Juristen sein zu müssen. Und mal ganz unter uns, es gibt doch auch hervorragende Publikationen, wo wir ganz unter uns genießen können. Da staunt der Laie, und der Fachmann wundert sich, wie einfach der Tim Wybitul den Punkt trifft. Danke dafür.
      WR

  • 03.01.2018 11:40, JudexNon

    Werbeaufsatz sicher, was daran jetzt peinlich sein soll erschließt sich mir aber nicht. Er weist auf die Risiken nach geltendem Recht hin. Würde ein Max, Mustermann, WisMi am Lehrstuhl XY auch nicht anders schreiben.

    Auf diesen Kommentar antworten
  • 03.01.2018 15:12, Kalle

    Und, welcher Anwalt aus dem Sozial-, Familien-, Steuer- und Strafrecht hat schon einen Datenschutzbeauftragten ernannt? Ab dem 25.5.18 ist das nach Art. 37 Abs. 1 c) DS-GVO ja Pflicht. Auch für Einzelanwälte. Sich selbst benennen geht übrigens nicht, da man schon Verantwortlicher iSd DS-GVO ist.

    Gabs dazu ne Info von den RAK/BRAK als Berufsvereinigung? Nein, tja schade. Hat sich der Beitrag zur RAK ja richtig gelohnt.

    Auf diesen Kommentar antworten
  • 03.01.2018 15:19, Kalle

    Nutzt ein Anwalt T-Online, Strato oder so für seine Mails? Dann dürfte das problematisch sein. Ohne eigenen Mailserver heute als RA E-Mails zu empfangen oder zu versenden, dürfte im Hinblick auf Art. 28 DS-GVO nicht mehr möglich sein. Es sei denn man bekommt T-Online oder Strato dazu eine Datenvereinbarung zu unterzeichnen.

    Auf diesen Kommentar antworten
    • 03.01.2018 20:41, RA Datenschutz

      Also das Thema Auftragsdatenverarbeitung ist ja nun wirklich nicht neu und übrigen bei fehlender Vereinbarung auch schon jetzt Bußgeldbewehrt. Entsprechend bekommen Sie auch von allen größeren Betreibern eine entsprechende ADV kostenlos zugeschickt. Für Strato z.B. über datenschutz@strato.de

    • 04.01.2018 08:50, Kalle

      @RA Datenschutz: Glauben Sie mir, das Thema Datenschutz war bisher kaum auf dem Schirm bei Kanzleien. Das dürfte sich mit der DS-GVO ändern.

    • 04.01.2018 21:33, NotR

      Gibt doch hier auf LTO auch den ein oder anderen Anwalt, der auf seiner Homepage mit einer gmx.de-Adresse als Kontaktadresse wirbt. Da gmx keinen ADV-Vertrag unterschreibt, erübrigt sich wohl jede Frage danach, wie weit her es mit dem Datenschutz bei Kanzleien ist.

    • 06.01.2018 21:08, Ohje

      Gibt sogar IT-Fachanwälte die kommunizieren über GMAIL: www-rechtsanwaltmoebius-de

      Ich frag mich ja, wie der nen ADV-Vertrag und ne Verschwiegenheitsverpflichtung nach § 2 BORA mit Google vereinbart bekommen hat.

  • 05.01.2018 11:52, AS

    Ich habe mich mit dem Thema bisher nicht beschäftigt, daher zunächst vielen Dank für diese Einführung.
    Allerdings ist mir noch völlig unklar, was Kanzleien jetzt konkret tun müssen. Einen DS-Beauftragten haben wir schon länger. Das dürfte aber wohl nicht reichen. Der sicherste Weg dürfte sein, nicht mehr für natürliche Personen tätig zu sein. Dann verarbeitet man auch keine personenbezogenen Daten. Das kann aber für die meisten Kanzleien eher keine Lösung sein. Hat jemand eine bessere Idee?

    Auf diesen Kommentar antworten
    • 08.01.2018 15:18, Götz Blechschmidt, msecure GmbH

      Ich fürchte, dass Sie auch bei Tätigkeit für juristische Personen der DSGVO unterliegen - dort arbeiten auch Menschen, und mItarbeiter haben Sie evtl. auch. Folgende Schritte kann ich Ihnen empfehlen:
      1. Datenfeldanalyse: Finden Sie heraus, welche Personendaten Sie in welchen Systemen speichern - ohne dieses Wissen haben Sie keine Kontrolle über die Daten
      2. Risikoeinstufung: Bewerten Sie, welche dieser Daten regelmäßig ein "normales" Risiko für die Betroffenen darstellen (z.B. Adress- und Funktionsdaten), und wo wird es hoch bis kritisch wird (z.B. Gesundheitsdaten von Mitarbeitern).
      3. Basis-Sicherheit: Tragen Sie zusammen, was Sie aktuell schon für die IT-Sicherheit tun, z.B.: Sie sichern Ihre Daten regelmäßig und können Sie wiederherstellen (oder ihr Cloud-Anbieter macht das für Sie, mit Servern in Europa); Die von Ihnen genutzten Anwendungen werden regelmäßig aktualisiert; Sie haben aktuelle Sicherheitsmechanismen im Einsatz (Antivirus, Firewall); Sie verschlüsseln Daten (Festplatten, Datei, Kommunikation); Sie haben Verträge mit zuverlässigen Anbietern bei Stör- und Ausfällen.
      4. Dokumentation: Testen Sie in einer "Trockenübung", wie gut Sie Anfragen von Betroffenen oder Aufsichtsbehörden beantworten könnten. Beschreiben Sie das Soll-Vorgehen.
      Füllen Sie die Lücken, vorzugsweise bis 25. Mai :-)

    • 09.01.2018 23:23, AS

      Das sind mal brauchbare Hinweise - herzlichen Dank!

Neuer Kommentar