Was Unternehmen nach der DSGVO beachten müssen: Scha­dens­er­satz in Mil­lio­nen­höhe wegen Feh­lern beim Daten­schutz?

von Tim Wybitul

03.01.2018

2/2 Die Beweislast liegt bei den Unternehmen

In einem entsprechenden Schadensersatzprozess müssen Kläger zunächst einmal nachweisen, dass ein Unternehmen ihre personenbezogenen Daten verarbeitet. Das ist einfach, auch weil die DSGVO umfassende Informationspflichten bringt.

Ist das der Fall, müssen die Unternehmen beweisen, dass sie alles richtig gemacht haben. Und das ist in der Praxis sehr schwierig. Einen Verstoß kann man dagegen vergleichsweise leicht beweisen. Das ist ja schließlich ein einzelner Vorgang. Wenn ein Unternehmen dagegen beweisen muss, dass es sämtliche Vorgaben der DSGVO erfüllt hat, braucht es eine umfassende Dokumentation. In einem Schriftsatz ans Gericht sind das schnell Dutzende von Seiten – und ebenso viele Anlagen mit den erforderlichen Prozessbeschreibungen.

Zudem muss es auch technisch in der Lage sein, zu belegen, wie und für welche Zwecke es die Daten eines Klägers oder Beschwerdeführers verarbeitet. In den allermeisten Unternehmen stellt das die IT für enorm hohe Herausforderungen. Gelingt das nicht, können Firmen Gerichtsverfahren allein deshalb verlieren.

Drohen flächendeckende Verfahren?

Datenschutz- oder Verbraucherverbände können sogar ohne Auftrag einer von einem Datenschutzverstoß betroffenen Person Unterlassungsklagen durchsetzen. Zudem könnten Verbraucheranwälte wohl recht offensiv um Mandanten für Schadensersatzklagen werben, wenn ein Gericht einmal festgestellt hat, dass ein Unternehmen Daten nicht nach den Vorgaben des neuen Rechts verarbeitet – oder dies auch nur nicht nachweisen kann.

Was sollten Unternehmen jetzt tun? Viele Unternehmen arbeiten bereits jetzt an großen Projekten zur Umsetzung der Anforderungen der DSGVO. Eines der wichtigen Projektziele sollte dabei auch die Vorbereitung späterer Gerichtsverfahren sein. Firmen sollten bereits jetzt daran denken, die notwendige Dokumentation zu erstellen, die sie künftig für Bußgeldverfahren, Schadensersatzprozesse oder Kündigungsschutzverfahren brauchen. Beispielsweise sollten Sie auch das nach der DSGVO vorgeschriebenen Verarbeitungsverzeichnis gleich so gestalten, dass sie später wichtige Informationen und Dokumente direkt aus dem Verarbeitungsverzeichnis exportieren können. Es kann sogar sinnvoll sein, schon jetzt entsprechende Textbausteine und Anlagen für spätere Schriftsätze vorzubereiten, die dann später in Gerichtsverfahren verwendet werden können.

Welche konkreten Schritte Unternehmen jeweils zur Verringerung von Risiken sollten, hängt allerdings vor allem davon ab, wie umfassend sie die Anforderungen der DSGVO umsetzen können und welche Daten sie für welche Zwecke verarbeiten.

Tim Wybitul ist Partner bei Hogan Lovells in Frankfurt und berät Unternehmen zum Datenschutz.

Zitiervorschlag

Tim Wybitul, Was Unternehmen nach der DSGVO beachten müssen: Schadensersatz in Millionenhöhe wegen Fehlern beim Datenschutz? . In: Legal Tribune Online, 03.01.2018 , https://www.lto.de/persistent/a_id/26267/ (abgerufen am: 15.08.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 03.01.2018 10:38, Achtung

    Tim Wybitul mal wieder mit einem seiner unjuristischen Werbeaufsätze. Peinlich...

    Auf diesen Kommentar antworten
    • 03.01.2018 11:54, Alle Achtung ...!

      Wer einen besseren Werbeaufsatz hinbekommt, melde sich bei der Redaktion der LTO. Wer keinen schreiben will, lasse es bleiben. Wer keinen lesen will, meide Werbeaufsätze.

    • 03.01.2018 21:53, Tim Wybitul

      Lieber Achtung,

      ein etwas „juristischerer“ Überblick zu dem Thema erscheint nach jetziger Planung in Heft 3/2018 der NJW. Schade, dass Ihnen der LTO-Beitrag hier nicht gefällt. Aber man kann es natürlich nicht allen recht machen. Und der Ansatz hier in der LTO ist ja auch ganz bewusst nicht derselbe wie bei der NJW oder der ZD.

      Viele Grüße

      Tim Wybitul

    • 04.01.2018 17:02, Wilfried Reiners, PRW Rechtsanwälte

      Lieber Achtung,
      schon mal dran gedacht, dass Tim Wybitul hier für LESER der LTO schreibt. Es ist doch klasse, dass die Leser seine Texte verstehen können ohne Juristen sein zu müssen. Und mal ganz unter uns, es gibt doch auch hervorragende Publikationen, wo wir ganz unter uns genießen können. Da staunt der Laie, und der Fachmann wundert sich, wie einfach der Tim Wybitul den Punkt trifft. Danke dafür.
      WR

  • 03.01.2018 11:40, JudexNon

    Werbeaufsatz sicher, was daran jetzt peinlich sein soll erschließt sich mir aber nicht. Er weist auf die Risiken nach geltendem Recht hin. Würde ein Max, Mustermann, WisMi am Lehrstuhl XY auch nicht anders schreiben.

    Auf diesen Kommentar antworten
  • 03.01.2018 15:12, Kalle

    Und, welcher Anwalt aus dem Sozial-, Familien-, Steuer- und Strafrecht hat schon einen Datenschutzbeauftragten ernannt? Ab dem 25.5.18 ist das nach Art. 37 Abs. 1 c) DS-GVO ja Pflicht. Auch für Einzelanwälte. Sich selbst benennen geht übrigens nicht, da man schon Verantwortlicher iSd DS-GVO ist.

    Gabs dazu ne Info von den RAK/BRAK als Berufsvereinigung? Nein, tja schade. Hat sich der Beitrag zur RAK ja richtig gelohnt.

    Auf diesen Kommentar antworten
  • 03.01.2018 15:19, Kalle

    Nutzt ein Anwalt T-Online, Strato oder so für seine Mails? Dann dürfte das problematisch sein. Ohne eigenen Mailserver heute als RA E-Mails zu empfangen oder zu versenden, dürfte im Hinblick auf Art. 28 DS-GVO nicht mehr möglich sein. Es sei denn man bekommt T-Online oder Strato dazu eine Datenvereinbarung zu unterzeichnen.

    Auf diesen Kommentar antworten
    • 03.01.2018 20:41, RA Datenschutz

      Also das Thema Auftragsdatenverarbeitung ist ja nun wirklich nicht neu und übrigen bei fehlender Vereinbarung auch schon jetzt Bußgeldbewehrt. Entsprechend bekommen Sie auch von allen größeren Betreibern eine entsprechende ADV kostenlos zugeschickt. Für Strato z.B. über datenschutz@strato.de

    • 04.01.2018 08:50, Kalle

      @RA Datenschutz: Glauben Sie mir, das Thema Datenschutz war bisher kaum auf dem Schirm bei Kanzleien. Das dürfte sich mit der DS-GVO ändern.

    • 04.01.2018 21:33, NotR

      Gibt doch hier auf LTO auch den ein oder anderen Anwalt, der auf seiner Homepage mit einer gmx.de-Adresse als Kontaktadresse wirbt. Da gmx keinen ADV-Vertrag unterschreibt, erübrigt sich wohl jede Frage danach, wie weit her es mit dem Datenschutz bei Kanzleien ist.

    • 06.01.2018 21:08, Ohje

      Gibt sogar IT-Fachanwälte die kommunizieren über GMAIL: www-rechtsanwaltmoebius-de

      Ich frag mich ja, wie der nen ADV-Vertrag und ne Verschwiegenheitsverpflichtung nach § 2 BORA mit Google vereinbart bekommen hat.

  • 05.01.2018 11:52, AS

    Ich habe mich mit dem Thema bisher nicht beschäftigt, daher zunächst vielen Dank für diese Einführung.
    Allerdings ist mir noch völlig unklar, was Kanzleien jetzt konkret tun müssen. Einen DS-Beauftragten haben wir schon länger. Das dürfte aber wohl nicht reichen. Der sicherste Weg dürfte sein, nicht mehr für natürliche Personen tätig zu sein. Dann verarbeitet man auch keine personenbezogenen Daten. Das kann aber für die meisten Kanzleien eher keine Lösung sein. Hat jemand eine bessere Idee?

    Auf diesen Kommentar antworten
    • 08.01.2018 15:18, Götz Blechschmidt, msecure GmbH

      Ich fürchte, dass Sie auch bei Tätigkeit für juristische Personen der DSGVO unterliegen - dort arbeiten auch Menschen, und mItarbeiter haben Sie evtl. auch. Folgende Schritte kann ich Ihnen empfehlen:
      1. Datenfeldanalyse: Finden Sie heraus, welche Personendaten Sie in welchen Systemen speichern - ohne dieses Wissen haben Sie keine Kontrolle über die Daten
      2. Risikoeinstufung: Bewerten Sie, welche dieser Daten regelmäßig ein "normales" Risiko für die Betroffenen darstellen (z.B. Adress- und Funktionsdaten), und wo wird es hoch bis kritisch wird (z.B. Gesundheitsdaten von Mitarbeitern).
      3. Basis-Sicherheit: Tragen Sie zusammen, was Sie aktuell schon für die IT-Sicherheit tun, z.B.: Sie sichern Ihre Daten regelmäßig und können Sie wiederherstellen (oder ihr Cloud-Anbieter macht das für Sie, mit Servern in Europa); Die von Ihnen genutzten Anwendungen werden regelmäßig aktualisiert; Sie haben aktuelle Sicherheitsmechanismen im Einsatz (Antivirus, Firewall); Sie verschlüsseln Daten (Festplatten, Datei, Kommunikation); Sie haben Verträge mit zuverlässigen Anbietern bei Stör- und Ausfällen.
      4. Dokumentation: Testen Sie in einer "Trockenübung", wie gut Sie Anfragen von Betroffenen oder Aufsichtsbehörden beantworten könnten. Beschreiben Sie das Soll-Vorgehen.
      Füllen Sie die Lücken, vorzugsweise bis 25. Mai :-)

    • 09.01.2018 23:23, AS

      Das sind mal brauchbare Hinweise - herzlichen Dank!

  • 22.05.2018 21:14, Karina Hesse

    Die neue <a href="https://urteile-gesetze.de/dsgvo">DSGVO</a> verlangt den Betreibern von Webseiten einiges an technischem Verständnis ab: Beispielsweise die <a href="https://support.google.com/analytics/answer/2763052?hl=de">Anonymisierung eines Google-Analytics-Kontos</a> oder dynamische HTML-Overlays, die es erlauben das Tracking von Benutzerdaten zu deaktivieren, sind nur mit Spezialkenntnissen umsetzbar. Auch das dynamische Laden von Google-Schriftarten oder das Einbinden von Videos über gängige Plattformen kann DSGVO-relevant sein. Da frage ich mich, ob den Entscheidungsträgern bewusst war, wie technisch anspruchsvoll die Lösungen zur Umsetzung sind.

    Auf diesen Kommentar antworten
Neuer Kommentar