2/2 Die Beweislast liegt bei den Unternehmen
In einem entsprechenden Schadensersatzprozess müssen Kläger zunächst einmal nachweisen, dass ein Unternehmen ihre personenbezogenen Daten verarbeitet. Das ist einfach, auch weil die DSGVO umfassende Informationspflichten bringt.
Ist das der Fall, müssen die Unternehmen beweisen, dass sie alles richtig gemacht haben. Und das ist in der Praxis sehr schwierig. Einen Verstoß kann man dagegen vergleichsweise leicht beweisen. Das ist ja schließlich ein einzelner Vorgang. Wenn ein Unternehmen dagegen beweisen muss, dass es sämtliche Vorgaben der DSGVO erfüllt hat, braucht es eine umfassende Dokumentation. In einem Schriftsatz ans Gericht sind das schnell Dutzende von Seiten – und ebenso viele Anlagen mit den erforderlichen Prozessbeschreibungen.
Zudem muss es auch technisch in der Lage sein, zu belegen, wie und für welche Zwecke es die Daten eines Klägers oder Beschwerdeführers verarbeitet. In den allermeisten Unternehmen stellt das die IT für enorm hohe Herausforderungen. Gelingt das nicht, können Firmen Gerichtsverfahren allein deshalb verlieren.
Drohen flächendeckende Verfahren?
Datenschutz- oder Verbraucherverbände können sogar ohne Auftrag einer von einem Datenschutzverstoß betroffenen Person Unterlassungsklagen durchsetzen. Zudem könnten Verbraucheranwälte wohl recht offensiv um Mandanten für Schadensersatzklagen werben, wenn ein Gericht einmal festgestellt hat, dass ein Unternehmen Daten nicht nach den Vorgaben des neuen Rechts verarbeitet – oder dies auch nur nicht nachweisen kann.
Was sollten Unternehmen jetzt tun? Viele Unternehmen arbeiten bereits jetzt an großen Projekten zur Umsetzung der Anforderungen der DSGVO. Eines der wichtigen Projektziele sollte dabei auch die Vorbereitung späterer Gerichtsverfahren sein. Firmen sollten bereits jetzt daran denken, die notwendige Dokumentation zu erstellen, die sie künftig für Bußgeldverfahren, Schadensersatzprozesse oder Kündigungsschutzverfahren brauchen. Beispielsweise sollten Sie auch das nach der DSGVO vorgeschriebenen Verarbeitungsverzeichnis gleich so gestalten, dass sie später wichtige Informationen und Dokumente direkt aus dem Verarbeitungsverzeichnis exportieren können. Es kann sogar sinnvoll sein, schon jetzt entsprechende Textbausteine und Anlagen für spätere Schriftsätze vorzubereiten, die dann später in Gerichtsverfahren verwendet werden können.
Welche konkreten Schritte Unternehmen jeweils zur Verringerung von Risiken sollten, hängt allerdings vor allem davon ab, wie umfassend sie die Anforderungen der DSGVO umsetzen können und welche Daten sie für welche Zwecke verarbeiten.
Tim Wybitul ist Partner bei Hogan Lovells in Frankfurt und berät Unternehmen zum Datenschutz.
Tim Wybitul, Was Unternehmen nach der DSGVO beachten müssen: Schadensersatz in Millionenhöhe wegen Fehlern beim Datenschutz? . In: Legal Tribune Online, 03.01.2018 , https://www.lto.de/persistent/a_id/26267/ (abgerufen am: 23.04.2024 )
Infos zum Zitiervorschlag
