Was Unternehmen nach der DSGVO beachten müssen: Scha­dens­er­satz in Mil­lio­nen­höhe wegen Feh­lern beim Daten­schutz?

Am 25. Mai 2018 endet die Übergangsfrist für die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO). Für Unternehmen, die das neue Datenschutzrecht noch nicht richtig umgesetzt haben, kann es dann teuer werden. Art. 83 DSGVO sieht Bußgelder von bis zu 4 Prozent des globalen Umsatzes vor, großen Konzernen drohen durchaus Milliardenbeträge, je nachdem ob und unter welchen Voraussetzungen die Aufsichtsbehörden für den Datenschutz den von der DSGVO vorgegebenen Bußgeldrahmen tatsächlich ausschöpfen werden.

Doch zu den neuen Risiken gehören nicht nur hohe Bußgelder. Unternehmen drohen auch erhebliche Risiken durch Schadensersatzforderungen. Die DSGVO bringt wichtige Änderungen zum bisherigen Recht. Letztlich sorgt der Gesetzgeber dafür, dass Firmen den Datenschutz umsetzen, indem er es Verbrauchern erleichtert, Unternehmen wegen tatsächlichen oder auch nur vermuteten Fehlern zu verklagen. Denn ab 2018 lohnt es sich für Verbraucher und deren Anwälte finanziell, wenn Unternehmen den neuen Datenschutz nicht richtig umsetzen.

Die DSGVO gilt für jedes Unternehmen, das Daten automatisiert verarbeitet. Also zunächst für alle Firmen mit Kundendatenbanken, Personaldatensystemen oder sonstigen IT-Strukturen. Weitgehend jedes Unternehmen verarbeitet personenbezogene Daten, etwa für Zwecke der Werbung, der Kundepflege, zur Durchführung von Verträgen oder von Beschäftigungsverhältnissen.

Auch für "emotional distress" kann es Geld geben

Was müssen Unternehmen also künftig beachten? Erstens sollten sie sich auf hohe Schadensersatzforderungen allein wegen Datenschutzverstößen einstellen. Zweitens müssen sie künftig nach Art. 24 Abs. 1 DSGVO in der Lage sein, zu beweisen, dass sie beim Datenschutz alles richtig gemacht haben, wenn sie die Haftung vermeiden wollen. Und drittens müssen sie sich auf Verbandsklagen auf Unterlassung einstellen und damit auf eine sehr hohe Anzahl von Gerichtsverfahren. Das kann schon rein logistisch eine große Herausforderung sein.

Genau hier bringt die DSGVO eine ganz wesentliche Neuerung. Bislang mussten Unternehmen nach Fehlern beim Datenschutz nach § 7 Bundesdatenschutzgesetz (BDSG a.F.) lediglich klar bezifferbare Vermögensschäden ersetzen, also etwa Anwaltskosten oder sonstige finanzielle Nachteile. Künftig müssen sie nach Art. 82 Abs. 1 DSGVO auch "immaterielle Schäden" ersetzen.

Juristischer formuliert geht es um die finanzielle Erstattung von Eingriffen in das Persönlichkeitsrecht. In den USA ist das unter dem Stichwort "emotional distress" bereits seit Langem geltendes Recht. Die DSGVO nennt als Beispiel für solche immateriellen Schäden etwa bereits den "Verlust der Kontrolle" über die eigenen Daten. Das ist ein ausgesprochen weiter Schadensbegriff.

Schadensersatz dürfte künftig deutlich höher ausfallen

Im Kern geht es bei Datenschutzverletzungen um Schadensersatz dafür, dass ein Unternehmen die Daten einer Person auf unzulässige Weise verarbeitet oder in sonstiger Weise gegen die strengen Vorgaben der DSGVO verstößt. Häufig werden Unternehmen etwa bei der vorgeschriebenen Unterrichtung betroffener Personen Fehler machen. Oder auch bei den gesetzlich geforderten Löschkonzepten.

Anders als in den USA verurteilten deutsche Gerichte Unternehmen bislang sehr selten wegen solcher sogenannter "Nichtvermögensschäden" zu nennenswerten Schadensersatzzahlungen. Eine Ausnahme davon war der Fall von Altkanzler Helmut Kohl, der für die von Heribert Schwan veröffentlichten "Kohl-Protokolle" ein Rekord-Schmerzensgeld in Höhe von einer Millionen Euro erhielt.

Aber künftig müssen Unternehmen wohl auch bei Klagen von Normalbürgern tiefer in die Tasche greifen. Denn nach der Rechtsprechung des Europäischen Gerichtshofs müssen auch deutsche Gerichte unser nationales Schadensrecht so anwenden, dass es das EU-Recht möglichst wirksam umsetzt. Das ist der sogenannte Effektivitätsgrundsatz. Deswegen wird es voraussichtlich wohl höhere Schadensersatzzahlungen als bisher geben. Das könnte durchaus ähnliche Folgen haben wie die bei Unternehmen gefürchteten US-amerikanischen Strafschadensforderungen, die sogenannten "punitive damages".

Bei Schäden nach der DSGVO kommt aber noch ein anderes Risiko ins Spiel. Denn Datenschutzverstöße sind in der Regel sogenannte Streuschäden. Oft verarbeiten Unternehmen nicht nur die Daten eines Kunden oder Mitarbeiters falsch, sondern meist gleich von allen oder zumindest vielen Betroffenen. Unternehmen müssen sich daher auf Schadensersatzforderungen einstellen, die in der Summe durchaus sehr hoch werden könnten.