Nachdem die zunächst befürchtete Welle von Abmahnungen wegen Datenschutzverstößen ausgeblieben ist und Bußgeldbescheide von Gerichten deutlich reduziert wurden, rückt ein anderes Risiko zunehmend in den Vordergrund: Der Anspruch von Betroffenen auf Schadensersatz bei Datenschutzverstößen des Unternehmens nach Art. 82 DSGVO, der jetzt auch den Ersatz von immateriellem Schaden umfasst.
Die Zahl der angemeldeten Ansprüche nach dieser Norm ist, gemessen an der steigenden Zahl von Gerichtsentscheidungen zu diesem Thema, in den letzten Monaten stark gestiegen. Zum überwiegenden Teil ist die Spruchpraxis zwar bisher restriktiv und fordert den Nachweis eines konkreten Schadens auch bei immateriellen Schäden. Die meisten Klagen wurden abgewiesen, im Übrigen immaterieller Schadensersatz in der Regel nur in einer Spanne zwischen EUR 300,00 und EUR 1.500,00 zugebilligt.
Zunehmend wird allerdings auch eine weitere Auslegung vertreten. Das Arbeitsgericht Düsseldorf etwa sprach im Falle einer unvollständigen und verspäteten Auskunft nach Art. 15 DSGVO eine Summe in Höhe von EUR 5.000,00 zu, obwohl kein konkreter immaterieller Schaden dargelegt war, und stellte zur Bemessung der Schadenshöhe auf die erforderliche Abschreckungsfunktion und die Leistungsfähigkeit des Schuldners ab (Urteil vom 5. März 2020, Az.: 9 Ca 6557/18). Vor dem Hintergrund, dass ein einziger Datenschutzverstoß eine Vielzahl von geschädigten Personen betreffen kann, können so hohe Schadenssummen auf Unternehmen zukommen. Eine höchstrichterliche Rechtsprechung steht allerdings noch aus.
Vor kurzem wurde ein Geschäftsmodell bekannt, bei dem unter Aufbau einer Drohkulisse Verantwortliche zur Zahlung eines immateriellen Schadensersatzes in vierstelliger Höhe sowie zur Erstattung der angeblich entstandenen Rechtsanwaltskosten bewegt werden sollen. Privatpersonen stellen in diesem Zusammenhang auf der Website des Unternehmens eine Anfrage über ein Kontaktformular oder abonnieren einen Newsletter, beantragen kurze Zeit später Auskunft über gespeicherte Daten und verlangen Löschung ihrer Daten.
Folgende Maßnahmen zur Risikominimierung werden empfohlen:
Verantwortliche sollten alle Unternehmensbereiche sensibilisieren, mögliche Kommunikationskanäle im Unternehmen identifizieren und über den bei Betroffenenbegehren einzuhaltenden Eskalationsprozess informieren.
Bei Erhalt von Betroffenenbegehren sollte das Unternehmen reagieren und ggf. das Bestehen des Anspruchs sachlich begründet bestreiten. Die Reaktion sollte einem strukturierten Ablauf folgen.
Die betrieblichen Prozesse zur Erkennung und Bearbeitung von Betroffenenbegehren sollten einem Belastungstest unterzogen werden.Unternehmensbereiche mit hohen Datenschutzrisiken sollten überprüft werden.
FAZIT