Schadensersatz wegen Datenschutzverstoß: Neues Geschäftsmodell für die Abmahnindustrie

Nachdem die zunächst befürchtete Welle von Abmah­nungen wegen Datenschutzverstößen ausgeblieben ist und Bußgeldbescheide von Gerichten deutlich reduziert wurden, rückt ein anderes Risiko zuneh­mend in den Vordergrund: Der Anspruch von Betrof­fenen auf Schadensersatz bei Datenschutzverstößen des Unternehmens nach Art. 82 DS­GVO, der jetzt auch den Ersatz von immateriellem Schaden umfasst.
Die Zahl der angemeldeten Ansprüche nach die­ser Norm ist, gemessen an der steigenden Zahl von Gerichtsentscheidungen zu diesem Thema, in den letzten Monaten stark gestiegen. Zum überwiegenden Teil ist die Spruchpraxis zwar bisher restriktiv und fordert den Nachweis eines konkreten Schadens auch bei immateriellen Schäden. Die meisten Klagen wur­den abgewiesen, im Übrigen immaterieller Schadens­ersatz in der Regel nur in einer Spanne zwischen EUR 300,00 und EUR 1.500,00 zugebilligt.

Zunehmend wird allerdings auch eine weitere Auslegung vertreten. Das Arbeitsgericht Düsseldorf etwa sprach im Falle einer unvollständigen und ver­späteten Auskunft nach Art. 15 DS­GVO eine Summe in Höhe von EUR 5.000,00 zu, obwohl kein konkreter immaterieller Schaden dargelegt war, und stellte zur Bemessung der Schadenshöhe auf die erforderliche Abschreckungsfunktion und die Leistungsfähigkeit des Schuldners ab (Urteil vom 5. März 2020, Az.: 9 Ca 6557/18). Vor dem Hintergrund, dass ein einziger Datenschutzverstoß eine Vielzahl von geschädigten Personen betreffen kann, können so hohe Schadens­summen auf Unternehmen zukommen. Eine höchst­richterliche Rechtsprechung steht allerdings noch aus.

Vor kurzem wurde ein Geschäftsmodell bekannt, bei dem unter Aufbau einer Drohkulisse Verantwort­liche zur Zahlung eines immateriellen Schadenser­satzes in vierstelliger Höhe sowie zur Erstattung der angeblich entstandenen Rechtsanwaltskosten bewegt werden sollen. Privatpersonen stellen in diesem Zusammenhang auf der Website des Unternehmens eine Anfrage über ein Kontaktformular oder abon­nieren einen Newsletter, beantragen kurze Zeit spä­ter Auskunft über gespeicherte Daten und verlangen Löschung ihrer Daten.

Folgende Maßnahmen zur Risikominimierung werden empfohlen:

Verantwortliche sollten alle Unternehmens­bereiche sensibilisieren, mögliche Kommunikations­kanäle im Unternehmen identifizieren und über den bei Betroffenenbegehren einzuhaltenden Eskalations­prozess informieren.

Bei Erhalt von Betroffenenbegehren sollte das Unternehmen reagieren und ggf. das Bestehen des Anspruchs sachlich begründet bestreiten. Die Reakti­on sollte einem strukturierten Ablauf folgen.

Die betrieblichen Prozesse zur Erkennung und Bearbeitung von Betroffenenbegehren sollten einem Belastungstest unterzogen werden.Unternehmensbereiche mit hohen Daten­schutzrisiken sollten überprüft werden.

FAZIT

• Berechtigte Schadensersatzansprüche von Betrof­fenen nach Art. 82 DS­GVO stellen ein bisher unter­schätztes Risiko für Unternehmen dar.
• Die Gefahr von missbräuchlichen Betroffenenbegeh­ren im Zuge von aus der Abmahnindustrie entlehn­ten Geschäftsmodellen steigt.
• Unternehmen können durch gezielte Maßnahmen, insbesondere Überprüfung der betrieblichen Prozesse zur Wahrung von Betroffenenrechten, diesen Risiken vorbeugen.