Viele Unternehmerinnen und Unternehmer sind durch die neuen extrem hohen Bußgelder der neuen DSGVO verunsichert und übersehen dadurch nicht selten, dass insbesondere auch das Risiko möglicher Schadensersatzansprüche ebenfalls sehr gestiegen ist. Das könnte sich als fataler Fehler und als kaum noch überschaubares Risiko für die Unternehmen entwickeln.

Nicht nur, dass potenzielle Kläger auch einen Ersatz für immaterielle Schäden fordern können ist insbesondere die nun wohl sehr viel ungünstigere Beweislast ein wichtiges und unbedingt zu berücksichtigendes Aufgabenfeld. Daneben sollte auch bedacht werden, dass es nun auch Verbraucheranwälten und Arbeitnehmervertretern möglich ist, durch z.B. Sammelklagen auch eigentlich jeweils nur kleinere Ansprüche insgesamt durchzusetzen. Die Summe der dann von den Unternehmen zu zahlenden Gesamtansprüche kann jedoch schnell sehr hoch sein.

Diese Risiken sollten vermeiden werden und dafür ist es dringend erforderlich, dass bereits im Vorfeld, also bei der gesamten tatsächlichen, technischen und rechtlichen Prüfung aller datenschutzrechtliche relevanten Prozesse im eigenen Unternehmen und bei dann ggf. erforderlichen Neustrukturierungen und Dokumentationen diese Aufgaben vollumfänglich mit berücksichtigt werden.

 

Voraussetzungen

Gemäß Art. 82 Abs. 1 DSGVO kann jeder Verstoß gegen die Verordnung einen Schadensersatzanspruch durch die betroffene Person begründen. Bereits hier ist größte Vorsicht geboten, denn neben den eigentlichen Verstößen gegen die „Regeln“ der DSGVO sind hier wohl auch Verstöße gegen z.B. die Informationspflichten, die Dokumentationspflichten oder auch Löschungspflichten als Anspruchsgrundlage ebenfalls heranziehbar. Allein dies macht deutlich, wie weit die bei der Umsetzung der Vorgaben der DSGVO zu beachtenden Grundsätze auch insbesondere in diesen Risikobereich mit hineinspielen können.

 

Achtung: Beweislastumkehr

Bislang war es so, dass grundsätzlich der Anspruchsteller selbst erst einmal etwaige Verstöße gegen datenschutzrechtliche Vorgaben darlegen und beweisen musste, was vielen Personen die Geltendmachung in der Vergangenheit erheblich erschwerten und den Unternehmen große Vorteile bot.

Die DSGVO hat nun jedoch die sog. „Rechenschaftspflicht“ eingeführt, was in der Praxis nun wohl zu einer Beweislastumkehr führen könnte, die dann erhebliche Auswirkungen für die Unternehmen mit sich bringen.

Der Verantwortliche muss nun gemäß Art. 5 Abs. 2 und Art 24 Abs. 1 DSGVO nachweisen können, dass er alle Vorgaben der Verordnung eingehalten hat. Daraus wird in Fachkreisen aktuell geschlossen, dass somit wohl auch eine Beweislastumkehr gefordert wird, die dann dazu führen könnte, dass Unternehmen also praktisch die gesamten datenschutzrechtlichen Prozesse umfassend dokumentiert jederzeit vorlegen können müssen. Aus diesen muss dann möglichst zweifelsfrei nachweisbar sein, dass die Vorgaben eingehalten wurden. Insofern können also Fehler oder Unzulänglichkeiten bei der Gestaltung der Prozesse im Nachhinein zu katastrophalen Folgen führen, wenn z.B. mehrere betroffene Personen Schadenersatzansprüche geltend machen. Es wird in diesem Zusammenhang sogar die Ansicht vertreten, dass sogar datenschutzrechtliche Zertifizierungen oder auch z.B. entsprechende Audits alleine u.U. nicht ausreichend sein sollen.

Ob eine solche harte Umkehr von der grundsätzlichen Beweislast durch die Gerichte bestätigt wird, ist noch offen. Dennoch sollten die Unternehmen zur präventiven Risikovermeidung durch eine schnelle und umfassende Anpassung der eigenen Prozesse darauf vorbereitet sein, denn diese weite Auslegung der Rechenschaftspflicht erscheint nicht unwahrscheinlich.

Nur der Ordnung halber muss auch in diesem Kontext darauf hingewiesen werden, dass als Anspruchsgegner für Schadensersatzansprüche nicht nur der Verantwortliche selbst, sondern auch dessen Auftragsverarbeiter in Betracht kommt. Hierdurch wird in der Praxis der mögliche Kreis von Anspruchsgegner tatsächlich und rechtlich erheblich vergrößert. Zudem gilt dann: Kann ein Verstoß dem Verantwortlichen und dem Auftragsverarbeiter zugerechnet werden, haften nun sogar beide gegenüber der betroffenen Person als sog. Gesamtschuldner auf den vollen Schadensersatz (siehe auch Art. 82 Abs. 4 DSGVO).

 

Ersatz von materiellen und immateriellen Schäden

Im Gegensatz zum Bundesdatenschutzgesetz (BDSG) gibt die DSGVO den betroffenen Personen nun die Möglichkeit materielle und sogar immaterielle Schäden (z.B. wegen einer Verletzung des allg. Persönlichkeitsrechts) geltend zu machen.

 

Materieller Schaden

Der Verletzer muss Schadensersatz für alle zurechenbare Nachteile leisten, die die geschädigte Person an rechtlichen geschützten Gütern erleiden musste. Hier sind neben den eigentlichen Schäden z.B. auch der entgangene Gewinn, aber auch alle unmittelbaren, mittelbaren, schon aktuellen oder erst zukünftigen Einbußen mit umfasst. Wichtig ist auch, dass dies nicht nur bei Schäden der unmittelbar betroffenen Personen, sondern auch bei den Schäden von nur mittelbar betroffenen in Betracht kommt.

 

Immaterieller Schaden

Während die materiellen Schäden in der Praxis eher weniger von Bedeutung sein werden, stellt die nun neu eingefügte Möglichkeit zur Geltendmachung von immateriellen Schäden ein von den Unternehmen dringend zu beachtendes und präventiv zu berücksichtigendes Risiko dar.

Die betroffene Person kann ihre Beeinträchtigungen ihres Rechts auf Schutz ihrer sie betreffenden personenbezogenen Daten und damit auch eine mögliche Verletzung ihres Grundrechts auf informationelle Selbstbestimmung geltend machen.

Noch herrscht Unklarheit darüber, wie hoch ein solcher Ersatzanspruch sein kann. Dies ist noch nicht abschließend geklärt, dennoch kann und muss man davon ausgehen, dass die Gerichte dabei die gesamten Handlungen der Unternehmen zur Erreichung der eigenen datenschutzrechtlichen Schutzziele und die gesamten Aktivitäten bei der Umsetzung der Vorgaben der DSGVO mit berücksichtigen werden, wenn es um die Bewertung und Bemessung der Höhe gehen wird. Jedes Unternehmen, das bereits hier Defizite hat, wird dann ggf. von diesen im Rahmen jedes geltend gemachten Schadensersatzanspruchs betroffener Personen unsanft „eingeholt“.

Empfehlung

Die Unternehmen (und Vereine) müssen die gesamten Vorgaben der DSGVO beachten und umsetzen. Diese Verpflichtungen treffen sie nicht nur im Außenverhältnis, sondern insbesondere auch im Innenverhältnis zu den eigene Mitarbeiterinnen und Mitarbeiter („Beschäftigtendatenschutz“).

Es empfiehlt sich daher nicht nur in Bezug auf drohende Abmahnungen, Klagen oder Bußgelder, sondern insbesondere auch im Hinblick auf mögliche Schadensersatzansprüche von betroffenen Personen (oder Mitarbeiterinnen und Mitarbeiter) diese Aufgaben auch aus dieser Sicht heraus sehr ernst zu nehmen und eine entsprechend lückenlose Dokumentation so vorzuhalten, dass diese jederzeit zum Nachweis des eigenen rechtmäßigen Handelns vorgelegt werden kann.

Es gilt hier insbesondere auch zu bedenken, dass es auch zur Geltendmachung gleich mehrerer Hundert oder sogar Tausender Ansprüche durch jeweils betroffene Personen kommen kann, wenn und soweit sich z.B. eine Verletzung auf eine Vielzahl von Kunden (Mitglieder) oder Mitarbeiterinnen und Mitarbeiter auswirken kann. Dies ist bei der heute in der Regel anzutreffenden umfangreichen Datenverarbeitung nicht selten der Fall.