Schadenersatzklagen nach der DSGVO: Ohne Vorbeugung drohen hohe Kosten

Am 25. Mail 2018 beginnt für die deutsche Datenschutzgesetzgebung und die Unternehmen, Institutionen und Organisationen, die sie einhalten müssen, eine neue Ära: Dann wird die europäische DSGVO (Datenschutzgrundverordnung) geltendes Recht auch in Deutschland und ersetzt weitgehend die Regelungen des bisher geltenden BDSG (Bundesdatenschutzgesetzes).

Alle Unternehmen, die in irgendeiner Form personenbezogene Daten verarbeiten, sind sämtlich verpflichtet, die Regeln der DSGVO einzuhalten. Ausnahmen dürfte es kaum geben, denn welche Firma verfügt nicht wenigstens über eine Kundenliste, verschickt Newsletter an Interessenten oder arbeitet sonst in irgendeiner Weise mit Adressdaten von Menschen und Institutionen?

Im Rahmen der bevorstehenden Änderungen gelten zukünftig auch in Hinblick auf mögliche Schadenersatzklagen veränderte Spielregeln, die Unternehmen, die der DSGVO unterliegen, kennen und auf die sie sich einstellen müssen. Die wohl wichtigste Änderung: Der Schadenersatzanspruch der DSGVO nach Art. 82 Abs. 1  wurde erheblich ausgeweitet. Er steht jetzt jeder Person, aber auch Organisationen zu, der wegen eines Verstoßes gegen die DSGVO ein materieller oder – und auch das ist neu – immaterieller Schaden entstanden ist.

Immaterielle Schäden können Schadenersatzpflichten auslösen

Um einen Schadenersatz einklagen zu können, ist also in Zukunft kein  bezifferbarer materieller Schaden mehr erforderlich, wie das bisher § 7 BDSG bisher vorsah. Es reichen vielmehr immaterielle Schäden und auch Rufschädigungen. Zum Beispiel das emotionale Missbefinden, das Leid oder der Stress, der einem oder einer Betroffenen durch eine behauptete Datenschutzverletzung eines Akteurs, etwa eines Unternehmens, aber auch eines Vereines oder einer staatlichen Stelle, entstanden ist. Oder Kundenverluste, die entstehen, weil ohne stichhaltigen Grund der Eindruck erweckt wird, der Betroffene sei unzuverlässig, arbeite nicht sorgfältig oder gehe rüde mit Kunden um.

Damit wird die bisherige, im deutschen Recht übliche eher enge Auslegung von Schadenersatzansprüchen erheblich ausgeweitet. Deutsche Gerichte sind zudem dazu angehalten, deutsche Schadenersatzbestimmungen möglichst konform zum EU-Recht auszulegen. Der Trend geht bei den Schadenersatzansprüchen also nun auch in der EU deutlich in Richtung amerikanisches Recht. Dort ist es schon länger üblich, Betroffenen nicht nur bei materiellen Schädigungen, sondern auch für „emotional distress“ Schadenersatzansprüche zuzusprechen – und zwar durchaus in erheblicher Höhe.

Zwar gab es schon bisher im deutschen Recht seltene Ausnahmefälle, bei denen ein immaterieller Schaden zum Schadenersatzanspruch führte. Dies geschah und geschieht bisher aber vor allem dann, wenn es sich um sehr prominente Persönlichkeiten handelt, die durch eine Datenschutzverletzung verärgert oder brüskiert wurden. Nach dem neuen, ab 25. Mai geltenden Recht kann jeder Schadenersatz einklagen, der meint, von einer Datenschutzverletzung auch nur seelisch oder geistig beeinträchtigt worden zu sein.

Firmen sollten also zumindest nicht aus allen Wolken fallen, falls auch sie einmal eine Klage erreicht – es besteht bei gut vorbereiteten Firmen ja immer die Möglichkeit, dass sie sich als gegenstandslos entpuppt oder zurückgewiesen wird. Besonders sorgfältig sollte man mit Daten umgehen, wo eine behauptete Datenschutzverletzung, etwa beim Umgang mit bestimmten Adress- oder Informationsdateien, nicht nur eine Person betreffen würde, sondern eine ganze Reihe, die dann jeder für sich ein Schadenersatzrecht geltend machen könnten.

Dazu kommt die internationale Zuständigkeit: Eine Schadenersatzklage nach Art.82 DSGVO kann von Betroffenen aus jedem Land der EU heraus, wo er oder sie seinen oder ihren gewöhnlichen Aufenthalt hat, vor den dortigen Gerichten auch gegen in anderen EU-Ländern ansässige Firmen erhoben werden. Selbst wenn also ein deutsches Unternehmen nur an deutsche Kunden verkauft, kann es daher beispielsweise in Frankreich wegen eines Verstoßes gegen Datenschutzregeln der DSGVO verklagt werden, wenn dort jemand lebt, der oder die sich durch einen vermeintlichen Datenschutzverstoß des betreffenden Unternehmens verletzt fühlt – beispielsweise, weil die Adresse der klagenden Person ohne deren ausdrückliche Einwilligung in einer Interessentendatei des Unternehmens gelandet ist.

Zudem haften alle Verantwortlichen für einen Datenschutzverstoß gesamtschuldnerisch – also beispielsweise das Unternehmen, das eine Adresse ohne Einwilligung des Betroffenen erhoben hat und das Unternehmen, das sie von diesem Unternehmen gekauft und für eine Werbekampagne eingesetzt hat – auch ein Auftragsdatenverarbeiter, der etwa die Werbepost des Unternehmens im Auftrag elektronisch distribuiert, haftet, so vorhanden, mit, sofern er in irgendeiner Weise zum Entstehen des Schadereignisses beigetragen hat. Er kann sich laut Art. 82, Abs. 2 DSGVO  nur dadurch der Verpflichtung zum Schadenersatz entziehen, dass er nachweist, selbst alle DSGVO-Regeln für Auftragsdatenverarbeiter einzuhalten und auch belegt, dass er keine Anweisungen des Auftraggebers, der für die jeweiligen Daten verantwortlich ist, bei der Auftragsdatenverarbeitung missachtet oder falsch ausgeführt hat.

Der Gesetzgeber hat diese Bestimmung absichtsvoll so weit gestaltet, damit Kläger auch tatsächlich an den ihnen zugesprochenen Schadenersatz kommen und nicht etwa wegen Insolvenz eines Anspruchsgegners auf ihren Ansprüchen sitzen bleiben.

Leichtere Durchsetzung von Schadenersatzansprüchen

Letztlich sollen durch das neue Recht die Verbraucher rechtlich besser gestellt werden. Sie sahen sich dank der wenig datenschutzfreundlichen Verhaltensweisen einiger großer, international aktiver Anbieter kostenloser Dienstleistungen bisher oft im Nachteil und effektiver Handlungsmöglichkeiten beraubt. Nun erleichtert ihnen die DSGVO zudem die Rechtsdurchsetzung erheblich. Dazu trägt neben der gesamtschuldnerischen Haftung aller potentiellen Schädiger auch bei, dass der Kläger zunächst überhaupt nur belegen muss, dass das beklagte Unternehmen seine Daten verarbeitet hat. Das ist relativ einfach und gehört zu den grundlegenden Dokumentationspflichten jedes Datenverantwortlichen.

Wenn Einzelnen der Mut zur eigenen Klage fehlt, können an ihrer Stelle auch Verbraucher- und Datenschutzverbände aktiv werden. Sie sind in der Regel mit erheblicher rechtlicher Expertise ausgerüstet. Die Verbände dürfen sogar aktiv werden, ohne dass ein spezieller Geschädigter sie dazu auffordert. Besteht der Verdacht, dass ein Unternehmen die gesetzlichen Datenschutzvorgaben nicht einhält oder kann es Rechtskonformität nicht nachweisen, isst durchaus mit von Verbraucherschutzkanzleien aktiv inszenierten Sammelklagen zu rechnen.

Schadenersatzklagen nach der DSGVO: Ohne Vorbeugung drohen hohe Kosten

Besonders unangenehm ist für Unternehmen, dass in Zukunft nicht mehr wie bisher die Kläger eine Rechtsverletzung nachweisen müssen. Die Beweislast wurde umgedreht und trifft jetzt voll das Unternehmen: Es muss nachweisen, dass die gesamte Datenverarbeitung ordnungsgemäß verlaufen und es zu keinerlei Datenschutzverstoß gekommen ist.

Dazu gehört beispielsweise der Nachweis, dass alle erforderlichen Zustimmungen eingeholt, alle individuellen Auskunftsersuchen befriedigt, alle Löschvorgaben befolgt und alle Verarbeitungsschritte dokumentiert wurden. Es ist leicht zu erkennen: Wer hier nicht mit weitem Blick vorarbeitet, kann im Ernstfall in erhebliche Schwierigkeiten geraten. Eine umfassende Dokumentation aller Datenverarbeitungseinrichtungen, Datenbestände, Einwilligungen und Datenverarbeitungsvorgänge ist unter diesen Umständen eine unerlässliche Bedingung dafür, gegen Klagen gewappnet zu sein.

Doch die sinnvolle Vorbereitung geht unter Umständen noch viel weiter: Es kann sich durchaus lohnen, vorausschauend zu analysieren, welche Klagen möglich und denkbar sind und sich dann gezielt vorzubereiten. So kann ein Unternehmen im Ernstfall mit der gebotenen Schnelligkeit und Präzision reagieren. Vor allem alle Schriftstücke, Datensätze und andere Nachweise, die die Durchführung einer ordnungsgemäßen Datenverarbeitung belegen, sollten schnell greifbar vorgehalten werden. Denn immerhin ist es damit für ein Unternehmen oder einen Auftragsdatenverarbeiter möglich, sich zu exkulpieren, indem er durch diese Nachweise glaubhaft macht, dass er in keiner Weise zum Zustandekommen des Schadens beigetragen hat.

Leichtere Klagerückweisung mit DSMS (Datenschutzmanagementsystem)

Wie aber soll das gelingen? Schließlich ist Datenschutz eine Querschnittsaufgabe. Datenschutzrelevante Informationen finden sich in allen Unternehmensbereichen, datenschutzrelevante Prozesse werden in allen Abteilungen durchgeführt. Die notwendigen Dokumentationsaufgaben lassen sich ohne eine zentrale Instanz kaum so lösen, dass Aktualität und Überblick stets gewahrt sind, gleichzeitig aber alle Zuständigkeiten und Fristen eingehalten und alle nötigen Reports im richtigen Moment generiert werden. Gerade kleinere Unternehmen dürften damit häufig überfordert sein, da sie nur selten im Stande sind, ein eigenes Datenschutz-Team aufzustellen und, wie es eigentlich nötig wäre, fortlaufend weiterzubilden.

Als Lösung für dieses Problem empfiehlt sich der Aufbau eines umfassenden DSMS (Datenschutzmanagementsystems): Mit einem DSMS hat ein Unternehmen stets den Überblick über alle Prozesse mit Datenschutzrelevanz. So lässt sich Datenschutz systematisch und geplant im Einklang mit der Unternehmenspolitik und den Zielen des Unternehmens sowie den Anforderungen gesetzlicher Bestimmungen implementieren. Das DSMS hilft dabei, dass Datenschutz überall dort berücksichtigt wird, wo das im betrieblichen Geschehen notwendig ist.

Wer eine vollständige Automatisierung der Datenschutzprozesse von einem DSMS erwartet, irrt allerdings. Ein DSMS bietet aber eine wesentliche Unterstützung, die den Handelnden Entscheidungsfreiheit lässt. Mit einem DSMS werden Bedrohungen rechtzeitig erkannt, Termine zeitgerecht wahrgenommen und Reports im gewünschten Format erstellt, sobald sie fällig sind.

Weil das DSMS alle Informationen und Prozesse rund um den Datenschutz in einem Unternehmen in einer zentralen Applikation bündelt und gleichzeitig den Verantwortlichen Entscheidungsfreiheit bietet und Eingriffsmöglichkeiten offen lässt, ist es das wirksamste Werkzeug, um Schadenersatzklagen mit dem Nachweis einer korrekten Datenverarbeitung entgegenzutreten oder bei Audits die Aufsichtsbehörden von dem Umfang und der Wirksamkeit des eigenen Datenschutzes zu überzeugen.

Berater helfen beim  Aufbau von DSMS

Mit dem Aufbau eines DSMS sind allerdings viele, gerade kleinere Unternehmen, für die die hohen Anforderungen des DSGVO-Datenschutzes eine gewaltige Hürde darstellen, ohne externe Unterstützung überfordert. Deshalb empfiehlt es sich, bei seiner Entwicklung und Implementierung mit einem fachlich versierten Beratungshaus zusammenzuarbeiten. Der gesuchte Partner sollte dabei möglichst neben technischer und Datenschutz-Expertise auch Erfahrung in der eigenen Branche mitbringen.

Denn wie die Datenschutzanforderungen in Unternehmen aussehen, kann sich bei prinzipieller Gleichartigkeit von Branche zu Branche im Detail sehr unterscheiden. Nur wer daher die üblichen Geschäftsprozesse des betreffenden Geschäftsfeldes aus eigener Erfahrung kennt, wird im Stande sein, praktisch bewährte Hilfsmittel, etwa Templates oder branchenbezogene Best Practises zu empfehlen und bereitzustellen.

Dazu sollte die Fähigkeit und Bereitschaft kommen, sich in die Eigenheiten des individuellen Unternehmens hineinzudenken – schließlich lebt jedes Unternehmen von seinen Alleinstellungsmerkmalen. Die Erfüllung der Datenschutzanforderungen sollte diese nicht einebnen, sondern günstigenfalls sogar noch stärker herausstellen.

Zudem sollte gerade ein kleines oder mittelgroßes Unternehmen bei der Suche nach einem passenden Partner für die DSMS-Implementierung spezifische mittelstandstypische Anforderungen in den Mittelpunkt stellen. Der Beratungspartner sollte die besonderen Herausforderungen und Anforderungen des Mittelstands grundsätzlich besonders berücksichtigen: Er sollte bereit sein, ohne hierarchische Hürden in den persönlichen Kontakt mit Management und Mitarbeitern des potentiellen Kunden zu treten. Er sollte zeitlich flexibel sein und sich um eine den mittelständischen Möglichkeiten angemessene Preisgestaltung bemühen.

Mit einem solchen Partner wir die Implementierung eines umfassenden DSMS zum Schritt in eine sichere Unternehmenszukunft, in der die Verantwortlichen keine Angst vor den Anforderungen der DSGVO haben müssen. Vielmehr können sie ihre Regeln als einen Weg betrachten, noch mehr Vertrauen zu ihren Kunden und Partnern aufzubauen und ihnen noch besser zu dienen.

Verwendetes Bildmaterial:
geralt, Euro Geschenk Geldgeschenk, © pixabay.com
pixel2013, Justitia Göttin, © pixabay.com

0 Comments

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

© 2018 Der Datenschutzbeauftragte - Memex consulting GmBH

Log in with your credentials

Forgot your details?