Verteidigung bei Schadensersatzklagen im Datenschutz

Datenpannen können schnell zu Schadensersatzklagen führen

Jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, steht ein Anspruch auf Schadensersatz gegen das verantwortliche Unternehmen zu. Schon bei kleinen Verstößen drohen dem Unternehmen daher neben einem Bußgeldverfahren vor der Aufsichtsbehörde auch Schadensersatzklagen von betroffenen Personen.

In vielen Fällen bleibt es jedoch nicht bei einzelnen Klagen. Unternehmen müssen vielmehr mit einer Vielzahl von privaten Klagen rechnen. Denn häufig sind nicht nur einzelne Datensätze von einigen wenigen Personen von einer Datenpanne betroffen, sondern ganze Datenbanken mit einer erheblichen Anzahl von Datensätzen einer Vielzahl von Personen.

Zahlreiche Herausforderungen für Unternehmen

Daher kommen im Falle des Bekanntwerdens einer Datenpanne gleich mehrere Herausforderungen auf ein Unternehmen zu. Neben dem logistischen Aufwand, eine große Anzahl an verschiedenen Verfahren zu organisieren, sind viele Rechtsfragen im Zusammenhang mit Schadensersatzansprüchen noch nicht abschließend geklärt. So steht beispielsweise die Anspruchshöhe noch nicht fest, was einen zusätzlichen Argumentationsaufwand auf Unternehmensseite auslöst. Bisher fehlt es an einer höchstrichterlichen Entscheidung, in welchem Umfang Schadensersatzansprüche nach Art. 82 DSGVO geltend gemacht werden können. Um dem Verfahrens- und Argumentationsumfang gerecht zu werden, ist es ratsam, hier auf datenschutzrechtliche Expertise zurückzugreifen.

Datenpannen schon präventiv begegnen

Zunächst ist Unternehmen zu raten, Datenpannen mithilfe eines bewährten Datenschutzkonzepts vorzubeugen. Bei einer entsprechenden Umsetzung und fortwährenden Überprüfung kann Datenschutzvorfällen präventiv begegnet werden. Jedoch lassen sich solche Vorfälle aufgrund ihrer unzähligen Verursachungsquellen nie komplett verhindern.

Sollte es trotzdem zu einem Datenschutzverstoß kommen, gilt es daher zunächst, den Sachverhalt aufzuklären sowie zu dokumentieren und ihn fristgerecht den zuständigen Behörden zu melden. Sofern eine Melde- bzw. Informationspflicht besteht, müssen gegebenenfalls auch die Betroffenen informiert werden.

Ersatz von materiellen und immateriellen Schäden

Neben dem Ausgleich von Vermögensschäden ist nach dem Willen des EU-Gesetzgebers auch der Ersatz sogenannter immaterieller Schäden möglich. Im Datenschutzrecht entstehen immaterielle Schäden vor allem beim Eingriff in Persönlichkeitsrechte durch die unerwünschte Offenlegung personenbezogener Daten.

Viele offene Fragen zum Schadensersatz im Datenschutz

Da das deutsche Recht immaterielle Schäden nur in Ausnahmen als ersatzfähig ansieht, ist die rechtliche Einordnung im Datenschutzrecht in Deutschland noch umstritten. Bisher waren die Gerichte bei der Verurteilung von Unternehmen zur Zahlung eines Schadensersatzes wegen einer Verletzung von Persönlichkeitsrechten noch zurückhaltend. Allerdings fehlt es bisher an einer höchstrichterlichen Entscheidung zur DSGVO.

Es steht daher die Frage im Raum, ob Persönlichkeitsrechtsverletzungen erst eine gewisse Bagatellschwelle überschreiten müssen, bevor sie ersatzfähig werden und wie dieser Schaden zu berechnen ist. Schließlich ist es auch nicht ausgeschlossen, dass der EuGH die Frage endgültig entscheiden wird. Dieser ist jedoch für seine weitreichende Schadensauslegung bekannt. Insofern liegt es nahe, dass Unternehmen von der aktuell noch restriktiven Rechtsprechung deutscher Gerichte profitieren dürften. Das kann sich in Zukunft jedoch schnell ändern.

Auch Auftragsverarbeiter können haften

Neben dem Unternehmen können auch Auftragsverarbeiter direkt von Geschädigten belangt werden. Dazu muss der Auftragsverarbeiter den Schaden bei der Verarbeitung der Daten verursacht haben. Sind sowohl der Auftragsverarbeiter als auch das Unternehmen an der Datenverarbeitung beteiligt, haften sie dem Geschädigten gegenüber als Gesamtschuldner.

Infolgedessen kann sich der Betroffene aussuchen, welchen der beiden er in Anspruch nehmen möchte. Für den in Anspruch Genommenen besteht im Gegenzug die Möglichkeit, sich bei seinem Mithaftenden den gezahlten Betrag anteilig zurückzuholen. Allerdings kann es sein, dass dieser Anspruch nur auf dem Rechtsweg zu erlangen ist.

Großer Aufwand erfordert umfangreiche Expertise

Insgesamt kann der Aufwand nach einer Datenschutzverletzung sehr umfangreich werden. Neben dem Bußgeldverfahren gilt es, die Schadensersatzklagen abzuwehren. Dabei kann es von entscheidender Bedeutung sein, welche Schäden in welchem Umfang zu ersetzen sind. Aber auch nach den Schadensersatzverfahren mit den Betroffenen kann es gegebenenfalls erforderlich sein, eine rechtliche Auseinandersetzung mit mitverantwortlichen Datenverarbeitern über den Schadensausgleich zu führen.

Unsere Beratungsleistung zur Verteidigung bei Datenpannen

Mit unserer langjährigen Expertise können wir ihnen eine umfassende Betreuung während des gesamten Prozesses bieten. Unser Ziel ist es, Ihr Unternehmen nach einer Datenschutzverletzung möglichst schadlos zu stellen. Dazu bieten wir folgende Leistungen an:

  • Gerichtliche und außergerichtliche Vertretung bei gegen Sie gerichteten Schadensersatzforderungen
  • Gerichtliche und außergerichtliche Geltendmachung von Ausgleichszahlungen aus der Gesamtschuld
  • Vertretung gegenüber der Aufsichtsbehörde im Bußgeldverfahren
  • Überarbeitung und Implementierung von Datenschutzkonzepten

Ihr Anwalt für die Verteidigung bei Schadensersatzklagen im Datenschutz

Ihre Expertin für Fragen rund um die Verteidigung Ihres Unternehmens gegen Schadensersatzklagen im Datenschutz sowie allgemein zum Datenschutz ist Rechtsanwältin Olga Stepanova. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80).

"Datenschutz": Die neusten Beiträge in unserem Blog

Haftung droht! Versicherungen müssen IT professionell organisieren

- Benjamin Kirschbaum

Haftung droht! Versicherungen müssen IT professionell organisieren

IT-Sicherheit und Datenschutz in Krankenhäusern: Vier Milliarden Euro Fördergelder

- Olga Stepanova

IT-Sicherheit und Datenschutz in Krankenhäusern: Vier Milliarden Euro Fördergelder

Mitarbeiterüberwachung nicht ohne Zustimmung des Betriebsrats

- Olga Stepanova

Mitarbeiterüberwachung nicht ohne Zustimmung des Betriebsrats

Kontakt

Kontakt

Auszeichnungen

Juve AwardLegal 500 Deutschland 2019 – Top 2 im Nonprofit-Sektor
azur100: Top-Arbeitgeber für Juristen 2018