Gastblog: Zivilrechtliche Haftung bei Datenschutzverstößen

Seit dem 25. Mai 2018, dem Inkraftreten der DSGVO, reagieren viele Unternehmen in Bezug auf Datenschutz bzw. Datenschutzverstöße sensibel. Einer der Hauptgründe hierfür sind die sehr hohen Geldbußen. Nicht zu unterschätzen ist jedoch auch die schadenersatzrechtliche Komponente. Der folgende Beitrag soll diesen Aspekt näher beleuchten.

Unterläuft einem Unternehmen eine Datenschutzpanne, so stehen neben Geldbußen auch Schadenersatzansprüche im Raum. Die DSGVO sieht in Artikel 82 nämlich vor, dass jede Person, welcher wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, einen Anspruch auf Schadenersatz hat.

Thema Schadensersatz

Je nach Art der Datenschutzpannen kann dieser unterschiedlich ausfallen. In Fällen von Datenverlusten kommen etwa Kosten für Datenwiederherstellungsdienste in Betracht; werden hingegen Daten veröffentlicht, so können darauf rückführbare Schäden (gesellschaftliche Nachteile, Rufschädigung, Identitätsdiebstahl, etc…) im Wege des Schadenersatzes geltend gemacht werden. Zusätzlich sieht die DSGVO auch vor, dass man – ähnlich wie im Reiserecht die „entgangene Urlaubsfreude“ – einen Anspruch auf Schmerzengeld aufgrund der Verletzung seiner Privatsphäre hat. Hierbei wird es sich wohl um einen Betrag zwischen 500 und 1.000 EURO handeln.

Streuschaden vermeiden

In Anbetracht des Umstandes, dass bei Datenpannen regelmäßig eine Vielzahl von Personen betroffen ist, ist hier ein hoher Streuschaden möglich, welcher im Zuge von Sammelklagen relativ einfach geltend gemacht werden kann. Exemplarisch kann hier etwa die jüngste Datenpanne von Facebook angeführt werden, welche rund 50 Mio. Nutzerkonten betroffen hat. Geht man davon aus, dass jeder Betroffene Schmerzensgeld von 1.000 EURO verlangt, so steht – theoretisch – eine Schadenersatzforderung von 50 Mrd. (!) EURO im Raum. Umstritten ist, ob neben o.a. Betroffenen auch Unternehmen Schadenersatz (z.B. indirekter Reputationsschaden, Wiederherstellungskosten bei Datenverlusten, etc…) geltend machen können. Grundsätzlich dürfte dies zulässig sein, da in Artikel 82 DSGVO „jede Person“ genannt wird, weshalb auch juristische Personen vom Wortlauft erfasst sind.

Richtig Dokumentieren

Von einer derartigen Haftung können sich Unternehmen befreien, wenn gemäß Artikel 82 DSGVO nachgewiesen wird, dass man „in keinerlei Hinsicht für den Umstand, durch welchen der Schaden eingetreten ist, verantwortlich ist“. In faktischer Hinsicht bedeutet dies, dass ein Compliance Management System etabliert gehört und man interne Datenverarbeitungen dokumentieren muss. Dennoch ist ein derartiger Nachweis mitunter schwierig, da auch das (Fehl-)Verhalten von (externen) Auftragsverarbeitern dem Verantwortlichen zugerechnet wird. Kann jedoch aufgrund der internen Dokumentation nachgewiesen werden, dass der Fehler nicht beim Verantwortlichen, sondern beim externen Auftragsverarbeiter passiert ist, so eröffnet sich der Regressweg. Vorbeugend würde ein Lieferantemanagement auch helfen.

Fazit

Aufgrund des Umstandes, dass die DSGVO einen immateriellen Schadenersatz vorsieht und regelmäßig viele Personen betroffen sind, ist ein sehr hohes Risikopotential gegeben. Im Außenverhältnis werden Unternehmen hier oft eine Haftung akzeptieren müssen. Primäre Strategie sollte zwar die Vermeidung von Datenpannen sein, aufgrund der Rechtslage sollte aber in gleichem Ausmaß auch der Regressweg berücksichtigt werden.

Autor: Thomas Reisinger

Thomas Reisinger ist seit März 2018 bei der VACE Systemtechnik GmbH als Security Consultant tätig. Davor hat er an der JKU Linz das Diplomstudium der Rechtswissenschaften und das Masterstudium Webwissenschaften absolviert. Seine Freizeit verbringt Thomas zu gleichen Teilen im Fitnessstudio und vor PC / Playstation.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.