Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) zum 25.05.2018 war die Sorge groß, dass künftig wegen Datenschutzverstößen nicht nur unternehmensgefährdende Bußgelder verhängt werden, sondern durch den Anspruch auf Schadensersatz bei Datenschutzverstößen in Art. 82 DSGVO auch ein Einfallstor für Massenklagen geschaffen wird. Die Praxis zeigt, dass diese Sorge nicht ganz unbegründet war, wobei gerade im nationalen Rechtsraum nicht selten der Eindruck entstehen kann, dass mit der DSGVO der Datenschutz in ein Paralleluniversum überführt worden ist, wie es etwa Prof. Dr. Wolfgang Schön in seinem Beitrag in der F.A.Z. vom 23.06.2023 unter der Überschrift „Vor dem Regulierungsbankrott“ so treffend ausgedrückt hat (siehe hier). Zwar fällt die zugesprochene Höhe der Entschädigungen insbesondere wegen immaterieller Schäden bislang moderat aus. Seit der EuGH indes festgestellt hat, dass es bezogen auf den durch die nationalen Gerichte festzustellenden Schaden keine Erheblichkeitsschwelle gibt, ist in der Praxis zu beobachten, dass schon kleine und für Unternehmen auch bei aller Sorgfalt kaum mit letzter Gewissheit zu vermeidende Vorfälle, wie etwa der simple Falschversand von Unterlagen oder Cyberangriffe ohne spürbare Auswirkungen, zur Geltendmachung von Ansprüchen führen können. Die Frage des Cui bono muss aber spätestens dann erlaubt sein, wenn Anspruchstellerkanzleien massenhaft und mit gleichförmiger Begründung Unternehmen mit Schadensersatzforderungen konfrontieren und zu Lasten von Rechtschutzversicherern übersetzte Forderungen geltend machen.
Schadensersatzanspruch: Rechtsunsicherheit in der Praxis
Zu sehen ist ferner auch, dass die Voraussetzungen und Rechtsfolgen des Anspruchs in der Rechtspraxis noch nicht abschließend geklärt sind, wenngleich sie in den letzten Jahren durch eine Vielzahl an Entscheidungen des EuGH und auch der Obergerichte in Deutschland weitergehend präzisiert worden sind. Hier den Überblick zu behalten und adäquat auf tatsächliche oder vermeintliche Ansprüche zu reagieren fällt insbesondere kleinen und mittelständischen Unternehmen immer schwerer.
Um aus Unternehmenssicht das Risiko von Schadensersatzansprüchen hinreichend bewerten zu können, ist ein Verständnis der aktuellen Rechtsprechung und der durch diese bestimmten Voraussetzungen indes unabdingbar. Nur so kann sichergestellt werden, dass für den Fall eines Datenschutzvorfalls die geltend gemachten Ansprüche hinreichend sicher bewertet und auf dieser Grundlage die richtigen Maßnahmen ergriffen werden. Dabei ist auch zu sehen, dass die objektiv-rechtliche Bewertung zwar unerlässlich ist. Jedoch muss ebenfalls bewertet werden, welche Reputationsrisiken dem Verantwortlichen davon unabhängig drohen. Denn selbst wenn die Ansprüche zurückgewiesen oder nur in geringer Höhe bestätigt werden, wird dem Verantwortlichen damit wenig geholfen sein, sollte sich in Folge der Aufarbeitung in den (sozialen) Medien ein existenzbedrohender Reputationsschaden eingestellt haben. Als genereller Kritikpunkt ist anzumerken, dass die in bester Absicht mit der DSGVO gestärkten Betroffenenrechte ein erhebliches „Erpressungsrisiko“ mit sich bringen. Auch bezogen auf andere Aspekte der DSGVO, zum Beispiel den Umgang mit künstlicher Intelligenz und namentlich die mit deren Entwicklung verbundenen Verarbeitungen, wird insoweit richtigerweise Kritik geübt und eine Novellierung gefordert.
Nach Art. 82 DSGVO kann jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, von dem Verantwortlichen oder auch einem Auftragsverarbeiter Schadensersatz verlangen.
Noch offen ist insoweit, ob Schadensersatz nur dann verlangt werden kann, wenn der Schaden durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, oder ob es ausreicht, dass ein Schaden durch einen jeglichen Verstoß gegen die Verordnung verursacht worden ist. Praktische Relevanz hat diese Frage zum Beispiel für die häufige Konstellation, dass Betroffene zunächst Auskunft nach Art. 15 DSGVO verlangen und für den Fall, dass diese nicht vollständig oder nicht rechtzeitig erteilt wird, Schadensersatzansprüche geltend machen, weil sie aufgrund des Verhaltens des Verantwortlichen besorgt um die Verarbeitung ihrer personenbezogenen Daten sind. Der Auskunftsanspruch ist ein Informationsrecht des Betroffenen und die Nichterfüllung damit nicht notwendigerweise eine Verarbeitung. Diese Frage liegt aktuell dem EuGH noch zur Entscheidung vor. Würden Schadensersatzansprüche auch dann anzunehmen sein, wenn Betroffene nicht rechtzeitig Auskunft vom Verantwortlichen erhalten, würde dies einen weiteren Weg für eine Vielzahl an Klagen eröffnen. Dabei könnten die Anspruchsvoraussetzungen durch den Betroffenen leicht herbeigeführt werden, wohingegen Details des Auskunftsanspruchs hochgradig umstritten sind, was zu weiterer Rechtsunsicherheit führt.
Immaterieller Schaden im Sinne der DSGVO?
Nach wie vor beschäftigt die Gerichte auch die Frage, was unter einem immateriellen Schaden im Sinne der DSGVO zu verstehen ist. Dabei besteht die Besonderheit, dass der Begriff des Schadens europarechtlich zu ermitteln ist. In mehreren Entscheidungen hat der EuGH hierzu klargestellt, dass ein immaterieller Schaden auch in der (begründeten) Befürchtung eines Datenmissbrauchs oder eines Kontrollverlusts gesehen werden kann. Gerade bei Cyberangriffen, die mit einem Abfluss von Daten verbunden sind, ist daher mit einer Inanspruchnahme auf Schadensersatz zu rechnen, wenn unklar ist, wohin die Daten abgeflossen sind. Der viel diskutierte Datenscraping-Fall von Facebook belegt, dass selbst der kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten einen Anspruch auf immateriellen Schadensersatz begründen kann, auch wenn dieser häufig nur mit wenigen hundert Euro zu bemessen sein wird.
Auch nach der Rechtsprechung des BGH muss der Betroffene nachweisen, dass er einen immateriellen Schaden erlitten hat. In der Regel werden die Gerichte hierzu die Betroffenen anhören und feststellen müssen, ob es tatsächlich zu einer Beeinträchtigung gekommen ist. Pauschaler Vortrag ohne Bezug zur individuellen Betroffenheit reicht also nicht aus.
Insoweit ist es wichtig zu überprüfen, ob ausgeschlossen werden kann, dass Dritte Zugriff auf personenbezogene Daten nehmen konnten. Ist Letzteres anzunehmen, kann dies einem Anspruch auf Schadensersatz entgegengehalten werden.
Unlängst hatte der BGH über einen Fall zu entscheiden, in dem ein Betroffener einen immateriellen Schaden geltend machte und einen Schadensersatz in Höhe von 500 Euro wegen unerwünschter E-Mails verlangte. Das Landgericht hat den Anspruch mangels erkennbaren Schadens verneint. Diese Feststellung bestätigte der BGH. Zwar machte das Gericht deutlich, dass der Ersatz eines immateriellen Schadens nicht von einer bestimmten Erheblichkeit abhängig gemacht werden kann. Der pauschale Vortrag zu einem unguten Gefühl reichte indes auch dem BGH nicht aus.
Wird aber der behauptete Schaden plausibilisiert, dann muss sich der Verantwortliche damit auseinandersetzen und einen entsprechenden Gegenvortrag liefern. Unabhängig davon binden die entsprechenden Verfahren erhebliche Ressourcen, und Verantwortliche sehen sich nicht selten dazu gehalten, auch mutmaßlich unbegründete Ansprüche zur Vermeidung jahrelanger Auseinandersetzungen zu erfüllen. Zumindest de lege ferenda ist zu fragen, ob nicht – jedenfalls bezogen auf leicht fahrlässig verursachte Verstöße – die Einführung einer Erheblichkeitsschwelle sinnvoll sein könnte.
In der Sache selbst steht aber bereits fest, dass nicht jeder Datenschutzvorfall im Sinne eines Cyberangriffs zugleich einen Schadensersatzanspruch herbeiführt. Allerdings hat der Verantwortliche darzulegen und zu beweisen, dass die von ihm ergriffenen technischen und organisatorischen Maßnahmen angemessen waren. Ein sorgfältiges internes Cybermanagement ist daher zum Schutz von Schadensersatzansprüchen zwingend erforderlich.
Nur wenn dargelegt werden kann, dass die Maßnahmen ausreichend gewesen sind, kann ein Verstoß gegen die DSGVO verneint werden und auch einem Schadensersatzanspruch bei einem Cyberangriff mit Abfluss von Daten begegnet werden. Leider liegt in der Praxis hier oft die Schwierigkeit, dass Unternehmen nur deshalb zum Opfer von Cyberangriffen werden, da sie nicht die geltenden technischen Regeln beachten. Hier empfiehlt es sich daher, die ergriffenen Maßnahmen regelmäßig zu überprüfen.
Was in der Praxis zu beachten ist
Bislang wenig Beachtung gefunden hat in diesem Zusammenhang der Umstand, dass sowohl die Überzeugungsbildung des Gerichts als auch die durch das Gericht zu ermittelnde Anspruchshöhe grundsätzlich dem nationalen Recht folgt. Für Unternehmen, die in unterschiedlichen Jurisdiktionen unterwegs sind, ist daher eine Bewertung der Ausgangslage vor Ort entscheidend. Was die Frage der Schadenshöhe betrifft, so besteht die bereits angedeutete Besonderheit, dass ein Schadensersatzanspruch der Höhe nach nicht davon abhängt, ob der Datenschutzverstoß vorsätzlich oder fahrlässig erfolgt ist. Der Schadensersatzanspruch hat allein eine Ausgleichsfunktion für den erlittenen Schaden, keine Straffunktion für die begangenen DSGVO-Verstöße. Es macht daher nach derzeit geltendem Recht auch keinen Unterschied, wenn ein Verarbeitungsvorgang zugleich mehrere DSGVO-Verstöße herbeiführt, soweit es um die Schadenshöhe geht. Relevant ist hingegen bei der Bemessung des Anspruchsumfangs die Art der personenbezogenen Daten, also insbesondere, ob sensible personenbezogene Daten vorliegen oder nicht oder auch welcher Aufwand zur Wiedergutmachung zu betreiben ist. Zu erwarten ist, dass sich insoweit Fallgruppen entwickeln, die für typische Konstellationen Schadensersatzansprüche in bestimmter Höhe vorsehen.
Unsere Praxis zeigt jedenfalls, dass eine Verteidigung gegen Schadensersatzansprüche in vielen Fällen auch erfolgreich ist und bei richtiger Herangehensweise Reputationsrisiken vermieden werden können.
