Risiken bei Nichteinhaltung der DSGVO
Die DSGVO enthält eine größere Reihe von Befugnissen, mit denen gegen (vermeintliche) Datenschutzverstöße vorgegangen werden kann. Dazu gehören neben dem Instrumentarium der Aufsichtsbehörden auch z.B. Ansprüche von Betroffenen, Verbraucherschutzverbänden und Datenschutzvereinen (z.B. NOYB). Bei Verstößen gegen Datenschutzbestimmungen ist also nicht nur die Gefahr von Bußgeldern zu bedenken, sondern es bestehen deutlich mehr Risiken. Beispielsweise wurden erste Fälle bekannt, in denen Schadensersatzansprüche von Betroffenen gegen Unternehmen geltend gemacht werden (z.B. Geltendmachung von Schadensersatz aufgrund des Versands einer nicht angeforderten Mail (Az: 8 C 130/18) oder aufgrund der Löschung eines Posts und der Sperrung eines Nutzerkontos (Az: 4 U 760/19)). Der Beitrag stellt dar, welche Risiken außerhalb der Verhängung von Bußgeldern an Risiken für Unternehmen drohen (dazu gesondert im Blog).
Sanktionsmöglichkeiten der DSGVO
Generell gibt die DSGVO den Datenschutzaufsichtsbehörden weitreichende Befugnisse, mit denen die Einhaltung von Datenschutzbestimmungen und Vorgaben der Behörden überprüft und ggf. verfolgt werden können. Bereits die Datenschutzaufsichtsbehörden haben umfassende Einwirkungsmöglichkeiten (Art. 58, 82 DSGVO):
- Untersuchungsbefugnisse: Die Verantwortlichen müssen den Aufsichtsbehörden alle relevanten Informationen übermitteln und Zugang zu allen personenbezogenen Daten gewähren (Einsichts- und Informationsrecht). Die Aufsichtsbehörde kann dabei grundsätzlich Auskunft zu sämtlichen Fragen verlangen, deren Klärung erforderlich und geeignet ist, die Einhaltung der datenschutzrechtlichen Vorgaben zu gewährleisten. Jedoch kann das Recht nicht grenzenlos gewährleistet werden und eine Einschränkung auf die Fragestellungen angenommen werden, die voraussichtlich die Aufklärung betreffen können. Sie können zudem Datenschutzüberprüfungen vornehmen, schriftlich oder (anlassbezogen) vor Ort bei den Unternehmen.
- Abhilfebefugnisse: Die in Art. 58 Abs.2 DSGVO normierten Abhilfebefugnisse gewähren den Aufsichtsbehörden die nötigen Mittel zur effektiven Durchsetzung der datenschutzrechtlichen Vorgaben in Form von Aufsichts- und Sanktionierungspflichten. Die Aufsichtsbehörden können die Verantwortlichen vor voraussichtlichen Datenschutzverstößen warnen, bei Verstößen Verwarnungen aussprechen, die Datenverarbeitung beschränken sowie Geldbußen verhängen. Außerdem können die Aufsichtsbehörden Unternehmen anweisen, Anträgen Betroffener auf Ausübung ihrer Rechte nachzukommen und Betroffene bei Datenschutzverletzungen zu benachrichtigen.
- Beratungs- und Genehmigungsbefugnisse: Die Aufsichtsbehörden können die Verantwortlichen zum Datenschutz beraten, sowie Vertragsklauseln und verbindliche interne Vorschriften genehmigen. Sie haben zudem die Befugnis, politische Stellungnahmen zu veröffentlichen, um die Öffentlichkeit für den Datenschutz zu sensibilisieren.
Österreich: Schadensersatzanspruch für Betroffene zugesprochen
Natürliche Personen, denen durch eine rechtswidrige Datenverarbeitung ein materieller oder immaterieller Schaden entstanden ist, haben nach Art. 81 Abs. 1 DSGVO Anspruch auf Schadensersatz gegen den Verantwortlichen.
- Zum immateriellen Schadensersatzanspruch nach Art. 82 DSGVO urteilte jüngst das Landesgericht Feldkirch (Österreich) und sprach einem Kläger einen Schadensersatz in Höhe von 800 Euro zu. In diesem Fall waren durch die österreichische Post Präferenzen der Kunden berechnet, gespeichert und bestehenden Kundendaten zugeordnet worden. Das Gericht urteilte, dass ein Schaden für den Betroffenen schon in einer Datenverarbeitung ohne Einwilligung und Information des Betroffenen liege und somit bereits in der Nichteinhaltung der Vorgaben der DSGVO. Der Schadensersatz hätte durchaus höher ausfallen können, wenn diese Daten an Dritte übermittelt oder weiterverkauft werden. Die Entscheidung des LG Feldkirch ist noch nicht rechtskräftig.
- Demgegenüber entschied das AG Bochum (Beschl. v. 11.03.2019 – Az.: 65 C 485/18), dass der Schadensersatzanspruch einen konkreten Schaden voraussetze, welcher vom Anspruchsberechtigten tatsächlich nachgewiesen werden muss. Der reine Verstoß gegen die Datenschutzgrundverordnung reiche nicht aus, um einen immateriellen Schadensersatzanspruch geltend zu machen. Es ist aber fraglich, ob diese Rechtsprechung auch durch höhere Gerichte bestätigt wird, da die DSGVO ausdrücklich die Geltendmachung von immateriellen Schäden und Schmerzensgeld vorsieht. Dennoch ist das Urteil natürlich vor dem Hintergrund zu begrüßen, dass eine Beeinträchtigung des Betroffenen nachgewiesen werden muss.
- Auch das OLG Dresden folgte dem Standpunkt, dass der Anspruch auf Schadensersatz nach Art. 82 DSGVO das Vorliegen eines konkreten Schadens voraussetze (Beschluss v. 11.06.2019 – Az.: 4 U 760/19). Darin entschied es, dass es keinen Ausgleich für immaterielle Bagatellschäden geben könne, wenn dem Betroffenen keine ernsthafte Beeinträchtigung oder ein spürbarer Nachteil entstanden sei. Der immaterielle Schadensersatzanspruch könne aufgrund des hohen Missbrauchsrisikos nicht voraussetzungslos gewährt werden. In diesem Fall forderte der Betroffene Schadensersatz von Facebook, weil zunächst ein Post von ihm gelöscht wurde und der Account für kurze Zeit gesperrt worden war.
- Sollte das Urteil des österreichischen LG Feldkirch bestätigt werden, würde dies den Weg auch anderer Betroffener dieser Datenverarbeitung öffnen – für das Unternehmen bestehen dadurch Schadensersatzrisiken im Millionenbereich, sollten viele Betroffene diese Ansprüche geltend machen. Ähnliche Konstellationen sind auch in Deutschland möglich und vergleichbare Risiken werden künftig deutlich zunehmen.
Für Unternehmen bedeuten die unterschiedlichen Voraussetzungen zur Durchsetzung des Schadensersatzanspruches zunächst große Unsicherheit. Grundsätzlich sieht Art. 82 DSVO vor, dass ein tatsächlicher (immaterieller) Schaden des Betroffenen vorliegen muss. Der Begriff des Schadens soll allerdings nach dem Erwägungsgrund 146 DSGVO – im Sinne der Rechtsprechung des EuGH – weit ausgelegt werden. Stellt allein die unrechtmäßige Verarbeitung einen weitreichenden Eingriff in die Rechte des Betroffenen dar und lässt sich dadurch bereits ein Schadensersatzanspruch rechtfertigen, so kommt der Aufrechterhaltung des Datenschutzniveaus eine noch weitreichendere Bedeutung zu.
Unternehmen sollten die datenschutzrechtlichen Vorgaben, unabhängig von der Auslegung des Art. 82 DSGVO durch die Gerichte, dringend einhalten, um das Risiko einer unbestimmten Anzahl von Schadensersatzklagen durch Betroffene zu minimieren.