GDPR-Durchsetzung: Verbraucher, die Schadenersatz fordern

Die Nichteinhaltung der EU-Datenschutzgrundverordnung (DSGVO) kann für Unternehmen innerhalb und außerhalb der Europäischen Union zu erheblichen Haftungsrisiken führen, die sich aus Ansprüchen von Verbrauchern, Ansprüchen von Wettbewerbern oder Geschäftspartnern wie Dienstleistern und Geschäftskunden sowie aus der Durchsetzung durch Aufsichtsbehörden ergeben. In diesem Artikel werfen wir einen Blick auf die Haftung gegenüber Verbrauchern.

Haben Verbraucher bei Verstößen gegen die Datenschutz-Grundverordnung Anspruch auf Schadenersatz?

Nach Art. 82 DSGVO hat jede Person, die infolge eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Entschädigung durch den für die Datenverarbeitung Verantwortlichen oder den Datenverarbeiter.

Diese Ansprüche können von Personen geltend gemacht werden, deren personenbezogene Daten (z. B. Name, Kontaktdaten einschließlich E-Mail-Adresse, Zahlungsinformationen, IP-Adresse, Geräte-Fingerabdrücke und Standort- oder andere Verhaltensdaten) Ihr Unternehmen im Geltungsbereich der DSGVO erhebt, speichert, nutzt oder anderweitig verarbeitet.

Wer hat Anspruch auf Ansprüche nach Art. 82 GDPR?

Verstöße gegen die DSGVO, die zu Schadensersatzansprüchen führen können, sind unter anderem:

• Die Verarbeitung personenbezogener Daten ohne Rechtsgrundlage gemäß Art. 6 und/oder 9 DSGVO, wie z. B. Einwilligung, berechtigte Interessen oder Notwendigkeit für die Erfüllung eines Vertrags
• Nichtbeachtung der Rechte der betroffenen Personen gemäß Art. 15-22 GDPR, wie z.B. das "Recht auf Vergessenwerden" gemäß Art. 17 GDPR
• Nichtbereitstellung oder unzureichende Datenschutzerklärungen gemäß Art. 13-14 GDPR
• Datenschutzverletzungen aufgrund unzureichender technischer und organisatorischer Maßnahmen zur Datensicherheit gemäß Art. 32 DS-GVO

Jede Person, deren personenbezogene Daten von einem solchen Verstoß betroffen sind, kann Anspruch auf Schadensersatz haben. Entspricht z.B. ein Datenschutzhinweis eines Webdienstes nicht den gesetzlichen Anforderungen, kann dies jeder Nutzer des Dienstes sein. Ein Unternehmen ist nicht haftbar, wenn es nachweist, dass es in keiner Weise für die Verletzung der DSGVO verantwortlich ist, weder vorsätzlich noch fahrlässig.

Art. 82 GDPR betrifft in der Regel Daten, die im B2C-Bereich erhoben wurden. Es können auch Personen betroffen sein, deren Daten im B2B-Bereich erhoben wurden (z. B. der Inhalt von E-Mails eines Mitarbeiters eines Ihrer Geschäftskunden), jedoch hat ihr Arbeitgeber als juristische Person keinen Anspruch auf Ansprüche gemäß Art. 82 GDPR ZU. Der betreffende Mitarbeiter kann in seinem eigenen Namen Klage erheben.

Welche Art von Schadenersatz kann geltend gemacht werden? Wie ist der Schadenersatz zu berechnen?

Erstens kann der von dem Verstoß gegen die DSGVO betroffene Verbraucher einen materiellen Schaden geltend machen. Dies kann beispielsweise der Fall sein, wenn ein Hackerangriff zur unbefugten Offenlegung von Nutzerdaten gegenüber der Öffentlichkeit führt, der für die Datenverarbeitung Verantwortliche es versäumt hat, angemessene Maßnahmen zur Datensicherheit zu ergreifen, und der Nutzer Opfer eines Identitätsdiebstahls oder eines anderen Betrugs wird, der zu finanziellen Schäden führt.

Zweitens können auch immaterielle Schäden Gegenstand von Schadenersatzansprüchen sein. Wenn beispielsweise in dem im vorstehenden Absatz beschriebenen Szenario der Hackerangriff zur unbefugten Offenlegung von Informationen wie privater Kommunikation einschließlich kompromittierender Details über sein Privatleben führt, kann der Nutzer auch Schadensersatz für seinen Rufschaden verlangen.

Der genaue Umfang und die Faktoren für die Berechnung solcher immateriellen Schäden sind in verschiedenen Rechtsverfahren umstritten. Insbesondere ist unklar, ob eine finanzielle Entschädigung nur dann gezahlt werden muss, wenn die Person schwerwiegende (nicht-finanzielle) Nachteile erlitten hat, oder ob die bloße Verletzung der DSGVO-Pflichten ausreicht, um eine finanzielle Entschädigung auszulösen.

Kürzlich hat ein Oberlandesgericht in Österreich die Praxis eines führenden österreichischen Direktmarketing-Dienstleisters für rechtswidrig erklärt (Landesgericht Feldkirch, Urteil vom 7. August 2019, Az. 57 Cg 30/19b - 15). Das Unternehmen hatte zielgruppenzugehörige Adressdaten ohne Zustimmung der Betroffenen an politische Parteien verkauft. Das Gericht sprach dem Kläger - der nur einer von 2,2 Millionen potenziell betroffenen und berechtigten Verbrauchern war - eine Entschädigung in Höhe von 800 Euro zu.

Aufgrund eines Berufungsverfahrens ist dieses Urteil noch nicht rechtskräftig. Aufgrund des Justizsystems in der EU dauert es manchmal Jahre, bis richtungsweisende Fälle vor dem Europäischen Gerichtshof landen, der die höchste Instanz für die Auslegung von EU-Recht ist. Daher ist Geduld gefragt, um sich ein vollständiges Bild zu machen, wie es oft bei der relativ neuen Datenschutz-Grundverordnung der Fall ist.

Wer ist verantwortlich, wenn Dienstleister beteiligt sind?

Der für die Datenverarbeitung Verantwortliche im Sinne von Art. 4(7) DSGVO (d.h. die juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der betreffenden Datenverarbeitung entscheidet) haftet für Schäden, die durch eine gegen die DSGVO verstoßende Verarbeitung verursacht werden.

Ein Datenverarbeiter im Sinne von Art. 4(8) DSGVO (d.h. die juristische Person, die personenbezogene Daten im Auftrag anderer verarbeitet) haftet nur dann, wenn er gegen die Weisungen des für die Verarbeitung Verantwortlichen verstößt oder wenn er gegen eine Verpflichtung aus der DSGVO verstößt, die sich direkt an Datenverarbeiter richtet. So müssen Datenverarbeiter beispielsweise ein technisches Umfeld gewährleisten, das den Anforderungen der DSGVO an die Datensicherheit entspricht.

Wenn hingegen ein für die Datenverarbeitung Verantwortlicher unrechtmäßig personenbezogene Daten von Verbrauchern sammelt und einen Cloud- oder SaaS-Dienst für die Verwaltung dieser Daten nutzt, haftet der Cloud-Dienstanbieter im Allgemeinen nicht für Verstöße seines Kunden gegen die DSGVO. Für einige Unternehmen können jedoch die EU-Vorschriften für den elektronischen Geschäftsverkehr gelten und sie dazu zwingen, rechtswidrige Inhalte Dritter nach entsprechender Ankündigung zu entfernen.

Wie hoch ist das Risiko in der Praxis?

Es gibt keine zuverlässigen Statistiken darüber, wie viele Klagen in der EU erhoben wurden. Nach unseren praktischen Erfahrungen bleibt die Zahl der Klagen vor Gericht auf einem niedrigen Niveau. Im Moment sind es vor allem die Verbraucherschutzbehörden, die die Gerichte mit Testfällen befassen. Wenn der Europäische Gerichtshof eine klare und verbraucherfreundliche Rechtsprechung erlässt, könnte dies Start-ups im Bereich Legal Tech dazu ermutigen, finanzielle Vorteile aus der Sammlung von Ansprüchen und der Einleitung von Sammelklagen zu ziehen, beispielsweise im Falle größerer Datenschutzverletzungen, von denen eine große Anzahl von Verbrauchern betroffen ist.