Spielregeln zum Schadensersatz : Trennt sich die Spreu vom Weizen?
Schadensersatzklagen für (mutmaßliche) Datenschutzverstöße beschäftigten deutsche Gerichte 2023 mehrfach. Teilweise widersprachen sich die Entscheidungen. Der Europäische Gerichtshof (EuGH) hat die Gelegenheit ergriffen, grundlegende Fragen zu klären. Im Folgenden wird ausgeführt, welche Spielregeln beim Schadensersatzanspruch im Lichte verschiedener Entscheidungen des EuGH gelten.
Da der Schadensersatzanspruch in Art. 82 Datenschutz-Grundverordnung (DS-GVO) normiert wird, muss er europarechtlich verstanden werden. Auf nationale, d. h. bspw. deutsche Vorschriften darf nur für das Verfahren zum Geltendmachen zurückgegriffen werden. Die Anspruchsvoraussetzungen ergeben sich nicht – wie deutsche Gerichte bisher meinten – aus dem deutschen Recht, sondern ausschließlich aus der DS-GVO. Deshalb ist bei der Betrachtung der bisherigen deutschen Rechtsprechung Vorsicht geboten. Man sollte immer prüfen, ob ein Urteil vor oder nach den entsprechenden Entscheidungen des EuGH gefällt wurde.
Unternehmen müssen sich auf eine neue Haftungssituation einstellen und vorbereiten.
Voraussetzung für einen Schadensersatzanspruch
Für einen Schadensersatzanspruch müssen drei Bedingungen zusammen erfüllt sein (EuGH-Urteil vom 04.05.2023, Az. C-300/21):
- Verstoß des Verantwortlichen oder Auftragsverarbeiter gegen die DS-GVO UND
- materieller oder immaterieller Schaden UND
- Kausalzusammenhang zwischen Verstoß und Schaden.
Ein Verstoß ohne Schaden führt folglich nicht zu einem Schadensersatzanspruch. Der Anspruchssteller muss belegen, dass diese Bedingungen erfüllt sind. Die Beweislast liegt in diesem Schritt bei ihm.
Im Unterschied zu materiellen Schäden, die sich von außen begutachten und beziffern lasen, finden immaterielle Schäden im Geist des Geschädigten statt. Gefühle zählen auch zu möglichen immateriellen Schäden. Bereits „der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, [kann] einen ‚immateriellen Schaden‘ im Sinne dieser Bestimmung darstellen“ (EuGH-Urteil vom 14.12.2023, Az. C340/21). Die Schwelle, ab wann ein immaterieller Schaden vorliegt, ist also niedrig. Eine genauere Festlegung durch den EuGH bleibt wünschenswert.
Verteidigung gegen einen Schadensersatzanspruch
Wenn ein Schadensersatzanspruch die obenstehenden Voraussetzungen erfüllt, liegt der Ball nun beim Unternehmen. Die Beweislast kehrt sich dabei um.
Schadensersatzpflichtig ist, wer fahrlässig oder vorsätzlich gehandelt oder nicht gehandelt hat. Bei Schäden aufgrund von Verstößen gegen die DS-GVO wird angenommen, dass das Unternehmen fahrlässig oder vorsätzlich gehandelt hat. Es kommt in diesem Zusammenhang nicht darauf an, wer im Unternehmen handelt, nicht handelte oder davon wusste.
Zur Verteidigung muss das Unternehmen nachweisen, dass die schadensursächliche Handlung oder das Unterlassen ihm nicht zuzurechnen ist (EuGH-Urteil vom 21.12.2023, Az. C667/21; Urteil vom 14.12.2023, Az. C340/21). Gelingt dieser Nachweis nicht, muss das Unternehmen den Schaden ersetzen. Damit kommt der Nachweisbarkeit die entscheidende Bedeutung zu.
In seinem Urteil vom 14.12.2023 (Az. C340/21) führt der EuGH am Beispiel eines unbefugten Datenzugriffs die Anforderungen an die Verteidigung näher aus.
Er stellt klar, dass allein aus der Tatsache, dass Unbefugte sich Zugriff auf personenbezogene Daten verschafft haben (bspw. bei einem RansomwareAngriff), nicht zwangsläufig folgt, dass die Sicherheitsmaßnahmen unzureichend seien. Folglich muss ein Unternehmen nicht zwingend Schäden aus Hacking-Angriffen usw. ersetzen.
Ein Unternehmen ist aber auch nicht von der Haftung für solche Schäden befreit. Dieses ergibt sich aus der Pflicht, angemessene Sicherheitsmaßnahmen zu ergreifen.
Folglich muss das Unternehmen zwei Sachverhalte nachweisen, um die Zahlung eines Schadensersatzes zu vermeiden:
- Es hat vor dem Vorfall eine Risikoanalyse durchgeführt, in der die Risken für die Rechte und Freiheiten der Personen, deren Daten verarbeitet werden, ermittelt wurden.
- Die getroffenen Maßnahmen sind objektiv unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung für die vorher ermittelten Risiken angemessen.
Bei der Risikoanalyse kommt es nicht auf die Risiken für das Unternehmen an, sondern auf die Risiken für die betroffenen Personen. Man muss bspw. folgende Fragen beantworten:
- Welche Schäden drohen, wenn die Daten zum Beispiel einen Tag lang nicht verfügbar sind?
- Welche Schäden drohen, wenn die Daten veröffentlicht und an Kriminelle weitergegeben werden?
- Welche Schäden drohen, wenn Daten unerkannt verändert werden?
- Was ist die jeweilige Eintrittshäufigkeit?
Je höher die Schäden oder Eintrittshäufigkeiten, desto umfassendere Sicherheitsmaßnahmen werden benötigt. Eine Liste willkürlich dokumentierter Maßnahmen, wie sie in vielen Unternehmen immer noch vorzufinden sind, wird es vor Gericht eher schwer haben. Unternehmen, die aus Risken Maßnahmen systematisch ableiten, bspw. entlang des BSI-Grundschutzes, haben bessere Karten.
Höhe des Schadensersatzanspruchs
Zur Höhe des Schadensersatzanspruchs hat der EuGH eine einfache Regel formuliert: vollständiger Ausgleich des Schadens (Urteile vom 04.05.2023, Az. C-300/21, und vom 21.12.2023, Az. C-667/21). Vollständig bedeutet, dass eine Überkompensation („Strafschadensersatz“) genauso wenig zulässig ist wie eine Minderung nach dem Grad des Verschuldens (Fahrlässigkeit oder Vorsatz).
Eine Bagatellschwelle gibt es – anders als von deutschen Gerichten geurteilt – nicht (EuGH-Urteil vom 14.12.2023, Az. C456/22). Jeder Schaden – auch wenn er z. B. zehn Euro beträgt – ist folglich auszugleichen.
Die Bemessung der Höhe erfolgt nach nationalen Vorschriften. Dabei müssen die Vorgaben aus der DS-GVO vollumfänglich umgesetzt werden (EuGHUrteil vom 14.12.2023, Az. C456/22).
Für unrechtmäßige Einmeldungen an die Schufa hat das Oberlandesgericht (OLG) Hamburg (Urteil vom 10.01.2024, Az. 13 U 70/23) mit Bezug zum EuGH-Urteil vom 04.05.2023 (Az. C-300/21) pro unrechtmäßiger Einmeldung 2.000 Euro als immateriellen Schaden anerkannt. Die Höhe begründet das Gericht mit dem festgestellten bedingten Vorsatz des Schädigers. Die bisherige Rechtsprechung des EuGH lässt eigentlich keinen Raum für eine Einbeziehung von Vorsatz oder den Grad des Verschuldens in der Bemessung der Höhe (vgl. EuGH-Urteil vom 21.12.2023, Az. C-667/21).
Besondere Situationen: Auftragsverarbeitung oder gemeinsame Verantwortung
Auftraggeber haften mit ihren Auftragsverarbeitern und deren Auftragsverarbeitern usw. bis zum letzten Glied in der Kette gesamtschuldnerisch. Manche Unternehmen haben dutzende von Unterauftragsverarbeitern, sodass solche Lieferketten durchaus eine mittlere bis hohe zweistellige Anzahl an Unternehmen umfassen können.
Gesamtschuldnische Haftung bedeutet, dass jedes Unternehmen, auch wenn es den Schaden nicht zu verantworten hat, auf Schadensersatz in Anspruch genommen werden kann. Sofern der Anspruch gegen einen Beteiligten in der Kette berechtigt ist, muss das in Anspruch genommene Unternehmen den Schaden vollständig ausgleichen.
Das in Anspruch genommene Unternehmen kann anschließend versuchen, sich das Geld von den Schadensverursachern zurückzuholen. Gelingt das nicht, bleibt es auf dem bezahlten Schadensersatz sitzen.
Wenn ein Unternehmen Auftragsverarbeiter in Drittländern hat oder diese weniger solvent sind als das Unternehmen selbst, ist die Gefahr größer, für Schäden in Anspruch genommen zu werden, die von diesen Unternehmen verursacht wurden. Der Geschädigte kann wählen, gegen welches Unternehmen aus dem Haftungspool er seinen Anspruch geltend macht.
Gleiches gilt auch, wenn Unternehmen gemeinsam für die Datenverarbeitung verantwortlich sind (siehe Art. 26 DS-GVO.
Fazit
Vorsorge ist besser als bezahlen
Die Hürden für einen Schadensersatzanspruch sind merkbar. Insbesondere die Kausalität zwischen Verstoß und Schaden lässt sich nicht immer belegen. Wenn ein Schadensersatzanspruch besteht, ist dieser relativ leicht durchzusetzen, da das in Anspruch genommene Unternehmen nachweisen muss, dass es – und ggf. ebenfalls beteiligte Auftragsverarbeiter oder andere gemeinsam Verantwortliche – in keinerlei Hinsicht für die zum Schaden führende Handlung oder Unterlassung verantwortlich ist. Diese Hürde scheint hoch zu sein. Je unprofessioneller das eigene Datenschutz- und Informationssicherheitsmanagement aufgestellt sind, desto eher scheitert diese Exkulpation.
Da in Deutschland und der EU auch „Sammelklagen“ mit Prozesskostenfinanzierern möglich sind, können auch kleine Schadenswerte eingeklagt werden. Deshalb schützen kleine Schadenswerte nur noch dann vor Klagen, wenn die Anzahl der Betroffenen oder die Art der Fälle für Prozesskostenfinanzierer unattraktiv ist.
Zur Verbesserung der eigenen Verteidigung empfiehlt sich u. a.
- regelmäßig intern zu prüfen, dass alle Vorgaben insbesondere aus Art. 5 bis 22, 24 bis 49 DS-GVO eingehalten werden;
- eine Risikobeurteilung gemäß Art. 32 DS-GVO für die Rechte und Freiheiten der betroffenen Personen zu dokumentieren;
- alle ergriffenen Sicherheitsmaßnahmen auf Vollständigkeit und Risikoangemessenheit zu prüfen und zu dokumentieren;
- alle ergriffenen Sicherheitsmaßnahmen zu prüfen, dass sie dem Stand der Technik entsprechen, und das Prüfergebnis zu dokumentieren;
- Auftragsverarbeiter risikoabhängig zu überwachen, um sicherzugehen, dass diese keine Verstöße gegen die DS-GVO begehen und deren Sicherheitsmaßnahmen risikoangemessen sind;
- Auftragsverarbeiter sorgfältig auch unter Haftungsgesichtspunkten auszuwählen; bspw. sollte man sich gut überlegen, ob Auftragsverarbeiter mit vielen Unterauftragsverarbeitern nicht zu einem zu hohen Haftungsrisiko führen;
- Mitarbeiter regelmäßig im Bereich Vermeidung und Risiken bei Datenschutzverletzungen zu schulen.
Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH