Unternehmen müssen Daten noch besser schützen. Es drohen Klagen auf Schadensersatz, wenn der Betroffene auch nur kurzzeitig die Kontrolle über seine personenbezogenen Daten verliert.
Bahnbrechende Entscheidung des Bundesgerichtshofs
Der Bundesgerichtshof (BGH) hat in einer bahnbrechenden Entscheidung festgestellt, dass Facebook zur Zahlung von immateriellem Schadensersatz wegen eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verpflichtet ist. Entscheidend ist: Es kommt nicht mehr auf eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen oder sonstiger zusätzlicher spürbarer negativer Folgen (z.B. psychische Beeinträchtigung durch den Datenverlust, Angst, Sorge) an.
Kontrollverlust für Schadensersatzanspruch entscheidend
Entscheidend – und im Einklang mit der Rechtsprechung des Europäischen Gerichtshofs – ist allein ein sogenannter „Kontrollverlust“: Auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO könne ein immaterieller Schaden im Sinne der Norm sein. Die betroffene Person hat nicht in die konkrete Nutzung der Daten eingewilligt und kann letztlich nicht nachvollziehen, ob und wie die Daten verarbeitet werden.
Höhe des Schadensersatzes nimmt Fahrt auf
Die Betroffenen müssen in solchen Fällen folglich nur nachweisen, dass sie Opfer des Vorfalls waren. Der BGH entschied, dass in dem konkreten Einzelfall ein Schadensersatz von 100 Euro bei Kontrollverlust durchaus angemessen sei. Zwar mag die Höhe des Schadensersatzes nicht spektakulär sein, wobei der BGH ferner auch einen Anspruch auf Feststellung einer Ersatzpflicht für zukünftige Schäden bejahte. Da die Anforderungen für immateriellen Schadensersatz auf Grundlage dieses BGH-Urteils erleichtert wurden, droht für Unternehmen jedoch die Gefahr, massenhaft verklagt zu werden, sollte eine entsprechende Datenschutzverletzung bekannt werden. Bei der zukünftigen Entwicklung der Höhe des Schadensersatzes dürfte beispielsweise relevant sein, von welcher Qualität die in Rede stehenden Daten sind: Handelt es sich um besondere personenbezogene Daten, wie beispielsweise solche zur Religionszugehörigkeit, sexuellen Orientierung oder um Gesundheitsdaten, ist mit höheren Schadenssummen zu rechnen. Dies dürfte dann erst recht gelten, wenn der Verlust der Kontrolle über eine Vielzahl verschiedener relevanter Daten in unterschiedlichster Weise – etwa durch Auswertung von Daten in verschiedenen Apps – erfolgte.
Unternehmen in Alarmbereitschaft
Die rechtlichen Rückzugsgefechte sind in solchen Fällen limitiert. Unternehmen dürften kaum mehr wirksam einwenden können, alles für den technischen Schutz und den rechtlich zulässigen Umgang mit den Daten getan zu haben. Jedenfalls steht mit dem Urteil nicht fest, ob und inwieweit sich Unternehmen auf die Einhaltung technischer und organisatorischer Standards berufen können. Daher müssen Unternehmen unter allen Umständen dem Datenschutz bereits bei der Entwicklung von Produkten und Services, in den internen Prozessen, im eigenen Betrieb, bei der Nutzung personenbezogener Daten und der Datensicherheit noch mehr Sorgfalt beimessen.
