Читать книгу Privacy Litigation - Sebastian Laoutoumai - Страница 5

Einführung

Оглавление

Die Nachrichten über Datenschutzvorfälle, bei denen auch zahlreiche personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind, mehren sich.3 Dabei können die Ursachen, die zu einem solchen Vorfall geführt haben, unterschiedlich sein. So kann der Datenschutzvorfall darauf zurückzuführen sein, dass Kriminelle von außen in Schädigungsabsicht auf die IT-Systeme des betroffenen Unternehmens zugreifen und sensible Kundendaten stehlen. Ein Datenschutzvorfall kann aber auch auf einer Nachlässigkeit im eigenen Unternehmen beruhen, weil beispielsweise ein Mitarbeiter eine Datei mit sensiblen Kundendaten aus Versehen unverschlüsselt an einen falschen Empfänger versendet. Auch die massenhafte, datenschutzwidrige Überwachung der eigenen Mitarbeiter kann einen solchen Datenschutzvorfall begründen. In all diesen Fällen können Unternehmen nach Art. 33 I DSGVO dazu verpflichtet sein, diesen Datenschutzvorfall innerhalb einer Frist von 72 Stunden nach Bekanntwerden der Verletzung, gegenüber der zuständigen Datenschutzaufsichtsbehörde, zu melden. Verhängt die zuständige Aufsichtsbehörde sodann ein Bußgeld, kommt es gerade bei sehr hohen Bußgeldern zu einer entsprechenden Pressemitteilung durch die Aufsichtsbehörde. Gemeinsam haben diese Sachverhalte auch, dass nicht nur eine einzelne Person von der Verletzung ihrer Rechte betroffen ist, sondern eine Vielzahl von Personen. Für diese ist der Umstand, wie es zu diesem Datenschutzvorfall gekommen ist, in der Regel auch zweitrangig. Maßgeblich sind für die betroffenen Personen die mit diesem Datenschutzvorfall verbundenen Folgen.

Für Unternehmen begründen solche Datenschutzvorfälle, selbst wenn sie diese nicht verschuldet haben, ein erhebliches zusätzliches Prozessrisiko. Denn durch das umfangreiche Anspruchssystem in der DSGVO tritt zunehmend neben das sog. Public Enforcement der Aufsichtsbehörden das sog. Private Enforcement durch die betroffenen Personen selbst. Der bei einem Datenschutzvorfall wichtigste Anspruch der betroffenen Personen ist der auf Ersatz immaterieller Schäden nach Art. 82 DSGVO, mit seinen vordergründig wenigen Anspruchsvoraussetzungen. Und gerade wegen dieser vergleichsweise überschaubaren Anspruchsvoraussetzungen und dem Umstand, dass bei einem Datenschutzvorfall viele Personen bei einem im wesentlichen gleichen Sachverhalt betroffen sind, formieren sich zunehmend Anbieter, die sich auf die klageweise Durchsetzung von Schadensersatzansprüchen spezialisiert haben. Selbst wenn dabei der Schadensersatzanspruch der einzelnen betroffenen Person vergleichsweise moderat ausfällt, so liegt es auf der Hand, dass das finanzielle Risiko des Unternehmens bei einer Vielzahl betroffener Personen ungleich größer ist. So haben bereits erste Gerichte den betroffenen Personen einen Anspruch auf Geldentschädigung nach Art. 82 DSGVO zugesprochen, wobei an dieser Stelle anzumerken ist, dass zahlreichen dieser Entscheidungen noch Einzelsachverhalte zugrunde lagen und selten Datenschutzvorfälle mit einer Vielzahl von betroffenen Personen. Es liegt aber auf der Hand, dass, wenn sich diese Rechtsprechung durchsetzen sollte, auch die Anzahl der Schadensersatzprozesse nach einem Datenschutzvorfall sprunghaft steigen wird. Nachstehende Tabelle soll einen Überblick bereits ergangener Entscheidungen geben, bei denen dem Kläger ein Schadensersatz zugesprochen wurde.4

GerichtAktenzeichenHöhe des Schadensersatzes
AG Pforzheim13 C 160/194.000,00 EUR
ArbG Dresden13 Ca 1046/201.5000,00 EUR
ArbG Neumünster1 Ca 247c/20500,00 EUR
ArbG Köln bestätigt durch LAG Köln5 Ca 4806/19 2 Sa 358/20300,00 EUR
ArbG Düsseldorf9 Ca 6557/185.000,00 EUR
ArbG Lübeck1 Ca 538/191.000,00 EUR
LG Darmstadt13 O 244/191.000,00 EUR

Demgegenüber stehen freilich auch Entscheidungen, die dem Kläger in der ersten Instanz keinen Schaden zugesprochen haben.

GerichtAktenzeichen
LG Landshut51 O 513/20
LG Köln28 O 71/20
LG Frankfurt am Main2-27 O 100/20
LG Hamburg324 S 9/19
LG Frankfurt am Main2-03 O 48/19
AG Frankfurt am Main385 C 155/19 (70)
AG Hannover531 C 10952/19
OLG Dresden4 U 1680/19
OLG Dresden4 U 760/19
LG Karlsruhe8 O 26/19
AG Diez8 C 130/18

Die Rechtsprechung ist ersichtlich uneinheitlich. Es ist aber abzusehen, dass der EuGH zu wesentlichen Fragen hinsichtlich der richtigen Auslegung von Art. 82 DSGVO und dessen Voraussetzungen Stellung beziehen wird. Dabei ist eine für beide Seiten wesentliche Frage, die es zu beantworten gilt, die, ob es für die Geltendmachung eines Schadensersatzes eine Bagatellgrenze gibt. Die Beantwortung dieser Frage ist vor allem für Unternehmen, die eine Vielzahl von personenbezogenen Daten verarbeiten, von enormer praktischer und insbesondere wirtschaftlicher Bedeutung. Denn spricht sich der EuGH auf Vorlage eines nationalen Gerichts gegen eine Bagatellgrenze aus, befeuert das das Geschäftsmodell jener Anbieter, die nach einem bekanntgewordenen Datenschutzvorfall massenhaft Ansprüche auf Schadensersatz bündeln, um diese für die betroffenen Personen gegenüber den Unternehmen durchzusetzen. Die Anzahl der Verfahren vor den deutschen Zivilgerichten wird unabhängig hiervon zunehmen, denn die DSGVO gibt den betroffenen Personen, neben einem eigenen Schadensersatzanspruch in den Art. 15ff. DSGVO, auch weitere, umfassende Ansprüche gegen den Verantwortlichen. Diese Betroffenenrechte sollen es der betroffenen Person ermöglichen, die Verarbeitung der sie betreffenden personenbezogenen Daten kontrollieren zu können und notfalls auf die Löschung oder Berichtigung der gespeicherten personenbezogenen Daten hinwirken zu können. Wie das Beispiel des Auskunftsrechtes nach Art. 15 DSGVO zeigt, sind auch diese Rechte zwischen den Beteiligten streitanfällig.5

GerichtAktenzeichen
LG München I3 O 909/19
LG Ulm3 O 248/19
LG Stuttgart18 O 333/19
LG Köln20 O 241/19
LG Heidelberg4 O 6/19
LG Dresden6 O 76/20
OLG Köln20 U 57/19
OLG Köln20 U 75/18
LG Wiesbaden8 O 14/19
LG Berlin35 T 14/19
ArbG Bonn3 Ca 2026/19
ArbG Düsseldorf9 Ca 6557/18
LAG Düsseldorf4 Ta 413/19
LAG Nürnberg2 Ta 76/20
LAG Nürnberg2 Ta 123/20
ArbG Neumünster1 Ca 247c/20

Die dargestellte Übersicht ist nur ein kleiner Ausschnitt der bereits zum Auskunftsrecht nach Art. 15 DSGVO ergangenen Entscheidungen. Sie zeigt jedoch deutlich, dass auch Verfahren zur Durchsetzung der Betroffenenrechte vor den Zivilgerichten deutlich zunehmen werden.

Insgesamt wird die Bedeutung der privaten Durchsetzung von Rechten aus der DSGVO steigen und gleichbedeutend damit auch die Fallzahlen bei den Gerichten. Daher lohnt sich ein Blick auf die materiellrechtlichen Ansprüche (Kapitel 1) der betroffenen Personen sowie auf die prozessualen Aspekte (Kapitel 2), die ein solches Verfahren mit sich bringt.

3 Im Oktober 2020 wurde ein Hacker-Angriff auf Scalable Capital bekannt, bei dem auf die Kontodaten zahlreicher Kunden zugegriffen wurde (Quelle: Scalable Capital: Insider-Angriff auf Robo-Advisor – Digital – SZ.de (sueddeutsche.de)); Ebenfalls im Oktober 2020 wurde ein Datenschutzvorfall bei H&M bekannt, nachdem die zuständige Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 35 Mio. EUR gegen das Unternehmen verhängt hat (Quelle: H&M-News: Datenschutzbeauftragter verhängt Rekord-Bußgeld (handelsblatt.com)); bereits im Dezember 2019 wurde ein Datenschutzvorfall bei dem Arzneimittelgroßhändler Phoenix bekannt (Quelle: Datenpanne: Phoenix verschickt sensible Daten von 211 Apotheken | APOTHEKE ADHOC (apotheke-adhoc.de)). 4 Ausführliche Tabellen mit Kurzbegründungen der Entscheidungen finden sich bei Wybitul, DSB 2021, 42ff. und Leibold, ZD-Aktuell 2021, 05043. 5 Leibold, ZD-Aktuell 2021, 04420 liefert eine Übersicht zu den aktuell festgesetzten Streitwerten für ein Auskunftsverlangen.

Privacy Litigation

Подняться наверх