Читать книгу Privacy Litigation - Sebastian Laoutoumai - Страница 5
Einführung
ОглавлениеDie Nachrichten über Datenschutzvorfälle, bei denen auch zahlreiche personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind, mehren sich.3 Dabei können die Ursachen, die zu einem solchen Vorfall geführt haben, unterschiedlich sein. So kann der Datenschutzvorfall darauf zurückzuführen sein, dass Kriminelle von außen in Schädigungsabsicht auf die IT-Systeme des betroffenen Unternehmens zugreifen und sensible Kundendaten stehlen. Ein Datenschutzvorfall kann aber auch auf einer Nachlässigkeit im eigenen Unternehmen beruhen, weil beispielsweise ein Mitarbeiter eine Datei mit sensiblen Kundendaten aus Versehen unverschlüsselt an einen falschen Empfänger versendet. Auch die massenhafte, datenschutzwidrige Überwachung der eigenen Mitarbeiter kann einen solchen Datenschutzvorfall begründen. In all diesen Fällen können Unternehmen nach Art. 33 I DSGVO dazu verpflichtet sein, diesen Datenschutzvorfall innerhalb einer Frist von 72 Stunden nach Bekanntwerden der Verletzung, gegenüber der zuständigen Datenschutzaufsichtsbehörde, zu melden. Verhängt die zuständige Aufsichtsbehörde sodann ein Bußgeld, kommt es gerade bei sehr hohen Bußgeldern zu einer entsprechenden Pressemitteilung durch die Aufsichtsbehörde. Gemeinsam haben diese Sachverhalte auch, dass nicht nur eine einzelne Person von der Verletzung ihrer Rechte betroffen ist, sondern eine Vielzahl von Personen. Für diese ist der Umstand, wie es zu diesem Datenschutzvorfall gekommen ist, in der Regel auch zweitrangig. Maßgeblich sind für die betroffenen Personen die mit diesem Datenschutzvorfall verbundenen Folgen.
Für Unternehmen begründen solche Datenschutzvorfälle, selbst wenn sie diese nicht verschuldet haben, ein erhebliches zusätzliches Prozessrisiko. Denn durch das umfangreiche Anspruchssystem in der DSGVO tritt zunehmend neben das sog. Public Enforcement der Aufsichtsbehörden das sog. Private Enforcement durch die betroffenen Personen selbst. Der bei einem Datenschutzvorfall wichtigste Anspruch der betroffenen Personen ist der auf Ersatz immaterieller Schäden nach Art. 82 DSGVO, mit seinen vordergründig wenigen Anspruchsvoraussetzungen. Und gerade wegen dieser vergleichsweise überschaubaren Anspruchsvoraussetzungen und dem Umstand, dass bei einem Datenschutzvorfall viele Personen bei einem im wesentlichen gleichen Sachverhalt betroffen sind, formieren sich zunehmend Anbieter, die sich auf die klageweise Durchsetzung von Schadensersatzansprüchen spezialisiert haben. Selbst wenn dabei der Schadensersatzanspruch der einzelnen betroffenen Person vergleichsweise moderat ausfällt, so liegt es auf der Hand, dass das finanzielle Risiko des Unternehmens bei einer Vielzahl betroffener Personen ungleich größer ist. So haben bereits erste Gerichte den betroffenen Personen einen Anspruch auf Geldentschädigung nach Art. 82 DSGVO zugesprochen, wobei an dieser Stelle anzumerken ist, dass zahlreichen dieser Entscheidungen noch Einzelsachverhalte zugrunde lagen und selten Datenschutzvorfälle mit einer Vielzahl von betroffenen Personen. Es liegt aber auf der Hand, dass, wenn sich diese Rechtsprechung durchsetzen sollte, auch die Anzahl der Schadensersatzprozesse nach einem Datenschutzvorfall sprunghaft steigen wird. Nachstehende Tabelle soll einen Überblick bereits ergangener Entscheidungen geben, bei denen dem Kläger ein Schadensersatz zugesprochen wurde.4
| Gericht | Aktenzeichen | Höhe des Schadensersatzes |
|---|---|---|
| AG Pforzheim | 13 C 160/19 | 4.000,00 EUR |
| ArbG Dresden | 13 Ca 1046/20 | 1.5000,00 EUR |
| ArbG Neumünster | 1 Ca 247c/20 | 500,00 EUR |
| ArbG Köln bestätigt durch LAG Köln | 5 Ca 4806/19 2 Sa 358/20 | 300,00 EUR |
| ArbG Düsseldorf | 9 Ca 6557/18 | 5.000,00 EUR |
| ArbG Lübeck | 1 Ca 538/19 | 1.000,00 EUR |
| LG Darmstadt | 13 O 244/19 | 1.000,00 EUR |
Demgegenüber stehen freilich auch Entscheidungen, die dem Kläger in der ersten Instanz keinen Schaden zugesprochen haben.
| Gericht | Aktenzeichen |
|---|---|
| LG Landshut | 51 O 513/20 |
| LG Köln | 28 O 71/20 |
| LG Frankfurt am Main | 2-27 O 100/20 |
| LG Hamburg | 324 S 9/19 |
| LG Frankfurt am Main | 2-03 O 48/19 |
| AG Frankfurt am Main | 385 C 155/19 (70) |
| AG Hannover | 531 C 10952/19 |
| OLG Dresden | 4 U 1680/19 |
| OLG Dresden | 4 U 760/19 |
| LG Karlsruhe | 8 O 26/19 |
| AG Diez | 8 C 130/18 |
Die Rechtsprechung ist ersichtlich uneinheitlich. Es ist aber abzusehen, dass der EuGH zu wesentlichen Fragen hinsichtlich der richtigen Auslegung von Art. 82 DSGVO und dessen Voraussetzungen Stellung beziehen wird. Dabei ist eine für beide Seiten wesentliche Frage, die es zu beantworten gilt, die, ob es für die Geltendmachung eines Schadensersatzes eine Bagatellgrenze gibt. Die Beantwortung dieser Frage ist vor allem für Unternehmen, die eine Vielzahl von personenbezogenen Daten verarbeiten, von enormer praktischer und insbesondere wirtschaftlicher Bedeutung. Denn spricht sich der EuGH auf Vorlage eines nationalen Gerichts gegen eine Bagatellgrenze aus, befeuert das das Geschäftsmodell jener Anbieter, die nach einem bekanntgewordenen Datenschutzvorfall massenhaft Ansprüche auf Schadensersatz bündeln, um diese für die betroffenen Personen gegenüber den Unternehmen durchzusetzen. Die Anzahl der Verfahren vor den deutschen Zivilgerichten wird unabhängig hiervon zunehmen, denn die DSGVO gibt den betroffenen Personen, neben einem eigenen Schadensersatzanspruch in den Art. 15ff. DSGVO, auch weitere, umfassende Ansprüche gegen den Verantwortlichen. Diese Betroffenenrechte sollen es der betroffenen Person ermöglichen, die Verarbeitung der sie betreffenden personenbezogenen Daten kontrollieren zu können und notfalls auf die Löschung oder Berichtigung der gespeicherten personenbezogenen Daten hinwirken zu können. Wie das Beispiel des Auskunftsrechtes nach Art. 15 DSGVO zeigt, sind auch diese Rechte zwischen den Beteiligten streitanfällig.5
| Gericht | Aktenzeichen |
|---|---|
| LG München I | 3 O 909/19 |
| LG Ulm | 3 O 248/19 |
| LG Stuttgart | 18 O 333/19 |
| LG Köln | 20 O 241/19 |
| LG Heidelberg | 4 O 6/19 |
| LG Dresden | 6 O 76/20 |
| OLG Köln | 20 U 57/19 |
| OLG Köln | 20 U 75/18 |
| LG Wiesbaden | 8 O 14/19 |
| LG Berlin | 35 T 14/19 |
| ArbG Bonn | 3 Ca 2026/19 |
| ArbG Düsseldorf | 9 Ca 6557/18 |
| LAG Düsseldorf | 4 Ta 413/19 |
| LAG Nürnberg | 2 Ta 76/20 |
| LAG Nürnberg | 2 Ta 123/20 |
| ArbG Neumünster | 1 Ca 247c/20 |
Die dargestellte Übersicht ist nur ein kleiner Ausschnitt der bereits zum Auskunftsrecht nach Art. 15 DSGVO ergangenen Entscheidungen. Sie zeigt jedoch deutlich, dass auch Verfahren zur Durchsetzung der Betroffenenrechte vor den Zivilgerichten deutlich zunehmen werden.
Insgesamt wird die Bedeutung der privaten Durchsetzung von Rechten aus der DSGVO steigen und gleichbedeutend damit auch die Fallzahlen bei den Gerichten. Daher lohnt sich ein Blick auf die materiellrechtlichen Ansprüche (Kapitel 1) der betroffenen Personen sowie auf die prozessualen Aspekte (Kapitel 2), die ein solches Verfahren mit sich bringt.
3 Im Oktober 2020 wurde ein Hacker-Angriff auf Scalable Capital bekannt, bei dem auf die Kontodaten zahlreicher Kunden zugegriffen wurde (Quelle: Scalable Capital: Insider-Angriff auf Robo-Advisor – Digital – SZ.de (sueddeutsche.de)); Ebenfalls im Oktober 2020 wurde ein Datenschutzvorfall bei H&M bekannt, nachdem die zuständige Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 35 Mio. EUR gegen das Unternehmen verhängt hat (Quelle: H&M-News: Datenschutzbeauftragter verhängt Rekord-Bußgeld (handelsblatt.com)); bereits im Dezember 2019 wurde ein Datenschutzvorfall bei dem Arzneimittelgroßhändler Phoenix bekannt (Quelle: Datenpanne: Phoenix verschickt sensible Daten von 211 Apotheken | APOTHEKE ADHOC (apotheke-adhoc.de)). 4 Ausführliche Tabellen mit Kurzbegründungen der Entscheidungen finden sich bei Wybitul, DSB 2021, 42ff. und Leibold, ZD-Aktuell 2021, 05043. 5 Leibold, ZD-Aktuell 2021, 04420 liefert eine Übersicht zu den aktuell festgesetzten Streitwerten für ein Auskunftsverlangen.
