DSGVO-Schadensersatz als Compliance-Risiko

Die Einhaltung gesetzlicher und damit auch datenschutzrechtlicher Vorgaben ist nicht nur aus Gründen gesetzeskonformen Handelns für Unternehmen wichtig. Auch die Inanspruchnahme durch Klagen auf (immateriellen) Schadensersatz stellt ein erhebliches Risiko dar, wie Prof. Dr. Fuhlrott erläutert.

FCPA, UK Bribery Act, KWG, GWG, OWiG und der Deutsche Corporate Governance Kodex (DCGK) verpflichten zu bzw. verlangen eine verantwortungsvolle und rechtsförmige Unternehmensführung auf Basis anwendbarer Rechtsnormen und entsprechender Corporate Governance Kodizes. Bestandteil dieses Pflichtenkanons sind ebenfalls die Implementierung, Aufrechterhaltung und Weiterentwicklung einer Datenschutz-Governance-Struktur. Überdies bzw. vielmehr zunehmend gerät eine bestehende gute Datenschutz-Compliance zu einem wichtigen unternehmerischen Reputationsaspekt: „Verlorene“ sensitive Daten, Datenlecks mit der Folge im Internet „herumgeisternder“ personenbezogener Daten, unverhältnismäßige arbeitgeberseitige Überwachungsmaßnahmen der Belegschaft oder Hackerangriffe aufgrund systembedingter IT-Schwachstellen sorgen für große mediale Beachtung und enden überdies regelmäßig in Bebußungen durch die datenschutzrechtlichen Aufsichtsbehörden gem. Art. 83 DSGVO in aufsehenerregenden Höhen. Fünfstellige Geldbußen sind an der Tagesordnung, sechsstellige Geldbußen keine Seltenheit mehr.

Daneben nimmt auch die Inanspruchnahme von Unternehmen durch Klagen auf immateriellen Schadensersatz wegen Datenschutzverstößen durch Individualpersonen zu. Eine Klageindustrie für Massenklagen formt sich bereits. Anwälte treten werbend mit Angeboten entsprechender Interessenvertretungen am Markt auf, um potentielle Anspruchsteller „einzusammeln“. Aus Klägersicht praktikabel und recht einfach möglich macht dies Art. 82 DSGVO, wonach immaterieller Schadensersatz nahezu bereits für jedwede Verletzung datenschutzrechtlicher Vorgaben geltend gemacht werden kann. Zwar hat der EuGH in einigen Entscheidungen den Anwendungsbereich der Norm etwas zurückgeschnitten, in dem die Luxemburger Richter den Nachweis eines konkreten Schadens einfordern (EuGH, Urt. v. 4.5.2023 – C-300/21). Eine Bagatellgrenze darf es aber weiterhin nicht geben (EuGH, Urt. v. 14.12.2023 – C-456/22), so dass auch der bloße Kontrollverlust über die eigenen Daten einen ersatzfähigen immateriellen Schaden darstellen kann (EuGH, Urt. v. 14.12.2023 – C-340/21).

Mit zwei jüngeren Urteilen (EuGH, Urt v. 20.6.2024 – C-590/22 sowie verb. Rs. C-182/22 und C-189/22) bestätigt der EuGH diese Linie: Ein Verstoß gegen die DSGVO allein begründet zwar weiterhin keinen Schadensersatz, ein konkreter Schaden muss also folglich dargelegt werden. Allerdings reicht dafür bereits „die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war […], sofern diese Befürchtung samt ihren negativen Folgen ordnungsgemäß nachgewiesen ist“. Mit anderen Worten: Eine glaubhaft dargelegte Furcht allein kann ausreichen, um Schadensersatzansprüche zu begründen, es muss nicht wirklich etwas „passieren“. Immerhin betont der EuGH, dass der Schadensersatz keinen abschreckenden Charakter hat, sondern „ausschließlich eine Ausgleichsfunktion erfüllt“, so dass der Schweregrad und die Frage der Vorsätzlichkeit bei der Bemessung des Schadensersatzes nicht berücksichtigt werden müssen. Demnach dürfen nationale Gerichte die fehlende Schwere eines Schadens durch die Verurteilung zur Zahlung eines geringfügigeren Schadenersatzanspruchs berücksichtigen.

Für Unternehmen ist dies aber allenfalls ein sehr kleiner Lichtblick am datenschutzrechtlichen Entschädigungshorizont. Das Risiko der Inanspruchnahme wegen behaupteter Datenschutzverstöße und vermeintlicher daraus resultierender Schäden bleibt bestehen. Rechtssicherheit in Form einer praktischen Begrenzung ausufernder Entschädigungsansprüche wird nur die nationale Rechtsprechung herbeiführen können. Diese ist von einer einheitlichen Linie aber noch weit entfernt und zeichnet sich derzeit eher durch einen „kasuistischen Wildwuchs“ aus. Die einzige Strategie der Risikomitigierung für Unternehmen ist es daher, den Datenschutz ernst zu nehmen und im Rahmen einer guten Corporate Governance zu einer prioritären Aufgabe der Unternehmenscompliance zu machen. Wie für andere bedeutende Compliance-Themen in Unternehmen (u.a. Anti-Corruption) gilt es damit auch für den Datenschutz ein effektives Management-System zu implementieren und fortlaufend weiterzuentwickeln.

Prof. Dr. Michael Fuhlrott