+49 (55 03) 9 15 96 48 sorge@DatCon.de

Datenpanne – Schadenersatzansprüche!

Datenpannen kommen vor. Aber immer häufiger werden nun auch Schadenersatzansprüche von Betroffenen gestellt. Muss
ein Unternehmen diese zahlen, wenn (vielleicht) bereits ein Bußgeld verhängt wurde? Noch gar nicht so lange her ist das
Urteil vom LG München I, welches einem Betroffenen einen Schadensersatz i.H.v. 2.500,00 Euro zusprach.
Aber der Reihenfolge nach …
1. Bei einer (meldepflichtigen) Datenpanne kommt als erster Schritt die Meldung gem. Art. 33 DSGVO an die
Datenschutzaufsicht.
2. Als nächstes kommt die Meldung an die Betroffenen. Wenn nicht bereits erfolgt, fragt hier die Aufsicht konkret nach
und fordert diese ein. Aber halt, kann das nun für ein Unternehmen kritisch sein? Ja, zumindest ist ein Risiko
vorhanden, dass es nun zu Schadensersatzansprüchen kommen kann. Zudem man nie weiß, wie die Betroffenen
reagieren. Aber es muss gem. Art. 34 DSGVO erfolgen. Die Praxis zeigt, solche Schadensersatzzahlungen sind
bereits mehrfach gerichtlich entschieden worden.
Schauen wir uns den Art. 82 DSGVO an. Hier geht es um Schadensersatzansprüche.
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden
ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Es wird also lediglich ein Verstoß benötigt, damit das Ganze ins Rollen kommen kann.
Und nun?
Nun ja, Cyberangriffe lassen sich nicht ausschließen. Auch andere Datenpannen kommen vor. Aber das Unternehmen
kann sich vorbereiten und sollte dies auch tun. Risiken gegen Bußgelder bzw. Schadensersatzansprüche können gesenkt
werden. Das Unternehmen muss „nur“ schauen, dass Sicherheitstechnik möglichst ausreichend vorhanden ist. Diese sollte
zumindest „Stand der Technik“ sein. Auch sollten weichere Faktoren, wie bspw. Schulungen oder Richtlinien, nicht
vernachlässigt werden. Am Ende geht es doch „nur“ darum, dass man aufzeigen kann, dass man sich als Unternehmen
den Risiken bewusst ist und Gegenmaßnahmen umgesetzt hat bzw. umsetzt.
Überwachung am Arbeitsplatz – Und ewig wird gestritten.
Erlaubt? Nicht erlaubt? Wie erlaubt? Das Unternehmen muss die Daten schützen. Aber wie? Natürlich geht eine potenzielle
Gefahr von jeder Mitarbeiterin bzw. jedem Mitarbeiter aus. Aber deshalb einen Generalverdacht umsetzen?
Der Arbeitgeber hat sogar verschiedene Beweggründe hierfür, wie bspw. Überführung von Innentätern, Haftungsansprüche
im Rahmen der DSGVO, Risiko bei Cyberangriffen oder nur die Absicherung, dass ordentlich die Arbeit erledigt wird. Aber
reicht dies als Begründung?
Nein, so einfach ist das dann doch nicht.
Es muss immer das Persönlichkeitsrecht einer Betroffenen bzw. eines Betroffenen, egal ob Kunde oder Mitarbeiter,
beachtet werden. Auch muss oftmals eine Risikoanalyse gemacht werden, ob es nicht vielleicht mildere Mittel gibt.
Die Vergangenheit zeigt, dass dies bereits einige Unternehmen nicht beachtet haben und dafür tief in die Tasche greifen
durften.
Der Eingriff in das Persönlichkeitsrecht ist dann im Rahmen von Überwachungen am Arbeitsplatz ggf. zulässig, wenn:
• Es Hinweise auf strafbare Handlungen gibt oder schwerwiegende Pflichtverletzungen vorhanden sind.
• Mildere Mittel nicht vorhanden sind. (Was sind aber nun mildere Mittel. Hier besteht das Risiko der
Falschabwägung.)
• Auf keinen Fall darf die Maßnahme unverhältnismäßig sein. Eine Totalüberwachung ist somit absolut
ausgeschlossen!
Datenpanne! Ach Du Schreck.
Da, wo Menschen arbeiten, werden Fehler gemacht. Aber wie sollten sich nun diese Mitarbeiter*innen verhalten, damit es
am Ende nicht mehr Stress als nötig gibt?
Wie bereits des Öfteren erwähnt, sollten die jeweiligen Mitarbeiter*innen schnellstmöglich in Richtung der Geschäftsführung
den Vorfall melden. Was dann kommt, entscheidet abschließend die Geschäftsführung. Auch nicht verkehrt, die
Datenschutzbeauftragte bzw. den Datenschutzbeauftragten zu informieren.
Damit keine wichtige Information vergessen wird, hier ein paar Tipps für die interne Meldung:
• Was ist passiert?
• Wann ist der Vorfall passiert? Die genaue Uhrzeit ist wichtig. Für eine fristgerechte Meldung hat ein Unternehmen
lediglich 72 Stunden Zeit.
• Wo hat sich der Vorfall ereignet?
• Kann man schon sagen, welche Personen betroffen sind? Wenn ja, welche?
• Gab oder gibt es bereits Gegenmaßnahmen? Wenn ja, welche?
Da die Dokumentation aller Datenpannen (auch diejenigen, die nicht meldepflichtig sind) erfolgen muss, sollte man hier
ausreichend Zeit widmen.
Ein Unternehmen ist Auftragsverarbeiter. Was prüft die Datenschutzaufsicht hier?
Gem. der DSGVO ist ein Unternehmen Auftragsverarbeiter, wenn dieses im Auftrag personenbezogene Daten des
Auftraggebers, der verantwortlichen Stelle, verarbeitet.
Seit einigen Wochen kontrolliert die Berliner Datenschutzaufsicht die Auftragsverarbeitungsverträge (AVV) zwischen
Webhostern und deren Kundinnen und Kunden. Aber auch die Datenschutzaufsichtsbehörden aus Niedersachsen,
Sachsen, Sachsen-Anhalt, Rheinland-Pfalz und Bayern beteiligen sich an dieser Prüfung.
Und was wird geprüft?
Nun ja, recht einfach, die inhaltlichen Anforderungen gem. Art. 28 DSGVO und deren Beachtung bzw. Umsetzung.
Aus Sicht eines Auftragsverarbeiters muss das Geschriebene eben auch umgesetzt werden. Wie sieht es bspw. bei der
Dokumentation der Technischen und Organisatorischen Maßnahmen aus? Ausreichend? Oder im Bereich des mobilen
Arbeitens?
Bußgelder im Oktober 2022? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Unrechtmäßige Erstellung biometrischer Profile
Behörde: CNIL (FR), Branche: Künstliche Intelligenz/Softwareentwicklung
Verstoß: Art. 5 Abs. 1 lit. a, b und e DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art.
14 DSGVO, Art. 15 DSGVO, Art. 27 DSGVO, Bußgeld: 20.000.000 Euro
• Profiling mit Gesundheitsdaten
Behörde: ICO (UK), Branche: Vertrieb von Haushaltswaren/Versandhaus
Verstoß: Art. 9 DSGVO, Art. 5 Abs. 1 lit. a DSGVO, Art. 13 Abs. 1 lit.c DSGVO, Bußgeld: 1.546.870 Euro
• Unerwünschte Werbeanrufe
Behörde: ICO (UK), Branche: Reparaturservice
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Bußgeld: 264.389 Euro
• Falscher E-Mail-Empfänger und ausbleibende Meldung an die Behörde
Behörde: AEPD (ES), Branche: Energiebranche
Verstoß: Art. 5 Abs. 1 lit. f, Art. 32 DSGVO, Art. 33 DSGVO, Bußgeld: 35.000 Euro
Fazit?
Unternehmen haben immer mehr nicht nur mit Datenpannen, sondern auch mit Schadensersatzansprüchen zu tun. Und
das noch neben den eigentlichen Vorfällen, wie bspw. einer Cyber-Attacke. Die Notwendigkeit immer mehr Augenmerk auf
den Datenschutz und die Datensicherheit zu legen ist unweigerlich nötig, wenn man Risiken reduzieren möchte.
Auch der Spagat zwischen ausreichendem Schutz von Daten und möglichen Überwachungsmöglichkeiten der
Verarbeitungen ist eine Gratwanderung. Davon ausgehend, dass man keine Totalüberwachung anstrebt, geht es hier um
das ausreichende Maß an Sicherheit und Kontrolle, so dass ein Unternehmen nicht den Vorwurf erhält, dass Daten nicht
ausreichend gesichert seien.
Aber die Entwicklung zeigt auch, dass die Beschwerdeschwelle bei Menschen gesunken ist. Daher gilt es, dass man
Vorfälle bzw. Entwicklungen im Team bespricht.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!

468