Update Datenschutz No. 9
Das Update Datenschutz No. 9 ist da. Heute soll es in erster Linie um neue Risiken gehen, die meines Erachtens für euch als Unternehmen immer präsenter werden.
Bußgelder bis 20 Mio. €
Vor fünf oder genauer gesagt fast 6 Jahren konnte man überall im Internet von Szenarien zum Weltuntergang lesen, die meist mit Bußgeldern im Bereich des Datenschutzes zusammenhingen. Nicht wenige Überschriften lauten „20 Millionen € Bußgeld oder 4 % des Konzerns weltweiten Jahresumsatzes drohen“. Tatsächlich wurden seitens der Datenschutzbehörden schon einige Millionen schwere Bußgelder erlassen. Trotzdem habe ich nicht das Gefühl, dass Bußgelder für euch das große Thema sein werden.
Natürlich kann es zu einem Bußgeldverfahren kommen, wenn die Prozesse im Datenschutz nicht stimmen. Allerdings müssen diese Bußgelder zu einerseits abschreckend sein, andererseits dürfen sie aber auch das Unternehmen in seiner Existenz nicht gefährden. Insofern werden sich die meisten Bußgelder, wenn sie überhaupt kommen, in Grenzen halten. Und auch bis es so weit ist, dass eine Datenschutzbehörde ein Bußgeld gegen euch oder euer Unternehmen erlässt, ist es ein langer Weg. Hier kann man gut gegensteuern, wenn die eigenen Prozesse passen. Dabei müssen eure Prozesse nicht immer zu 100 % austariert sein, was manchmal auch gar nicht möglich ist. Wenn die Behörde erkennt, dass ein ordentlicher Prozess etabliert ist, aber am Ende bisher nicht alles passt, reicht es oft aus, wenn Anpassungen vorgenommen werden.
Das soll jetzt nicht heißen, dass ihr das Thema Datenschutz einfach links liefen lassen sollt. Ein Bußgeld wird kaum kleiner, wenn die Behörde merkt, dass euch das Thema sche … egal ist. Und ordentliche Prozesse helfen auch beim – nach meiner aktuellen Einschätzung – wahrscheinlicheren Risiko.
Schadensersatz
In meiner Wahrnehmung baut sich nämlich ein neues Risiko an, über das wir sprechen müssen: Schadensersatz. Die DSGVO sieht explizit vor, dass betroffenen Personen einen Anspruch auf Schadensersatz gegen den Verantwortlichen geltend machen können (Art. 82 DSGVO). Rund um das Thema Schadenersatz passiert gerade einiges in der Rechtsprechung. Der EuGH hatte bereits festgestellt, dass nicht die bloße Verletzung der DSGVO diesen Schadensersatz Anspruch auslöst (EuGH vom 04.05.23 – C 300/21 – Österreichische Post). Vielmehr muss die betroffene Person tatsächlich auch einen Schaden erleiden. Allerdings sind dann wiederum die Anforderungen nicht allzu hoch. Eine sogenannte Erheblichkeitsschwelle gibt es nicht. Sofern die betroffene Person also einen Schaden nachweisen kann, kann der noch so gering sein.
Der Dreh- und Angelpunkt ist aktuell die Frage, wie man denn einen Schaden nachweisen kann. Hier gehen die Urteile noch stark auseinander.
Immaterieller Schadensersatz
Das spannende und der Geltung der DSGVO ist der Umstand, dass auch sogenannte immaterielle Schäden ersetzt werden können. Einfach ausgedrückt, handelt es sich hier um Schmerzensgeld. Unter Geltung des BDSG konnten nur materielle Schäden ersetzt verlangt werden, also Schäden, die eine spürbare Einbuße des Vermögens mit sich brachten. Der Nachweis eines materiellen Schadens ist fast nie gelungen. Das Thema war also kaum praxisrelevant. Das ist jetzt anders. Wenn du dir die Verfahren anschaust, die aktuell an einzelnen Gerichten laufen, wird aktuell ordentlich Schadensersatz geltend gemacht. Nach meiner Wahrnehmung ausschließlich immaterieller Schadensersatz, mal abgesehen von den Rechtsanwaltskosten, die immer als Beiwerk auftauchen.
Das Thema ist heiß und allein diesen Dezember wird es noch drei Entscheidungen zum immateriellen Schadensersatz durch den EuGH geben:
- 14.12. 2023 – C-340/21: Verletzung der Sicherheit der Verarbeitung personenbezogener Daten
- 14.12. 2023 – C-456/22: zur Frage, ob „… der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet …“ einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellt.
- 14.12. 2023 – C-667/21: Verarbeitung von Gesundheitsdaten und die Bemessung der Höhe von immateriellen Schäden.
Hier wird es also in jedem Fall noch einmal Update von mir geben.
(Nahezu) jede Datenschutzverletzung kann einen Schaden verursachen
Schadensersatzansprüche können, sofern daraus ein Schaden entstanden ist, nahezu für jede Datenschutzverletzung geltend gemacht werden. Hier nur mal eine kleine Auswahl von aktuellen Urteilen/Verfahren:
- OLG Hamm – 7 U 19/23 vom 15.08.2023: Facebook Datenleck, hier kein Schadensersatz
- aber ebenfalls zum Datenleck: LG Paderborn – 3 O 220/22 (1.000 €), LG Karlsruhe 4 O 108/22 (300 €), LG Trier – 2 O 116/22 (500 €), LG Trier – 2 O 50/22 (500 €)
- OLG Dresden – 4 U 1078/23 vom 29.08.2023: rechtswidriger Schufa-Eintrag, 1.500 EUR
- OLG Köln – 15 U 3/23 vom 04.05.2023, : Unrechtmäßige Verwendung eines Namens in einem Versandkatalog: 1.500 € (als fiktive Lizenzgebühr)
- ArbG Duisburg vom 03.11.2023 – 5 Ca 877/23: Auskunft war „erst“ 19 Tage nach Anfrage verspätet, 750 EUR Schadensersatz
- LG Stuttgart – 18 O 17/23 vom 11.10.2023: 18 O 17/23: diffuses Gefühl des Kontrollverlustes, kein Schadensersatz
- LG Düsseldorf – 12 O 55/22 vom 14.06.2023: unerlaubte Veröffentlichung von intimen Privatvideos, 120.000 EUR
Das sind nur ein paar wenige Entscheidungen, die es aktuell gibt. Wie zuvor erwähnt: Nahezu jede Verletzung kann zu einem Schadensersatzanspruch führen.
Aktuell zeichnen sich dabei 2 Trends heraus. Ein großer Trend sind Massenverfahren gegen große Anbieter wie Facebook und Co. Ein anderer Trend sind Verfahren aus dem Arbeitsrecht. Hier machen meist ehemalige Mitarbeiter einen Anspruch gelten. Das Ganze geht überwiegend mit einem Auskunftverfahren los und endet dann beim Schadensersatz. Die Arbeitsgerichte sind hier tendenziell arbeitnehmerfreundlich.
Aus Europa
Die CNIL (französische Aufsichtsbehörde) einen Developers-Guide für Programmierer veröffentlicht. Ich finde es ein nützliches Tool, um auch die Vorgaben von Privacy by Design und Privacy by Default gut umsetzen zu können.
Der Hamburger Datenschutzbeauftragte hat eine Handreichung zum Umgang mit Datenschutzpannen veröffentlicht.
The Cookie-Blog
Außerdem habe ich natürlich in unserem Blog und auf YouTube ein paar neue Inhalte veröffentlicht:
Fotos auf Veranstaltungen sind immer Thema meiner Beratung. Im Blogbeitrag haben wir man die wichtigsten Punkte zusammengefasst. Dazu gibt es ein Muster für die Datenschutzinformationen, die du bei der Veranstaltung aushängen solltest. Außerdem haben wir uns mal überlegt, was so die 4 häufigsten Datenschutzverletzungem sind. Dazu gibt es auch ein Video.
Ebenfalls ein Dauerbrenner ist die Löschung von Daten. Hier habe ich mal zusammengefasst, worauf es ankommt. Ein Muster für ein Löschkonzept ist ebenfalls dabei.
Dass du für jede Datenverarbeitung eine Rechtsgrundlage brauchst, ist vermutlich auch nicht neu für dich. Wir haben mal aufgeschrieben, welche Rechtsgrundlagen im Datenschutz so möglich sind.
Und last but not least haben wir uns auch mit dem Thema E-Mail-Marketing beschäftigt, insbesondere mit der Frage: Warum die Einwilligung beim E-Mail-Marketing eigentlich nur am Rand ein Datenschutzthema ist
Du hast ein Thema, über das ich schreiben soll? Oder möchtest du lieber gleich ein Video dazu anschauen? Her mit deinen Ideen! Ich freue mich. Und das wars auch schon mit dem Update Datenschutz No 9. In Anbetracht der spannenden Entscheidungen durch den EuGH die noch ausstehen, kommt Update Datenschutz No 10 sicher recht bald.