Privacy Litigation
Datenschutzrechtliche Ansprüche
durchsetzen und verteidigen
Sebastian Laoutoumai
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN: 978-3-8005-1762-6
© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main
www.ruw.de
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Druck: WIRmachenDRUCK GmbH, Backnang
Printed in Germany
Vorwort
Der Datenschutzgrundverordung (DSGVO)1 eilte vor ihrer unmittelbaren Geltung in den Mitgliedsstaaten der zweifelhafte Ruf voraus, dass sie durch ihre exorbitant anmutenden Bußgeldandrohungen Unternehmen in die Knie zwingen würde. Und tatsächlich kam es in der Folge auch vereinzelt zu teils sehr hohen Bußgeldern.2 Dass aber ein Unternehmen wegen eines solchen Bußgeldes seinen Geschäftsbetrieb aufgeben musste, dürfte in keinem Fall vorgekommen sein. Ein solcher Fall ist mir jedenfalls seit Geltung der DSGVO nicht bekannt geworden. Der Start war für die DSGVO denkbar ungünstig. Auch hat die Akzeptanz in der Folge stark gelitten. Zum einen bedeutete dieses vermeintlich neue Datenschutzrecht für viele Unternehmen einen enormen Umsetzungsaufwand. Zum anderen ist die DSGVO in zahlreichen Fragen noch auslegungsbedürftig, was zu einer enormen Rechtsunsicherheit bei den Verantwortlichen führt. Diese Rechtsunsicherheit kann gerade bei der Einführung neuer, insbesondere digitaler Geschäftsmodelle als Innovationsbremse empfunden werden. Dabei ist die DSGVO eigentlich mit dem Ziel angetreten, die Rechte der von einer Datenverarbeitung betroffenen Personen zu stärken und dadurch ein positives Signal zu senden. Nach und nach machen auch immer mehr betroffene Personen von ihren Rechten Gebrauch, die ihnen von der DSGVO zur Verfügung gestellt werden. Die private Rechtsdurchsetzung durch die betroffenen Personen stellt Unternehmen vor neue Herausforderungen, insbesondere dann, wenn die einzelnen Sachverhalte gerichtlich durchgesetzt werden. Während sich das Unternehmen im Rahmen eines Bußgeldverfahrens lediglich mit einer Datenschutzaufsichtsbehörde auseinanderzusetzen hat, besteht bei einem Datenschutzvorfall, bei dem zahlreiche Kunden betroffen sein können, die Gefahr einer Inanspruchnahme durch mehrere tausend Einzelpersonen. Der Umgang mit solchen Sachverhalten ist für Unternehmen und deren Berater nicht nur logistisch mit einem hohen Einsatz verbunden, für das Unternehmen ist auch das finanzielle Risiko, insbesondere durch den neu geschaffenen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, kaum vorhersehbar.
Die Anzahl der datenschutzrechtlichen Sachverhalte, die vor den Zivilgerichten zwischen dem verantwortlichen Unternehmen und der betroffenen Person ausgetragen werden, wird zunehmen. Das betrifft zum einen die Durchsetzung der Betroffenenrechte nach den Art. 15ff. DSGVO, aber vor allem die Durchsetzung von Ansprüchen auf Schadensersatz nach Art. 82 DSGVO. Diesem Umstand will das vorliegende Werk Rechnung tragen und einen Überblick über die materiellen und prozessualen Fragen bei der privaten Durchsetzung von datenschutzrechtlichen Ansprüchen geben. Das Werk soll dabei insbesondere eine Lücke zu der bestehenden datenschutzrechtlichen Literatur schließen, indem es sich ausschließlich auf die privatrechtliche Beziehung der Beteiligten konzentriert.
Die Arbeit an einem Werk wie dem Vorliegenden nimmt naturgemäß Zeit in Anspruch, die an anderer Stelle fehlt. Für die damit verbundene Geduld möchte ich meiner Frau und meiner Tochter herzlich danken. Euch ist dieses Buch gewidmet. Ein weiterer Dank gilt Herrn Gereon Walter für dessen tatkräftige Unterstützung.
Sebastian Laoutoumai
1 Verordnung (EU) 2016/679 2 Auswahl: LfD Niedersachsen verhängt Bußgeld in Höhe von 10.400.000,00 EUR; Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld in Höhe von 35.258.708,00 EUR; Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg verhängt Bußgeld in Höhe von 1.240.000,00 EUR; Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld in Höhe von 14.500.000,00 EUR.
Einführung
Die Nachrichten über Datenschutzvorfälle, bei denen auch zahlreiche personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind, mehren sich.3 Dabei können die Ursachen, die zu einem solchen Vorfall geführt haben, unterschiedlich sein. So kann der Datenschutzvorfall darauf zurückzuführen sein, dass Kriminelle von außen in Schädigungsabsicht auf die IT-Systeme des betroffenen Unternehmens zugreifen und sensible Kundendaten stehlen. Ein Datenschutzvorfall kann aber auch auf einer Nachlässigkeit im eigenen Unternehmen beruhen, weil beispielsweise ein Mitarbeiter eine Datei mit sensiblen Kundendaten aus Versehen unverschlüsselt an einen falschen Empfänger versendet. Auch die massenhafte, datenschutzwidrige Überwachung der eigenen Mitarbeiter kann einen solchen Datenschutzvorfall begründen. In all diesen Fällen können Unternehmen nach Art. 33 I DSGVO dazu verpflichtet sein, diesen Datenschutzvorfall innerhalb einer Frist von 72 Stunden nach Bekanntwerden der Verletzung, gegenüber der zuständigen Datenschutzaufsichtsbehörde, zu melden. Verhängt die zuständige Aufsichtsbehörde sodann ein Bußgeld, kommt es gerade bei sehr hohen Bußgeldern zu einer entsprechenden Pressemitteilung durch die Aufsichtsbehörde. Gemeinsam haben diese Sachverhalte auch, dass nicht nur eine einzelne Person von der Verletzung ihrer Rechte betroffen ist, sondern eine Vielzahl von Personen. Für diese ist der Umstand, wie es zu diesem Datenschutzvorfall gekommen ist, in der Regel auch zweitrangig. Maßgeblich sind für die betroffenen Personen die mit diesem Datenschutzvorfall verbundenen Folgen.
Für Unternehmen begründen solche Datenschutzvorfälle, selbst wenn sie diese nicht verschuldet haben, ein erhebliches zusätzliches Prozessrisiko. Denn durch das umfangreiche Anspruchssystem in der DSGVO tritt zunehmend neben das sog. Public Enforcement der Aufsichtsbehörden das sog. Private Enforcement durch die betroffenen Personen selbst. Der bei einem Datenschutzvorfall wichtigste Anspruch der betroffenen Personen ist der auf Ersatz immaterieller Schäden nach Art. 82 DSGVO, mit seinen vordergründig wenigen Anspruchsvoraussetzungen. Und gerade wegen dieser vergleichsweise überschaubaren Anspruchsvoraussetzungen und dem Umstand, dass bei einem Datenschutzvorfall viele Personen bei einem im wesentlichen gleichen Sachverhalt betroffen sind, formieren sich zunehmend Anbieter, die sich auf die klageweise Durchsetzung von Schadensersatzansprüchen spezialisiert haben. Selbst wenn dabei der Schadensersatzanspruch der einzelnen betroffenen Person vergleichsweise moderat ausfällt, so liegt es auf der Hand, dass das finanzielle Risiko des Unternehmens bei einer Vielzahl betroffener Personen ungleich größer ist. So haben bereits erste Gerichte den betroffenen Personen einen Anspruch auf Geldentschädigung nach Art. 82 DSGVO zugesprochen, wobei an dieser Stelle anzumerken ist, dass zahlreichen dieser Entscheidungen noch Einzelsachverhalte zugrunde lagen und selten Datenschutzvorfälle mit einer Vielzahl von betroffenen Personen. Es liegt aber auf der Hand, dass, wenn sich diese Rechtsprechung durchsetzen sollte, auch die Anzahl der Schadensersatzprozesse nach einem Datenschutzvorfall sprunghaft steigen wird. Nachstehende Tabelle soll einen Überblick bereits ergangener Entscheidungen geben, bei denen dem Kläger ein Schadensersatz zugesprochen wurde.4
| Gericht | Aktenzeichen | Höhe des
|
|---|