IV. Risiken
37
Die Risiken, welche mit Verstößen gegen das Datenschutzrecht einhergehen können, sind divers und teilweise nicht ex ante kalkulierbar. Das zentrale Risiko stellt hierbei die Forderung nach etwaigen Geldzahlungen dar. Derartige Forderungen können diesbezüglich von zwei unterschiedlichen „Anspruchstellern“ kommen. Zum einen können die Aufsichtsbehörden bei Verstößen Bußgelder (nach Inkrafttreten der DSGVO in nunmehr kolossaler Höhe) verhängen. Zum anderen können auch Betroffene, die durch entsprechende Datenschutzverstöße in ihren Rechten verletzt wurden, Schadensersatzforderungen an die Verantwortlichen richten.
1. Bußgelder
38
Eine wesentliche Neuerung hat das Datenschutzrecht hinsichtlich der Höhe der Bußgelder erfahren. Die in Art. 83 DSGVO normierten Bußgelder, welche durch die zuständigen Aufsichtsbehörden erteilt werden können, stellen eine drastische Verschärfung der Sanktionen bei Verstößen im Vergleich zum alten Datenschutzrecht dar. So sieht der Katalog des Art. 83 Abs. 5 DSGVO vor, dass Bußgelder in Höhe von bis zu 20.000.000 EUR und bei Unternehmen sogar bis zu 4 % des Vorjahresumsatzes verhängt werden können. Es ist neben der Verhältnismäßigkeit gemäß Art. 84 Abs. 1 Satz 2 DSGVO ein erklärtes Ziel, dass die Bußgelder abschreckend sind, mithin eine ausreichende Präventionswirkung entfalten.58 Darüber hinaus sind fast alle materiellen Pflichten, die sich aus der DSGVO ergeben, durch den Katalog des Art. 83 DSGVO bußgeldbewehrt.59
39
Dass die Behörden diesen Bußgeldrahmen auch tatsächlich ausschöpfen, zeigt die Praxis. So wurde beispielsweise gegen H&M ein Bußgeld in Höhe von 35 Mio. EUR durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wegen schwerwiegenden Verstößen gegen den Beschäftigtendatenschutz verhängt.
40
Bezüglich der Maßstäbe für die Festlegung der Höhe der Bußgelder bietet Art. 83 Abs. 2 DSGVO einen umfangreichen Kriterienkatalog für die Bemessung der Geldbußen.60 Dieser enthält jedoch nur Vorgaben hinsichtlich des „Wie“ der Bußgeldverhängung. Regelungen bezüglich des „Ob“ macht die Norm den Behörden nicht.61 So ist die Höhe des Bußgeldes gemäß Art. 84 Abs. 2 lit. a) DSGVO von der Art, Schwere und Dauer des Verstoßes abhängig. Auch kommt es auf die Kategorien der personenbezogenen Daten an oder etwa auf den Umfang der Zusammenarbeit mit den Aufsichtsbehörden, um dem Verstoß abzuhelfen, Art. 83 Abs. 2 lit. g) und f) DSGVO.
41
Von besonderer Relevanz für eine Due-Diligence-Prüfung ist Art. 82 Abs. 2 lit. e) DSGVO. Danach wird bei der Festlegung der Höhe des Bußgeldes berücksichtigt, ob bereits frühere Verstöße des Verantwortlichen bei der Aufsichtsbehörde bekannt sind. Bei einer Unternehmenstransaktion tritt der Käufer an die Stelle des bisherigen datenschutzrechtlichen Verantwortlichen. Insofern muss er sich die Datenschutzverstöße seines Vorgängers bei der Bemessung eines Bußgeldes gemäß Art. 83 Abs. 2 lit. e) DSGVO zurechnen lassen. In diesem Lichte ist bei der Durchführung einer Due-Diligence-Prüfung insbesondere darauf zu achten, ob gegen das zu prüfende Unternehmen in der Vergangenheit bereits Bußgelder verhängt wurden.
2. Schadensersatz
42
Ein weiteres Novum der DSGVO liegt darin, dass die Verordnung den Betroffenen bei Datenschutzverstößen gemäß Art. 82 Abs. 1 DSGVO expressis verbis einen immateriellen Schadensersatzanspruch zuschreibt. Das deutsche Schadensersatzrecht zielt primär auf den Ersatz materieller Vermögenschäden ab, vergleiche § 253 BGB. Art. 82 Abs. 1 DSGVO verpflichte Verantwortliche und Auftragsverarbeiter hingegen dazu, auch den immateriellen Schaden des Betroffenen zu ersetzen. In Anbetracht dessen, dass Art. 82 DSGVO im Gegensatz zu den Bußgeldern keine Maximalhöhe des immateriellen Schadens nennt und bei einer Datenpanne zumeist eine Vielzahl von Personen betroffen sein können, stellen Schadensersatzforderungen durch Betroffene ein durchaus schwer zu kalkulierendes Risiko dar. Hinzu kommt, dass der Schadensbergriff weit auszulegen ist.62 Mithin begründet schon der Verstoß gegen datenschutzrechtliche Vorschriften einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Unter Berücksichtigung des effet utile sollen Schadensersatzforderungen darüber hinaus auch eine abschreckende Wirkung entfalten und über das Maß eines symbolischen Schadensersatzes hinausgehen.63
43
Gerade in der jüngsten Vergangenheit zeichnete sich durchaus die Tendenz ab, dass Gerichte diese Auslegungskriterien berücksichtigen und Schadensersatzforderungen entsprechend stattgeben.64
44
Schließlich ist es nicht ausgeschlossen, dass Betroffene neben ihrem Schadensersatzanspruch auch von ihrem Melderecht gemäß Art. 77 Abs. 1 DSGVO bei der zuständigen Aufsichtsbehörde Gebrauch machen und letztlich neben Schadensersatzforderungen auch ein Bußgeld zu zahlen ist.
3. Abmahnung
45
Bisweilen wurde höchstrichterlich nicht abschließend geklärt, ob Datenschutzverstöße auch von Mitbewerbern, etwa auf Grundlage des UWG, abgemahnt werden können. Diese Frage hat der BGH mit Beschluss vom 28.5.2020 dem EuGH als Vorabentscheidung vorgelegt.65 Die nationalen Gerichte entschieden bisweilen uneinheitlich.66 Maßgeblich für die Frage der Anwendbarkeit des UWG ist die Entscheidung, ob es sich bei den Vorschriften der DSGVO um sogenannte „Marktverhaltensregeln“ i.S.d. § 3a UWG handelt.67 In diesem Zusammenhang ist ferner streitig, ob das UWG neben