Datenschutzverstöße können teuer werden. Das liegt nicht nur an den hohen Bußgeldern. Ein weiteres Risiko sind Schadenersatzansprüche. Die entstehen zum Beispiel, wenn ein Unternehmen personenbezogene Daten unerlaubt speichert oder nicht vor Hackern schützt. Der Europäische Gerichtshof hat nun die Voraussetzungen für Schadenersatzforderungen genauer umrissen: Es muss ein konkreter Schaden nachweisbar sein. Diese neue Entwicklung könnte erhebliche Auswirkungen auf Unternehmen und deren Umgang mit Daten haben.
DSGVO: Schadenersatzanspruch nach einem Verstoß gegen das Datenschutzrecht
Die EU-weit geltende Datenschutzgrundverordnung legt eindeutig fest: Wer die Vorschriften der DSGVO verletzt, haftet. Er muss anderen, die dadurch Schaden erleiden, Schadenersatz leisten (Art. 82 DSGVO). Die wichtigsten Punkte:
- Führen DSGVO-Verstöße bei den Inhabern der personenbezogenen Daten zu einem Schaden, dann haben sie ein einklagbares Recht auf Schadenersatz.
- Das gilt für materielle und immaterielle Schäden. Ein materieller Schaden ist ein Vermögensschaden wie der finanzielle Verlust durch Identitätsdiebstahl. Beispiele für immaterielle Schäden sind Schmerzen, das Öffentlich-Werden sehr privater Informationen oder andere Verletzungen des Persönlichkeitsrechts. Auch das berechtigt zu einer Entschädigung, zum Beispiel zu Schmerzensgeld.
- Haftbar für Schäden durch Datenschutzverstöße sind diejenigen, die über die Speicherung und Verarbeitung der Daten entscheiden, etwa ein Selbstständiger, der Kundendaten ungefragt speichert, oder eine GmbH als juristische Person, die die Daten ihrer Angestellten nicht vor fremden Zugriff schützt. Haftbar sind außerdem „Auftragsverarbeiter“ wie eine selbstständige Datenbank-Administratorin oder der Cloud-Dienstleister, falls sie gegen Anweisungen oder gesetzliche Pflichten verstoßen.
- Die Haftung entfällt nur, wenn die Verantwortlichen oder Auftragsverarbeitenden nachweisen, dass sie keinerlei Verantwortung für den Schaden tragen.
- Sind mehrere Personen oder Unternehmen für einen DSGVO-Verstoß verantwortlich, dann haften sie gesamtschuldnerisch. Angenommen, eine Firma hat ohne Einwilligung Kundendaten erhoben, ein Marketing-Experte hat sie ohne Auftragsverarbeitungsvertrag ausgewertet und ein weiteres Unternehmen die Datensätze dann verkauft. Dann können Geschädigte sich aussuchen, von welchem der Beteiligten sie den vollen Schadenersatz fordern. Dieser muss sich anschließend selbst darum kümmern, von den Mithaftenden ihren Anteil am Schadenersatz zurückzubekommen.
Ist Datenklau per se schon ein Grund für Schadenersatz?
Ungeklärt war lange Zeit, ob der Diebstahl personenbezogener Daten durch Hacker für sich genommen schon für einen Schadenersatzanspruch ausreicht. Diese Frage wurde schließlich in einem Verfahren vor dem Münchener Amtsgericht wichtig. Bei einer in München ansässigen Online-Plattform für Vermögensverwaltung und Wertpapieranlagen hatten Cyber-Kriminelle 2020 Zehntausende von Datensätzen von Nutzern der App entwendet, neben den Depot-Daten auch eine digitale Kopie des Personalausweises, E-Mail- und Postadresse sowie das Geburtsdatum. Allerdings gab es keinen nachweislichen Missbrauch dieser Informationen, etwa um die Identitäten für betrügerische Transaktionen einzusetzen.
Trotzdem verklagten zwei betroffene Kunden den Anbieter der App auf Schadensersatz. Ihrer Ansicht nach bestand ein immaterieller Schaden darin, dass sie mit dem Risiko eines späteren Identitätsdiebstahls leben müssen, weil der App-Anbieter ihre Daten nicht ausreichend geschützt hatte. Das Amtsgericht München legte den Fall und seine Rechtsfragen dem Europäischen Gerichtshof vor.
Keine klaren Vorgaben zum Ersatz immaterieller Schäden nach einem DSGVO-Verstoß
Der EuGH bekräftigte zunächst, dass Schadenersatz auch bei Datenschutzverstößen nicht als Form der Bestrafung dienen darf. Er hat sich allein am Ausmaß des Schadens zu bemessen, nicht an der Schwere des Verschuldens. Ist der Schaden entsprechend gering, kann außerdem bereits ein symbolischer Betrag ausreichen. Allerdings muss der erlittene Schaden in vollem Umfang ausgeglichen werden, und ein immaterieller Schaden durch eine DSGVO-Verstoß ist für den EuGH per se nicht weniger schwerwiegend als etwa eine Körperverletzung (EuGH, 20.06.2024 - C-182/22, C-189/22).
Da die Luxemburger Richter schließlich befanden, dass die bloße Möglichkeit zum Datenmissbrauch noch nicht zum Schadenersatz verpflichtet, bleibt für die Münchener Kläger wenig Hoffnung auf eine großzügige Schadenersatzsumme. Der Diebstahl personenbezogener Daten ist für sich genommen noch kein Identitätsdiebstahl oder ‑betrug.
Trotzdem: Das Schadenersatz-Risiko ist nicht zu unterschätzen
Immerhin müssen Unternehmen, denen Daten von Kunden, Mitarbeitern oder anderen Personen gestohlen wurden, nicht schon allein deshalb mit Schadenersatzforderungen rechnen. Das ist sicher eine Erleichterung, wenn ein Trojaner das Firmennetzwerk infiziert hat oder ein illoyaler Angestellter beim Ausscheiden heimlich die Daten aller Kunden mitgehen ließ.
Trotzdem ist eine solche Situation finanziell riskant. In aller Regel werden von Hackern erbeutete personenbezogene Daten direkt für Cyber-Straftaten missbraucht oder an andere Kriminelle verkauft. Die Gefahr, dass die Betroffenen Opfer von Missbrauch ihrer Daten werden, ist also hoch. Und dann haben die Inhaber der Daten ganz klar Anspruch auf Schadenersatz.
Weitere Kosten nach einer Sicherheitsverletzung: Informationspflicht und Bußgelder
Dazu kommen weitere Kostenfaktoren nach einem Datendiebstahl oder einem anderen Verstoß gegen das Datenschutzrecht:
- In einem solchen Fall müssen Verantwortliche alle Betroffenen über den Vorfall informieren. Dieser Punkt wird leicht unterschätzt: Wenn Hacker eine Datenback mit mehreren Tausend Datensätzen zu natürlichen Personen erbeuten, muss das betreffende Unternehmen jede einzelne davon identifizieren und nachvollziehbar informieren. Das bedeutet großen Aufwand und kann teuer werden, besonders wenn die Daten dafür erst rekonstruiert werden müssen.
- Außerdem ermöglicht die DSGVO bei Verstößen Bußgelder in großer Höhe. Grundsätzlich sind bis zu 2 Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes möglich, in besonders schwerwiegenden Fällen sogar das Doppelte. Auch wenn das nur in Extremfällen verhängt wird, sind fünf- oder sechsstellige Bußgelder an der Tagesordnung.
Es lohnt sich, IT-Sicherheit und Datenschutz ernst zu nehmen
Die DSGVO schreibt ganz klar vor, dass alle, die mit personenbezogenen Daten umgehen, diese „durch geeignete technische und organisatorische Maßnahmen“ vor unbefugtem Zugriff schützen müssen (Art. 25 DSGVO). Stellt sich nach einem Hackerangriff heraus, dass die IT-Sicherheit nicht auf professionellem Stand war, liegt ein DSGVO-Verstoß vor – mit den oben beschriebenen, teuren Folgen.
Andere Datenschutzverstöße entstehen aus mangelndem Bewusstsein für die Rechtslage, etwa dafür, dass man die Liste von Kunden und Interessenten nicht einfach an Dritte verkaufen kann, wenn die Betroffenen nicht nachweislich zugestimmt haben. Solche Sorglosigkeit kann Selbstständige und Unternehmen im schlimmsten Fall ruinieren. Es zahlt sich aus, die Rechtslage in Datenschutzfragen ernst zu nehmen.
Lektüretipps
Weiterführende Informationen zu Steuer- und Buchführungsthemen finden Sie im orgaMAX-Blog und im Newsletter-Archiv:
- Cyberversicherung: Vorsicht mit den Angaben zum Stand der IT-Sicherheit
- Schwarze Listen im Unternehmen: Ist der Datenschutz gewährleistet?
- DSGVO gilt auch für Kleinunternehmen: lieber kein Mut zur Lücke!
- Video-Überwachung im Unternehmen: ist das legal?
- Direktmarketing und DSGVO: Was gilt für die Datennutzung zu Werbezwecken?
- Geschäftliche Nutzung von Fotos: Copyright als Stolperfalle
- Mitarbeiter-Datensätze archivieren nach Personalwechsel:
- Greenwashing: Vorsicht mit „klimaneutral“ und anderen ökologischen Werbeaussagen
- Negative Kommentare und unfaire Bewertungen? Sie können sich wehren!
- Private SIM-Karte im Firmenhandy erlauben? Keine gute Idee
- Raus aus dem Vertrag: Anfechtung, Rücktritt, Widerruf, Kündigung
- Cannabis-Freigabe aus Arbeitgeber-Sicht: mögliche Probleme
- Das Lieferkettengesetz: was bedeutet es für Dienstleister und Lieferanten?
- Lagerbestands-Überwachung: mit orgaMAX Online Lieferengpässe vermeiden
- Geheimhaltungsvereinbarungen: Worauf Sie bei NDA achten sollten