Bußgelder sind nicht alles
Liebe Leserinnern und Leser,
Verstöße gegen die DSGVO. Da denkt man stets an hohe Bußgelder. Dies hat sich wieder einmal Anfang Oktober bestätigt, als der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit informierte, dass er ein Bußgeld in Höhe von 35,3 Mio Euro gegen H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen habe. Kern des Vorwurfes der Behörde waren Verstöße gegen das Datenschutzrecht im Rahmen des Umgangs mit Mitarbeiterdaten in einem Service Center in Nürnberg. Laut der Pressemitteilung wurden in dem Unternehmen durch Führungskräfte umfassende Dateien mit Angaben zu privaten Lebensumständen von Mitarbeitern angelegt. Die erhobenen Daten sollen u.a. dafür genutzt worden sein, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Diese Daten waren für bis zu 50 Führungskräfte einsehbar.
Dieser Fall zeigt zum einen, dass Unternehmen den Blick der datenschutzrechtlichen Compliance nicht nur nach außen, also auf die Kunden richten müssen. Auch der Umgang mit Mitarbeiterdaten unterfällt der DSGVO bzw. dem BDSG. Andererseits stellt sich in diesem Fall sicher auch die Frage nach der Verhältnismäßigkeit des Bußgeldes. Denn geht man davon aus, dass die Datenschutzverstöße eigenverantwortlich durch einen internen Kreis an Führungskräften begangen wurden, dürfte sich die Frage nach einem sog. Exzess der Mitarbeiter stellen. In diesem Fall, so auch die DSK in ihrer Entschließung vom 3. April 2019, würde das Unternehmen hierfür nicht haften. Dies könnte man etwa annehmen, wenn es interne Anweisungen oder Leitlinien gab, wie mit Mitarbeiterdaten umzugehen ist. Natürlich spielt in diesem Fall auch die Kontrolle solcher Vorgaben eine Rolle.
Doch wird insbesondere in den letzten Monaten deutlich, dass nicht allein Bußgelder ein mögliches Risiko für Unternehmen bei Datenschutzverstößen sind. Wir sehen zuletzt immer mehr Gerichtsentscheidungen, die sich mit Ansprüchen Betroffener nach Art. 82 DSGVO, also gerichtet auf materiellen oder gar immateriellen Schadensersatz, befassen.
Wie Sie wissen, ist die besondere Neuerung der DSGVO, dass nach Art. 82 Abs. 1 DSGVO jede Person wegen eines Verstoßes gegen die DSGVO einen Anspruch auf Ersatz des immateriellen Schadens hat. Daneben besteht auch Anspruch auf Ersatz immaterieller Schäden. Es wäre meines Erachtens jedoch verfrüht, von gesicherter Rechtsprechung oder einer klaren Rechtslage hinsichtlich möglicher Schadensersatzansprüche zu sprechen. Dafür existieren bei der Auslegung und Anwendung des Art. 82 DSGVO noch zu viele Ungereimtheiten.
Zum einen regelt die DSGVO nicht eindeutig, für welche Arten von Verstößen tatsächlich Schadensersatz verlangt werden kann. Art. 82 Abs. 1 DSGVO spricht von „Verstoßes gegen diese Verordnung“. Das wäre etwa auch ein Verstoß gegen die Pflicht zur Benennung eines DSB; wollte der Gesetzgeber hierfür wirklich Betroffenen Schadensersatz gewähren? Art. 82 Abs. 2 DSGVO hingegen verengt den Anspruch auf den „Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht“ wurde. In Abs. 2 geht es also (nur) um eine rechtswidrige Verarbeitung.
Zum anderen stellen sich für Betroffene als Anspruchsteller Fragen des Nachweises eines Schadens; vor allem, wenn es um den Ersatz eines immateriellen Schadens geht. Dass Betroffene den erlittenen Schaden nachweisen müssen, hat bereits die EU-Kommission im Gesetzgebungsverfahren ausdrücklich auf eine Frage der belgischen Delegation erklärt. Belgien wollte während den Verhandlungen wissen, ob denn allein ein Verstoß gegen die Datenschutzgrundsätze ausreicht, um einen ersatzfähigen Schaden annehmen zu können oder ob der Betroffene dieses nachweisen muss. Die EU-Kommission antwortete hierauf: „COM said that the data subject had to prove the damage”.
Wie sich die Rechtsprechung rund um den Ersatz materieller als auch immaterieller Schäden weiterentwickelt, müssen wir alle abwarten. Es wird zu diesem Themenkomplex sicher auch noch Entscheidungen des EuGH geben (müssen), bis eine gewisse Rechtssicherheit einkehrt. Solange sollten Unternehmen intern dafür sorgen, dass sie für etwaige Schadensersatzansprüche von Betroffenen vorbereitet sind.
Ihr
Dr. Carlo Piltz
Dieser Beitrag erschien als Editorial in der Ausgabe 11/2020 des Datenschutz-Berater.