MH - Fotolia
Schadenersatz und Haftung bei Datenpannen nach DSGVO
Die Datenschutz-Grundverordnung sieht auch Haftung und Recht auf Schadenersatz bei Datenschutzverletzungen vor. Gerichtsurteile zeigen, wann eine Haftung eintritt und wann nicht.
Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro, so eine Umfrage des Digitalverbands Bitkom zum Wirtschaftsschutz 2021. Damit haben kriminelle Attacken erneut für Rekordschäden gesorgt: Die Schadenssumme ist mehr als doppelt so hoch wie in den Jahren 2018/2019, als sie noch 103 Milliarden Euro pro Jahr betrug.
Gerade Ransomware-Attacken haben einen großen Anteil daran. „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, kommentierte Bitkom-Präsident Achim Berg die aktuelle Entwicklung. Systeme würden verschlüsselt und der Geschäftsbetrieb lahmgelegt. Gestohlene Kunden- und Unternehmensdaten erzeugten nicht nur Reputationsschäden, sondern führten auch zum Verlust von Wettbewerbsfähigkeit, mahnte Berg: „Der Diebstahl von geistigem Eigentum kann für die innovationsgetriebene deutsche Wirtschaft schwerwiegende Konsequenzen haben.“
Der Digitalverband Bitkom erläutert auch, wie sich die Schäden auf Seiten der Wirtschaft zusammensetzen. So entstehen die Schäden in der Wirtschaft durch Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen, Erpressung mit gestohlenen Daten oder verschlüsselten Daten, datenschutzrechtliche Maßnahmen (zum Beispiel Information von Kunden), Patentrechtsverletzungen (auch schon vor der Anmeldung), Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen, Umsatzeinbußen durch nachgemachte Produkte (Plagiate), Imageschaden bei Kunden oder Lieferanten/Negative Medienberichterstattung, Kosten für Ermittlungen und Ersatzmaßnahmen, Kosten für Rechtsstreitigkeiten und höhere Mitarbeiterfluktuation/Abwerben von Mitarbeitern.
Schäden durch Datenschutzverletzungen
Sind personenbezogene Daten von dem IT-Sicherheitsvorfall betroffen, was der Regelfall und nicht die Ausnahme ist, gehören zu den genannten Schäden auch mögliche Sanktionen durch die zuständige Aufsichtsbehörde für den Datenschutz, darunter die gefürchteten hohen Geldbußen bei Datenschutzverletzung.
Sieht man speziell auf die Schäden bei Datenpannen, stellt man fest: 4,11 Millionen Euro kostet ein Datenvorfall ein deutsches Unternehmen im Durchschnitt. Deutschland bleibt damit auf Platz vier der teuersten Märkte für Datenpannen: Mit umgerechnet 4,84 Mio. US-Dollar liegen die Kosten bei den untersuchten Unternehmen hierzulande über dem weltweiten Durchschnitt von 4,24 Millionen US-Dollar pro Vorfall. Zu diesen Ergebnissen kommt die neueste Studie – „Cost of a Data Breach“ – des Ponemon-Instituts, die von IBM Security gesponsert und ausgewertet wird.
Mit 38 Prozent machen Geschäftsausfälle im internationalen Vergleich den größten Teil der Kosten eines Datenvorfalls aus. Das sind durchschnittlich 1,59 Mio. US-Dollar an entgangenem Geschäft. Darunter fallen erhöhte Kundenfluktuation, entgangene Umsätze aufgrund von Systemausfällen und die steigenden Kosten für die Akquise. In Deutschland stellen diese Kosten mit 1,29 Mio. Euro jedoch „nur“ den zweitgrößten Posten, während „Erkennung und Eskalation“ mit 1,41 Mio. Euro zu Buche schlagen.
Aber es kann auch zur Haftung und zum Schadensersatz gegenüber den Betroffenen kommen.
Rechtliche Ansprüche der Betroffenen bei Datenpannen
Ein Blick in die Datenschutz-Grundverordnung (DSGVO) zeigt, dass es darin auch um Haftung und Schadensersatz geht. So regelt Artikel 82 DSGVO (Haftung und Recht auf Schadenersatz) unter anderem:
- Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
- Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
- Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
- Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Dabei stellen sich vielen Unternehmen die Fragen danach, wer genau haftet und wann konkret ein Schadensersatz zu leisten ist.
Insbesondere stellt sich die Frage, ob allein der Eintritt einer Datenpanne bereits einen Schadensersatzanspruch nach sich zieht für die Betroffenen dieser Datenschutzverletzung.
Hiermit befassen sich auch die Gerichte in verschiedenen Fällen. Interessant ist dabei auch das Urteil des Oberlandesgerichts (OLG) in Bremen:
„Ein Anspruch auf Schadensersatz nach Art. 82 DSGVO setzt den Eintritt eines materiellen oder immateriellen Schadens voraus. Auch zur Geltendmachung eines Anspruchs auf Ersatz immaterieller Schäden genügt die Behauptung eines Verstoßes gegen die Vorschriften der DSGVO ohne Vorbringen zu einem hierdurch entstandenen immateriellen Schaden nicht.“
Einfach gesagt, muss tatsächlich ein materieller oder immaterieller Schaden eingetreten und nachweisbar sein, damit der Anspruch auf einen Schadensersatz vorliegt. Allein das Auftreten einer Datenschutzverletzung reicht nicht.
Wer ist verantwortlich und wer haftet?
Doch wenn ein Schaden entstanden ist, wen trifft dann die Haftung auf Schadensersatz? Aus gutem Grund spricht die DSGVO von Verantwortlichen, also der natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Kommt es zu einer Datenschutzverletzung, ist naturgemäß der oder die Verantwortliche „verantwortlich“ und nicht etwa der oder die Datenschutzbeauftragte.
So stellen die Aufsichtsbehörden für den Datenschutz entsprechend klar: Schadensersatzansprüche Dritter nach Art. 82 DSGVO sind ausschließlich gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter und nicht gegenüber dem Datenschutzbeauftragten selbst möglich. Es besteht darüber hinaus zudem auch kein Bußgeldrisiko des Datenschutzbeauftragten gegenüber der Aufsichtsbehörde, da er nicht Verantwortlicher der Datenverarbeitung ist. Der Datenschutzbeauftragte hat lediglich eine beratende und unterstützende Funktion.