Die DSGVO sieht bekanntermaßen Bußgelder bei Datenschutzverstößen bis zu 10 bzw. 20 Mio. EUR für Aufsichtsbehörden vor. Dies ist weithin publik und wird von einigen Kollegen sehr gern als „Drohgebärde“ verwendet.
Mal abgesehen davon, dass es bis zur Verhängung von Bußgeldern durch die Behörden ein weiter Weg ist, das eigentliche finanzielle Risiko für Unternehmen liegt woanders: im Schadenersatzanspruch.
Schadenersatz: das eigentliche Verstoßrisiko
Dazu heißt es im Art. 82 Abs. 1 DSGVO: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Dies muss man sich auf der Zunge zergehen lassen. Während materielle Schäden i.d.R. klar bezifferbar sind, liegt die große Unbekannte in den immateriellen Schäden. Dabei handelt es sich um die Verletzung von Persönlichkeitsrechten, z.B. durch eine unbefugte Offenlegung oder Nutzung personenbezogener Daten.
D.h. im Klartext: wenn ich als Unternehmen z.B. einen Mailverteiler öffentlich bekannt mache (das beliebte cc anstatt bcc), begehe ich bereits eine Persönlichkeitsverletzung.
Der aus einer derartigen Verletzung resultierende Anspruch auf Schadenersatz trifft allerdings nicht nur das Unternehmen als Verantwortlichen, sondern kann auch den IT-Dienstleister als Auftragsverarbeiter treffen. Nebenbei bemerkt: dies gilt sowohl bei Vorsatz als auch bei Fahrlässigkeit.
Von dieser Haftung können sich Unternehmen und Dienstleister nur dann befreien, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den strittigen Sachverhalt verantwortlich sind (Art. 82. Abs. 3 DSGVO). D.h. geht es dementsprechend vor Gericht, müssen Verantwortlicher oder Auftragsverarbeiter beweisen, dass sie keine Schuld bezüglich der Verursachung des Schadens treffen. Fehlt in dem Fall eine Datenschutz-Dokumentation, wird es mit dem Beweis der Unschuld sehr schwierig.
Datenschutzverletzung als Geschäftsmodell
Auch wenn der einzelne Ersatzanspruch mit einer Höhe von ca. 500,00 bis 1.500,00 EUR nicht besonders hoch erscheinen mag, so haben dieses Geschäftsfeld einige Marktteilnehmer für sich entdeckt. Durch die Sammlung von Einzelansprüchen kann so durchaus eine beachtliche Schadenersatzforderung in Summe auf das Unternehmen oder den Auftragsverarbeiter zukommen.
Vorbereitung ist die halbe Miete
Was sollte man als Unternehmen aus einem derartigen Haftungsrisiko für sich für eine Konsequenz ziehen?
Erstens: das beliebte „Kopf in den Sand“-Stecken hilft nicht weiter.
Zweitens: mit einer vernünftigen Datenschutz-Dokumentation fällt ein Unschuldsbeweis erheblich leichter
Und last but not least: Vorbereitung ist nicht nur die halbe Miete, Vorbereitung ist alles…