DSGVO Symbol

Der Warnschuss aus dem BAG

Quelle: Marc Dauenhauer

Bislang ist das Datenschutzrecht in Deutschland ein relativ stumpfes Schwert. Zu dieser Einschätzung muss man kommen, wenn man sich die massenhaften Verstöße ansieht, die jeden Tag aus Unwissenheit und Unwillen passieren. Obwohl es immer wieder zu Klagen auf Schadenersatz wegen Datenschutzverstößen kommt, sind deutsche Gerichte weiterhin sehr zurückhaltend, hier auch Schadensersatz zuzusprechen. Zudem kennt das deutsche Recht keine Strafbarkeit von Unternehmen, was die Datenschutzaufsichtsbehörden dazu zwingt, immer auch konkreten Personen eine Verantwortlichkeit für den Datenschutzverstoß nachweisen zu müssen. Dies kann insbesondere bei komplizierten Datenverarbeitungen schwer bis unmöglich sein.

Wenn der EuGH das auch so sieht, kriegt der Datenschutz mal richtig Schwung.

Eine Vorlage des Bundesarbeitsgerichts (BAG) an den EuGH mit Fragen zur Auslegung der DSGVO könnte hier frischem Wind bei der Umsetzung des Datenschutzes in der Europäischen Union und vor allen Dingen auch in Deutschland bringen. Würde der EuGH sich den Positionen des BAG anschließen, würde das zunächst bedeuten, dass

  1. schon ein Datenschutzverstoß an sich zu einem Schadensersatzanspruch des Betroffenen führen würde. Ein „echter“ Schaden müsste dann nicht mehr nachgewiesen werden. Der Schadenersatz würde sich vielmehr an der Schwere des Verstoßes zu orientieren haben.
  2. der zuzusprechende Schadenersatz einen spezial- bzw. generalpräventiven Charakter bekommt und bei aller Angemessenheit auch abschreckend wirken soll.
  3. das im deutschen Zivilrecht bestehende Konstrukt der verschuldensabhängigen Haftung dem Inhalt des Art 28 Abs 1 DSGVO nicht entspräche. Vielmehr würde eine reine Beteiligung des Verantwortlichen an einem Datenschutzverstoß ausreichen. Auf ein Verschulden im Sinne eines „Vertretenmüssen“ käme es nicht mehr an.

Die Positionen finden sich im Vorlagebeschluss des BAG vom 26.08.2021 mit dem Aktenzeichen 8 AZR 253/20 (A) unter Rn 35-40. Hierin führt das BAG aus, dass es auch im Sinne einer EU-weit einheitlichen Anwendung der DSGVO sei, diese unter Umgehung nationalstaatlicher Haftungsregelungen rein auf EU-Ebene zu interpretieren.

Sollte der – meist sehr verbraucherfreundlich entscheidende EuGH – sich den Positionen des BAG anschließen, wären die Konsequenzen für Verantwortliche in ganz Europa erheblich. Ich möchte hier nur einige der wichtigsten Konsequenzen aufzeigen.

Entstehung eines Schadenersatzanspruchs.

Ein Schadenersatzanspruch eines Betroffenen würde unter den o.g. Annahmen grundsätzlich schon bei dem Vorliegen eines Datenschutzverstoßes entstehen. Dabei käme es nur darauf an, dass der Verantwortliche an dem Datenschutzverstoß beteiligt ist. Auf eine Schuld im Sinne des „Vertretenmüssens“ käme es eben nicht mehr an. So würden also auch Datenschutzverstöße in Folge eines technischen Versagens oder einer leichten Fahrlässigkeit zu einem Schadenersatz führen können. Verantwortliche können sich dann nicht mehr hinter einer komplizierten Datenverarbeitung verstecken, bei der am Ende zwar alle Daten öffentlich im Internet stehen, aber niemand zu finden ist, der schuldhaft gehandelt hätte.

Im Klartext, es ist egal, ob es jemand verbockt hat. Ein Datenschutzverstoß unter Beteiligung des Unternehmens bedeutet einen Schadensersatzanspruch des davon Betroffenen.

Die Höhe des Schadenersatzanspruchs würde sich ebenfalls nicht am Grad des Verschuldens sondern am der Schwere des Verstoßes orientieren. Dabei würden die Ansprüche per se so hoch festzusetzen sein, dass davon eine abschreckende Wirkung ausgeht.

Was bedeutet das in der Praxis

Die Verteidigung eines Unternehmens gegen Schadensersatzklagen aus Datenschutzverstößen wird aufwendiger und schwieriger werden. Die Schwelle, die ein Verstoß überschreiten muss, um zu einem Schadenersatz zu führen, dürfte – wenn überhaupt – gering sein. Die DSGVO enthält keine Hinweise auf das Bestehen einer Bagatellgrenze.

Prinzipiell ist jeder Betroffene klageberechtigt. Zudem hat sich gerade erst vor kurzem durch ein Gerichtsurteil bestätigt, dass Schadenersatzansprüche aus Datenschutzverstößen abtretbar sein können, d.h. ähnlich wie bei Fluggastrechten könnten spezialisierte Unternehmen solche Ansprüche „aufkaufen“ und gegen Unternehmen geltend machen. Daher wundert es auch nicht, wenn sich bestimmte Berufsgruppen angesichts dieser Entwicklungen bereits warmlaufen.

Unternehmen tun also gut daran, diesen Vorlagenbeschluss als einen Warnschuss zu verstehen.

Weitere Konsequenzen

Sollten sich Massenklagen (ähnlich wie bei Dieselklagen) durchsetzen, dann könnte dies für Datenschutzmissachter richtig teuer werden. Auch wenn der an den Einzelnen zu zahlenden Schadenersatz klein sein mag. Die Masse macht es sicher ungemütlich. Unternehmen werden sich umstellen müssen und den Datenschutz auch im Sinne des Selbstschutzes beachten müssen. Dies gilt insbesondere für die Auswahl von Dienstleistern, da der Verantwortliche im Rahmen von Auftragsverarbeitungsverträgen auch für die Verstöße seiner Dienstleister in Anspruch genommen werden kann.

Es ist dann vielleicht nicht mehr die allerbeste Idee, die Webseite vom Sohn einer Bekannten bauen zu lassen, wenn der nicht über die notwendige Rechtsexpertise verfügt und bereit ist, die Haftung zu übernehmen. Dies ist ab Dezember sowieso keine gute Idee mehr, da schon mit dem dann in Kraft tretenden TDDSG die Bußgeldgefahr für Verstöße bei Telemedien (u.a. Webseiten) erheblich steigt.

Auf diese Weise wird sich die Spreu vom Weizen trennen, wenn Verantwortliche bei der Beauftragung z.B. von Marketingagenturen zukünftig darauf achten, dass diese für die Rechtskonformität ihrer Arbeitsergebnisse auch eine Haftung übernehmen. Das bedeutet nämlich, dass die Webseiten nicht nur schick sondern auch datenschutzkonform sein müssen, jedenfalls dann, wenn die Agentur langfristig überleben möchte.

In jedem Fall wird Verbrauchern und Betroffenen eine notwendiger Hebel gegeben, sich auch gegen große Datenkraken zu wehren, wenn sie sich zusammenschließen – insbesondere vor dem Hintergrund, dass es auf kurz oder lang auch zu der Möglichkeit von Sammelklagen in der EU kommen wird.

Made in Europe wird alleine nicht reichen.

Vor dem Hintergrund der anhaltenden Diskussion um das Urteil Schrems-II und den transatlantischen Datenverkehr bekommt die BAG-Position noch eine besondere Brisanz, da sich die meisten Unternehmen derzeit in einer dunkelgrauen Grauzone bewegen. Während die Aufsichtsbehörden zwar laut tönen aber derzeit noch nicht signifikant gegen Unternehmen vorgehen, ist es fraglich, ob die Gerichte bei Schadenersatzklagen das gleiche Verständnis aufbringen werden. Dabei bleiben viele Fragestellungen offen.

Um dem Problem zu umgehen, haben einige Verantwortliche reagiert und sind „blind“ zu deutschen oder europäischen Anbietern umgezogen. Damit sind sie erstmal aus dem Visier der Aufsichtsbehörden verschwunden, aber das heißt nicht, dass diese Anbieter wirklich datenschutzkonform arbeiten. Mit Blick auf die potentiell anstehenden Klagemöglichkeiten von Betroffenen tun Unternehmen gut daran, ihre Dienstleister und Auftragsverarbeiter gut zu überprüfen und Haftungsfragen ggf. neu zu verhandeln.