Abseits von Millionenbußgeldern – kann Datenschutz trotzdem „teuer“ werden?!
Mit freundlicher Genehmigung von it-daily.net
Es muss kein Millionenbußgeld der Aufsichtsbehörde sein, das ein Unternehmen empfindlich trifft. Zu häufig werden in der Öffentlichkeit momentan die Begriffe „Datenschutz“ und „Schadensersatz“ in einem Atemzug genannt. So zumindest aus der Sicht vieler Unternehmer, die letztlich – ob sie wollen oder nicht – mit den faktischen Auswirkungen dieser Diskussion in ihrem praktischen Alltag umgehen müssen.
Doch wie juristisch „real“ ist die kommerzielle Bedrohung durch auf Datenschutz gestützte Inanspruchnahmen für Unternehmen tatsächlich?
Auf den Punkt: Die Schlinge zieht sich zu.
1. Das Pflaster war bereits heiß
Bisher standen vor allem Schadensersatzansprüche „Betroffener“ im Fokus der Medien. Betroffene sind dabei bspw. Kunden, Lieferanten oder Mitarbeiter eines Unternehmens – mit anderen Worten: Personen, mit denen ein Unternehmen im Daily-Doing in Kontakt steht. Verletzt ein Unternehmen datenschutzrechtliche Vorgaben und fügt einem Betroffenen einen Schaden zu, ist es dafür haftbar.
Brisanz erlangt dies im Zusammenhang mit dem Stichwort „Bagatellschäden“. So entschied beispielsweise das Landgericht München am 20.01.2022 (Aktenzeichen 3 O 17493/20, hier geht es zum Volltext), dass ein Kläger aufgrund eines nicht datenschutzkonformen Einsatzes von Google Fonts auf einer Website wegen des von ihm empfundenen Unwohlseins bei einer Weitergabe seiner IP-Adresse an Google 100 € Schadensersatz erhalte.
Kann ein Betroffener also auch einen geringen Schaden erfolgreich geltend machen, z. B. weil er von einem Unternehmen nicht vollständig oder richtig über den Umgang mit seinen Daten informiert wurde – und wenn ja, wie konkret muss er einen erlittenen Schaden überhaupt darlegen? Reicht es bereits aus, wenn der Betroffene ein „unwohles Gefühl“ hatte oder „massiv genervt“ ist?
Das sind Fragen, mit denen sich nicht nur deutsche Gerichte, sondern zwischenzeitlich auch der Europäische Gerichtshof befasst. Unternehmen sollten hier auf eine restriktive Linie des Gerichtshofes hoffen. Denn zieht die Justiz die Schwelle für Schadensersatzansprüche Betroffener zu niedrig, bietet dies Findigen ein Geschäftsmodell.
Machen wir es plakativ: Ein einzelner Betroffener, der 100 € von einem Unternehmen fordert, klingt zunächst nicht sonderlich bedrohlich. Tritt allerdings ein Dritter auf den Plan und „sammelt“ die Schadenersatzforderungen von 10.000 Kunden ein, weil diese bspw. eine unrichtige Datenschutzerklärung erhielten, wird schnell die Dimension möglicher Anspruchswellen deutlich.
2. Das Pflaster wird noch ein wenig heißer
Damit aber nicht genug. Nun betritt ein weitere Player das Feld – der Verbraucherschutzverband. Mit Urteil vom 28.04.2022 (Aktenzeichen C-319/20, hier geht es zur Pressemitteilung) entschied der Europäische Gerichtshof, dass Verbraucherschutzverbände gegen Verletzung des Schutzes personenbezogener Daten Verbandsklagen erheben können.
Verbraucherschutzverbände können also Defizite von Unternehmen im Bereich Datenschutz zukünftig vor Gericht geltend machen. Die konkrete Schädigung Betroffener ist dafür nicht erforderlich. Wir kennen dies bereits aus dem Wettbewerbsrecht. Sieht ein Website-Betreiber kein ordnungsgemäßes Impressum vor, kann er dafür von Verbraucherschutzverbänden in Anspruch genommen werden.
Diese „Überwach- und Schiedsrichterfunktion“ kommt den Verbraucherschutzverbänden nunmehr künftig auch im Bereich Datenschutz zu.
Gegenstand des Verfahrens vor dem Europäischen Gerichtshof war eine Unterlassungsklage des Bundesverbands der Verbraucherzentralen und Verbraucherverbände gegen Meta Platforms Ireland (vormals: Facebook Ireland). Meta macht seinen Nutzern kostenlose Spiele von Drittanbietern zugänglich und habe dabei unter anderem Vorschriften zum Schutz personenbezogener Daten verletzt.
Fraglich war insbesondere, ob ein Verbraucherschutzverband diesen Missstand quasi im Namen der Verbraucher und ohne die konkrete Verletzung von Rechten einzelner Betroffener geltend machen kann. Der Europäische Gerichtshof bejahte dies.
3. Was heißt das in der Praxis
Für die Praxis ist diese Entscheidung relevant. Denn Unternehmen werden künftig damit rechnen müssen, dass ihre Praktiken von Verbraucherschutzverbänden auch aus datenschutzrechtlicher Sicht überprüft – und Missstände beanstandet – werden.
Es ist somit höchste Zeit. Defizite insbesondere im Umgang mit öffentlichkeitswirksamen Datenschutzthemen wie Datenschutzinformationen und Betroffenenrechte kann sich kein Unternehmen mehr leisten. Auch mittelständische Unternehmen können zunehmend in den Fokus rücken und eine „Kopf in den Sand“-Taktik ist damit auch für diese Interessengruppe längst nicht mehr angebracht. Unternehmen ist dringend zu empfehlen, ihre Datenschutz-Compliance vor diesem Hintergrund (erneut) zu bewerten und Lücken schnellstmöglich zu schließen.
Besonderes Augenmerk sollte dabei auf von Jedermann einsehbare Aushängeschilder wie die Unternehmenswebsite gerichtet sein: Entspricht der Cookie-Banner aktuellen Anforderungen; sind genutzte Plugins und ist die Auswertung der Website-Nutzung datenschutzkonform; ist die Datenschutzerklärung vollständig und korrekt etc. Denn hier bieten sich besonders einfach zu sichtende Angriffspunkte.
Author