Bußgelder und Schadensersatzansprüche aufgrund von Datenschutzverstößen: Strategien zur Vermeidung und Verteidigung

Zusammenfassung

Überblick

Datenschutzverstöße im Unternehmen können nicht nur zu Reputationsschäden, sondern auch zu Sanktionen und erheblichen Bußgeldern sowie Schadensersatzansprüchen der ggf. in großer Anzahl betroffenen Personen führen und erhebliche wirtschaftliche Nachteile mit sich bringen.

Der Beitrag gibt einen ausführlichen Überblick über die möglichen Sanktionen und Haftungspflichten bei Datenschutzverstößen und zeigt, wie sich Unternehmen dafür schützen können bzw. wie sie sich im Fall der Fälle verhalten sollten.

Gesetze, Vorschriften und Rechtsprechung

EU-Datenschutz-Grundverordnung (DSGVO), Bundesdatenschutzgesetzt (BDSG), Ordnungswidrigkeitengesetz (OWiG)

1 Sanktionen von Datenschutzverstößen nehmen zu

Ungefähr drei Jahre nach Inkrafttreten der Datenschutz-Grundverordnung ("DSGVO") hat die Verfolgung von Datenschutzverstößen in Deutschland durch die Aufsichtsbehörden langsam an Fahrt aufgenommen. Datenschutzverstöße werden durch die Datenschutzaufsichtsbehörden streng verfolgt und geahndet. In einer Pressemitteilung erklärte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kürzlich:

"Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutz-Grundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden."^[1]

Aufgrund der Möglichkeit der Aufsichtsbehörden, bei Datenschutzverstößen erhebliche Bußgelder zu verhängen (das höchste bislang verhängte Bußgeld betrug 35 Mio. EUR), bergen Datenschutzverstöße für Unternehmen hohe wirtschaftliche Risiken. Neben der Gefahr von Bußgeldern drohen Unternehmen bei Verletzungen der Datenschutzvorschriften zudem Reputationsrisiken sowie weitere finanzielle Verluste durch Schadensersatzklagen von ggf. vielfach und in großer Anzahl Betroffenen.

Aufgrund der Komplexität und der großen Anzahl an gesetzlichen und behördlichen Vorgaben zum Datenschutz ist es für Unternehmen aber oftmals schwierig, die an sie gesetzten Anforderungen vollständig zu erfüllen. Die Praxis zeigt, dass es selbst bei Unternehmen, die bereits Maßnahmen zum Datenschutz implementiert haben, bspw. aufgrund von externen Angriffen oder Unachtsamkeiten einzelner Mitarbeiter zu Datenschutzverstößen kommen kann. Umso mehr gilt dies für Unternehmen, die bislang nur wenige, nicht ausreichende oder gar keine Maßnahmen umgesetzt haben.

Vor diesem Hintergrund und der erheblichen Praxisrelevanz wird in diesem Beitrag gezeigt,

• wie auch Ihr Unternehmen Datenschutzverstöße bestmöglich vermeiden kann (s. Kap. 2),
• welche Konsequenzen im Falle eines dennoch eingetretenen Verstoßes zu erwarten sind (s. Kap. 3) und
• wie eine Verteidigungsstrategie im potenziellen Bußgeldverfahren und im Fall von geltend gemachten Schadensersatzansprüchen aussehen könnte (s. Kap. 4).

[1] Vgl. Pressemitteilung des BfDI v. 09. Dezember 2020: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3 %A4ngtGeldbu%C3 %9Fe1u1.html.

2 Vermeidung von Datenschutzverstößen

Wie einleitend bereits erläutert, existiert eine große Anzahl gesetzlicher und behördlicher Datenschutzvorschriften. Unternehmen müssen sich mit diesen Vorgaben auseinandersetzen, um datenschutzkonform agieren zu können und Datenschutzverstöße zu vermeiden. Wir zeigen – unabhängig von den Details und Einzelfragen – in diesem Artikel überblicksartig auf, welche Strukturen und Prinzipien erfahrungsgemäß in einem Unternehmen implementiert werden sollten, um eine solide Basis zu schaffen, auf deren Grundlage die jeweiligen datenschutzrechtlichen Themen im Einzelnen umgesetzt und Verstöße vermieden werden können:

• Datensicherheit: Der Schutz von personenbezogenen Daten ist ein elementarer Bestandteil des Datenschutzes, dessen Missachtung sowohl Bußgeldverfahren als auch Ansprüche auf Schadensersatz auslösen kann. Es ist daher unerlässlich, ausreichende und effektive Sicherheitsvorkehrungen zu treffen, die insbesondere vor dem Verlust sowie der unbefugten Offenlegung der Daten schützen und jeweils dem aktuellen Stand der Technik entsprechen. Als Orientierungshilfe für solche Schutzmaßnahmen kann zum Beispiel der IT-Grundschutz des BSI oder auch die Checkliste für technische und organisatorische Maßnahmen des Bayrischen Landesamtes für Datenaufsicht dienen. Ebenfalls kann insbesondere bei Unternehmen, die als Auftragsverarbeiter tätig sind, eine Zertifizierung des unternehmenseigenen Informationssicherheitssystems nach der ISO-Norm 27001 hilfreich sein, mit der gleichzeitig die erste Stufe des Datenschutz-Audits durch den Verantwortlichen erfüllt werden kann.
• Privacy by Design: Unternehmen sollten sicherstellen, dass bereits bei der Entwicklung neuer Prozesse oder dem Einkauf neuer Produkte von Beginn an der Datenschutzbeauftragte oder andere Berater im Bereich des Datenschutzes hinzugezogen werden. Diese sollen sicherzustellen, dass auch bei neuen Prozessen und Produkten datenschutzrechtliche Vorschriften von Anfang an eingehalten werden. Denn bereits bestehende Unternehmens...