Die DSGVO verzeiht nicht: Wie mangelhafter Datenschutz Ihr Unternehmen schadensersatzpflichtig macht

Die Karten werden neu gemischt: Am 25. Mai 2018 ist die EU-Datenschutzgrundverordung (DSGVO) in Kraft getreten und nun drohen für Datenschutzverstöße empfindliche Geldbußen. Besonders pikant: Die mit der neuen Rechenschaftspflicht einhergehende Beweislastumkehr kann für verantwortliche Unternehmen zu empfindlichen Schadensersatzforderungen führen.

Die neuen Vorgaben zur Rechenschaftspflicht

Auch wenn die Vorschriften für Datenschutzverstöße im alten Datenschutzrecht eher einen Dornröschenschlaf gehalten haben, heißt das noch lange nicht, dass dies mit der DSGVO ebenso sein muss. Das genaue Gegenteil könnte der Fall sein! Mit der Gesetzesnovelle wird eine völlig neue Rechenschaftspflicht eingeführt, die besonders kleine und mittelständische Unternehmen herausfordern wird.

Der Art. 5 DSGVO bringt es mit wenigen Worten auf den Punkt: Der (für die Daten) Verantwortliche muss die Einhaltung der Datenschutzgesetze nachweisen können. Und zwar nicht nur gegenüber Behörden, sondern insbesondere gegenüber dem Dateninhaber – also in den meisten Fällen dem Kunden. Aber nicht nur das: Die Missachtung von Datenschutzregeln kann sogar wegen Wettbewerbswidrigkeit durch Mitbewerber verfolgt werden.

Der Unternehmer muss beweisen, dass datenschutzkonform gehandelt wird

Wer Daten in unzulässiger Weise verarbeitet oder sonstwie gegen die DSGVO vestößt, kann sich also umfangreich schadensersatzpflichtig machen. Experten vermuten, dass dieses Novum im deutschen Recht dazu führen wird, dass Unternehmen bei Datenschutzverstößen zukünftig tiefer in die Tasche greifen werden müssen. Das erhöhte Risiko liegt vor allem in der Art, wie ein Unternehmer sich aus der Haftung herausnehmen könnte – nämlich fast überhaupt nicht.

Aufgrund der Rechenschaftspflicht liegt die Beweislast neuerdings beim Unternehmer. Er muss nachweisen, dass er datenschutzkonform gehandelt hat, und dabei alle seine datenverarbeitenden Prozesse offenlegen. Je genauer und nachvollziehbarer dokumentiert, desto höher die Chancen, dass eine Exkulpation (Entlastung) möglich ist. Folgende Prozesse sollten Sie daher einer kritischen Prüfung unterziehen:

• Wie werden Daten gespeichert und vor unberechtigtem Zugriff geschützt, haben Sie technische und organisatorische Maßnahmen zum Datenschutz getroffen?
• Verfügen Sie über Löschprozesse, wenn beispielsweise eine Einwilligung zur Verarbeitung personenbezogener Daten widerrufen wurde (Recht auf Vergessenwerden)?
• Haben Sie eine Liste mit allen Auftragsverarbeitern und bestehen entsprechende Verträge?
• Haben Sie ein Verzeichnis mit Verarbeitungstätigkeiten erstellt (Art. 30 DSGVO) beziehungsweise betrifft Sie diese Regelung?
• Sind Sie in der Lage, Datenpannen kurzfristig zu bemerken und innerhalb von 72 Stunden an die zuständigen Behörden zu melden?
• Haben Sie einen Prozess zur Mitteilung an Betroffene, wenn Sie Mitteilungen über Zweckänderungen und Erhebungen über Dritte, versenden müssen?

Nahezu unbegrenzte Höhe des Schadensersatzes

Die gesetzliche Grundlage für Geldbußen findet sich in Art. 83 DSGVO. Darin werden Bußgelder bis zu 4 % des globalen Umsatzes vorgesehen. Diese Gelder fließen an die Behörden, die den Datenschutzverstoß feststellen und ahnden.

Anders verhält es sich mit dem Schadensersatz, der ist dafür da, einen materiellen oder immateriellen Schaden einer Person zu kompensieren, die vom Datenschutzverstoß betroffen ist, das regelt Art. 82 DSGVO. Dafür sieht der Gesetzgeber, anders als bei den Bußgeldern, keine Begrenzung vor.

Interessant dabei ist, dass die Erwägungsgründe der Datenschutzverordnung deutlich machen, dass dem ein weiter Schadensbegriff zugrunde gelegt wird. Nicht nur geldwerte Schäden können geltend gemacht werden, auch sogenannte immaterielle Schäden fallen darunter. Darunter kann man wohl den »Verlust der Kontrolle« über seine Daten fassen. Ebenso unklar wie der Begriff sind auch die Größen der Geldsummen, die hier von Unternehmen gefordert werden könnten.

Das hohe Risiko für Auftragsverarbeiter

Der Anspruch auf Schadensersatz kann sich nach neuer Gesetzeslage nicht nur gegen den Unternehmer, sondern auch gegen den Auftragsverarbeiter richten.

Was bedeutet das für Sie? Empfangen, speichern und verarbeiten Sie eventuell Daten für ein anderes Unternehmen – zum Beispiel Lohnbuchhaltung oder Textaufträge? Dann sind Sie de facto ein Auftragsverarbeiter und haften schlimmstenfalls gesamtschuldnerisch mit dem Unternehmer. Haben Sie selbst gegen eine Pflicht aus dem Auftragsverarbeitungsvertrag verstoßen oder wird diese Verletzung auch nur vermutet, dann kann Art. 82 DSGVO den Anspruch des Klägers ebenfalls nur gegen Sie richten.

Auch hier gilt das Prinzip der Beweislastumkehr: Der Auftragsverarbeiter muss sich entlasten können. Sichern Sie daher nicht nur Ihre datenverarbeitenden Prozesse ab, sondern achten Sie auch auf eine korrekte Formulierung Ihrer Auftragsverarbeitungsverträge.

Fazit: Lieber zu viel dokumentieren als zu wenig

Die Beweislastumkehr für Unternehmer und Auftragsverarbeiter kann aufgrund der neu geregelten Bußgeld- und Schadensersatzforderung zu einer echten Hürde werden. Lassen Sie es nicht darauf ankommen und sichern Sie Ihr Unternehmen in jedem Fall datenschutzrechtlich ab. Mit transparenten Prozessen und einer cleveren Dokumentation wird die neue DSGVO für Sie kein Problem mehr darstellen.