Auswertung der aktuellen Rechtsprechung zu Art. 82 DSGVO
Die Zahl der Schadenersatzklagen wegen Datenschutzverletzungen hat im Jahr 2023 weiter zugenommen. Die in Frage kommenden Verstöße sind vielfältig: sei es eine Verarbeitung ohne Rechtsgrundlage, ein nicht oder zu spät beantwortetes Auskunftsersuchen oder eine unzureichende Information der Betroffenen. Unternehmen sehen sich nach wie vor mit zahlreichen Klagen konfrontiert, in denen zum Teil erhebliche Summen gefordert werden.
Scraping
Im vergangenen Jahr beherrschte das Thema Scraping die Rechtsprechung zu Art. 82 DSGVO. Nachdem auf der Plattform Facebook enorme Mengen von personenbezogenen Daten gesammelt und in verschiedenen Foren im Internet veröffentlicht worden waren, kam es zu einer regelrechten Klagewelle von Betroffenen. Allein in der juris-Datenbank finden sich 75 veröffentlichte Entscheidungen zum Thema Scraping. In den meisten Fällen verlangten die Kläger auf der Grundlage von Art. 82 DSGVO unter anderem die Zahlung eines immateriellen Schadenersatzes in Höhe von 1.000 Euro. Die überwiegende Mehrheit der Klagen war erfolglos. Nur in 16% der Fälle waren die Kläger teilweise erfolgreich. In den Fällen, in denen die Kläger einen Teilerfolg erzielen konnten, betrug der durchschnittlich zugesprochene Betrag 533 Euro.
Sonderfall: Scraping
- Nachdem öffentlich einsehbare personenbezogene Daten auf der Plattform „Facebook“ mittels Scraping gesammelt worden und im Internet in verschiedenen Foren aufgetaucht waren, kam es zu einer Klagewelle.
- Juris-Datenbank enthält 75 Entscheidungen (Stand: November 2023).
- In den meisten Fällen beantragten Betroffene 1.000 Euro Schadenersatz.
- In nur 16% der Fälle waren die Kläger erfolgreich – und das auch nur teilweise.
- Durchschnittlich wurden im Erfolgsfall 533 Euro Schadenersatz zugesprochen.
Weiterhin wenige Klagen erfolgreich
Viele der bereits im letzten reuschlaw Report festgestellten Trends setzen sich fort. Nach wie vor sind die Erfolgsaussichten von Klagen nach Art. 82 DSGVO bescheiden. Lediglich 35% der Klagen sind zumindest teilweise erfolgreich. Dennoch stellt dies einen Anstieg gegenüber den im letzten Jahr konstatierten Zahlen dar – im letzten Jahr waren es nur 30%. Die Erfolgsquote in der Arbeitsgerichtsbarkeit ist mit 67% weiterhin deutlich höher und bleibt im Vergleich zum Vorjahr relativ konstant (Vorjahr: 68%).
Ergebnisse der Auswertung zur Rechtsprechung zu Art. 82 DSGVO
Höhe des zugesprochenen Schadenersatzes fast unverändert
Die durchschnittliche Höhe des zugesprochenen Schadenersatzes ist, lässt man die Scraping-Fälle außen vor, fast unverändert. Der Wert liegt nach wie vor im niedrigen vierstelligen Bereich und beträgt durchschnittlich 2.246,87 Euro. Dabei sticht hervor, dass die Zahl der zuerkannten Schadenersatzansprüche im Bereich über 5.000 Euro im Vergleich zum Vorjahr um 500% angestiegen ist. Auch wenn geringe Beträge den Durchschnittswert niedrig halten, steigt das Risiko, zu hohen Summen verurteilt zu werden. Während im vergangenen Jahr die von der Arbeitsgerichtsbarkeit ausgeurteilten Beträge noch niedriger waren als der oben genannte Durchschnittsbetrag, haben diese sich nun mit durchschnittlich 2.228,94 Euro fast angeglichen.
Hauptursache: Verarbeitung ohne Rechtsgrundlage
Die Auswertung der bisherigen Rechtsprechung zu Art. 82 DSGVO im Hinblick auf die Art der Verstöße ergibt folgendes Bild: Wie bereits im Vorjahr beruht die Mehrzahl der Fälle, in denen Schadenersatz zugesprochen wurde, mit insgesamt 71% auf einer Verarbeitung ohne oder mit falscher Rechtsgrundlage. Erst mit deutlichem Abstand folgen Verstöße gegen Betroffenenrechte (26%) und gegen die Datensicherheit (3%). Mit durchschnittlich 2.567 Euro werden allerdings bei Verstößen gegen die Datensicherheit die höchsten Beträge zugesprochen. Diese liegen bei Verarbeitungen ohne Rechtsgrundlage mit 2.294,80 Euro etwas niedriger. Im Vergleich zum Vorjahr haben sich die verhängten Beträge bei Verstößen gegen die Rechte der Betroffenen deutlich erhöht. Lag der Durchschnittswert im Vorjahr noch bei 1.621 Euro, so ist er nun auf 2.112,50 Euro gestiegen.
Schadenersatz nach Verstößen
Handlungsempfehlungen für Unternehmen
Zwar sind die Erfolgsaussichten mit durchschnittlich 35% (teil-)erfolgreicher Klagen überschaubar. Dennoch sollten sich Unternehmen nicht in Sicherheit wiegen. Wie nicht zuletzt der Scraping-Vorfall bei Facebook zeigt, kommt es bei Datenschutzverstößen immer wieder zu Massenverfahren, die von Anwaltskanzleien zum Teil intensiv beworben werden. Werden personenbezogene Daten aller Kunden ohne Rechtsgrundlage verarbeitet oder werden Mitarbeiter nicht ordnungsgemäß über Verarbeitungsvorgänge informiert, droht im schlimmsten Fall eine Klagewelle, die selbst bei geringen Streitwerten aufgrund der schieren Masse zu einem empfindlichen Risiko für Unternehmen werden kann. Zudem zeigt die steigende Zahl der zugesprochenen Schadenersatzansprüche über 5.000 Euro, dass die Gerichte ihre Zurückhaltung beim Zuspruch hoher Beträge langsam aufgeben.
Um unnötige Risiken zu vermeiden, sollten Unternehmen alle Verarbeitungsvorgänge und die entsprechenden Rechtsgrundlagen prüfen und dokumentieren, auf eine datenschutzkonforme Information der Betroffenen achten und technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreifen. Dies kann durch ein Datenschutz-Compliance-Management-System erreicht werden. Werden Schadenersatzansprüche geltend gemacht, sollte der Anspruch hinsichtlich der Verantwortlichkeit für den Schaden sowie hinsichtlich der geltend gemachten Höhe rechtlich geprüft werden. Zur Vermeidung der Auferlegung von Bußgeldern durch die Datenschutzaufsichtsbehörden sind zudem Meldepflichten bei Datenschutzverstößen zu beachten. Weitere Handlungsempfehlungen für Unternehmen haben wir hier zusammengestellt.