[datensicherheit.de, 20.02.2021] Laut einer aktuellen Meldung der Kanzlei LATHAM & WATKINS LLP hat das Bundesverfassungsgericht (BVerfG) in einem kürzlich bekanntgewordenen Beschluss klargestellt, dass der Europäische Gerichtshof (EuGH) die Frage nach einer sogenannten Erheblichkeitsschwelle für DSGVO-Schadensersatzansprüche abschließend zu klären hat (Beschluss vom 14. Januar 2021, 1 BvR 2853/19).

Amtsgericht Goslar zu Unrecht davon abgesehen, dem EuGH Frage der Erheblichkeitsschwelle zur Vorabentscheidung vorzulegen

Mit diesem Beschluss habe das BVerfG ein Urteil des Amtsgerichts Goslar vom 27. September 2019 aufgehoben. In diesem Urteil sei es um den unrechtmäßigen Versand einer Werbe-E-Mail gegangen:
„Das Amtsgericht hatte dem Kläger Schadensersatz verwehrt, da die von ihm erlittene Beeinträchtigung die Erheblichkeitsschwelle nicht überschritten habe. Der Kläger erhob Verfassungsbeschwerde.“
Dieser habe argumentiert, „das Amtsgericht habe zu Unrecht davon abgesehen, dem EuGH die Frage der Erheblichkeitsschwelle für DSGVo-Schadensersatzansprüche zur Vorabentscheidung vorzulegen“.

Geringfügige Beeinträchtigung zum Anlass genommen, fehlende Anrufung des EuGH zu rügen

„Es ist bemerkenswert, dass die Verfassungsrichter eine derart geringfügige Beeinträchtigung zum Anlass nehmen, eine fehlende Anrufung des EuGH zu rügen“, sagt Latham-Partner und Datenschutzexperte Tim Wybitul. Damit könne der EuGH wohl demnächst die sehr umstrittene Frage nach der Erheblichkeitsschwelle bei Schäden wegen Datenschutzverletzungen klären.
Diese Entscheidung hat laut Wybitul „erhebliche Folgen für die Praxis“. Der EuGH werde auch die Frage beantworten müssen, ob der europäische Gesetzgeber mit Art. 82 DSGVo tatsächlich in das deutsche Deliktsrecht eingreifen wollte. Dort sei nämlich seit jeher festgeschrieben, dass ein immaterieller Schaden eine gewisse Erheblichkeitsschwelle überschreiten müsse, wenn er Schadensersatz in Geld begründen soll.
Wybitul erläutert: „Die Entscheidung des BVerfG ändert nichts an der Darlegungs- und Beweislast bei Datenschutz-Schadensersatzklagen. Das betrifft etwa den Nachweis eines Verstoßes gegen die DSGVo und die Kausalität zwischen Datenschutzverletzung und behauptetem Schaden.“ In Verfahren nach Art. 82 DSGVo blieben beklagten Unternehmen damit weiterhin Möglichkeiten für eine effektive Verteidigung.

Weitere Informationen zum Thema:

LATHAM & WATKINS LLP
Latham DSGVO-Schadensersatztabelle

datensicherheit.de, 20.01.2021
DSGVO: Schadensersatztabelle gibt Überblick über aktuelle Urteile und Schadenssummen / Latham DSGVO-Schadensersatztabelle online verfügbar

[datensicherheit.de, 16.10.2019
Datenschutzbehörden stellen neuen Bußgeldkatalog offiziell vor / Neue Risiken für Unternehmen und Vorstände

datensicherheit.de, 15.08.2019
Datenschutz: Latham & Watkins rät Unternehmen zu guter Vorbereitung / Viele Unternehmen haben bislang angenommen, deutsche Behörden würden mit hohen Bußgeldern beim Datenschutz nicht Ernst machen

Latham DSGVO-Schadensersatztabelle online verfügbar

[datensicherheit.de, 20.01.2021] Laut einer aktuellen Meldung der Kanzlei LATHAM & WATKINS LLP ist jetzt „Latham DSGVO-Schadensersatztabelle“ online verfügbar – diese soll Praktikern einen Überblick über wichtige aktuelle Entscheidungen zu Schmerzensgeld nach Art. 82 EU-Datenschutz-Grundverordnung (DSGVO) geben. Sie fasst demnach relevante Urteile übersichtlich zusammen, „die Klägern immateriellen Schadensersatz wegen Datenschutzverstößen zusprechen oder ablehnen“.

Abbildung: LATHAM & WATKINS LLP

Latham DSGVO-Schadensersatztabelle – online in der jeweils aktuellen Fassung

Fragestellungen zur Geltendmachung von DSGVO-Schadensersatz

Zudem zeige diese Tabelle, welche Verstöße zu welchen Schadenssummen führten; darüber hinaus auch weitere Entscheidungen, „die wichtige Fragestellungen bei der Geltendmachung von DSGVO-Schadensersatz betreffen“. Sie werde auch künftig regelmäßig mit neuen Entscheidungen aktualisiert.

Nach DSGVO können Kläger auch Ersatz für immaterielle Schäden fordern

Vor deutschen Gerichten häuften sich mittlerweile Klagen auf Schadensersatz wegen Datenschutz-Verstößen. Nach der DSGVO könnten Kläger auch Ersatz für Nichtvermögensschäden (sog. immateriellen Schäden) einklagten. „Geschädigte können demnach auch immaterielle Schäden wegen Datenschutzverstößen einklagen.“ In solchen Verfahren argumentierten etwa viele Kläger und nun auch erste Gerichte, dass bereits ein DSGVO-Verstoß selbst einen Schaden darstelle.

Trend zu höheren Schadensersatzansprüchen bei DSGVO-Verstößen

„Derzeit zeichnet sich bei einigen Gerichten ein Trend zu höheren Schadensersatzansprüchen bei DSGVO-Verstößen ab. Diese Entwicklung kann erhebliche finanzielle und andere Konsequenzen für Daten verarbeitende Unternehmen haben.“ Datenpannen wegen unzureichender IT-Security und andere Verstöße gegen das Datenschutzrecht beträfen häufig nicht nur einzelne Personen, sondern eine Vielzahl von Kunden, Geschäftspartnern oder Mitarbeitern, erläutert Kanzlei-Partner und Datenschutzexperte Tim Wybitul.

Unternehmen sollten sich auf drohende DSGVO-Schadensersatzprozesse einstellen

Wybitul betont: „Unternehmen sind gut beraten, sich effektiv auf drohende Schadensersatzprozesse wegen Datenschutzverletzungen vorzubereiten.“ Die „Latham DSGVO-Schadensersatztabelle“ biete Unternehmen einen Überblick und eine schnelle Orientierung über aktuelle Entscheidungen, „in denen Gerichte Klägern Schadensersatz zugesprochen oder abgelehnt haben“.

Weitere Informationen zum Thema:

datensicherheit.de, 16.10.2019
Datenschutzbehörden stellen neuen Bußgeldkatalog offiziell vor

datensicherheit.de, 19.01.2021
Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze

LATHAM & WATKINS LLP
Latham DSGVO-Schadensersatztabelle / Aktuelle Rechtsprechung zu Art. 82 DSGVO – Stand Januar 2021

[datensicherheit.de, 15.08.2019] Laut einer Mitteilung der Kanzlei LATHAM & WATKINS LLP aus Frankfurt am Main hat die Berliner Datenschutzbehörde angekündigt, „bald Bußgelder in Millionenhöhe wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO) zu verhängen“. Dabei habe die Behörde offengelassen, gegen wen sie konkret ermittelt.

Hohe Bußgelder auch in Deutschland nur eine Frage der Zeit

Viele Unternehmen hätten bislang angenommen, die deutschen Behörden würden mit hohen Bußgeldern beim Datenschutz nicht Ernst machen, so Tim Wybitul, Datenschutzexperte der Kanzlei.
„Dabei war es nach kürzlich wegen DSGVO-Verstößen in anderen EU-Staaten angedrohten bzw. verhängten Bußgeldbescheiden in Höhe von 50, 110 und über 200 Millionen Euro nur eine Frage der Zeit, wann auch Datenschutzbehörden gegen Unternehmen hier in Deutschland hohe Bußgelder verhängen.“

Umfangreiche Dokumentation und Planung erforderlich

Unternehmen könnten sich gegen hohe Bußgeldbescheide vor allem durch eine gute Vorbereitung wehren. Vor Gericht entscheide oft die Beweislage über Erfolg und Misserfolg. Nach der DSGVO müssten Unternehmen nachweisen können, „dass sie alle Vorgaben des Datenschutzes richtig umgesetzt haben“.
In der Praxis sei das eine hohe Hürde, die umfangreiche Dokumentation und Planung erfordere. „Zunächst müssen Unternehmen problematische beziehungsweise risikobehaftete Vorgänge und Geschäftsbereiche identifizieren. Sie sollten Lücken bei der Umsetzung der DSGVO schließen“, rät Wybitul. Zudem sollte die Dokumentation zum Datenschutz so vorbereitet werden, „dass ein Richter sie verstehen kann“.

Verteidigungshandbuch für Krisenfälle erstellen

Vor allem sollte man ein Verteidigungshandbuch haben, „das Vorgehen, Abläufe und Zuständigkeiten klar regelt, wenn die Behörde vor der Tür steht oder ein Anhörungsbogen in der Post ist“. Dabei sollte man auch an mögliche Schadensersatzansprüche von Verbrauchern denken, deren Daten man verarbeitet. „Manche Anwälte und Prozessfinanzierer konzentrieren sich auf Unternehmen, gegen die Bußgelder verhängt werden“, warnt Wybitul.
Latham & Watkins hat nach eigenen Angaben Mandanten „bereits mehrfach erfolgreich bei Bußgeldverfahren beraten“. So habe das Team um Wybitul beispielsweise die Betreiberin einer deutschsprachigen Chat-Community erfolgreich in einem DSGVO-Bußgeldverfahren um gestohlene Nutzerdaten verteidigt. Der maximale Bußgeldrahmen der DSGVO sehe Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des Umsatzes des vorangegangenen Geschäftsjahres vor. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg habe letztlich nur ein sehr niedriges Bußgeld in Höhe von 20.000 Euro gegen diese Mandantin verhängt.

Weitere Informationen zum Thema:

datensicherheit.de, 25.07.2019
facebook-Bußgeld mit Signalwirkung

datensicherheit.de, 25.07.2019
Ein Jahr DSGVO: Immer noch Unsicherheit über die rechtlichen Auswirkungen

datensicherheit.de, 26.06.2019
Ein Jahr DSGVO – Datenschutz und Durchsetzung

datensicherheit.de, 03.06.2019
Unternehmen und DSGVO: Mangelndes Wissen und viel zusätzliche Arbeit

datensicherheit.de, 27.05.2019
DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer

datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch

datensicherheit.de, 03.04.2017
EU-DSGVO: Geschäftsführern und Mitarbeitern drohen Bußgelder in Millionenhöhe