28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Dr. Jan Scharfenberg
Director Informationssicherheit
Was hat der BGH entschieden?
In seinem Urteil zum sogenannten Facebook-Scraping hat der BGH die Anforderungen an immateriellen Schadensersatz nach einer Datenschutzverletzung deutlich gesenkt und die Rechte der betroffenen Nutzer gestärkt. Hintergrund war, dass Unbekannte eine Sicherheitslücke bei Facebook ausgenutzt und millionenfach personenbezogene Daten abgegriffen hatten.
Ein wesentlicher Knackpunkt des Falles war die Frage, ob der Verlust der Kontrolle über die eigenen personenbezogenen Daten bereits einen immateriellen Schaden darstellt. Dies hat der BGH nunmehr bejaht. Weder muss insoweit eine missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein, noch sind sonstige zusätzliche spürbare nachteilige Folgen erforderlich.
Nach Auffassung des BGH muss der Betroffene in solchen Fällen lediglich nachweisen, dass er Opfer des Vorfalls geworden ist. Es ist weder erforderlich, dass die Daten nachweislich missbraucht wurden, noch dass sie nachweisen müssen, dass ihr Leben nun in besonderer Weise beeinträchtigt ist, etwa durch Angst und Sorge. Der Komplex des Scraping ist damit höchstrichterlich entschieden.
Die konkrete Prüfung des Schadensersatzes und die Berechnung der Höhe des Schadensersatzes obliegt nun dem OLG Köln. Der sechste Zivilsenat des BGH hält jedoch einen Betrag von 100 Euro für angemessen und gibt folgende Anhaltspunkte für die Berechnung bei Vorliegen eines Kontrollverlustes:
- Sensibilität der betreffenden Daten und deren typische Zweckbestimmung,
- Art des Kontrollverlusts (begrenzt oder unbegrenzt),
- Dauer und typischer Aufwand zur Wiedererlangung der Kontrolle (bspw. Rufnummerwechsel).
Der BGH bejahte auch das Feststellungsinteresse im Hinblick auf weitere mögliche Schäden und sprach dem Kläger den Ersatz seiner vorgerichtlichen Anwaltskosten zu.
Hinsichtlich der vom BGH aufgegriffenen Punkte wird der Rechtsstreit zur erneuten Verhandlung an das OLG Köln zurückverwiesen, das über den konkreten Fall abschließend zu entscheiden hat. Die Leitentscheidung des BGH ist nicht bindend; das weitere Verfahren ist offen.
Was heißt das für Unternehmen
Das Urteil hat bedeutende Folgen:
- Weitreichende Bedeutung des Urteils: Die höchstrichterliche Klärung beeinflusst Tausende anhängige Klagen an Landes- und Oberlandesgerichten in Deutschland.
- Erhöhtes Risiko von Klagewellen: Professionelle Klägervertreter werden das Urteil nutzen, um Betroffene zu mobilisieren. Mit Werbekampagnen und teils überzogenen Versprechungen können sie große Gruppen zur Klage bewegen.
- Finanzielle Belastung: Auch kleine Schadensersatzansprüche summieren sich bei vielen Klägern schnell zu erheblichen Beträgen. Hinzu kommen hohe Kosten für die Rechtsverteidigung.
- Rufschädigung: Datenschutzvorfälle und damit verbundene Klagen können das Image eines Unternehmens nachhaltig beeinträchtigen.
Besonders kritisch ist, dass selbst bei guter Datenschutz-Compliance Vorfälle nicht immer ausgeschlossen werden können. Schon der Verdacht eines Verstoßes kann Kläger auf den Plan rufen.
Lernen Sie unsere Expertise im Datenschutz kennen
Wir unterstützen Sie mit ganzheitlicher Datenschutz-Beratung, als externer DSB oder auf Ihre Bedürfnisse zugeschnitten bei Ihrer Compliance.
Wie können sich Unternehmen schützen?
Datenschutz-Compliance überprüfen
Regelmäßige Audits und Schulungen sind unerlässlich, um sicherzustellen, dass die technischen und organisatorischen Maßnahmen (TOM) dem aktuellen Stand der Technik entsprechen. Denn nicht jeder Datenschutzvorfall ist automatisch ein Verstoß gegen die DSGVO. Vielmehr verlangen Art. 24 und 32 DSGVO "nur" angemessene Sicherheitsmaßnahmen. Ist dies der Fall - sind also die TOM angemessen - und kann dies nachgewiesen werden, besteht keine Haftung.
Dokumentation stärken
Unternehmen müssen im Falle von Vorwürfen nachweisen können, dass ihre Datenschutzmaßnahmen angemessen waren. Eine lückenlose Dokumentation ist hierfür unerlässlich. Beispielsweise müssen Unternehmen dokumentieren, dass ihre TOM dem Stand der Technik entsprechen (siehe Punkt a). Diese Dokumentation sollte so aufbewahrt werden, dass sie im Falle einer Klage schnell verfügbar ist.
Vorfälle durch Prävention vermeiden
Implementieren Sie strenge Sicherheitsmaßnahmen, z. B.:
- Verschlüsselung sensibler Daten.
- Zugangskontrollen.
- Sicherheitsupdates und Penetrationstests.
Schnelle Reaktion bei Vorfällen
Sollte es dennoch zu einem Datenschutzvorfall kommen:
- Sofort eine interne Taskforce bilden.
- Anwaltliche Unterstützung hinzuziehen, um Klagen strategisch zu begegnen.
- Datenschutzbehörden und Betroffene rechtzeitig informieren (Art. 33 DSGVO).
Wie kann ISiCO Unternehmen unterstützen?
Als erfahrene Datenschutzberatung bietet ISiCO maßgeschneiderte Unterstützung, um Unternehmen vor Klagewellen zu schützen:
- Compliance-Audits: Wir prüfen Ihre Datenschutzmaßnahmen und identifizieren Schwachstellen.
- Technische und organisatorische Maßnahmen (TOM): Unsere Experten helfen Ihnen, Sicherheitslücken zu schließen und Standards zu erfüllen.
- Krisenmanagement: Im Fall eines Datenschutzvorfalls begleiten wir Sie durch die Krise – von der ersten Analyse bis zur Kommunikation mit Betroffenen und Behörden.
- Schulungen: Wir schulen Ihre Mitarbeitenden, um Datenschutzbewusstsein zu stärken und menschliche Fehler zu minimieren.
- Rechtsberatung: Unsere Partnerkanzleien stehen Ihnen bei der Abwehr von Schadensersatzforderungen zur Seite.
Fazit
Das BGH-Urteil setzt neue Maßstäbe und erhöht die Anforderungen an Unternehmen, Datenschutz ernst zu nehmen. Gleichzeitig bietet es spezialisierten Klägervertretern Munition für Klagewellen, die für Unternehmen teuer und rufschädigend werden können. Eine starke Datenschutz-Compliance und ein strukturiertes Krisenmanagement sind der Schlüssel, um diese Risiken zu minimieren.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern