von Tim Wybitul

Überblick

Immer mehr Kläger fordern immateriellen Schadensersatz von Unternehmen, die ihre personenbezogenen Daten verarbeiten. Dementsprechend kommen auch immer mehr Fälle vor Gericht. Allein das deutsche Latham-Team verteidigt Mandanten gegen mehrere tausend Anspruchsteller in solchen Verfahren – Tendenz deutlich steigend. Mittlerweile gibt es auch bereits eine Vielzahl von Entscheidungen zu Schmerzensgeldforderungen wegen tatsächlichen oder vermuteten Verstößen gegen die DSGVO. Diese Entscheidungen finden Sie übersichtlich zusammengefasst und regelmäßig aktualisiert in der Latham DSGVO-Schadensersatztabelle.

Anders als etwa in Österreich gibt es aber bislang kaum Entscheidungen deutscher Obergerichte zur Anwendung von Art. 82 DSGVO. Allerdings entschied das Bundesverfassungsgericht (BVerfG) Anfang 2021, dass letztinstanzlich tätige Gerichte Klagen auf immateriellen Schadensersatz nach Art. 82 DSGVO nicht allein mit der Begründung abweisen dürfen, der vom Kläger erlittene Schaden habe eine gewisse Erheblichkeitsschwelle nicht überschritten. Kommt es für Entscheidungen deutscher Gerichte allein auf die Auslegung der DSGVO als europäische Verordnung an, muss der Europäische Gerichtshof (EuGH) entscheiden. Lesen Sie hier unsere Zusammenfassung zur Entscheidung des BVerfG.

von Tim WybitulDr. Isabelle Brams

Das Landesarbeitsgericht Hamm (Urt. v. 11.5.2021 – 6 Sa 1260/20) hat ein Unternehmen dazu verurteilt, einer ehemaligen Mitarbeiterin 1.000 Euro Schadensersatz nach Art. 82 DSGVO zu zahlen. Damit reiht sich die Entscheidung des Landesarbeitsgerichts in eine Reihe bereits ergangener arbeitsgerichtlicher Entscheidungen zum DSGVO-Schadensersatz im Zusammenhang mit datenschutzrechtlichen Auskunftsanträgen ein. Der vorliegende Überblick fasst die wesentlichen Aspekte der Entscheidung und ihre Folgen für die Praxis zusammen.

Von Tim Wybitul und Johannes Zhou

Immer häufiger müssen Gerichte über Verfahren wegen tatsächlichen oder behaupteten Bußgeldverstößen entscheiden. Hierbei geht es oft um sehr hohe Beträge und erhebliche persönliche Haftung für die beteiligten Entscheidungsträger. Mit der fortschreitenden Digitalisierung nehmen beispielsweise auch Datenpannen und sonstige Cyber Security-Vorfälle zu. Solche Vorgänge können erhebliche geschäftliche und finanzielle Risiken mit sich bringen. Denn bei Cyber Security-Vorfällen spielen häufig datenschutzrechtliche Aspekte eine wichtige Rolle. Unternehmen könnten wegen möglichen Datenschutzverstößen nach der Datenschutz-Grundverordnung (DSGVO) haften. Mittlerweile

Unser Partner und Datenschutzexperte Tim Wybitul diskutiert mit Prof. Dr. Rolf Schwartmann im DataAgenda Datenschutz Podcast über aktuelle Entwicklungen zu Schadensersatz bei DSGVO-Verstößen. Betroffene Personen strengen in der Praxis zunehmend entsprechende Schadensersatzklagen an. Diese Entwicklung stellt Wirtschaftsunternehmen vor erhebliche Herausforderungen.

Zum Podcast geht es hier.

Lesen Sie dazu auch unseren Blog-Beitrag “Verteidigung gegen Schadensersatzklagen wegen Datenschutzverstößen”.

von Tim Wybitul

Mittlerweile haben mehrere deutsche Datenschutzaufsichtsbehörden zweistellige Millionenbußgelder nach Art. 83 DSGVO verhängt. Kurz nach Geltung der DSGVO war es teilweise noch durchaus möglich, sich mit den zuständigen Behörden einvernehmlich auf niedrige Bußgeldzahlungen zu einigen. So konnten wir beispielsweise bei einem der ersten auf der Grundlage der DSGVO verhängten Bußgelder mit der zuständigen Behörde eine Einigung auf eine Zahlung von 20.000 Euro erzielen. Derartige Erfolge werden vor dem Hintergrund der mittlerweile oft sehr hohen in Deutschland und anderen EU-Mitgliedstaaten verhängten Bußgelder wegen Datenschutzverstößen schwieriger.

von Tim Wybitul, Dr. Wolf-Tassilo Böhm, Gail CrawfordMyria SaarinenCharlotte Guerin, Amy Smyth

Die Datenschutzorganisation noyb droht mit über 10.000 Beschwerden wegen möglicher rechtswidriger Verwendung von Cookies.

Am 31. Mai 2021 startete die Datenschutzorganisation noyb (die Abkürzung steht für „none of your business“) eine groß angelegte Kampagne, um möglicherweise rechtswidrige Cookie-Banner und unzulässigen Einsatz von Cookies und vergleichbaren Tracking-Technologien zu bekämpfen. In einer Pressemitteilung gab noyb an, bereits den Betreibern von mehr als 500 vielbesuchter Webseiten Entwürfe für Beschwerden übersandt zu haben. Noch im Laufe dieses Jahres planen die Datenschutzaktivisten nach eigenen Angaben, noch bis zu 10.000 weitere Beschwerden einzureichen.

von Tim WybitulDr. Isabelle BramsAnne KleffmannDr. Tobias Leder

Der Bundesrat hat am 28. Mai 2021 dem „Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt“ (Betriebsrätemodernisierungsgesetz) zugestimmt. Das Gesetz wird damit noch vor der Bundestagswahl in Kraft treten. Die verabschiedete Gesetzesfassung sieht auch eine Regelung zur datenschutzrechtlichen Stellung des Betriebsrats vor. Auf Beschlussempfehlung des Ausschusses für Arbeit und Soziales wurde die geplante Regelung noch um klarstellende Formulierungen zum Verhältnis zwischen Betriebsrat und Datenschutzbeauftragtem ergänzt. Mit dem Betriebsrätemodernisierungsgesetz legt der Gesetzgeber fest, dass der Betriebsrat in datenschutzrechtlicher Hinsicht Teil des Unternehmens ist und seine Datenverarbeitungen der Kontrolle des Datenschutzbeauftragten unterliegen. Diese gesetzliche Klarstellung einer intensiv diskutierten und für die Praxis relevanten Rechtsfrage. Allerdings wirft die getroffene Regelung auch neue Fragen auf.

Compliance-Monitoring: vier Ratschläge für Unternehmen

Von Prof. Dr. Thomas Grützner

Wenn die US-Justiz eine*n Kontrolleur*in einsetzt, wird es für alle Beteiligten anstrengend. Wie ein Compliance-Monitoring abläuft – und worauf es dabei ankommt. Ein Gespräch mit Dr. Kurt Michels, Group Chief Compliance Officer des Volkswagen-Konzerns.

Derzeit laufen weltweit neun US-Monitorships, von denen drei deutsche Unternehmen betreffen. Das zeigt, dass das Thema für Entscheider*innen hochrelevant ist. Aber was genau geschieht bei einem Compliance-Monitoring? Und vor allem: Wie sorgen Verantwortliche dafür, dass es reibungslos und erfolgreich verläuft?

Im Austausch mit Dr. Kurt Michels haben sich vier Ratschläge herauskristallisiert, die betroffene Entscheider*innen beherzigen sollten.

Compliance in Matrix-Organisationen

In Matrix-Organisationen stehen Compliance-Verantwortliche vor besonderen Herausforderungen. Wie sich diese meistern lassen, haben Dr. Tobias Larisch und Dr. Julia Schenkel mit hochkarätigen Expert*innen aus Dax-Konzernen diskutiert. Hier ausgewählte Statements …

… zur Herausforderung für Entscheider*innen:

Dr. Tobias Larisch (Latham Watkins): „Compliance in Matrix-Organisationen ist ein komplexes Thema, weil wir bei globalen Konzernen häufig nicht nur über Landesorganisationen, Tochter- und Enkelgesellschaften gestaffelte Matrixstrukturen sehen: In der Regel sind auch einzelne Unternehmensfunktionen (z. B. HR; Internal Audit etc.) als Matrix organisiert. Das stellt Praktiker regelmäßig vor große Herausforderungen – gerade, was Verantwortlichkeiten und Berichtswege angeht.“

Effektive Verteidigungsstrategien in Datenschutzkonflikten

Von Tim Wybitul und Dr. Isabelle Brams

Unternehmen drohen bei möglichen Datenschutzverstößen mittlerweile hohe Bußgelder und Schadensersatzklagen. Mit welchen Strategien und Argumenten können sich Verantwortliche erfolgreich verteidigen – und was sollten sie jetzt vorbeugend auf den Weg bringen?

Es begann vergleichsweise harmlos: Die ersten Bußgelder für Verstöße gegen die EU-Datenschutz-Grundverordnung (DSGVO) bewegten sich meist im niedrigen fünfstelligen Bereich. Doch inzwischen mussten etliche Unternehmen deutlich höhere Summen zahlen, wiederholt waren zweistellige Millionen-Bußgelder fällig – und das nicht nur in Deutschland.