von Tim WybitulDr. Isabelle Brams

Das Oberlandesgericht Dresden (Urt. v. 30.11.2021 – 4 U 1158/21) hat eine Gesellschaft und ihren Geschäftsführer als Gesamtschuldner zur Zahlung von 5.000 Euro DSGVO-Schadensersatz verurteilt. Das Gericht ging dabei davon aus, dass neben der Gesellschaft auch der Geschäftsführer als eigener datenschutzrechtlich Verantwortlicher einzustufen sei und daher für den Datenschutzverstoß persönlich hafte. Sollten weitere Gerichte dieser Auffassung folgen, hätte dies weitreichende Folgen für die Praxis. Der vorliegende Überblick fasst die wichtigsten Aspekte des Urteils zusammen und gibt einen ersten Überblick über mögliche Verteidigungsstrategien.

von Tim Wybitul

Kläger und spezialisierte Anbieter können mit Massenklagen wegen Datenschutzverstößen viel Geld verdienen. Die Preisfrage bei Meldungen über Datenpannen oder sonstige mögliche Datenschutzverstöße: Wer freut sich darüber? Die Opfer, die deshalb klagen und die Anwälte auf beiden Seiten. Denn für sie können Fehler beim Datenschutz sehr lukrativ sein.

Lesen Sie mehr dazu auf dem Management-Blog der WiWo. Der Gastbeitrag zeigt das Geschäftsmodell der Kläger und spezialisierten Anbieter und die aktuelle Rechtsprechung zum DSGVO-Schadensersatz. Er zeigt, welche Risiken

von Tim Wybitul

Gerade im Datenschutz war 2021 ein Jahr voller Neuigkeiten und Ereignisse. Europäische Datenschutzbehörden haben DSGVO-Bußgelder in dreistelliger Millionenhöhe verhängt. Es dürfte spannend werden, ob mit der Überprüfung dieser Bußgelder befassten Gerichte die von den Datenschutzbehörden verhängten Geldbußen bestätigen. In einem anderen Fall hat das ein deutsches Gericht eine verhängtes Millionenbußgeld bereits für unwirksam erklärt. Auch hier bleibt abzuwarten, wie die Rechtsmittelinstanz entscheiden wird.

von Tim WybitulDr. Isabelle Brams

Nach der Auffassung der Richter soll bereits ein Verstoß gegen datenschutzrechtliche Vorgaben einen zu ersetzenden Schaden nach Art. 82 Abs. 1 EU Datenschutz-Grundverordnung (DSGVO) darstellen. Die Haftung des Verantwortlichen soll zudem kein Verschulden voraussetzen.

Der 8. Senat des Bundesarbeitsgerichts (BAG) hat dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 28. August 2021 einige Rechtsfragen zur Auslegung von Art. 9 und Art. 82 DSGVO zur Vorabentscheidung vorgelegt (Beschl. v. 26.08.2021 – 8 AZR 253/20 (A), hier abrufbar). Das BAG trifft dabei bereits einige recht deutliche Aussagen zu der aus seiner Sicht maßgeblichen Auslegung von Art. 82 DSGVO. Das BAG befürwortet eine sehr weite Auslegung der Norm und stellt ungewöhnlich niedrige Anforderungen an die Geltendmachung von Schadensersatz wegen Datenschutzverstößen. Danach soll bereits der bloße Verstoß gegen die Vorgaben der DSGVO einen ersatzfähigen immateriellen Schaden begründen. Die Haftung nach Art. 82 DSGVO setzt aus Sicht des BAG auch kein schuldhaftes Handeln des Verantwortlichen voraus. Sollte der EuGH diese extensive Auslegung bestätigen, drohen Unternehmen weitreichende Haftungsrisiken bis hin zu DSGVO-Massenklagen. Aber auch für bereits jetzt schon vor deutschen Gerichten anhängige Klagen wegen DSGVO-Schmerzensgeldern hat die Entscheidung Auswirkungen. Der vorliegende Beitrag stellt den Beschluss des BAG und seine Folgen für die Praxis dar.

von Tim Wybitul, Prof. Dr. Thomas Grützner, Dr. Stefan Bartz, Dr. Isabelle Brams

Die deutschen Datenschutzbehörden verhängen derzeit Bußgelder wegen Verstößen gegen die DSGVO direkt gegen das jeweilige Unternehmen. Diese Möglichkeit ergibt sich nach Ansicht der Behörden aus dem sogenannten (kartellrechtlichen) „funktionalen Unternehmensbegriff“, der in Erwägungsgrund 150 S. 3 DSGVO angelegt sei. Art. 83 DSGVO enthalte demnach eine Funktionsträgerhaftung, die den Regelungen des deutschen Ordnungswidrigkeitengesetzes (OWiG) vorgehe. Für die Behörden würde dies in der Praxis – vereinfacht gesagt – zu faktischen Beweiserleichterungen bei der Verhängung von Bußgeldern führen.

Das Landgericht Bonn gab den Datenschutzbehörden in dieser Frage in einer Entscheidung aus dem Jahr 2020 Recht. Die nach deutschem Recht geltenden §§ 130, 30 OWiG, die eine zurechenbare Anknüpfungstat einer Leitungsperson voraussetzen, widersprächen EU-Recht. Sie seien daher bei DSGVO-Bußgeldern nicht anwendbar. Das Landgericht Berlin gelangte in einer nicht rechtskräftigen Entscheidung zum gegenteiligen Ergebnis.

von Tim Wybitul

Überblick

Immer mehr Kläger fordern immateriellen Schadensersatz von Unternehmen, die ihre personenbezogenen Daten verarbeiten. Dementsprechend kommen auch immer mehr Fälle vor Gericht. Allein das deutsche Latham-Team verteidigt Mandanten gegen mehrere tausend Anspruchsteller in solchen Verfahren – Tendenz deutlich steigend. Mittlerweile gibt es auch bereits eine Vielzahl von Entscheidungen zu Schmerzensgeldforderungen wegen tatsächlichen oder vermuteten Verstößen gegen die DSGVO. Diese Entscheidungen finden Sie übersichtlich zusammengefasst und regelmäßig aktualisiert in der Latham DSGVO-Schadensersatztabelle.

Anders als etwa in Österreich gibt es aber bislang kaum Entscheidungen deutscher Obergerichte zur Anwendung von Art. 82 DSGVO. Allerdings entschied das Bundesverfassungsgericht (BVerfG) Anfang 2021, dass letztinstanzlich tätige Gerichte Klagen auf immateriellen Schadensersatz nach Art. 82 DSGVO nicht allein mit der Begründung abweisen dürfen, der vom Kläger erlittene Schaden habe eine gewisse Erheblichkeitsschwelle nicht überschritten. Kommt es für Entscheidungen deutscher Gerichte allein auf die Auslegung der DSGVO als europäische Verordnung an, muss der Europäische Gerichtshof (EuGH) entscheiden. Lesen Sie hier unsere Zusammenfassung zur Entscheidung des BVerfG.

von Tim WybitulDr. Isabelle Brams

Das Landesarbeitsgericht Hamm (Urt. v. 11.5.2021 – 6 Sa 1260/20) hat ein Unternehmen dazu verurteilt, einer ehemaligen Mitarbeiterin 1.000 Euro Schadensersatz nach Art. 82 DSGVO zu zahlen. Damit reiht sich die Entscheidung des Landesarbeitsgerichts in eine Reihe bereits ergangener arbeitsgerichtlicher Entscheidungen zum DSGVO-Schadensersatz im Zusammenhang mit datenschutzrechtlichen Auskunftsanträgen ein. Der vorliegende Überblick fasst die wesentlichen Aspekte der Entscheidung und ihre Folgen für die Praxis zusammen.

von Tim Wybitul

Mittlerweile haben mehrere deutsche Datenschutzaufsichtsbehörden zweistellige Millionenbußgelder nach Art. 83 DSGVO verhängt. Kurz nach Geltung der DSGVO war es teilweise noch durchaus möglich, sich mit den zuständigen Behörden einvernehmlich auf niedrige Bußgeldzahlungen zu einigen. So konnten wir beispielsweise bei einem der ersten auf der Grundlage der DSGVO verhängten Bußgelder mit der zuständigen Behörde eine Einigung auf eine Zahlung von 20.000 Euro erzielen. Derartige Erfolge werden vor dem Hintergrund der mittlerweile oft sehr hohen in Deutschland und anderen EU-Mitgliedstaaten verhängten Bußgelder wegen Datenschutzverstößen schwieriger.

von Tim Wybitul, Dr. Wolf-Tassilo Böhm, Gail CrawfordMyria SaarinenCharlotte Guerin, Amy Smyth

Die Datenschutzorganisation noyb droht mit über 10.000 Beschwerden wegen möglicher rechtswidriger Verwendung von Cookies.

Am 31. Mai 2021 startete die Datenschutzorganisation noyb (die Abkürzung steht für „none of your business“) eine groß angelegte Kampagne, um möglicherweise rechtswidrige Cookie-Banner und unzulässigen Einsatz von Cookies und vergleichbaren Tracking-Technologien zu bekämpfen. In einer Pressemitteilung gab noyb an, bereits den Betreibern von mehr als 500 vielbesuchter Webseiten Entwürfe für Beschwerden übersandt zu haben. Noch im Laufe dieses Jahres planen die Datenschutzaktivisten nach eigenen Angaben, noch bis zu 10.000 weitere Beschwerden einzureichen.

von Tim WybitulDr. Isabelle BramsAnne KleffmannDr. Tobias Leder

Der Bundesrat hat am 28. Mai 2021 dem „Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt“ (Betriebsrätemodernisierungsgesetz) zugestimmt. Das Gesetz wird damit noch vor der Bundestagswahl in Kraft treten. Die verabschiedete Gesetzesfassung sieht auch eine Regelung zur datenschutzrechtlichen Stellung des Betriebsrats vor. Auf Beschlussempfehlung des Ausschusses für Arbeit und Soziales wurde die geplante Regelung noch um klarstellende Formulierungen zum Verhältnis zwischen Betriebsrat und Datenschutzbeauftragtem ergänzt. Mit dem Betriebsrätemodernisierungsgesetz legt der Gesetzgeber fest, dass der Betriebsrat in datenschutzrechtlicher Hinsicht Teil des Unternehmens ist und seine Datenverarbeitungen der Kontrolle des Datenschutzbeauftragten unterliegen. Diese gesetzliche Klarstellung einer intensiv diskutierten und für die Praxis relevanten Rechtsfrage. Allerdings wirft die getroffene Regelung auch neue Fragen auf.