Wie viel Geld
sind Sorgen wert?
Frau Stegemann, Sie haben sich auf immaterielle Schäden in Datenschutzfällen spezialisiert. Was genau kann man darunter verstehen?
Lea Stegemann Hierbei handelt es sich um das Gegenteil von materiellen Schäden – also solchen, die wirtschaftlich unmittelbar messbar sind. Ein Beispiel: Wenn ich aufgrund einer unzulässigen Datenverarbeitung bei meiner Bank keinen Kredit bekomme und stattdessen einen aufnehmen muss, der teurere Konditionen hat, kann ich klar gegenrechnen: Was ist die Differenz zwischen dem gewährten und dem nicht gewährten Kredit? Rund um Datenschutz gibt es aber viele Schäden, die sich nicht so einfach in Geld übersetzen lassen: Ängste, Sorgen, Bloßstellungen oder wenn man aufgrund eines Datenlecks sein Leben nicht mehr so leben kann, wie man es zuvor getan hat. In Deutschland war es lange gar nicht üblich, dass in solchen Fällen Schadensersatz zugesprochen wird – das ist in Datenschutzfällen anders.
Wieso?
Diese Fälle unterliegen der DSGVO und damit dem EU-Recht. Hier werden gerade ganz neue Maßstäbe gesetzt, was als immaterieller Schaden anerkannt wird – und wie viel sogenanntes Schmerzensgeld den Betroffenen zusteht.
Wie lässt sich so ein Schmerzensgeld überhaupt berechnen?
Gerichte haben hier eine Vorgabe, die aber leider sehr vage ist: Der Schaden, der entstanden ist, muss vollständig ausgeglichen werden. Wie viel aber Angst oder Sorgen tatsächlich wert sind, das ist überhaupt nicht definiert und viele Richterinnen und Richter haben damit noch kaum Erfahrung, was zu sehr unterschiedlich hohen Beträgen führt.
Dr. Lea Stegemann
berät und vertritt als Rechtsanwältin bei der Kanzlei Noerr Unternehmen in komplexen Massenschadensfällen und wehrt Einzelklagen und Sammelklagen von Verbänden und privaten Rechtsdienstleistern ab. Ihr Schwerpunkt liegt auf Schadensersatzansprüchen bei Datenschutzverstößen, zu denen sie promoviert hat und weiter forscht und publiziert. Darüber hinaus ist sie Lehrbeauftragte für Zivilprozessrecht an der Business & Law School Berlin.
Lea Stegemann
Von welchen Summen sprechen wir da?
Nicht jedes Urteil wird veröffentlicht, deswegen lässt sich das nicht so genau sagen. In den bekannten Fällen liegt die Spanne aktuell zwischen 25 und 10.000 Euro pro Person, das betrifft aber alle Datenschutzfälle insgesamt. Wenn wir uns insbesondere Datenlecks anschauen, liegt sie zwischen einem niedrigen dreistelligen und einem niedrigen vierstelligen Betrag pro Person. In der Summe kann das schnell gigantisch werden, teilweise existenzbedrohend für die Unternehmen. Hinzu kommt, dass Cyberattacken und damit verbundene Klagen stark zugenommen haben.
Können Sie das beziffern?
Im Jahr 2019 haben die Gerichte nur etwa 20 Urteile veröffentlicht. Heute haben bereits Tausende eine Klage eingereicht. Viele Richterinnen und Richter, mit denen man spricht, hatten schon Berührungspunkte mit solchen Fällen. In Deutschland gab es auch bereits mehrere Massenschadensfälle, bei denen Hunderte von Personen wegen eines einzigen Datenschutzverstoßes geklagt haben.
Vermutlich auch für Ihre Branche ein lukratives Geschäft?
Auf jeden Fall. Mit meinem Team bei Noerr verteidigen wir Unternehmen nur gegen diese Ansprüche, aber es gibt Kanzleien, die aus Schadensersatzklagen bei Datenschutzverstößen ein Geschäftsmodell gemacht haben. Sie beschäftigen zum Teil viele Gerichte in unterschiedlichen Bundesländern damit. Das hat auch strategische Gründe, weil sie so ausloten, wo solche Klagen besonders erfolgreich sind. Leider führt das auch zu einer besonderen Belastung für Gerichte, da sich viele Richterinnen und Richter neu in die Thematik einarbeiten müssen – und die ist ja sehr komplex.
Woran wird denn festgemacht, ob ein Unternehmen in so einem Fall zur Rechenschaft gezogen werden kann?
Als Unternehmen haftet man, sobald man nicht ausreichend für Sicherheit gesorgt hat. Im Recht wird das als „Stand der Technik eingehalten“ umschrieben. Dieser Begriff ist aber dynamisch und verändert sich ständig. Es ist für Unternehmen zum Teil sehr schwierig, die vorgegebenen Standards zu erreichen und zu halten. Ich würde sagen, es ist fast unmöglich, ein Unternehmen zu unterhalten, das vollständig datenschutzkonform ist. Irgendwelche neuen Entwicklungen gibt es immer, die man nicht mitkriegt, und auch menschliches Versagen lässt sich nie ganz ausschließen.
Wie geht ein Gericht vor, um solche Fälle aus technischer Perspektive zu bewerten?
Wenn es technisch besonders schwierige Fälle sind, ziehen Gerichte oft Sachverständige hinzu, die sehr tief in die Materie einsteigen. Das fängt schon vor dem eigentlichen Vorfall an: Welche Risiken hat das Unternehmen wahrgenommen? Was wurde getan, um diese einzudämmen? Und wo ist der Fehler, der zu dem Vorfall geführt hat? Das ist wahnsinnig komplex und es braucht nicht nur Fachleute, die das gut nachvollziehen können, sondern solche, die das auch dem Gericht gut erklären können.
Was würden Sie als Prozessanwältin Unternehmen raten?
Wichtig ist natürlich, sich möglichst früh rechtlich beraten zu lassen und schnell das richtige Team zusammenzustellen, wenn es zu einem Vorfall kommt. Vor Gericht muss man oft genau diese ersten Schritte vorweisen, die dieses Team unternimmt: dass man den Fehler erkannt und die entsprechenden Maßnahmen eingeleitet hat. Es gibt gewisse Hinweispflichten, die man einhalten muss. Hierbei ist es wichtig, sich genau zu überlegen, wie man die Benachrichtigungen an Betroffene formuliert. Denn auch das kann später bei der Bemessung des entstandenen immateriellen Schadens eine Rolle spielen. An dieser Stelle kann man viel beeinflussen, wenn man die richtigen Worte wählt – und natürlich auch die richtigen Maßnahmen. Es gibt durchaus Möglichkeiten, den Betroffenen in so einer Situation Schutz zu bieten. Die ersten Tage sind also sehr entscheidend, auch aus juristischer Perspektive.
