Aktuelle Entwicklungen im Datenschutz - Teil3: Bußgelder und Schadenersatz

Bei der Durchsetzung des Datenschutzes gehen die europäischen Aufsichtsbehörden aktiv gegen Verstöße vor. Seit Inkrafttreten der DSGVO haben sie insgesamt mehr als 2.000 Sanktionen mit einem Bußgeld-Volumen von mehr als 4 Milliarden Euro verhängt. Im dritten Teil der Serie stelle ich relevante Fälle rund um Bußgeld-Zahlungen und Forderungen auf Schadenersatz vor.

Mehr als 4 Milliarden Euro Strafen

Für die Berechnung von Geldbußen hat der Europäische Datenschutzausschuss Leitlinien formuliert. Dabei werden drei Aspekte berücksichtigt: die Art des Verstoßes, dessen Schwere und der Umsatz des Unternehmens. Aufgrund ihrer Größe führen US-amerikanische Plattformen die Liste der Bußgeld-Zahlungen an. Mehr als die Hälfte der Strafen muss Meta für Verstöße bei Facebook, Instagram und WhatsApp zahlen. Auf Rang 2 steht Amazon mit einer Strafe der luxemburgischen Aufsicht in Höhe von 746 Mio. Euro.

Verstoß gegen Transparenzpflichten

Im Januar 2023 hat die irische Datenschutzbehörde (Data Protection Commission, kurz DPC) eine Strafe in Höhe von 390 Mio. Euro Strafe gegen Meta verhängt. Die Begründung: Facebook und Instagram verstoßen beim Einholen der Nutzer-Zustimmung zur Erhebung von Daten für personalisierte Werbung gegen die Transparenzpflichten. Nach Auffassung der DPC hat Meta die Rechtsgrundlage für die Verarbeitung personenbezogener Daten gegenüber den Nutzern nicht klar dargelegt und damit den Vertrag für die Verarbeitung personenbezogener Daten ungültig gemacht.

Personenbezogene Daten aus der EU in die USA übermittelt

Im Mai 2023 trifft es erneut Meta mit einer Rekordstrafe in Höhe von 1,2 Milliarden Euro. In diesem Fall begründete die DPC ihre Entscheidung damit, dass Meta gegen Artikel 46 Absatz 1 DSGVO verstoßen hat, nachdem das Unternehmen nach einem Urteil des Europäischen Gerichtshofs (EuGH) von 2015 weiterhin personenbezogene Daten aus der EU in die USA übermittelte. In der Klage vor dem Luxemburger Gerichtshof ging es um die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste. Der österreichische Datenschutz-Aktivist Max Schrems hatte das Verfahren ins Rollen gebracht.

Obwohl Meta die personenbezogenen Daten auf der Grundlage der aktualisierten Standardvertragsklauseln übermittelt hat, stellte die DPC fest, dass diese Vereinbarungen die vom EuGH-Urteil festgestellten Risiken für die Grundrechte und -freiheiten der betroffenen Personen nicht beseitigten. Zudem muss Meta jede weitere Übermittlung personenbezogener Daten aus Europa an die USA unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.

Umgang mit Daten Minderjähriger

Im September 2023 hat die DPC eine Strafe in Höhe von 345 Mio. Euro gegen die Videoplattform TikTok verhängt. Die DPC wirft dem Onlinedienst vor, beim Umgang mit Daten Minderjähriger gegen den Datenschutz verstoßen zu haben. Dabei geht es um die Altersüberprüfung bei der Anmeldung und eine Voreinstellung, durch die Beiträge minderjähriger Nutzer für alle sichtbar veröffentlicht werden konnten.

Sensible Daten gespeichert

Die Humboldt Forum Service GmbH (HFS) muss Bußgelder wegen mehrerer Verstöße gegen die DSGVO zahlen. Als Tochterfirma der Stiftung Humboldt Forum ist die HFS für den Besucherservice und Wachaufgaben zuständig. Die HFS hat sensible Mitarbeiterinformationen wie den Gesundheitszustand sowie das Interesse an der Gründung eines Betriebsrats gespeichert. Auf Weisung der HFS-Geschäftsführung hatte eine Vorgesetzte vom März bis Juli 2021 eine Liste aller Mitarbeiter in der Probezeit angelegt, um mögliche Kündigungen vorzubereiten. Wegen dieser Verstöße hat die Berliner Beauftragte für Datenschutz Bußgelder in einer Gesamthöhe von 215.000 Euro verhängt.

Daten von Mietern nicht gelöscht

Dem Immobilienunternehmen Deutsche Wohnen aus Berlin wird vorgeworfen, personenbezogene Daten der Mieter der Immobilien nicht korrekt verwaltet zu haben. Dabei geht es unter anderem um Identitätsnachweise und Daten zur Steuer-, Sozial- und Krankenversicherung sowie Angaben zu Vormietverhältnissen. Die Berliner Datenschutzbehörde wirft der Deutsche Wohnen vor, nicht mehr erforderliche Daten weiter gespeichert und es unterlassen zu haben, Maßnahmen zur Löschung zu treffen. Im Oktober 2020 erließ die Behörde daher ein Bußgeld von über 14 Mio. Euro.

Allerdings setzt ein Verstoß gegen die DSGVO voraus, dass dem Verursacher vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Genau dies kann EuGH-Generalanwalt Sánchez-Bordon in seinen Schlussanträgen vom 27. April 2023 im Fall der Deutsche Wohnen nicht erkennen und erteilt der Forderung nach einer verschuldensunabhängigen Haftung bei Verstößen gegen die DSGVO eine Absage.

 

Anspruch auf Schadenersatz

Neben Bußgeldern droht den Unternehmen Anspruch auf Schadenersatz. Diesen können betroffene Personen bei einem Verstoß gegen die DSGVO verlangen. Da DSGVO-Verstöße häufig große Datenbestände umfassen und somit sehr viele Personen betreffen, können die Ansprüche sogar die Bußgeldrisiken übersteigen.

Um Schadensersatz zuzusprechen, muss das Gericht prüfen, ob die Voraussetzungen dafür erfüllt sind. Mit seinem Urteil vom 4. Mai 2023 hat sich erstmals der EuGH zu den Voraussetzungen des DSGVO-Schadensersatzanspruchs geäußert. Die Richter haben entschieden, dass nicht jeder Verstoß gegen eine Vorschrift der DSGVO automatisch einen Anspruch auf Schadenersatz darstellt.

Der in der DSGVO vorgesehene Anspruch an Schadenersatz ist nach dem EuGH an drei Voraussetzungen geknüpft:

  • Ein Verstoß gegen die DSGVO.

  • Ein materieller oder immaterieller Schaden, der aus dem Verstoß resultiert.

  • Ein Kausalzusammenhang zwischen Schaden und Verstoß.

Alle drei Kriterien müssen vorliegen, um Schadenersatz verlangen zu können. Der EuGH hat allerdings keine Kriterien vorgegeben, wann ein immaterieller Schaden vorliegt.

Ob ein Bewerber bei einer Privatbank Recht auf Schadenersatz hat, muss nun der EuGH entscheiden. Der Mann hatte sich über ein Online-Portal beworben. Im Zuge des Bewerbungsprozesses versandte eine Mitarbeiterin der Bank eine nur für den Bewerber bestimmte Nachricht auch an eine dritte Person, die den Bewerber kannte. Daraufhin klagte der Bewerber und machte geltend, dass nunmehr mindestens eine weitere Person Kenntnis über Umstände habe, die der Diskretion unterlägen.

Der BGH hat das Verfahren ausgesetzt und den EuGH um Klärung gebeten, ob wegen der erneuten Weiterleitung der Daten Ansprüche auf Unterlassung und Schadensersatz bestehen. Außerdem will der BGH wissen, welche Kriterien für einen immateriellen Schaden zugrunde zu legen sind und wie dieser zu bemessen wäre.

Tracking trotz Inkognito-Modus

In den USA können die Forderungen nach Schadenersatz sehr hoch ausfallen und dienen deshalb nur bedingt als Indikator für europäische Entscheidungen. So haben Nutzer eine Klage gegen Google in Kalifornien eingereicht und fordern fünf Milliarden US-Dollar Schadenersatz. Sie werfen dem Unternehmen vor, illegal in die Privatsphäre von Millionen von Menschen eingedrungen zu sein. Der konkrete Vorwurf: auch bei eingeschaltetem Inkognito-Modus des Chrome-Browsers würden Cookies, Analysetools und App-Funktionen die Aktivitäten der Nutzer weiter verfolgen. Der Fall ist noch nicht entschieden. Am 7. August 2023 hat die Richterin Yvonne Gonzalez Rogers den Antrag von Google auf ein Urteil im Schnellverfahren in diesem Prozess abgelehnt. Es bleibt abzuwarten, welche Entwicklungen sich hieraus ggf. auch für europäische Nutzer ergeben.

Wir beraten Unternehmen bei allen Aspekten um den Datenschutz. Dabei helfen wir ihnen, die aktuellen Entwicklungen im Blick zu behalten, relevante Themen zu identifizieren und vertraglich zu regeln.

Bisher erschienen:

Danielle Hertneck,
Fachanwältin für IT-Recht, Fachanwältin für Gewerblichen Rechtsschutz
hertneck@web-partner.de