Der Europäische Gerichtshof (EuGH) hat im Oktober 2024 mit zwei richtungsweisenden Urteilen die Rechte von Betroffenen bei Datenschutzverletzungen erheblich gestärkt. Im Fokus stehen dabei der „Kontrollverlust“ über personenbezogene Daten und die Möglichkeit, Unterlassungsansprüche nach nationalem Recht geltend zu machen. Diese Entscheidungen werden für Unternehmen und Datenschutzbeauftragte bedeutende Konsequenzen haben. In diesem Beitrag werden die Urteile näher beleuchtet, und es werden konkrete Maßnahmen vorgestellt, die Unternehmen ergreifen sollten, um diesen Anforderungen gerecht zu werden.
Kontrollverlust als Schaden – Kein Nachweis konkreter Nachteile erforderlich
In seinem Urteil (Rs. C-200/23) hat der EuGH bekräftigt, dass bereits der Kontrollverlust über personenbezogene Daten einen ersatzfähigen Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt. Der bloße Umstand, dass Betroffene die Kontrolle über ihre Daten verlieren, reicht aus, um Schadensersatz zu fordern. Ein Nachweis konkreter nachteiliger Folgen, wie beispielsweise Identitätsdiebstahl oder finanzieller Verlust, ist nicht notwendig. Dies stellt eine erhebliche Ausweitung der Haftung für Unternehmen dar, die personenbezogene Daten verarbeiten.
Das Urteil bestätigt, was der EuGH in früheren Entscheidungen bereits angedeutet hat: Der Begriff des Schadens ist weit auszulegen. Erwägungsgrund 85 der DSGVO führt aus, dass bereits die „Begründung von Ängsten und Sorgen“ bei den Betroffenen einen ersatzfähigen Schaden darstellen kann. Dies bedeutet, dass Unternehmen nicht nur für den tatsächlichen Missbrauch von Daten haften, sondern auch für den Verlust der Kontrolle über diese Daten.
Unterlassungsansprüche nach nationalem Recht
Neben den DSGVO-basierten Ansprüchen hat der EuGH auch klargestellt, dass Betroffene zusätzlich Unterlassungsansprüche nach nationalem Recht geltend machen können. Dies erweitert die rechtlichen Möglichkeiten für Betroffene und führt dazu, dass Unternehmen künftig verstärkt mit Klagen konfrontiert sein könnten, die auf eine künftige Verhinderung von Datenschutzverstößen abzielen.
Konsequenzen für Unternehmen: Maßnahmen zur Risikominimierung
Angesichts der neuen EuGH-Rechtsprechung müssen Unternehmen umgehend Maßnahmen ergreifen, um sich vor möglichen Schadensersatzforderungen und Unterlassungsklagen zu schützen. Hier sind einige der wichtigsten Schritte, die zu berücksichtigen sind:
- Datenschutz-Folgeabschätzung (DSFA) durchführen: Besonders bei neuen Projekten oder Technologien, die personenbezogene Daten verarbeiten, sollte eine DSFA durchgeführt werden. Diese Analyse hilft dabei, potenzielle Risiken eines Kontrollverlusts über Daten frühzeitig zu identifizieren und entsprechende Gegenmaßnahmen zu ergreifen.
- Datenschutzrichtlinien anpassen: Unternehmen sollten ihre internen Datenschutzrichtlinien und -prozesse überprüfen und sicherstellen, dass sie den aktuellen Anforderungen der DSGVO und den EuGH-Urteilen entsprechen. Eine regelmäßige Schulung der Mitarbeiter ist hierbei ebenso unerlässlich.
- Verstärkte Kontrolle und Dokumentation der Datenverarbeitung: Die Nachvollziehbarkeit der Datenverarbeitungsprozesse muss erhöht werden. Unternehmen sollten jederzeit in der Lage sein, nachzuweisen, wer Zugriff auf personenbezogene Daten hatte, und ob diese Daten unrechtmäßig weitergegeben wurden.
- Sicherheitsmaßnahmen verbessern: Die technische und organisatorische Sicherheit der Systeme, die personenbezogene Daten verarbeiten, muss auf dem neuesten Stand sein. Hierzu gehören Maßnahmen wie Verschlüsselung, regelmäßige Sicherheitsaudits und der Einsatz von Technologien zur Überwachung möglicher Datenverluste.
- Vertragliche Vereinbarungen mit Dienstleistern überprüfen: Unternehmen sollten die Verträge mit ihren Auftragsverarbeitern und Dienstleistern dahingehend prüfen, ob diese ebenfalls die strengen DSGVO-Anforderungen erfüllen. Bei Verstößen durch einen Dienstleister kann das verantwortliche Unternehmen haftbar gemacht werden.
- Risikobasierte Kommunikation mit Betroffenen: Falls es zu einem Datenleck kommt, sollten Unternehmen umgehend eine offene Kommunikation mit den Betroffenen führen. Durch Transparenz und zeitnahe Information können potenzielle Ängste der Betroffenen reduziert werden, was sich auch positiv auf mögliche Schadensersatzansprüche auswirken kann.
Ausblick: Verschärfte Haftung durch EuGH-Urteile
Die EuGH-Urteile vom Oktober 2024 führen zu einer weiteren Verschärfung der Haftung für Unternehmen. Der weit gefasste Schadensbegriff und die Möglichkeit zusätzlicher Unterlassungsansprüche machen deutlich, dass Unternehmen ihre Datenschutzstrategie umfassend überarbeiten müssen. Die Rechtsprechung unterstreicht erneut die Bedeutung eines proaktiven Datenschutzmanagements, um mögliche Risiken frühzeitig zu identifizieren und zu minimieren.
Datenschutzverletzungen können nicht nur zu erheblichen finanziellen Belastungen durch Schadensersatzforderungen führen, sondern auch das Vertrauen der Kunden und Partner nachhaltig schädigen. Um dies zu vermeiden, sollten Unternehmen die hier vorgestellten Maßnahmen umgehend umsetzen und kontinuierlich an der Verbesserung ihrer Datenschutzprozesse arbeiten.
Fazit: Prävention ist der Schlüssel
Die Entscheidungen des EuGH verdeutlichen, dass der Schutz personenbezogener Daten auf höchster europäischer Ebene höchste Priorität genießt. Unternehmen, die den Datenschutz nicht ernst nehmen, laufen Gefahr, sich erheblichen Haftungsrisiken auszusetzen. Präventive Maßnahmen, eine transparente Kommunikation und die stetige Verbesserung der Sicherheitsstandards sind daher unabdingbar, um zukünftige Risiken zu minimieren und das Vertrauen der Betroffenen zu wahren.
Quelle:
Für die Erstellung dieses Beitrags wurden diverse Urteile des EuGH sowie Fachartikel herangezogen, darunter auch die EuGH-Entscheidungen zu den Fällen Österreich (C-300/21), Hackerangriff in Bulgarien (C-340/21) und Scalable Capital (C-182/22).
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks
Sie möchten über neue Beiträge automatisch informiert werden? Dann jetzt anmelden!
Abonnieren