White Collar & Compliance Academy - Die Verteidigung

Isabelle Brams, Tim Wybitul
Latham & Watkins LLP
Contact
LinkedIn
Facebook
X
Send
Embed

Latham & Watkins LLPEffektive Verteidigungsstrategien in Datenschutzkonflikten

Unternehmen drohen bei möglichen Datenschutzverstößen mittlerweile hohe Bußgelder und Schadensersatzklagen. Mit welchen Strategien und Argumenten können sich Verantwortliche erfolgreich verteidigen – und was sollten sie jetzt vorbeugend auf den Weg bringen?

Es begann vergleichsweise harmlos: Die ersten Bußgelder für Verstöße gegen die EU-Datenschutz-Grundverordnung (DSGVO) bewegten sich meist im niedrigen fünfstelligen Bereich. Doch inzwischen mussten etliche Unternehmen deutlich höhere Summen zahlen, wiederholt waren zweistellige Millionen-Bußgelder fällig – und das nicht nur in Deutschland.

Zugleich steigt das Risiko hoher Schadensersatzforderungen wegen tatsächlicher oder behaupteter DSGVO-Verstöße. So rufen beispielsweise Datenpannen vermehrt kommerzielle Prozessfinanzierer*innen und spezialisierte Verbraucher-Anwält*innen auf den Plan, die Betroffene unterstützen, Ansprüche geltend zu machen und gerichtlich durchzusetzen. Einige dieser Anbieter agieren sehr professionell und werben über verschiedene Medienkanäle aktiv für ihre Leistungen.

Zudem beobachten wir bei den Gerichten eine Tendenz zu durchaus hohen Schadensersatzsummen. Zwar bewegen sich die zugesprochenen Summen pro Fall meist im drei- oder vierstelligen Bereich (siehe dazu unsere DSGVO-Schadensersatztabelle mit einer Übersicht über die aktuelle Rechtsprechung). In der Praxis betreffen Datenschutzverstöße jedoch häufig eine Vielzahl von betroffenen Personen. In derartigen Fällen wächst das Risiko von Massenklagen, welche sich in der Summe zu erheblichen Gesamtbeträgen summieren können. Die damit verbundenen finanziellen Risiken sind nicht zu unterschätzen.

Angesichts dieser Entwicklungen gewinnen effektive Verteidigungsstrategien gegen Bußgeldbescheide und Schadensersatzforderungen erheblich an Bedeutung. Ebenfalls wichtiger werden interne Prozesse, die das Risiko von Datenschutzverstößen minimieren und Verantwortliche zugleich vor dem Vorwurf einer Aufsichtspflichtverletzung schützen.

Entscheider*innen sollten deshalb …

… die Schwächen der gegnerischen Argumentation kennen

Klägeranwält*innen bewegen sich in juristischer Hinsicht nicht selten auf eher dünnem Eis. So begründen sie Schadensersatzforderungen oftmals mit der angeblich „abschreckenden Wirkung“ von DSGVO-Schadensersatz. Einige Gerichte sind dieser Argumentation zuletzt gefolgt, und das, obwohl die DSGVO lediglich mit Blick auf Bußgelder auf eine „abschreckende Wirkung“ abzielt. Dieser Hinweis hat sich in der Praxis als gutes Verteidigungsargument gegen überzogene Schadensersatzforderungen erwiesen.

Zudem konnten wir Gerichte bislang in der Regel davon überzeugen, den Schadensbegriff eng auszulegen. Wir meinen: Eine Haftung von Unternehmen für unbedeutende oder nur subjektiv empfundene Verletzungen des Rechts auf Datenschutz wäre nicht angemessen. Eine solche Haftung für Bagatellverstöße ginge auch mit einem erheblichen Missbrauchsrisiko einher.

In Bußgeldverfahren wiederum vertreten Datenschutzaufsichtsbehörden mehrheitlich die Auffassung, dass Unternehmen pauschal für Verstöße ihrer Beschäftigten haften müssen. Demnach träfe sie auch dann eine Haftung, wenn Vorstandsmitglieder*innen und Geschäftsführer*innen weder von dem Verstoß wussten noch ihre Aufsichtspflicht verletzt haben. Doch auch diese Argumentation ist nach unserer Auffassung von der DSGVO nicht gedeckt.

… stringente Verteidigungsstrategien entwickeln – auch vorbeugend      

Die weitreichende Auffassung vieler Behörden ist eine Steilvorlage für die Verteidigung. Denn es steht nicht im Einklang mit dem Schuldprinzip, wenn Unternehmen für Verstöße geradestehen müssen, die auch durch „gehörige“ Aufsicht nicht zu verhindern gewesen wären. Zudem führt die Rechtsauffassung der Behörden zu Bußgeldbescheiden, die Täter*innen und Tat nicht klar umreißen. Das ist rechtsstaatlich hochgradig fragwürdig. Denn gegen vage Vorwürfe kann man sich bekanntlich nur schwer verteidigen.

Die Rechtsprechung vertritt zu dieser Rechtsfrage bislang noch keine einheitliche Linie. Wir gehen dennoch davon aus, dass Gerichte in Zukunft höhere Anforderungen an die Wirksamkeit von Bußgeldbescheiden stellen werden. Insbesondere könnten Behörden verpflichtet sein, nachzuweisen, dass der gerügte Verstoß gerade durch eine Aufsichtspflichtverletzung verursacht wurde.

Entscheider*innen sollten daher im „Ernstfall“ nachweisen können, dass sie ihre Aufsichtspflichten hinreichend erfüllt haben. Deshalb gilt es – sozusagen als vorbereitende Verteidigung – interne Prozesse auf den Prüfstand zu stellen.

… Datenschutz-Management-Systeme verbessern

Aber was macht ein gutes Datenschutz-Management-System aus? Wann gilt eine Datenschutz-Organisation als effektiv und hinreichend ausgestattet? Dazu gibt es bisher kaum Urteile. Unternehmen können sich jedoch an der Rechtsprechung zur Reichweite von Aufsichtspflichten nach § 130 des Ordnungswidrigkeitengesetzes (OWiG) orientieren.

Unabdingbar ist demnach unter anderem eine unternehmensspezifische Risikoanalyse, eine sorgfältige Auswahl, Instruktion und Kontrolle von Mitarbeiter*innen und die tatsächliche Durchsetzung dieser Vorgaben.

Doch Vorsicht: All das bringt Entscheider*innen wenig, wenn sie die Einhaltung der genannten Vorgaben vor Gericht nicht nachweisen können. Sie sollten deshalb dafür sorgen, dass sämtliche Strukturen und Prozesse sorgfältig dokumentiert werden.

Weiterführende Informationen

Strategien zur erfolgreichen Verteidigung gegen DSGVO-Bußgelder – Data Privacy Litigation

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Latham & Watkins LLP | Attorney Advertising

Written by:

Latham & Watkins LLP
Latham & Watkins LLP
Contact
more
less

PUBLISH YOUR CONTENT ON JD SUPRA NOW

  • Increased visibility
  • Actionable analytics
  • Ongoing guidance

Latham & Watkins LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign Up Log in
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide