Das Gesetz zur Umsetzung der EU-Verbandsklagenrichtlinie ist am 13.Oktober 2023 in Kraft getreten. Mit der neuen Abhilfeklage könnten Massenverfahren in Zukunft noch effizienter von den Gerichten erledigt werden. Damit können Verbände und Organisationen im Namen von Betroffenen Schadensersatzansprüche geltend machen. Diese Art der Sammelklage, die auch in den USA als „class action“ bekannt ist, könnte insbesondere im Zusammenhang mit Art. 82 der DSGVO für Unternehmen teuer werden.

Im Sommer letzten Jahres befasste sich der Europäischen Gerichtshofs (EuGH) grundlegend mit dem Schadensersatz bei der unrechtmäßigen Verarbeitung personenbezogener Daten. Im Fall eines Datenschutzverstoßes durch die österreichische Post hat er entschieden, dass Nutzer ein Recht auf Schadensersatz für die unrechtmäßige Verarbeitung ihrer Daten haben (Az. C-300/21). Ein Anspruch gilt zwar nicht grundsätzlich bei jedem Verstoß – es muss ein Schaden für die betroffene Person entstanden sein – wie schwer dieser Schaden wiegt, ist für das Bestehen des Schadenersatzanspruchs allerdings unerheblich. Das bedeutet, dass Unternehmen bei Datenschutzverstößen auch mit Schadensersatzforderungen rechnen müssen, wenn nur ein geringer Schaden für die betroffene Person entstanden und die Erheblichkeitsschwelle überschritten ist.

Die neueste Rechtsprechung des EuGH hat diese Erheblichkeitsschwelle umfassend konkretisiert, sodass Unternehmen bei Datenschutzverstößen weiterhin mit hohen Schadensersatzforderungen rechnen müssen. Ein Urteil vom 14. Dezember 2023 (Az. C-340/21) hat gezeigt, dass allein die Befürchtung eines Datenmissbrauchs einen immateriellen Schaden darstellen kann, der zu Schadensersatzansprüchen führt. Der EuGH stellte dabei klar, dass eine Befürchtung nur dann ausreichend ist, wenn sie auf einer konkreten Grundlage beruht und nicht bloß vage oder hypothetisch ist. Ein weiteres Urteil vom selben Tag (Az. C-456/22) hat gezeigt, dass auch kurzzeitige Veröffentlichungen personenbezogener Daten zu Schadensersatzansprüchen führen können, ohne dass es hierfür eine Bagatellgrenze gibt. In einem weiteren Urteil vom 15. Januar 2024 (Az. C-687/21) hat der EuGH jedoch klargestellt, dass ein Schmerzensgeld ohne fremde Kenntnisnahme ausscheidet.

Bislang bewegten sich einzelne Schadensersatzforderungen üblicherweise im drei- oder vierstelligen Bereich. Im Zusammenhang mit der Abhilfeklage lässt sich dies jedoch hochskalieren: Ein Datenleak mit einer größeren Anzahl personenbezogener Daten reicht aus, dass Unternehmen schnell einer Millionenforderung gegenüberstehen. Hier gilt im Grundsatz: je sensibler die Daten (z. B. Gesundheitsdaten), desto höher sind die Gefahren.

Die Auswirkungen der aktuellen EuGH-Rechtsprechung auf die Cyberversicherung sind erheblich. Unternehmen sollten ihre Versicherungssumme überprüfen und sich eventuell auf höhere Deckungssummen einstellen. Eine Cyberversicherung bietet einen umfassenden Schutz vor den finanziellen Folgen von Datenschutzverstößen. Eine solche Versicherung kann die Abwehr von Schadensersatzansprüchen abdecken und die Unternehmen vor den finanziellen Folgen schützen. 

Insgesamt ist festzuhalten, dass Unternehmen bei Datenschutzverstößen mit hohen Schadensersatzforderungen und Verbandsklagen rechnen müssen. Ob Verbandsklagen tatsächlich ein wirksames Instrument zur massenhaften Durchsetzung von Schadensersatzansprüchen sein können, bleibt abzuwarten. Die aktuellen Urteile des EuGH zeigen jedoch, dass Unternehmen alle notwendigen Maßnahmen ergreifen müssen, um personenbezogene Daten angemessen zu schützen. Datenschutzverstöße können auch zu einem Vertrauensverlust bei Kunden und Geschäftspartnern führen und das Image des Unternehmens negativ beeinflussen. Daher ist es ratsam, Datenschutzmaßnahmen als Teil eines umfassenden Risikomanagements zu betrachten und proaktiv zu handeln.

Ecclesia Cyber vereint alle Cyber- und IT-Security-Lösungen der Ecclesia Gruppe in einer starken und hoch spezialisierten Einheit. Unsere Kunden erhalten bestmögliche Absicherung gegen Cybergefahren durch marktführende und bei Bedarf maßgeschneiderte Speziallösungen. Sprechen Sie uns gerne jederzeit an!