Immaterieller Schadenersatz bei Verstößen gegen die Datenschutzgrundverordnung

Vom 21. August bis zum 5. September 2018 hatten Cyberkriminelle Zugriff auf personenbezogene Daten von Kunden der britischen Fluggesellschaft British Airways, die in diesem Zeitraum Flüge über die Homepage oder die App gebucht hatten. Es seien rund 380.000 Bank- und Kreditkartenzahlungen betroffen, aber auch Namen, Rechnungsanschriften und E-Mail-Adressen.

Von Franz J Heidinger / Laurin Maran: Vom 21. August bis zum 5. September 2018 hatten Cyberkriminelle Zugriff auf personenbezogene Daten von Kunden der britischen Fluggesellschaft British Airways, die in diesem Zeitraum Flüge über die Homepage oder die App gebucht hatten. Es seien rund 380.000 Bank- und Kreditkartenzahlungen betroffen, aber auch Namen, Rechnungsanschriften und E-Mail-Adressen.

Einer von vielen Datenskandalen in den letzten Jahren. Einer dieser Datenskandale, bei dem sich das Unternehmen reumütig entschuldigt und verspricht, dass so etwas nie wieder vorkommen wird: „Please accept our deepest apologies for the worry and inconvenience that this criminal activity has caused,” heißt es in einer Mail an die betroffenen Kunden von British Airways. In der Regel hörte man dann nichts weiter davon.

Seit 25. Mai 2018 ist allerdings die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, die zumindest derzeit auch noch im Vereinigten Königreich anzuwenden ist und die bei Verstößen drakonische Geldbußen der Behörden vorsieht. British Airways muss nun aber nicht nur die britische Datenschutzbehörde fürchten, sondern auch die 380.000 Kunden, deren Daten gestohlen wurden. Gemäß Art. 82 EU-DSGVO hat nämlich jede Person, der wegen eines Verstoßes gegen die EU-DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

Mehrere britische Rechtsanwaltskanzleien sind derzeit auf der Suche nach betroffenen Kunden und bereiten Sammelklagen gegen die Fluggesellschaft vor. Das Bemerkenswerte daran ist, dass nicht die finanziellen Schäden geltend gemacht werden sollen, die beispielsweise durch den Missbrauch von Kreditkartendaten entstehen können, sondern immaterielle Schäden. Man möchte also eine Entschädigung für die mit dem Data Breach erlittenen Unannehmlichkeiten, Sorgen und Ärgernisse durchsetzen. Aus Insiderkreisen hört man, dass bis zu GBP 5.000,- pro Person eingeklagt werden sollen. Geht man davon aus, dass sich 200.000 Geschädigte dem Verfahren anschließen, ergibt das einen Streitwert von GBP 1 Milliarde (rund EUR 1.142.665.000,-), zuzüglich Verfahrenskosten. Ein Betrag, den British Airways unter Umständen für das mulmige Gefühl der Kunden bezahlen muss, die ihre personenbezogenen Daten in den falschen Händen wissen. Sollten Sie tatsächlich Opfer eines Kreditkartenbetruges werden, wäre dieser Schaden natürlich zusätzlich von Britisch Airways zu bezahlen

In Österreich wurde bislang kein Fall bekannt, bei dem ein Unternehmen auf Grundlage der EU-DSGVO für einen immateriellen Schaden in Anspruch genommen wurde. Es ist jedoch damit zu rechnen, dass Betroffenen bald auf diversen Internetplattformen angeboten wird, neben ihren Ansprüchen aus verspäteten Flügen oder überhöhten Mietzinsen auch Ansprüche wegen Verstößen gegen die EU-DSGVO durchzusetzen.

Ein Unternehmen wird in einem solchen Fall nur dann von seiner Haftung befreit werden, wenn es nachweist, dass es in keiner Weise für den Schaden verantwortlich ist. Es kommt sozusagen zu einer Beweislastumkehr: Der Betroffene muss lediglich beweisen, dass ein Schaden vorliegt, der vom Unternehmen verursacht wurde. Das Unternehmen muss dann nachweisen, dass es in keiner Weise verantwortlich ist und die Regeln der EU-DSGVO eingehalten hat.

Wer darauf nicht vorbereitet ist, kann massive Probleme bei der Abwehr solcher Ansprüche bekommen. Wenn man bedenkt, dass die Datenschutzbehörde eine Geldbuße verhängt, Betroffene Ansprüche für materielle und immaterielle Schäden geltend machen und aufgrund der hohen Sensibilität der Öffentlichkeit mit Umsatzeinbußen zu rechnen ist, könnte ein kleiner Verstoß gegen die EU-DSGVO Folgen haben, die für ein kleines oder mittelständischen Unternehmen nur schwer zu stemmen sind.