Der BGH entscheidet nun über einen Schadensersatzanspruch für Mastercard-Kunden auf Grundlage der DSGVO. Endlich wird höchstrichterlich geklärt, ob und inwieweit Verbrauchen ein Schadensersatzanspruch bei einem Datenleck zusteht.

Alles was Sie zum Thema Schadensersatz und DSGVO wissen müssen, erfahren Sie in diesem Beitrag. 

Immer wieder Datenlecks bei Unternehmen

In den vergangenen Jahren häufen sich die Meldungen über Datenlecks bei Unternehmen. Oftmals fallen dabei Daten durch sog. Scraping in die Hände der Datendiebe. 

Was ist Scraping?

Beim sog. „Scraping“ (engl. scraping = kratzen/abschürfen) werden Daten von Webseiten extrahiert und gespeichert, damit diese dann analysiert und verwertet werden. Mit dem Begriff „Scraping“ bezeichnet man also technische Verfahren zum Auslesen von Texten aus Computerbildschirmen und Webseiten, die dabei relevante Informationen gezielt extrahieren.

Scraping benutzen zB. auch Reiseportale, wenn man verschiedene Reiseanbieter bei einer Suchmaschine vergleicht. 

Hier werden zwar keine Passwörter bekannt gegeben, aber dennoch kann mit den Daten Missbrauch betrieben werden. Beispielsweise erhalten viele Nutzer nun Phishing E-Mails oder SMS, wodurch man auf manipulierte Webseiten weitergeleitet wird. Rechtliche Fragen werden vor allem dann aufgeworfen, wenn die Daten in den Arbeitsspeichern vervielfältigt und sogar weiterverwendet werden.

Datenleck bei Mastercard

Facebook ist für seinen großen Datenskandal bekannt, aber auch bei Mastercard kam zu einem großen Datenleck, bei dem sogar Kreditkartennummern kursieren! 

Zu den personenbezogenen Daten, die abgegriffen wurden, gehörten aber auch die E-Mail-Adresse, vollständige Namen und das Geburtsdatum. In weiteren Fällen wurde die Handynummer und die Postanschrift illegal verbreitet. 

Unternehmen ziehen sich aus der Verantwortung 

Oftmals ziehen sich Unternehmen bei Datenlecks aus der Verantwortung. Das Ausmaß der Folgen wächst Unternehmen nämlich schnell über den Kopf. Wir beraten Sie bei Ihren unternehmerischen Meldepflichten, damit Sie als Unternehmen souverän mit einer Datenpanne umgehen können. 

Sobald eine Datenschutzverletzungen i.S.d. Art. 4 Nr. 12 DSGVO vorliegt, ist der für die Datenverarbeitung Verantwortliche zur Meldung gem. Art. 33, 34 DSGVO verpflichtet. Eine Meldepflicht besteht bereits, wenn eine hinreichende Kenntnis der Verletzung vorliegt und eine sinnvolle Information der Behörde bereits möglich ist.

Art. 33 Abs. 3 DSGVO

Die anzugebenden Informationen sind in Art. 33 Abs. 3 geregelt. Demnach muss zumindest eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze, sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen. 

Die Unternehmensleitung bzw. die im Unternehmen verantwortliche Stelle muss schnellstmöglich die internen Stellen und die Aufsichtsbehörde informieren. Zeitgleich muss eine Benachrichtigung an die betroffenen Personen über Ausmaß und Umfang der verletzten Daten erfolgen.

Rechtstipp: Wir raten Ihnen intern, falls vorhanden, den Datenschutzbeauftragten, die Personalabteilung, den Compliance-Officer und die Arbeitnehmervertretung zu unterrichten. Die Presseabteilung muss mit dem Unternehmen eng zusammenarbeiten und sollte juristischen Rat einholen. Hierfür steht unser hierfür spezialisiertes Team gerne schnell und unkompliziert Seite. Melden Sie sich bei uns! 

Schadensersatz gem. Art. 82 DSGVO

Mit Art. 82 DSGVO hat der Gesetzgeber eine Regelung geschaffen, welche es Betroffenen ermöglicht Schadensersatz oder Schmerzensgeld zu verlangen, wenn Unternehmen gegen die Pflichten aus der DSGVO verstoßen.

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Rechtstipp: Wenn Sie von dem Datenleak betroffen sind, könnte Ihnen ein Schadensersatz- oder Schmerzensgeldanspruch zustehen! Die Höhe der Ihnen zustehenden Entschädigung hängt von dem Grad der Beeinträchtigung ab, welche Sie erlitten haben. Dazu bieten wir einen Service an, um Ihre maximale Entschädigung zu sichern! 

Fazit

Der BGH wird nun über Umfang und Reichweite des Art. 82 DSGVO entscheiden, denn diesbezüglich gab es in der Rechtsprechung in letzter Zeit viel Uneinigkeit. Für Verbraucher wird das Urteil aber die eigenen Rechte stärken und Unternehmen können dann besser einschätzen, wie weit ein Schadensersatzanspruch reichen kann. 

Sie sind betroffen von einem Datenskandal oder vermuten, dass Ihre Daten von einem Unternehmen nicht gesetzeskonform verarbeitet sind? Sprechen Sie uns kostenlos und unverbindlich an und wir helfen Ihnen weiter.

Lesen Sie auch unseren Beitrag zum Thema: „Vorgehen bei Datenpannen“