Schadenersatzforderungen nach der DSGVO: Aktuelle Herausforderungen durch neue Technologien und wegweisende Urteile

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat der europäische Gesetzgeber die Rechte der betroffenen Personen erheblich gestärkt und die Pflichten für Verantwortliche und Auftragsverarbeiter von personenbezogenen Daten ver­schärft. Eine zentrale Neuerung ist das Recht auf Schadenersatz bei Datenschutzverletzungen.

Zunehmende Digitalisierung und der Einsatz moderner Technologien wie Künstliche Intelligenz (KI) bieten Unternehmen spannende Möglichkeiten für Wachstum und Innovation, setzen sie aber gleichzeitig neuen und sich stetig entwickelnden Bedrohungen aus. Wir be­leuchten für Sie aktuelle Probleme und wegweisende Urteile des Europäischen Gerichts­hofs (EuGH) sowie österreichischer Höchstge­richte und geben Ihnen praxisnahe Empfehlun­gen, wie Sie Schadenersatzforderungen vor­beu­gen können.

Rechtsgrundlage und Voraussetzungen für Schadenersatzansprüche

Art. 82 der DSGVO bildet die Grundlage für Schadenersatzansprüche. Demnach hat jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz. Drei Voraussetzungen müssen erfüllt sein:

1. Verstoß gegen die DSGVO: Ein rechtswidriger Umgang mit personenbezogenen Daten, zB unrechtmäßige Verarbeitung oder mangelhafte Datensicherheit.
2. Nachweis eines Schadens: Ein tatsächlich eingetretener materieller (zB finanzieller) oder immaterieller Schaden (zB psychische Belastung) muss nachgewiesen werden.
3. Kausalität: Der Schaden muss durch den Daten­schutzverstoß verursacht worden sein.

Aktuelle Herausforderungen durch moderne Technologien

Das Aufkommen moderner Technologien wie Künstlicher Intelligenz (KI), Big Data, Internet der Dinge (IoT) und Blockchain eröffnet nicht nur neue Möglichkeiten, sondern führt auch zu erheblichen Datenschutzrisiken. Diese Technologien können Datenschutzverstöße begünsti­gen, die wiederum zu hohen Schadenersatzforderungen führen können.

Im Folgenden werden die spezifischen Risiken neuer Technologien beleuchtet und erläutert, welche datenschutzrechtlichen Herausforderun­­gen mit ihnen verbunden sind.

Künstliche Intelligenz und maschinelles Lernen

KI-Systeme benötigen große Mengen an Daten, um effektiv arbeiten zu können. Diese Daten stammen aus unterschiedlichsten Quellen, oft einschließlich sensibler personenbezoge­ner Informationen. Die Risiken umfassen dabei:

• Unbefugte Datenverarbeitung: KI-Modelle können personenbezogene Daten ohne aus­reichende rechtliche Grundlage verarbeiten, was einen Verstoß gegen die DSGVO Daher ist wichtig, dass vor dem Einsatz eines KI-Modells die Zwecke und Rechtsgrundlagen der Verarbeitung geklärt werden.
• Datenlecks und unzureichende Sicherheit: Die Speicherung großer Datenmengen birgt das Risiko von Datenlecks. Ein bekanntes Beispiel ist der Verstoß von Facebook gegen die DSGVO durch die unerlaubte Wei­ter­gabe von Nutzerdaten, der zu erheblichen Schadenersatzforderungen führte (EuGH, C-311/18).
• Diskriminierung und Bias: KI-Systeme können auf Basis fehlerhafter oder unvollstän­di­ger Daten trainiert werden, was zu diskriminierenden Entscheidungen führen kann. ZB könn­ten Kreditentscheidungen oder Bewerbungsverfahren, die unter Einsatz von KI erfolgen, voreingenommen sein und bestimmte Bevöl­ke­rungs­gruppen benach­teili­gen. Gemäß Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Ver­arbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Um mögliche Schadenersatzansprüche zu vermeiden, ist es wichtig, dass die KI-Ergebnisse durch MitarbeiterIn­nen zumindest kontrolliert werden.
• Mangelnde Transparenz: Viele KI-Algorithmen arbeiten als „Black Boxes“, deren Funk­tionsweise für Nutzer und sogar für die Betreiber selbst kaum nachvollziehbar ist. Diese Intransparenz kann zu Problemen führen, wenn betroffene Personen ihre Rechte auf Auskunft, Berichtigung und Löschung geltend machen möchten.

Internet der Dinge (IoT)

IoT-Geräte, die zB in Haushalten, Fahrzeugen oder im Rahmen öffentlicher Infrastrukturen eingesetzt werden, sammeln und übertragen kontinuierlich Daten. Diese Geräte sind häufig nicht ausreichend gegen Cyberangriffe abge­sichert, was zu Datenschutzverletzungen führen kann.

• Datenlecks durch Sicherheitslücken: Schwach­stellen in IoT-Geräten können genutzt werden, um auf personen­bezo­gene Daten zuzugreifen oder diese zu stehlen. Ein prominentes Beispiel sind Hackerangriffe auf Smart-Home-Systeme, bei denen Videoaufnahmen oder Gesundheitsdaten kompromit­tiert wurden.
  Der Cyber Resili­en­ce Act soll Sicher­heitsanforderungen für Hardware- und Software­produkte mit digitalen Elementen regeln, die in der Europäi­schen Union auf den Markt gebracht werden. Hersteller sind nun verpflichtet, die Sicherheit während des gesamten Lebenszyklus eines Produkts zu berücksichtigen.
• Kontrolle über Daten der IoT Geräte:
  Nutzer haben oft keinen Einblick in die Da­tenverarbeitung durch IoT-Geräte und können diese nur schwer kontrollieren. Dies widerspricht dem Transparenz­gebot der DSGVO und kann zu immateriellen Schäden wie Vertrauensverlust und psychi­schen Belastungen führen. Auch für nicht-personenbezogene Daten wird durch die Umsetzung des Data Acts das gleiche Schutz­niveau wie in der DSGVO gewähr­leistet.

Blockchain-Technologie

Die Blockchain-Technologie zeichnet sich durch die Unveränderlichkeit der gespeicherten Daten aus. Dies stellt eine Herausforderung dar, wenn es zB um das Recht auf Löschung und Berichtigung geht.

• Löschanspruch: Da Blockchain-Daten nicht ohne weiteres gelöscht werden können, kann es schwierig sein, den gesetzlichen Anforderungen der DSGVO gerecht zu werden. Dies kann zu Konflikten führen, wenn Betroffene ihr Recht auf Datenlöschung durchsetzen wollen.
• Datenminimierung: Die Speicherung von Daten in der Blockchain widerspricht oft dem Prinzip der Datenminimierung, da bereits gespeicherte Daten nicht mehr ge­än­dert oder entfernt werden können. Dies kann rechtliche Konsequenzen haben, wenn es um die langfristige Speicherung personenbezogener Daten geht.

Konkrete Risiken und Folgen für Unternehmen

Datenschutzverletzungen können zu erheblichen finanziellen Belastungen führen. Neben un­mittelbaren finanziellen Folgen können Datenschutzverletzungen das Vertrauen der Kunden und Geschäftspartner erheblich beeinträchtigen. Dieser Vertrauensverlust kann lang­fristig negative Auswirkungen auf die Markt­position eines Unternehmens haben und seine Geschäftstätigkeit gefährden.

Zusätzlich zu Schadenersatzforderungen können Datenschutzverstöße zu hohen Bußgel­dern durch die zuständigen Aufsichtsbehörden führen. Diese Bußgelder können je nach Schwere des Verstoßes bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen.

Prävention und Risikominderung

• Datenschutz durch Technikgestaltung: Unternehmen müssen den Grundsatz „Privacy by Design“ umsetzen, der vorsieht, Datenschutz­maßnahmen bereits bei der Entwick­lung neuer Technologien und Systeme zu integrieren. Dies umfasst den Ein­satz von Verschlüsselungstechnologien, datenschutzfreundliche Voreinstellungen und regelmäßige Sicherheitsüberprüfungen.
• Transparente Datennutzung und Einwilligungsmanagement: Transparenz ist ein wesentlicher Aspekt der DSGVO. Unternehmen sollten sicherstellen, dass ihre Kunden umfassend über die Datenverarbeitung informiert wurden und ihre Einwilligung ein­holen, wenn dies erforderlich ist. Ein effektives Datenschutzmanagement hilft, die Rechte der betroffe­nen Personen zu wahren und rechtlichen Problemen vorzubeu­gen.
• Schulung und Sensibilisierung: Mitarbeiter müssen regelmäßig geschult und für Datenschutzfragen sensibilisiert werden. Dies hilft, das Bewusstsein für Datenschutzrisiken zu erhöhen und sicherzustellen, dass personen­bezo­gene Daten gemäß den gesetzlichen Anforderungen verarbeitet werden.
• Kontinuierliche Überwachung und Anpassung: Datenschutz ist ein kontinuierlicher Prozess. Unternehmen müssen ihre Datenschutz­maßnahmen regelmäßig überprüfen und an neue rechtliche und technologische Entwicklungen anpassen. Die laufende Überwachung und Anpassung hilft, Risiken frühzeitig zu erkennen und zu minimieren.

Abschließend ist zu sagen, dass neue Technologien wie KI, Big Data, IoT und Blockchain viele Vorteile bieten, aber auch erhebliche Datenschutzrisiken nach sich ziehen. Verantwortliche müssen sich der potenziellen Gefahren bewusst sein und geeignete Maßnahmen er­greifen, um Datenschutzverletzungen zu vermeiden und Schadenersatzforderungen vor­zu­beugen. Die Implementierung umfassender Datenschutzstrategien, die Schulung der Mitarbeiter und die kontinuierliche Verbesserung der Datenschutzpraxis kann rechtliche und finanzielle Risiken minimieren und das Ver­trauen der Kunden erhalten. Wegweisende Urteile des EuGH und anderer Höchstgerichte unterstreichen immer wieder die Bedeutung der sorgfältig geplanten und rechtskonformen Datenverarbeitung.