BGH bestätigt DSGVO-Schadenersatz

Mit der Leitentscheidung des Bundesgerichtshofs (BGH) vom 18. November 2024 über Ansprüche im Zusammenhang mit einem Datenschutzvorfall bei Facebook wird die Bedeutung der Einhaltung der DSGVO besonders unterstrichen.

Bisher haben deutsche Gerichte trotz klarer Regelungen in der DSGVO und mehrerer EuGH-Urteile Schadenersatz im Datenschutz regelmäßig abgelehnt. Insofern scheint das aktuelle BGH-Urteil ein Machtwort zu sein.

Das bedeutet, dass der bloße Verlust der Kontrolle über die eigenen personenbezogenen Daten einen nach der DSGVO ersatzfähigen Schaden darstellen kann, sofern dieser Schaden auf einen Verstoß gegen die DSGVO zurückzuführen ist. Weitere Nachteile, wie den konkreten Missbrauch der Daten oder sonstige negative Folgen sind demgegenüber nicht erforderlich, um Betroffenen einen DSGVO-Schadensersatz zuzusprechen.

Die DSGVO-Konformität stetig zu gewährleisten, stellt insbesondere kleine und mittelständische Unternehmen vor große Herausforderungen. Als Orientierungshilfe hatte der IT-Dienstleister Mahr EDV seinerzeit eine Checkliste erstellt, die keinen Anspruch auf Vollständigkeit erhebt, aber auch heute noch geeignet ist, die unternehmenseigenen Strukturen mit Blick auf die DSGVO zu überprüfen – und daher aus gegebenem Anlass hier erneut veröffentlicht wird.

DSGVO-Checkliste für Unternehmen

Behörden

• Benennung des Datenschutzbeauftragten
• Verfahrensverzeichnis erstellen und aktuell halten (Verfahrensverzeichnis erstellen Bitkom.org)
• Datenschutzfolgeabschätzung
• Technische und Organisatorische Maßnahmen (veralteter Link: TOMs erstellen bdsg-externer-datenschutzbeauftragter.de)

Lieferanten

• Prüfung auf Anbieter in Drittstaaten (bspw. Emaildienste wie Gmail/Hotmail, Alternative Mahr EDV Hosted Exchange)
• Auftragsverarbeitungsvereinbarungen (AVV-Muster Bitkom.org)

Mitarbeiter

• Verpflichtung zum Datengeheimnis (Verpflichtung Muster gdd.de)
• Schulung zum Datenschutz

Personalabteilung

• Löschung von Bewerbungen nach gesetzlichen Fristen – revisionssichere Archivierung von Emails und Möglichkeit zur Festlegung von Aufbewahrungsrichtlinien sowie automatischer fristgemäßer Löschung von Emails nach individuell einstellbaren Kriterien (Mahr EDV Hosted Exchange und Email-Archivierung)

Allgemein

• Archivierung und fristgemäße Löschung von Emails (Mahr EDV Hosted Exchange)
• Aufbewahrungsrichtlinien inkl. fristgemäßer Löschung von Datei- und Datenbankdaten
• Sichere Vernichtung von Dokumenten und Festplatten (Achtung bei Entsorgung/Verkauf von Altgeräten, die Festplatten beinhalten wie bspw. Drucker; Lösungsansätze: Schredder und zertifizierte Datenlöschung)
• Datensicherungen für das ganze Unternehmen (Mahr EDV Cloud Backup, siehe auch: Mahr EDV Checkliste sichere Datensicherung)
• Regelung und Dokumentation des Datenzugriffs (Wer darf auf welche Daten wann zugreifen?)
• Verschlüsselung von Notebooks, PCs, Festplatten, Servern (Bitlocker, Mahr EDV Monitoring)
• Gewährleistung eines aktuellen Virenschutzes (Mahr EDV Managed Virenschutz und Mahr EDV Monitoring)
• Regelmäßige Installation aktueller Updates (Mahr EDV Monitoring inkl. Managed Updates)
• Installation von USVs (Weiterbetrieb und/oder ordentliches Herunterfahren bei Stromausfall)

Webseite

• SSL-Verschlüsselung
• Prüfung des Standorts der Server für das Hosting (Alternative in Deutschland: Mahr EDV Webhosting)
• Datensicherung des Webservers regelmäßig durchführen
• Speicherung der IPs in Logs des Webservers prüfen, ggf. komplett anonymisieren, regelmäßig fristgemäß löschen
• Cookie Banner (Cookie-Artikel Heise.de)
• Prüfung des Impressums
• Datenschutzhinweis auf der Webseite und bei sozialen Medien wie Facebook
  • Wichtige Punkte: Cookies, Registriergung/Kundenkonto, Newsletter, Kontaktformular, Onlinebewerbung, Nennung Datenschutzbeauftragte, Facebook, Instagram, MySpace, SlideShare, Twitter, Youtube, Google+, LinkedIn, Pintrest, Xing, Google Analytics/Adwords, Bing, Econda, Etracker, Matomo, Webtrekk, Google Maps, Protokolle des Webservers, Remarketing, Werbung Dritter auf Ihren Seiten, WordPress Plugins, Zahlungsmöglichkeiten wie Paypal und Sofortüberweisung, Bilder von Dritten, Email- und Clouddienste wie GMail und Hotmail
  • Vorsicht bei Verzicht auf einen qualifizierten Rechtsanwalt und Nutzung kostenlosen Generatoren, denn viele liefern fehlerhafte Ergebnisse oder platzieren sogar Werbung auf Ihrer Seite (siehe auch: Generatoren-Artikel Netprofit.de)
• Google Analytics/Adwords
  • IP-Anonymisierung für Google Analytics einstellen (IP-Anonymisierung Google.com)
  • Widerspruchsrecht zur Analytics-Verwendung durch Opt-Out-Cookie ermöglichen (Opt-Out-Cookie Google.com)
  • Auftragsverarbeitungsvereinbarung und Zusatzvereinbarung mit Google abschließen (Auftragsverarbeitung Google.com)
  • Festlegung der Aufbewahrungsdauer (Aufbewahrungsdauer Google.com)
  • Aufnahme im Datenschutzhinweis

Mahr EDV Lösungen zur DSGVO

Mahr EDV bietet zahlreiche Lösungen, die Unternehmen dabei unterstützen, die DSGVO-Herausforderungen zu meistern:

• Hosted Exchange Email Kommunikation für das gesamte Unternehmen mittels Mahr EDV Servern in deutschen Rechenzentren (Mahr EDV Hosted Exchange)
• Hosted Mailarchivierung Revisionssichere Archivierung von Emails nach Ihrer Compliance und Möglichkeit zur Festlegung von Aufbewahrungsrichtlinien und automatischer fristgemäßer Löschung von Emails (Mahr EDV Hosted Exchange und Email-Archivierung)
• Managed Backup Verschlüsselte regelmäßige automatische Backups Ihrer Server und PCs in deutsche Mahr EDV Rechenzentren, die höchsten Anforderungen genügen (Mahr EDV Cloud Backup)