Die gerichtliche Durchsetzung von Schadensersatzansprüchen nach Art. 82 DSGVO ist für Betroffene von Datenschutzvorfällen mit erheblichen prozessualen Hürden verbunden. Mit seinem Beschluss hat das Oberlandesgericht (OLG, 4 U 1273/24) Dresden klargestellt, wie sich die gestufte Darlegungslast bei der Betroffenheit eines Nutzers von einem Datenleck auf einer Internetplattform ausgestaltet und welche Anforderungen an den Nachweis eines immateriellen Schadens durch Kontrollverlust zu stellen sind – dabei wird klargestellt, dass haveibeenpwned.com eine Hilfe sein kann, was nicht alle Gerichte so sehen.
(mehr …)Schlagwort: Datenleck
Datenlecks – Risiken und rechtliche Konsequenzen für Unternehmen: Datenlecks sind in der digitalen Welt allgegenwärtig und stellen für Unternehmen ein erhebliches Risiko dar. Der Verlust sensibler Daten kann nicht nur das Vertrauen von Kunden zerstören, sondern auch rechtliche Konsequenzen nach sich ziehen. Besonders im Hinblick auf die DSGVO drohen empfindliche Strafen bei unzureichendem Schutz personenbezogener Daten. Bei uns erfahren Sie, welche rechtlichen Pflichten Unternehmen beim Schutz von Daten haben und wie Sie sich effektiv vor Datenlecks schützen können. Wir beraten Unternehmen juristisch in der Krise nach einem Sicherheitsvorfall, speziell wenn das eigene Unternehmen gehackt wurde!
BGH konkretisiert die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DSGVO
Kontrollverlust als Schaden: Die Frage, wann ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO vorliegt, hat in den vergangenen Jahren zunehmend an Brisanz gewonnen. Sowohl Unternehmen als auch Gerichte sehen sich mit einer Flut an Klagen konfrontiert, in denen Betroffene teils symbolische, teils substanzielle Entschädigungen wegen Datenschutzverletzungen verlangen.
In seinem Urteil vom 14. Mai 2024 (Az. VI ZR 10/24) hat der Bundesgerichtshof (BGH) in beachtlicher Deutlichkeit klargestellt, dass bereits ein Kontrollverlust über personenbezogene Daten für sich genommen einen ersatzfähigen immateriellen Schaden darstellen kann – sofern er konkret und individuell nachgewiesen wird. Die Entscheidung ist richtungsweisend für die künftige Auslegung von Art. 82 DSGVO und verdient eine eingehende juristische Betrachtung.
(mehr …)
OLG Schleswig konkretisiert DSGVO-Schadensersatz bei Scraping-Vorfällen
Kontrollverlust mit Folgen: Mit Urteil vom 24. April 2025 (Az. 5 U 59/23) hat das Oberlandesgericht (OLG) Schleswig ein bedeutsames Urteil zum Schadensersatzanspruch nach Art. 82 Datenschutz-Grundverordnung (DSGVO) gefällt. Im Fokus steht der sogenannte „Scraping“-Vorfall auf der Plattform Facebook, bei dem massenhaft öffentlich zugängliche Profildaten durch automatisierte Abrufe zusammengetragen und weiterverbreitet wurden. Das Urteil stellt dabei eine wichtige Präzisierung zur Bemessung immaterieller Schadensersatzansprüche sowie zu den Anforderungen an Sicherheitsvorkehrungen und Einwilligungen dar.
(mehr …)
DSGVO-Schadensersatz bei Datenverarbeitung im Konzern
Die Rechtsprechung zur Datenschutz-Grundverordnung (DSGVO) gewinnt zunehmend an Präzision – insbesondere im arbeitsrechtlichen Kontext. In einem bemerkenswerten Verfahren, das seinen Ausgang im Jahr 2018 nahm und schließlich bis vor den Europäischen Gerichtshof (EuGH) gelangte, wurden gleich mehrere Grundsatzfragen aufgeworfen: Wie weit reicht die kollektive Regelungsmacht über Beschäftigtendaten? Wann ist die Verarbeitung personenbezogener Daten im Arbeitsverhältnis zulässig? Und wann löst eine solche Verarbeitung immateriellen Schadensersatz aus?
Der Fall – unter dem Aktenzeichen 8 AZR 209/21 – ist deshalb nicht nur juristisch hochkarätig, sondern auch für das Management relevant, das zunehmend mit der Verzahnung von Datenschutz, HR-Software und Betriebsverfassung konfrontiert ist.
(mehr …)
Arbeitsverhältnis: Kein Schadenersatz bei verspäteter Auskunft nach Art. 15 DSGVO
LAG Köln weist Klage eines Bewerbers ab: In seinem Urteil vom 19. Februar 2025 (4 SLa 367/24) hatte das Landesarbeitsgericht (LAG) Köln über einen datenschutzrechtlichen Schadensersatzanspruch nach Art. 82 DSGVO zu entscheiden. Der Kläger – ein Bewerber auf eine ausgeschriebene Stelle – machte geltend, er habe durch eine verspätete und zunächst unvollständige Auskunft der beklagten Arbeitgeberin einen Kontrollverlust über seine personenbezogenen Daten erlitten. Das Gericht wies die Berufung gegen das klageabweisende Urteil des Arbeitsgerichts Aachen zurück und bekräftigte damit die strengen Anforderungen an die Darlegung eines immateriellen Schadens im Sinne der DSGVO.
(mehr …)
Erkenntnisse aus dem I-Soon Datenleck
In einer zunehmend vernetzten Welt wird Cyberspionage zu einer immer größeren Bedrohung. Ein kürzlich veröffentlichtes Papier des Bundesamts für Verfassungsschutz (BfV) beleuchtet die Strukturen und Vorgehensweisen der APT-Einheiten des chinesischen Unternehmens i-Soon. Dieses Dokument, Teil 1 der 4-teiligen Serie „CYBER INSIGHT“, bietet erste wertvolle Einblicke in die Methoden und Strategien, die hinter der Industrialisierung der Cyberspionage stehen. Inzwischen gibt es vier Teile mit tiefgehendem Einblick.
(mehr …)
DSGVO: OLG Köln zum Anspruch auf immateriellen Schadenersatz bei Datenschutzverletzung
OLG Köln konkretisiert Voraussetzungen: Das Oberlandesgericht Köln (Urteil vom 03.04.2025 – 15 U 41/23) hat sich erneut mit dem Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO auseinandergesetzt und dabei die Schwelle für einen solchen Anspruch präzisiert. Die Entscheidung fügt sich ein in eine Vielzahl gerichtlicher Auseinandersetzungen, bei denen Betroffene wegen der unbefugten Offenlegung oder Verarbeitung personenbezogener Daten einen Ausgleich in Form von Geld verlangen. Besonders aufschlussreich ist das Urteil insofern, als es zeigt, welche Anforderungen an das Vorliegen eines „echten“ immateriellen Schadens zu stellen sind.
(mehr …)
LG Köln zum Kontrollverlust als immaterieller Schaden
Haftung für Datenschutzverletzungen bei ehemaligen Dienstleistern: der digitale Alltag, in dem personenbezogene Daten als zentrales Wirtschaftsgut gelten, wirft der Verlust dieser Daten schwerwiegende rechtliche Fragen auf. Besonders heikel ist es, wenn ein solcher Verlust nicht im aktiven Einflussbereich des Verantwortlichen geschieht, sondern durch Nachlässigkeiten ehemaliger Dienstleister. Das Urteil des Landgerichts Köln vom 7. Januar 2025 (Az. 14 O 472/23) beleuchtet präzise und eindrucksvoll die datenschutzrechtlichen Sorgfaltspflichten bei der Zusammenarbeit mit Auftragsverarbeitern – und die Konsequenzen, wenn diese verletzt werden.
Der Fall dreht sich um einen Musikstreamingdienst, der umfangreiche Nutzerdaten über einen externen Dienstleister verwalten ließ. Jahre nach Beendigung der Vertragsbeziehung kam es zu einem gravierenden Datenleck, bei dem persönliche Informationen von Millionen Nutzern im Darknet auftauchten. Eine betroffene Nutzerin klagte auf immateriellen Schadensersatz wegen des erlittenen Kontrollverlusts über ihre Daten – mit (teilweisem) Erfolg.
(mehr …)
Datenschutzklagen und Beweislast: Entscheidung des OLG Dresden zu „Have I Been Pwned“ als Beweisquelle
Für IT-verständige Menschen ist es ein naheliegender Gedanke, zum Nachweis der Betroffenheit eines Datenlecks auf einschlägige Webseiten zu verweisen – und genau darum ging es beim OLG Dresden (4 U 1090/24): Im Zentrum des Falls stand die Frage, ob eine Abfrage auf der Website „Have I Been Pwned“ (HIBP) ausreicht, um den Nachweis eines Datenschutzverstoßes zu führen.
Der Kläger, der sich auf ein Datenleck berief, konnte nach Ansicht des Gerichts nicht substantiiert belegen, dass seine Daten tatsächlich betroffen waren und dass er dadurch einen Schaden erlitten hatte. Diese Entscheidung hat weitreichende Folgen für Datenschutzprozesse und die Anforderungen an den Nachweis eines Schadens.
(mehr …)
Biotechnologie: BiotechCrime als Schnittstelle von Biotechnologie und Strafrecht
Biotechnologie reicht von der klassischen Gentechnik über die Entwicklung personalisierter Medizin bis hin zur synthetischen Biologie, die biologische Systeme nach Baukastenprinzip verändert. Dank CRISPR-Cas9 kann DNA gezielt editiert werden, während biotechnologische Verfahren zunehmend in die industrielle Produktion einfließen – sei es zur Herstellung von Medikamenten, künstlichen Organismen oder sogar Drogen. Doch wo Innovationen sprießen, gibt es auch rechtliche und ethische Fallstricke.
Die Biotechnologie eröffnet nicht nur ungeahnte medizinische und wirtschaftliche Chancen, sondern birgt auch erhebliche Risiken, insbesondere im Bereich der Kriminalität. Diese neue Dimension strafrechtlich relevanter Tatbestände wird von mir unter dem Schlagwort „BiotechCrime“ zusammengefasst.
(mehr …)
Geschäftsmodell Spionage-Apps
Die digitale Überwachung durch Spionage-Apps wirft einen dunklen Schatten auf den technologischen Fortschritt. Ursprünglich als Werkzeuge für besorgte Eltern beworben, die das Online-Verhalten ihrer Kinder im Blick behalten möchten, hat sich ein lukrativer Markt für heimliche Überwachung entwickelt – häufig mit verheerenden Folgen für Opfer, insbesondere Frauen in Beziehungen. Netzpolitik konnte einen Blick auf das konkrete Geschäftsmodell werfen – und es sollte eine Mahnung für alle sein, ihre Smartphones besser im Griff zu haben (dazu auch der Bericht bei Tagesschau).
(mehr …)
Datenschutz und Künstliche Intelligenz
Künstliche Intelligenz (KI) ist überall – vor allem in Unternehmen. Angefangen von der Rechtschreibprüfung bis hin zu selbstlernenden Systemen, die gerade in großen Unternehmen die Kundenkorrespondenz vereinfachen sollen. Doch genau hier geht es los: Das Datenschutzrecht ist sofort bei KI in Unternehmen betroffen. Zwei zentrale Dokumente beleuchten diese Thematik umfassend, wenn auch natürlich nicht verbindlich: die jüngst von der Europäischen Datenschutzbehörde (EDPB) veröffentlichte Stellungnahme 28/2024 und die Orientierungshilfe „KI und Datenschutz“ der Datenschutzkonferenz (DSK). Gemeinsam liefern sie wertvolle Einblicke für Softwareentwickler und das Management von Unternehmen.
Beide Dokumente ergänzen sich in ihrer Zielsetzung. Während die EDPB tiefgehende rechtliche Analysen und abstrakte Prinzipien bietet, liefert die DSK praxisnahe Leitlinien zur konkreten Umsetzung. Gemeinsam verdeutlichen sie die Notwendigkeit eines ganzheitlichen Ansatzes, der technische, organisatorische und rechtliche Aspekte gleichermaßen berücksichtigt Softwareentwickler sollten vor allem die technischen Empfehlungen beider Dokumente beachten, etwa zur Minimierung von Identifikationsrisiken und zur Gestaltung transparenter Systeme.
(mehr …)
Datenschutzstrafrecht: Strafbarkeit nach § 42 BDSG
Die Vorschrift des § 42 Bundesdatenschutzgesetz (BDSG) ist eine zentrale Norm des Datenschutzstrafrechts in Deutschland. Sie unterstreicht den Schutz personenbezogener Daten durch Sanktionsmaßnahmen und schafft eine Grundlage für die Verfolgung schwerwiegender Verstöße gegen datenschutzrechtliche Pflichten. Insbesondere im Arbeitsverhältnis, wo der Umgang mit personenbezogenen Daten alltäglich ist, spielt die Norm eine erhebliche Rolle.
(mehr …)
Verwendung von KI-Assistenten in der Programmierung
Die Verwendung von KI-Assistenten in der Programmierung bietet zahlreiche Vorteile, wie die Effizienzsteigerung und Automatisierung von Code-Generierung und Fehlersuche. Allerdings sind damit auch rechtliche Herausforderungen verbunden, die bei der Implementierung solcher Systeme unbedingt beachtet werden sollten.
Im Folgenden werden von mir die wichtigsten rechtlichen Aspekte erörtert, die bei der Nutzung von KI-Assistenten in der Programmierung relevant sind. Zudem werden konkrete Beispiele genannt und Best Practices vorgestellt, die Unternehmen helfen können, rechtliche Risiken zu minimieren.
(mehr …)
OLG Dresden zur Datenschutzhaftung: Schadensersatz durch Auftragsverarbeiter und Kontrollpflichten
Am 15. Oktober 2024 hat das Oberlandesgericht Dresden (Az.: 4 U 940/24) eine Entscheidung gefällt, die wesentliche Aspekte der datenschutzrechtlichen Verantwortung zwischen Verantwortlichen und Auftragsverarbeitern beleuchtet. Der Fall betraf Schadensersatzansprüche eines Kunden gegen ein Unternehmen infolge eines Hackerangriffs, bei dem Kundendaten gestohlen wurden. Im Mittelpunkt stand die Kontrollpflicht des Verantwortlichen über die Datenlöschung beim Auftragsverarbeiter nach Vertragsbeendigung sowie die Frage der Entschädigung für immaterielle Schäden.
(mehr …)