materieller Vermögenschäden ab, vergleiche § 253 BGB. Art. 82 Abs. 1 DSGVO verpflichte Verantwortliche und Auftragsverarbeiter hingegen dazu, auch den immateriellen Schaden des Betroffenen zu ersetzen. In Anbetracht dessen, dass Art. 82 DSGVO im Gegensatz zu den Bußgeldern keine Maximalhöhe des immateriellen Schadens nennt und bei einer Datenpanne zumeist eine Vielzahl von Personen betroffen sein können, stellen Schadensersatzforderungen durch Betroffene ein durchaus schwer zu kalkulierendes Risiko dar. Hinzu kommt, dass der Schadensbergriff weit auszulegen ist.62 Mithin begründet schon der Verstoß gegen datenschutzrechtliche Vorschriften einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Unter Berücksichtigung des effet utile sollen Schadensersatzforderungen darüber hinaus auch eine abschreckende Wirkung entfalten und über das Maß eines symbolischen Schadensersatzes hinausgehen.63
43
Gerade in der jüngsten Vergangenheit zeichnete sich durchaus die Tendenz ab, dass Gerichte diese Auslegungskriterien berücksichtigen und Schadensersatzforderungen entsprechend stattgeben.64
44
Schließlich ist es nicht ausgeschlossen, dass Betroffene neben ihrem Schadensersatzanspruch auch von ihrem Melderecht gemäß Art. 77 Abs. 1 DSGVO bei der zuständigen Aufsichtsbehörde Gebrauch machen und letztlich neben Schadensersatzforderungen auch ein Bußgeld zu zahlen ist.
3. Abmahnung
45
Bisweilen wurde höchstrichterlich nicht abschließend geklärt, ob Datenschutzverstöße auch von Mitbewerbern, etwa auf Grundlage des UWG, abgemahnt werden können. Diese Frage hat der BGH mit Beschluss vom 28.5.2020 dem EuGH als Vorabentscheidung vorgelegt.65 Die nationalen Gerichte entschieden bisweilen uneinheitlich.66 Maßgeblich für die Frage der Anwendbarkeit des UWG ist die Entscheidung, ob es sich bei den Vorschriften der DSGVO um sogenannte „Marktverhaltensregeln“ i.S.d. § 3a UWG handelt.67 In diesem Zusammenhang ist ferner streitig, ob das UWG neben der DSGVO anwendbar oder ob letztere vielmehr abschließend ist. Sofern die Vorschriften des UWG Anwendung finden, könnten Mitbewerber i.S.d. § 8 Abs. 3 Nr. 1 UWG entsprechende Forderungen geltend machen. In Anbetracht dessen, dass noch keine Entscheidung durch den EuGH vorliegt, sollte das Risiko einer Abmahnung zumindest berücksichtigt und keinesfalls unterschätzt werden.
4. Vertrag unwirksam/Gewährleistungsansprüche
46
Tritt einer der vorgenannten Fälle ein, besteht ein nachvollziehbares Interesse des Kaufinteressenten, Gewährleistungs- und Schadenersatzansprüche gegenüber dem Zielunternehmen durchzusetzen. Dies gilt jedenfalls, sofern der Käufer während der Due-Diligence-Prüfung nicht selbst einen Verstoß begeht und ein Regress ausgeschlossen ist. An dieser Stelle konkretisiert sich ein weiteres Ziel der Due Diligence, die Ausgestaltung der Gewährleistung. In der Regel wird bei Abschluss eines Unternehmenskaufvertrages versucht, die Gewährleistung weitreichend auszuschließen. Dies kann natürlich nicht im Interesse des Kaufinteressenten liegen, schon gar nicht angesichts der erheblichen Folgen bei einem Verstoß gegen datenschutzrechtliche Vorschriften, insbesondere die der DSGVO. Die Gewährleistung in Deutschland, die vertraglichen Individualvereinbarungen der Kaufvertragsparteien einmal unbeachtet, richtet sich im Kaufvertragsrecht nach den Regelungen der §§ 434ff. BGB.68 Grundsätzlich haftet der Verkäufer dafür, dass der Kaufgegenstand die Sollbeschaffenheit aufweist und nicht mit Rechtsmängeln behaftet ist. Die Sollbeschaffenheit ist dabei vertraglich definiert oder wird objektivierend beurteilt. Rechtlich relevant ist bei der Frage der Gewährleistung die Norm des § 442 BGB. Nach § 442 Abs. 1 Satz 1 BGB sind die Rechte des Käufers ausgeschlossen, wenn er den Mangel bei Abschluss des Vertrages kennt. Isoliert betrachtet könnte man den Eindruck gewinnen, dass die Durchführung einer Due Diligence kontraproduktiv ist.69 Erwartungsgemäß werden bei dieser Prüfung gerade Mängel aufgedeckt, die dann als bekannt zu werten wären und zu einem Gewährleistungsausschluss führen würden. § 442 Abs. 1 BGB regelt in Satz 2 erschwerend noch weiter, dass ein Käufer etwaige Rechte wegen eines Mangels, der ihm infolge grober Fahrlässigkeit unbekannt geblieben ist, nur geltend machen kann, wenn der Verkäufer den Mangel arglistig verschwiegen oder eine Garantie für die Beschaffenheit der Sache übernommen hat. Hieraus wird teilweise geschlossen, dass derjenige, der eine Due Diligence durchführt und Mängel in grober Fahrlässigkeit verkennt, seine Gewährleistungsrechte verlieren soll.70 Ob dabei die Kenntnis des Beraters des Käufers bei der Due-Diligence-Prüfung zugerechnet werden kann, wird streitig behandelt.71 Jedenfalls würde die Gefahr, etwas bei der Prüfung zu übersehen und folglich die Gewährleistungsansprüche zu verlieren, gegen die Durchführung einer Due Diligence sprechen. Gleichwohl würde es paradox anmuten, wenn derjenige, der keine Prüfung vornimmt, Mängel damit weder kennt noch grob fahrlässig übersieht, gerade aus diesem Grunde seine Gewährleistungsrechte behalten soll. Eine Verpflichtung zur Durchführung einer Due Diligence gibt es jedenfalls nicht.72 Möglicherweise muss man eine grobe Fahrlässigkeit aber auch gerade dann bejahen, wenn, trotz Möglichkeit, Unterlagen zu prüfen, keine Due Diligence durchgeführt würde. Der Untätige wäre dann in jedem Fall seiner Gewährleistungsrechte verlustig.
47
Derartige, zumindest rein dogmatisch geführte Betrachtungen, verbieten sich bei einem Blick auf die praktischen Folgen einer unterlassenen Datenschutz-Due-Diligence. Die Verhängung eines Bußgeldes oder die Inanspruchnahme durch einen in seinen Rechten verletzten Dritten trifft das Zielunternehmen direkt. Selbst bei eindeutiger Rechtslage und unterstellt, dass ein Regress beim Zielunternehmen geführt werden könnte, dauern Prozesse oftmals Jahre. Anschließend müsste dann noch die Vollstreckung erfolgreich verlaufen, also Vermögen vorhanden sein, um die eingetretenen Schäden zu kompensieren. Die dabei entstehenden Kosten, abhängig von der Höhe der streitbefangenen Ansprüche, dürften die Kosten einer Due Diligence übersteigen.
48
Beachte:
Die Frage des „Ob“ der Durchführung einer Datenschutz-Due-Diligence während eines Verkaufsvorganges sollte gar nicht gestellt werden.
49
Stellen sich Mängel heraus, ist vielmehr mit dem Zielunternehmen zu vereinbaren, wie mit den festgestellten Mängeln zu verfahren ist. Bis zum Abschluss eines Verkaufes sieht sich der Verkäufer ja selbst dem Datenschutzverstoß ausgesetzt und wird ein gesteigertes Interesse haben, diesen abzustellen. Neben dem Einfluss auf die Kaufpreishöhe sollte der Fokus also darauf liegen, etwaige Mängel zu beseitigen.
58 Gola, in: Gola, Art. 84 Rn. 2. 59 Bergt, in: Kühling/Buchner, Art. 83 Rn. 2. 60 Boehm, in: NK-DatenschutzR, Art. 83 Rn. 22. 61 Boehm, in: NK-DatenschutzR, Art. 83 Rn. 22. 62 Moos/Schefzig, in: Taeger/Gabel, Art. 82 Rn. 26 DSGVO; Bergt, in: Kühling/Buchner, Art. 82 Rn. 17; Frenzel, in: Paal/Pauly, Art. 82. 63 Unter Verweis auf den Effektivitätsgrundsatz Bergt, in: Kühling/Buchner, Art. 82 Rn. 17; siehe auch Schantz, NJW 2016, 1841, 1847; Bäcker, in: Plath, Art. 82 Rn. 4a. 64 Vgl. etwa LG Lüneburg, Urt. v. 14.7.2020 – ZD 2021, 275, 276f.; LG Darmstadt, Urt. v. 26.5.2020 – ZD 2020, 642, 643; ArbG Düsseldorf, Urt. v. 5.3.2020 – ZD 2020, 422, 422f.. 65 BGH, EuGH-Vorlage vom 28.5.2020 – ZD 2020, 589, 589ff. 66
