DSGVO: Schadensersatz bei Datenschutzverstoß möglich

Fachbeitrag

Bei aktuellen Diskussionen um die DSGVO stehen beim Thema Datenschutzverstoß zumeist die hohen Bußgelder der Aufsichtsbehörden nach Art. 83 DSGVO im Vordergrund. Auch wenn das viel zitierte Bußgeld von 20 Millionen oder 4 % des weltweiten Konzern-Jahres-Brutto-Umsatzes langsam etwas von seiner Schockwirkung verloren hat, gilt es immer noch als die schwerste finanzielle Sanktion des Datenschutzes. Ein Anspruch der dadurch etwas in den Hintergrund rückt, ist der Schadensersatzanspruch für jedermann aus Art. 82 DSGVO. Dieser soll hier unter die Lupe genommen werden.

Anspruchsgrundlage Art. 82 Abs. 1 DSGVO

Nach Art. 82 Abs. 1 DSGVO hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.

Der Anspruch setzt Folgendes voraus:

  • ein Verstoß gegen die DSGVO,
  • einen materiellen oder immateriellen Schaden,
  • ein Verschulden des Verantwortlichen oder des Auftragverarbeiters.

Der Verstoß muss bei der Verarbeitung von personenbezogenen Daten geschehen. Ein Beispiel hierfür ist die Verarbeitung von personenbezogenen Daten ohne eine Rechtsgrundlage. Bei einem Schaden handelt es sich zunächst um eine negative Abweichung vom Status quo, der durch einen Verstoß gegen die DSGVO hervorgerufen wird. Bei einem materiellen Schaden spricht man von einem Vermögensschaden.

Nach Art. 82 Abs. 1 DSGVO können nun auch immaterielle Schäden geltend gemacht werden, wenn z.B. personenbezogene Daten einem Dritten zugänglich gemacht werden, hierdurch aber kein Vermögensschaden entstanden ist. In diesem Fall hat der Geschädigte das Recht Schmerzensgeld zu verlangen. Des Weiteren muss ein Verschulden des Verantwortlichen oder Auftragsverarbeiters vorliegen. Ein Verschulden liegt vor, wenn der Verantwortliche oder der Auftragsverarbeiter den Datenschutzverstoß vorsätzlich oder fahrlässig herbeiführt.

Nachweispflicht des Verantwortlichen und des Auftragsverarbeiters

Art. 82 Abs. 3 DSGVO nimmt den Verantwortlichen und den Auftragsverarbeiter in die Pflicht, den Nachweis zu erbringen, dass sie für den Umstand durch den der Schaden entstanden ist nicht verantwortlich sind. Von dieser Warte aus gesehen, können die geforderten Dokumentationspflichten der DSGVO sehr hilfreich dabei sein, diesen Nachweis zu erbringen.

Höhe des Schadensersatzes

Die Norm begrenzt den Schadensersatz nicht in seiner Höhe. Erwägungsgrund 146 zur DSGVO gibt den Hinweis, dass bei der Bestimmung des materiellen Schadens eine weite Auslegung unter Berücksichtigung der EuGH-Rechtsprechung angewendet werden soll und die Ziele der DSGVO zu beachten sind. Die Höhe des Schmerzensgeldes für immaterielle Schäden soll sich an der Genugtuungs- und der Abschreckungsfunktion des Schmerzensgeldes orientieren.

Hohes Schadensersatzrisiko für Auftragsverarbeiter

Mit der DSGVO wird der Auftragsverarbeiter stärker in die Pflicht genommen, als es beim BDSG der Fall war. Unangenehm für Auftragsverarbeiter ist, dass sie nach Art. 82 Abs. 4 DSGVO gesamtschuldnerisch mit dem Verantwortlichen haften, wenn sie an derselben Verarbeitung beteiligt sind. Das bedeutet, dass eine geschädigte Person den gesamten Schadensersatz vom Verantwortlichen oder dem Auftragsverarbeiter verlangen kann.

Schadensersatz kannte man schon im BDSG

Neu ist das Konzept des Schadensersatzes im Datenschutz nicht. Schon nach § 7 BDSG konnte der Betroffene Schadensersatz geltend machen. Von dieser Regelung wurde aber nur selten Gebrauch gemacht.

Interessant wäre es, wenn der Schadensersatzanspruch durch Betroffene aus dem Schatten seines großen Bruders Bußgeld heraustreten würde. Falls eine große Anzahl von Personen berechtigte Schadensersatzansprüche geltend machen würden, könnte hierdurch ein finanzielles Risiko für Unternehmen entstehen, dass mit einem Bußgeld vergleichbar wäre.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

16 Kommentare zu diesem Beitrag

  1. Ich habe einen persönlichen Vorfall über Verletzung des Datenschutzes. Gesundheitsamt hat mir einen Brief geschickt, wo im Adressfeld die gesamte Diagnose zu sehen war.

  2. Der Beitrag dürfte Laien in die Irre führen und vernachlässigt einen ganz wichtigen Punkt, der explizit herausgestellt werden sollte. Gemäß Art. 82 Abs.1 DSGVO verpflichtet jeder Verstoß gegen die DSGVO zu Schadensersatz und Schmerzensgeld. Das gilt also auch dann, wenn ein Auskunftsersuchen nicht, nicht korrekt oder nicht vollständig beantwortet wird.

    • Vielen Dank für Ihren Hinweis. Der Artikel sollte dem Leser den Aufbau der Schadensersatznorm des Art. 82 DSGVO erläutern. Ein nicht oder nicht korrekt beantwortetes Auskunftsersuchen nach Art. 15 DSGVO ist natürlich ein gutes Beispiel für einen Verstoß gegen die DSGVO bei dem der Betroffene auch Schadensersatz verlangen könnte.

  3. Könnte die Bundesstaatsanwaltschaft grundsätzlich gegen WhatsApp vorgehen? Die Übermittlung aller Kontaktdaten an Facebook ist hinlänglich bekannt.

  4. Hallo, ich bin tätig in einer Firma die Firmen oder auch Privatpersonen beliefert, bzw. Dinge repariert. Wir verfügen über hunderte von Adressen, Namen usw. im PC. Ich habe immer drum gebeten das wir unsere Kunden anschreiben gemäß der DGSVO aber mein Vorgesetzter meint wir brauchen das nicht, das betrifft uns nicht. Im Klartext, wir haben hinsichtlich der neuen Verordnung rein gar nix unternommen. Können Sie mir sagen wer Recht hat?
    Freundliche Grüße
    Matthias

    • Die DSGVO ist gem. Art. 2 Abs. 1 und Art. 3 Abs. 1 DSGVO u.a. von Unternehmen einzuhalten, welche personenbezogene Daten (wie Namen, Adresse) im Rahmen ihrer Tätigkeiten als in der EU ansässigen Niederlassung ganz oder teilweise automatisiert (also durch EDV-Anlagen) verarbeiten, unabhängig von deren Größe.

      Eine Pflicht Kunden anzuschreiben liegt nur dann vor, wenn sich dies aus den Anforderungen der Informationspflichten nach Art. 13, 14 DSGVO ergibt. Dies muss nicht immer der Fall sein, ändert aber nichts an dem Umstand, dass das Unternehmen die rechtlichen Vorgaben der DSGVO bei jeder Datenverarbeitung einzuhalten hat. Unsere Übersichtsseite mit weiteren hilfreichen Blogartikeln zur Datenschutz-Grundverordnung finden Sie hier: https://www.datenschutzbeauftragter-info.de/fachbeitraege/eu-datenschutz-grundverordnung/

  5. Sehr geehrte Damen und Herren,

    in einer Uniklinik wurde ich stationär behandelt und war eine Woche vorher ein MRT machen. Dieses MRT habe ich zur stationären Behandlung abgegeben und wollte ich einen Tag nach der Entlassung wieder zurückhaben, um weiterbehandelt werden zu können. Die CD ist seither verschwunden. Heute nach drei Wochen bin ich da wieder hin und habe mir am Tresen der Station erfragt, ob den meine CD aufgetaucht sei, da diese nicht mehr mehr in der Radiologie der Klink, wo die CD eingelesen und zurückgeschickt werden sollte, aufgetaucht ist. Da an der Station 4 Menschen nach meiner CD suchten, und nicht fanden habe ich ein kleines Schriftstück zu den Sachverhalt verfasst und 4 Namen und 2 Unterschriften, dass die CD gesucht aber nicht gefunden wurde.

    Fragen:
    1. Wie hoch ist das Schmerzensgeld zu beziffern? ( Heute wurde mir eine Kopie der MRT-Daten als neue CD zur Verfügung gestellt – alte CD dennoch verschwunden)
    2. Gibt es für sowas einen Präzidensfall?
    3. Kann man Anwälten anbieten für bspw. 20 % des zu erwartetenden Schmerzengeldes zu arbeiten aber solange nicht „abzurechnen“ bis das letzte Urteil gesprochen wird? ( Angst vor zu hohen Instanzkosten – ohne Rechtsschutz)
    4. Wie ist Ihre Meinung wie ich mich hier verhalten sollte.

    Mit freundlichen Grüßen,

    • Da die DSGVO erst seit etwas über einem Jahr Anwendung findet und ein Rechtsstreit teilweise über Jahre hinweg verhandelt wird, gibt es noch keine Präzedenzfälle. Auch die Höhe des Schmerzensgeldes lässt sich daher nur sehr schwer einschätzen.
      Nach § 49b Abs. 2 BRAO sowie dem Rechtsanwaltsvergütungsgesetz (§ 4a) ist ein Erfolgshonorar nur unter sehr engen Voraussetzungen zulässig, sodass es hier auf die Umstände des Einzelfalls ankommt.
      Bitte haben Sie Verständnis dafür, dass wir über unseren Blog keine individuelle Rechtsberatung geben und wenden Sie sich daher bitte an einen entsprechenden Fachanwalt.

  6. Hallo, wir haben in einem großen bekannten Elektrohandel einen teuren PC bestellt. Ich hatte meine Mailadresse als Kontakt hinterlassen. Die Daten wurden mit mir nicht abgeglichen. Nun habe ich festgestellt, dass die Mailadresse dort falsch hinterlegt wurde. Somit ging auch die Bestellbestätigung mit all meinen persönlichen Daten nicht an mich. Man konnte mir aber nicht sagen ob die Mail an die falsche Adresse rausgegangen ist. Nach Änderung der Mailadresse wurde mir ein Neuversand der Bestellbestätigung versprochen. Bisher habe ich nichts erhalten. Auf Nachfrage hieß es, dass manchmal das System spinnt und ggf.die Mail fest hängt. Jedoch weiß ich nicht ob die erste Mail an irgendjemand anderen verschickt wurde. Wie kann ich mich hier absichern oder vorgehen?

  7. Hallo, auf Grund mehrerer Vorkommnisse durch den Hund meiner Nachbarin hatten meine Vermieter Unterschriften gesammelt, um eine Anzeige beim Ordnungsamt zu stellen. Der Hund hatte mehrere Personen angegriffen.
    Meine Vermieter baten mich daraufhin nochmals alles zu schildern, was ich auch telefonisch und anschließend per Mail tat.
    Daraufhin hat der nette Mensch vom Ordnungsamt meine Mail ausgedruckt und an mehrere Personen per Brief weitergesendet.
    Nachdem ich mich bei der Stadt über den Vorfall beschwert hatte kam keinerlei Reaktion. Erst nachdem ich den Datenschutzbeauftragten der Stadt angeschrieben hatte. Leider hat sich bis heute so keiner richtig bei mir entschuldigt. Außer WISCHWASCH und „wir müssen unsere Mitarbeiter mal schulen“ kam nichts.
    Ein ehemaliger Schulkamerade (bei der Stadt angestellt) rief mich an und machte einen auf Kumpel. „Es dürfe nicht passieren, wäre jedoch jetzt passiert“.

  8. Hallo Dr. Datenschutz, eine Versicherungsagentur versucht immer wieder mir Produkte zu verkaufen. Ich habe in den letzten Jahren mehrfach das Kontaktverbot ausgesprochen. Nun wurde ich wieder angemailt und habe um die Einsicht meiner DSE gebeten. Kann man einen immateriellen Schaden gelten machen und wenn ja über wen?
    MFG Bader

    • Wie bereits im Beitrag erwähnt, kann gemäß Art. 82 DSGVO auch ein immaterieller Schaden geltend gemacht werden. Im Rahmen dieses Blogs dürfen wir allerdings keine konkrete Rechtsberatung leisten. Bei Bedarf holen Sie sich bitte anderweitig Rechtsrat ein.

  9. Firefox hat mich auf zwei Datenlecks hingewiesen:

    Welche Daten wurden kompromittiert:
    Passwörter
    IP-Adressen
    E-Mail-Adressen
    als auch bei einem anderen server

    Welche Daten wurden kompromittiert:
    IP-Adressen
    Telefonnummern
    E-Mail-Adressen
    Geburtsdaten
    Zusätzliche Information, einschließlich:
    Arbeitgeber, Geschlecht, Geografische Standorte, Berufsbezeichnungen, Namen, Anschriften

    Do we have a case? Wäre ja schön, wenn Unternehmen ENDLICH ACHTSAM mit unseren Daten umzugehen wüssten. ll.b. pls help! haha

  10. Guten Tag, m.E.n. gilt der Datenschutz über den Tod eines Menschen hinaus. Sofern jemand in einer Klinik A verstorben ist, Angehörige aber von einer anderen unabhängigen Klinik B Beileidsbekundungen erhalten, besteht dann einen Anspruch auf Schadensersatz bzw. Schmerzensgeld? Die Information muss von Klinik A zu Klinik B weitergegeben worden sein. Gehe ich richtig in der Annahme, dass dies einen Verstoß gegen das Datenschutzrecht darstellt? Die Schweigepflicht/Der Datenschutz beginnt ja schon bei der Tatsache, ob jemand überhaupt Patient irgendwo war… Freue mich auf Antwort. LG

    • Hallo,

      mit der Frage, wie es um den Datenschutz von Verstorbenen steht, haben wir uns im Beitrag „Datenschutz nach dem Tod: DSGVO-Rechte für Angehörige?“ beschäftigt.

      In Ihrem theoretischen Fall steht aber zudem ein Verstoß gegen die Schweigepflicht von Berufsgeheimnisträgern im Raum. Diese ist im Strafgesetzbuch geregelt und gilt gem. § 203 V StGB auch über den Tod des Betroffenen hinaus. Neben strafrechtlichen Folgen kommt bei einem Verstoß gegen die Schweigepflicht ein zivilrechtlicher Anspruch auf Geldentschädigung gem. § 823 Abs. 2 BGB i.V.m. § 203 StGB i.V.m. Art. 1 und Art. 2 Abs. 1 GG nur in Betracht, wenn dieser Verstoß eine schwerwiegenden Verletzung des allgemeinen Persönlichkeitsrechts des Betroffenen darstellt. Zudem ist darauf hinzuweisen, dass ein solcher Anspruch nach der ständigen Rechtsprechung des BGH nicht vererbbar ist, da – anders als beim Schadensersatz – bei der Geldentschädigung der Genugtuungsgedanke im Vordergrund steht und dieser durch den Tod des Betroffen regelmäßig an Bedeutung verliert.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.