DSGVO: Schadensersatz bei Datenschutzverstoß möglich

Fachbeitrag

Bei aktuellen Diskussionen um die DSGVO stehen beim Thema Datenschutzverstoß zumeist die hohen Bußgelder der Aufsichtsbehörden nach Art. 83 DSGVO im Vordergrund. Auch wenn das viel zitierte Bußgeld von 20 Millionen oder 4 % des weltweiten Konzern-Jahres-Brutto-Umsatzes langsam etwas von seiner Schockwirkung verloren hat, gilt es immer noch als die schwerste finanzielle Sanktion des Datenschutzes. Ein Anspruch der dadurch etwas in den Hintergrund rückt, ist der Schadensersatzanspruch für jedermann aus Art. 82 DSGVO. Dieser soll hier unter die Lupe genommen werden.

Anspruchsgrundlage Art. 82 Abs. 1 DSGVO

Nach Art. 82 Abs. 1 DSGVO hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.

Der Anspruch setzt Folgendes voraus:

  • ein Verstoß gegen die DSGVO,
  • einen materiellen oder immateriellen Schaden,
  • ein Verschulden des Verantwortlichen oder des Auftragverarbeiters.

Der Verstoß muss bei der Verarbeitung von personenbezogenen Daten geschehen. Ein Beispiel hierfür ist die Verarbeitung von personenbezogenen Daten ohne eine Rechtsgrundlage. Bei einem Schaden handelt es sich zunächst um eine negative Abweichung vom Status quo, der durch einen Verstoß gegen die DSGVO hervorgerufen wird. Bei einem materiellen Schaden spricht man von einem Vermögensschaden.

Nach Art. 82 Abs. 1 DSGVO können nun auch immaterielle Schäden geltend gemacht werden, wenn z.B. personenbezogene Daten einem Dritten zugänglich gemacht werden, hierdurch aber kein Vermögensschaden entstanden ist. In diesem Fall hat der Geschädigte das Recht Schmerzensgeld zu verlangen. Des Weiteren muss ein Verschulden des Verantwortlichen oder Auftragsverarbeiters vorliegen. Ein Verschulden liegt vor, wenn der Verantwortliche oder der Auftragsverarbeiter den Datenschutzverstoß vorsätzlich oder fahrlässig herbeiführt.

Nachweispflicht des Verantwortlichen und des Auftragsverarbeiters

Art. 82 Abs. 3 DSGVO nimmt den Verantwortlichen und den Auftragsverarbeiter in die Pflicht, den Nachweis zu erbringen, dass sie für den Umstand durch den der Schaden entstanden ist nicht verantwortlich sind. Von dieser Warte aus gesehen, können die geforderten Dokumentationspflichten der DSGVO sehr hilfreich dabei sein, diesen Nachweis zu erbringen.

Höhe des Schadensersatzes

Die Norm begrenzt den Schadensersatz nicht in seiner Höhe. Erwägungsgrund 146 zur DSGVO gibt den Hinweis, dass bei der Bestimmung des materiellen Schadens eine weite Auslegung unter Berücksichtigung der EuGH-Rechtsprechung angewendet werden soll und die Ziele der DSGVO zu beachten sind. Die Höhe des Schmerzensgeldes für immaterielle Schäden soll sich an der Genugtuungs- und der Abschreckungsfunktion des Schmerzensgeldes orientieren.

Hohes Schadensersatzrisiko für Auftragsverarbeiter

Mit der DSGVO wird der Auftragsverarbeiter stärker in die Pflicht genommen, als es beim BDSG der Fall war. Unangenehm für Auftragsverarbeiter ist, dass sie nach Art. 82 Abs. 4 DSGVO gesamtschuldnerisch mit dem Verantwortlichen haften, wenn sie an derselben Verarbeitung beteiligt sind. Das bedeutet, dass eine geschädigte Person den gesamten Schadensersatz vom Verantwortlichen oder dem Auftragsverarbeiter verlangen kann.

Schadensersatz kannte man schon im BDSG

Neu ist das Konzept des Schadensersatzes im Datenschutz nicht. Schon nach § 7 BDSG konnte der Betroffene Schadensersatz geltend machen. Von dieser Regelung wurde aber nur selten Gebrauch gemacht.

Interessant wäre es, wenn der Schadensersatzanspruch durch Betroffene aus dem Schatten seines großen Bruders Bußgeld heraustreten würde. Falls eine große Anzahl von Personen berechtigte Schadensersatzansprüche geltend machen würden, könnte hierdurch ein finanzielles Risiko für Unternehmen entstehen, dass mit einem Bußgeld vergleichbar wäre.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.