schadensersatz dsgvo
10. September 2021

Schadensersatz im Rahmen der DSGVO

Geht es um Strafzahlungen im Rahmen der Datenschutz-Grundverordnung (DSGVO), treten vor allem die verhängten Bußgelder in Erscheinung. Bereits 300 Millionen Euro wurden seit der Einführung der DSGVO im Jahr 2018 als Bußgelder gegen Datenschutzverstöße verhängt. Weniger Aufmerksamkeit bekamen bislang die Schadensersatzzahlungen an die betroffenen Personen der Datenschutzverstöße.

Was passiert bei Verstößen gegen die DSGVO?

Verstöße gegen die DSGVO gelten als Datenschutzverstöße. Ob es sich um eine Ordnungswidrigkeit oder Straftat handelt, hängt von der Schwere des Verstoßes ab. Viele Datenschutzverstöße gelten als Datenschutzverletzungen, weil eine „Verletzung des Schutzes personenbezogener Daten“ vorliegt.

Neben den Bußgeldzahlungen, verhängt durch die Aufsichtsbehörden und Gerichte, ist auch jede betroffene Person der Datenschutzverletzung nach Art. 82 Abs. 1 DSGVO dazu berechtigt, Schadensersatzanspruch zu stellen.

Schadensersatzanspruch besteht, wenn:

  • Personenbezogene Daten ohne Berechtigung an Dritte weitergegeben wurden
  • Die betroffene Person ohne ihre vorige Einwilligung kontaktiert wurde
  • Die Daten der betroffenen Person verloren gegangen sind
  • Die Daten widerrechtlich gelöscht wurden
  • Die betroffene Person nicht von ihrem Auskunftsrecht Gebrauch machen darf
  • Oder das verantwortliche Unternehmen unzureichend technische oder organisatorische Maßnahmen zum Schutz der personenbezogenen Daten getroffen hat

Bislang kann jeder Verstoß gegen die datenschutzrechtlichen Regelungen der DSGVO, ob immateriell oder materiell, zu einem Schadensersatzanspruch führen.

Mittlerweile befasst sich jedoch auch der Europäische Gerichtshof (EuGH) mit der Rechtsprechung, um zu klären, ob die Erheblichkeit des Schadens eine Voraussetzung für den Schadensersatzanspruch darstellt. 

Das Amtsgericht Goslar hatte einen Antrag auf Schadensersatz aufgrund einer unrechtmäßig erhaltenen Werbe-E-Mail abgewiesen. Das Urteil jedoch wurde vom Bundesverfassungsgericht aufgehoben, da weder im Art. 82 DSGVO noch im Erwägungsgrund 146 DSGVO eine Erheblichkeitsschwelle bezüglich des Schadensersatzes formuliert sei. Eine Entscheidung des EuGHs in Bezug auf die Rechtsprechung bleibt abzuwarten.

Wer haftet bei Verstößen gegen die DSGVO -Schadensersatz?

Wer haftet bei Verstößen gegen die DSGVO?

Art. 82 DSGVO besagt, dass jede Person, die aufgrund eines Verstoßes gegen die DSGVO einen Schaden erlitten hat, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter hat.

Verantwortlicher = Ihr Unternehmen wird im Kontext der DSGVO als „Verantwortlicher“ bezeichnet, wenn es über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet. 

Auftragsverarbeiter = Ihr Unternehmen gilt als Auftragsverarbeiter, wenn es ausschließlich im Namen des verantwortlichen Unternehmens die personenbezogenen Daten verarbeitet. Die Pflichten gegenüber dem Verantwortlichen müssen vertraglich festgelegt werden.

Beispiel: Wenn Ihr Unternehmen (Verantwortlicher) die Abrechnung der Gehälter aller Mitarbeiter:innen an ein anderes Unternehmen (Auftragsverarbeiter) auslagert. Hierfür werden personenbezogene Daten zu den Mitarbeiter:innen und ihren Gehältern ausgetauscht und verarbeitet.

Gemeinsamer Verantwortlicher = Wenn Ihr Unternehmen gemeinsam mit anderen Unternehmen oder Organisationen festlegt „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden.

Beispiel: Wenn Sie als Unternehmen gemeinsam mit einem anderen Unternehmen eine Webseite nutzen, weil sich Ihre Produkte ergänzen, sind beide in diesem Fall gemeinsame Verantwortliche für die DSGVO-konforme Verarbeitung der Kundendaten.

Im Fall eines Schadens haften alle Verantwortlichen, die an der nicht DSGVO-konformen Datenverarbeitung, die den Schaden verursacht hat, beteiligt waren. Der Auftragsverarbeiter kann hiervon in folgenden Fällen betroffen sein:

  1. Wenn der Schaden dadurch entstanden ist, dass der Auftragsverarbeiter seinen datenschutzrechtlichen Pflichten nicht nachgekommen ist, weil er entgegen Art. 28 Abs. 3 DSGVO keinen Auftragsverarbeitungsvertrag abgeschlossen hat, 
  2. kein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO geführt hat,
  3. nicht gemäß Art. 31 DSGVO mit den Aufsichtsbehörden zusammengearbeitet hat
  4. oder nicht gemäß Art. 27 DSGVO einen EU-Vertreter benannt hat, obwohl er dazu verpflichtet gewesen wäre.
  5. Auch wenn der Auftragsverarbeiter eine rechtmäßig erteilte Anweisung des für die Datenverarbeitung Verantwortlichen nicht beachtet hat
  6. Oder der Schaden dadurch entstanden ist, dass der Auftragsverarbeiter gegen diese Anweisung gehandelt hat, ist er verantwortlich. 

Achtung: Wenn der Auftragsverarbeiter unerlaubt Daten zu eigenen Zwecken verarbeitet, gilt er selbst als Verantwortlicher nach Art. 28 Abs. 10 DSGVO.

Wie kommt der Anspruch auf Schadensersatz aus Artikel 82 DSGVO zustande?

Die in der DSGVO festgelegte Regelung zur Haftung auf Schadensersatz soll sowohl die Rechte der betroffenen Person stärken als auch die Sanktionsmöglichkeiten durchsetzen.

Hierfür muss die betroffene Person selbst tätig werden und ihren Anspruch bei den ordentlichen Gerichten einklagen. Dies geschieht unabhängig von möglicherweise laufenden Bußgeldverfahren.

Wie hoch ist der Anspruch auf Schadensersatz in der DSGVO?

Wie hoch ist der Anspruch auf Schadensersatz in der DSGVO? 

Erwägungsgrund 146 der DSGVO besagt, dass der Verantwortliche oder der Auftragsverarbeiter, bei entstandenen Schäden durch eine Verletzung der Regelungen der DSGVO, zu Schadensersatzzahlungen in vollem Umfang verpflichtet ist. Anders als im Zivilrecht geht es nicht nur um den Ausgleich der entstandenen Nachteile, sondern um Schadensersatzforderungen, die darüber hinausgehen und dementsprechend abschreckend wirken sollen. Dies gilt vor allem, weil neben dem materiellen Schaden auch der immaterielle Schaden in die Bewertung mit einfließt. So sollen auch immaterielle Schäden wie Zeitverlust oder Rufschädigung kompensiert werden. 

Gerade etwas mehr als ein Drittel der deutschen Unternehmen haben bislang die datenschutzrechtlichen Maßnahmen gemäß der DSGVO umgesetzt. Dabei werden sowohl die Kund:innen als auch die Datenschutzbeauftragten wachsamer bezüglich des Schutzes personenbezogener Daten. Eine einfache Lösung für ein höheres Datenschutz-Bewusstsein in Ihrem Unternehmen sind unsere Online-Schulungen. In kurzer Zeit und flexibel abrufbar erklären wir Ihren Mitarbeiter:innen anhand vieler Praxisbeispiele die Notwendigkeit und Umsetzung des Datenschutzes in Ihrem Unternehmen. Auf diese Weise erhöhen Sie die Selbstkontrolle und verringern das Risiko als Verantwortlicher oder Auftragsverarbeiter in einen Datenschutzverstoß verwickelt zu sein.

Quellen:

Europa (2021). Worum handelt es sich bei einem Verantwortlichen bzw. einem Auftragsverarbeiter. https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_deVoigt, P., von dem Bussche, A. (2018). EU-Datenschutz-Grundverordnung (DSGVO). Wiesbaden: Springer Verlag. Weber, M. (2021). Der Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO in der gerichtlichen Praxis — Eine Bestandsaufnahme. Computer und Recht, 37(6)
10. September 2021
Der/die Datenschutzbeauftragte und seine/ihre Aufgaben
10. September 2021
Wann sind personenbezogene Daten hinreichend anonymisiert und pseudonymisiert?
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,66 von 5 Sternen 1381 Bewertungen auf ProvenExpert.com