Geht es um Strafzahlungen im Rahmen der Datenschutz-Grundverordnung (DSGVO), treten vor allem die verhängten Bußgelder in Erscheinung. Bereits 300 Millionen Euro wurden seit der Einführung der DSGVO im Jahr 2018 als Bußgelder gegen Datenschutzverstöße verhängt. Weniger Aufmerksamkeit bekamen bislang die Schadensersatzzahlungen an die betroffenen Personen der Datenschutzverstöße.
Verstöße gegen die DSGVO gelten als Datenschutzverstöße. Ob es sich um eine Ordnungswidrigkeit oder Straftat handelt, hängt von der Schwere des Verstoßes ab. Viele Datenschutzverstöße gelten als Datenschutzverletzungen, weil eine „Verletzung des Schutzes personenbezogener Daten“ vorliegt.
Neben den Bußgeldzahlungen, verhängt durch die Aufsichtsbehörden und Gerichte, ist auch jede betroffene Person der Datenschutzverletzung nach Art. 82 Abs. 1 DSGVO dazu berechtigt, Schadensersatzanspruch zu stellen.
Schadensersatzanspruch besteht, wenn:
Bislang kann jeder Verstoß gegen die datenschutzrechtlichen Regelungen der DSGVO, ob immateriell oder materiell, zu einem Schadensersatzanspruch führen.
Mittlerweile befasst sich jedoch auch der Europäische Gerichtshof (EuGH) mit der Rechtsprechung, um zu klären, ob die Erheblichkeit des Schadens eine Voraussetzung für den Schadensersatzanspruch darstellt.
Das Amtsgericht Goslar hatte einen Antrag auf Schadensersatz aufgrund einer unrechtmäßig erhaltenen Werbe-E-Mail abgewiesen. Das Urteil jedoch wurde vom Bundesverfassungsgericht aufgehoben, da weder im Art. 82 DSGVO noch im Erwägungsgrund 146 DSGVO eine Erheblichkeitsschwelle bezüglich des Schadensersatzes formuliert sei. Eine Entscheidung des EuGHs in Bezug auf die Rechtsprechung bleibt abzuwarten.
Art. 82 DSGVO besagt, dass jede Person, die aufgrund eines Verstoßes gegen die DSGVO einen Schaden erlitten hat, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter hat.
Verantwortlicher – Ihr Unternehmen wird im Kontext der DSGVO als „Verantwortlicher“ bezeichnet, wenn es über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet.
Auftragsverarbeiter – Ihr Unternehmen gilt als Auftragsverarbeiter, wenn es ausschließlich im Namen des verantwortlichen Unternehmens die personenbezogenen Daten verarbeitet. Die Pflichten gegenüber dem Verantwortlichen müssen vertraglich festgelegt werden.
Beispiel: Wenn Ihr Unternehmen (Verantwortlicher) die Abrechnung der Gehälter aller MitarbeiterInnen an ein anderes Unternehmen (Auftragsverarbeiter) auslagert. Hierfür werden personenbezogene Daten zu den MitarbeiterInnen und ihren Gehältern ausgetauscht und verarbeitet.
Gemeinsamer Verantwortlicher – Wenn Ihr Unternehmen gemeinsam mit anderen Unternehmen oder Organisationen festlegt „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden.
Beispiel: Wenn Sie als Unternehmen gemeinsam mit einem anderen Unternehmen eine Webseite nutzen, weil sich Ihre Produkte ergänzen, sind beide in diesem Fall gemeinsame Verantwortliche für die DSGVO-konforme Verarbeitung der Kundendaten.
Im Fall eines Schadens haften alle Verantwortlichen, die an der nicht DSGVO-konformen Datenverarbeitung, die den Schaden verursacht hat, beteiligt waren. Der Auftragsverarbeiter kann hiervon in folgenden Fällen betroffen sein:
Achtung: Wenn der Auftragsverarbeiter unerlaubt Daten zu eigenen Zwecken verarbeitet, gilt er selbst als Verantwortlicher nach Art. 28 Abs. 10 DSGVO.
Die in der DSGVO festgelegte Regelung zur Haftung auf Schadensersatz soll sowohl die Rechte der betroffenen Person stärken als auch die Sanktionsmöglichkeiten durchsetzen.
Hierfür muss die betroffene Person selbst tätig werden und ihren Anspruch bei den ordentlichen Gerichten einklagen. Dies geschieht unabhängig von möglicherweise laufenden Bußgeldverfahren.
Erwägungsgrund 146 der DSGVO besagt, dass der Verantwortliche oder der Auftragsverarbeiter, bei entstandenen Schäden durch eine Verletzung der Regelungen der DSGVO, zu Schadensersatzzahlungen in vollem Umfang verpflichtet ist. Anders als im Zivilrecht geht es nicht nur um den Ausgleich der entstandenen Nachteile, sondern um Schadensersatzforderungen, die darüber hinausgehen und dementsprechend abschreckend wirken sollen. Dies gilt vor allem, weil neben dem materiellen Schaden auch der immaterielle Schaden in die Bewertung mit einfließt. So sollen auch immaterielle Schäden wie Zeitverlust oder Rufschädigung kompensiert werden.
Gerade etwas mehr als ein Drittel der deutschen Unternehmen haben bislang die datenschutzrechtlichen Maßnahmen gemäß der DSGVO umgesetzt. Dabei werden sowohl die KundInnen als auch die Datenschutzbeauftragten wachsamer bezüglich des Schutzes personenbezogener Daten. Eine einfache Lösung für ein höheres Datenschutz-Bewusstsein in Ihrem Unternehmen sind unsere Online-Schulungen. In kurzer Zeit und flexibel abrufbar erklären wir Ihren MitarbeiterInnen anhand vieler Praxisbeispiele die Notwendigkeit und Umsetzung des Datenschutzes in Ihrem Unternehmen. Auf diese Weise erhöhen Sie die Selbstkontrolle und verringern das Risiko als Verantwortlicher oder Auftragsverarbeiter in einen Datenschutzverstoß verwickelt zu sein.
Quellen: