datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert

Schadenersatz bei Datenschutzverstößen nach der DSGVO

Aktuell wird sehr viel über die Höhe des in der Datenschutz-Grundverordnung festgelegten Bußgeldrahmens diskutiert: 20 Millionen Euro oder 4% des weltweiten Konzern-Jahres-Brutto-Umsatzes, je nachdem, welcher Betrag höher ausfällt. Das sind wirklich enorme Summen, insbesondere wenn man sie mit den bisherigen Bußgeldern des BDSG vergleicht.

Derzeit nahezu bedeutungslos: Schadenersatzansprüche

Bislang liest und hört man allerdings relativ wenig zum Schadenersatzanspruch der betroffenen Personen. Dieser wird in der DSGVO in Art. 82 definiert. Und das mit einem einfachen Satz:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Keine Begrenzung nach oben

Das war es. Beachtenswert ist dabei in unseren Augen, dass der Schadenersatz nicht in der Höhe begrenzt wird. Es wird auch kein Referenzmaßstab angegeben. Daraus ergibt sich ein zusätzliches, von den Unternehmen bislang weitgehend unbeachtetes Risiko .

Schadenersatz: Gar nicht so neu

Dazu muss gesagt werden, dass auch das bisherige Bundesdatenschutzgesetz (BDSG) bereits einen Schadenersatzanspruch kannte. Uns ist derzeit kein Fall eines nennenswerten Schadensersatzes im Bereich des Datenschutzes bekannt. Vermutlich ist das auch der Grund dafür, dass die Unternehmen dieses Recht der betroffenen Personen derzeit noch nicht ganz so ernst nehmen.

Höhere Risiken für Auftragsverarbeiter

Insbesondere Auftrags(daten)verarbeiter konnten sich bislang auf ihrem Privileg “ausruhen”. Denn dieses bezog sich auch auf die Haftung für Schadenersatz. Ansprechpartner für die betroffenen Personen war bislang stets der Verantwortliche. Auch das ändert sich mit der DSGVO. Art. 82 definiert ausdrücklich, dass sowohl Verantwortliche als auch Auftragsverarbeiter zu Schadenersatz herangezogen werden können. Betrachtet man zusätzlich Erwägungsgrund 146 zur DSGVO, so wird klar, dass der Verordnungsgeber den betroffenen Personen ein wirksames Mittel an die Hand geben wollte. Wirksam kann es jedoch nur sein, wenn es abschreckend ist.

Und genau das ist es, wenn man sich näher damit befasst. Schadenersatzansprüche können gegenüber jedem aktiv an einer Verarbeitung Beteiligten geltend gemacht werden. Gegenseitige Ansprüche der Beteiligten untereinander können dann im Innenverhältnis ausgeglichen werden, so Erwägungsgrund 146. Das bedeutet, dass der Verordnungsgeber es den betroffenen Personen möglichst einfach machen wollte, Schadenersatzansprüche durchzusetzen.

Kein materieller Schaden nötig

Zu beachten ist auch, dass der Auslöser für einen Schadenersatzanspruch zukünftig nicht mehr zwingend eine tatsächliche materielle Schädigung der betroffenen Person ist. Art. 82 DSGVO definiert, dass bereits eine immaterielle Schädigung durch einen Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch auszulösen.

Es ist davon auszugehen, dass zukünftig häufiger derartige Verfahren angestrengt werden. Den Unternehmen kann nur empfohlen werden, diesem Risiko aktiv entgegenzutreten. Optimaler Weise erfolgt dies natürlich durch Ergreifung entsprechender Maßnahmen, um Verstöße gegen die DSGVO zu vermeiden.

Sind Sie unsicher bezüglich Ihres Haftungsrisikos? Wir unterstützen Sie bei der Identifizierung von Haftungsrisiken nach der DSGVO.


Diesen Beitrag teilen