Schadensersatzanspruch Betroffener für vermeintliche Datenschutzverletzungen

Schadensersatzanspruch Betroffener für vermeintliche Datenschutzverletzungen

21. Juni 2021

Seit Einführung der Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 drohen Unternehmen im Falle eines Datenschutzverstoßes Bußgelder in Höhe von bis zu 20 Millionen € oder 4% des Jahresumsatzes. Nicht zuletzt ist das für viele Firmen überhaupt erst der Grund, sich mit dem Thema Datenschutz zu befassen. Doch bei einer Verletzung der Datenschutzgesetze können die Unternehmen nicht nur allein durch Bußgelder abgestraft werden. Die DS-GVO sieht noch ein weiteres Anrecht gegen den Verantwortlichen eines Datenschutzverstoßes vor, und zwar den Schadensersatzanspruch für Betroffene, welcher in Art. 82 DS-GVO geregelt ist.

Die DS-GVO sieht noch ein weiteres Anrecht gegen den Verantwortlichen eines Datenschutzverstoßes vor, und zwar den Schadensersatzanspruch für Betroffene, welcher in Art. 82 DS-GVO geregelt ist. Nach Absatz 1 hat demnach

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Dabei wird der Justiz die Aufgabe zugesprochen, Kriterien und Grenzen des Schadensersatzanspruchs gemäß der DS-GVO sinnvoll zu definieren und entsprechend auszulegen.

Voraussetzungen

Um überhaupt Anspruch auf Schadenersatz nach Art. 82 DS-GVO zu stellen, muss zuerst einmal ein Verstoß gegen eine der Vorschriften erfolgt sein. Das heißt, dass sich der Beschuldigte in irgendeiner Weise datenschutzwidrig verhalten haben muss. Der besagte Artikel grenzt die Art und Weise der ersatzfähigen Datenschutzverstöße jedoch nicht ein, wodurch im Prinzip jede Zuwiderhandlung gegen irgendeine DS-GVO-Richtlinie dafür in Frage kommen kann.

Ein Verstoß liegt unter anderem dann vor, wenn:

Personenbezogene Daten ohne entsprechende bzw. hinreichende Rechtsgrundlage verarbeitet werden (siehe Art. 6 DS-GVO). – Indem zum Beispiel persönliche Daten im Internet preisgegeben werden und somit die Privatsphäre der Betroffenen verletzt wird.

Betroffenenrechte nach Art. 15 ff. DS-GVO verletzt werden. - Darunter zählt beispielsweise das Auskunftsrecht. Denn nur wenn man weiß, dass Daten über einen selbst verarbeitet werden, kann man sich gegen eventuelle Datenschutzverletzungen zur Wehr setzen.

Die Vorschriften einer gemeinsamen Verantwortlichkeit (siehe Art. 26 DS-GVO) missachtet werden.

Die Voraussetzungen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO nicht eindeutig beachtet werden.

Datensicherheitsvorgaben nach Art. 32 ff. DS-GVO nicht erfüllt werden. – Dazu gehören insbesondere die fehlende oder unzureichende Einrichtung technischer und organisatorischer Maßnahmen.

 

Des Weiteren muss die Person, gegen die der Ersatzanspruch geltend gemacht wird, den Datenschutzverstoß durch vorsätzliches oder fahrlässiges Verhalten selbst verschuldet haben. Die Beweislast trägt dabei der beschuldigte Verantwortliche oder Auftragsverarbeiter, wobei er nur von der Haftung befreit wird, wenn er nachweisen kann, dass er nicht für den schadenauslösenden Umstand verantwortlich ist. Eine Entlastung wäre besonders im Bereich von Datenlecks denkbar. Denn eine Datenpanne durch rechtswidrige Hacking- und Phishing-Angriffe von Dritten ist auch dann möglich, wenn alle technischen und organisatorischen Maßnahmen getroffen wurden, um solche Angriffe zu verhindern.

Im Übrigen hat der Betroffene nur dann einen Anspruch auf Schadenersatz gemäß Art. 82 DS-GVO, wenn er beweisen kann, dass ihm ein konkreter Schaden entstanden ist. Er hat dabei die Möglichkeit, sowohl einen materiellen als auch einen immateriellen Schaden geltend zu machen. Es genügt jedoch nicht allein, dass überhaupt gegen den Datenschutz verstoßen wurde.

Materielle Schäden lassen sich in der Regel eindeutig belegen und beziffern. Als Beispiel sei hier der Identitätsdiebstahl bzw. -betrug genannt, bei dem durch die Nutzung von zum Beispiel fremder Login- und Zahlungsdaten Kaufabschlüsse und Überweisungen getätigt werden, die einen erheblichen finanziellen Verlust für den Betroffenen bedeuten können.

Immaterielle Schäden sind dagegen schwieriger durchzusetzen. Eine bloße individuell empfundene Unannehmlichkeit reicht hier nicht aus. Darunter zählen unter anderem die unberechtigte Zustellung eines Newsletters, die bloße Löschung von Daten (aus einem sozialen Netzwerk) als Datenverlust oder auch nur die Angst vor einer möglichen Datennutzung von unbefugten Dritten nach einer Datenpanne. In diesen Fällen konnte die Rechtsprechung keinen ausreichenden immateriellen Schaden bzw. Seelenschmerz feststellen. Vielmehr muss eindeutig dargelegt werden, dass der erlittene gesellschaftliche oder persönliche Nachteil des Betroffenen objektiv nachvollziehbar und beachtlich ist, so zum Beispiel bei einer schwerwiegenden Verletzung der Persönlichkeitsrechte in Form einer öffentlichen Bloßstellung. Gegenwärtig können sogar lediglich verspätete oder unzureichende bzw. unvollständige Reaktionen auf ein Auskunfts- oder Interventionsrecht des Betroffenen zu einem Schadensersatzanspruch führen, ohne dass ein konkreter Schaden genauer bewiesen werden müsste. In diesem Fall wird davon ausgegangen, dass der Schaden allein durch die bloße Rechtsvereitelung eintrifft.

Immaterielle Schäden lassen sich schwer in Zahlen ausdrücken, da hier noch keine allgemein gültigen Maßstäbe für die Bemessung der Betragshöhe existieren. Allerdings muss man davon ausgehen, dass die Höhe des Schadensersatzes wirksam sein soll bzw. ihr eine Art Abschreckungsfunktion zu Teil wird. Wobei die Vorfälle jedoch trotzdem als konkrete Einzelfallentscheidungen behandelt werden sollten, die insbesondere die finanzielle Lage des Verantwortlichen, die Schwere der Rechtsverletzung sowie die Schwere der Schuld des Beschuldigten am Schadenseintritt berücksichtigen.

Beispielsweise wurde einem Arbeitnehmer vom Arbeitsgericht Lübeck ein Schmerzensgeld in Höhe von 1.000 € zugesprochen, weil sein Foto auf der firmeneigenen Facebook-Seite veröffentlicht wurde, ohne dass er dem Vorgang zugestimmt hat (AZ: 1 Ca 538/19, Beschluss vom 20.06.2019). Den Vorwurf der Bloßstellung durch die öffentliche Zugänglichkeit des Fotos sah das Gericht hier als erwiesen.

Wie kann man Schadensersatzforderungen verhindern?

Um erst gar nicht in die missliche Lage einer Schadensersatzforderung zu kommen, ist die Befolgung und rechtskonforme Umsetzung geltender datenschutzrechtlicher Anforderungen besonders wichtig. Vor allem in den Bereichen, wo personenbezogene Daten verarbeitet werden, wie beispielsweise im Newsletter-Marketing, beim Cookie-Tracking und beim Umgang mit Datenpannen bzw. Betroffenenanfragen, sollte genaustens auf die Einhaltung des Datenschutzes geachtet werden. Denn gerade hier sind Schadensersatzbegehren wahrscheinlich.

Es ist daher unbedingt ratsam, eine sorgfältige Dokumentation aller vorgenommenen Datenschutzvorkehrungen anzulegen, um sich für den Fall einer Schadensersatzforderung darauf berufen zu können. Im Einzelfall kann dadurch die Unschuld oder fehlende Verantwortlichkeit beim Vorliegen eines Verstoßes bewiesen werden.

 

Meine Quellen:

https://data-blog.de/?p=528

https://kanzlei-michaelis.de/datenschutzverstoesse-die-weh-tun/#tab-id-1

https://www.jasperprigge.de/schadensersatz-wegen-verspaeteter-auskunft-nach-der-dsgvo/

https://www.it-recht-kanzlei.de/schadensersatz-dsgvo-voraussetzungen-umfang.html

 

Autorin: Aline Neißner