Schadensersatz nach der DSGVO: Datenschutzrechtliches Schmerzensgeld

PrintMailRate-it

veröffentlicht am 27. September 2018 / Lesedauer: ca. 3 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer
 
Es hat sich zwischenzeitlich herumgesprochen: Die Bußgeldhöhen sind zum Dauerbrenner bei der Betonung der Bedeutung der DSGVO geworden. Doch Bußgelder alleine sind nicht die wesentliche Haftungsgefahr im Zusammenhang mit der DSGVO. Behörden und Regierungen haben vereinzelt bereits anklingen lassen, dass sie bei der Verhängung von Bußgeldern „mit Augenmaß” vorgehen wollen. Keiner möchte die eigene Wirtschaft schädigen. Doch sind es nicht die Behörden alleine, die das Sanktions-Zepter schwingen können; es drohen auch zivilrechtliche Haftungsfallen, deren erheblicher Umfang bereits im Verordnungstext angelegt ist und mit wesentlichen Prinzipien des deutschen Schadensersatzrechts bricht.
  
   

  

Datenschutzrechtliches „Schmerzensgeld”

Grundsätzlich ist jeder Verantwortliche zum Ersatz des Schadens verpflichtet, der Betroffenen aus der Nichteinhaltung der DSGVO entsteht. Doch nur mit Mühe lassen sich Fallkonstellationen bilden, in denen man zu einem in Geld bezifferbaren und damit ersatzfähigen Schaden gelangt.
 

Hier hilft die DSGVO Anspruchsberechtigten mit einer Vorschrift, die an die Praxis der sog. „punitive damages” aus dem US-amerikanischen Recht erinnert. Denn Art. 82 Abs. 1 nennt ausdrücklich auch immaterielle Schäden (zu deren Bezifferung später mehr) und bildet damit einen der wenigen Ausnahmefälle von § 253 Abs.1 BGB, in denen ein Gesetz den Ersatz immaterieller Schäden in Geld vorsieht.
 

Der deutsche Gesetzgeber, der sich ursprünglich bewusst gegen die Kapitalisierung von Per­sönlich­keits­rechten entschieden hatte, wird dadurch mehr als ein Stück weit unterlaufen. Wessen Recht auf informationelle Selbstbestimmung in Zukunft verletzt wird, wird das in Geld ummünzen können: Eine hervorragende Motivation zur Geltendmachung – und u.U. mehr Motivation als ein behördliches Sanktionsinteresse.
 

Ersatzfähig sind damit alle zurechenbaren Nachteile, die der Geschädigte an seinem Vermögen oder seinen Rechtsgütern aktuell oder künftig erleidet – auch sein entgangener Gewinn. Nachteile können einerseits solche sein, die z.B. aus Identitätsdiebstahl, Nichteinstellungen, Entlassungen oder Kreditkündigungen auf Basis falscher Informationen entstehen. Andererseits gehören zu den Nachteilen auch die Kosten aus der Rechtsverfolgung, Kosten für IT-Spezialisten und deren Ermittlungsarbeiten oder auch Entgelte für Reputationsdienstleister. Aber auch die bloße Tatsache, dass Pflichten nach der DSGVO nicht eingehalten wurde, kann zur Zahlung von Schmerzensgeld führen, ohne dass dem Geschädigten irgendein „fühlbarer” Schaden entstanden ist. 

 
Anspruchshöhe: Summen, die das deutsche Zivilrecht noch nicht gesehen hat

Grundsätzlich unterliegt die Bemessung von Entschädigungen in Geld der freien tatrichterlichen Würdigung nach § 287 ZPO. Man könnte daraus folgern, dass das zu einem effektiven Korrektiv führe. Doch weit gefehlt: Der europäische Gesetzgeber macht selbst Richtern klare Vorgaben, dass Anspruchshöhen im Lichte der Rechtsprechung des Europäischen Gerichtshofs „weit” und auf eine Art und Weise auszulegen sind, die den Zielen der DSGVO in vollem Umfang entspricht (Erwägungsgrund 146 S.3).
 

Das Gericht hat somit die Dauer sowie Art und Schwere des Verstoßes bei seiner Würdigung zu berück­sichtigen, woraufhin der Geschädigte einen vollständigen und wirksamen Schadensersatz erhalten soll (Erwägungsgrund 146 S.6). Insgesamt verlangt der Verordnungsgeber in Art. 84 DSGVO ausdrücklich, dass eine abschreckende Wirkung erzielt werden muss. Es bleibt abzuwarten, welche Summen die Gerichte in Zukunft ansetzen werden. Sicher ist damit aber, dass die Beträge nicht gering ausfallen werden.
  

Anspruchsberechtigte: Klagewelle statt Abmahnwelle

Geschädigter ist „jede Person”, deren Rechte nach der DSGVO verletzt, deren Daten also im Sinne der Datenschutz-Grundverordnung „verarbeitet” wurden. Damit sind natürliche Personen gemeint. Das können Kunden, Mitarbeiter, Geschäftspartner, Verbraucher, Bewerber und andere Personen sein, mit denen ein Unternehmen Kontakt hatte. Eine Beschränkung nur auf Verbraucher erfolgt gerade nicht.
 

Sobald im Rahmen diesen Kontakts Pflichten nach der DSGVO nicht eingehalten werden, liegt ein Verstoß gegen die Datenschutz-Grundverordnung vor und der Geschädigte hat einen Anspruch auf Schadensersatz – ggf. in Form eines Schmerzensgeldes.
 

Der Verantwortliche haftet voll: Auslagerung hilft nicht

Haftungsschuldner sind nach Art. 82 Absatz 2 DSGVO „Verantwortliche” und „Auftragsverarbeiter”. Sie haften als Gesamtschuldner, wobei das Verschulden des Haftungsschuldners grundsätzlich vermutet wird. Art. 82 Absatz 3 DSGVO sieht zwar vor, dass sich der Haftungsschuldner von der Haftung befreien kann, wenn er nachweist, für den Schaden in keiner Weise verantwortlich zu sein. Ein solcher Nachweis kann allerdings nur gelingen, wenn der Haftungsschuldner umfassende Dokumentationen über seine Datenverarbeitungsvorgänge vorgenommen hat, die er zu seiner Entlastung vorlegen könnte. Wer eigene Geschäftsprozesse nicht – z.B. in einem Verarbeitungsverzeichnis – dokumentiert hat, wird sich daher kaum entlasten können.
 

Anspruchssteller können sich frei aussuchen gegen wen sie ihre Forderung geltend machen. Trifft es den Verantwortlichen, bleibt ihm u.U. also nur der Regress bei seinem Dienstleister. Festzuhalten bleibt also, dass ein „outsourcen” der Tätigkeit an einen Auftragsverarbeiter den Haftungsschuldner gerade nicht von der Haftung befreit. Umso mehr sollte die Auswahl von Dienstleistern nach deren datenschutzrechtlicher Kompetenz ausgerichtet werden.
 

Gefahr einer Klageindustrie

Sollten Datenschutzverstöße vorliegen, droht die Gefahr von flächendeckenden Schadensereignissen, so dass unmittelbar tausende von Personen von Datenpannen betroffen sein werden und vorgenannte Ansprüche geltend machen könnten. Nicht auszuschließen, dass die systematische Geltendmachung derartiger Ansprüche Schule macht, birgt sie doch deutlich weniger Risiken als die befürchtete, aber bislang ausgebliebene „Abmahnwelle”.
 

Fazit

Der beste Schutz gegen die Geltendmachung von datenschutzrechtlichen Entschädigungsansprüchen in Geld („datenschutzrechtliches Schmerzensgeld”) ist die konsequente Einhaltung und Dokumentation datenschutz­rechtlicher Vorschriften, insbesondere der DSGVO.    

Kontakt

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Manager

+49 221 949 909 206

Anfrage senden

Wir beraten Sie gern!

Mehr lesen?

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu