Schadenersatzansprüche nach der DSGVO: Kasse machen mit Pflichtverletzungen

PrintMailRate-it

Die Datenschutz-Grundverordnung (DSGVO) erweitert den Kreis der zu Schadenersatz Verpflichteten, der Ersatz­be­rechtigten sowie der zu ersetzenden Schäden. Zu­sammen­­arbeitende Verantwortliche haften dabei als Gesamt­­schuldner. sofern sie nicht nachweisen können, unter keinen Umständen für einen Verstoß mit­ver­ant­wortlich zu sein. Wesentlich zur Vermeidung zivilrechtlicher Ersatz­ansprüche ist daher der Nachweis einer rechtmäßigen Daten­ver­arbeitung.
 

Verstöße gegen die Datenschutz-Grundverordnung verpflichten zum Schadenersatz. Diese Ansprüche können künftig nicht nur von den natürlichen Personen geltend gemacht werden, deren eigene personenbezogene Daten beeinträchtigt wurden. Ab dem 25. Mai 2018 haben auch sonstige natürliche und sogar juristische Personen einen Anspruch auf Schadenersatz, sofern sie durch die Datenschutzverstöße jedenfalls mittelbar einen Schaden erlitten haben.

 

Ersatz immaterieller Schäden

Die Beachtung des Datenschutzes führt dann nicht lediglich zu einem (ideellen) Wett­bewerbs­vorteil für Unternehmen: Eine Missachtung der Datenschutzvorschriften kann künftig von Mitbewerbern sowohl wettbewerbswidrig (auf Unterlassung) als auch auf Zahlung von Schaden­ersatz an den Mitbewerber geltend gemacht werden. Etwaigen Schwierigkeiten bei der Berechnung des tatsächlich erlittenen Schadens können die Kläger dadurch entgehen, dass die Verordnung ausdrücklich auch den Ersatz immaterieller Schäden – und damit Schmerzensgeld – gewährt. Diese Schmerzensgeldansprüche sind nicht allein auf die jeweils vom Missbrauch ihrer personenbezogenen Daten Betroffenen beschränkt, sondern stehen jeder Person und damit auch Unternehmen zu. Jedenfalls für die Betroffenen selbst regelt die Verordnung ausdrücklich, dass ein wirksamer Schadenersatz sichergestellt werden muss. Zudem verweist sie in den Erwägungsgründen darauf, dass der Schadensbegriff weit auszulegen und der Schadenersatz den Zielen der Verordnung in vollem Umfang entsprechen soll.

 

Internationale Gerichtszuständigkeit

Der Ersatz immaterieller Schäden wird jedenfalls in Deutschland bislang eher restriktiv gehandhabt. Das beruht darauf, dass derartige Schäden nur in gesetzlich ausdrücklich geregelten Fällen ersetzt und selbst dann nur relativ geringe Beträge ausgeurteilt werden. Ob sich hieran durch die verpflichtende Vorgabe eines „wirksamen” Schadenersatzes in Deutschland etwas ändern wird, bleibt zunächst abzuwarten.

     

Allerdings müssen Klagen auf Schadenersatz nicht zwingend vor den Gerichten der Länder erhoben werden, in denen das verant­wortliche Unternehmen bzw. dessen Niederlassung ihren Sitz hat. Jedenfalls die von einem Datenschutz­verstoß unmittelbar betroffene Person kann Schadenersatzklagen auch vor dem Gericht eines EU-Mitgliedstaates erheben, in dem sie selbst sich gewöhnlich aufhält. Auf diese Weise kann sich ein allein in Deutschland ansässiges, nur gegenüber deutschen Vertragspartnern tätiges Unternehmen bei Verstößen gegen die Daten­schutz­vor­schriften Schadenersatzklagen in anderen Mitgliedstaaten der EU ausgesetzt sehen, wenn die von der Datenverarbeitung Betroffenen in diesen Ländern wohnen. Bei der Bemessung der Höhe des Schadenersatzes und Schmerzensgeldes wird es dann auch auf die Besonderheiten des jeweiligen Landes ankommen.

 

Gemeinsame Verantwortung und Exkulpation

Das Ziel eines wirksamen Schadenersatzes für die Betroffenen wird auch dadurch sichergestellt, dass bei einer Beteiligung mehrerer Unternehmen an der Datenverarbeitung zunächst einmal alle gesamtschuldnerisch zur Zahlung des Schadensersatzes verpflichtet sind. Dabei haftet ein für die Datenverarbeitung Verantwortlicher auch auf Ersatz von Schäden, die durch einen von ihm eingeschalteten Auftragsdatenverarbeiter entstanden sind.

 

Fazit

Eine Befreiung von der Mitverantwortung (Exkulpation) ist nur – aber immerhin – möglich wenn ein Unternehmen nachweisen kann, unter keinen Umständen für den Schadeneintritt verant­wortlich gewesen zu sein. Hierzu kann insbesondere auf die für den angemessenen Einsatz technischer und organisatorischer Maßnahmen ohnehin erforderlichen Nachweise zur ordnungsgemäßen Verarbeitung nach Art. 24 Abs. 1 sowie (eingeschränkt) die Nachweise zur Einhaltung der Grundsätze der personenbezogenen Datenverarbeitung nach Art. 5 Abs. 2 zurückgegriffen werden.

   
zuletzt aktualisiert am 10.08.2016

Kontakt

Contact Person Picture

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht

Associate Partner

+49 3641 4035 30

Anfrage senden

Profil

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu