Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Schadenersatz bei Datenschutzverstößen nach der DS-GVO

5. Dezember 2017

Aktuell wird sehr viel über die Höhe des in der Datenschutz-Grundverordnung festgelegten Bußgeldrahmens diskutiert: 20 Millionen Euro oder 4% des weltweiten Konzern-Jahres-Brutto-Umsatzes, je nachdem, welcher Betrag höher ausfällt. Das sind enorme Summen, insbesondere wenn man sie mit den bisherigen Bußgeldern des BDSG vergleicht.

Derzeit nahezu bedeutungslos: Schadenersatzansprüche

Bislang liest und hört man allerdings relativ wenig zum Schadenersatzanspruch der betroffenen Personen. Dieser wird in der DS-GVO in Art. 82 definiert. Und das mit einem einfachen Satz:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Keine Begrenzung nach oben

Das war es. Beachtenswert ist dabei in unseren Augen, dass der Schadenersatz nicht in der Höhe begrenzt wird. Daraus ergibt sich ein weiteres, von den Unternehmen bislang weitgehend unbeachtetes Risiko.

Schadenersatz: Gar nicht so neu

Dazu muss gesagt werden, dass auch das bisherige Bundesdatenschutzgesetz (BDSG) bereits einen Schadenersatzanspruch kannte. Uns ist derzeit kein Fall eines nennenswerten Schadensersatzes im Bereich des Datenschutzes bekannt. Vermutlich ist das auch der Grund dafür, dass die Unternehmen dieses Recht der betroffenen Personen derzeit noch nicht ganz so ernst nehmen.

Höhere Risiken für Auftragsverarbeiter

Insbesondere Auftrags(daten)verarbeiter konnten sich bislang auf ihrem Privileg „ausruhen“. Denn dieses bezog sich auch auf die Haftung für Schadenersatz. Ansprechpartner für die betroffenen Personen war bislang stets der Verantwortliche. Auch das ändert sich mit der DS-GVO. Art. 82 definiert ausdrücklich, dass sowohl Verantwortliche als auch Auftragsverarbeiter zu Schadenersatz herangezogen werden können. Betrachtet man zusätzlich Erwägungsgrund 146 zur DS-GVO, so wird klar, dass der Verordnungsgeber den betroffenen Personen ein wirksames Mittel an die Hand geben wollte. Wirksam kann es jedoch nur sein, wenn es abschreckend ist.

Und genau das ist es, wenn man sich näher damit befasst. Schadenersatzansprüche können gegenüber jedem aktiv an einer Verarbeitung Beteiligten geltend gemacht werden. Gegenseitige Ansprüche der Beteiligten untereinander können dann im Innenverhältnis ausgeglichen werden, so Erwägungsgrund 146. Das bedeutet, dass der Verordnungsgeber es den betroffenen Personen möglichst einfach machen wollte, Schadenersatzansprüche durchzusetzen.

Kein materieller Schaden nötig

Zu beachten ist auch, dass der Auslöser für einen Schadenersatzanspruch zukünftig nicht mehr zwingend eine tatsächliche materielle Schädigung der betroffenen Person ist. Art. 82 DS-GVO definiert, dass bereits eine immaterielle Schädigung durch einen Verstoß gegen die DS-GVO ausreicht, um einen Schadenersatzanspruch auszulösen.

Es ist davon auszugehen, dass zukünftig häufiger derartige Verfahren angestrengt werden. Den Unternehmen kann nur empfohlen werden, diesem Risiko aktiv entgegenzutreten. Optimaler Weise erfolgt dies natürlich durch Ergreifung der entsprechenden Maßnahmen, um Verstöße gegen die DS-GVO zu vermeiden.

Sind Sie unsicher bezüglich Ihres Haftungsrisikos? Wir unterstützen Sie bei der Identifizierung von Haftungsrisiken nach der DS-GVO.