Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Schadenersatz bei Datenschutzverstößen nach der DS-GVO

Neben den höheren Bußgelder steigt auch das Risiko bezüglich Schadenersatz in Regress genommen zu werden

Aktuell wird sehr viel über die Höhe des in der Datenschutz-Grundverordnung festgelegten Bußgeldrahmens diskutiert: 20 Millionen Euro oder 4% des weltweiten Konzern-Jahres-Brutto-Umsatzes, je nachdem, welcher Betrag höher ausfällt. Das sind enorme Summen, insbesondere wenn man sie mit den bisherigen Bußgeldern des BDSG vergleicht.

Derzeit nahezu bedeutungslos: Schadenersatzansprüche

Bislang liest und hört man allerdings relativ wenig zum Schadenersatzanspruch der betroffenen Personen. Dieser wird in der DS-GVO in Art. 82 definiert. Und das mit einem einfachen Satz:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Keine Begrenzung nach oben

Das war es. Beachtenswert ist dabei in unseren Augen, dass der Schadenersatz nicht in der Höhe begrenzt wird. Daraus ergibt sich ein weiteres, von den Unternehmen bislang weitgehend unbeachtetes Risiko.

Schadenersatz: Gar nicht so neu

Dazu muss gesagt werden, dass auch das bisherige Bundesdatenschutzgesetz (BDSG) bereits einen Schadenersatzanspruch kannte. Uns ist derzeit kein Fall eines nennenswerten Schadensersatzes im Bereich des Datenschutzes bekannt. Vermutlich ist das auch der Grund dafür, dass die Unternehmen dieses Recht der betroffenen Personen derzeit noch nicht ganz so ernst nehmen.

Höhere Risiken für Auftragsverarbeiter

Insbesondere Auftrags(daten)verarbeiter konnten sich bislang auf ihrem Privileg „ausruhen“. Denn dieses bezog sich auch auf die Haftung für Schadenersatz. Ansprechpartner für die betroffenen Personen war bislang stets der Verantwortliche. Auch das ändert sich mit der DS-GVO. Art. 82 definiert ausdrücklich, dass sowohl Verantwortliche als auch Auftragsverarbeiter zu Schadenersatz herangezogen werden können. Betrachtet man zusätzlich Erwägungsgrund 146 zur DS-GVO, so wird klar, dass der Verordnungsgeber den betroffenen Personen ein wirksames Mittel an die Hand geben wollte. Wirksam kann es jedoch nur sein, wenn es abschreckend ist.

Und genau das ist es, wenn man sich näher damit befasst. Schadenersatzansprüche können gegenüber jedem aktiv an einer Verarbeitung Beteiligten geltend gemacht werden. Gegenseitige Ansprüche der Beteiligten untereinander können dann im Innenverhältnis ausgeglichen werden, so Erwägungsgrund 146. Das bedeutet, dass der Verordnungsgeber es den betroffenen Personen möglichst einfach machen wollte, Schadenersatzansprüche durchzusetzen.

Kein materieller Schaden nötig

Zu beachten ist auch, dass der Auslöser für einen Schadenersatzanspruch zukünftig nicht mehr zwingend eine tatsächliche materielle Schädigung der betroffenen Person ist. Art. 82 DS-GVO definiert, dass bereits eine immaterielle Schädigung durch einen Verstoß gegen die DS-GVO ausreicht, um einen Schadenersatzanspruch auszulösen.

Es ist davon auszugehen, dass zukünftig häufiger derartige Verfahren angestrengt werden. Den Unternehmen kann nur empfohlen werden, diesem Risiko aktiv entgegenzutreten. Optimaler Weise erfolgt dies natürlich durch Ergreifung der entsprechenden Maßnahmen, um Verstöße gegen die DS-GVO zu vermeiden.

Sind Sie unsicher bezüglich Ihres Haftungsrisikos? Wir unterstützen Sie bei der Identifizierung von Haftungsrisiken nach der DS-GVO.