Schadensersatz bei Datenschutzverstößen

Kommt es in einem Unternehmen zu Verstößen gegen die geltenden Datenschutzbestimmungen, kann dies je nach Schweregrad des Verstoßes Bußgelder nach sich ziehen. Zudem haben die betroffenen Personen in einigen Fällen einen Anspruch auf Schadensersatz oder Schmerzensgeld gegenüber den Verantwortlichen. Die Datenschutz-Grundverordnung (DSGVO) enthält spezielle Regelungen über eine Haftung auf Schadenersatz.

Art. 82 DSGVO – Haftung und Recht auf Schadensersatz

Mit dem Art. 82 DSGVO hat der Gesetzgeber klare Folgen eines Verstoßes gegen die geltenden Datenschutzbestimmungen festgelegt. Nach Art. 82 Nr. 1 DSGVO hat jede Person, welcher wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen und den Auftragsverarbeiter. Durch diese Regelungen zur Haftung sollen die Rechte der betroffenen Personen gestärkt werden. Zudem befördert dies die konsequente Durchsetzung der datenschutzrechtlichen Vorschriften.

Eine Voraussetzung für einen Anspruch auf Schadensersatz ist ein Schaden, welcher durch den Verstoß gegen die DSGVO entstanden sein muss. Die Definition eines Schadens findet sich im Erwägungsgrund 146 DSGVO. In den bislang ergangenen Entscheidungen ist immer noch umstritten, wie und durch wen Kausalität und Verschulden der schadensverursachenden Handlung zu beweisen sind und welchen Umfang der Schaden (Bagatellgrenze) erreicht haben muss. Zu diesen Fragen wird der EuGH sich aber wohl nächstes Jahr in anhängigen Verfahren äußern müssen.

Wer ist gemäß DSGVO schadensersatzpflichtig?

Der Gesetzgeber unterscheidet zwischen einer Haftung des Verantwortlichen und einer Haftung des Auftragsverarbeiters. Weiterhin kommt eine gesamtschuldnerische Haftung in Betracht, wenn Verantwortliche oder Auftragsverarbeiter an derselben schädigenden Verarbeitung beteiligt sind.

Grundsätzlich haften alle Verantwortlichen, welche an einem für den Schaden ursächlichen Verstoß gegen die DSGVO beteiligt waren. Der Auftragsverarbeiter haftet zunächst immer dann, wenn ein Schaden entsteht, weil er seinen auferlegten Pflichten nicht nachgekommen ist. Eine bedeutende Pflicht liegt beispielsweise darin, einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abzuschließen. Weiterhin haftet der Auftragsverarbeiter, wenn sich der entstandene Schaden darin begründet, dass er eine rechtmäßig erteilte Anweisung des für die Datenverarbeitung Verantwortlichen missachtet hat. Letztlich kommt eine Haftung in Betracht, wenn ein Schaden eintritt, weil der Auftragsverarbeiter entgegen solcher Anweisungen gehandelt hat.