Die Aufsichtsbehörden können bei Verstößen gegen die Datenschutz-Grundverordnung hohe Bußgelder verhängen. Daneben gibt es immer wieder Klagen auf immateriellen Schadensersatz für die Folgen dieser Verstöße. Derartige Klagen kommen von einzelnen Betroffenen, Datenschutzaktivisten sowie Verbraucherverbänden. Für Unternehmen bestehen insbesondere aufgrund der hohen Forderungen besondere Risiken. Die aktuelle Rechtsprechung sowie die Nutzung von Legal Tech fördern zusätzlich das Risiko, einer Vielzahl von Schadensersatzforderungen ausgesetzt zu sein.
Rechtliche Grundlage
Nach Art. 82 DSGVO hat jede Person, welche aufgrund eines DSGVO-Verstoßes einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch auf Schmerzensgeld. Als „Schmerzensgeld“ wird der Schadensersatz wegen immaterieller Schäden bezeichnet. Wie bei einem materiellen Schadensersatzanspruch muss der Verstoß gegen Pflichten aus der DSGVO kausal, also ursächlich, für einen eingetretenen Schaden sein. Die Pflichtverletzung muss von dem Schädiger auch zu verantworten sein, wobei das Verschulden gesetzlich vermutet wird. Der Anspruchssteller muss einen tatsächlich erlittenen Schaden darlegen, allerdings wird den Begriff des Schadens weit ausgelegt. Ob eine bestimmte Schadenshöhe erreicht sein muss, ist derzeit noch umstritten (Bagatellschäden). Bei der Höhe des Schmerzensgeldes ist der konkrete Einzelfall maßgeblich. Grundsätzlich kann festgestellt werden, dass je tiefer der Eingriff in das Persönlichkeitsrecht des Betroffenen eingreift, desto höher fällt der immaterielle Schaden aus.
Compliance-Maßnahmen
Unternehmen sollten sich auf regulierte Prozesse und Kontrollen konzentrieren, um Verstöße bestmöglich zu vermeiden.