Schadensersatz bei Verstößen gegen die DS-GVO
Bei Verstößen gegen die Datenschutz-Grundverordnung können vor allem Sanktionen durch Bußgelder verhängt werden. Dabei wird aber häufig vergessen, dass Verstöße gegen die DS-GVO auch Schadensersatzansprüche nach Art. 82 DS-GVO auslösen können. Tatsächlich kommt es immer häufiger vor, dass betroffene Personen Schadensersatzforderungen wegen behaupteter Datenschutzverstöße gegen Unternehmen richten.
Die Regelung in Art. 82 Abs. 1 DS-GVO gibt betroffenen Personen eine unmittelbare Anspruchsgrundlage auf Schadensersatz. Jeder Person, der aufgrund eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, hat somit einen Anspruch auf Ersatz dieses Schadens gegen das datenverarbeitende Unternehmen.
Solche Verstöße können z. B. die Zusendung von E-Mail-Werbung ohne Einwilligung oder die unzureichende Sicherung von Daten, die zu einer Datenpanne führt, umfassen. Dabei wird das Verschulden des Unternehmens vermutet. Das Unternehmen muss im Streitfall nachweisen, das es für den Schadenseintritt nicht verantwortlich ist (Art. 82 Abs. 3 DS-GVO).
Jedoch ist nicht jeder Verstoß mit einem Schadenersatz verbunden. Es muss ein konkreter Schaden nachgewiesen werden. Bei immateriellen Schäden müssen diese nicht in schweren, persönlichen Folgen liegen. Allerdings muss der Betroffene darlegen, objektiv nachvollziehbare, erhebliche und spürbare gesellschaftliche oder persönliche Nachteile erlitten zu haben, z.B. in Form einer öffentlichen Bloßstellung.
Anders kann es jedoch aussehen, sobald Betroffenenrechte nach Art. 15 ff. DS-GVO verletzt werden. So sprach das Arbeitsgericht (ArbG) Düsseldorf einem Betroffenen in einem Urteil vom 5. März 2020 aufgrund einer um fünf Monate verspäteten und in Teilen mangelhaften Auskunftserteilung einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO i.H.v. 5.000 € zu. Das Gericht befand, dass ein immaterieller Schaden auch dann gegeben sei, wenn der Betroffene um seine Rechte und Freiheiten gebracht wird. In diesem Fall um seinen Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO. Zudem könne man sich bei der Ermittlung der Schadenshöhe an den Kriterien des Art. 83 Abs. 2 DS-GVO orientieren, die sonst zur Bemessung von Bußgeldern verwendet werden. Das Gericht berücksichtigte insbesondere die Finanzkraft des Verantwortlichen, die Bedeutung des verletzten Rechts, die Schwere der Rechtsverletzung und die Schuld des Verantwortlichen am Schadenseintritt. Gerade das Auskunftsrecht des Betroffenen, das zugleich als europäisches Grundrecht in Art. 8 Abs. 2 S. 2 der EU Grundrechte-Charta verankert ist, habe einen hohen Stellenwert.
Bestes Mittel zur Vermeidung von Schadensersatzansprüchen ebenso wie zur Vorbeugung von Bußgeldern ist die Implementierung eines effektiven Datenschutz-Managementsystem (DSMS) zur Gewährleistung eines möglichst hohen Grades an Datenschutz-Compliance. Sollte es trotzdem zu Schadensersatzforderungen kommen, erweist sich die sorgfältige Dokumentation aller getroffenen Maßnahmen (Art. 5 Abs. 2 DS-GVO) als wertvolles Verteidigungsmittel.
Text ursprünglich auf http://hoganlovells-blog.de/ am 25.09.2020 veröffentlicht.