Datenschutz

Schadenersatz – Haftung bei materiellen und immateriellen Schäden!

Verfasst von: Frank Boje
Berater für Datenschutz und IT-Sicherheit

Immer häufiger machen Bußgelder der Aufsichtsbehörden für den Datenschutz Schlagzeilen. Dabei geht es von wenigen hundert Euro an eine Privatperson für das Versenden einer unverschlüsselten E-Mail mit Beweismaterial zu Verkehrsverstößen an die Bußgeldabteilung einer Stadt bis hin zu mehreren Millionen Euro an ein Unternehmen wegen der Überwachung hunderter Mitarbeitender.

Doch ist mit einem Bußgeld für den Verantwortlichen der Fall erledigt, oder gibt es weitere finanzielle Risiken?

Tatsächlich gesteht Art. 82 DSGVO „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“ einen Schadenersatzanspruch gegen den Verantwortlichen oder gegen den Auftragsverarbeiter zu. Voraussetzung hierfür ist ein datenschutzwidriges Verhalten des Verantwortlichen und natürlich ein nachweisbarer Schaden. Typische datenschutzwidrige Verhalten wären z.B. eine Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage, ein Verstoß gegen die Betroffenenrechte oder auch ein Verstoß gegen die Sicherheit der Verarbeitung von personenbezogenen Daten.

Warum gibt es Handlungsbedarf?

Zwar ist für den Schadensersatz ein konkreter Schaden notwendig und es ist nicht ausreichend, dass ein Schaden hätte entstehen können, aber der Schadensbegriff soll laut Erwägungsgrund 146 so ausgelegt werden, dass er den Zielen der DSGVO entspricht. 

Obwohl die bisherigen, von Gerichten bestätigten Schadenersatzansprüche im Vergleich zu den Bußgeldern deutlich niedriger sind, stellen sie für die Unternehmen eine finanzielle Belastung dar.  

Hinzu kommt, dass auch bei immateriellen Schäden Schadenersatzansprüche gestellt werden können. Dabei liegt es im Ermessen des Gerichts, den tatsächlich entstandenen immateriellen Schaden zu bewerten. Im wahrscheinlich prominentesten Urteil hat das ArbG Düsseldorf einem Betroffenen für eine unvollständige und verspätete Auskunft nach Art. 15 Abs. 1 DSGVO und Verstoß gegen das Transparenzgebot nach Art. 12 Abs. 3 DSGVO einen Schadenersatz in Höhe von 5.000 € zugesprochen. Aber schon bei einer fehlgeleiteten E-Mail mit Gehaltsangaben ist ein Schmerzensgeld von 1.000 € als angemessen angesehen worden, obwohl die E-Mail nur an einen Empfänger ging.

Wie Sie an den Beispielen sehen, lauern die „Gefahren“ von Schadensersatzforderungen bereits bei kleinen „Verfehlungen“, die in der Praxis gar nicht so selten vorkommen.

Wie kann ich Schadenersatzforderungen vermeiden?

An den oben aufgeführten Beispielen sehen Sie, dass es wichtig ist, ihre Prozesse, z. B. zur Auskunftserteilung zu kennen und optimiert zu haben. Diese Prozesse müssen ständig überprüft und kontrolliert werden, und natürlich müssen alle Beteiligten diese Prozesse kennen und auf die Einhaltung verpflichtet sein. Ist dies nicht der Fall, sprechen Sie uns an, damit wir gemeinsam prüfen können an welchen Stellen es Handlungsbedarf gibt.

Sprechen Sie uns auch an, wenn Sie sich z. B. im Falle einer Datenweitergabe nicht klar sidn, ob die vorhandenen Rechtsgrundlagen für die Verarbeitung ausreichend sind und lassen Sie sich im Einzelfall beraten. Häufig lassen sich solche spezifischen Fragen schnell mit wenig Aufwand verbindlich beantworten.

Fazit

Schadenersatzansprüche können einen Verantwortlichen empfindlich treffen, besonders wenn bei einer Datenpanne eine Vielzahl von Betroffenen involviert ist und auf das Unternehmen zukommen.

Dabei ist nicht nur der finanzielle Schaden zu berücksichtigen, sondern auch der Verlust von Reputation.

Bereiten Sie sich rechtzeitig und umfassend vor und stellen Sie Ihre Maßnahmen zum Datenschutz regelmäßig auf den Prüfstand – Unternehmen mit geprüften Prozessen sind seltener von Pannen betroffen und können bei auftretenden Abweichungen schneller reagieren.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.