Der Schadensersatz des von einem DSGVO-Verstoß Betroffenen

Mögliche Schadensersatzforderungen von Betroffenen eines Datenschutzverstoßes können sich aus Art. 82 DSGVO ergeben. Ansprüche aus dieser Norm sind deliktisch ausgestaltetet und führen zur Zuständigkeit der Zivilgerichte, die sowohl über den zugrundeliegenden Datenschutzverstoß als auch über den daraus folgenden Schadensersatzanspruch zu beurteilen haben.

Dem Grunde nach besteht die Schadensersatzverpflichtung, wenn eine rechtswidrige Verarbeitung personenbezogener Daten vorliegt. Gemeint ist jede Verletzung von materiellen oder formellen Bestimmungen der DSGVO, delegierten Rechtsakten und von nationalem Datenschutzrecht, ohne dass es auf einen Schutznormcharakter der verletzten Norm ankommt. Demnach sind auch Verstöße gegen die allgemeinen Grundsätze der DSGVO, etwa die Zweckbindung oder Datenminimierung, über Art. 82 sanktioniert. Da Anknüpfungspunkt die Verarbeitungstätigkeit ist, kann sie sich auch auf vor Inkrafttreten der DSGVO erhobene Bestandsdaten beziehen, weil auch diese gem. Art. 2 Abs. 1 „gespeichert“ und damit vom Schutzzweck der Norm mit umfasst sind.

Was den konkreten Schadensfolgenersatz anbelangt, sind sowohl materielle als auch immaterielle Schäden umfasst – von der Einschaltung eines Rechtsanwalts als materieller Mindestschaden (Abmahnkosten) bis hin zum immateriellen Schaden („Entschädigung“ für erlittene Persönlichkeitsrechtsverletzung, Rufschädigung etc.) für die öffentliche Zugänglichmachung von Daten ohne Einwilligung oder bei der Überwachung von Arbeitnehmern durch beauftragte Dritte. Ausreichend ist eine Mitursächlichkeit bei der Entstehung des Schadens durch den geltend gemachten Rechtsverstoß.

Für das – nach umstrittener Ansicht – gesetzlich vermutete Verschulden bzw. die Beweislastumkehr zugunsten des Verletzten besteht spiegelbildlich auf Verletzerseite eine Exkulpationsmöglichkeit (Haftungsentlastung): Derjenige an der Datenverarbeitung Beteiligte wird von der Ersatzpflicht frei, der in keinerlei Hinsicht für den Umstand, bei dem der Schaden eingetreten ist, verantwortlich ist. Dies bezieht sich also sowohl auf die objektiven Umstände der Pflichtverletzung als auch auf den subjektiven Umstand des Verschuldens.

Die Exkulpation gelingt freilich nur, wenn alle Anforderungen der DSGVO und der nationalen Bestimmungen des Datenschutzes eingehalten worden sind und darüber hinaus auch kein wie auch immer gearteter Verschuldensvorwurf zu machen ist. § 831 BGB mit seiner Möglichkeit der Entlastung durch den Nachweis sorgfältiger Auswahl, Überwachung und Anleitung ist demnach ausgeschlossen.

Autor: Dr. Jens Bücking

Autor: Dr. Jens Bücking

Rechtsanwalt
Fachanwalt für IT-Recht
Senior Partner e|s|b Stuttgart


Veröffentlicht am 21.01.2020
unter #Allgemein, #Datenschutz, #IT-Recht