von Rechtsanwalt Sebastian Karch (Kanzlei Michaelis)
In aller Munde waren und sind die hohen Bußgelder, welche Art. 83 DSGVO mit sich gebracht hat und damit den bis Mai diesen Jahres wenig beachteten Datenschutz aus dem Schattendasein ins Rampenlicht gezogen hat. Was dabei aber gerne übersehen wird, ist die andere finanzielle Sanktionsnorm aus der DSGVO:
Der Schadensersatzanspruch für Jedermann. Der Art. 82 DSGVO.
Zunächst, was steht im Art. 82 DSGVO?
Art. 82 DSGVO ist eine eigenständige datenschutzrechtliche Haftungsnorm für zivilrechtlichen Schadensersatz, welche selbständig neben vertraglichen, deliktischen oder sonstigen Ansprüchen steht. Gemäß Absatz 1 der Norm „hat jede Person, die wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.“
Im Vergleich zum alten § 7 BDSG ermöglicht die DSGVO dem Betroffenen also jetzt neu auch die Geltendmachung von nicht bezifferbaren immateriellen Schäden.
Was bedeutet das konkret?
Der Anwendungsbereich der Norm ist extrem weit. Es wird lediglich die Geltendmachung eines Schadens aus einem schuldhaften datenschutzrechtlichen Pflichtenverstoß vorausgesetzt. Die allermeisten deutschen Unternehmer haben dieses Jahr früher oder später die Erkenntnis gewonnen, dass sie wohl aktuell noch nicht vollständig DSGVO-konform agieren.
Diesbezüglich wird noch einmal auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO und Art. 24 DSGVO) hingewiesen, wonach jeder, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, also Verantwortlicher ist, die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze nachweisen können muss. Die Nachweispflicht für ein datenschutzrechtlich richtiges Verhalten ist auch noch einmal explizit in Art. 82 Abs. 3 DSGVO selbst genannt.
Das Vorliegen eines Datenschutzverstoßes und das Verschulden des Verantwortlichen / Auftragsverarbeiters, ist schnell behauptet. Ob sich dann seitens des Unternehmens exkulpiert werden kann, hängt von dessen DSGVO-Konformität ab. Kann er dies nicht und weist der Betroffene, dessen Daten der Verantwortliche oder Auftragsverarbeiter nicht DSGVO-konform verarbeitet hat, nach, dass daraufhin ein konkreter bezifferbarer Schaden entstanden ist (materieller Schaden), so kann er diesen in Geld ersetzt verlangen. Soweit so klar. Aber was blüht dem Verantwortlichen / Auftragsverarbeiter, wenn der Betroffene einen immateriellen Schaden, sprich Schmerzensgeld, geltend macht?
Beispiele für „emotional distress“:
Als ein Beispiel ist die Pflicht zur Verschlüsselung auf Webseiten zu nennen. Dies hat nichts mit der Einführung der DSGVO zu tun, sondern ist schon seit Jahren Pflicht in Deutschland (§ 13 Abs. 7 TMG). Der Webseitenbetreiber muss also eine Verschlüsselung auf seiner Webseite installiert haben, insbesondere wenn er ein Kontaktformular oder Newsletter anbietet, welches vom Webseitenbesucher die elektronische Übermittlung seiner personenbezogenen Daten verlangt. Ist hier keine entsprechende Schutzmaßnahme getroffen worden, wie etwa durch die Verwendung eines anerkannten Verschlüsselungsverfahrens (SSL oder TLS), so stellt dies einen erheblichen Datenschutzverstoß dar. In solchen Fällen sollen bereits zwischen EUR 6.500,- bis 12.500,- an Schmerzensgeld verlangt worden sein. Völlig losgelöst davon wäre bei einem derart gravierenden Datenschutzverstoß auch ein Bußgeld fällig, was vermutlich noch deutlich höher ausfallen dürfte. Derartigen Abmahnungen kann man aus Unternehmersicht noch relativ entspannt gegenübertreten, da meist schon nicht sauber begründet wurde, worin denn eigentlich der Seelenschmerz liegen soll, wenn der Betroffenen selbst sehenden Auges das unverschlüsselte Kontaktformular mit seinen Daten gefüttert hat. Je mehr Abmahnungen dieser eine Betroffene daraufhin verschickt hat, desto leichter ist nachzuweisen, dass dies nur eine Masche vom Betroffenen ist, um Geld einzufordern. Erste Gerichtsentscheidungen hierzu werden Klarheit verschaffen, was dem Betroffenen an Ausgleich zusteht bei derart offensichtlichen Datenschutzverstößen.
Als weiteres Beispiel sind fehlerhafte oder nicht vorhandene Löschkonzepte und der falsche Umgang mit Löschanfragen der Betroffenen zu nennen. Hierbei gilt es gewisse Fristen zu beachten. Antwortet der Verantwortliche nicht innerhalb von längstens einem Monat, so verstößt er gegen die DSGVO.
Auch wenn den Informationsrechten (Art. 13 und 14 DSGVO) nicht nachgekommen wird, begeht der Verantwortliche / Auftragsverarbeiter schnell einen DSGVO-Verstoß. Dieser ist auch leicht nachgewiesen, wenn es dem Unternehmen nicht gelingt, zu beweisen, dass ein entsprechender Datenschutzhinweis spätestens „bei Erhebung der Daten“ zugesandt wurde. Dann kann der Betroffene geltend machen, dass er nicht darüber informiert wurde, was mit seinen Daten geschieht und damit die Herrschaft über seine Daten verloren hat.
Aus diesen wenigen Beispielen wird deutlich, weshalb die DSGVO konsequenterweise auch einen Anspruch auf Ersatz immaterieller Schäden gewährt. Der Betroffene, dessen Daten an Dritte weitergegeben worden sind, soll nicht schlechter gestellt werden, nur weil ihm durch diese Art des Datenschutzverstoßes kein bezifferbarer materieller Schaden entstanden ist. Das ist beispielsweise in den USA schon lange geltendes Recht, wo unter dem Begriff „emotional distress“ der Kontrollverlust über die eigenen Daten zum Schadensersatz berechtigt.
In welcher Höhe nun Schadensersatzansprüche aus Art. 82 DSGVO geltend gemacht werden und wann ein Kontrollverlust eingetreten sein soll und wann nicht, lässt sich nur schwer vorhersehen. Die DSGVO selbst sagt, dass sich die Höhe des Schmerzensgeldes für immaterielle Schäden an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes orientieren soll. Ob die deutsche Rechtsprechung auch bei diesem Schmerzensgeldanspruch eher restriktiv urteilen wird, bleibt zunächst abzuwarten.
Fazit und Handlungsempfehlungen
Art. 82 DSGVO stärkt die Rechte der Betroffenen, indem er es Ihnen ermöglicht, mit einer sehr effektiven Schadensersatznorm Ansprüche wegen angeblicher oder tatsächlicher Schadensersatzansprüche geltend zu machen. Die Verantwortlichen und Auftragsverarbeiter tragen die Beweislast dafür, dass sie die Daten des Betroffenen datenschutzrechtlich einwandfrei verarbeitet haben. Gelingt der Nachweis nicht, sieht es schlecht aus und man kann sich eigentlich nur noch um die Schadenshöhe streiten. Wenn es sich bei dem beanstandeten Datenschutzverstoß auch nicht nur um einen Einzelfall gehandelt hat, sondern um einen sogenannten Strukturverstoß, dann kann es auch schnell existenzbedrohend werden.
Es gilt daher weiterhin im Unternehmen einen DSGVO-Datenschutzstandard zu etablieren. Das ist viel Arbeit und kostet Zeit, ist aber die einzige Möglichkeit enorme wirtschaftliche Risiken, wie die hohen Bußgelder von Behördenseite oder etwaige Schadenersatzansprüche der Betroffenen, später abwehren zu können.
Der Datenschutz sollte daher nicht als einmalige Anstrengung verstanden werden, sondern als fortlaufender Prozess.
Darüber hinaus sollten Verantwortliche und Auftragsverarbeiter weiterhin daran arbeiten, dass Sie einen Überblick darüber gewinnen, welche personenbezogenen Daten einzelner Betroffener im Betrieb auf welche Weise und für welchen konkreten Zweck verarbeitet werden. Nur, wer dies organisatorisch und technisch „im Griff hat“ und dokumentiert hat, kann seiner Nachweispflicht nachkommen.
