Bei Verstößen gegen die DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More können die Aufsichtsbehörden empfindliche Bußgelder verhängen, wie dies in der Vergangenheit immer wieder vorgekommen ist. Zugleich können aber auch natürliche Personen bei einem DSGVO-Verstoß Schadenersatz verlangen.
Geregelt in Art. 82 DSGO, hat jede Person, der wegen eines Verstoßes gegen die DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More ein materieller oder immaterieller Schaden entstanden ist, einen deliktischen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Im Vergleich zu den Millionen-Bußgeldern, die gegen größere Unternehmen verhangen wurden, scheint der Schadensersatz-Anspruch einzelner Personen vernachlässigbar. Jedoch betreffen DSGVO-Verstöße häufig größere Datenbestände, so dass in Summe für ein Unternehmen schnell Kosten in nicht unerheblicher Höhe entstehen können.
Für die einzelne betroffene PersonEine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennu... ist die Darlegung des entstandenen Schadens nicht immer leicht. Zunächst müssen folgenden Kriterien erfolgt sein: Ein Verstoß gegen die DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More, ein materieller oder immaterieller Schaden und das Verschulden des Verantwortlichen oder des Auftragsverarbeitenden.
Ein Verstoß gegen die DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More passiert schnell
Ein Verstoß gegen die DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More passiert schnell, etwa dass dem Auskunftsverlangen nach Art. 15 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More nicht nachgekommen wird oder das personenbezogene DatenAlle Auskünfte, die sich auf eine bestimmte oder bestimmbare natürliche Person („betroffene ... einer betroffenen Person unrechtmäßig an einen Dritten weitergegeben werden.
Bei der Feststellung, ob für die betroffene PersonEine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennu... ein Schaden entstanden ist, reicht nicht allein die Befürchtung des Schadenseintritts aus, sondern der eingetretene Schaden muss konkret nachweisbar sein. Gerade bei immateriellen Schäden ist dies häufig schwierig.
Schaden nicht immer nachweisbar
Teilweise wird dabei vertreten, dass bereits der DSGVO-Verstoß selbst einen immateriellen Schaden darstellt, dagegen spricht jedoch der Wortlaut des Art. 82. DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More, welcher zwischen dem Verstoß und dem hierdurch entstanden Schaden unterscheidet.
Eine Annährung an den Schadensbegriff kommt durch die nationalen Gerichte über den Erwägungsgrund 146 S. 3 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More. Demnach ist der Schadensbegriff nach der Rechtsprechung des EuGH auf eine Art wund Weise auszulegen, die den Zielen der DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More im vollen Umfang entspricht.
Eine denkbar weite Auslegungslösung, die für viele zunächst schwer greifbar bleibt. Konkreter wird es bei der Bemessung der Höhe des immateriellen Schadens. Hierfür wird auf die Kriterien des Art 83. Abs. 2 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More zurückgegriffen, welcher die Bemessung von Bußgeldern regelt
Nichtsdestotrotz besteht für Unternehmen somit einer weiteres Haftungsrisiko, welches zu vermeiden gilt.
