Die DSGVO ermöglicht einen weitgehenden Anspruch für immateriellen Schadensersatz

Bei einem Datenschutzverstoß statuiert Art. 82 DSGVO einen Anspruch auf Schadensersatz der betroffenen Person. Hiervon sind sowohl materielle als auch immaterielle Schäden umfasst. Anspruchsgegner ist der für die Datenverarbeitung Verantwortliche (Art. 4 Nr. 7 DSGVO) oder der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO).

Grundsätzlich ist die Möglichkeit Schadensersatz für Datenschutzrechtsverstöße verlangen zu können nicht neu. Bei einer Verletzung des Allgemeinen Persönlichkeitsrechts – bspw. durch Verbreitung von Fotos aus dem höchstpersönlichen Bereich oder der unzulässigen Weitergabe von Gesundheitsdaten – bestand auch vor Einführung der DSGVO ein Anspruch auf Ersatz der materiellen und immateriellen Schäden.

Anspruch der DSGVO geht weiter

Die DSGVO erweitert den Anspruch auf Schadensersatz jedoch über die Ansprüche aus dem Allgemeinen Persönlichkeitsrecht hinaus. Hier sind auch Fälle der Diskriminierung, des Identitätsdiebstahls oder -betrugs, der Rufschädigung oder die unbefugte Aufhebung einer Pseudonymisierung umfasst, die einen Schadenersatzanspruch auslösen können.

Wie sich aus den Erwägungsgründen der DGSVO ergibt, soll sogar ein Anspruch bestehen, wenn die Auskunftserteilung bei einem Auskunftsverlangen nach Art. 15 DSGVO verspätet erfolgt. Hier haben bereits mehrere Arbeitsgerichte Schmerzensgeldsummen zwischen 1.000,- EUR und 1.500,- EUR zugesprochen. Notwendig hierfür soll aber eine „spürbare“ Beeinträchtigung der betroffenen Person sein, so die Gerichte.

Keine einheitliche Linie

Zwar sind sich die Gerichte insoweit einig, dass reine Bagatellverstöße keinen Schadensersatz auslösen sollen, dennoch herrscht – weder in Deutschland noch europaweit – eine einheitliche Linie. Die Zivilgerichte sind grundsätzlich zurückhaltender und fordern meist eine Gesamtbetrachtung aller Umstände. Insoweit dürfe sich der Anspruch nach Art. 82 DSGVO nicht zu einem privaten Bußgeld für Datenschutzverstöße entwickeln.

Erheblichkeit maßgeblich

Folglich dürfte es bei Schadensersatzklagen nach Art. 82 DSGVO zukünftig vor allem auf die Ausgestaltung und Argumentation des Merkmals der „Erheblichkeit“ ankommen. Darüber hinaus ist zu erwarten, dass der EuGH in den kommenden Jahren zu einzelnen Auslegungsfragen des Art. 82 DSGVO Stellung beziehen und somit die Anspruchsvoraussetzungen konkretisieren wird.

Vermeidung von Schadenersatzklagen

Verantwortliche sollten innerhalb des Unternehmens Organisations- und Zuständigkeitsstrukturen etablieren, damit bei Eingang eines Auskunftsverlangen keine Zeit verloren wird. Es sollte stets klar sein, wer solche Anfragen bearbeitet, wer die Auskunft erteilen darf, wie geprüft wird ob der Anfragende überhaupt die betroffene Person ist und welche Daten grundsätzlich vom Auskunftsverlangen umfasst sind.

Alexa Frey, RAin, Fachanwältin für Medizinrecht und Informationstechnologierecht