Datenschutzvertöße die weh tun
von Stephan Michaelis LL.M.
Schadensersatzanspruch laut DSGVO
(Hamburg, den 18.07.2018) Mit der Einführung der DSGVO ging die Angst vor Bußgeldern um. Wer sich nicht an den Artikel 83, bzw. 82 DSGVO hält, läuft Gefahr Schadensersatz zahlen zu müssen, so der weitverbreitete Glaube. Der Artikel 82 der Datenschutzverordnung regelt den Schadensersatzanspruch für Jedermann.
Materieller und immaterieller Schaden, laut Artikel 82 DSGVO
Dieser Artikel ist unabhängig von anderen vertraglichen Vereinbarungen. Er regelt den Anspruch auf Schadensersatz. Gemäß Absatz 1 „hat jede Person, die wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.“
Mit der DSGVO kann der Betroffene Schadensersatz für immateriellen Schaden verlangen. Ein immaterieller Schaden liegt bei Verletzung von Körper, Freiheit oder Ehre vor. Eine eher subjektive Einschätzung, was die Auslegung von Artikel 82 DSGVO erschwert.
Wie kommt der Anspruch auf Schadensersatz aus Artikel 82 DSGVO zustande?
Voraussetzung für den Anspruch ist ein schuldhafter, datenschutzrechtlicher Pflichtverstoß.
Wann liegt ein solcher Pflichtverstoß vor?
Art. 5 Abs. 1 DSGVO regelt die Grundsätze zur Verarbeitung personenbezogener Daten. Zusammengefasst:
– Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
– Zweckgebunden
– Datenminimierung
– Richtigkeit
– Speicherbegrenzung
– Integrität und Vertraulichkeit
Ob die Grundsätze eingehalten wurden, ist Auslegungssache. Art. 5 Abs. 1. DSGVO spricht von „dem Zweck angemessen“. Die Perspektiven von Unternehmen und Betroffenem klaffen weit auseinander.
Als Unternehmen, müssen Sie in der Lage sein, nachzuweisen, dass Sie sich an die Grundsätze halten. Sie unterliegen einer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO und Art. 24 DSGVO). Kann der Betroffene nachweisen, dass seine Daten nicht DSGVO-konform verarbeitet wurden, wird es knifflig.
Sofern ein bezifferbarer Schaden (materieller Schaden) entstanden ist, ist die Sachklage eindeutig. Was ist jedoch, wenn der Betroffene einen immateriellen Schaden geltend machen möchte?
Beispiel für einen immateriellen Schaden laut DSGVO
Als Webseitenbetreiber sind sie verpflichtet Inhalte zu verschlüsseln. Dies ist von besonderer Bedeutung, wenn ein Besucher persönliche Informationen übermittelt. Beispielsweise beim Ausfüllen eines Kontaktformulars oder der Bestellung eines Newsletters. Werden Kontaktdaten unverschlüsselt übermittelt, besteht die Gefahr, dass diese abgegriffen werden. Diese können dann schädigend verwendet werden. Fehlt die Verschlüsselung, stellt dies einen erheblichen Verstoß gegen die DSGVO dar. In solchen Fällen wurden bereits zwischen EUR 6.500,- bis 12.500,- an Schmerzensgeld verlangt. Darüber hinaus, wäre ein Bußgeld fällig.
Tatsächliches Risiko
Derartigen Abmahnungen kann man aus Unternehmersicht entspannt gegenübertreten. Meist kann nicht begründet werde, worin der Seelenschmerz (immaterieller Schaden) liegt. Insbesondere, wenn der Betroffene sehenden Auges das unverschlüsselte Kontaktformular ausfüllt. Je mehr Abmahnungen dieser verschickt hat, desto leichter ist nachzuweisen, dass dies eine Masche ist, um Geld einzufordern. Erste Gerichtsentscheidungen hierzu werden Klarheit verschaffen, was dem Betroffenen an Ausgleich zusteht bei derart offensichtlichen Datenschutzverstößen.
Als weiteres Beispiel sind fehlerhafte oder nicht vorhandene Löschkonzepte und der falsche Umgang mit Löschanfragen zu nennen. Antwortet der Verantwortliche nicht innerhalb von maximal einem Monat, so verstößt er gegen die DSGVO.
Datenschutzverstoß wegen Vernachlässigung der Informationsrechte
Auch wenn den Informationsrechten (Art. 13 und 14 DSGVO) nicht nachgekommen wird, begeht der Verantwortliche / Auftragsverarbeiter schnell einen DSGVO-Verstoß. Dieser ist auch leicht nachgewiesen, wenn es dem Unternehmen nicht gelingt, zu beweisen, dass ein entsprechender Datenschutzhinweis spätestens „bei Erhebung der Daten“ zugesandt wurde. Dann kann der Betroffene geltend machen, dass er nicht darüber informiert wurde, was mit seinen Daten geschieht und damit die Herrschaft über seine Daten verloren hat.
Aus diesen wenigen Beispielen wird deutlich, weshalb die DSGVO konsequenterweise auch einen Anspruch auf Ersatz immaterieller Schäden gewährt. Der Betroffene, dessen Daten an Dritte weitergegeben worden sind, soll nicht schlechter gestellt werden, nur weil ihm durch diese Art des Datenschutzverstoßes kein bezifferbarer materieller Schaden entstanden ist. Das ist beispielsweise in den USA schon lange geltendes Recht, wo unter dem Begriff „emotional distress“ der Kontrollverlust über die eigenen Daten zum Schadensersatz berechtigt.
In welcher Höhe nun Schadensersatzansprüche aus Art. 82 DSGVO geltend gemacht werden und wann ein Kontrollverlust eingetreten sein soll und wann nicht, lässt sich nur schwer vorhersehen. Die DSGVO selbst sagt, dass sich die Höhe des Schmerzensgeldes für immaterielle Schäden an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes orientieren soll. Ob die deutsche Rechtsprechung auch bei diesem Schmerzensgeldanspruch eher restriktiv urteilen wird, bleibt zunächst abzuwarten.
Fazit und Handlungsempfehlungen
Art. 82 DSGVO stärkt die Rechte der Betroffenen, indem er es Ihnen ermöglicht, mit einer sehr effektiven Schadensersatznorm Ansprüche wegen angeblicher oder tatsächlicher Schadensersatzansprüche geltend zu machen. Die Verantwortlichen und Auftragsverarbeiter tragen die Beweislast dafür, dass sie die Daten des Betroffenen datenschutzrechtlich einwandfrei verarbeitet haben. Gelingt der Nachweis nicht, sieht es schlecht aus und man kann sich nur noch um die Schadenshöhe streiten. Wenn es sich bei dem beanstandeten Datenschutzverstoß auch nicht nur um einen Einzelfall gehandelt hat, sondern um einen sogenannten Strukturverstoß, dann kann es auch schnell existenzbedrohend werden.
Es gilt daher weiterhin im Unternehmen einen DSGVO-Datenschutzstandard zu etablieren. Das ist viel Arbeit und kostet Zeit, ist aber die einzige Möglichkeit enorme wirtschaftliche Risiken, wie die hohen Bußgelder von Behördenseite oder etwaige Schadenersatzansprüche der Betroffenen, später abwehren zu können.
Der Datenschutz sollte daher nicht als einmalige Anstrengung verstanden werden, sondern als fortlaufender Prozess.
Darüber hinaus sollten Verantwortliche und Auftragsverarbeiter weiterhin daran arbeiten, dass Sie einen Überblick darüber gewinnen, welche personenbezogenen Daten einzelner Betroffener im Betrieb auf welche Weise und für welchen konkreten Zweck verarbeitet werden. Nur, wer dies organisatorisch und technisch „im Griff hat“ und dokumentiert hat, kann seiner Nachweispflicht nachkommen.
Sie sind unsicher, was Ihren Fall betrifft? Wir beraten Sie gerne!
Als Experten im Bereich Versicherungsrecht stehen wir Ihnen mit unserer Kanzlei in Hamburg zur Seite. Ob Sie Makler sind oder Versicherungsnehmer. Sie sind sich nicht sicher ob Sie einen Anwalt benötigen? Schildern Sie uns Ihre Situation. Wir beraten Sie gerne.
Wir beraten Sie gerne
Kompendium für Versicherungsmakler 100 Musterdokumente und -verträge |
Telefonische Beratungsflatrate Ihr heißer Draht zu Ihrem Recht |
Dauerberatungs- Mandat für VEMA-Partner 20% Rabatt |
appRIORI – zuerst der Vertrag Mit drei Klicks zum Vertrag |
Die rechtssichere Internetseite Die Wohlfühl-Homepage von den Profis |
Lexikon des Versicherungsrechts Juristische Fachbegriffe auf einen Blick |