Home
Intern
Verstöße gegen die Datenschutz-Grundverordnung verpflichten zum Schadenersatz. Diese Ansprüche können künftig nicht nur von den natürlichen Personen geltend gemacht werden, deren eigene personenbezogene Daten beeinträchtigt wurden. Ab dem 25. Mai 2018 haben auch sonstige natürliche und sogar juristische Personen einen Anspruch auf Schadenersatz, sofern sie durch die Datenschutzverstöße jedenfalls mittelbar einen Schaden erlitten haben.
Die Beachtung des Datenschutzes führt dann nicht lediglich zu einem (ideellen) Wettbewerbsvorteil für Unternehmen: Eine Missachtung der Datenschutzvorschriften kann künftig von Mitbewerbern sowohl wettbewerbswidrig (auf Unterlassung) als auch auf Zahlung von Schadenersatz an den Mitbewerber geltend gemacht werden. Etwaigen Schwierigkeiten bei der Berechnung des tatsächlich erlittenen Schadens können die Kläger dadurch entgehen, dass die Verordnung ausdrücklich auch den Ersatz immaterieller Schäden – und damit Schmerzensgeld – gewährt. Diese Schmerzensgeldansprüche sind nicht allein auf die jeweils vom Missbrauch ihrer personenbezogenen Daten Betroffenen beschränkt, sondern stehen jeder Person und damit auch Unternehmen zu. Jedenfalls für die Betroffenen selbst regelt die Verordnung ausdrücklich, dass ein wirksamer Schadenersatz sichergestellt werden muss. Zudem verweist sie in den Erwägungsgründen darauf, dass der Schadensbegriff weit auszulegen und der Schadenersatz den Zielen der Verordnung in vollem Umfang entsprechen soll.
Der Ersatz immaterieller Schäden wird jedenfalls in Deutschland bislang eher restriktiv gehandhabt. Das beruht darauf, dass derartige Schäden nur in gesetzlich ausdrücklich geregelten Fällen ersetzt und selbst dann nur relativ geringe Beträge ausgeurteilt werden. Ob sich hieran durch die verpflichtende Vorgabe eines „wirksamen” Schadenersatzes in Deutschland etwas ändern wird, bleibt zunächst abzuwarten.
Allerdings müssen Klagen auf Schadenersatz nicht zwingend vor den Gerichten der Länder erhoben werden, in denen das verantwortliche Unternehmen bzw. dessen Niederlassung ihren Sitz hat. Jedenfalls die von einem Datenschutzverstoß unmittelbar betroffene Person kann Schadenersatzklagen auch vor dem Gericht eines EU-Mitgliedstaates erheben, in dem sie selbst sich gewöhnlich aufhält. Auf diese Weise kann sich ein allein in Deutschland ansässiges, nur gegenüber deutschen Vertragspartnern tätiges Unternehmen bei Verstößen gegen die Datenschutzvorschriften Schadenersatzklagen in anderen Mitgliedstaaten der EU ausgesetzt sehen, wenn die von der Datenverarbeitung Betroffenen in diesen Ländern wohnen. Bei der Bemessung der Höhe des Schadenersatzes und Schmerzensgeldes wird es dann auch auf die Besonderheiten des jeweiligen Landes ankommen.
Das Ziel eines wirksamen Schadenersatzes für die Betroffenen wird auch dadurch sichergestellt, dass bei einer Beteiligung mehrerer Unternehmen an der Datenverarbeitung zunächst einmal alle gesamtschuldnerisch zur Zahlung des Schadensersatzes verpflichtet sind. Dabei haftet ein für die Datenverarbeitung Verantwortlicher auch auf Ersatz von Schäden, die durch einen von ihm eingeschalteten Auftragsdatenverarbeiter entstanden sind.
Eine Befreiung von der Mitverantwortung (Exkulpation) ist nur – aber immerhin – möglich wenn ein Unternehmen nachweisen kann, unter keinen Umständen für den Schadeneintritt verantwortlich gewesen zu sein. Hierzu kann insbesondere auf die für den angemessenen Einsatz technischer und organisatorischer Maßnahmen ohnehin erforderlichen Nachweise zur ordnungsgemäßen Verarbeitung nach Art. 24 Abs. 1 sowie (eingeschränkt) die Nachweise zur Einhaltung der Grundsätze der personenbezogenen Datenverarbeitung nach Art. 5 Abs. 2 zurückgegriffen werden.
Alexander von Chrzanowski
Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht
Associate Partner
Anfrage senden
Profil
