dsgvo-schadenersatz
Neuer Trend? Bei einem Verstoß gegen die DSGVO wird Schadenersatz geltend gemacht
Die am 25.05.2018 in Kraft getretene Datenschutzgrundverordnung sorgt bei vielen Händlern für Unruhe, wenn nicht sogar Panik. Die rechtlichen Anforderungen sind hoch. Neben einer ordnungsgemäßen Datenschutzerklärung sind noch viele weitere praktische Aspekte zu beachten, die zu einem Verstoß gegen die DSGVO führen können.
Die befürchteten Massenabmahnungen sind aktuell (Stand Mitte Juni 2018) zwar ausgeblieben, erste Trends sind jedoch erkennbar:
Hierzu gehört bei angeblichen oder tatsächlichen Verstößen gegen die Datenschutzgrundverordnung die Geltendmachung von Schadenersatz.
Schadenersatz nach Art. 82 DSGVO
Artikel 82 DSGVO “Haftung und Recht auf Schadenersatz” regelt in Artikel 82 Abs. 1:
“Jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsdatenverarbeiter.”
Uns sind aus der Beratungspraxis bereits Fälle bekannt, in denen Privatpersonen, d.h. nicht Wettbewerber, wegen angeblicher oder tatsächlicher Verstöße gegen die DSGVO nicht nur abmahnen, sondern auch Schadenersatzansprüche geltend machen.
Es gibt ferner Berichte im Internet, die von einem 5-stelligen geforderten Schadenersatz berichten, aufgrund von eher marginalen Verstößen.
Ein theoretischer Schadenersatz nach Art. 82 Abs. 1 DSGVO setzt keine schwere Verletzung des Persönlichkeitsrechtes voraus. Zudem ist die Haftung verschuldensunabhängig.
Die Frage, die sich jedoch stellt:
Wie hoch ist der Schaden bei einem Verstoß gegen die DSGVO?
Die uns aktuell bekannten Fälle beziehen sich auf Internetseiten, die datenschutzrechtlich nicht einwandfrei gestaltet waren.
Aktuelle Rechtsprechung zur DSGVO gibt es nicht, sondern Auslegungsregeln, nämlich die Erwägungsgründe. In Erwägungsgrund 146 zur DSGVO heißt es insofern
“Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofes weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht….Die betroffenen Personen sollen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.”
Mehr Informationen gibt es nicht. Grundsätzlich dürfte es einen Anspruch auf den Ersatz für materielle und immaterielle Schäden geben, d.h. der Vermögensschaden, wie aber auch ein Schmerzensgeld.
Soweit die Theorie
Wie hoch ist der Schaden tatsächlich?
Es versteht sich von selbst, dass bei einer Datenpanne, bei der höchstpersönliche Daten missbraucht werden mit der Folge, dass der Betroffene einen echten Vermögensschaden erleidet (bspw. durch missbrauchte Kreditkartendaten) die Frage des Schadens eindeutig sein dürfte.
Soweit jedoch auf einer Internetseite auf einzelne Aspekte der Datenverarbeitung nicht korrekt hingewiesen wird, stellt sich die Frage, wo der konkrete Schaden des Seitennutzers eigentlich herkommt. Das deutsche Recht jedenfalls zeichnet sich dadurch aus, dass Schäden zu ersetzen sind, die dem Geschädigten auch tatsächlich entstanden sind. Eine Art Bestrafungsschadenersatz, wie in anderen Ländern, ist der deutschen Rechtsordnung fremd.
Soweit in entsprechenden Schreiben ein geforderter Schadenersatz mit einem maximal möglichen Bußgeld von 20 Mio. Euro vermengt wird, hat das eine mit dem anderen nicht viel zu tun. Zudem sind von einer derartigen Bußgeldhöhe nur internationale Großunternehmen betroffen, die sich vorsätzlich nicht an Datenschutzvorgaben nach DSGVO halten.
Es besteht daher nach unserer Auffassung kein Grund, sich erpressen zu lassen.
Wir beraten Sie.
Stand: 19.06.2018
Es berät Sie: Rechtsanwalt Andreas Kempcke
https://ssl-vg03.met.vgwort.de/na/443e07ace7ba40898f7a6c6ff33336a6