Schadensersatz (DSGVO)
Der Schadensersatzanspruch nach Art. 82 DSGVO gewährt betroffenen Personen bei einem Verstoß gegen die DSGVO Ersatz sowohl für materielle als auch für immaterielle Schäden, die ihnen durch die rechtswidrige Verarbeitung entstanden sind.
Art. 82 DSGVO begründet einen eigenständigen, unionsrechtlichen Schadensersatzanspruch jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. Der Anspruch richtet sich gegen den Verantwortlichen oder den Auftragsverarbeiter und setzt drei Voraussetzungen voraus: einen Verstoß gegen die Verordnung, einen konkreten Schaden sowie einen Kausalzusammenhang zwischen Verstoß und Schaden. Anders als das Bußgeld nach Art. 83 DSGVO dient der Anspruch nicht der Sanktionierung, sondern dem vollständigen Ausgleich des erlittenen Nachteils; ein Strafschadensersatz (punitive damages) ist nach Auffassung des EuGH gerade nicht vorgesehen.
Der materielle Schaden umfasst messbare Vermögensnachteile, etwa Kosten der Schadensbeseitigung, Aufwendungen zur Verhinderung eines Identitätsmissbrauchs oder entgangene Vorteile. Der immaterielle Schaden erfasst Nichtvermögensschäden wie Kontrollverlust über die eigenen Daten, Angst vor Missbrauch, Rufschädigung oder psychische Beeinträchtigungen. Der EuGH hat in mehreren Leitentscheidungen (u. a. C-300/21 Österreichische Post, C-340/21, C-687/21) klargestellt, dass nicht jeder bloße Verstoß automatisch einen Schaden begründet, ein Erheblichkeits- oder Bagatellschwellenwert aber gerade nicht gilt: Auch der begründete Kontrollverlust oder die ernsthafte Befürchtung eines Missbrauchs kann bereits einen ersatzfähigen immateriellen Schaden darstellen.
Die Beweislast ist abgestuft: Die betroffene Person muss Verstoß, Schaden und Kausalität darlegen, während der Verantwortliche sich nach Art. 82 Abs. 3 DSGVO nur durch den Nachweis entlasten kann, dass er für den schadensverursachenden Umstand in keinerlei Hinsicht verantwortlich ist. Mehrere Beteiligte haften gesamtschuldnerisch (Art. 82 Abs. 4 DSGVO) und können untereinander Regress nehmen. Für Unternehmen folgt daraus, dass eine lückenlose Dokumentation der getroffenen technischen und organisatorischen Maßnahmen sowie ein belastbares Datenschutzmanagement nicht nur der Rechenschaftspflicht dienen, sondern im Haftungsfall den entscheidenden Entlastungsbeweis ermöglichen.
Rechtliche Grundlage
Art. 82 DSGVO
Praxisbeispiel
Ein Online-Händler erleidet eine Datenpanne, bei der Namen, E-Mail-Adressen und Bestellhistorien von Kundinnen und Kunden im Darknet veröffentlicht werden. Mehrere Betroffene verlangen Schadensersatz: Eine Kundin macht einen materiellen Schaden in Höhe der Kosten für einen Bonitäts-Monitoring-Dienst geltend, andere stützen sich auf den immateriellen Schaden durch Kontrollverlust und die ernsthafte Sorge vor Phishing-Angriffen. Der Datenschutzbeauftragte prüft gemeinsam mit der Rechtsabteilung, ob der Verstoß (unzureichende TOM) feststeht und ob sich das Unternehmen nach Art. 82 Abs. 3 DSGVO entlasten kann. Die zuvor sauber geführte Dokumentation der Sicherheitsmaßnahmen und das dokumentierte Patch-Management werden zur Grundlage der Verteidigung und der Höhenbemessung.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren