Artikel 82 der Datenschutz-Grundverordnung (DSGVO), auch bekannt als „Recht auf Schadensersatz und Haftung“, regelt die Bedingungen, unter denen eine Person Anspruch auf Schadensersatz hat, wenn ihre Rechte nach der DSGVO verletzt wurden. Hier sind die wichtigsten Punkte von Artikel 82 DSGVO:
- Recht auf Schadensersatz: Jede Person, die durch eine Verletzung der DSGVO materiellen oder immateriellen Schaden erlitten hat, hat das Recht, von dem Verantwortlichen oder dem Auftragsverarbeiter Schadensersatz zu erhalten.
- Haftung des Verantwortlichen und des Auftragsverarbeiters: Sowohl der Verantwortliche als auch der Auftragsverarbeiter sind für den Schaden verantwortlich, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Der Auftragsverarbeiter ist jedoch nur dann haftbar, wenn er seinen spezifischen Pflichten nach der DSGVO nicht nachgekommen ist oder den rechtmäßigen Anweisungen des Verantwortlichen zuwidergehandelt hat.
- Teilung der Verantwortung: Wenn mehrere Verantwortliche oder Auftragsverarbeiter an der gleichen Verarbeitung beteiligt sind und für den Schaden verantwortlich sind, ist jeder von ihnen für den gesamten Schaden haftbar, um eine effektive Entschädigung der betroffenen Person zu gewährleisten.
- Nachweis der Nichtverantwortlichkeit: Ein Verantwortlicher oder Auftragsverarbeiter kann sich von der Haftung befreien, wenn er nachweisen kann, dass er in keiner Weise für den Umstand verantwortlich ist, der den Schaden verursacht hat.
- Klage vor Gericht: Betroffene Personen haben das Recht, ihre Ansprüche auf Schadensersatz vor den Gerichten der Mitgliedstaaten geltend zu machen.
- Ausübung der Rechte durch Verbände: Betroffene Personen können ihre Rechte durch Verbände oder andere Körperschaften ausüben lassen, wenn sie dies wünschen und das nationale Recht dies zulässt.
Artikel 82 DSGVO stärkt den Schutz personenbezogener Daten, indem er klare Haftungs- und Entschädigungsregeln für Verletzungen der Datenschutzrechte festlegt und betroffenen Personen wirksame rechtliche Mittel zur Verfügung stellt.
Ersatz von immateriellen Schaden
In der Praxis der DSGVO gibt es mehrere bedeutende Fälle, die den Anspruch auf Schadensersatz für immateriellen Schaden betreffen. Ein markantes Beispiel ist der Fall, in dem der Europäische Gerichtshof (EuGH) über die Anforderungen an den immateriellen Schadensersatz gemäß Art. 82 DSGVO entschieden hat. Im spezifischen Fall ging es um die unrechtmäßige Verarbeitung personenbezogener Daten durch die Österreichische Post, die aufgrund eines Algorithmus eine politische Affinität einer Person ableitete, ohne dass die Daten an Dritte weitergegeben wurden. Der Betroffene fühlte sich durch diese Zuschreibung beleidigt und forderte 1.000 € für den erlittenen immateriellen Schaden. Die österreichischen Gerichte wiesen seine Klage zunächst zurück, woraufhin der Fall dem EuGH zur Klärung vorgelegt wurde.
Der EuGH stellte klar, dass für einen Anspruch auf immateriellen Schadensersatz neben einem Verstoß gegen die DSGVO auch das Vorliegen eines Schadens sowie ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß erforderlich sind. Wichtig ist, dass der Schadensersatzanspruch nicht davon abhängt, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht. Dies ist eine bedeutende Klarstellung, da einige Gerichte zuvor eine Art „Bagatellgrenze“ angenommen hatten, die nun vom EuGH abgelehnt wurde. Das Urteil stärkt die Position von Betroffenen, insbesondere in Fällen unrechtmäßiger Schufa-Einträge, da nun klar ist, dass auch solche Einträge einen ersatzpflichtigen immateriellen Schaden begründen können.
Weitere Fälle auf nationaler Ebene, wie Urteile der deutschen Arbeitsgerichte, zeigen, dass Verstöße gegen die DSGVO, insbesondere nicht fristgerecht erfüllte Auskunftspflichten, regelmäßig zu Schadensersatzansprüchen für immaterielle Schäden führen. Die ausgeurteilten Beträge variieren dabei, liegen aber häufig in einem mittleren vierstelligen Bereich.
Diese Urteile verdeutlichen, dass der immaterielle Schadensersatz ein wichtiges Instrument zum Schutz der Datenschutzrechte von Einzelpersonen darstellt und dass die Gerichte zunehmend bereit sind, den Betroffenen Entschädigungen für Verstöße gegen die DSGVO zuzusprechen. Die genaue Auslegung und Anwendung der Vorschriften, insbesondere die Frage nach dem Nachweis und der Höhe des Schadens, werden weiterhin durch die Rechtsprechung präzisiert.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Datenschutzberatung, Auditing und internationalen Datentransfer (TIA). Machen Sie kurzfristig einen Termin aus: