Ab dem 25. Mai 2018 gilt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/36/EG, kurz Datenschutz-Grundverordnung (DS-GVO).
Eine wesentliche Änderung des Datenschutzrechts durch die DS-GVO betrifft die erhebliche Verschärfung der Sanktionierung von Datenrechtsverstößen. Im Zentrum der Aufmerksamkeit standen bislang die Geldbußen, die 20 Million Euro und mehr betragen können. Hinter diesen drakonischen Strafen sind andere Sanktionen aus dem Blick geraten.
Die DS-GVO regelt aber in Art. 82 DS-GVO auch einen Schadensersatzanspruch der von einem Verstoß betroffenen Personen. Zwar bestand ein solcher Anspruch schon bisher, war in der Praxis aber schwer durchzusetzen. Die Neuregelung lässt vermuten, dass das künftig nicht mehr der Fall sein wird. Unternehmen sind also gut beraten, Maßnahmen zur Vermeidung einer Inanspruchnahme zu treffen.
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, hat nach dem Wortlaut von Art. 82 DS-GVO Anspruch auf Schadensersatz. Anders als bisher ist damit auch der immaterielle Schaden zu ersetzen. Die DS-GVO enthält keine konkreten Vorgaben, wie dieser Schaden zu bemessen ist. Es bleibt also abzuwarten, wie die Rechtsprechung entscheiden wird.
Grundsätzlich muss, wer Schadensersatz beansprucht, darlegen und im Bestreitensfall beweisen, dass die Voraussetzungen seines Anspruchs bestehen. Auch wenn dies dem Wortlaut von Art. 82 DS-GVO nicht zu entnehmen ist, gilt künftig faktisch eine Beweislastumkehr, weil der Verantwortliche, also die die Daten verarbeitende Person, dokumentieren muss, dass er die Vorgaben der DS-GVO beachtet.
Insbesondere muss die betroffene Person in Zukunft kein Verschulden des Verantwortlichen, also fahrlässiges oder vorsätzliches Handeln, mehr nachweisen. Vielmehr ist die Haftung des Verantwortlichen nur ausgeschlossen, wenn er „nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“, Art. 82 Abs. 3 DS-GVO. Dieser Nachweis dürfte nur sehr schwer zu führen sein.
Schadensersatzansprüchen kann ein Unternehmen also letztlich nur entgehen, wenn es sich nicht nur bei der Verarbeitung der Daten an die Vorgaben der DS-GVO hält, sondern auch bei der Dokumentation der Einhaltung dieser Vorgaben. Unternehmen sind deshalb gut beraten, die umfangreichen Dokumentationspflichten, die die DS-GVO regelt, zu erfüllen.
Sie benötigen Unterstützung bei der Umsetzung der Vorgaben der DS-GVO? Sprechen Sie uns an.
Achtung: Dieser Beitrag enthält nur allgemeine Hinweise und ersetzt keinesfalls eine Beratung im Einzelfall. Dieser Beitrag gibt die Rechtslage zum Zeitpunkt seiner Erstellung wieder, spätere Änderungen der Rechtslage sind nicht berücksichtigt. Sprechen Sie uns an!