Ein Verstoß gegen die Vorschriften der DSGVO kann für Unternehmen weitreichende Konsequenzen haben. Neben hohen Bußgeldern können auch Schadensersatzansprüche geltend gemacht werden.
DSGVO Bußgelder
Bei Verstößen gegen die DSGVO drohen Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die genaue Höhe der Geldbuße hängt von den Umständen des Einzelfalles ab. Bemessungskriterien für die Verhängung einer Geldbuße sind in Art. 83 Abs. 2 DSGVO normiert.
Unter anderem werden die Art, Schwere und Dauer des Verstoßes berücksichtigt, der Grad des Verschuldens, getroffene Maßnahmen zur Minderung des Schadens sowie der Grad der Verantwortung im Hinblick auf die technischen und organisatorischen Maßnahmen. Des Weiteren finden frühere Verstöße des Verantwortlichen, die Zusammenarbeit mit der Aufsichtsbehörde und die betroffenen Kategorien personenbezogener Daten Beachtung bei der Bestimmung der Höhe des Bußgeldes. Auch die Art und Weise, wie der Verstoß bekannt gemacht wurde und die Einhaltung früher angeordneter Maßnahmen spielen unter anderem eine Rolle.
Es wird deutlich, dass die Datenschutzbehörden einen großen Ermessensspielraum bei der Beurteilung eines angemessenen Bußgeldes haben, was zu einer großen Unsicherheit für Unternehmen führt. Hilfreich sind die Leitlinien des Europäischen Datenschutzausschusses (EDSA) zur Berechnung von Bußgeldern, welche am 12.05.2022 veröffentlicht und zur Konsultation gestellt wurden. Die Leitlinien sehen einen „starting point“ für die Berechnung des Bußgelds vor, welcher sich nach der Einordnung (vgl. Art. 83 Abs. 4 bis 6 DSGVO) der Tat, der Schwere der Tat und dem Unternehmensumsatz bestimmt. Des Weiteren werden fünf Stufen für die Ermittlung des Bußgelds bestimmt und die Höhe des Bußgelds wird davon abhängig gemacht, ob es sich um leichte, mittlere oder schwere Verstöße gegen die DSGVO handelt.
DSGVO Schadensersatz
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.
Verstoß gegen die DSGVO
Der Anspruch setzt zunächst einen Verstoß bei der Verarbeitung von personenbezogenen Daten voraus. Da Art. 82 Abs. 1 DSGVO den Kreis ersatzfähiger Datenschutzverstöße nicht einschränkt, ist grundsätzlich jede Zuwiderhandlung gegen eine DSGVO-Norm ausreichend. Ein Verstoß ist beispielsweise gegeben, wenn der Verarbeitung keine Rechtsgrundlage im Sinne von Art. 6 DSGVO zugrunde liegt. Auch die verspätete oder unzureichende Bearbeitung von Betroffenenbegehren bei der Geltendmachung von Betroffenenrechten nach Art. 15 ff. DSGVO ist ein Beispiel für einen Schadensersatzansprüche begründenden Verstoß.
Schaden
Der Verstoß muss einen konkreten materieller oder immateriellen Schaden zur Folge haben. Unter materiellen Schäden versteht man Vermögensschäden. Ein solcher Schaden ist in der Regel gut darlegbar und bezifferbar. Schwieriger gestaltet sich die Darlegung und Bezifferung eines immateriellen Schadens. Unter welchen Voraussetzungen ein solcher vorliegt, ist umstritten. Nach Ansicht vieler Stimmen in der Literatur und einiger Gerichte liegt ein immaterieller Schaden nur dann vor, wenn dem Betroffenen ein spürbarer Nachteil entstanden ist und dieser aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen resultiert. Das OLG Koblenz führt in seinem Urteil vom 18. Mai 2022 jedoch aus, dass die Überschreitung einer Bagatellgrenze nicht zu fordern sei. Insbesondere handele es sich bei dem Schadensbegriff des Art. 82 Abs. 1 DSGVO um einen europarechtlichen Begriff, der nicht anhand nationaler Ausprägungen etwa in Form von Erheblichkeitsschwellen ausgelegt werden könne. Bereits Ängste oder Stress seien als Schäden anzuerkennen. Nach den Erwägungsgründen 75 und 85 zur DSGVO ist beispielsweise ein Verlust der Kontrolle über die personenbezogenen Daten oder eine Einschränkung der eigenen Rechte als immaterieller Schaden anzusehen. In der Vergangenheit wurden auf immateriellen Schäden beruhende Schadensersatzansprüche vor allem bei der Verletzung von Betroffenenrechten zugestanden, wenn damit verbundenen Begehren nicht oder verspätet nachgegangen wurde (vgl. Arbeitsgericht Düsseldorf, Urteil vom 05.03.2020 – Az. 9 Ca 6557/18).
Verschulden
Des Weiteren ist ein Verschulden erforderlich. Ein solches Verschulden liegt vor, wenn der Verantwortliche oder Auftragsverarbeiter den Datenschutzverstoß vorsätzlich oder fahrlässig herbeigeführt hat. Die Beweislast liegt bei dem Verantwortlichen und dem Auftragsverarbeiter. Gemäß Art. 82 Abs. 3 DSGVO wird ein Verschulden grundsätzlich vermutet. Der Verantwortliche oder Auftragsverarbeiter muss für seine Entlastung aktiv den Nachweis erbringen, dass er für das schadensauslösende Ereignis nicht verantwortlich ist.
Höhe des Schadensersatzes
Die Höhe des Schadensersatzes wird durch Art. 82 DSGVO nicht begrenzt. Gemäß Erwägungsgrund 146 zur DSGVO soll der Schadensersatz der Höhe nach wirksam sein. Daraus wird teilweise abgeleitet, dass der Schadensersatz nicht nur eine Kompensation für erlittene Nachteile sein soll, sondern zudem auch eine Repressalie und damit eine Abschreckungsfunktion haben soll. Die genaue Höhe des Schadensersatzanspruchs ist stets vom Einzelfall abhängig. Zu beachtende Kriterien sind beispielsweise die Schwere der Rechtsverletzung und die Schuld des Verantwortlichen am Schadenseintritt. Bei der Bemessung von immateriellen Schäden, die aus der Verletzung von Betroffenenrechten resultieren, werden häufig die Wertungen von Art. 83 Abs. 4 DSGVO berücksichtigt, wonach Geldbußen von bis zu 10.000.000 Euro oder 2 Prozent des in dem Unternehmen weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zulässig sind.
