Art. 82 DS-GVO – Haftung und Recht auf Schadenersatz  

Seit ihrer Einführung am 25. Mai 2018, bietet die Datenschutzgrundverordnung sowohl im öffentlichen, als auch privaten Bereich Möglichkeiten des Ausgleichs der Verletzung von personenbezogenen Daten und hieraus resultierender Schäden.  

Es ist also wichtig zu wissen, wann bei Verstößen gegen die DS-GVO Schadenersatzpflichten entstehen und was die Voraussetzungen für einen Schadenersatzanspruch aus der Verordnung sind. Die zentrale Norm für diesen Anspruch ist Art. 82 DS-GVO. 

Das Wichtigste auf einen Blick

1. Das steht in Art. 82 DS-GVO 

Gemäß Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen und/oder den Auftragsverarbeiter.  
Ein solcher Verstoß kann beispielsweise in der unrechtmäßigen Verarbeitung personenbezogener Daten liegen.   

Der Anspruch nach Art. 82 DS-GVO ist ein eigenständiger unionsrechtlicher Anspruch, der dem nationalen Haftungsrecht vorgeht. Bei der Bemessung der Schadensersatzhöhe wird der unionsrechtliche Effektivgrundsatz herangezogen.  
Zu der Höhe des Schadensersatzes lässt sich außerdem sagen, dass dieser nicht nur den tatsächlich entstandenen Schaden abdecken, sondern auch eine Abschreckungswirkung haben soll.  

In der Norm ist auch der Ersatz immaterieller Schäden aufgeführt. Daher ist mittlerweile klar, dass auch Schmerzensgeldansprüche geltend gemacht werden können.   

Diese müssen ebenfalls auf die Verletzung der DS-GVO zurückzuführen sein.  
 

2. Wann liegt ein Schadensersatzanspruch vor?  

Damit der Anspruch auf Schadensersatz des Anspruchsberechtigten nach Art. 82 DS-GVO begründet ist, muss ein Verstoß gegen die Vorschriften der Verordnung vorliegen. Dieser muss dem Verantwortlichen oder dem Auftragsverarbeiter zuzurechnen sein.  

2.1. Anspruchsberechtigter 

Eine natürliche Person, der wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften ein Schaden entstanden ist, ist nach Art. 82 DS-GVO anspruchsberechtigt. 

In der Regel ist dies die von der unrechtmäßigen Datenverarbeitung betroffene Person.  

Nicht in Betracht kommen dritte Personen, denen dadurch ein Schaden entstanden ist, dass der Verantwortliche unberechtigterweise Daten betroffener Personen verarbeitet hat. Ebenfalls nicht erfasst sind juristische Personen.  

2.2. Verstoß gegen die Vorschriften der DS-GVO  

Die Verletzungshandlung liegt in der Missachtung der Grundsätze und Vorschriften der DS-GVO. Wie bereits erwähnt, geschieht dies meistens im Bereich der Datenverarbeitung. Aber auch die Nichtvornahme von technisch-organisatorischen Maßnahmen oder die ausbleibende Bestellung eines Datenschutzbeauftragten können einen Verstoß gegen die DS-GVO darstellen.   

Da die Fälle oft zu einem Schadensersatzanspruch führen können, soll besondere Aufmerksamkeit auf die datenschutzrechtlichen Grundsätze gelegt werden. 

Diese sind unter anderem in den Vorschriften Art. 5 und Art. 6 DS-GVO aufgeführt.  

Art. 5 DS-GVO beinhaltet die Grundsätze der DS-GVO. Diese sind beispielsweise die Grundsätze der Rechtmäßigkeit, der Verarbeitung von Treu und Glauben und der Transparenz. Außerdem sind der Datenminimierungsgrundsatz und der Grundsatz der Speicherbegrenzung wichtige Vorschriften.  

Ein Verstoß gegen diese Grundsätze der DS-GVO eröffnet also die Möglichkeit, einen Schadensersatzanspruch durchzusetzen. 

In Art. 6 wird ebenfalls ein Grundgedanke der DS-GVO aufgeführt: Allgemein besteht bei der Datenverarbeitung ein Verarbeitungsverbot mit Erlaubnistatbeständen. Erlaubnistatbestände wie die Einwilligung der betroffenen Person sorgen für eine rechtmäßige Verarbeitung. 
Fehlt es an dieser Einwilligung oder an einem der anderen gesetzlichen Erlaubnistatbestände,  und werden trotzdem personenbezogene Daten mit Schadensfolge verarbeitet, so macht sich der Verantwortliche oder sein Auftragsverarbeiter schadensersatzpflichtig.   

2.3. Anspruchsgegner 

Anspruchsgegner kann sowohl der Verantwortliche im Sinne des Art. 4 Nr. 7 als auch der Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO sein.  

Die Verantwortlichkeit ist hier nicht im Hinblick auf das Verschulden, sondern auf die Verarbeitung der personenbezogenen Daten zu verstehen. Gemäß Art. 82 Abs. 2 reicht für die Haftung die Beteiligung an einen Verarbeitungsvorgang als Verantwortlicher aus. Es kommt damit also nicht auf die Vornahme einer schädigenden Handlung an. 

Zuständig für die Verarbeitung und Einhaltung der Regelungen der DS-GVO ist der „Verantwortliche“ des Unternehmens. Wenn bestellt, kann auch ein Auftragsverarbeiter, der an der Datenverarbeitung beteiligt ist, Gegner des Anspruchs sein.  

Beide müssen für ihr Handeln oder ihr Unterlassen einstehen, solange keine Haftungsprivilegierung oder kein -ausschluss greift. Dazu später mehr.  

Es ist nicht relevant, ob es sich um eine öffentliche oder private Datenverarbeitung handelt.  

2.4. Schadenseintritt  

Der Schadensbegriff ist im Rahmen des EU-Rechts weit auszulegen.  

Trotzdem werden nur eindeutige materielle und immaterielle Schäden von Art. 82 Abs. 1 DS-GVO erfasst.   

Aufgrund der vielen spezifischen Einzelfälle ist keine genauere Schadensumschreibung vorgenommen worden. In den Erwägungsgründen (EG) der DS-GVO werden jedoch einige, nicht abschließende Beispiele genannt.  

Gemäß EG 75 kann eine Verarbeitung zu einem „physischen, materiellen oder immateriellen Schaden führen, (...), insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, eine Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann.“  

2.5. Kausalität  

Zuzüglich zu den bereits genannten Punkten, muss der Verstoß gegen die Vorschriften der DS-GVO auch vorsehbar und kausal für den Schaden sein. Hiermit wirkt man der ausufernden Schadensersatzpflicht bei atypischen und außerhalb der Lebensumstände eintretenden Schäden und Kausalverläufen entgegen.  

Eine Handlung ist für einen Schadenseintritt kausal, wenn sie nicht hinweggedacht werden kann, ohne dass der Erfolg in seiner konkreten Form entfiele.  

Durch die Anwendung des Äquivalenz- und Effektivitätsgrundsatzes sind auch Schäden, die nicht unmittelbar aus der Verletzungshandlung folgen, von der Vorschrift erfasst. Mitursächlichkeit genügt hierbei.  

3. Haftungsmaßstäbe   

3.1. Allgemeine Haftungsmaßstäbe, Art. 82 Abs. 2 DS-GVO 

Der Haftungseintritt ist verschuldensunabhängig. Gemäß Art. 82 Abs. 2 DS-GVO reicht für die Haftung des Verantwortlichen alleine seine Beteiligung an der Verarbeitung aus.  

Der Begriff der Beteiligung ist weit auszulegen.  

3.2. Haftungsprivilegierung des Auftragsverarbeitenden, Art. 82 Abs. 2 S. 2 DS-GVO  

Für den Auftragsverarbeiter besteht nach Art. 82 Abs. 2 S. 2 eine Haftungsprivilegierung. Er haftet nur, wenn er seinen spezifischen Pflichten als Auftragsverarbeiter nicht nachgekommen ist oder wenn er sich der Anweisungen des Verantwortlichen widersetzt hat.  

Die Haftungsprivilegierung greift nicht, wenn der Auftragsverarbeiter seine untergeordnete Stellung verlässt und selbst als Verantwortlicher tätig wird.  

3.3. Haftungsbefreiung, Art. 82 Abs. 3 DS-GVO 

Sowohl der Verantwortliche als auch der Auftragsverarbeiter können sich nach Art. 83 Abs. 3 DS-GVO von der Haftung befreien. 

Dies geschieht in Form einer Exkulpationsmöglichkeit bei nachgewiesener Nichtverantwortlichkeit.  
Hierfür muss der Verantwortliche nachweisen, dass er seine Verpflichtungen vollumfänglich erfüllt hat. Dies ist oft bei unberechtigten Zugriffen (externer) Dritter der Fall, obwohl der Verantwortliche alle erforderlichen Sicherungsmaßnahmen getroffen hat. Beispiel hierfür ist ein Hackerangriff.  

Ein Nachweis der Nichtverantwortlichkeit ist nicht möglich, wenn eigene Mitarbeiter unberechtigterweise auf Daten zugreifen. 

3.4. Wer trägt die Beweislast? 

Die Beweislast liegt bei der Haftungsprivilegierung und -befreiung aufgrund des allgemeinen Verständnisses der DS-GVO beim Verantwortlichen bzw. beim Auftragsverarbeiter.  

Das heißt, dass nicht der Geschädigte beweisen muss, dass eine der zuständigen Personen gegen die DS-GVO verstoßen hat, sondern dass sich der Handelnde entlasten muss.  
Diese Vorgehensweise erleichtert dem Geschädigten den Nachweis.   

4. Gesamtschuldnerische Haftung und Innenausgleich, Art. 82 Abs. 4, 5 DS-GVO 

Nach Art. 82 Abs. 4 haften der Verantwortliche und der Auftragsverarbeiter im gesamtschuldnerischen Verhältnis auf Schadensersatz.  

Als Anspruchsberechtigter haben Sie die Wahl, von wem Sie den Schadensersatz fordern möchten.  

Der Auftragsverarbeiter haftet somit nicht statt, sondern neben dem Verantwortlichen und umgekehrt. Liegt jedoch eine Haftungsprivilegierung vor, so ist Art. 82 Abs. 4 nicht anwendbar.  

Regelungen über den Innenausgleich zwischen den Gesamtschuldnern sind in Art. 82 Abs. 5 DS-GVO getroffen worden.  

5. Gerichtliche Zuständigkeitsregelungen, Art. 82 Abs. 6 

Da es sich bei Art. 82 DS-GVO um eine unionsrechtliche Norm handelt, ist die Frage der gerichtlichen Zuständigkeit zu klären. Die Antwort ist in Abs. 6 des Artikels aufgeführt:  

Zuständig sind die Gerichte des Mitgliedsstaats, in dem der Verantwortliche oder das Auftragsverarbeiter eine Niederlassung haben. Wahlweise können aber auch Klagen bei den Gerichten des Mitgliedsstaates, den dem die betroffene Person ansässig ist, erhoben werden.   

6. Fazit

Die DS-GVO enthält mit Art. 82 einen eigenständigen Schadensersatzanspruch, der über das nationale Recht hinausgeht.  

Entsteht dem Betroffenen ein Schaden aus unrechtmäßiger Datenverarbeitung oder Nichtbeachtung der Vorschriften der DS-GVO, so ist der Verantwortliche schadensersatzpflichtig. Die Schadensersatzpflicht besteht nicht, wenn eine Haftungsprivilegierung oder -befreiung vorliegt.