Schadenersatzpflicht nach DSGVO bei Datenpannen

Schadenersatzpflicht nach DSGVO bei Datenpannen

Im Gegensatz zur alten Rechtslage bietet die DSGVO die Möglichkeit, Schadenersatz für immateriellen Schaden zu verlangen.

In unserem letzten Beitrag Datendiebstahl und die DSGVO war nur am Rande die Rede von den Konsequenzen einer Missachtung der DSGVO. Die hohe Strafdrohung der DSGVO, die bei Verstoß gegen manche Artikel eine Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro vorsieht, hat in den Medien viel Beachtung erfahren.

Es gibt jedoch noch ein zweites finanzielles Risiko, das nicht außer Acht zu lassen ist: Die Schadenersatzpflicht. Schadenersatz kann auch anfallen, wenn die Aufsichtsbehörde keine Strafe verhängt und kein in Geld bezifferbarer Schaden entstanden ist.

Dazu Artikel 82 DSGVO:

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Immaterieller Schaden ist ein Schaden, der sich nicht auf das Vermögen auswirkt. Der Klassiker des immateriellen Schadens ist das Schmerzensgeld, dass Sie bei einer Verletzung erhalten.

Zur Bemessung des Schadens kann mangels Urteilen noch nichts gesagt werden. In einem durch die Medien gegangenen Fall wurden für ein Kontaktformular, das ohne Verschlüsselung abrufbar war, 8.500 Euro verlangt – ob der Betreffende damit durchkommt, ist sehr fraglich.

Wer kann eigentlich zum Schadenersatz herangezogen werden? Auch hier ist Artikel 82 DSGVO eindeutig:

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Kurz: Alle haften, sowohl der Verarbeiter als auch der Auftragsverarbeiter. Laut Absatz 4 haftet jeder Beteiligte für den gesamten Schaden.

Es gibt lediglich eine Möglichkeit, der Haftung zu entrinnen:

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Wie können Sie sich also vor der Schadenersatzpflicht schützen? Ganz einfach: Sie müssen alles tun, damit es nicht zu einem Schaden kommt, und dürfen in keiner Weise dafür verantwortlich sein, dass der Schaden eingetreten ist. Wenn Sie also alles in der DSGVO Vorgesehene tun, um eine Datenpanne zu vermeiden, Maßnahmen getroffen haben, um Datenpannen zu erkennen, im Fall des Falles richtig reagieren und trotzdem ein Schaden eintritt, dann können Sie nicht haftbar gemacht werden.

Das heißt im Umkehrschluss aber auch: Haben Sie nicht genügende technische und organisatorische Schutzmaßnahmen getroffen, machen Sie sich unter Umständen schadenersatzpflichtig! Sie sollten daher darauf achten, dass Ihre Schutzmaßnahmen dem Stand der Technik entsprechen und für Ihre Datenverarbeitung ausreichen.

Hinweis: Bei diesem Artikel handelt es sich um keine Rechtsberatung.