Es ist zu erwarten, dass das Datenschutzrecht mit Inkrafttreten der DSGVO eine deutlich größere Bedeutung in der unternehmerischen und gerichtlichen Praxis einnimmt, als es bisher der Fall war. Dies dürfte insbesondere damit zusammenhängen, dass die Schadensersatzregelungen drastisch verschärft wurden und sich die Darlegungs- und Beweislastregelungen geändert haben. Im Folgenden werden die wichtigsten Neuerungen im Zusammenhang mit der Geltendmachung von Schadensersatzansprüchen wegen Verstößen gegen Datenschutzvorschriften dargestellt.
1. Höhere Bußgelder
Die Aufsichtsbehörden (z.B. Landesdatenschutzbeauftragter NRW) können gegen ein Unternehmen Bußgelder verhängen, wenn diese datenschutzrechtliche Regelungen verletzen.
Gemäß Art. 83 DSGVO können Bußgelder von bis zu 4 % des globalen Umsatzes des Unternehmens verhängt werden. Bei größeren Konzernen kann dies durchaus bedeuten, dass Milliardenbeträge zu zahlen sind.
2. Ersatz immaterieller Schäden
Gemäß Art. 82 DSGVO hat das Unternehmen im Falle eines Verstoßes nunmehr auch den immateriellen Schaden zu ersetzen. Dies bedeutet, dass der Verletzte im Gegensatz zur alten Regelung nicht mehr einen konkreten Schaden, der durch die Datenschutzverletzung eingetreten ist, nachweisen muss, sondern auch ein “Schmerzensgeld“ verlangen kann. Die Höhe dieses Schmerzensgeldes kann ein Gericht schätzen. Die Geltendmachung eines Vermögensschadens (z.B. Rechtsanwaltskosten) ist neben dem Schmerzensgeldanspruch weiterhin möglich.
3. Wer kann Schadensersatzansprüche geltend machen?
Ein Schadensersatzanspruch nach Art. 82 DSGVO kann jeder Person zustehen, die von einem Datenschutzverstoß unmittelbar oder mittelbar betroffen ist.
Hierbei handelt es sich um:
- die Person, dessen Daten verarbeitet werden
- Familienmitglieder dieser Person, die z.B. psychische Beeinträchtigungen aufgrund des Datenschutzverstoßes erleiden
- Wettbewerber des Unternehmens
4. Darlegungs- und Beweislast
In einem möglichen Gerichtsprozess muss das Unternehmen gem. Art. 5, 24 DSGVO nachweisen können, dass es die Datenschutzgesetze eingehalten hat.
Dies führt im Grunde zu einer Beweislastumkehr, da im Zivilprozess eigentlich der Anspruchsteller den haftungsbegründenden Tatbestand beweisen muss.
5. Fazit
Die Neuregelungen führen dazu, dass es für die einzelnen Personen im Vergleich zur Vergangenheit deutlich leichter wird, Schadensersatzansprüche gegen Unternehmen durchzusetzen.
Die Unternehmen sind daher gut beraten, die DSGVO zeitig umzusetzen und sich auf mögliche Gerichtsprozesse vorzubereiten.