Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Dass personenbezogene Daten im Internet veröffentlicht werden, ist der Albtraum vieler Internet-Nutzer. Noch schlimmer wird die Situation für die Betroffenen, wenn ihre gehackten Informationen im Darknet zum Verkauf angeboten werden. In dieser Lage fanden sich die Nutzer eines Streamingdienstes wieder und fragten sich deshalb: Reichen negative Gefühle und Sorgen aus, um einen Anspruch auf Schadensersatz aus der Datenschutzgrundverordnung (DSGVO) zu begründen?
Die DSGVO schützt Internet-Nutzer vor dem Missbrauch ihrer personenbezogenen Daten und verpflichtet die Verantwortlichen zu vielfältigen Sorgfalts- und Schutzmaßnahmen. Um sich gegen eventuelle Verstöße zu wehren, sieht die Verordnung in Artikel 82 Absatz 1 einen Anspruch auf Schadensersatz vor. Nach der ständigen Rechtsprechung des Gerichtshofes der Europäischen Union (EuGH) setzt dieser einen materiellen oder immateriellen Schaden, der durch einen DSGVO-Verstoß verursacht wurde, voraus. Die Darlegungs- und Beweislast liegt dabei in der Regel bei der Person, die den Ersatz verlangt.
Auch wenn Verantwortiche Auftragsverarbeiter einschalten dürfen, die personenbezogene Daten der Nutzer verarbeiten, stellt die Datenübermittlung an den Auftragsverarbeiter einen Eingriff in die Achtung des Privatlebens und den Schutz personenbezogener Daten nach den Artikel 7 und 8 der Grundrechtecharta der Europäischen Union dar. Deshalb ist die Verarbeitung durch die eingeschalteten Dritten nur solange gerechtfertigt, wie die Voraussetzungen des Auftragsverhältnisses vorliegen und die Verantwortlichen müssen sicherstellen, dass auch ihre Auftragsverarbeiter alle Pflichten der DSGVO erfüllen.
Das Zugriffsrecht des Auftragverarbeiters entfällt mit dem Auftragsende, sodass der Verantwortliche sicherstellen muss, dass keine personenbezogenen Daten bei dem Auftragsverarbeiter bleiben und den Zugang zu den Daten verwehren. Bleiben die Daten dennoch bei dem Beauftragten, muss der Verantwortliche selbst für diesen DSGVO-Verstoß einstehen und für den Verarbeiter haften. Indem er es unterlässt, sicherzustellen, dass der Auftragnehmer alle Zugriffsmöglichkeiten bei Auftragsende verliert, begeht der Verantwortliche darüber hinaus eine eigene Pflichtverletzung, die ebenfalls als Voraussetzung für den Schadensersatzanspruch dienen kann.
Ein immaterieller Schaden ist ein Schaden, der nicht finanzieller Natur ist, sondern sich anderweitig negativ äußert. Im Rahmen der DSGVO wird der Schadensbegriff breit gefächert, sodass unter anderem die Hinderung der Betroffenen, die sie betreffenden personenbezogenen Daten zu kontrollieren oder der Verlust der Kontrolle über personenbezogene Daten in den Erwägungsgründen der Verordnung explizit als Beispiele für mögliche Schäden genannt wurden. Der Schaden muss dabei keinen bestimmten Grad an Schwere oder Erheblichkeit erreichen; es besteht keine Bagatellgrenze, die überschritten werden muss.
Auch vom DSGVO-Verstoß ausgelöste Befürchtungen, eigene personenbezogene Daten könnten missbräuchlich verwendet werden, können einen immateriellen Schaden darstellen, sofern sie als begründet angesehen werden können. Dagegen spricht nicht, dass negative Gefühle wie Ärger und Sorge auch Teil des allgemeinen Lebensrisikos sind. Vom immateriellen Schaden werden demnach negative Gefühle, die Betroffene infolge einer unbefugten Übermittlung oder Verarbeitung ihrer Daten empfinden, umfasst, sofern nachgewiesen wird, dass die Emotionen inklusive ihrer negativen Folgen von dem Verstoß hervorgerufen wurden. Je plausibler der befürchtete Datenmissbrauch im konkreten Fall erscheint, desto geringere Anforderungen sind an die Darlegung zu stellen.
Häufige Befürchtungen nach dem Missbrauch personenbezogener Daten sind insbesondere Spam-E-Mails mit betrügerischem Inhalts oder Identitätsdiebstahl. Bei derartigen Ängsten dürfen die Sorgen als sehr wahrscheinlich angesehen werden, sodass die negativen emotionalen Folgen in solchen Fällen in der Vergangenheit bereits vom EuGH als ersatzfähige immaterielle Schäden angesehen wurden.
Je mehr Stellen personenbezogene Daten im Alltag verarbeiten, desto wichtiger wird ist, ihren Schutz zu achten. Es ist daher sowohl für Verantwortliche, denen die Daten anvertraut werden, als auch für Betroffene essenziell, die eigenen Rechten oder Pflichten zu kennen. Damit Sie dabei auf der sicheren Seite stehen und all Ihre Interessen bestmöglich vertreten werden, helfen Ihnen die Anwälte für Datenschutzrecht von SBS Legal bei allen Fragen und Anliegen!
Bleiben Sie jederzeit zu den Entwicklungen aus dem Datenschutzrecht auf dem Laufenden! Der SBS Legal Blog hält sie stets informiert zu Neuigkeiten aus der Rechtswelt.