Kontakt

Kontaktieren Sie uns!

Zum Kontaktformular

+ 49 3578 7837 197 mail@edelmann-co.de

Der Artikel wurde der online-Ausgabe der Zeitschrift Datenschutz-Berater, Ausgabe 03/2019 entnommen. Autor ist Frank Richter, Rechtsanwalt in Dossenheim

“Nach Art. 82 Abs. 1 DSGVO steht dem Geschädigten ein angemessenes Schmerzensgeld für die verschuldete Zuwiderhandlung gegen die DSGVO zu. Hierdurch wird das allgemeine Persönlichkeitsrecht (BGH, I ZR 151/56, Urteil vom 14.02.1958) des Geschädigten massiv (vergleiche die Bußgeldrahmen der DSGVO) verletzt. Die folgende Auflistung soll eine Zusammenstellung darstellen, die keinen Anspruch auf Vollständigkeit erhebt, sondern als Diskussionsgrundlage hinsichtlich Tatvorwurf und Entschädigungshöhe gesehen werden will.

Schmerzensgeld für immaterielle Schäden

Zwar überwachen auch die Landesdatenschutzbehörden die Einhaltung der DSGVO, diese sind allerdings hoffnungslos überlastet und personell vollkommen unterbesetzt. Auch neun Monate nach Anwendbarkeit der DSGVO sind wenige Bußgeldverfahren eingeleitet, und wenn, dann nur mit minimalen Bußgeldern – ganz im Gegensatz zu den vollmundigen Ankündigungen beispielsweise des hamburgischen Datenschutzbeauftragten zur „Versiebenundsechzigfachung“ der Bußgelder. Wirksame, zeitnahe und konsequente Sanktionen sind daher nur durch Betroffene durchzusetzen. Ein solches Schmerzensgeld ist daher oftmals die einzig taugliche Sanktion und ergänzt Unterlassungsansprüche sinnvoll.

Der Gläubiger muss Betroffener des Verstoßes, der Schuldner Verantwortlicher oder Auftragsverarbeiter sein. Ein Verstoß gegen irgendeine Vorschrift der DSGVO reicht aus. Der Verstoß muss auch kausal für den eingetretenen Schaden sein. Welche Anforderungen allerdings an den Nachweis eines Schadens zu stellen sind, ist noch nicht klar. Unter Berücksichtigung des Wirksamkeitsgedankens dürfen aber für immaterielle Schäden die Anforderungen nicht überspannt werden. Der immaterielle Schaden ist mit der Verletzung des Persönlichkeitsrechts durch datenschutzrechtswidrige Datenverwendung eingetreten. Für das Nichtvorliegen des Verschuldens trägt die Schuldnerseite die Beweislast. Im Übrigen besteht zur Klärung offener Rechtsfragen ein Vorlagerecht, bei letztinstanzlichen Entscheidungen eine Vorlagepflicht (Art. 267 AEUV).

Nach ständiger Rechtsprechung des Europäischen Gerichtshofs (statt vieler C-407/14) müssen Sanktionen, zu denen auch der hier in Rede stehende immaterielle Schadensersatz zählt, wirksam und abschreckend sein. Die Genugtuungsfunktion steht demgegenüber im Hintergrund. Die Höhe der für immaterielle Schäden ausgeurteilten Beträge wird auf in Deutschland bis dato außerhalb von Presseveröffentlichungsfällen unbekannte Beträge steigen müssen, um den Anforderungen der DSGVO nachzukommen; insbesondere ist ein unzulässiger rein symbolischer Schadensersatz zu vermeiden.

Für Datenschutzverletzungen müssen erheblich höhere Schmerzensgelder zugesprochen werden als für Körperverletzungen (Gola, DSGVO, Art. 82, Rdnr. 13; Kühling/Buchner, DSGVO/BDSG, 2. Aufl. Art 82, Rdnr. 18).

Die Höhe des Schmerzensgeldes

Die Höhe des Schmerzensgeldes für immaterielle Schäden soll sich nach Erwägungsgrund 146 an der Genugtuungs- und der Abschreckungsfunktion des Schmerzensgeldes orientieren. Der Schadensersatz muss vollständig und wirksam sein. Zur Höhe des Anspruches sind bislang keine Entscheidungen bekannt. Das Oberlandesgericht Köln (Urteil vom 30.09.2016, 20 U 83/16) hatte nur über einen Feststellungsantrag zu entscheiden. Allerdings ist vor dem Hintergrund des nunmehr europäischen Rechts im Vergleich zu nach alter Rechtslage deutschem nationalem Recht (§ 7 BDSG-alt) zu überlegen, ob die deutschen Schmerzensgelder (zur Videoüberwachung am Arbeitsplatz bisher u.a. Hessisches LAG, Urteil vom 25.10.2010, 7 Sa 1586/09: 7000,00 €; LAG Berlin-Brandenburg, Urteil vom 28.11.2012, 23 Sa 1090/12: 14.000,00 €; ArbG Iserlohn, Urteil vom 04.06.2008, 3 Ca 2636/07: 25.000,00 €) generell am europäischen Rahmen anzupassen und damit zu erhöhen sind.

Methodik

Mit dunkelgrau markierte Tatbestände sind auch als Bußgeld nach Art. 83 DSGVO mit dem Maximalbußgeld von 4 % des Umsatzes bzw. 20.000.000,00 € geahndet und daher von der Verordnung als besonders schwerwiegend beurteilt. Treffen mehrere Tatvorwürfe auf eine Handlung zu, so sollte der Betrag nach dem schwersten beziehungsweise teuersten Vorwurf gewählt und um 25 bis 50 % der anderen verwirkten Beträge erhöht werden.

Art. 5 I bZweckwidrige Datenverarbeitung10.000,00 €
Art. 5 I cUnnötige Datenanhäufung10.000,00 €
Art. 5 I dVorhalten falscher Daten15.000,00 €
Art. 5 I eUnbegrenzte Datenspeicherung10.000,00 €
Art. 5 I fUnsichere Verarbeitung25.000,00 €
Art. 6Werbe-E-Mail, Fax Verstoß jeweils2.000,00 €
Wiederholungsfall5.000,00 €
Werbe-Anruf Verstoß4.000,00 €
Wiederholungsfall16.000,00 €
Werbe SMS Verstoß1.000,00 €
Wiederholungsfall3.000,00 €
Unzulässiger Datenhandel20.000,00 €
Wiederholungsfall50.000,00 €
Unzulässige offene, dauerhafte Videoüberwachung am Arbeitsplatz15.000,00 €
Wiederholungsfall25.000,00 €
Unzulässige heimliche, dauerhafte Videoüberwachung am Arbeitsplatz:20.000,00 €
Wiederholungsfall30.000,00 €
Unzulässige Videoüberwachung als Kunde2.000,00 €
Wiederholungsfall5.000,00 €
Unzulässige Videoüberwachung als Passant1.000,00 €
Wiederholungsfall3.000,00 €
Art. 7Nichtnachweis einer Einwilligungkonsumiert
Unverständliche Einwilligungkonsumiert
Nichtbeachtung des Einwilligungswiderrufs5.000,00 €
Art. 8:Erhöht den immateriellen Schadensersatz wegen Verarbeitung entgegen Art. 6 um 100 %
Art. 9Unerlaubte Verarbeitung besonderer Datenkategorien10.000,00 €
Art. 10Haftbefehl, Strafbefehl, Strafurteil leaken15.000,00 €
Art. 11 IÜbermäßige Verarbeitung5.000,00 €
Art. 11 IINichtinformation5.000,00 €
Art. 13Verstoß1.000,00 €
Wiederholungsfall3.000,00 €
Art. 14Verstoß5.000,00 €
Wiederholungsfall15.000,00 €
Art. 15Falsch-/Nichterteilung Auskunft7.500,00 €
Wiederholungsfall15.000,00 €
Art. 16Nichtberichtigung5.000,00 €
Art. 17Nichtlöschung5.000,00 €
Art. 18Nichteinschränkung3.000,00 €
Art. 19Nichtmitteilung je Fall3.000,00 €
Art. 20Unübertragbarkeit3.000,00 €
Art. 22Unberechtigte automatisierte Verarbeitung3.000,00 €
Art. 24 IUnzureichende TOM1.000,00 €
Art. 25 IUnzureichende Technik2.000,00 €
Art. 25 IIUnzureichende Voreinstellungen2.000,00 €
Art. 26Nichtinformation bezüglich der Vereinbarung3.000,00 €
Art. 27Nichtbenennung eines Vertreters5.000,00 €
Art. 28Unzureichende Auftragsverarbeitung4.000,00 €
Art. 29Weisungsfremde Verarbeitung3.000,00 €
Art. 30Kein Verfahrensverzeichnis1.000,00 €
Unzureichendes Verfahrensverz.200–500 €
Art. 32Unsichere Verarbeitung5.000,00 €
Art. 33

Art. 34

Nichtmeldung bzw. Nichtbenachrichtigung (je nach Folgen mind.)5.000,00 €
Datenverlust2.000,00 €
Wiederholungsfall5.000,00 €
Art. 35Nichtvornahme der Folgenabschätzung7.500,00 €
Art. 36Nichtkonsultation/Nichteindämmung/Nichtumsetzung der Empfehlungen15.000,00 €
Art. 37Kein Datenschutzbeauftragter10.000,00 €
Art. 38Datenschutzb. unzureichend7.500,00 €
Art. 39Nicht handelnder Datenschutzb.5.000,00 €
Art. 41Nichteinhaltung der Verhaltensregeln3.000,00 €
Art. 44Unzureichende/unberechtigte Datenübermittlung5.000,00 €
Autor:Frank Richter ist Rechtsanwalt in Dossenheim

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen