Dieser Inhalt ist frei verfügbar. Mit einem Abonnement der jusIT erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
DSGVO: Art 82, Art 83
Gem Art 82 Abs 1 DSGVO hat „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Selbst wenn die verletzte Bestimmung der DSGVO natürlichen Personen Rechte gewährt, stellt der Verstoß allein noch keinen „immateriellen Schaden“ iSd DSGVO dar und reicht für sich genommen nicht aus, um einen Schadenersatzanspruch nach Art 82 Abs 1 DSGVO zu begründen.
Der „Verlust der Kontrolle“ über die trotz Widerspruchs verarbeiteten personenbezogenen Daten zählt zwar zu den (immateriellen) Schäden, die durch eine Verletzung personenbezogener Daten verursacht werden können (vgl ErwGr 85 zur DSGVO). Die betroffene Person muss aber den Nachweis erbringen, dass ihr durch den Verstoß gegen die DSGVO ein immaterieller Schaden entstanden ist (auch wenn er nur geringfügig ist).
Zur Bemessung des Schadenersatzes nach Art 82 Abs 1 DSGVO sind die Kriterien des Art 83 DSGVO für die Festsetzung von Geldbußen nicht entsprechend anzuwenden, da die beiden Bestimmungen unterschiedliche Ziele verfolgen (Geldbußen einerseits und Schadenersatz andererseits). Angesichts dessen, dass Art 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion hat, kann sodann der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben betroffenen Person begangen hat, nicht als ein relevantes Kriterium für die Bemessung des Schadenersatzes gem Art 82 DSGVO herangezogen werden; maßgeblich dafür ist allein der von dieser Person konkret erlittene Schaden.
Für den Schaden durch eine nicht der DSGVO entsprechende Verarbeitung haftet grds jeder an der Verarbeitung Verantwortliche (Art 82 Abs 2 DSGVO), kann von dieser Haftung aber nach Art 82 Abs 3 DSGVO befreit werden, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist. Für eine solche Haftungsbefreiung ist der Nachweis nicht ausreichend, dass der Verantwortliche den ihm iSv Art 29 DSGVO unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen diesen Weisungen nicht nachgekommen ist und sie damit zum Eintritt des Schadens beigetragen hat. Könnte sich der Verantwortliche derart von seiner Haftung befreien, würde dies die praktische Wirksamkeit des in Art 82 Abs 1 DSGVO verankerten Schadenersatzanspruchs beeinträchtigen, was nicht im Einklang mit dem Ziel der DSGVO stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.
EuGH 11. 4. 2024, C-741/21, juris
Zu einem deutschen Vorabentscheidungsersuchen.