Artikel 82 EU-DSGVO: Haftung und Recht auf Schadenersatz

  1. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

  2. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

  3. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

  4. Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.

  5. Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.

  6. Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.

Kommentar zu Art. 82 DSGVO

Was sagt Art. 82 DSGVO aus?
 

Art. 82 DSGVO richtet einen eigenen deliktischen Schadensersatzanspruch für natürliche Personen gegen Verantwortliche und Auftragsverarbeiter ein. Nach Abs. 1 kann der Anspruch von allen Personen geltend gemacht werden, denen ein materieller oder immaterieller Schaden durch einen Verstoß gegen die DSGVO entstanden ist. Dabei sind nicht nur Verstöße gegen die in der DSGVO geregelten Datenschutzbestimmungen, sondern auch solche gegen die Verordnung selbst und deren allgemeine Grundsätze gemeint. Laut dem  Erwägungsgrund 146 werden unter „Verstoß gegen die Verordnung“ auch erlassene delegierte Rechtsakte und Durchführungsakte mitumfasst sowie Regelungen der Mitgliedstaaten, welche das Datenschutzrecht über die DSGVO hinaus präzisieren. Der Schadensbegriff soll nach dem 146. Erwägungsgrund weit ausgelegt werden. Die Erwägungsgründe 75 und 85 nennen zudem Beispiele für Vermögens- sowie nicht Vermögensschäden, wie Diskriminierung, Rufschädigung oder die unbefugte Aufhebung einer Pseudonymisierung.

Art. 82 Abs. 2 DSGVO trifft Aussagen zum Haftungsumfang für Verantwortliche und Auftragsverarbeiter. Danach haftet jeder Verantwortliche, der an einer Verarbeitung beteiligt ist, grundsätzlich für den Schaden, der durch eine nicht mit der DSGVO vereinbare Verarbeitung entstanden ist. Unter „Beteiligung“ ist zu verstehen, dass der Beteiligte zwar Verantwortlicher für die Verarbeitung war, aber diese nicht durch ihn erfolgt sein muss, wie etwa im Rahmen einer Auftragsverarbeitung. Ein etwaiger Haftungsausgleich erfolgt nur im Innenverhältnis zwischen Auftragsverarbeiter und Verantwortlichem (s. Abs. 5) Ein Auftragsverarbeiter hingegen haftet nur dann für einen Schaden durch eine gegen die DSGVO verstoßende Verarbeitung, an der er beteiligt ist, wenn er seinen Pflichten als Auftragsverarbeiter (insbesondere Art. 28 DSGVO) durch die DSGVO nicht nachgekommen ist oder den Anweisungen des Verantwortlichen zuwidergehandelt hat bzw. diese ignoriert hat.

Ein Verantwortlicher oder Auftragsverarbeiter kann sich nach Abs. 3 jedoch von der Haftung gemäß Abs. 2 befreien (sog. „Exkulpation“), sofern er in keiner erdenklichen Weise für den Umstand verantwortlich ist, der den Schaden verursacht hat. Da die Verantwortung bzw. das Verschulden vermutet wird, muss er seine Unschuld selbst beweisen (Beweisführungslast). Dazu muss er durch Dokumentationen seiner Maßnahmen nachweisen können, dass er alle Vorgaben der DSGVO sowie delegierte Rechts- und Durchführungsakte umgesetzt hat. Hier gelten auch die Grundsätze der Mitarbeiterhaftung, weshalb für eine Entlastung kein Verschulden der beteiligten Mitarbeiter vorliegen darf.

Die gesamtschuldnerische Haftung wird durch Abs. 4 geregelt. Eine solche liegt vor, wenn mehrere Personen, in diesem Fall mehrere Verantwortliche und bzw. oder Auftragsverarbeiter, für denselben Schaden gemeinsam verantwortlich sind. Dabei kann sich der Anspruchsberechtigte bzw. Geschädigte aussuchen, wen er in Anspruch nehmen will. So soll sichergestellt werden, dass die geschädigte Person den vollständigen Schaden ersetzt bekommt. Hat ein in Anspruch genommener Schuldner den Schaden im Außenverhältnis komplett ersetzt, wird der Schaden anschließend zwischen den Beteiligten im Innenverhältnis ausgeglichen. Diesen sogenannten Innenausgleich regelt Abs. 5, wonach derjenige, der den Schaden ersetzt hat, den jeweiligen Anteil von den übrigen Verantwortlichen und Auftragsverarbeitern zurückfordern kann.

Abs. 6 regelt abschließend die Zuständigkeit der Gerichte. Danach sind Schadensersatzklagen vor den Gerichten zu erheben, die nach Art. 79 Abs. 2 DSGVO zuständig sind. In Deutschland unterliegt der Schadensersatzanspruch den Zivilgerichten.

Was hat sich geändert?


Die Reglung eines vergleichbaren Schadensersatzanspruchs sah schon Art. 23 der alten DSRL für die Mitgliedstaaten vor. Jedoch ließ der Artikel offen, welche Art von Schaden (materiell oder immateriell) vorliegen muss und ob neben einem Verantwortlichen auch Auftragsverarbeiter anspruchsverpflichtet sein können. Durch Art. 82 DSGVO wurden die Voraussetzungen für einen solchen Anspruch präzisiert, sodass dem bislang untergeordneten Schadensersatzanspruch voraussichtlich auch eine größere Bedeutung zukommt.

Welchen Zweck hat Art. 82 DSGVO und welche Folgen ergeben sich daraus?
 

Der Schadensersatzanspruch gegen Verantwortliche und Auftragsverarbeiter dient sowohl general-repressiven (Strafverfolgung) als auch präventiven (Gefahrenabwehr) Zwecken. Er sorgt für den Ausgleich erlittener Schäden von betroffenen Personen und beugt weiteren Verstößen vor, sodass ein zusätzlicher Anreiz für Sicherheitsmaßnahmen von Verantwortlichen und Auftragsverarbeitern zu erwarten ist. Vor dem Hintergrund dieser Vorschrift, i. V. m. Art. 77-81, 83, 84 DSGVO, sollten Sie als Verantwortlicher oder Auftragsverarbeiter nochmals Ihre Sicherheitsvorkehrungen für die Datenverarbeitungen überprüfen. Falls Sie diesbezüglich noch gar keine Vorkehrungen getroffen haben, hilft Ihnen auch gerne ein von uns bereitgestellter externer Datenschutzbeauftragter bei diesen Maßnahmen.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr