Rz. 24
Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter (Art. 82 Abs. 1 DSGVO). Haftungsgrund ist eine unzulässige oder unrichtige Verarbeitung personenbezogener Daten. Vom Schutzbereich der Norm umfasst ist der gesamte "Lebenslauf" eines Datums. Die Annahme eines nach Art. 82 Abs. 1 DSGVO relevanten Verstoßes ist nicht davon abhängig, dass der Verstoß zugleich eine Ordnungswidrigkeit (Art. 83 DSGVO) oder gar eine Straftat (§ 42 BDSG-Neu) darstellt.
Rz. 25
Dem Betroffenen muss durch die unzulässige bzw. unrichtige Verarbeitung ein Schaden entstanden sein. Art. 82 Abs. 1 DSGVO enthält lediglich den haftungsbegründenden Tatbestand. Der haftungsausfüllende Tatbestand ist den §§ 249 ff. BGB zu entnehmen. Ein Schaden liegt nach der Differenzhypothese in jedem wirtschaftlichen Vermögensnachteil, den die betroffene Person ohne die Verletzung datenschutzrechtlicher Vorschriften nicht erlitten hätte. Der Vermögensnachteil kann auch in, zur Verfolgung von Rechten notwendigen Aufwendungen bestehen. Die unzulässige bzw. unrichtige Datenverwendung muss kausal für den eingetretenen Schaden geworden sein.
Rz. 26
Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den, durch eine Verarbeitung verursachten Schaden nur, wenn er seinen speziell auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist. Dies gilt auch für Schäden, die durch Nichtbeachtung oder Zuwiderhandlung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen entstanden sind (Art. 82 Abs. 2 DSGVO). Soweit ein Auftragsverarbeiter neben einem Verantwortlichen in Anspruch genommen wird, haften beide als Gesamtschuldner. Gleiches gilt, soweit mehrere gemeinsam oder getrennt Verantwortliche die Schadensursache gesetzt haben (Art. 82 Abs. 4 DSGVO). Hat ein Verantwortlicher oder Auftragsverarbeiter vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser berechtigt, von den übrigen, an derselben Verarbeitung Beteiligten, für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadensersatzes zurückzufordern, der ihrem Anteil an der Verantwortung für den Schaden entspricht (Art. 83 Abs. 5 DSGVO).