2.9.1 Verwendungsverbot
Rz. 72
Die Verarbeitung von Sozialdaten ist immer dann unbefugt, wenn sie nicht auf der Grundlage einer entsprechenden Vorschrift des 2. Kapitels SGB X oder der übrigen Bücher des SGB geschieht, sofern nicht die DSGVO gilt.
Solche unbefugt verarbeitet Sozialdaten dürfen von keiner Person oder Stelle verwendet werden; auch nicht für gerichtliche Verfahren. Kommt es zu einer unzulässigen Datenübermittlung, haben die Sozialleistungsträger in Anlehnung an § 78 SGB X als schadensbegrenzende Maßnahme gegenüber dem Empfänger der Daten ein Verwendungs- oder Verwertungsverbot auszusprechen. Nach § 78 Abs. 1 SGB X haben Stellen, die nicht in § 35 genannt sind und denen Sozialdaten übermittelt wurden, diese nur zu dem Zweck zu verarbeiten oder zu nutzen, zu dem sie ihnen befugt übermittelt wurden. Im Umkehrschluss ergibt sich daraus, dass unbefugt übermittelte Sozialdaten nicht verwendet werden dürfen. Näheres zu den Möglichkeiten und Grenzen eines Verwendungsverbotes kann der Komm. zu § 78 SGB X entnommen werden.
2.9.2 Haftung und Recht auf Schadenersatz (Art. 82 DSGVO)
Rz. 73
Die Vorschriften zum Sozialdatenschutz enthalten seit dem 25.5.2018 keine Regelungen zum Schadenersatz mehr; es gilt unmittelbar Art. 82 DSGVO. Es gibt keine ergänzenden oder einschränkenden Regelungen im Sozialdatenschutz dazu, da Art. 82 DSGVO keine erforderliche Öffnungsklausel enthält.
§ 82 SGB X, der bis 24.5.2018 den Schadenersatz regelte, sofern ein Sozialleistungsträger einer betroffenen Person einen Schaden durch unzulässige oder unrichtige Verarbeitung seiner Sozialdaten zufügte, hat durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Gesetze v. 17.7.2017 (BGBl. I S. 2541) einen anderen Regelungsinhalt erhalten (vgl. Komm. zu § 82 SGB X).
2.9.2.1 Schadenersatz
Rz. 74
Ziel der DSGVO ist es, dass jede betroffene Person einen vollständigen und wirksamen Schadenersatz für einen erlittenen Schaden erhalten soll. Der Begriff des Schadens soll dabei weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung (Art. 1 DSGVO) in vollem Umfang entspricht (EG 146 DSGVO).
Art. 82 Abs. 1 DSGVO formuliert in diesem Sinn, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.
Rz. 75
Art. 82 DSGVO stellt klar, dass sowohl materielle als auch immaterielle Schäden zu ersetzen sind.
Immaterielle Schäden sind im deutschen Recht in § 253 Abs. 2 BGB definiert: "Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden."
Rz. 76
Zur Höhe des Schadenersatzes enthält die DSGVO keine Regelungen; auch die EG der DSGVO enthalten dazu keine Aussage. Die betroffene Person ist an dieser Stelle zunächst gefordert, im Rahmen der Geltendmachung ihres Anspruches auf Schadenersatz diesen auch der Höhe nach zu begründen. Dies dürfte regelmäßig bei materiellen Schäden relativ problemlos und nachvollziehbar möglich sein.
Rz. 77
Schwieriger ist die Ermittlung eines Schadenersatzes für immaterielle Schäden (Schmerzensgeld), z. B. durch unzulässige Übermittlung medizinischer Daten. Während nach § 253 Abs. 1 BGB verlangt wird, dass sich der Anspruch auf Erstattung des immateriellen Schadens aus einer konkreten gesetzlichen Grundlage ergibt, wird diese Forderung in § 253 Abs. 2 BGB für die "billige Entschädigung in Geld", das sog. Schmerzensgeld, durchbrochen, wenn wegen einer "Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung" Ersatz des immateriellen Schadens zu leisten ist.
Das Schmerzensgeld hat nach der Rechtsprechung des BGH eine doppelte Funktion: Die betroffene Person soll einen Ausgleich für erlittene Schmerzen und Leiden erhalten und in die Lage versetzt werden, sich Erleichterungen und Annehmlichkeiten zu verschaffen, die die erlittenen Beeinträchtigungen jedenfalls teilweise ausgleichen (Ausgleichsfunktion). Die Höhe des Schmerzensgeldes ist daher unter Berücksichtigung aller maßgebenden Umstände festzusetzen und hat in einem angemessenen Verhältnis zu Art und Dauer der Verletzung zu stehen.
2.9.2.2 Haftung
Rz. 78
Verantwortliche und Auftragsverarbeiter sind nur dann von ihrer Haftung befreit, wenn sie nachweisen können, dass sie in keiner Weise für den Schaden verantwortlich sind (Art. 82 Abs. 3 DSGVO). Hinweise, wie dieser Nachweis geführt werden kann, enthält z. B. Art. 24 DSGVO, nach dem ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO als Faktor/Gesichtspunkt für einen solchen Nachweis herangezogen werden kann (vgl. auch Rz. 48).
Rz. 79
Der Verantwortliche oder auch ggf. mehrere Verantwortliche und der oder die Auftragsverarbeiter haften nach Art. 82 Abs. 4 DSGVO jeder "für den gesamten Schaden, damit ein wirksamer Schadenersatz für die betroffene Person sichergestellt ist". Jeder Verantwortliche oder Auftragsverarbeiter, der den...