Rz. 73
Die Vorschriften zum Sozialdatenschutz enthalten seit dem 25.5.2018 keine Regelungen zum Schadenersatz mehr; es gilt unmittelbar Art. 82 DSGVO. Es gibt keine ergänzenden oder einschränkenden Regelungen im Sozialdatenschutz dazu, da Art. 82 DSGVO keine erforderliche Öffnungsklausel enthält.
§ 82 SGB X, der bis 24.5.2018 den Schadenersatz regelte, sofern ein Sozialleistungsträger einer betroffenen Person einen Schaden durch unzulässige oder unrichtige Verarbeitung seiner Sozialdaten zufügte, hat durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Gesetze v. 17.7.2017 (BGBl. I S. 2541) einen anderen Regelungsinhalt erhalten (vgl. Komm. zu § 82 SGB X).
2.9.2.1 Schadenersatz
Rz. 74
Ziel der DSGVO ist es, dass jede betroffene Person einen vollständigen und wirksamen Schadenersatz für einen erlittenen Schaden erhalten soll. Der Begriff des Schadens soll dabei weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung (Art. 1 DSGVO) in vollem Umfang entspricht (EG 146 DSGVO).
Art. 82 Abs. 1 DSGVO formuliert in diesem Sinn, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.
Rz. 75
Art. 82 DSGVO stellt klar, dass sowohl materielle als auch immaterielle Schäden zu ersetzen sind.
Immaterielle Schäden sind im deutschen Recht in § 253 Abs. 2 BGB definiert: "Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden."
Rz. 76
Zur Höhe des Schadenersatzes enthält die DSGVO keine Regelungen; auch die EG der DSGVO enthalten dazu keine Aussage. Die betroffene Person ist an dieser Stelle zunächst gefordert, im Rahmen der Geltendmachung ihres Anspruches auf Schadenersatz diesen auch der Höhe nach zu begründen. Dies dürfte regelmäßig bei materiellen Schäden relativ problemlos und nachvollziehbar möglich sein.
Rz. 77
Schwieriger ist die Ermittlung eines Schadenersatzes für immaterielle Schäden (Schmerzensgeld), z. B. durch unzulässige Übermittlung medizinischer Daten. Während nach § 253 Abs. 1 BGB verlangt wird, dass sich der Anspruch auf Erstattung des immateriellen Schadens aus einer konkreten gesetzlichen Grundlage ergibt, wird diese Forderung in § 253 Abs. 2 BGB für die "billige Entschädigung in Geld", das sog. Schmerzensgeld, durchbrochen, wenn wegen einer "Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung" Ersatz des immateriellen Schadens zu leisten ist.
Das Schmerzensgeld hat nach der Rechtsprechung des BGH eine doppelte Funktion: Die betroffene Person soll einen Ausgleich für erlittene Schmerzen und Leiden erhalten und in die Lage versetzt werden, sich Erleichterungen und Annehmlichkeiten zu verschaffen, die die erlittenen Beeinträchtigungen jedenfalls teilweise ausgleichen (Ausgleichsfunktion). Die Höhe des Schmerzensgeldes ist daher unter Berücksichtigung aller maßgebenden Umstände festzusetzen und hat in einem angemessenen Verhältnis zu Art und Dauer der Verletzung zu stehen.
2.9.2.2 Haftung
Rz. 78
Verantwortliche und Auftragsverarbeiter sind nur dann von ihrer Haftung befreit, wenn sie nachweisen können, dass sie in keiner Weise für den Schaden verantwortlich sind (Art. 82 Abs. 3 DSGVO). Hinweise, wie dieser Nachweis geführt werden kann, enthält z. B. Art. 24 DSGVO, nach dem ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO als Faktor/Gesichtspunkt für einen solchen Nachweis herangezogen werden kann (vgl. auch Rz. 48).
Rz. 79
Der Verantwortliche oder auch ggf. mehrere Verantwortliche und der oder die Auftragsverarbeiter haften nach Art. 82 Abs. 4 DSGVO jeder "für den gesamten Schaden, damit ein wirksamer Schadenersatz für die betroffene Person sichergestellt ist". Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen und den Teil des Schadens zurückfordern, der ihrem Anteil an den Schaden entspricht (Art. 82 Abs. 5 DSGVO).
Rz. 80
Weitere Anspruchsgrundlagen bleiben der Amtshaftungsanspruch nach Art. 34 GG i. V. m. § 839 BGB oder – gegenüber den privatrechtlich organisierten Verbänden und Arbeitsgemeinschaften – nach § 823 Abs. 2 BGB der Anspruch aus unerlaubter Handlung. In diesen beiden Fällen muss allerdings Verschulden vorliegen. Die Anspruchsgrundlagen gelten auch für juristische Personen (Betriebs- und Geschäftsgeheimnisse).