Denn
- „Jede Person, der wegen eines Verstoßes gegen diese Verordnung [gemeint ist die DSGVO] ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ (Art. 82 Abs. 1 DSGVO).
es sei denn, der Verantwortliche oder der Auftragsverarbeiter kann nachweisen,
- dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. (Art. 82 Abs. 3 DSGVO).
Wie bereits aus anderen Instrumentarien der DSGVO bekannt, ist auch dieser Anspruch rein vom Gesetzeswortlaut her an keine großen Voraussetzungen geknüpft. Demnach reicht es bereits auch, dass ein irgendwie gearteter Verstoß gegen die datenschutzrechtlichen Vorschriften vorliegt und sich der Verantwortliche nicht exkulpieren kann. Verantwortliche treffen folglich nicht nur die ohnehin schon arbeitsintensiven Betroffenenrechte der Art. 15ff. DSGVO sowie ggf. behördliche Bußgelder, sondern auch Schadensersatzansprüche der jeweils betroffenen Personen – und zwar nicht nur wirtschaftlich „messbare“ materielle Schäden, sondern auch immaterielle Schäden.
Während im deutschen Recht an Schadensersatzansprüche regelmäßig weitere Voraussetzungen geknüpft werden, ist gegenwärtig umstritten, ob dies auch für Ansprüche gilt, die dem EU-Recht entstammen. Wäre dem so, könnte an die Norm des Art. 82 DSGVO durchaus höhere Anforderungen gestellt werden, was diesem deutlich den Wind aus den Segeln nähme.
Für diese Annahme spricht jedoch zunächst nichts. Bereits aus den der DSGVO vorgeschalteten Erwägungsgründen ergibt sich, dass der Schadensbegriff weit zu verstehen ist (vgl. EWG 146). Dies deckt sich freilich mit den selbstgesetzten Zielen des EU-Gesetzgebers: Abschreckung, Prävention und empfindliche Sanktionen bei Verstößen. Ferner werden im Erwägungsgrund 75 beispielhaft mögliche Schäden aufgezeigt, die als Schadenspositionen für Datenschutzverstöße herangezogen werden können. Hierzu zählen insbesondere Diskriminierung, Identitätsdiebstahl, Rufschädigung oder Verlust der Vertraulichkeit bei Berufsgeheimnisträgern. Letzteres dürfte insbesondere im Gesundheitssektor, aber auch in der Anwaltschaft eine zentrale Rolle spielen.
Versuche in der deutschen (meist untergerichtlichen) Rechtsprechung, den Anspruch des Art. 82 DSGVO an höhere Voraussetzungen zu knüpfen, haben in der Vergangenheit einen empfindlichen und deutlichen Dämpfer des Bundesverfassungsgerichts erhalten. So entschied das AG Goslar in seinem Urteil vom 27.09.2019, Az. 28 C 7/19 gegen das Schadensersatzbegehr eines Rechtsanwaltes, der eine (unzulässige) Werbe-E-Mail auf seinen dienstlichen E-Mail Account erhalten hatte. Zur Begründung führte das Gericht aus, dass mangels Erheblichkeit kein Schaden beim Kläger entstanden sei. In der sich hieran anschließenden Verfassungsbeschwerde urteilte das Bundesverfassungsgericht, dass das AG Goslar die Grenzen seiner Entscheidungsbefugnis unter Verletzung des Art. 101 Abs. 1 Satz 2 GG überschritten habe. Denn dieses hätte als hier letztinstanzliches Gericht die ungeklärte Rechtsfrage nach der tatbestandlichen Ausgestaltung des datenschutzrechtlichen Auskunftsanspruches dem EuGH vorlegen müssen.