FAQ

„Verantwortlicher“ im Sinne der Legaldefinition ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zweckeund Mittel der Verarbeitung von personenbezogenen Datenentscheidet.

Seit 25. Mai 2018 gilt die neue Datenschutzgrundverordnung. Seither herrscht Beunruhigung in vielen kleinen und mittelständischen Unternehmen (KMU). Es geht um den  § 38 BDSG (Datenschutzbeauftragte nichtöffentlicher Stellen). Darin ist unter anderem festgeschrieben, dass Unternehmen einen Datenschutzbeauftragten brauchen, wenn sie mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der Bundestag brachte am 27.06.2010 die entlastende Änderung auf dem Weg, nach der diese Zahl von 10 auf 20 Personen, welche sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, erhöht werden soll. Der Bundesrat hat am 20.09.2019 dem vom Bundestag zuvor verabschiedeten Gesetz zugestimmt. Nach Veröffentlichung im Bundesgesetzblatt wird es dann einen Tag nach Verkündung in Kraft treten. 

Hierbei darf allerdings nicht übersehen werden, dass das nationale Gesetz, § 38 BDSG, nur die europäische Regelung in Art. 37 Abs. 1 DSGVO ergänzt und demzufolge diese ebenfalls zu beachten ist. 

Nach Art. 37 Abs. 1 DSGVO sollen neben den Behörden und öffentlichen auch nicht öffentliche Verantwortliche und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet sein, soweit ihre Kerntätigkeit in der Durchführung umfangreicher, regelmäßiger und systematischer Überwachungen von betroffenen Personen besteht. Der Begriff der Kerntätigkeit eines Verantwortlichen bezieht sich auf die „Haupttätigkeiten“ und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Als „Kerntätigkeit“ lassen sich die wichtigsten Arbeitsabläufe eines Verantwortlichen oder Auftragsverarbeiters bezeichnen, die zur Erreichung der (wirtschaftlichen) Ziele erforderlich sind.

Schließlich sollen alle Verantwortlichen und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragen verpflichtet sein, deren Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO liegt. In Art. 9 Abs. 1 DSGVO heißt es wörtlich:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Aus vorstehenden Gründen kommt es nicht allein darauf an, wie viele Mitarbeiter sich mit der automatisierten Datenverarbeitung personenbezogener Daten befassen, sondern die anderen genannten Kriterien können ebenfalls dazu führen, dass ein Datenschutzbeauftragter zwingend zu bestellen ist.

Dazu gehören unter folgende Aufgaben und Tätigkeiten:

• Prüfung der Verfahren zur Information Ihrer Kunden bei erstmaliger Erhebung von personenbezogenen Daten.
• Prüfung der Zulässigkeit der Verfahren zur Erhebung und Verarbeitung personenbezogener Daten Ihrer Kunden und Lieferanten (Vorabkontrolle).
• Prüfung der Verfahren zur Erhebung und Verarbeitung Ihrer Beschäftigtendaten (Personalakten, Zeiterfassung, Bewerbermanagement).
• Prüfung der Verfahren im Bereich Marketing und Vertrieb mit Einhaltung von Informationspflichten gegenüber Betroffenen und Werbewidersprüchen.Prüfung der Verfahren zur Berichtigung, Sperrung und Löschung gespeicherter personenbezogener Daten.
• Prüfung der getroffenen technischen und organisatorischen Maßnahmen (§ 9 Bundesdatenschutzgesetz) zum Datenschutz.
• Schulung Ihrer mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter hinsichtlich der relevanten Bestimmungen des Bundesdatenschutzgesetzes.
• Regelung des Verfahrens zur Verpflichtung Ihrer mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter auf das Datengeheimnis (§ 5 Bundesdatenschutzgesetz).
• Prüfung der bei Auftragsdatenverarbeitungen seitens Ihrer Auftragnehmer (Dienstleister) getroffenen technischen und organisatorischen Maßnahmen (§ 9 Bundesdatenschutzgesetz) zum Datenschutz.
• Prüfung von Videoüberwachungen in öffentlich und nicht-öffentlich zugänglichen Bereichen.
• Führung von Übersichten über die verarbeiteten personenbezogenen Daten und die zu ihrer Verarbeitung eingesetzten Datenverarbeitungsanlagen (interne Verarbeitungsübersichten, öffentliches Verfahrensverzeichnis).
• Erstellung von jährlichen Tätigkeitsberichten zum Nachweis eines wirkungsvollen Datenschutzes.

Bearbeitung von Anfragen Ihrer Kunden oder Lieferanten oder internen Stellen aus Ihrem Unternehmen zum Datenschutz.

• Regelungen zur Zutrittskontrolle (Gebäudesicherheit)
• Regelungen zur Zugangskontrolle (verschlossene Türen)
• Regelungen zur Zugriffskontrolle (verschlossene Schränke)
• Regelungen zur Weitergabekontrolle
• Regelungen zur Eingabekontrolle
• Regelungen zur Verfügbarkeitskontrolle

• EDV/System Administration Vertretung Regelung
• Netzpläne
• Berechtigungskonzept
• Software Übersicht
• Dokumentation über EDV-Einrichtung
• Virenschutzkonzept
• Passwortkonzept
• Firewallkonzept
• Systemkonfiguration
• Mobile Devices
• Datensicherungskonzept

Verschlüsslungskonzept

Eine Verpflichtung zur Meldung besteht dann, wenn mit einer hinreichenden Wahrscheinlichkeit angenommen werden kann, dass eine Datenschutzverletzung aufgetreten ist. Dies bedeutet, dass es zwar mehr als einen vagen Anfangsverdacht geben muss, dass bspw. eine unbefugte Datenweitergabe stattgefunden hat, eine vollständige Aufarbeitung aber nicht abgewartet werden darf.

Die 72 Stunden zählen ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung im Unternehmen festgestellt wurde. Dies bedeutet bspw., dass bei einer Verletzung, die am Donnerstag um 16:00 Uhr festgestellt wird, die Frist am Donnerstag/Freitag um 0:00 Uhr beginnt und am Sonntag um 23:59 Uhr endet. Wichtig ist dabei, dass bei der Berechnung auch Wochenenden und Feiertage mitgezählt und nicht nur Arbeitstage beachtet werden müssen.

Sofern Sie eine Datenschutzpanne in Thüringen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://www.tlfdi.de/tlfdi/wir/infomaterial-mustervordrucke/mustervordrucke/

Sofern Sie eine Datenschutzpanne in Bayern melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular beim Bayrischen Landesamt für Datenschutzaufsicht zu nutzen. Das Formular finden Sie unter: https://www.lda.bayern.de/de/datenpanne.html

Sofern Sie eine Datenschutzpanne in Hessen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular des Hessischen Landesbeauftragten für Datenschutz und Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://datenschutz.hessen.de/service/beschwerde

Sofern Sie eine Datenschutzpanne in Sachsen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular des Sächsischen Datenschutzbeauftragten zu nutzen. Das Formular finden Sie unter: https://www.saechsdsb.de/meldung-datenschutzverstoss

Sofern Sie eine Datenschutzpanne in Sachsen-Anhalt melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular des Landesbeauftragten für Datenschutz Sachsen-Anhalt zu nutzen. Das Formular finden Sie unter: https://datenschutz.sachsen-anhalt.de/service/online-formulare/datenschutzverletzung/?no_cache=1

Sofern Sie eine Datenschutzpanne in Baden-Württemberg melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online -Formular des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu nutzen. Das Formular finden Sie unter: https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/

Sofern Sie eine Datenschutzpanne in Berlin melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular des Berliner Beauftragten für Datenschutz und Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://www.datenschutz-berlin.de/wirtschaft-und-verwaltung/meldung-einer-datenpanne/datenpannenformular

Sofern Sie eine Datenschutzpanne im Saarland melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular der Landesbeauftragten für Datenschutz und Informationsfreiheit Saarland zu nutzen. Das Formular finden Sie unter: https://www.datenschutz.saarland.de/online-dienste/meldung-datenpanne

Sofern Sie eine Datenschutzpanne in Niedersachsen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular der Landesbeauftragten für Datenschutz zu nutzen. Das Formular finden Sie unter: https://www.navo.niedersachsen.de/navo2/portal/csend/8915/fileget/dsbeschwerdeformular.html

Sofern Sie eine Datenschutzpanne in Brandenburg melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zu nutzen. Das Formular finden Sie unter: https://www.lda.brandenburg.de/lda/de/service/formulare-und-musterschreiben/meldung-einer-datenschutzverletzung/

Sofern Sie eine Datenschutzpanne in Mecklenburg-Vorpommern melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Mecklenburg-Vorpommern zu nutzen. Das Formular finden Sie unter: https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/

Sofern Sie eine Datenschutzpanne in Nordrhein-Westfalen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen zu nutzen. Das Formular finden Sie unter: https://www.ldi.nrw.de/mainmenu_Aktuelles/Formulare-und-Meldungen/Inhalt2/Meldeformular—Verletzung-des-Schutzes-personenbezogener-Daten/Meldeformular—Verletzungen-des-Schutzes-personenbezogener-Daten.html

Sofern Sie eine Datenschutzpanne in Schleswig-Holstein melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular der Landesbeauftragten für Datenschutz Schleswig-Holstein zu nutzen. Das Formular finden Sie unter: https://www.datenschutzzentrum.de/meldungen/

Sofern Sie eine Datenschutzpanne in Hamburg melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://datenschutz-hamburg.de/meldung-databreach

Sofern Sie eine Datenschutzpanne in Bremen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular der Landesbeauftragten für Datenschutz und Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://www.datenschutz.bremen.de/wir_ueber_uns/online_meldungen/beschwerdeformular-15253

Die Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich auf ein Konzept zur Verhängung von Bußgeldern verständigt. Es sieht folgende Berechnungsschritte vor:

Die Bußgeldzumessung gegen Unternehmen erfolgt in fünf Schritten. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).

Einen Bußgeldrechner finden Sie unter:  https://www.dsgvo-portal.de/dsgvo-bussgeld-rechner.php

Da die Datenschutzgrundverordnung in allen Ländern der Europäischen Union gilt, wurden Bußgelder in allen Ländern verhangen. Einen aktuellen Überblick finden Sie unter www.dsgvo-portal.de.

Unter dem Begriff der „Personenbezogenen Daten“ im Sinne des Art. 4 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemeint. Dazu gehören unter anderem:

• Name,
• Geburtsdatum,
• Geschlecht,
• Konfession,
• Überzeugung,
• Handschrift (auch Telefonnummer und Emailadresse),
• Familienstand,
• äußeres Erscheinungsbild,
• Ausbildungsstand,
• Beruf,
• Leistungen,
• Einkommen,
• Kreditkartennummern,
• Passwörter,
• Eigenschaften,
• Kaufgewohnheiten,
• Gesundheitszustand,
• Ton und Bildaufnahmen,
• Angaben auf Fahrtenschreibern,
• Verkehrsdaten und
• Standortdaten.

„Verantwortlicher“ im Sinne der Legaldefinition ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zweckeund Mittel der Verarbeitung von personenbezogenen Datenentscheidet.

Der Begriff der Verarbeitung ist sehr weit gefasst. Nach  Art. 4 Nr. 2 DSGVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Zu den Grundsätzen der ordnungsgemäßen Verarbeitung von personenbezogenen Daten gehören gemäß  Art. 5 DSGVO:

• Sicherstellung einer transparenten, nachvollziehbaren und rechtskonformenDatenverarbeitung,
• Zweckbindung zwischen Erhebung und Verarbeitung,
• Beschränkung der Verarbeitung auf das notwendige Maß (Datenminimierung),
• Berichtigung oder Löschung unrichtiger Daten (Datenrichtigkeit),
• Begrenzung der Speicherung auf den erforderlichen Zeitraum
• Gewährleistung der Sicherheit der Daten gegenüber unrechtmäßiger Verarbeitung oder Verlust.

Jeder Verantwortliche ist gem. Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichnis muss dabei die folgenden Angaben enthalten:

• Name und Kontaktdaten des Verantwortlichen
• Name und Kontaktdaten des Datenschutzbeauftragten
• Zweck der Verarbeitung
• Beschreibung der Kategorien betroffener Personen
• Beschreibung der Kategorien personenbezogener Daten
• Aufzählung der Empfänger der personenbezogenen Daten
• Fristen für die Löschung der personenbezogenen Daten
• allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

In jedem Unternehmen, welches Mitarbeiter beschäftigt und Dienstleistungen für Dritte erbringt, finden sich üblicherweise die nachfolgenden Zwecke der Verarbeitung, welche in Ihr Verarbeitungsverzeichnis eingepflegt werden müssen.

• Finanzbuchführung
• Lohnbuchführung
• Mitarbeiterstammdaten
• Bewerbermanagement
• Kundenstammdaten
• Angebote an Kunden
• Archivierung
• Dienstreisen
• Anwesenheitsübersicht
• Terminkalender
• Krankenstatistik
• Videoüberwachung
• Geburtstagsliste von Kollegen
• Geburtstagsliste von Kunden

Werden personenbezogene Daten im Auftrag des Verantwortlichen durch andere natürliche oder juristische Personen, Behörden, Einrichtungen oder Stellen verarbeitet, liegt eine Auftragsverarbeitung i. S. v. Art. 8 Abs. 1 DSGVO vor. Voraussetzung hierfür ist, dass die andere Stelle den Weisungen des Auftraggebers unterworfen ist und keine eigene Entscheidungsbefugnis darüber besitzt, wie sie mit den zur Verfügung gestellten Daten umgeht. Um die Einhaltung des Datenschutzes beidseitig sicher zu stellen, hat der Gesetzgeber in  Art. 28 Abs. 3 DSGVO vorgeschrieben, dass ein entsprechender Vertrag oder ein anderes Rechtsinstrument geschaffen werden muss. Dabei sind die dort genannten Mindestinhalte zu erfüllen.

Dazu gehören:

• Gegenstand/Dauer des Auftrags;
• Umfang, Art und Zweck der Datenverarbeitung;
• welche Art von Daten betroffen ist;
• die Angabe der Kategorien betroffener Personen;
• die Gewährleistung der Betroffenenrechte;
• Rechte und Pflichten des Auftraggebers;
• der Umfang der Weisungsbefugnisse des Auftraggebers;
• die Kontrollrechte des Auftraggebers inkl. der Duldungs- und Mitwirkungsrechte des Auftragsverarbeiters;
• die Pflichten des Auftragnehmers;
• das Recht des Auftragnehmers zum Einsatz von Subunternehmern;
• die Regelung wie und in welcher Form Verstöße mitzuteilen sind bis hin zur Regelung, wie Datenträger zurückgegeben werden müssen.

Nicht jede Verarbeitung von personenbezogenen Daten erfordert einen Auftragsverarbeitungsvertrag. Ein solcher Vertrag ist nur notwendig, wenn der Schwerpunkt der Tätigkeit des Beauftragten in der Datenverarbeitung liegt. Hiervon ausgenommen sind Firmen, die eine fachfremde Leistung erbringen oder eine Tätigkeit der Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte, externe Betriebsärzte und Wirtschaftsprüfer.

Keine Auftragsverarbeitungsverträge werden benötigt für:

• Bankinstitute für den Geldtransfer,
• Postdienste für den Brief- oder Pakettransport,
• Tätigkeit als WEG-Verwalter,
• Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung nach ZAG und den Mindestanforderungen der BaFin).

Nach der jüngsten Entscheidung des EuGH (vom 11.11.2020-C 61/19) sind Art.  2 lit. h u. Art.  7 lit. a DS-RL sowie Art.  4 Nr.  11 u. Art.  6 Abs.  1 lit. a DSGVO dahin gehend auszulegen, dass es dem für die Verarbeitung von Daten Verantwortlichen obliegt, nachzuweisen, dass die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet hat und dass sie vorher eine Information über alle Umstände im Zusammenhang mit dieser Verarbeitung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten hat, die sie in die Lage versetzt, die Konsequenzen dieser Einwilligung leicht zu ermitteln, sodass gewährleistet ist, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Daraus ergeben sich folgende Grundsätze:

Freiwilligkeit / Informiertheit / Bestimmtheit

Deshalb müsste der betroffenen Person auch immer mitgeteilt werden, dass sie diese Einwilligung jederzeit widerrufen kann. 

Ferner ist das Kopplungsverbot zu beachten. Das bedeutet, dass die Einwilligung auch nicht von der Erfüllung eines Vertrages bzw. die Erbringung einer Dienstleistung abhängig gemacht werden, Art. 7 Nr. 4 DSGVO.

Mit der Datenschutzgrundverordnung wurde auch ein neuer, unionsrechtlicher Anspruch auf materiellen und/oder immateriellen Schadensersatz gemäß Art. 82 DSGVO geschaffen.

Dieser Schadensersatz richtet sich gegen den sogenannten Verantwortlichen und den Auftragsverarbeiter. Besonders zu beachten ist, dass der Verantwortliche grundsätzlich für sämtliche Verordnungsverstöße bei der durch ihn veranlassten Datenverarbeitung, mithin auch für einen Verstoß seines Auftragsverarbeiters haftet. Anders als im deutschen Schadensrecht kann sich der Verantwortliche nicht für die Fehlleistungen seines Auftragsverarbeiters exkulpieren, d.h. entlasten.

Weiterhin ist auch eine gemeinsame Inanspruchnahme des Verantwortlichen und Auftragsverarbeiters als Gesamtschuldner möglich.

Besonders wichtig ist der Umstand, dass der Verantwortliche nicht nur für materielle, sondern auch immaterielle Schäden haftet. Bislang wurde ein immaterieller Schadensersatz in Deutschland nur äußerst zurückhaltend gewährt, dies könnte sich nun mit europäischer Gesetzgebung ändern.

Der Wortlaut des Gesetzes lässt vermuten, dass bereits der bloße Verstoß gegen die DSGVO ausreicht, um einen solchen Anspruch zu begründen. Dies wird aber derzeit von deutschen Gerichten nicht so gesehen. Wie das Gesetzes zu verstehen ist, wird sich erst im Laufe der nächsten Jahre durch die Rechtsprechung des Europäischen Gerichtshofes zeigen.

Im Moment führt der bloße Datenverlust regelmäßig noch nicht zu einem nachweisbaren materiellen Schaden. Aus diesem Grund wird das Schadensrisiko in diesem Segment derzeit als gering eingestuft.

Anders verhält es sich mit dem immateriellen Schaden. Bisher verlangen die deutschen Gerichte für einen solchen Schadensersatz, dass dem Betroffenen ein spürbarer Nachteil entstanden sein und eine objektiv nachvollziehbare , mit gewissen Gewicht erfolgte Beeinträchtigung von persönlichen Belangen einhergehen muss, d.h. dass der Betroffene eine spürbare Beeinträchtigung erfahre. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ist kein Schmerzensgeld zu gewähren.

Die DSGVO nennt zur näheren Konkretisierung in den Erwägungsgründen 75 und 85 etwa die Diskriminierung oder Rufschädigung. Das OLG Dresden hat in einer richtungsweisenden Entscheidung auch einen immateriellen Schadensersatz zugesprochen, wenn der „datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung“ ist.

Im Hinblick auf die Höhe des zugesprochenen Schadensersatzes betrug dieser für die Verletzung des § 823 Abs. 1 BGB im Zusammenhang mit einer Verletzung des Persönlichkeitsrechtes vielfach nur bis zu Euro 7.000. Im Bereich des immateriellen Schadensersatzes wurden größtenteils nicht mehr als Euro 1.000 zugesprochen.

Aber besonders im Bereich der Bemessung des Schmerzensgeldes wird eine Veränderung der Rechtssprechung erwartet. Es ist davon auszugehen, dass die Gerichte, ähnlich wie in anderen europäischen Ländern, auf der Grundlage der Verordnung vor dem Hintergrund des Effektivitätsgrundsatzes deutlich höhere Schadensummen zu sprechen.

Schließlich sollte beachtet werden, dass zur vereinfachten, gerichtlichen Durchsetzung dieser Schadensersatzansprüche der Gerichtsstand am Ort der Niederlassung des Verantwortlichen/ Auftragsverarbeiters oder das Gerichts am gewöhnlichen Aufenthaltsort des Betroffenen ist.

Insgesamt wird unter der Rechtsprechung des Europäischen Gerichtshofes die Durchsetzung solcher Ansprüche für den Betroffenen tendenziell erleichtert.