Seit dem 25.Mai 2018 gilt die neue Datenschutz-Grundverordnung in Deutschland und ganz Europa. Unternehmen müssen sich daran halten, ansonsten können Betroffene Schadenersatz erhalten und es drohen Bußgelder.
Die neue DSGVO regelt das Datenschutz-Recht, also den Umgang von Unternehmen mit personenbezogenen Daten. Wichtig: sie gilt jetzt einheitlich und europaweit. Die Datenschutz-Grundverordnung gilt auch für Unternehmen mit Sitz außerhalb der Europäischen Union, wenn diese Daten von EU-Bürgern verarbeiten oder eine Niederlassung in der Europäischen Union haben.
Denn es war ja gerade Ziel der Datenschutz-Grundverordnung, die Großen wie Facebook, Google und Twitter zu regulieren. Die haben sich bislang oftmals hinter US-amerikanischem Recht versteckt. Das geht jetzt nicht mehr.
Personenbezogene Daten sind geschützt
Personenbezogene Daten sind Daten, die nicht vollständig anonym erhoben werden, sondern einer bestimmten Person zugeordnet werden können. Das sind zum Beispiel der Name der Person (na logisch), die Anschrift, das Einkommen, die Ausbildung, aber auch – und da wird es wichtig – das Kauf-, Surf- und Klick-Verhalten sowohl offline wie online einzelner Verbraucher und Nutzer, verbunden mit der jeweiligen IP-Adresse. Aber auch E-Mail-Adressen, das Geburtsdatum und Gesundheitsdaten sind personenbezogene Daten, wie auch Fotos personenbezogene Daten sind, die jetzt unter den Anwendungsbereich der Datenschutz-Grundverordnung fallen. Die Möglichkeit einer Identifizierung reicht aus.
Schadenersatz wegen Verstoß gegen die Datenschutzgrundverordnung
Seit vier Jahren gibt es das neue Gesetz nun und inzwischen liegen erste Erfahrungen für Schadenersatz vor. Nach dem alten Bundesdatenschutzgesetz gab es nur den materiellen Schadenersatz. Das heißt man musste materiell einen Schaden haben. Das bedeutet, dass das Opfer eine Vermögensminderung erleidet und die Vermögensminderung wurde durch den Datenschutzverstoß hervorgerufen. Mit anderen Worten: Schadenersatz war äußerst selten. Heute gilt, dass auch immateriellen Schäden erstattet werden müssen. Das betrifft zum Beispiel die Ehre. Natürlich streiten die Gerichte und manche Richter meinen, dass bei Bagatellen kein Schadenersatz ausgesprochen werden muss. Die deutschen Richter haben das Kriterium der Erheblichkeitsschwelle des Schadens erfunden. Die Rolle spielt also beim Schadenersatz die Schwere der Persönlichkeitsrechtsverletzung. Über Art. 82 DSGVO steht betroffenen Personen ein eigener deliktischer Anspruch gegen datenverarbeitende Unternehmen zu. Urteile sprechen Schadenersatz von ungefähr 300 € bis 5.000 € zu.