Das Amtsgericht Bochum hatte darüber zu entscheiden, ob eine Betroffene Schadensersatz von Ihrer Betreuerin verlangen kann. Eine Betreute beklagte sich darüber, dass ihre Betreuerin Daten und Informationen an den Vermieter weitergegeben hatte und verlangte auf der Grundlage von Art. 82 DSGVO Schadensersatz. Sie konnte allerdings nicht genau angeben welche Daten wann genau weitergegeben worden sind. Das Amtsgericht führte aus, dass auch Wohnangelegenheiten zum Aufgabenkreis der Betreuung gehörten und sah in Art. 6 DSGVO eine Rechtsgrundlage für die Verarbeitung ohne näher auf die konkrete Rechtsgrundlage einzugehen. Einzig in der unverschlüsselten Übersendung einer Bestellungsurkunde der Betreuerin an den Prozessbevollmächtigten der Betreuten sah sie einen Verstoß aus Art. 32 DSGVO. Aber auch hier konnte die Betreute nicht darlegen, dass der Inhalt der E-Mail Unbefugten zur Kenntnis gelangt war.
Das Amtsgericht kam zu dem Schluss, dass nicht erkennbar ist, dass wegen eines Verstoßes aus Art. 32 DSGVO der Betreuten ein materieller oder immaterieller Schaden entstanden sei und wies einen Anspruch aus Art. 82 DSGVO zurück.
Dieser Fall zeigt, dass zwischen Bußgeld und Schadensersatz unterschieden werden muss.
Nach Art. 83 Abs. 4 a) DSGVO können die Aufsichtsbehörden Geldbußen verhängen, wenn ein Verantwortlicher gegen seine Pflichten aus Art. 32 DSGVO verstößt. Art. 32 DSGVO fordert geeignete technische und organisatorische Maßnahmen, die nach Art. 32 Abs. 1 lit. a DSGVO auch die Verschlüsselung personenbezogener Daten einschließt. Da die E-Mail unverschlüsselt versendet worden war, liegt hierin ein Verstoß, der durchaus zu einem Bußgeld führen kann.
Demgegenüber besteht ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO nur dann, wenn ein materieller oder immaterieller Schaden entstanden ist. Der Rechtsstreit über Schadensersatz ist ein zivilrechtliches Verfahren. Im Zivilprozessrecht gilt, dass anspruchsbegründende Tatsachen von der Partei vorzutragen sind, die den Anspruch geltend machen. Wenn die Betreute Schadensersatz verlangt, muss sie schlüssig vortragen, dass ihr ein Schaden entstanden ist und, wenn der Vortrag von der Gegenseite bestritten wird, dafür auch den Beweis führen. Wenn dies nicht geschieht, hat eine Klage auf Schadensersatz keinen Erfolg.
Im zivilrechtlichen Rahmen stellt Art. 82 Abs. 3 DSGVO zwar klar, dass der Verantwortliche einen Entlastungsbeweis führen muss, wenn ein Schaden eingetreten ist. Hier fehlte es aber schon an der Darlegung, dass ein Schaden vorliegt. Daher kam die Betreuerin nicht in die Verlegenheit, einen Entlastungsbeweis führen zu müssen.
Fazit
Aufsichtsbehörden können bereits bei Verstößen gegen die DSGVO Bußgelder verhängen. Dazu muss kein Schaden eingetreten sein.
Anders sieht dies für Betroffene aus. Diese müssen im Zivilprozess darlegen, dass ihnen ein Schaden entstanden ist. Dann ist der Verantwortliche nach Art. 82 Abs. 3 DSGVO in der Pflicht einen Entlastungsbeweis dergestalt zu führen, dass er nicht für den Schadenseintritt verantwortlich ist.
In der Regel wird ein Betroffener für den Datenschutz also mehr erreichen, wenn er sich im Rahmen einer Beschwerde an eine Aufsichtsbehörde wendet.