§ 11 Rechtsbehelfe, Haftung, Geldbußen und Sanktionen / B. Rechtsstellung der betroffenen Person

I. Beschwerderecht

1. Inhalt

Rz. 20

Art. 77 Abs. 1 DSGVO gibt jeder betroffenen Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat

▪	ihres Aufenthaltsorts,
▪	ihres Arbeitsplatzes oder
▪	des Orts des mutmaßlichen Verstoßes,

wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Nach Art. 80 Abs. 1 DSGVO kann sich die betroffene Person bei Ausübung des Beschwerderechtes zudem durch eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist (bspw. Verbraucherschutzorganisationen,. Schuldnerverbände usw.) vertreten lassen.

Rz. 21

Die Aufsichtsbehörde trifft die Verpflichtung, sich mit einer Beschwerde der betroffenen Person zu befassen und die betroffene Person innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis zu setzen (Art. 78 Abs. 2 DSGVO).

2. Rechtsbehelfe

Rz. 22

Art. 78 Abs. 1 DSGVO gibt dem Betroffenen das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen ihn betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. Für den Fall, dass die Aufsichtsbehörde sich entschließt, auf eine Beschwerde der betroffenen Person hin nicht, nicht hinreichend oder nicht rechtzeitig gegen den Verantwortlichen oder den Auftragsverarbeiter vorzugehen, steht der betroffenen Person eine unmittelbare Klagebefugnis gegen die Aufsichtsbehörde zu.

Rz. 23

Nach § 20 Abs. 1 BDSG-Neu ist für eine Klage gegen die Aufsichtsbehörde der Verwaltungsrechtsweg eröffnet. Örtlich zuständig ist das Verwaltungsgericht, in dessen Bezirk die Aufsichtsbehörde, an die die Beschwerde gerichtet wurde, ihren Sitz hat (§ 20 Abs. 3 DSGVO). Ein Vorverfahren findet nicht statt.

II. Recht auf Schadenersatz

1. Inhalt

Rz. 24

Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter (Art. 82 Abs. 1 DSGVO). Haftungsgrund ist eine unzulässige oder unrichtige Verarbeitung personenbezogener Daten. Vom Schutzbereich der Norm umfasst ist der gesamte "Lebenslauf" eines Datums. Die Annahme eines nach Art. 82 Abs. 1 DSGVO relevanten Verstoßes ist nicht davon abhängig, dass der Verstoß zugleich eine Ordnungswidrigkeit (Art. 83 DSGVO) oder gar eine Straftat (§ 42 BDSG-Neu) darstellt.

Rz. 25

Dem Betroffenen muss durch die unzulässige bzw. unrichtige Verarbeitung ein Schaden entstanden sein. Art. 82 Abs. 1 DSGVO enthält lediglich den haftungsbegründenden Tatbestand. Der haftungsausfüllende Tatbestand ist den §§ 249 ff. BGB zu entnehmen. Ein Schaden liegt nach der Differenzhypothese in jedem wirtschaftlichen Vermögensnachteil, den die betroffene Person ohne die Verletzung datenschutzrechtlicher Vorschriften nicht erlitten hätte. Der Vermögensnachteil kann auch in, zur Verfolgung von Rechten notwendigen Aufwendungen bestehen. Die unzulässige bzw. unrichtige Datenverwendung muss kausal für den eingetretenen Schaden geworden sein.

Rz. 26

Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den, durch eine Verarbeitung verursachten Schaden nur, wenn er seinen speziell auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist. Dies gilt auch für Schäden, die durch Nichtbeachtung oder Zuwiderhandlung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen entstanden sind (Art. 82 Abs. 2 DSGVO). Soweit ein Auftragsverarbeiter neben einem Verantwortlichen in Anspruch genommen wird, haften beide als Gesamtschuldner. Gleiches gilt, soweit mehrere gemeinsam oder getrennt Verantwortliche die Schadensursache gesetzt haben (Art. 82 Abs. 4 DSGVO). Hat ein Verantwortlicher oder Auftragsverarbeiter vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser berechtigt, von den übrigen, an derselben Verarbeitung Beteiligten, für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadensersatzes zurückzufordern, der ihrem Anteil an der Verantwortung für den Schaden entspricht (Art. 83 Abs. 5 DSGVO).

2. Rechtsbehelfe

Rz. 27

Die Geltendmachung von Schadensersatzansprüchen gegenüber einem Verantwortlichen oder Auftragsverarbeiter kann bei dem Gericht des Ortes erhoben werden, an dem sich eine Niederlassung des Verantwortlichen oder Auftragsverarbeiters befindet. Klagen können auch bei dem Gericht des Ortes erhoben werden, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat (§ 44 Abs. 1 BDSG-Neu).

Hat der Verantwortliche oder Auftragsverarbeiter einen Vertreter nach Art. 27 Abs. 1 DSGVO benannt, gilt dieser auch als bevollmächtigt, Zustellungen in zivilgerichtlichen Verfahren entgegenzunehmen. § 184 der Zivil...