Antwort
Sie können Schadensersatz verlangen, wenn ein Unternehmen oder eine Organisation Datenschutzvorschriften verletzt hat und Ihnen materieller Schaden (z. B. finanzielle Verluste) oder immaterieller Schaden (z. B. seelische Schäden oder Rufschädigung) entstanden ist. Sie können den Anspruch gegenüber dem betroffenen Unternehmen bzw. der betroffenen Organisation oder vor nationalen Gerichten geltend machen. Sie können den Schadensersatzanspruch vor den Gerichten des EU-Mitgliedstaats erheben, in dem der Verantwortliche oder Auftragsverarbeiter eine Niederlassung hat. Alternativ können solche Verfahren vor den Gerichten des EU-Mitgliedstaates Ihres gewöhnlichen Aufenthalts anhängig gemacht werden.
Beispiel
Sie geben auf einer Website eine Bestellung auf. Die Website erleidet einen Cyberangriff, da sie nicht über angemessene Sicherheitsvorkehrungen verfügt. Ihre Kreditkartendaten wurden auf einer anderen Website eingegeben und dazu verwendet, Waren zu kaufen, die Sie nie bestellt haben. Sie können einen Schadensersatzanspruch gegen die erste Website aufgrund finanzieller Verluste geltend machen, da sie Datenschutzvorschriften verletzt hat, indem sie bei der Verarbeitung von Daten keine angemessenen Sicherheitsvorkehrungen getroffen hat.