Was müssen Betroffene für Schadenersatzansprüche bei DSGVO-Verstößen beweisen?

Der österreichische Oberste Gerichtshof (OGH) musste sich mit der Frage befassen, wie sich die Beweislast bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) nach Art. 82 DSGVO im Rahmen von Schadensersatzansprüchen verteilt. Eine Beweislastumkehr zugunsten des Betroffenen sah der OGH lediglich für das Verschulden. Der Anspruchsteller trägt dagegen die Beweislast hinsichtlich Eintritt und Höhe des Schadens sowie auch dem Zusammenhang zwischen Datenschutzverstoß und Schadenseintritt (Urteil vom 27. November 2019, Az.: 6 Ob 217/19h).

Der Fall

Im vorliegenden Fall wurde dem Kläger ein Kredit verwehrt, da die Bonitätsauskunft einer Auskunftei Informationen zu einem anhängigen Inkassoverfahren enthielt. Diese Informationen waren jedoch nicht richtig. Der Kläger gab an, dass er aufgrund dieser falschen Auskunft einen Kredit bei einer anderen Bank zu höheren Konditionen abschließen musste.

Tipp: Wir kommentieren regelmäßig Urteile zur DSGVO bzw. zum Datenschutzrecht sowie deren Bedeutung für Praxis im Unternehmen!

Das Urteil

Das Gericht verneinte den Anspruch des Klägers, da dieser nicht alle für die Bejahung des Schadenersatzanspruchs notwendigen Beweise vorbringen konnte. Im Falle eines Verstoßes gegen Vorschriften gegen die DSGVO ist Rechtsgrundlage für einen solchen Anspruch Art. 82 DSGVO. Dessen Voraussetzungen sind

  1. der Eintritt eines Schadens,
  2. eine rechtswidrige Handlung des Schädigers die zu diesem Schaden geführt hat sowie
  3. auch ein Nachweis über die Höhe des eingetretenen Schadens.

Zwar beinhaltet Art. 82 Abs. 3 DSGVO eine Beweislastumkehr zulasten des Verantwortlichen hinsichtlich des Verschuldens. Alle anderen Tatbestandvoraussetzungen muss aber der Anspruchsteller nachweisen. Hiernach muss der Verantwortliche nur den Entlastungsbeweis führen, dass er für den Umstand, wodurch der Schaden eingetreten ist, nicht verantwortlich ist.

Im gegenwärtigen Fall konnte der Kläger allerdings den Nachweis der Kausalität, den Eintritt eines Schadens sowie dessen Höhe nicht führen, so dass der Anspruch durch das Gericht insgesamt verneint bzw. der Vorinstanz Recht gegeben wurde.

Datenschutzrechtliche Einschätzung

Die Auslegung des OGH entspricht der wohl überwiegenden Auffassung unter Juristen. Unstreitig handelt es sich bei Art. 82 Abs. 3 DSGVO um eine Beweislastumkehr nur im Rahmen des Verschuldens. Soll heißen: Das Verschulden wird vermutet. Diese Vermutung kann aber widerlegt werden.

Fragen zur Beweislast des haftungsbegründenden Verstoßes selbst werden nicht näher beleuchtet. Dabei hätte Kernfrage innerhalb des Schadenersatzes lauten können, wer die normverletzende Schädigungshandlung in welchem Umfang zu beweisen hat. Denn in der Regel wird der Betroffene zwar eine Verletzung im Rahmen interner Datenverarbeitungen durch den Verantwortlichen darlegen, nicht aber im Detail nachweisen können. Ob in der gerichtlichen Praxis hierzulande womöglich auf eine Art abgestufte Darlegungs- und Beweislast zurückgegriffen wird, bleibt abzuwarten.

Obwohl das österreichische Urteil keine Bindungswirkung für deutsche Gerichte entfaltet, betrifft es die Auslegung der DSGVO und lässt Rückschlüsse auch auf die nationale Rechtsfortbildung zu. Für die Praxis bedeutet das, dass es für den einzelnen Betroffenen bisweilen schwierig sein kann, für Verstöße gegen Vorschriften der DSGVO Schadenersatzansprüche überhaupt geltend machen zu können.

Ergänzend weisen wir darauf hin, dass mit der DSGVO auch ein Ausgleich immaterieller Schäden vorgesehen ist. Auch hier gilt die dargestellte Beweislastverteilung. Unter welchen Umständen und in welcher Höhe ein solches „Schmerzensgeld“ allerdings fällig wird, ist bislang offen und schlecht einzuschätzen. Hier fehlen für den Bereich des Datenschutzes übertragbare Erfahrungswerte.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.