Schadensersatz & Datenschutz: Deutsches Recht vs. EU-Datenschutz-Grundverordnung

,

activeMind AG - Schadensersatz und Datenschutz im BDSG und in der EU-Datenschutz-Grundverordnung

Fügt ein Unternehmen einer Person durch eine rechtswidrige Datenverarbeitung einen Schaden zu, hat diese Person in bestimmten Fällen Anspruch auf Schadensersatz. Doch welche Bedingungen müssen erfüllt sein, damit das datenschutzrechtliche Schadensersatzrecht greift? Und welches Unternehmen ist unter welchen Umständen für eine rechtswidrige Datenverarbeitung verantwortlich? Antworten auf diese Fragen finden Sie im folgenden Artikel. Dabei gehen wir auf das geltende Datenschutzrecht in Deutschland ebenso ein, wie auf die voraussichtlich 2018 in Kraft tretende europäische Datenschutz-Grundverordnung.

Bedingungen: Wann greift datenschutzrechtliches Schadensersatzrecht?

Bedingungen nach geltendem Datenschutzrecht

Maßgeblich für das Bestehen eines Schadensersatzanspruchs ist nach geltendem Recht zunächst,

  1. ob es sich um einen immateriellen Schaden oder um einen Vermögensschaden handelt und
  2. ob der Schaden durch eine EDV-unterstützte oder aber durch eine Papierdatenverarbeitung verursacht wurde.

Ein immaterieller Schaden ist derzeit nur gegenüber einer öffentlichen Stelle ersatzfähig (hierzu zählen auch öffentlich-rechtliche Wettbewerbsunternehmen) und dann auch nur, wenn er durch eine EDV-unterstützte Verarbeitung verursacht wurde.

Bei einem Vermögensschaden ist die Verarbeitungsform dagegen nicht relevant: Sowohl gegenüber öffentlichen als auch gegenüber nichtöffentlichen Unternehmen kann ein Betroffener hier den Schaden geltend machen.

Unerheblich ist in jedem Fall die Art der datenschutzrechtlichen Vorschrift, gegen die verstoßen wurde: Es kann sich um eine Regelung des Bundesdatenschutzgesetzes, eine Datenschutzvorschrift eines anderen Gesetzes oder aber um eine datenschutzrelevante Regelung einer Betriebsvereinbarung handeln. Im Bundesdatenschutzgesetz ist der Schadensersatz in den §§ 7 und 8 BDSG geregelt.

Bedingungen nach der Datenschutz-Grundverordnung

Der offensichtlichste Unterschied zu geltendem Recht ist, dass materielle und immaterielle Schäden gleichermaßen einen Schadensersatzanspruch begründen können.

Diese Aufwertung immaterieller Schäden dürfte den Schadensersatz im Datenschutzrecht erheblich bedeutsamer machen. Denn die meisten Schäden, die aus einer fehlerhaften Datenverarbeitung resultieren, beinhalten einen Eingriff in das Persönlichkeitsrecht und sind somit vornehmlich immaterieller Art.

Da die Datenschutz-Grundverordnung nicht mehr zwischen öffentlichen und nichtöffentlichen Unternehmen unterscheidet, bestehen auch in dieser Hinsicht keine Unterschiede mehr.

Schadensnachweis: Wann haftet ein Unternehmen?

Schadensnachweis nach geltendem Datenschutzrecht

Möchte der Betroffene nach geltendem Recht Schadensersatz gegenüber einem nichtöffentlichen Unternehmen geltend machen, muss er nachweisen, dass ein Schaden entstanden ist und ihm dieser durch eine rechtswidrige Datenverarbeitung des Unternehmens zugefügt wurde. Gelingt ihm das, wird dem Unternehmen unterstellt, dass es die Datenverarbeitung verschuldet hat. Der Betroffene braucht somit nicht auf die genauen Umstände der rechtswidrigen Datenverarbeitung im Unternehmen einzugehen. Dies ist vielmehr Aufgabe des Unternehmens, wenn es sich von der Schadensersatzpflicht befreien möchte. Das Unternehmen müsste dann nachweisen, dass der Schaden eingetreten ist, obwohl es stets sorgfältig gehandelt hat.

Anders ist dies, wenn der Schaden durch eine EDV-unterstützte Datenverarbeitung einer öffentlichen Stelle verursacht wurde. Hier ist die Stelle zum Schadensersatz verpflichtet – unabhängig davon, ob sie die rechtswidrige Verarbeitung zu vertreten hat oder nicht.

Mit den aus Unternehmenssicht insgesamt günstigen Nachweisregeln hat der deutsche Gesetzgeber den Umsetzungsspielraum der europäischen Datenschutzrichtlinie aus dem Jahr 1995 ausgenutzt. Denn die Richtlinie differenziert weder zwischen EDV-unterstützten- und Papier-Datenverarbeitungen, noch zwischen öffentlichen und nichtöffentlichen Stellen. Auch eine Einschränkung auf die Schadensart (immateriell bzw. materiell) ist der Richtlinie nicht zu entnehmen. Nach der Richtlinie sind zudem nicht nur solche Personen schadensersatzberechtigt, deren Daten verarbeitet wurden, sondern „jede Person, der wegen einer rechtswidrigen Verarbeitung […] ein Schaden entsteht“.

Schadensnachweis nach der Datenschutz-Grundverordnung

Da die Datenschutz-Grundverordnung im Gegensatz zur EU-Richtlinie den Mitgliedstaaten keinen Umsetzungsspielraum lässt, darf der deutsche Gesetzgeber hier keine Einschränkungen vornehmen.

Nach der Verordnung wird es für Unternehmen schwieriger sein, sich von der Haftung mit Verweis auf die eigene Sorgfalt zu befreien. Denn dies ist nach Artikel 77 der Grundverordnung nur noch dann möglich, wenn das Unternehmen jede Verantwortlichkeit für das den Schaden auslösende Ereignis von sich weisen kann. Vorstellbar wäre etwa höhere Gewalt oder ein rechts- oder vertragswidriges Verhalten des Betroffen.

Haftung: Wer ist für die rechtswidrige Verarbeitung verantwortlich?

Haftung nach geltendem Datenschutzrecht

Nach geltendem Datenschutzrecht haftet zunächst einmal die verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG. Nur ausnahmsweise kommt auch eine Haftung eines von der verantwortlichen Stelle beauftragten Datenverarbeiters infrage.

Der beauftragte Datenverarbeiter ist dann verantwortlich, wenn er die Daten eigenmächtig – entgegen den Weisungen des Auftraggebers – verarbeitet. Der Auftragnehmer wird dann aus datenschutzrechtlicher Sicht zu einer eigenen verantwortlichen Stelle; er verarbeitet die ihm anvertrauten Daten buchstäblich nicht mehr „im Auftrag“. Dies trifft auch dann zu, wenn der Auftragnehmer die Daten für eigene Zwecke verwendet.

Darüber hinaus haftet der Auftragnehmer, wenn er weiß, dass eine Weisung seines Auftraggebers rechtswidrig ist und er es unterlässt, den Auftraggeber darauf hinzuweisen.

Umstritten ist, ob der Auftragnehmer eine aus seiner Sicht rechtswidrige Datenverarbeitung aussetzen muss, wenn er den Auftraggeber auf die Rechtswidrigkeit hinweist, dieser aber an der Datenverarbeitung festhält. Nach der hier vertretenen Auffassung entsteht auf Seiten des Auftragnehmers in diesem Fall keine (haftungsbegründende) Verantwortlichkeit, da das Gesetz lediglich eine Hinweispflicht, nicht aber eine Unterlassungspflicht für den bundesdatenschutzrechtlich nicht-verantwortlichen Auftragnehmer vorsieht.

Haftung nach der Datenschutz-Grundverordnung

Die Beschränkung der Haftung auf die verantwortliche Stelle im Bundesdatenschutzgesetz birgt für den Geschädigten erhebliche praktische Probleme. Denn in vielen Fällen dürfte ihm unklar sein, wer für die Datenverarbeitung rechtlich die Verantwortung trägt; bekannt ist ihm oft nur die Stelle, die seine Daten erhoben und verarbeitet hat.

Die Grundverordnung versucht hier der Praxis gerecht zu werden, indem sie sowohl die verantwortliche Stelle (controller) als auch den Auftragnehmer (processor) als Haftende vorsieht. Ähnlich der derzeitigen Rechtslage ist der Auftragsdatenverarbeiter allerdings nur dann schadensersatzpflichtig, wenn er gegen eine in der Verordnung geregelte Auftragnehmerpflicht verstößt oder aber weisungswidrig handelt.

Neben der Haftung einer verantwortlichen Stelle oder eines Auftragnehmers kommt nach der Grundverordnung auch eine gesamtschuldnerische Haftung mehrerer Datenverarbeiter in Frage. Hier kann es sich, wie in der klassischen Auftragsdatenverarbeitung, um eine verantwortliche Stelle und einen oder mehrere Auftragnehmer handeln. Möglich ist aber gemäß Artikel 24 der Grundverordnung auch, dass es für eine Datenverarbeitung mehrere verantwortliche Stellen gibt (derzeit findet sich eine solche Regelung nur in den Landesdatenschutzgesetzen, die nur für Landesbehörden gelten).

Solche „Joint Controllers“ zeichnet aus, dass sie gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Gemeinsam verantwortliche Stellen sind verpflichtet, ihre jeweiligen Verantwortlichkeiten hinsichtlich der Datenverarbeitung aufzuteilen und vertraglich festzuhalten. Auch wenn somit grundsätzlich jede verantwortliche Stelle gleichermaßen gegenüber dem Betroffenen zum Schadensersatz verpflichtet ist, besteht zwischen den Joint Controllers, entsprechend der vertraglichen Aufgabenzuweisung, eine geteilte Verantwortung. Artikel 77 Abs. 5 der Verordnung räumt daher einem Unternehmen, das den vollen Schadensersatz geleistet hat, einen Rückgriff auf die übrigen verantwortlichen Stellen ein.

Vor welchem Gericht kann ein Schaden geltend gemacht werden?

Die „Europäisierung“ des Datenschutzrechts durch die Grundverordnung führt nicht dazu, dass der Betroffene zur Geltendmachung seines Schadensersatzrechts in ein anderes Land reisen muss. Dies stellt Artikel 75 Abs. 2 der Grundverordnung klar, wonach sowohl verantwortliche Stellen als auch Auftragsdatenverarbeiter entweder an deren Niederlassungsort oder am Aufenthaltsort des Betroffenen verklagt werden können. Zuständig sind – wie auch nach geltendem Recht – in Deutschland die Zivilgerichte, in Arbeitnehmer-Arbeitgeber-Streitigkeiten die Arbeitsgerichte. Von dieser Regelung ausgenommen ist nur nationales Behördenhandeln, hier muss der Betroffene vor das heimische Gericht der Behörde ziehen.

Fazit: Das Schadensersatzrecht wird bedeutsamer

Das Schadensersatzrecht ist – neben dem Recht auf Löschung, Sperrung und Berichtigung – das Wiedergutmachungsrecht des Betroffenen bei Datenschutzverstößen eines Unternehmens. Derzeit erweist sich das Recht für Unternehmen allerdings noch als harmlos. Mit der Möglichkeit, immaterielle Schäden auch gegenüber nichtöffentlichen Unternehmen geltend machen zu können, verschafft die Grundverordnung dem Schadensersatzrecht einen Bedeutungszuwachs, auf den sich Unternehmen frühzeitig einstellen sollten.

Die ausdrückliche Erlaubnis, die Verantwortung für eine Datenverarbeitung aufzuteilen, birgt für Unternehmen große Vorteile, bedarf allerdings einer sauberen vertraglichen Grundlage um entsprechend wirksam zu sein. Der erforderliche datenschutzrechtliche Sachverstand sollte frühzeitig hinzugezogen werden.

Bitte bewerten Sie diese Inhalte!
[12 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.