Einleitung

Die Datenschutz-Grundverordnung (DS-GVO) sorgt seit Mitte des Jahres 2018 für ein strengeres Datenschutzrecht in der EU. Dabei gilt die Verordnung nach Art. 288 Abs. 2 des Vertrages über die Arbeitsweisen der europäischen Union (AEUV) unmittelbar und auch vorrangig gegenüber nationalen Datenschutzgesetzen. Der europäische Gesetzgeber entschied sich in der DS-GVO auch für die Normierung von Schadensersatzansprüchen, nach welchen der Verantwortliche somit direkt haftet. Im alten Datenschutzrecht ergaben sich für den Betroffenen Schwierigkeiten hinsichtlich des Nachweises eines Schadens, sodass ein Verstoß in der Praxis zivilrechtlich bislang häufig sanktionslos blieb. Nun hat der europäische Gesetzgeber seinen Willen klar geäußert, neben öffentlich-rechtlichen Regelungen zur Prävention und Sanktion im Rahmen des Schutzes des allgemeinen Persönlichkeitsrecht des Betroffenen, verbunden mit seinem Recht an den eigenen Daten, auch die zivilrechtlichen Instrumente zu erweitern.

Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO

Art. 82 Abs. 1 DS-GVO räumt jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter ein. Konkretisiert wird der Schadensersatzanspruch

Anspruchsberechtigter ist somit jeder von einer Datenverarbeitung Betroffene, dem ein Schaden aufgrund eines Verstoßes gegen die DS-GVO entstanden ist. Die Anspruchsberechtigung ist nicht auf nationale Bürger begrenzt, vielmehr kann jeder EU-Ausländer tauglicher Anspruchssteller sein. Anspruchsberechtigte Betroffene können nur „natürlichen Personen“ sein, juristische Personen sind nicht anspruchsberechtigt. Dies geht aus der Definition des Begriffs  „Betroffener“ in Art. 4 Nr. 1 DS-GVO hervor, wonach nur identifizierbare „natürliche Personen“ in den Schutzbereich fallen sollen. Eine Ausnahme dessen in Form des Schutzes nach Art. 7 und 8 der EU-Grundcharta hat der EuGH lediglich in dem Fall bejaht, dass der Name eine oder mehrere natürliche Personen bestimmt.

Anspruchsgegner ist der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter. Nach Art. 82 Abs. 4 DS-GVO haften diese gesamtschuldnerisch, wonach der Anspruchsberechtigte ein Wahlrecht hat, wen er in Anspruch nimmt. Die Gesamtschuldner können nach Art. 82 Abs. 5 DS-GVO einen Innenausgleich vornehmen.  Art. 82 Abs. 2 DS-GVO regelt eine Privilegierung des Auftragsverarbeiters, wonach dieser entschuldigen kann. 

Ein Verstoß gegen die DS-GVO kann grundsätzlich jede Verletzung einer Pflicht des Verantwortlichen sein. Die DS-GVO legt dem Verantwortlichen eine Vielzahl an Pflichten auf. Dazu gehören beispielsweise Informationspflichten nach Art. 12 ff. DS-GVO, Dokumentationspflichten nach Art. 30 DS-GVO und Meldeverpflichtungen an die Aufsichtsbehörde bei Datenschutzverletzungen nach Art. 33 f. DS-GVO.

Hinsichtlich des Verschuldens für den Umstand, durch welchen der Schaden eingetreten ist, sieht  Art. 82 Abs. 3 DS-GVO eine Beweislastumkehr vor. Dafür muss der Verantwortliche oder der Auftraggeber nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich ist. Demnach ist der Schadensersatzanspruch zwar  verschuldensabhängig, allerdings ist der Maßstab sehr streng. Denn der Anspruchsgegner  haftet zunächst einmal vollumfänglich für jede schadensstiftende Handlung. Haftungsbeschränkungen oder Bagatellgrenzen kennt die DS-GVO nicht.

Abzuwarten bleibt, inwieweit ein potentielles Mitverschulden des Betroffenen zu berücksichtigen sein wird, etwa bei Verwendung eines zu simplen oder zu kurzen Passworts durch den Betroffenen.

Die Beweislast für eine Behauptung trägt nach dem deutschen Recht grundsätzlich derjenige, für den die geltend gemachte Tatsache günstig ist. Macht die betroffene Person also einen Schadensersatzanspruch geltend, so trägt sie die Beweislast für alle Voraussetzungen des haftungsbegründenden Tatbestandes. Da Betroffene dies aber in der Regel nicht hinreichend belegen können, scheiterten diverse Ansprüche des Betroffenen gegen den Verantwortlichen nach dem alten Datenschutzrecht. Dies wollte der Verordnungsgeber nun ändern und verteilte die Beweislast nach der DS-GVO neu. Nach dem in Art. 5 Abs. 2 DS-GVO zugrunde gelegten Rechenschaftsprinzip und nach Art. 24 Abs. 1 DS-GVO muss der Verantwortliche die Einhaltung seiner Pflichten nachweisen können. In der Konsequenz führt das unter Umständen zu einer Beweislastumkehr von erheblicher Bedeutung im Rahmen eines zivilrechtlichen Prozesses um den Schadensersatzanspruch aus Art. 82 DS-GVO. Wie die Gerichte die Beweislast der DS-GVO handhaben, bleibt abzuwarten. Ferner ist bislang noch nicht ersichtlich, inwiefern Zertifizierungen nach Art. 42, 43 DS-GVO, die mit den Aufsichtsbehörden abgestimmt sind, als Entlastungsbeweis genügen.

Die Verletzungshandlung muss zudem ursächlich für den Schaden sein. Wer Ursächlichkeit der Rechtsverletzung für den eingetretenen Schaden beweisen muss, ist nicht geregelt.

Schaden

Weitere Voraussetzung eines Schadensersatzanspruchs nach der DS-GVO ist freilich das Bestehen eines Schadens. Ausdrücklich genannt wird neben materiellen Schäden auch der immaterielle Schaden. Nach Erwägungsgrund 146 sei der Begriff des Schadens weit auszulegen. Damit gemeint ist auch, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Genannt werden  Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder unbefugte Aufhebung der Pseudonymisierung. Daneben werden andere gesellschaftliche Nachteile genannt, welche sich zu einem materiellen Schaden verwirklichen können oder anderweitige finanzielle Verluste und erhebliche wirtschaftliche Nachteile.

Zur Berechnung materieller Schäden sind nationale Grundsätze heranzuziehen. Zu beachten ist hierbei, dass die Effektivität des durch europäische Gesetzgebung geregelten Schadensersatzanspruchs nicht beeinträchtigt werden darf (Stichwort „Abschreckung“), was für deutsche Verhältnisse ungewöhnlich hohe Schadenssummen zur Folge haben kann. Materielle Schäden sind in Deutschland nach der Differenzmethode zu berechnen. Dabei ist die Vermögenslage des Geschädigten mit und ohne schädigende Handlung zu vergleichen. Beispielhaft zu nennen sind etwa die Nichtgewährung eines Kredits aufgrund falscher Bonitätsdaten oder Anwaltshonorare, welche zur Durchsetzung von materiellen oder immateriellen Schäden erforderlich waren.

Auch hinsichtlich der auszuurteilenden Schadenshöhe gilt nationales Recht. Nach § 287 ZPO entscheidet das Gericht nach freier Überzeugung unter Würdigung aller Umstände des Einzelfalls über die Höhe des Schadens. Dafür bedarf es aber Anhaltspunkte, an die das Gericht anknüpfen kann.

Fazit

Der in der DS-GVO normierter Schadensersatzanspruch aus Art. 82 DS-GVO schützt die betroffene Person weitreichender und sicherer als das alte Datenschutzrecht. Das Recht des Betroffenen auf Schadensersatz stellt ein nicht zu unterschätzendes wirtschaftliches Risiko dar. Dies gilt vor allen Dingen unter Beachtung des Umstandes, dass zu ersetzende Schäden schlechterdings mit der Gesamtzahl der betroffenen Personen zu multiplizieren sind.