Datenschutz: Der Schadensersatzanspruch nach Art. 82 DSGVO

Wir freuen uns sehr, einen Gastbeitrag von Zsofia Vig veröffentlichen zu können. Zsofia Vig hat ihr Studium und Referendariat in Berlin absolviert. Sie arbeitet als wissenschaftliche Mitarbeiterin in einer Anwaltskanzlei und ist überwiegend im Bereich Datenschutzrecht tätig.
 
I. Einleitung
Die ab dem 25.05.2018 anwendbare DSGVO normiert in Art. 82 einen eigenständigen materiellen Schadensersatzanspruch des Betroffenen gegenüber dem Datenverarbeitenden (Verantwortlichen sowie Auftragsverarbeiter) bei Verletzung datenschutzrechtlicher Pflichten. Im Folgenden soll ein kurzer Überblick über die Anspruchsvoraussetzungen sowie über den Anspruchsumfang gegeben werden.
II. Charakter und Rechtsnatur
Art. 82 DSGVO stellt eine eigenständige, unmittelbar geltende, deliktsrechtliche Anspruchsgrundlage dar, die autonom nach den Regeln des Gemeinschaftsrechts auszulegen ist (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn.1). Sie gilt im Anwendungsbereich der DSGVO (vgl. Art.2,3 DSGVO) sowohl für den öffentlichen, als auch für den nichtöffentlichen Bereich (Neun/Lubitzsch, BB 2017, 2563, 2567; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 2). Zweck der Norm ist zum einen der Ausgleich für durch Datenschutzrechtsverletzungen erlittene materielle und immaterielle Schäden, zum anderen die mittelbare Sanktionierung der begangenen Verstöße sowie die Vermeidung weiterer Verstöße (Neun/Lubitzsch, BB 2017, 2563, 2567).
Art. 82 DSGVO steht mit anderen vertraglichen, quasi-vertraglichen und deliktischen Ansprüchen nach Unionsrecht oder nach dem Recht der Mitgliedstaaten in Anspruchskonkurrenz (Erwägungsgrund 146; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 2).
III. Aktiv-und Passivlegitimation
Trotz des weiten Wortlauts („jede Person“) wird überwiegend davon ausgegangen, dass Anspruchsinhaber nur der Betroffene ist, d.h. derjenige, dessen personenbezogene Daten rechtswidrig verarbeitet werden (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 3; Neun/Lubitzsch, BB 2017, 2563, 2568).
Anspruchsgegner ist grundsätzlich sowohl der Verantwortliche (vgl. Art. 4 Ziff. 7 DSGVO), als auch der Auftragsverarbeiter (vgl. Art. 4 Ziff. 8 DSGVO). Hierbei ist im Hinblick auf die Pflichtverletzung die Differenzierung des Abs. 2 zu berücksichtigen (Erwägungsgrund 146; Neun/Lubitzsch, BB 2017, 2563, 2568).
IV. Haftungsbegründender Tatbestand
1. Pflichtverletzung
Während der Verantwortliche für jeden Verstoß gegen die Bestimmungen der DSGVO, d.h. sowohl für formelle als auch für materielle Verstöße haftet, wobei grds. auch Verstöße gegen die allgemeinen Grundsätze des Art. 5 DSGVO erfasst werden, (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn.15) ist die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell ihm auferlegte Pflichten sowie auf die Nichtausführung bzw. nicht ordnungsgemäße Ausführung rechtmäßiger Anweisungen des Verantwortlichen begrenzt. Die jeweilige Verletzungshandlung kann sich nicht nur unmittelbar auf die Bestimmungen der DSGVO, sondern auch auf delegierte Rechtsakte, Durchführungsakte sowie Rechtsvorschriften der Mitgliedstaaten zur Präzisierung der Verordnung beziehen (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 22; Neun/Lubitzsch, BB 2017, 2563, 2568; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 3). Der Schaden muss darüber hinaus kausal auf der Verletzungshandlung beruhen, vgl. auch das Wort „wegen“ in Art. 82 DSGVO (Neun/Lubitzsch, BB 2017, 2563, 2568).
2. Verschulden
Der Verantwortliche bzw. der Auftragsverarbeiter wird gem. Abs. 3 von seiner Haftung befreit, wenn er nachweist, dass er für den Umstand, aufgrund dessen der Schaden eingetreten ist, in keiner Weise verantwortlich ist (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 47). Der Entlastungsbeweis kann sich hierbei sowohl auf die objektive Pflichtverletzung als auch auf das Verschulden beziehen. Im Hinblick auf die objektive Pflichtverletzung kann der Verantwortliche bzw. der Auftragsverarbeiter darlegen und beweisen, dass er sich im Rahmen der Datenverarbeitung an den für ihn jeweils geltenden Pflichtenkatalog gehalten hat, wobei in Fällen rechtswidriger Eingriffe Dritter insbesondere die Einhaltung des Stands der Technik (vgl. Art. 5 Abs. 1e DSGVO) von Relevanz ist (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 47, 48).
3. Weitere Tatbestandsvoraussetzungen
Für die übrigen Tatbestandsvoraussetzungen trägt zwar grds. der Betroffene nach den allgemeinen Regeln die Beweislast, jedoch werden auch hierbei diverse Beweiserleichterungen angenommen. Diese rechtfertigen sich unter anderem daraus, dass der Betroffene mangels Einblicks in die Datenverarbeitungsvorgänge in der Regel nicht in der Lage ist, den entsprechenden Beweis zu führen (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 8). Hieran ändert auch das Auskunftsrecht gem. Art. 15 DSGVO nichts, da aufgrund dessen lediglich punktuelle Informationen zur Verfügung gestellt werden müssen, d.h. ein umfassender, für die Beweisführung ausreichender Informationsstand nicht gewährleistet wird. In Anbetracht des Umstandes, dass der Verantwortliche gem. Art. 5 Abs. 2 DSGVO die Einhaltung der Datenschutzpflichten dokumentieren muss, wird im Hinblick auf die Verletzungshandlung eine Beweislastumkehr angenommen (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 46). Im Rahmen des Kausalitätsnachweises genügt indes die bloße Möglichkeit eines kausalen Verlaufs (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 47). Dies hat zur Folge, dass der Betroffene lediglich darlegen und beweisen muss, dass der Verantwortliche an der Verarbeitung beteiligt war, dass ein Schaden entstanden ist und dass die konkrete Datenverarbeitung geeignet war, den Schaden herbeizuführen (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 48; Neun/Lubitzsch, BB 2017, 2563, 2569).
Die weiteren Aspekte der Geltendmachung von Schadensersatzansprüchen wie bspw. Mitverschulden und Verjährung richten sich nach dem Recht der Mitgliedstaaten (Neun/Lubitzsch, BB 2017, 2563, 2569; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 8).
V. Haftungsausfüllender Tatbestand
Der Anspruch gem. Art. 82 DSGVO setzt im Rahmen des haftungsausfüllenden Tatbestandes einen kausalen Schaden voraus. Die Verordnung enthält zwar keine nähere Definition des Schadensbegriffs, jedoch lässt sich dem Wortlaut sowie dem Erwägungsgrund 146 entnehmen, dass dieser im Lichte der Rspr. des EuGH weit auszulegen ist und dementsprechend sowohl materielle als auch immaterielle Schäden umfasst (Neun/Lubitzsch, BB 2017, 2563, 2567; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 7). Als materieller Schaden sind sämtliche vermögensbezogene Nachteile des Betroffenen einschließlich Folgeschäden wie Kosten der Rechtsverfolgung ersatzfähig. Bei einer unbefugten Datennutzung ist darauf abzustellen, ob im Hinblick auf die konkret betreffenden Daten eine Kommerzialisierungsmöglichkeit besteht (Neun/Lubitzsch, BB 2017, 2563, 2567).
Ersatzfähig sind darüber hinaus auch immaterielle Schäden, die i.d.R. aus einer Verletzung des allgemeinen Persönlichkeitsrechts resultieren (Neun/Lubitzsch, BB 2017, 2563, 2567). Anders als bei § 8 Abs. 2 BDSG ist der Anspruch nicht auf schwere Verletzungen beschränkt (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 7). Eine solche, auch dem verfassungsrechtlichen Entschädigungsanspruch gem. § 823 Abs. 1 BGB i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG immanente Beschränkung auf schwerwiegende Verstöße, die auf andere Weise nicht wirksam abgeholfen werden können, dürfte nicht mit dem Effektivitätsgebot der EuGH-Rechtsprechung vereinbar sein (Bergt in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 18; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 4; Neun/Lubitzsch, BB 2017, 2563, 2568).
VI. Prozessuale Durchsetzung
Mehrere Schädiger haften gem. Art. 82 Abs. 4 DSGVO als Gesamtschuldner, unabhängig davon, ob sie im konkreten Fall als Auftragsverarbeiter oder als Verantwortlicher anzusehen sind. Zwar führt dies dazu, dass die Einschränkung der Haftung des Auftragsverabeiters gem. Art. 82 Abs. 2 S. 2 DSGVO zumindest im Verhältnis zum Verletzten leer läuft, jedoch wurde dies vom europäischen Gesetzgeber im Interesse eines wirksamen Schadensersatzes bewusst in Kauf genommen. Auch steht es dem Auftragsverarbeiter frei, den Verantwortlichen gem. Abs. 4 in Regress zu nehmen (Erwägungsgrund 146).
Die internationale Zuständigkeit richtet sich nach Art. 79 Abs. 2 DSGVO. Demnach kann der Anspruch sowohl vor den Gerichten des Mitgliedstaates, in dem der Anspruchsgegner seine Niederlassung hat, als auch vor den Gerichten des Mitgliedstaates des (gewöhnlichen) Aufenthaltsortes des Verletzten geltend gemacht werden (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO Rn. 8; Erwägungsgrund 145). Die sachliche und örtliche Zuständigkeit bestimmt sich nach dem nationalem Recht des jeweiligen Mitgliedstaates, im deutschen Recht nach §§ 23,71 GVG bzw. nach §§ 12 ZPO ff.
Da es sich bei Art. 82 DSGVO um einen deliktischen Anspruch handelt, ist für das anwendbare materielle Recht die Rom II-Verordnung maßgebend. Hierbei kommt insbesondere der Ort des Schadenseintritts gem. Abs.1, d.h. i.d.R. der Mitgliedstaat, in dem sich der Verletzte gewöhnlich aufhält, in Betracht (Neun/Lubitzsch, BB 2017, 2563, 2569).
VII. Fazit und Ausblick
Wie oben aufgezeigt, normiert Art. 82 DSGVO einen weiten, über die im deutschen Recht bislang vorhandenen deliktischen Ansprüchen hinausgehenden Anspruch. Dies gilt insbesondere im Hinblick auf die grundsätzliche Ersatzfähigkeit immaterieller Schäden ohne die aus dem deutschen Recht bekannten Einschränkungen. Welche praktischen Auswirkungen dies zur Folge haben wird, bleibt abzuwarten. Bei der Bewertung ist jedoch stets zu berücksichtigen, dass mit Umsetzung der Richtlinie über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher künftig auch die kollektive Geltendmachung des Anspruchs gem. Art. 82 DSGVO möglich sein wird.