Aufsatz : Die Datenschutz-Haftung nach geltendem und zukünftigem Recht – ein vergleichender Ausblick auf Art. 77 DS-GVO : aus der RDV 6/2015, Seite 279 bis 285
In Umsetzung des Art. 23 DS-RL enthalten die §§ 7 und 8 BDSG eine eigenständige Haftungsnorm bei Datenschutzverstößen. Während § 7 BDSG als verschuldensabhängiger Haftungstatbestand sowohl für öffentliche als auch nichtöffentliche Stellen gilt, besteht eine verschuldensunabhängige Haftung nur für öffentliche Stellen und ist auf Rechtsverstöße bei automatisierten Verfahren beschränkt. Die Regelungen des BDSG gelten für öffentliche Stellen des Bundes (§ 1 Abs. 2 Nr. 1 BDSG), da die Länder eigene Haftungsnormen in ihre Landesdatenschutzgesetze aufgenommen haben[1]. Die in den Trilog eingebrachten Entwürfe der DS-GVO[2] unterscheiden in ihrem Geltungsbereich nicht mehr zwischen privaten und öffentlichen Stellen und damit auch nicht danach, ob es solche des Bundes oder der Länder sind. Sie sehen einheitlich in den Entwürfen der Kommission, des Parlaments und des Rats[3] in Art. 77 DS-GVO eine sowohl für die Verarbeitungen der verantwortlichen Stellen als auch die ihrer Auftragsdatenverarbeiter geltende Haftungsnorm vor.
1. Das geltendes Recht im Überblick
1.1. Die EU-DSRL und ihre Umsetzung in das BDSG
Nach Art. 23 Abs. 1 der Datenschutz-Richtlinie (DS-RL 95/46/EG) kann jede Person, der durch eine rechtswidrige Datenverarbeitung ein Schaden entsteht, von dem für die Datenverarbeitung Verantwortlichen Schadenersatz verlangen. Eine bestimmte Art des Schadens, also materiell oder immateriell, wird nicht erwähnt.
Diese Vorgaben wurden in Deutschland in den §§ 7 und 8 BDSG umgesetzt. Während § 7 BDSG für den nichtöffentlichen Bereich eine das Verschulden der verantwortlichen Stelle vermutende Haftungsnorm enthält, besteht in § 8 für öffentliche Stellen ein eigenständiger verschuldensunabhängiger Haftungstatbestand, der im Gegensatz zu § 7 den Schadenersatzanspruch für immaterielle Schäden in Abs. 2 ausdrücklich mitumfasst[4].
1.2 § 7 BDSG
1.2.1 Die Normadressaten
Der Schadensersatzanspruch nach § 7 BDSG richtet sich gegen den Träger der verantwortlichen Stelle. Der Begriff der verantwortlichen Stelle wird in § 3 Abs. 7 definiert[5]. Danach werden die verantwortliche Stelle und ihr Träger, d.h. derjenige, der für die Handlungen der Stelle haftbar ist, im Regelfall identisch sein. Insbesondere im öffentlichen Bereich können diese Begriffe jedoch auseinanderfallen, indem eine bestimmte Behörde als „verantwortliche Stelle“ Normadressat für die Beachtung der Datenschutzbestimmungen ist, als haftungsrechtlich betroffener Träger jedoch das Land, der Bund etc. angesprochen sind.
§ 7 BDSG spricht nicht den Fall an, dass mehrere Stellen gemeinsam ein Datenverarbeitungsverfahren betreiben. In konzernverbundenen Unternehmen geschieht dies u.a. zum Zweck der zentralisierten Bearbeitung bestimmter Vorgänge (z.B. Postein- und -ausgang; Inkasso). Für das Versicherungsgewerbe findet sich eine Regelung in Art. 9 Abs. 1 des CoC. Regelungen „Gemeinsamer Verfahren“ finden sich auch in Landesdatenschutzgesetzen (§ 15 HDSG; § 4a DSG NW). Die Datenbasis muss ganz oder teilweise eine gemeinsame sein, d.h. es muss zumindest eine Schnittmenge gemeinsam genutzter personenbezogener Daten vorliegen[6]. Eine bundesrechtliche Regelung, die sich mit „Gemeinsamen Verfahren“ beschäftigt, enthält § 11 des Gesetzes zur Förderung der elektronischen Verwaltung (EGovG)[7]. Nach der Gesetzesbegründung[8] ist ein gemeinsames Verfahren im Sinne des § 11 EGovG „eine dauerhafte, zweckgerichtete Vereinbarung mehrerer datenschutzrechtlich verantwortlicher Stellen zu einer gemeinsamen Einrichtung einer technischen Anwendung/Plattform, in die Daten eingegeben werden und die den wechselseitigen Zugriff und Abruf auf bzw. aus einem so entstandenen gemeinsamen Datenbestand ermöglicht“. § 11 EGovG gestattet nur die Zulässigkeit der Einrichtung des gemeinsamen Verfahrens als solches, nicht auch den über das Verfahren stattfindenden Datenumgang.
Wird ein Verfahren gemeinsam betrieben, so haften die kooperierenden verantwortlichen Stellen als Gesamtschuldner. Dies ergibt sich aus § 840 Abs. 1 BGB. Den Umfang der Haftung regeln die §§ 421 f BGB.
Anspruchsberechtigt ist nur ein Betroffener (§ 3 Abs. 1 BDSG). Zwar schützen ggf. andere Vorschriften über den Datenschutz auch juristische Personen, gleichwohl können diese keine Ansprüche aus § 7 BDSG ableiten.
1.2.2 Der Schaden
Bei dem Schaden des Betroffenen muss es sich um materielle Beeinträchtigungen, d.h. um einen Vermögensschaden, handeln[9]. Ein solcher Schaden kann z.B. darin liegen, dass ein Kredit nicht gewährt wurde oder eine Reisebuchung fehllief.
Fraglich ist, ob der Betroffene auch Ansprüche gegenüber demjenigen geltend machen kann, der seine Daten mit wirtschaftlichem Gewinn unbefugt nutzt oder vermarktet. Dies wird zunächst zutreffen, wenn dem Betroffenen eine eigene Vermarktungsmöglichkeit genommen wurde. Darüber hinaus kann nach dem BGH[10] z.B. die unbefugte kommerzielle Nutzung eines Bildnisses im Allgemeinen sowohl unter dem Gesichtspunkt des Schadensersatzes oder auch der ungerechtfertigten Bereicherung einen Anspruch auf Zahlung einer angemessenen Lizenzgebühr begründen, ohne dass es darauf ankommt, ob der Abgebildete bereit oder in der Lage gewesen wäre, gegen Entgelt Lizenzen für die Verbreitung und öffentliche Wiedergabe seines Bildnisses einzuräumen. Der Ausgleich immaterieller Schäden in Geld, d.h. die Zahlung von Entschädigung aufgrund einer in dem Datenschutzverstoß liegenden Persönlichkeitsrechtsverletzung, wird in § 7 BDSG nicht angesprochen[11]. Aus dem Vergleich zu § 8 BDSG ist wohl der Wille des Gesetzgebers zu folgern[12], dass im Rahmen des § 7 BDSG, also bei den Schadensersatzansprüchen gegenüber nichtöffentlichen Stellen, immaterielle Schäden nicht ersetzt verlangt werden können[13]. Andererseits ist die Erstattung eines immateriellen Schadens auf Grund anderer Vorschriften nicht ausgeschlossen. Er ist jedenfalls[14] dann in Anwendung des Schutzauftrages aus Art. 1 und 2 Abs. 1 GG[15] durch Geld auszugleichen, wenn die Verletzung des Persönlichkeitsrechts schwerwiegend ist und eine Genugtuung anders nicht angemessen gewährt werden kann[16].
1.2.3 Der haftungsauslösende Datenschutzverstoß
Der Schaden des Betroffenen muss ausgelöst worden sein durch eine nach dem BDSG oder anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten. Unzulässig und zur Haftung nach § 7 BDSG führend sind also nicht nur Verarbeitungen, die ohne Rechtfertigungsgrund nach § 4 durchgeführt werden. Voraussetzung ist, dass gegen verbindliche Verarbeitungsrestriktionen verstoßen wurde, wobei sich diese auch aus Normen außerhalb des BDSG ergeben können. Diese „andere“ Vorschrift muss sich nicht auf Verarbeitungen im Geltungsbereich des BDSG beziehen. Auch Verstöße gegen Rechtmäßigkeitsvoraussetzungen des TKG und des TMG werden – mangels eigenständiger Haftungsnorm in diesen Gesetzen – durch § 7 erfasst[17]. § 82 SGB X verweist ausdrücklich auf § 7 BDSG.
Der Begriff „unzulässig“ ist im Sinne von rechtswidrig zu verstehen, d.h. dass gegen verbindliche Verarbeitungsrestriktion verstoßen wurde . Jedoch führt nicht jeder Verstoß [18] gegen das BDSG zur Rechtswidrigkeit der mit ihm im Zusammenhang stehenden Datenverarbeitung. Ob also der Verstoß gegen Informations- und Benachrichtigungspflichten eine Schadensersatzpflicht begründen kann, hängt davon ab, ob dieser zur Unrechtmäßigkeit der uninformiert stattfindenden Datenverarbeitung führt[19]. Insofern kommt dann auch ordnungswidriges Handeln in Betracht[20]. Beispiele sind die Missachtung der Informationspflichten nach § 4 Abs. 3 BDSG. Hier ist zu differenzieren. Auf nicht rechtmäßige Weise erfolgt die Erhebung, wenn der Betroffene über die beabsichtigte Verwendung der Daten bewusst getäuscht wurde oder die Erhebung gegen Schutzvorschriften des UWG verstieß (z.B. § 4 Nr. 1 und 2 UWG)[21]. Maßstab ist der Verstoß gegen den Grundsatz von Treu und Glauben[22]. Ähnliches gilt für die Benachrichtigungspflicht nach § 33 Abs. 1 BDSG[23]. Auch wenn der Verstoß gegen die Benachrichtigungspflicht als Ordnungswidrigkeit bußgeldbewehrt ist (§ 43 Abs. 1 Nr. 6 BDSG), ist sie keine Rechtmäßigkeitsvoraussetzung, d.h. der Verstoß führt nicht zur Unzulässigkeit einer nach § 4 Abs. 1 BDSG gerechtfertigten Speicherung[24]. Schadensersatzansprüche können jedoch nach § 823 Abs. 2 BGB entstehen, wenn z.B. die unterlassene Benachrichtigung zur Nichtausübung eines Widerspruchsrechts führte. Gleiches gilt für die Informationspflicht des § 42a BDSG. Wird der Betroffene nicht oder zu spät über einen Datenverlust benachrichtigt, um Schadensabwehrmaßnahmen zu ergreifen, so können, da § 42a BDSG als Schutzgesetz anzusehen ist, Schadenersatzansprüche gegenüber der verantwortlichen Stelle nach § 823 Abs. 2 BGB geltend gemacht werden[25]. Für den rechtswidrigen Datenfluss selbst haftet die verantwortliche Stelle unter den Voraussetzungen des § 7 BDSG. Auch der Verstoß gegen Datensicherungsgebote des § 9 BDSG oder gegen die Bestellung eines Datenschutzbeauftragten[26] ist nur relevant, wenn dieser für eine rechtswidrige Verarbeitung ursächlich war.
1.2.4 Kausalität, Verschulden und Beweislast
Voraussetzung der Haftung ist, dass die rechtswidrige Datenverarbeitung für den Schaden ursächlich war. Ferner ist erforderlich, dass dieser rechtswidrige Umgang mit den Daten schuldhaft, d.h. gem. § 276 BGB vorsätzlich oder fahrlässig erfolgte.
Damit bleibt es zunächst Sache des Betroffenen, einen Schaden zu beweisen sowie die Tatsache, dass dieser durch eine rechtswidrige Handlung der verantwortlichen Stelle bzw. eines ihrer Mitarbeiter, d.h. durch einen in ihrem Bereich liegenden Umstand, eingetreten ist. Andererseits besteht insofern eine gewisse Umkehr der Beweislast (§ 7 S. 2 BDSG), dass bei rechtswidrigem Umgang mit den Daten zunächst schuldhaftes Handeln unterstellt wird; der verantwortlichen Stelle steht jedoch die Möglichkeit der Exkulpation, d.h. des Entlastungsbeweises offen. Darzulegen ist, dass trotz der Beachtung der gesetzlichen Vorschriften der Schaden nicht zu verhindern war. Fehlverhalten von Mitarbeitern ist der verantwortlichen Stelle zuzurechnen[27].
1.3 § 8 BDSG
1.3.1 Die Normadressaten
Nach § 8 BDSG haften öffentliche Stellen verschuldensunabhängig für infolge unzulässiger oder unrichtiger automatisierter Datenverarbeitung eingetretene materielle und immaterielle Schäden; letzteres unter der Voraussetzung, dass eine schwere Beeinträchtigung des Persönlichkeitsrechts vorliegt (§ 8 Abs. 2 BDSG). Der Haftung nach § 8 BDSG unterliegen „öffentliche Stellen“ gem. § 2 BDSG auch, wenn sich die von ihnen vorgenommenen Verarbeitungen ansonsten nach Vorschriften des 3. Abschnitts richten. § 8 BDSG greift also auch bei Schadenszufügungen durch öffentlich rechtliche Wettbewerbsunternehmen oder bei rechtswidrigen Personaldatenverarbeitungen (vgl. den Umfang der Verweisung in § 12 Abs. 4). Rechtswidriges Verhalten bei manueller Datenverarbeitung, selbst wenn es sich auf ein anschließendes automatisiertes Verarbeiten der Daten auswirkt, ist unerheblich. Die Gefährdungshaftung soll vielmehr nur die „typische Automationsgefährdung“ abdecken, also Schäden, die durch automatisierte Verfahren eingetreten sind. Gegebenenfalls kann hier aber auf § 7 BDSG zurückgegriffen werden.
1.3.2 Der haftungsauslösende Schutzverstoß
Die Haftung der öffentlichen Stelle ist allein abhängig von einer unzulässigen oder unrichtigen automatisierten Verarbeitung und dem infolgedessen adäquat-kausal eingetretenen Schaden.
Die Frage des Verschuldens der datenverarbeitenden Stelle ist ohne Bedeutung. Es handelt sich bei § 8 BDSG also um einen reinen Gefährdungstatbestand. Dem Betroffenen obliegt jedoch der Nachweis der rechtswidrigen Verarbeitung und der Schadensverursachung. Für die Entlastung, nämlich dass der Schaden außerhalb automatisierter Verarbeitung eingetreten ist, ist die verantwortliche Stelle beweispflichtig.
1.4 Die die Bestimmungen der §§ 7, 8 BDSG ergänzenden BGB-Haftungsregelungen
Im Gegensatz zu § 8 BDSG enthält § 7 BDSG keine Aussagen zu den bei Haftungsanspruch zu beachtenden Modalitäten. Hinweise auf § 254 BGB bei einem Mitverschulden des Betroffenen, auf die gesamtschuldnerische Haftung mehrerer Verursacher nach § 840 Abs. 1 BGB oder die Verjährungsregelung des § 852 BGB sind entbehrlich, da hier die deliktischen Haftungsregelungen des BGB per se zur Anwendung kommen. Für die verschuldensunabhängige Haftung waren jedoch derartige Verweisungen in den Absätzen 4 bis 6 angezeigt.
1.5 Haftung des und für Auftragsdatenverarbeiter
Einstehen muss der Auftraggeber für alle weisungsgemäßen Handlungen des Auftragnehmers wie für eigenes Handeln. Gleiches gilt, wenn er den Auftragnehmer nicht sorgfältig ausgewählt und kontrolliert (§ 11 Abs. 2 S. 4 BDSG) hat. Für eigenmächtige weisungswidrige Handlungen durch Auftragnehmer muss er nicht einstehen. Hier fungiert der Auftragnehmer – unbefugt – als verantwortliche Stelle, was zur Haftung nach § 7 BDSG führt. Nach § 823 Abs. 2 BGB haftet der Auftragnehmer dem Betroffenen, wenn er bösgläubig, trotz der Hinweispflicht nach § 11 Abs. 3 S. 2 BDSG, einer rechtswidrigen zum Schadensersatz des Betroffenen führenden Weisung folgt[28].
1.6 Weitere Haftungsgrundlagen
Die Datenschutzhaftungsnormen der §§ 7, 8 BDSG enthalten keine abschließenden und ausschließlichen Regelungen und unterliegen auch nicht der Subsidiaritätsregel des § 1 Abs. 4 Satz 1 BDSG, so dass das BDSG einen „Mindestschutz“ des Betroffenen enthält. Sofern parallel vertragliche Haftungsansprüche (§ 280 Abs. 1 Satz 1 BGB i.V.m. § 241 Abs. 2 BGB) oder Ansprüche im Rahmen der Staatshaftung (Art. 34 GG, § 839 BGB) bestehen, werden diese nicht verdrängt[29]. Auch Ansprüche aus § 823 Abs. 1 und Abs. 2 BGB sind nicht ausgeschlossen[30].
2. Das zukünftige EU-Recht
2.1 Die Normadressaten
Adressaten der Haftungspflicht nach Art. 77 DS-GVO sind in allen drei Versionen der DS-GVO sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter. Die im Vergleich zur jetzigen Rechtslage vorgesehene Erweiterung der Haftungsadressaten um den Auftragsverarbeiter scheint daher gewiss, wenngleich es in den Verhandlungen des Rates zunächst auch Stimmen gab, die sich für einen Schadensersatzanspruch des Betroffenen allein gegen den für die Verarbeitung Verantwortlichen aussprachen[31]. Begründet wurde dies unter anderem damit, dass man einem Betroffenen nicht zumuten könne, einen durch den für die Verarbeitung Verantwortlichen eingesetzten Auftragsverarbeiter ausfindig und Ansprüche gegen diesen geltend zu machen. Diese Auffassung setzte sich jedoch am Ende nicht durch, unter anderem wohl auch deshalb, weil eine Begrenzung der Haftungsansprüche allein auf den für die Verarbeitung Verantwortlichen nationalstaatlichen Vorgaben entgegengestanden hätte, dass ein Betroffener Ansprüche gegen jeden Verursacher eines Schadens geltend machen kann[32].
2.1.1 Neue Definitionen
Haftungsverpflichtet sollen nach Art. 77 DS-GVO der für die Verarbeitung Verantwortliche und/oder dessen Auftragsverarbeiter werden. Beide Normadressaten werden in Art. 4 DSGVO neu definiert. Während die „verantwortlichen Stelle“ nach § 3 Abs. 7 BDSG nunmehr die bereits in Art. 2 Buchst. d S. 1 DS-RL enthaltene und vom BDSG jedoch nicht vollständig übernommene Definition erhält, taucht die Nennung des „Auftragsverarbeiters“ unter den definierten Begriffsbestimmungen in Art. 4 Abs. 6 DS-GVO erstmals auf, ohne geltendes Recht zu verändern.
2.1.2 Die für die Verarbeitung Verantwortlichen
Nach Art. 4 Abs. 5 DS-GVO ist unter „für die Verarbeitung Verantwortlichen“ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle zu verstehen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
2.1.3 Auftragsverarbeiter
Als Auftragsverarbeiter gilt nach Art. 4 Abs. 6 DS-GVO „die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet“. Wie die ein Auftragsdatenverarbeitungsverhältnis begründende konkrete Auftragserteilung auszusehen hat, regelt Art. 26 DS-GVO weitgehend entsprechend der derzeitigen Regelung in § 11 BDSG[33].
Die eigenständige Haftung des Auftragsverarbeiters ist jedoch in den drei Entwürfen zur DS-GVO unterschiedlich ausgestaltet. Kommission und Rat sehen dem Grunde nach eine unterschiedslose gemeinsame Haftung von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter vor. Der Rat möchte die Haftung des Auftragsverarbeiters hingegen auf die Fälle beschränken, in denen er seinen in der Verordnung speziell auferlegten Pflichten[34] nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat[35]. Im letztgenannten Fall gilt der Auftragsverarbeiter für die eigenmächtige Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den Bestimmungen des Art. 24 DS-GVO für gemeinsam für die Verarbeitungen Verantwortliche.
Mit den einem Auftragsverarbeiter „speziell auferlegten Pflichten“ werden all jene Vorschriften als potentielle Haftungsgrundlage erfasst, die den Auftragsverarbeiter als Normadressaten, sei es allein oder zusammen bzw. alternativ zu dem für die Verarbeitung Verantwortlichen, benennen.
Der Auftragsverarbeiter haftet auch, wenn er den für die Verarbeitung Verantwortlichen nicht unverzüglich informiert, falls er seiner Ansicht nach zur Vornahme rechtswidriger Datenverarbeitungen angewiesen wird (Art. 76 Abs. 2 Buchst. h S. 2 DS-GVO der Ratsversion). Auch der Auftragsverarbeiter hat in diesen Fällen die Möglichkeit nachzuweisen, dass der Schaden nicht auf seinem Fehlverhalten beruht.
Die Haftung für bei einem Auftragsverarbeiter, bei infolge dort weisungsgemäß stattgefundener Verarbeitungen, eingetretene Schäden verbleibt dagegen bei dem Auftraggeber, d.h. dass der für die Verarbeitung Verantwortliche sich nicht einer Haftung entziehen kann, nur weil er einen Dienstleister als Auftragsverarbeiter einsetzt.
2.1.4 Gemeinsam Verantwortliche
Eine spezielle Regelung erfahren die Fälle, in denen mehrere verantwortliche Stellen ein Verfahren gemeinsam betreiben bzw. mehrere Auftragsverarbeiter daran beteiligt sind. Grundlage des gemeinsamen Verfahrens mehrerer Verantwortlicher bildet Art. 24 DS-GVO. Danach können zwei oder mehr verantwortliche Stellen per Vertrag gemeinsame Zwecke und Mittel zur Verarbeitung personenbezogener Daten festlegen (Art. 24 DS-GVO). Vertragsinhalt muss insbesondere auch sein, wer von ihnen welche ihnen nach der Verordnung obliegenden Aufgaben und insbesondere die für die Erfüllung der Rechte der betroffenen Personen erforderlichen Maßnahmen wahrnimmt.
Verstoßen die gemeinsam eine Datenverarbeitung durchführenden Verantwortlichen oder auch mehrere gemeinsam handelnde Auftragnehmer gegen Pflichten aus der DS-GVO, dann sind die gemeinsam handelnden für die Verarbeitung Verantwortlichen als auch die gemeinsam handelnden Auftragsdatenverarbeiter sowohl gemeinsam als auch jeder einzeln für den entstandenen Schaden verantwortlich (Art. 77 Abs. 2 DS-GV der Kommisions- und Parlamentsverion bzw. Abs. 4 der Version des Rates). Dieser Grundsatz der gemeinsamen (das Parlament spricht ausdrücklich von einer „gesamtschuldnerischen“[36]) Haftung, gilt nach Auffassung des Parlaments jedoch dann nicht, wenn in der Vereinbarung nach Art. 24 DS-GVO entsprechende Verantwortlichkeiten festgelegt wurden und ein für die Verarbeitung Verantwortlicher für den rechtswidrigen Teil der Datenverarbeitung nicht verantwortlich ist[37]. Nach Auffassung des Parlaments hätten es die beteiligten Stellen also durchaus selbst in der Hand, durch eine entsprechend kluge und durchdachte vertragliche Regelung der Verantwortlichkeiten jedes Beteiligten die Verantwortlichkeiten genau festzulegen und damit von vornherein eine Haftung auszuschließen.
2.1.5 Haftungsumfang
Wie bereits beschrieben, sehen alle drei Versionen der DSGVO vor, dass wenn eine gemeinsame Verantwortlichkeit für die in Rede stehende, rechtswidrige Datenverarbeitung existiert, sich die Haftung jedes einzeln Beteiligten auf den gesamten entstandenen Schaden erstreckt.
Dieses Ergebnis wurde im Rat jedoch nicht von allen Mitgliedstaaten favorisiert. In den Verhandlungen zu Art. 77 DSGVO wurden zwei alternative Modelle der Haftung diskutiert.
Alternative 1 sah eine Vermutung der Haftung für den Gesamtschaden vor, wenn ein Beteiligter auf irgendeine Art und Weise für den entstandenen Schaden verantwortlich ist[38]. Jeder Beteiligte, selbst wenn er nur zu einem kleinen Teil für den Schaden verantwortlich ist, muss für den gesamten entstandenen Schaden haften[39]. Jedoch ist Haftungsvoraussetzung, dass eine Verantwortlichkeit für den Schaden besteht, selbst wenn diese minimal ist[40]. Der Rat trennt in dieser Alternative also zwischen der datenschutzrechtlichen Verantwortlichkeit bzw. im Fall des Auftragsverarbeiters einer Beteiligung an der Verarbeitung auf der einen Seite und einer Verantwortlichkeit für den entstandenen Schaden auf der anderen Seite. Eine Verbindung zwischen beiden Verantwortlichkeiten wird oft existieren, ist jedoch nicht stets gegeben und wird in dieser Alternative 1 entsprechend berücksichtigt.
Alternative 2 hingegen sah vor, dass die Verantwortlichkeit für den Schaden und damit die Haftung der datenschutzrechtlichen Verantwortlichkeit (die gerade nicht identisch mit jener Verantwortlichkeit für den Schaden sein muss) folgt. Selbst wenn ein an der Verarbeitung Beteiligter nicht für den entstandenen Schaden verantwortlich ist (etwa weil sein Beitrag an der Verarbeitung nichts mit dem Schaden zu tun hat), so ist er jedoch an der Datenverarbeitung beteiligt und muss daher auch für den gesamten Schaden haften[41]. Die Beteiligung an der Datenverarbeitung an sich ist also ausreichend[42]. Ein Betroffener könnte unter Alternative 2 also von jedem an der Datenverarbeitung Beteiligten (für die Verarbeitung Verantwortlicher und/oder Auftragsverarbeiter) den gesamten Schaden ersetzt verlangen.
Alternative 1, die am Ende in den Ratstext Einzug erhielt (vgl. Art. 77 Abs. 4 DS-GVO), stellt sich als für die an der Datenverarbeitung Beteiligten gerechter dar, da ein für die Verarbeitung Verantwortlicher und/oder Auftragsverarbeiter niemals Schadensersatz leisten muss, wenn er für den entstandenen Schaden in keinster Weise verantwortlich ist[43]. Alternative 2 hingegen war aus Sicht der Betroffenen von Vorteil, da der Schadensersatzanspruch sich gegen jeden an der Datenverarbeitung Beteiligten richten würde, unabhängig davon, ob der in Anspruch genommene für den entstandenen Schaden (mit-)verantwortlich ist. Die zweite Alternative wurde im Rat als besonders ungerecht gegenüber kleinen Unternehmen angesehen, die, obwohl sie für den Schaden selbst nicht verantwortlich sind, mit Schadensersatzansprüchen konfrontiert werden könnten und im Nachgang in einer Verarbeitungskette selbst gegen einen Auftragsverarbeiter und/oder für die Verarbeitung Verantwortlichen vorgehen müssten[44].
2.1.6 Die Haftung auslösender Tatbestand
Während nach § 7 BDSG eine unrichtige oder unzulässige Verarbeitung den Schaden ausgelöst haben muss, formulieren die Entwürfe des Art. 77 Abs. 1 DS-GVO den Haftungstatbestand teilweise abweichend, womit sich die Frage stellt, ob damit auch der Haftungsrahmen erweitert werden soll. Nach der Auffassung des Rats sollen wie bisher nur Verarbeitungen, die nicht mit dieser Verordnung zu vereinbaren sind, eine spezielle Schadensersatzpflicht auslösen.
Soweit der Wortlaut mit § 7 BDSG bzw. Art. 23 DS-RL übereinstimmt, spricht dies für eine Interpretation der Haftungsreichweite wie sie bereits bei § 7 BDSG vertreten wird.
Der Parlamentstext (Art. 77 Abs. 1 DS-GVO) geht jedoch darüber hinaus, indem nicht nur jede rechtswidrige Verarbeitung, sondern auch andere mit dieser Verordnung nicht zu vereinbarende Handlungen zur Erstattung des dadurch entstandenen Schadens verpflichten können. Eine ähnliche Formulierung findet sich auch derzeit in Art. 23 Abs. 1 DS-RL, wonach ein Anspruch auf Schadensersatz bei „jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung“ besteht. Beide Male wird der Begriff „Handlung“ im Unterschied zur „Verarbeitung“ verwendet. Klar ist damit, dass mit der Handlung gerade keine Datenverarbeitung gemeint sein kann. Haftungsgrundlage könnten damit also vor allem Verletzungen von Pflichten und Vorgaben sein, die gerade keine Datenverarbeitung an sich betreffen. Damit wäre, wenn sich diese Fassung durchsetzt, z.B. auch ein Schaden zu ersetzen, der in Folge eines Verstoßes gegen die nunmehr in Art. 31 und 32 DS-GVO geregelten Informationspflicht bei „Datenpannen“ entstanden ist. Auch eine nicht den Vorgaben der DS-GVO entsprechende Bestellung eines Datenschutzbeauftragten könnte als „Handlung“ Haftungsgrundlage für Schadensersatzansprüche sein. Über die derzeit geltende Regelung der DS-RL hinaus (nur der für die Verarbeitung Verantwortliche), würde nach der Parlamentsversion zudem auch jede Handlung eines Auftragsverarbeiters als Haftungsrundlage in Betracht kommen.
Die Ratsversion der DS-GVO befasst sich zudem in Erwägungsgrund 118 DS-GVO mit der Frage, inwieweit Verarbeitungen auf der Grundlage und eventuell unter Verstoß gegen nationale Datenschutzregelungen von Art. 77 DS-GVO umfasst sind. Soweit Art. 77 DS-GVO auf Verarbeitungen Bezug nimmt, sind hiervon auch Verarbeitungen umfasst, die nicht mit den nach Maßgabe von delegierten Rechtsakten und Durchführungsrechtsakten und auch nationalen Rechtsvorschriften zur Präzisierung von Bestimmungen der DS-GVO durchgeführten Datenverarbeitungen in Einklang stehen.
2.1.7 Immaterieller Schadensersatz
Nach Erwägungsgrund 118 DS-GVO der Ratsversion soll die betroffene Person einen vollständigen und wirksamen Ersatz für den erlittenen Schaden erhalten. Der Begriff des Schadens sollte nach den Vorstellungen des Rats[45] im Lichte der Rechtsprechung des Europäischen Gerichtshofs (EuGH) weit, auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht, und dies unabhängig von parallel bestehenden Schadenersatzforderungen. Der Vorschlag für den Verweis auf die Rechtsprechung des EuGH stammt von der deutschen Delegation[46]. Diese Klarstellung in den Erwägungsgründen hat besondere Bedeutung für die in Art. 77 DS-GVO nach den Vorschlägen des Parlaments und des Rats vorgesehene Erstreckung der Haftung auf immaterielle Schäden. Der Ratstext spricht von “moralischen“ Schäden[47], der Text des Parlaments von „immateriellen“ bzw. „sonstigen“ Schäden.
Was genau mit dem Hinweis auf die Rechtsprechung des EuGH gemeint ist, bleibt jedoch unklar. Bezieht sich der Verweis auf die Rechtsprechung zum Schadensbegriff im Speziellen oder auch auf die Rechtsprechung des Gerichtshofs zum Schutz personenbezogener Daten?
Klar scheint, dass der Rat den Schadensbegriff im Zweifel weit auslegen möchte, um den Rechten der Betroffenen effektive Geltung verschaffen zu können. Klar scheint nach den vorliegenden Vorschlägen aus Parlament und Rat auch, dass der zukünftige Art. 77 DS-GVO ausdrücklich den Ersatz von materiellen als auch den immateriellen Schäden umfassen wird.
Von besonderer Praxisrelevanz ist zudem der Hinweis der Kommission in den Ratsverhandlungen, dass allein die Verletzung von Vorschriften der DS-GVO noch keinen Schadensersatzanspruch auslöst. Vielmehr muss der Betroffene das Vorliegen eines Schadens beweisen[48].
2.1.8 Nachweis fehlendenden Verschuldens
Sowohl die verantwortliche Stelle als auch der Auftragsdatenverarbeiter sollen sich von der Haftung exkulpieren können, wenn sie nachweisen, dass sie das den Schaden auslösende Ereignis nicht verschuldet haben[49]. Dies kann darauf beruhen, dass ein Fehlverhalten der betroffenen Person vorliegt oder ein Fall höherer Gewalt[50].
Interessanterweise erwähnt die Parlamentsversion die Möglichkeit der Exkulpation nur in Erwägungsgrund 118. In Art. 77 Abs. 2 DS-GVO verweist der Parlamentstext allein auf die schriftliche Vereinbarung nach Art. 24 DS-GVO, in der jedoch nicht erst ein (Mit-)Verschulden, sondern die Verantwortlichkeit an sich geregelt werden soll. Art. 77 Abs. 3 des Kommissionsentwurfs verweist auf die allgemeine Exkulpationsmöglichkeit des für die Verarbeitung Verantwortlichen und/oder Auftragsverarbeiters. Auch der Ratstext verweist in Art. 77 Abs. 3 DS-GVO auf diese Möglichkeit, formuliert die Voraussetzung der Exkulpation jedoch (entsprechend der gewählten Alternative 1, siehe Ziffer 2.1.5) etwas um. Der für die Verarbeitung Verantwortliche bzw. Auftragsverarbeiter darf danach in keinerlei Weise für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sein.
2.1.9 Gerichtliche Zuständigkeit
Zuletzt stellt sich, gerade aus praktischer Sicht, die Frage, vor welchem Gericht der Betroffene Schadensersatzansprüche geltend machen kann. Allein Erwägungsgrund 118a sowie Art. 77 Abs. 6 der Ratsversion versuchen, eine Antwort hierauf zu geben. Nach Erwägungsgrund 118a sollten die allgemeinen Vorschriften über die Gerichtsbarkeit, wie sie etwa in der EU-Verordnung Nr. 1215/2012 enthalten sind, der Anwendung dieser spezifischen Vorschriften der DS-GVO nicht entgegenstehen. Im Ergebnis stellen die Vorschriften der DS-GVO also eine lex specialis dar, welche anderen europäischen Vorschriften zur Gerichtszuständigkeit vorgehen. Gemäß Art. 77 Abs. 6 DS-GVO des Rates sind für Schadensersatzansprüche die in Art. 75 Abs. 2 DS-GVO benannten Gerichte zuständig.
Nach Art. 75 Abs. 2 DS-GVO (in allen drei Versionen) sind die Gerichte des Mitgliedstaates zuständig, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Hinzuweisen ist darauf, dass hier allein von der „Niederlassung“ die Rede ist und nicht etwa der Hauptsitz des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters auschlaggebend ist. Klagen auf Schadensersatz können also in jedem Mitgliedstaat angestrengt werden, in dem der Anspruchsgegener niedergelassen ist. Daneben kann ein Betroffener (wahlweise) auch Klage bei den Gerichten des Mitgliedstaates einreichen, an dem er seinen Aufenthaltsort hat.
3. Fazit
Die Neuregelung der eigenständigen Datenschutzhaftung in Art. 77 DS-GVO wird einige Verbesserungen für den Betroffenen bringen. Die Pflicht zur Erstattung immateriellen Schadens wird für alle verantwortlichen Stellen gelten. Auftragsverarbeiter und gemeinsam Verantwortliche werden in die Haftungsregelungen speziell einbezogen. Offen ist, ob auch eine Anknüpfung der Haftung an die Rechtwidrigkeit bloßer „Handlungen“ kommt.
Prof. Peter Gola Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
Dr. Carlo Piltz ist in der Kanzlei JBB Rechtsanwälte, Berlin als Rechtsanwalt mit den Schwerpunkten Datenschutz- und IT-Recht tätig.
[1] Vgl. Gola/Schomerus, BDSG, 12. Aufl., § 7 Rn. 10; § 8 Rn. 6.
[2] Vorschlag der Europäischen Kommission vom 25.1.2012 (KOM(2012)) 11 endgültig, 2012/2011 (COD); Beschluss des Europäischen Parlaments vom 12. März 2014 (1. Lesung des obigen Vorschlags (Interinstitutionelles Dossier des Rats der Europäischen Kommission vom 27.3.2014), 2012/2011 (COD); 7427/1/14, REV 1; Rat der Europäischen Union vom 15. Juni 2015, 9565/15.
[3] Siehe auch vom BayLDA erstellte Synopse der Vorschläge: https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayLDA_Synopse.
[4] Dazu, ob hieraus zu folgern ist, dass der Gesetzgeber im nicht öffentlichen Bereich gerade keinen speziellen Anspruch auf Ersatz immaterieller Schäden schaffen wollte, vgl. nachstehend.
[5] Die DS-GVO verwendet an dessen Stelle den in Art. 3 Nr. 5 definierten Begriff des „für die Verarbeitung Verantwortlichen“.
[6] Arlt, in: Schild u.a., HDSG, § 6 Rn. 8.
[7] E-Government-Gesetz – EGovG vom 25. Juli 2013; BGBl. I S. 2749.
[8] BR-Drs. 557/12, S. 63.
[9] Zu der diesbezüglichen Kritik an der gesetzlichen Regelung in der Literatur vgl. bei Gola/Schomerus, BDSG § 7 Rn. 12.
[10] BGHZ 169, 340 = NJW 2007, 689.
[11] Nach Ehmann Helfrich, EG-Datenschutzrichtline, Art. 23 Rn. 23 gibt Art. 23 insoweit den Mitgliedstaaten einen Umsetzungsspielraum.
[12] Vgl. Quaas, in: Wolff/Brink, Datenschutzrecht, BDSG § 7 Rn. 55 mit Nachweisen.
[13] Simitis, in: Simitis (Hrsg.), BDSG, 8. Aufl. 2014, § 7 Rn. 32, mit Kritik an der anachronistischen Unterscheidung.
[14] Nach Simitis, in: Simitis (Hrsg.), BDSG § 7 Rn. 62 soll die Schwere des Verstoßes nur für die Höhe des Ausgleichs maßgebend sein.
[15] BGH, RDV 1996, 132.
[16] Vgl. die Nachweise der Rechtsprechung bei Gola/Schomerus, BDSG § 7 Rn. 19; zur Geldentschädigung wegen heimlicher Videobeobachtung BAG, NZA 2015, 994.
[17] Simitis, in: Simitis (Hrsg.), BDSG § 7 Rn. 16 und 19.
[18] Eßer, in: Auernhammer, BDSG 4. Aufl. § 7 Rn. 15
[19] Verneinend z.B. für die Hinweispflicht in § 6b Abs. 2 BDSG: Becker, in: Plath, BDSG § 7 Rn. 12; § 6b Rn. 27.
[20] Weitergehend Simitis, in: Simitis (Hrsg) Rn. 19; Gabel, in: Taeger/ Gabel (Hrsg.), BDSG, 2. Aufl. § 7 Rn. 7; Däubler, in: Däubler/Klebe/ Wedde/Weichert, BDSG 4. Aufl. § 7 Rn. 10.
[21] Gola/Schomerus, BDSG § 4 Rn. 46 ff.
[22] Art. 6 Abs. 1 Buchst. a DS-RL und vorgesehen in allen vorliegenden Texten zur DS-GVO in Art. 5 Buchst. a.
[23] Vgl. aber Simitis, in: Simitis (Hrsg.), BDSG § 7 Rn. 19, der pauschal das Nichtnachkommen von Informationspflichten als haftungsauslösend sieht, bzw. Däubler, in: Däubler/Klebe/Wedde/Weichert, BDSG § 7 Rn. 10, der die fehlende Information bei erstmaliger Speicherung nach § 33 oder – und dies zu recht – die nicht hinreichende Information vor einer Einwilligung als Fallbeispiele benennt.
[24] A.A. Dix, in: Simitis (Hrsg.), BDSG § 33 Rn. 43.
[25] Dix, in: Simitis (Hrsg.), BDSG § 42a Rn. 21.
[26] Unklar insoweit Quaas, in: Wolff/Brink, Datenschutzrecht, BDSG § 7 Rn. 47.
[27] Dazu im Einzelnen Gola/Schomerus, BDSG § 7 Rn. 10 mit Nachweisen.
[28] Gola/Schomerus, BDSG § 11 Rn. 26.
[29] Vgl. im Einzelnen Gola/Schomerus, BDSG § 7 Rn. 16 ff.
[30] Thüsing, Arbeitnehmerdatenschutz und Compliance, Rn. 521; Forst, AuR 2010, 106; Däubler, in: Däubler/Klebe/Wedde/Weichert, S. 280, BDSG § 7 Rn. 33.
[31] Ratsdokument 8383/15, S. 3.
[32] Ratsdokument 8383/15, S. 4.
[33] Vgl. Petri, ZD 2015, 305.
[34] Nach Erwägungsgrund 118 des Rates gilt dies auch für die Nichtbeachtung von zur Präzisierung der Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und nationalen Rechtsvorschriften
[35] Vgl. Art. 77 Abs. 2, Rat der Europäischen Union vom 15. Juni 2015, 9565/15
[36] Art. 77 Abs. 2 Beschluss des Europäischen Parlaments vom 12. März 2014.
[37] Art. 77 Abs. 2 Beschluss des Europäischen Parlaments vom 12. März 2014.
[38] Ratsdokument 8383/15, S. 4.
[39] Im Rat wurde das Beispiel angebracht, dass nur eine 10%ige Verantwortlichkeit besteht, die Haftung jedoch 100% des entstandenen Schadens umfasst, vgl. Ratsdokument 8383/15, S. 5.
[40] Ratsdokument 9083/15, S. 3.
[41] Ratsdokument 8383/15, S. 5.
[42] Ratsdokument 9083/15, S. 3.
[43] Ratsdokument 8383/15, S. 5.
[44] Ratsdokument 8383/15, S. 5.
[45] Erwägungsgrund 118, S. 2
[46] Ratsdokument 15076/13, S. 6.
[47] Auch dies geht auf einen Vorschlag der deutschen Delegation zurück, vgl. Ratsdokument 15076/13, S. 14, dort Fn. 28.
[48] Ratsdokument 9083/15, S. 18, dort Fn. 44.
[49] Art. 77 Abs. 3 dafür: Kommission/Rat.
[50] Erwägungsgrund 118 Komission/EU-Parlament.