Entsteht dem von einem Datenschutzverstoß Betroffenen einen materieller oder immaterieller Schaden, so steht ihm die Geltendmachung von Schadensersatz (oder bei immateriellen Schäden gemeinhin Schmerzensgeld genannt) aus mehreren Ansprüchen offen: Zum einen sieht hier das Bundesdatenschutzgesetz in § 7 BDSG und § 8 BDSG Schadensersatzansprüche vor. Daneben sehen insbesondere die deliktischen Ansprüche aus dem Bürgerlichem Gesetzbuch – konkret die §§ 823 BGB, 831 BGB, 824 BGB und 826 BGB.
Nach § 7 BDSG macht sich eine verantwortliche Stelle gemäß § 3 Abs. 7 BDSG bei einer datenschutzwidrigen Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten des Betroffenen schadensersatzpflichtig, sofern dem Betroffenen durch die Datenschutzverletzung ein Schaden entstanden ist. Zu beachten ist allerdings, dass sich die verantwortliche Stelle exculpieren kann, sofern sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
Zu beachten sind die zahlreichen Einschränkungen des § 7 BDSG: Den Schadensersatzanspruch kann nur eine natürliche Person geltend machen, ferner muss es sich bei den von der betroffenen Stelle verarbeiteten Daten um die Daten des Betroffenen selbst handeln und auch dem Betroffenen muss der Schaden selbst entstanden sein. Wichtig in diesem Zusammenhang ist auch, dass aufgrund des klaren Wortlaut des nicht etwa Mitarbeiter oder Arbeitnehmer oder gar der Datenschutzbeauftragte gemäß § 7 BDSG haften, sondern ausschließlich die verantwortliche Stelle. Die Schadensersatzpflicht besteht auch bei jedem Verstoß gegen eine Datenschutzvorschrift – egal in welcher Art und Weise eine unzulässige datenschutzwidrige Verarbeitung erfolgte. Dies können beispielsweise Verstößen gegen das BDSG durch die unerlaubte zweckentfremdete Nutzung von personenbezogenen Daten sein, die unberechtigte Nutzung von Daten sein – etwa weil keine wirksame Einwilligung vorliegt – oder keine Rechtsgrundlage für eine Datenverarbeitung vorliegt. Eine Haftung nach § 7 BDSG kommt beispielsweise auch in Betracht, wenn ein Verstoß gegen die Datenschutzvorschriften des Telemediengesetzes (TMG) oder des Telekommunikationsgesetzes (TKG) vorliegen.
Der verantwortlichen Stelle steht gemäß § 7 Satz 2 BDSG der Entlastungsbeweis offen: Hat die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet, haftet sie nicht. Dies bedeutet, dass sie alle im konkreten Fall darlegen muss, die erforderlichen Maßnahmen getroffen zu haben, um eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zu ermöglichen – in anderen Worten also alle gesetzlichen Anforderungen eingehalten wurden aber der Schaden beim Betroffenen dennoch nicht verhindert werden konnte.
Einer der schwierigsten Punkte bei einem Schadensersatz aus Datenschutzverletzungen ist die Nachweisbarkeit eines konkreten Schadens. Ein solcher muss der Betroffene darlegen und beweisen. Der Ersatz immaterieller Schäden ist von § 7 BDSG nicht vorgesehen – hier muss man sich des § 8 BDSG (wegen § 8 Abs. 2 BDSG) bedienen – sofern dessen enge Voraussetzungen überhaupt vorliegen – oder eines Anspruchs aus den Verletzung des allgemeinen Persönlichkeitsrechts.
Bei § 8 BDSG handelt es sich um eine Sondervorschrift zur Haftung von öffentlichen Stellen (§ 2 BDSG). Im Gegensatz zu § 7 BDSG besteht hier bei einer datenschutzwidrigen Verarbeitung von personenbezogenen Daten eine „echte“ Gefährdungshaftung. Zu beachten ist aber hier, dass es sich im Gegensatz zu § 7 BDSG um eine „automatisierte Datenverarbeitung“ handeln muss. Abs. 2 sieht hier eine Schadensersatzpflicht auch von immateriellen Schäden vor. Abs. 3 begrenzt die Haftung sowohl für materielle als auch immaterielle Schäden auf einen Höchstbetrag von 130.000,00 €.
Aufgrund dieser etwas löchrigen Anspruchsgrundlagen für die Geltendmachung von materiellen und immateriellen Schäden sind deshalb die daneben stehenden vertraglichen Ansprüche und deliktsrechtliche Ansprüche aus dem Bürgerlichen Gesetzbuch (BGB) relevant.
Datenschutzgerechtes Verhalten kann sich zum Beispiel aus einer Hauptpflicht des Vertragsverhältnisses ergeben, in der Regel aber aus der Verpflichtung durch vertragliche Nebenpflichten, welche unter Umständen zu einem vertraglichen Schadensersatzanspruch führen können.
Aus § 823 Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder dem allgemeinen Persönlichkeitsrecht kann sich im Falle eines verschuldeten Verstoßes gegen Datenschutzvorschriften ein Schadensersatzanspruch ergeben. Nach den allgemeinen haftungsrechtlichen Grundsätzen kann auch hier ein Unternehmen als juristische Person gemäß §§ 30,31 BGB oder aus der Verletzung einer Organisationspflicht (Organisationsverschulden) haften. Für von einem Mitarbeiter oder Angestellten – oder auch des Datenschutzbeauftragten – begangenen Datenschutzverstoß kann ein Unternehmen aber auch nach den Grundsätzen der Haftung für Verrichtungsgehilfen gemäß § 831 BGB in Verbindung mit § 823 Abs. 1 BGB haften. Hier steht dem Unternehmen allerdings ein Entlastungsbeweis frei, indem dargelegt wird, dass die Mitarbeiter sorgfältig ausgewählt wurden und sie auch ausreichend über die Befugnisse zur Verarbeitung personenbezogener Daten belehrt worden sind.
Wird etwa durch ein datenschutzwidriges Verhalten der Kredit eines anderen gefährdet oder dessen wirtschaftliche Lage nachteilig beeinflusst, kommt eine Haftung aus § 824 BGB (Kreditgefährdung) in Betracht. Im Einzelfall denkbar ist auch eine Inanspruchnahme aus sittenwidriger vorsätzlicher Schädigung gemäß § 826 BGB.
Für den Schadensersatz von immateriellen Schäden kommt ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder des allgemeinen Persönlichkeitsrechts in Betracht.
Weitere Beiträge zu dieser Reihe:
- Haftung und Sanktionen bei Datenschutzverstößen – Übersicht
- Teil 1: Haftung und Sanktionen bei Datenschutzverstößen – Ordnungswidrigkeitstatbestände und Bußgelder
- Teil 2: Haftung und Sanktionen bei Datenschutzverstößen – Straftatbestände und Strafen
- Teil 4: Haftung und Sanktionen bei Datenschutzverstößen – Unterlassungsansprüche (Abmahnung)
- Teil 5: Haftung und Sanktionen bei Datenschutzverstößen – Negative Außenwirkung und Publicity
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe