Entsteht
dem von einem Datenschutzverstoß Betroffenen einen materieller oder
immaterieller Schaden, so steht ihm die Geltendmachung von Schadensersatz (oder bei immateriellen Schäden gemeinhin Schmerzensgeld genannt) aus mehreren Ansprüchen offen: Zum einen sieht hier das
Bundesdatenschutzgesetz in § 7 und § 8 BDSG Schadensersatzansprüche vor.
Daneben sehen insbesondere die deliktischen Ansprüche aus dem Bürgerlichem
Gesetzbuch – konkret die §§ 823, 831, 824 und 826 BGB.
Nach § 7
BDSG macht sich eine verantwortliche Stelle gemäß § 3 Abs. 7 BDSG bei einer
datenschutzwidrigen Erhebung, Verarbeitung oder Nutzung der personenbezogenen
Daten des Betroffenen schadensersatzpflichtig, sofern dem Betroffenen durch die
Datenschutzverletzung ein Schaden entstanden ist. Zu beachten ist allerdings,
dass sich die verantwortliche Stelle exculpieren kann, sofern sie die nach den
Umständen des Falles gebotene Sorgfalt beachtet hat.
Zu
beachten sind die zahlreichen Einschränkungen des § 7 BDSG: Den
Schadensersatzanspruch kann nur eine natürliche Person geltend machen, ferner
muss es sich bei den von der betroffenen Stelle verarbeiteten Daten um die
Daten des Betroffenen selbst handeln und auch dem Betroffenen muss der Schaden
selbst entstanden sein. Wichtig in diesem Zusammenhang ist auch, dass aufgrund
des klaren Wortlaut des nicht etwa Mitarbeiter oder Arbeitnehmer oder gar der
Datenschutzbeauftragte gemäß § 7 BDSG haften, sondern ausschließlich die
verantwortliche Stelle. Die Schadensersatzpflicht besteht auch bei jedem
Verstoß gegen eine Datenschutzvorschrift – egal in welcher Art und Weise eine
unzulässige datenschutzwidrige Verarbeitung erfolgte. Dies können
beispielsweise Verstößen gegen das BDSG durch die unerlaubte zweckentfremdete
Nutzung von personenbezogenen Daten sein, die unberechtigte Nutzung von Daten
sein – etwa weil keine wirksame Einwilligung vorliegt – oder keine
Rechtsgrundlage für eine Datenverarbeitung vorliegt. Eine Haftung nach § 7 BDSG
kommt beispielsweise auch in Betracht, wenn ein Verstoß gegen die
Datenschutzvorschriften des Telemediengesetzes (TMG) oder des
Telekommunikationsgesetzes (TKG) vorliegen.
Der
verantwortlichen Stelle steht gemäß § 7 Satz 2 BDSG der Entlastungsbeweis
offen: Hat die verantwortliche Stelle die nach den Umständen des Falles
gebotene Sorgfalt beachtet, haftet sie nicht. Dies bedeutet, dass sie alle im
konkreten Fall darlegen muss, die erforderlichen Maßnahmen getroffen zu haben,
um eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zu
ermöglichen - in anderen Worten also alle gesetzlichen Anforderungen eingehalten
wurden aber der Schaden beim Betroffenen dennoch nicht verhindert werden
konnte.
Einer der
schwierigsten Punkte bei einem Schadensersatz aus Datenschutzverletzungen ist
die Nachweisbarkeit eines konkreten Schadens. Ein solcher muss der Betroffene darlegen
und beweisen. Der Ersatz immaterieller Schäden ist von § 7 BDSG nicht
vorgesehen – hier muss man sich des § 8 BDSG (wegen § 8 Abs. 2 BDSG) bedienen -
sofern dessen engen Voraussetzungen überhaupt vorliegen - oder eines Anspruchs
aus den Verletzung des allgemeinen Persönlichkeitsrechts.
Bei § 8
BDSG handelt es sich um eine Sondervorschrift zur Haftung von öffentlichen
Stellen (§ 2 BDSG). Im Gegensatz zu § 7 BDSG besteht hier bei einer
datenschutzwidrigen Verarbeitung von personenbezogenen Daten eine
"echte" Gefährdungshaftung. Zu beachten ist aber hier, dass es sich
im Gegensatz zu § 7 BDSG um eine "automatisierte Datenverarbeitung"
handeln muss. Abs. 2 sieht hier eine Schadensersatzpflicht auch von
immateriellen Schäden vor. Abs. 3 begrenzt die Haftung sowohl für materielle
als auch immaterielle Schäden auf einen Höchstbetrag von 130.000,00 €.
Aufgrund
dieser etwas löchrigen Anspruchsgrundlagen für die Geltendmachung von
materiellen und immateriellen Schäden sind deshalb die daneben stehenden vertraglichen
Ansprüche und deliktsrechtliche Ansprüche aus dem Bürgerlichen Gesetzbuch (BGB)
relevant.
Datenschutzgerechtes
Verhalten kann sich zum Beispiel aus einer Hauptpflicht des
Vertragsverhältnisses ergeben, in der Regel aber aus der Verpflichtung durch
vertragliche Nebenpflichten, welche unter Umständen zu einem vertraglichen
Schadensersatzanspruch führen können.
Aus § 823
Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder
dem allgemeinen Persönlichkeitsrecht kann sich im Falle eines verschuldeten
Verstoßes gegen Datenschutzvorschriften ein Schadensersatzanspruch ergeben.
Nach den allgemeinen haftungsrechtlichen Grundsätzen kann auch hier ein
Unternehmen als juristische Person gemäß §§ 30,31 BGB oder aus der Verletzung
einer Organisationspflicht (Organisationsverschulden) haften. Für von einem
Mitarbeiter oder Angestellten – oder auch des Datenschutzbeauftragten –
begangenen Datenschutzverstoß kann ein Unternehmen aber auch nach den
Grundsätzen der Haftung für Verrichtungsgehilfen gemäß § 831 BGB in Verbindung
mit § 823 Abs. 1 BGB haften. Hier steht dem Unternehmen allerdings ein
Entlastungsbeweis frei, indem dargelegt wird, dass die Mitarbeiter sorgfältig
ausgewählt wurden und sie auch ausreichend über die Befugnisse zur Verarbeitung
personenbezogener Daten belehrt worden sind.
Wird etwa
durch ein datenschutzwidriges Verhalten der Kredit eines anderen gefährdet oder
dessen wirtschaftliche Lage nachteilig beeinflusst, kommt eine Haftung aus §
824 BGB (Kreditgefährdung) in Betracht. Im Einzelfall denkbar ist auch eine
Inanspruchnahme aus sittenwidriger vorsätzlicher Schädigung gemäß § 826 BGB.
Für den
Schadensersatz von immateriellen Schäden kommt ein Anspruch aus § 823 Abs. 1
BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder des
allgemeinen Persönlichkeitsrechts in Betracht.