Aufsatz : Die Beweislast und Darlegungslast bei Ansprüchen nach Art. 82 Abs. 1 DS-GVO : aus der RDV 2/2021, Seite 77 bis 83
Im Rahmen gerichtlicher Verfahren zu Ansprüchen aus Art. 82 DS-GVO wegen Verstößen gegen die DS-GVO sind die Beweislastregelungen sowohl in der Literatur als auch in der Rechtsprechung umstritten. Erstmals hat nun ein Gericht eine sekundäre Darlegungslast bezüglich der Darlegung des Verstoßes gegen die Verordnung angenommen. Eine solche sekundäre Darlegungslast wurde in Arzthaftungsprozessen durch die Rechtsprechung entwickelt und ist mittlerweile ein wichtiges Element eines Arzthaftungsprozesses. Es stellt sich daher unter anderem die Frage, ob die Annahme einer solchen sekundären Darlegungslast durch die Rechtsprechung auch bei Verstößen gegen Art. 82 Abs. 1 DS-GVO zu erwarten und gerechtfertigt ist. Dieser Frage soll durch die Untersuchung von Gemeinsamkeiten und Unterschieden der Beweislast- und Darlegungslastverteilungen bei Ansprüchen aus dem Arzthaftungsrecht und aus Art. 82 Abs. 1 DS-GVO auf den Grund gegangen werden.
I. Beweis- und Darlegungslast in Arzthaftungsprozessen
Es erfolgt zunächst ein Überblick über die gesetzlichen Regelungen der Beweislastverteilung im Arzthaftungsrecht mit besonderer Betrachtung der Herleitung der sekundären Darlegungslast bezüglich des Behandlungsfehlers.
1. Gesetzliche Regelungen der § § 630a ff. BGB
Das ärztliche Haftungsrecht war zunächst ein hauptsächlich durch Richterrecht geprägter Bereich. Durch das Patientenrechtegesetz 2012 wurden die richterrechtlich entstandenen Prinzipien in den § § 630a ff. BGB ausdrücklich festgelegt.[1]
Ein Schadensersatzanspruch kann daher auf § § 630a Abs. 1, 280 Abs. 1, 241 Abs. 2 BGB gestützt werden. Tatbestandsvoraussetzungen sind hierfür das Vorliegen eines Behandlungsfehlers als Pflichtverletzung, welcher kausal zu einem Schaden geführt hat, was dem Behandelnden schuldhaft vorgeworfen werden kann.
Entsprechend den allgemeinen Beweisregeln des Zivilrechts hat der Patient das Vorliegen eines Behandlungsfehlers, den eingetretenen Schaden und die Kausalität zu beweisen.[2] Für einen Behandlungsfehler aus einem vollbeherrschbaren Risikobereich, der sich durch eine sachgerechte Organisation und Koordinierung minimieren lässt, gilt nach § 630h Abs. 1 BGB eine Beweislastumkehr.[3] Kaum abzugrenzen hiervon ist das Verschulden im Sinne des § 280 Abs. 1 S. 2 BGB, weshalb in den meisten Fällen davon ausgegangen werden kann, dass die Beweislastumkehr sich auch auf dieses erstreckt.[4]
2. Herleitung der sekundären Darlegungslast durch den BGH
Unter der sekundären Darlegungslast versteht sich die prozessuale Situation, dass zwar die eine Partei bezüglich der für sie günstigen Anspruchsvoraussetzungen beweisbelastet ist, jedoch nur ein niedriger Maßstab an die Darlegungstiefe des Vorbringens angesetzt wird, und nun die andere Partei im Sinne des § 138 Abs. 2 ZPO umfassend über die behaupteten Tatsachen darzulegen hat, um nicht Gefahr zu laufen, dass die von der beweisbelasteten Partei vorgebrachten Tatsachen im Sinne des § 138 Abs. 3 ZPO als zugestanden anzusehen sind.[5] Es handelt sich hierbei um keine Beweislastumkehr, sondern um ein Auseinanderfallen der Gewichtung von Beweislast und Darlegungslast.[6]
Der BGH hat eine solche sekundäre Darlegungslast für das Vorliegen eines Behandlungsfehlers aus dem voll beherrschbaren Risikobereich entwickelt. Zuletzt ergingen mehrere Entscheidungen zu Hygienemängeln als voll beherrschbare Risikobereiche in Krankenhäusern, in denen die Voraussetzungen an die sekundäre Darlegungslast konkretisiert wurden.[7] Als erste Voraussetzung wird die Unzumutbarkeit der Darlegung aufgrund unterlegenen Wissens des Patienten angeführt. Im Gegensatz hierzu ist es dem Arzt in der Regel ohne weiteres möglich, die Behandlungsabläufe nachvollziehen und offenlegen zu können. Daher hält der BGH aus Gründen der prozessualen Waffengleichheit die Annahme einer sekundären Darlegungslast für zumutbar.[8]
Für die Praxis relevant ist die Abgrenzung zur Ausforschung.[9] Die Rechtsprechung lässt daher Behauptungen „ins Blaue hinein“ nicht genügen, weshalb etwa ein Zeitungsbericht über Hygienemängel im Krankenhaus, der sich aber nicht auf den streitgegenständlichen Behandlungszeitraum bezieht, nicht zur Auslösung der sekundären Darlegungslast genügt.[10] Andererseits lässt die Rechtsprechung ein Vorbringen zu mangelhaften hygienischen Verhältnissen genügen, wenn sie durch Tatsachen substantiiert werden können, wie etwa das Vorliegen von Schimmel im Patientenbad.[11]
II. Beweis- und Darlegungslast bei Ansprüchen nach Art. 82 Abs. 1 DS-GVO
Anhand der einzelnen Anspruchsvoraussetzungen soll nun im Folgenden die jeweilige Beweis- und Darlegungslastverteilung zwischen den Parteien eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO untersucht werden.
Zur Veranschaulichung soll der folgende Beispielfall dienen: Ein Patient wird stationär in einem Krankenhaus aufgenommen. Die Patientendaten werden während des Aufenthalts in der digitalen Patientenakte des Krankenhauses gespeichert, worüber der Patient auch umfassend aufgeklärt wird. Einige Jahre später erfährt der Patient aus der Tageszeitung, dass das Krankenhaus jahrelang „schlampig mit den Daten umgegangen sei“ und ein Pharmaunternehmen unberechtigt an mangelhaft verschlüsselte Daten gelangt sei.
1. Verstoß gegen die Verordnung
Zunächst muss ein Verstoß gegen die DS-GVO vorliegen. Dass überhaupt eine Datenverarbeitung durch den Anspruchsgegner stattgefunden hat, muss der Anspruchssteller beweisen.[12] Fraglich ist aber, ob nun bezüglich des Verstoßes gegen die Verordnung eine Beweislastumkehr oder eine Verschiebung der sekundären Darlegungslast zulasten des Verarbeitenden eintritt.
a) Beweislastumkehr für den Verstoß gegen die Verordnung
Für eine solche Beweislastumkehr könnte die Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO i.V.m. der Nachweispflicht nach Art. 24 Abs. 1 S. 1 DS-GVO sprechen.[13] Danach ist der Verantwortliche für die Einhaltung der Vorschriften bei der Verarbeitung von personenbezogenen Daten rechenschafts- und nachweispflichtig.[14] Im Beispielsfall müsste das Krankenhaus also beweisen, dass ihm kein Verstoß gegen die DS-GVO unterlaufen sei.
Eine solch weitreichende Wirkung der Rechenschafts- und Nachweispflichten wird aber von Teilen der Literatur zurecht abgelehnt. Dies wird zum einen damit begründet, dass abweichend vom Untersuchungsgrundsatz des Verwaltungsverfahrensrechts zwar eine Mitwirkungspflicht eines Beteiligten festgelegt werden könne. Dies bedürfe aber einer hinreichenden Bestimmtheit, was im vorliegenden Fall nicht geschehen sei.[15] Außerdem sei eine solche Beweislastumkehr unverhältnismäßig, da dies über den zulässigen Rahmen einer sanktionierenden Wirkung von zivilrechtlichen Ansprüchen hinaus gehen würde.[16]
Eine Beweislastumkehr lässt sich auch nicht aus Art. 82 Abs. 3 DS-GVO herleiten. Denn diese Regelung bezieht sich auf die Verantwortlichkeit für das Schadensereignis und nicht bereits auf den Verstoß.[17] Die Beweislast für den Verstoß verbleibt also entsprechend der allgemeinen Beweisregeln beim Betroffenen.[18]
b) Sekundäre Darlegungslast für den Verstoß gegen die Verordnung
Somit stellt sich die Frage, ob für den vorliegenden Fall die Etablierung einer sekundären Darlegungslast durch die Rechtsprechung zugunsten des Anspruchsstellers für das Vorliegen eines Verstoßes wahrscheinlich ist und ob eine mögliche Etablierung auch gerechtfertigt wäre. Denn die sekundäre Darlegungslast nimmt in Verfahren eine immer bedeutendere Rolle ein.[19]
Eine solche sekundäre Darlegungslast hat bisher in einem lediglich über die Homepage einer Kanzlei veröffentlichten Verfügungsverfahren das LG Hagen[20] angenommen mit der Begründung der Rechenschaftspflicht der Anspruchsgegnerin.
aa) Unzumutbarkeit der Darlegung für den Anspruchssteller
Für den Anspruchssteller könnte der Nachweis eines Verstoßes gegen die Verordnung problematisch sein. Denn es handelt sich zum einen um in der Regel mediale Vorgänge, die für einen Durchschnittsbürger mutmaßlich schwer zu durchschauen und nachzuvollziehen sind,[21] obwohl die Verarbeitung nach Art. 5 Abs. 1 lit. a DS-GVO für die betroffene Person transparent erfolgen muss. Außerdem führt die Bearbeitung und Speicherung der Daten der Anspruchsgegner durch, und die Daten befinden sich somit grundsätzlich in der Sphäre des Verarbeitenden.
Gegen eine solche Unzumutbarkeit könnte man einwenden, es stehe der betroffenen Person nach Art. 15 Abs. 1 DS-GVO ein Auskunftsrecht zu.[22] Diese Argumentation könnte insbesondere auch die extensive Ansicht des LG Dresden[23] zu Art. 15 Abs. 3 DS-GVO unterstützen, welches in dieser Norm sogar eine umfassende Anspruchsgrundlage für eine Auskunftspflicht bezüglich sämtlicher Behandlungsunterlagen gesehen hat.[24] Diese extensive Ansicht bezüglich der Auskunftsrechte aus Art. 15 DS-GVO unterstrich zuletzt auch das AG Bonn mit der Ansicht über Art. 15 Abs. 1 DS-GVO und den Begriff der „personenbezogenen Daten“, indem es hierzu nicht nur die Stammdaten zählte, sondern sämtliche Informationen mit Personenbezug.[25]
Dass dieses Argument die Etablierung einer sekundären Darlegungslast nicht zwingend hindern könnte, zeigt das Einsichtsrecht in die Patientenakte aus § 630g Abs. 1 BGB. Denn dieses Einsichtsrecht bestand auch schon vor der Kodifizierung des Richterrechts im Zuge des Patientenrechtegesetzes.[26] Weder das Richterrecht noch das kodifizierte Einsichtsrecht hinderten aber die Rechtsprechung an der Annahme einer sekundären Darlegungslast. Dass die Rechtsprechung aber gerade der Unterschied zwischen einem aktiven Auskunftsrecht im Sinne der DS-GVO und einem passiven Einsichtsrecht im Sinne des § 630g BGB überzeugen könnte, eine Zumutbarkeit des vollständigen Darlegens zulasten des Anspruchsstellers anzunehmen, erscheint fraglich.
bb) Zumutbarkeit des substantiierten Darlegens des Anspruchsgegners
Das zweite Merkmal der sekundären Darlegungslast liegt in der Zumutbarkeit, dass von dem Anspruchsgegner hier ein substantiiertes Vorbringen bezüglich der durch den Anspruchssteller in den Raum gestellten Tatsachen verlangt werden kann.
Dem Verarbeitenden könnte der Nachweis der rechtmäßigen Verarbeitung aufgrund der bereits angesprochenen Rechenschafts- und Nachweispflicht aus Art. 5 Abs. 2 DS-GVO i.V.m. Art. 24 Abs. 1 S. 1 DS-GVO zuzumuten sein. Fest steht zumindest, dass ihm aufgrund dieser Pflichten der Nachweis mit wenig Aufwand gelingen könnte. Denn es bietet sich die Einrichtung eines Datenschutzmanagements bzw. eines Compliance-Systems mit Berücksichtigung der datenschutzrechtlichen Risiken und Regelungen zur Vermeidung von Schadensersatzzahlungen wegen Datenschutzverstößen an, wodurch dann bei einem funktionierenden System jederzeit die Einhaltung der Vorschriften belegt werden kann.[27]
Hiergegen spricht aber der gesetzliche Sinn und Zweck der Rechenschafts- und Nachweispflicht. Denn die Rechenschaftspflicht dient den Datenschutzaufsichtsbehörden, wie sich aus Erwägungsgrund 85 der DS-GVO ergibt.[28] Sie vereinfacht die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften. Dies verbessert die Effektivität der Kontrollen, die vor Einführung der DS-GVO mitunter daran scheiterten, dass die Verantwortlichen keine Dokumentation von Datenverarbeitungen vorhielten und somit die Beweislage für die Aufsichtsbehörde dünn war.[29] Dass die Nachweispflicht dadurch auch dem Betroffenen mittelbar dient, führt noch nicht dazu, dass ihm hieraus auch subjektive Rechte entstehen.[30] Dies unterstreicht auch, dass es bei der Risikominimierung durch die Rechenschaftspflichten vor allem um die Kontrolle von technischen und organisatorischen Maßnahmen im Sinne des Art. 24 Abs. 1 S. 1, S. 2 DS-GVO geht.[31]
Anders gelagert hingegen ist die Konstellation im Arzthaftungsrecht. Denn der Behandelnde ist aufgrund der gesetzlichen Regelung des § 630f BGB verpflichtet, eine umfassende Dokumentation in einer Patientenakte zu führen. Hierin müssen etwa Einwilligungen in ärztliche Maßnahmen nach § 630f Abs. 2 S. 1 BGB dokumentiert werden. Diese Pflicht trifft den Arzt aufgrund der „ärztlichen Klugheitsregel“,[32] wonach die Dokumentation die Qualität der Behandlung als Gedächtnisstütze steigern soll.[33] Der Gesetzgeber hat aber zudem auch festgelegt, dass die Dokumentationspflicht eine Beweissicherungsfunktion einnimmt, und zwar im Hinblick auf Arzthaftungsprozesse.[34] Es zeigt sich daher, dass die Dokumentationspflicht, wegen der dem Behandelnden die sekundäre Darlegungspflicht auch zuzumuten ist, gerade zugunsten des Anspruchsinhabers in einem Arzthaftungsprozess besteht.
Der Unterschied in den jeweiligen Schutzrichtungen der Vorschriften zeigt sich letztlich auch in den Folgen der Verstöße. Verstößt der Behandelnde gegen die Dokumentationspflicht, so ergeben sich vor allem Folgen für das Arzthaftungsverfahren. Denn § 630h Abs. 3 BGB regelt ausdrücklich eine Beweislastumkehr.[35] Somit bleiben die Folgen im 2-Personen-Verhältnis. Bei einem Verstoß gegen die Rechenschafts- und Nachweispflicht aus Art. 5 Abs. 2 DS-GVO i.V.m. Art. 24 Abs. 1 S. 1 DS-GVO kommt hingegen insbesondere eine Bußgeldsanktion in Betracht.[36] Die Hauptfolgen gehen also aus dem ursprünglichen Anspruchsverhältnis wegen Art. 82 Abs. 1 DS-GVO hinaus.
Es zeigt sich, dass die Annahme einer sekundären Darlegungslast nicht gerechtfertigt ist. Dies würde den Verarbeitenden unzumutbar benachteiligen, da er aufgrund von Nachweis- und Rechenschaftspflichten in der Lage ist, über die Einhaltung der Verordnung durch technische und organisatorische Maßnahmen Auskunft zu geben, die Pflichten aber gerade nicht dem unmittelbaren Schutz des Betroffenen dienen, sondern der Aufsicht durch die zuständige Behörde.
Sofern aber eine sekundäre Darlegungslast in Betracht kommen sollte, muss der von Paal[37] als vermittelnd bezeichnete Lösung von Gola/Piltz[38] zugestimmt werden, dass der Anspruchssteller zumindest das darlegen muss, was eine außenstehende Person, die keinen Einblick in die internen Datenverarbeitungsprozesse hat, erkennen, nachvollziehen und darlegen kann. Dies überspannt nicht die Anforderungen an das Vorbringen, grenzt aber vom Ausforschen ausreichend ab.[39]
Nähme man also eine solche sekundäre Darlegungslast an, würde das im Sinne der vermittelnden Ansicht für den Beispielsfall bedeuten, dass der Patient seine Vermutungen zumindest belegen muss. Der Zeitungsbericht müsste sich also, wie im angesprochenen Hygienefall, zumindest auf einen Zeitraum beziehen, in denen das Krankenhaus überhaupt über Patientendaten des Patienten verfügt hat.[40] Es müsste außerdem naheliegen, dass es sich bei den durch das Unternehmen unzulässig gewonnen Daten um Patientendaten gehandelt habe, damit eine mögliche Betroffenheit des Patienten wahrscheinlich ist.
2. Verschulden für den Verstoß
Nach Art. 82 Abs. 3 DS-GVO besteht die Möglichkeit der Befreiung von der Verantwortlichkeit, indem der Verantwortliche nachweist, alle Sorgfaltspflichten der DS-GVO, die an ihn gestellt werden, erfüllt zu haben.[41] Es wird der Streit geführt, ob hierfür der Sorgfaltsmaßstab des § 276 BGB maßgeblich ist oder ein europarechtlicher Verschuldensmaßstab. Letztlich lassen beide Ansichten aber Vorsatz und jegliche Art der Fahrlässigkeit genügen.[42] Durch Art. 82 Abs. 3 DS-GVO wird die Beweislast für die Verantwortlichkeit auf den Verarbeitenden verlagert.[43] Der Nachweis einer fehlenden Verantwortlichkeit kann durch ein funktionierendes Datenmanagement-System bezüglich der technischen und organisatorischen Maßnahmen belegt werden.[44] Aufgrund des Verhältnismäßigkeitsgrundsatzes bedeutet dies für den Beispielsfall, dass bei einem stationären Leistungserbringer im Gesundheitswesen ein umfassenderes Datenmanagement-System erwartet werden kann als beispielsweise von einer ambulanten Arztpraxis, wobei von jeglichen Leistungserbringern zumindest eine ausreichende Verschlüsselung sensibler Gesundheitsdaten verlangt werden kann.[45]
Dies führt unmittelbar auch zum nächsten Problembereich, da zur Einhaltung datenschutzrechtlicher Vorgaben die Zuhilfenahme externer Experten empfehlenswert ist, wenn keine ausreichende Sachkunde vorliegt. Das LG Hamburg[46] entschied jüngst, dass die Einschaltung eines Dienstleisters an der Verantwortlichkeit des Verarbeitenden nichts ändere. Hiergegen könnte aber die Regelung des Art. 82 Abs. 2, Abs. 3 DS-GVO sprechen, wonach auch bei der Einschaltung von Auftragsverarbeitern eine Verantwortlichkeit gegeben sein kann, wovon sich aber Verarbeitende durch den Nachweis der Einhaltung aller Sorgfaltspflichten befreien kann.[47] Etwas anderes ergibt sich auch nicht aus der ohnehin umstrittenen Anwendung des § 831 BGB im vorliegenden Fall. Denn auch dieser enthält eine Exkulpationsmöglichkeit für eine sorgfältige Auswahl.[48] Jedenfalls verbleibt die Beweislast bezüglich der fehlenden Einhaltung von Auswahl- und Überwachungspflichten nach Art. 28 Abs. 1 DS-GVO beim Anspruchssteller.[49]
3. Eintritt eines haftungsbegründenden Schadens
Durch die rechtswidrige Datenverarbeitung muss es zu einem ersatzfähigen Schaden gekommen sein, wofür Art. 82 Abs. 1 DS-GVO sowohl die Möglichkeit des materiellen als auch immateriellen Schadens zulässt. Es handelt sich um jeweils eigenständige Streitgegenstände.[50] Für die Schadenspositionen nennen die Erwägungsgründe 75 und 85 der DS-GVO Beispiele, welche den Anwendungsbereich weit fassen sollen.[51] Problematisch wird der Schadensbegriff aber erst auf der Rechtsfolgenseite.
Als Beispiel für eine immaterielle Schadensposition kommt eine öffentliche Bloßstellung in Betracht durch die Offenlegung von Daten an Dritte ohne das Einverständnis des Betroffenen.[52] Diese Konstellation liegt auch im Beispielsfall vor. Bezüglich des Schadens befindet sich die Beweislast beim Anspruchssteller.[53]
4. Kausalität zwischen Verstoß und Schaden
Der Begriff der Kausalität muss europarechtlich ausgelegt werden und umfasst auch die reine Mitursächlichkeit.[54] Analog zum kartellrechtlichen Kausalitätsbegriff könnte daher jede Ursächlichkeit ausreichen.[55] Einschränkend wird aber eine typisierende Betrachtung der Vorhersehbarkeit der Schädigung vorgenommen, wodurch außergewöhnliche Abläufe aus der Verursachung ausgenommen werden.[56]
Auch im Rahmen der Kausalität wird eine Beweislastumkehr zulasten des Verarbeitenden diskutiert. Es wird befürchtet, dass die Rechtsprechung eine solche Beweislastumkehr deshalb annehmen könnte, da der Erwägungsgrund 146 der DS-GVO dem Geschädigten einen umfassenden Schadensersatz gewähre und der Betroffene trotz seiner Auskunftsrechte nicht in der Lage sein könnte, die Kausalität nachzuweisen, weshalb zumindest ein abgestufter Maßstab an das Vorbringen bezüglich der Kausalität zu diskutieren sein solle.[57] Diese Ansicht widerspricht aber der durch den Wortlaut der Regelung des Art. 82 Abs. 3 DS-GVO klar begrenzten Anwendung auf das Verschulden.[58]
5. Rechtsfolge: Umfang der Schadensersatzpflicht
Wie bereits erwähnt, sind sowohl materielle als auch immaterielle Schäden ersatzfähig.
a) Materieller Schadensersatz
Bezüglich des materiellen Schadensersatzes sind sämtliche vermögensrechtliche Schadenspositionen denkbar. Dies umfasst insbesondere positive Schäden, aber auch den entgangenen Gewinn.[59] Umstritten und bisher noch nicht letztlich geklärt ist die Entscheidung darüber, ob auch selbst schon der Verlust der Daten einen materiellen Schaden darstellt.[60]
b) Immaterieller Schadensersatz
Deutlich problematischer sind immaterielle Schadenspositionen, bei denen zum letzten Mal besondere Anforderungen an die Darlegungslast gestellt werden müssen. Es stellt sich die Frage nach der Konkretheit und dem Ausmaß des eingetretenen Schadens, wobei für den Schadensumfang die Darlegung einer überwiegenden Wahrscheinlichkeit einer haftungsausfüllenden Kausalität im Sinne des § 287 ZPO genügt.[61]
Der Erwägungsgrund 85 der DS-GVO nennt als Beispiele für einen immateriellen Schaden die Rufschädigung. Das LG Frankfurt hat als weiteres Beispiel die öffentliche Bloßstellung angeführt, welche durch die Offenlegung von Daten an Dritte ohne das Einverständnis des Betroffenen hervorgerufen werden kann.[62] Der Schadensbegriff muss so gewählt werden, dass er dem Ziel der Verordnung, welcher insbesondere im Schutz personenbezogener Daten liegt,[63] entspricht, wie sich aus Erwägungsgrund 146 der DS-GVO entnehmen lässt. Der Schadensersatz darf daher insbesondere auch ein präventives Element enthalten. Da der immaterielle Schadensersatz aber zumindest mit einer Einschränkung des Schutzes der personenbezogenen Daten zusammenhängen muss, darf nicht jeder Verstoß unmittelbar zu einem Schadensersatz führen.[64] Dies rechtfertigt auch nicht die Präventivwirkung.[65] Daher ist die Einführung einer Bagatellgrenze sinnvoll.[66]
Letztlich muss sich eine benennbare und tatsächliche Persönlichkeitsrechtsverletzung ergeben haben.[67] Erst bei einer ernsthaften Beeinträchtigung, die über die bloße Unannehmlichkeit hinausgeht, soll ein Schadensersatz gewährt werden.[68] Ein bloßes Gefühl des Unbehagens kann und soll keinen Ausgleichsanspruch auslösen können.[69]
Für den Beispielsfall zeigt sich die Brisanz des Verstoßes zum einen in der Intimität der unzulässig gewonnen Gesundheitsdaten und zum anderen auch in der möglichen Missbrauchsgefahr von Gesundheitsdaten durch Dritte.[70] Es würde sich also um eine erhebliche Verletzung des allgemeinen Persönlichkeitsrechts handeln.
III. Fazit/Thesen
- Im Rahmen des breiten Diskurses über die Beweis- und Darlegungslastverteilungen bei Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO darf sich die Gefahr der uferlosen Ausweitung des Schadensersatzanspruchs hin zu einer Gefährdungshaftung nicht verwirklichen, die vom Verordnungsgeber nicht intendiert war.
- Das Mittel der Beweislastumkehr außerhalb des ausdrücklichen Anwendungsbereichs nach Art. 82 Abs. 3 DS-GVO muss restriktiv eingesetzt werden.
- Die aus dem Arzthaftungsrecht bekannte Figur der sekundären Darlegungslast verlangt zum einen den schwierigen Nachweis der günstigen Tatsache für den Anspruchssteller, zum anderen dementsprechend einen zumutbaren Nachweis der Tatsache für den Anspruchsgegner.
- Im Unterschied zum Arzthaftungsrecht ist es für den Anspruchsgegner entgegen der Ansicht des LG Hagen als unzumutbar anzusehen, den Nachweis der rechtmäßigen Verarbeitung vorzubringen, da die Vorschriften, die ihm dies zwar ermöglichen würden, nicht dem Schutz des Anspruchsstellers dienen.
- Als Stellglied zur Eindämmung einer möglichen Gefährdungshaftung stellt ein immaterieller Schadensersatzanspruch auf ernsthafte Beeinträchtigungen des Persönlichkeitsrechts des Betroffenen ab.
Tilmann Dittrich, LL.M. Doktorand an einem Lehrstuhl für Strafrecht an der HHU Düsseldorf, Wissenschaftlicher Mitarbeiter der Kanzlei Prof. Halbe & Partner in Köln, Im Mediapark 6A, 50670 Köln; koeln@medizin-recht.com
Jan Ippach, LL.M. Rechtsanwalt der Kanzlei Prof. Halbe & Partner in Köln, Im Mediapark 6A, 50670 Köln.
[1] Bergmann/Middendorf, in: Bergmann/Pauge/Steinmeyer, Gesamtes Medizinrecht, 3. Aufl. 2018, BGB, Vorbem. zu §§ 630a Rn. 1.
[2] Kern, in: Laufs/Kern/Rehborn, Handbuch des Arztrechts, 5. Aufl. 2019, § 106 Rn. 28
[3] St.Rspr.; vgl. BGH, Urt. v. 20.03.2007 – VI ZR 158/06, NJW 2007, 1682 m.w.N.
[4] Spickhoff, in: Spickhoff, Medizinrecht, 3. Aufl. 2018, BGB, § 630h Rn. 2; Deuring, JuS 2020, 489 (490).
[5] Stadler, in: Musielak/Voit, ZPO, 17. Aufl. 2020, § 138 Rn. 10a.
[6] BGH, Urt. v. 28.08.2018 – VI ZR 509/17, NJW-RR 2019, 17 (20); a.A.: Saenger, in: Saenger, ZPO, 8. Aufl. 2019, § 286 Rn. 71.
[7] BGH, Urt. v. 19.02.2019 – VI ZR 505/17, NJW-RR 2019, 467; BGH, Beschl. v. 25.06.2019 – VI ZR 12/17, NJW-RR 2019, 1360; BGH, Beschl. v. 18.02.2020 – VI ZR 280/19, NJW-RR 2020, 720
[8] Prütting, in: MüKo-ZPO, 6. Aufl. 2020, § 286 Rn. 106.
[9] OLG Köln, Hinweisbeschl. v. 06.08.2019 – 7 U 119/19, BeckRS 2019, 25896; LG Flensburg, Urt. v. 08.09.2020 – 3 O 375/14, BeckRS 2020, 22423; Katzenmeier, in: Laufs/Katzenmeier/Lipp, Arztrecht, 7. Aufl. 2015, XI Rn. 52.
[10] LG Flensburg, Urt. v. 08.09.2020 – 3 O 375/14, BeckRS 2020, 22423.
[11] BGH, Urt. v. 19.02.2019 – VI ZR 505/17, NJW-RR 2019, 467 (468).
[12] Paal, MMR 2020, 14 (17).
[13] Wybitul/Haß/Albrecht, NJW 2018, 113 (116).
[14] Geißler/Ströbel, NJW 2019, 3415 (3415).
[15] Veil, ZD 2018, 9 (11).
[16] Wybitul/Celik, ZD 2019, 529.
[17] LG Karlsruhe, Urt. v. 02.08.2019 – 8 O 26/19, ZD 2019, 511 (512); Veil, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Aufl. 2019, Kapitel 1 Rn. 60.
[18] LG Frankfurt, Urt. v. 18.09.2020 – 2-27 O 100/20, GRUR-RS 2020, 24557; LG Frankfurt, Urt. v. 03.09.2020 – 2-03 O 48/19, GRUR-RS 2020, 25111
[19] Prütting, in: MüKo-ZPO, 6. Aufl. 2020, § 286 Rn. 106
[20] LG Hagen, Beschl. v. 09.10.2019 – 10 O 280/19 (abrufbar unter: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Hagen&Datum=09.10.2019&Aktenzeichen=10%20O%20280%2F19; zuletzt abgerufen am: 11.2.2021).
[21] Wybitul/Haß/Albrecht, NJW 2018, 113 (116).
[22] Wybitul/Haß/Albrecht, NJW 2018, 113 (116); Quaas, in: BeckOK Datenschutzrecht, 34. Edition, Stand: 01.11.2020, Art. 82 Rn. 51.
[23] LG Dresden, Urt. v. 29.05.2020 – 6 O 76/20, BeckRS 2020, 19705; Schmidt-Wudy, in: BeckOK Datenschutzrecht, 34. Edition, Stand: 01.11.2020, Art. 15 DS-GVO Rn. 52.2 verweist auf Missbrauchspotential einer weiten Auslegung, hält sie aber für richtig.
[24] Ablehnend: Paal, in: Paal/Pauly DS-GVO/BDSG, 3. Aufl. 2021, Art. 15 Rn. 33; Wybitul/Neu/Strauch, ZD 2018, 202 (203)
[25] AG Bonn, Urt. v. 30.07.2020 – 118 C 315/19 mit krit. Anm. Laoutoumai, jurisPR-ITR 22/2020 Anm. 6.
[26] BGH, Urt. v. 23.11.1982 – VI ZR 222/79, NJW 1983, 328.
[27] Jung, ZD 2018, 208; Wichtermann, ZD 2016, 421 (422); Schantz, in: BeckOK Datenschutzrecht, 34. Edition, Stand: 01.05.2020, Art. 5 Rn. 39.
[28] Wybitul, NJW 2019, 3265 (3268).
[29] Veil, ZD 2018, 9 (11 f.).
[30] Veil, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Aufl. 2019, Kapitel 1 Rn. 60; Wybitul, NJW 2019, 3265 (3268).
[31] Schantz, in: BeckOK Datenschutzrecht, 34. Edition, Stand: 01.05.2020, Art. 5 Rn. 38; a.A.: Plath, in: Plath, DS-GVO/BDSG, 3. Aufl. 2018, DSGVO, Art. 24 Rn. 19.
[32] Wagner, in: MüKo-BGB, 8. Aufl. 2020, § 630f Rn. 2.
[33] Spickhoff, in: Spickhoff, Medizinrecht, 3. Aufl. 2018, BGB, § 630f Rn. 1.
[34] BT-Drs. 17/10488, 26; Wagner, in: MüKo-BGB, 8. Aufl. 2020, § 630f Rn. 4.
[35] Wagner, in: MüKo-BGB, 8. Aufl. 2020, § 630f Rn. 18.
[36] Jaspers/Schwartmann/Hermann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl. 2020, DS-GVO, Art. 5 Rn. 86.
[37] Paal, MMR 2020, 14 (17).
[38] Piltz, in: Gola, Datenschutz-Grundverordnung: DS-GVO, 2. Aufl. 2018, Art. 82 Rn. 15.
[39] Plath, in: Plath, DS-GVO/BDSG, 3. Aufl. 2018, DS-GVO, Art. 82 Rn. 4.
[40] LG Flensburg, Urt. v. 08.09.2020 – 3 O 375/14, BeckRS 2020, 22423 Rn. 21.
[41] Wybitul/Haß/Albrecht, ZD 2018, 113 (116).
[42] Quaas, in: BeckOK Datenschutzrecht, 33. Edition, Stand: 01.08.2020, Art. 82 Rn. 51; Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, DS-GVO, Art. 82 Rn. 22.
[43] LG Karlsruhe, Urt. v. 02.08.2019 – 8 O 26/19, ZD 2019, 511 (512); Wybitul, NJW 2019, 3265 (3268).
[44] Jung, ZD 2018, 208; Schwartmann/Keppeler/Jacquemain, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl. 2020, DSGVO, Art. 82 Rn. 34.
[45] Quaas, in: BeckOK Datenschutzrecht, 34. Edition, Stand: 01.11.2020, Art. 82 Rn. 18.
[46] LG Hamburg, Urt. v. 04.09.2020 – 324 S 9/19, BeckRS 2020, 23277.
[47] Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, DS-GVO, Art. 82 Rn. 24.
[48] Wybitul/Haß/Albrecht, NJW 2018, 113 (116); Becker, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, DS-GVO, Art. 82 Rn. 5b.
[49] LG Frankfurt, Urt. v. 18.09.2020 – 2-27 O 100/20, GRUR-RS 2020, 24557.
[50] LAG Düsseldorf, Urt. v. 11.03.2020 – 12 Sa 186/19, NZA-RR 2020, 348 (351).
[51] Quaas, in: BeckOK Datenschutzrecht, 34. Edition, Stand: 01.11.2020, Art. 82 Rn. 24.
[52] LG Frankfurt, Urt. v. 18.09.2020 – 2-27 O 100/20, GRUR-RS 2020, 24557.
[53] LAG Düsseldorf, Urt. v. 11.03.2020 – 12 Sa 186/19, NZA-RR 2020, 348 (358); Becker, in: Plath, DS-GVO/BDSG, 3. Aufl. 2018, DS-GVO, Art. 82 Rn. 4.
[54] Paal, in: Paal/Pauly DS-GVO/BDSG, 2. Aufl. 2018, Art. 15 Rn. 33; Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, DS-GVO, Art. 82 Rn. 13.
[55] EuGH, Urt. v. 05.06.2014 – C-557/12, BeckRs 2014, 80953; Wybitul/ Haß/Albrecht, NJW 2018, 113 (115).
[56] Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, DS-GVO, Art. 82 Rn. 13.
[57] Wybitul/Haß/Albrecht, NJW 2018, 113 (117).
[58] Quaas, in: BeckOK Datenschutzrecht, 34. Edition, Stand: 01.11.2020, Art. 82 Rn. 27.
[59] Wybitul/Haß/Albrecht, NJW 2018, 113 (117); Becker, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, DS-GVO, Art. 82 Rn. 4b.
[60] Ablehnend: OLG Dresden, Hinweisbeschl. v. 11.06.2019 – 4 U 760/19, ZD 2019, 567 (568); Paal, MMR 2020, 14 (16) m.w.N.
[61] Dickmann, r+s 2018, 345 (351).
[62] LG Frankfurt, Urt. v. 18.09.2020 – 2-27 O 100/20, GRUR-RS 2020, 24557.
[63] Erwägungsgrund 2 der DS-GVO.
[64] LG Hamburg, Urt. v. 04.09.2020 – 324 S 9/19, BeckRS 2020, 23277.
[65] LG Karlsruhe, Urt. v. 02.08.2019 – 8 O 26/19, ZD 2019, 511 (512).
[66] OLG Dresden, Hinweisbeschl. v. 11.06.2019 – 4 U 760/19, ZD 2019, 567 (568); Wybitul/Brams, CR 2020, 571 (575); a.A.: ArbG Düsseldorf, Urt. v. 05.03.2020 – 9 Ca 6557/18, BeckRS 2020, 11910.
[67] LG Karlsruhe, Urt. v. 02.08.2019 – 8 O 26/19, ZD 2019, 511 (512); Erwägungsgrund 146 S. 6 der DS-GVO; Frenzel, in: Paal/Pauly DS-GVO/ BDSG, 2. Aufl. 2018, Art. 82 Rn. 10.
[68] OLG Dresden, Hinweisbeschl. v. 11.06.2019 – 4 U 760/19, ZD 2019, 567 (568); Paal, MMR 2020, 14 (16); Halbe/Ippach, in: Dochow/Dörfer/Halbe/Hübner/Ippach/Schröder/Schütz/Strüve, Datenschutz in der ärztlichen Praxis, 1. Aufl. 2019, S. 190.
[69] AG Frankfurt, Urt. v. 10.07.2020 – 385 C 155/19 (70), BeckRS 2020, 22861.
[70] Dickmann, r+s 2018, 345 (354).