DA+

Aufsatz : Haftung privater Stellen bei Datenschutzverstößen : aus der RDV 5/2017, Seite 227 bis 236

Lesezeit 38 Min.

Im Falle eines Datenschutzverstoßes steht dem Betroffenen ein Recht auf Schadensersatz zu. Doch in der Praxis greift die Haftung fast nie. Woran sie scheitert und wie ein ersatzfähiger Schaden im Sinne der Datenschutz-Grundverordnung (DS-GVO) zu bemessen ist, sind die zu beantwortenden Fragen, damit das bestehende Sanktionsdefizit im Datenschutz verringert werden kann.

I. Regulierungsmechanismen bestehen nur komplementär

Die Idee des geltenden Datenschutzrechts ist es zu gewährleisten, dass der Einzelne vor Risiken im Zusammenhang mit der Datenverarbeitung geschützt ist. Dieser Konzeption ist bereits eine systematische Nachrangigkeit des individuellen Rechtsschutzes immanent. Sind bei rechtswidrigem oder falschem Vorgehen keine Folgen für den Verursacher zu erwarten, läuft der zwingende Charakter durch Vorschriften leer, und das Datenschutzrecht wird mithin wertlos. Daher sehen sowohl das jetzige europäische Sekundärrecht als auch das deutsche Datenschutzrecht Rechtsbehelfe, Haftung und Sanktionen vor.[1] Selbstverständlich hält auch die DS-GVO als zukünftig zentrales Datenschutzrecht eine Reihe Rechtsfolgen bereit.

Zwei Tendenzen sind bei den Veränderungen vom Bundesdatenschutzgesetz (BDSG) hin zur DS-GVO in Bezug auf die Rechtsfolgen auszumachen: Die Strafen steigen enorm an, und der in seinen Rechten verletzte Einzelne wird gestärkt.[2] Das neue Sekundärrecht schafft eine beträchtliche Ausweitung der Instrumente zur Rechtsdurchsetzung. Dem Datensubjekt erwachsen daraus private und öffentlich-rechtliche Ansprüche. Der erkennbaren, grundsätzlichen Bestrebung der EU folgend, den Einzelnen mit Rechten und Ermächtigungen zur Verteidigung und Durchsetzung seiner Rechte in Anlehnung an den homo oeconomicus auszustatten,[3] weist die DS-GVO dem Betroffenen eine Reihe „durchsetzbarer Rechte“[4] zu. Neu ist hierbei der Rechtsbehelf gegen eine Aufsichtsbehörde nach Art. 78 DS-GVO. Ferner kann das Opfer eines Datenschutzverstoßes den Verantwortlichen gemäß Art. 79 DS-GVO in seinem Mitgliedstaat oder in dem der Niederlassung des Verantwortlichen verklagen. Die Instrumente zur Rechtsdurchsetzung sind im Ergebnis zwar umfangreicher geworden, aber aus privatrechtlicher Sicht nur graduell gewachsen. Eine Abkehr vom öffentlich-rechtlich geprägten Ansatz zur Sanktionierung geht damit nicht einher. Die Geldbuße bei Ordnungswidrigkeiten ist und bleibt die klassische Sanktion.

1. Sanktionen der Aufsichtsbehörden

Datenschutzverstöße können mit Wirksamwerden der DS-GVO für datenverarbeitende Stellen teuer werden. Als Grund wird dabei stets, aber vor allem ausschließlich auf die Verhängung von Bußgeldern verwiesen. Die Angst vor Kosten durch Datenschutzverstöße scheint sich allein auf die verwaltungsrecht liche Sanktion zu beschränken. Auch mit Wirksamwerden der DS-GVO bleibt die Regulierung behördlich geprägt. Die Rechts durchsetzung mittels behördlicher Aufsicht ist über das „one-stop-shop“-System[5] und die verpflichtende Zusammenarbeit zwischen den Aufsichtsbehörden harmonisiert worden. Die DS-GVO ermächtigt die nationalen Ordnungsbehörden, Bußgelder in Höhe von bis zu 20 Millionen Euro zu verhängen, was gegenüber der bisherigen Obergrenze im deutschen Datenschutzrecht von 300.000 Euro eine drastische Erhöhung darstellt.[6] Aus Betroffenensicht ist es als Vorteil zu bewerten, dass sich die Bußgelder durch die DSGVO in ihrer Höhe zunehmend am Kartellrecht orientieren. Harte und damit kostenintensive Sanktionen sollen Unternehmen von Verstößen abhalten und ein Bewusstsein für Datenschutz schaffen. Die Millionengrenze kann sogar überschritten werden, weil Unternehmen auch mit „abschreckenden“[7] Bußgeldern bis zu einer Höhe von 4 Prozent des globalen Umsatzes per annum bestraft werden können.

Das Recht lebt aber von seiner Anwendung. Wenn das Personal begrenzt ist, sind auch die Kontrollen begrenzt. Aufgrund der personell und materiell schwachen Ausstattung der Aufsichtsbehörden bleibt das in der Theorie scharfe Schwert der Geldbuße in der Praxis bisher nur selten benutzt: Bestätigt wird dieser Eindruck, wenn Datenschutzverstöße effektiver wettbewerbsrechtlich geahndet werden, anstatt das Datenschutzrecht dafür zu nutzen.[8] Das mit 1,3 Millionen Euro höchste Bußgeld wurde erst 2014 vom Datenschutzbeauftragten Rheinland-Pfalz gegen den Debeka Krankenversicherungsverein verhängt.[9] Ähnlich hoch, aber von mehr medialer Aufmerksamkeit begleitet, war die Sanktion der Berliner Aufsichtsbehörde im Jahr 2009. Hier kam es zu einem Bußgeld in Höhe von 1,12 Millionen Euro gegenüber der Deutschen Bahn.[10] Viel häufiger bleibt es in der Praxis bei Ermahnungen, der Durchsetzung von Auskunftsansprüchen oder der Androhung von Bußgeldern, weil die finanzielle Sanktion nur als ultima ratio angesehen wird.

2. Strafrechtliche Sanktionen

Schwerwiegende Datenschutzverstöße können Straftatbestände erfüllen und sind mit bis zu zwei Jahren Freiheitsstrafe oder Geldstrafe zu ahnden. Die Voraussetzungen zur Erfüllung eines solchen Tatbestands leiten sich aktuell noch aus § 43 BDSG ab[11] Es bedarf hier des Vorsatzes, sich oder einem anderen einen Vermögensvorteil zu verschaffen oder jemanden bewusst damit schädigen zu wollen.[12] Straftatbestände, wie sie das BDSG kennt, können laut DS-GVO nicht mehr erfüllt sein, obwohl die Union mit Art. 83 Abs. 2 AEUV auch dafür eine Kompetenz besitzt.[13] Strafrechtliche Sanktionen als Rechtsfolge für Verstöße können laut Art. 84 DS-GVO in Verbindung mit EG. 149 DS-GVO von den Mitgliedstaaten erlassen werden. Davon hat der deutsche Gesetzgeber mit § 42 BDSG-neu Gebrauch gemacht und knüpft dabei inhaltlich an die Straftatbestände des § 44 BDSG an. Für die Praxis weist die aktuell geltende Rechtsnorm jedoch bisher wenig Relevanz auf,[14] und es bestehen keinerlei Gründe, dass sich dies mit dem BDSG-neu ändern wird.

3. Schadensersatz für Betroffene

Mittels der Effektivierung privatrechtlicher Haftung im Datenschutzrecht ließe sich zum Grundrechtsschutz des Einzelnen verhelfen, der bei den alternativen Rechtsfolgen des öffentlichen Rechts und des Strafrechts als Geschädigter außen vor bleibt. Die Verpflichtung zum Schadensersatz hingegen kann die Rechtsposition des Datensubjekts wieder herstellen oder es zumindest probieren. Es ist nicht einzusehen, weshalb demnächst Bußgelder in Millionen- oder gar Milliardenhöhe verhängt werden können, der Geschädigte aber zumeist leer ausgehen soll.[15] Überdies spricht der generell zu verzeichnende Wechsel von staatlicher hin zu privater Datenverarbeitung für den Fokus auf das Privatrecht.[16] Wenngleich der Schutz personenbezogener Daten als Abwehrrecht gegen staatliche Datenverarbeitung entstanden ist, so sind private Datenverarbeiter aus heutiger Sicht nicht minder gefährlich. Die rechtliche Verpflichtung zum Schadensersatz bei Datenschutzverstößen ist für die private Stelle finanziell spürbar und entfaltet dadurch eine präventive Funktion. Das Haftungsrecht schützt in der Konsequenz Grundrechte, weil es der ökonomischen Analyse des privatrechtlich gelagerten Datenschutzrechts nach aus dogmatischer Sicht dazu geeignet, einen Anreiz zum rechtskonformen Verhalten zu entfalten.[17] Der inzwischen vom Privatrecht dominierte Datenschutz verdient eine nähere Untersuchung seiner privatrechtlichen Rechtsfolge, die im Gegensatz zu Bußgeldern oder gar strafrechtlichen Sanktionen imstande ist, einen Ausgleich für den Betroffenen zu leisten.

In Deutschland ist das Recht auf Schadensersatz seit der Einführung des ersten Datenschutzgesetzes in Form der deliktischen Haftung nach bürgerlichem Recht existent und wurde im Jahr 1990 durch eine spezielle Rechtsnorm im BDSG aufgewertet. Auch das europäische Datenschutzrecht kennt den Schadensersatz sowohl als Betroffenenrecht als auch als Rechtsfolge von Beginn an. Die Grundverordnung normiert ein Haftungsinstitut zur Gewährung von Schadensersatz, welches erstmalig den Auftragsdatenverarbeitenden als Haftungsgegner benennt[18] und die gesamtschuldnerische Haftung für Fälle, in denen mehrere Verantwortliche oder Auftragsverarbeitende für dieselbe Datenverarbeitung existieren, regelt.[19] Als Rechtsschutzinstrument und Betroffenenrecht besitzt der Ersatzanspruch das Potenzial, das bestehende Sanktionsdefizit im Datenschutzrecht zumindest zu mindern und damit zur tatsächlichen Rechtsdurchsetzung beizutragen. In der Praxis spielt der Schadensersatz im Datenschutzrecht bis jetzt allerdings „kaum eine Rolle“[20], was die Gefahr birgt, dass das Grundrecht bei mindestens einer nicht effektiv durchsetzbaren Rechtsfolge im Falle rechtswidrigen Handelns leerläuft. Simitis formulierte die folgende These als Begründung für die praktische Bedeutungslosigkeit, welche wohl auch noch für das zukünftige Haftungsinstitut in der DS-GVO seine Richtigkeit behalten wird: Die Unübersichtlichkeit und teilweise fehlende Eindeutigkeit bei der datenschutzrechtlichen Haftung hinterlässt den Eindruck, etwaige Ansprüche eines in seinen Grundrechten verletzten Betroffenen nach Möglichkeit kraft Gesetzes einzuschränken.[21]

II. Art. 82 DS-GVO wird zentrale Anspruchsgrundlage

Der Akt der Umsetzung ins nationale Recht entfällt mit dem Wechsel der Rechtsgrundlage zur Verordnung. Der Art. 82 DSGVO stellt unmittelbar anwendbares Unionsprivatrecht dar.[22] Mit der Wahl einer Verordnung geht ein Anwendungsvorrang einher. In der Konsequenz wird das bedeuten, dass die EG-Datenschutzrichtlinie (EG-DSRL) zwar mit Wirksamwerden der DSGVO gemäß Art. 99 Abs. 1 DS-GVO aufgehoben wird, doch das im Zuge der Umsetzung der EG-DSRL geschaffene nationale Recht von unionsrechtlicher Seite unberührt bleibt und weiterbesteht. Der Vorranganspruch des Unionsrechts in Form der Verordnung gewinnt deswegen auch praktisch eine hohe Bedeutung, wenn aus deutscher Sicht zukünftig zwei Schadensersatzansprüche im Datenschutzprivatrecht (aus deutscher Sicht: § 83 BDSG-neu und Art. 82 DS-GVO) existieren werden. Das Recht auf Schadensersatz erhält seine Vollständigkeit sowohl durch den Rahmen der Unionsrechtsordnung, als auch des jeweiligen mitgliedstaatlichen Rechts. Nicht nur die Geltendmachung als solche, sondern auch haftungsausfüllende Aspekte wie Art und Umfang des Schadensersatzes werden deswegen weiterhin vom einzelstaatlichen Recht bestimmt.[23]

1. Haftungsart

Die zukünftige Haftungsregel, Art. 82 DS-GVO, baut auf Art. 23 EG-DSRL auf und der Haftungstatbestand bleibt abgesehen von zwei Änderungen der Gleiche.[24] Gemeinsam ist dem gegenwärtigen und dem zukünftigen Haftungsregime die Schwierigkeit der Qualifizierung der Haftungsart. Die Einordnung des Art. 82 DS-GVO als Gefährdungshaftung ist genauso wie bei Art. 23 EGDSRL auszuschließen.[25] Zwar fehlt im zukünftigen Haftungstatbestand die Rechtswidrigkeit als Voraussetzung, doch reicht dieser Umstand nicht, dass die Haftungsregel der DS-GVO bereits eine rechtswidrigkeitslose Gefährdungshaftung darstellt. Die ganzheitliche Betrachtung der Haftungsregel der Datenschutzverordnung legt die Absage der Qualifizierung als Gefährdungshaftung nahe. Die Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DS-GVO in Verbindung mit einer Gefährdungshaftung würde den Haftungsausschluss auf außergewöhnliche, zufällige Ereignisse begrenzen. Das zentrale Argument gegen eine Qualifizierung der Gefährdungshaftung ist schlussendlich allein ausreichend und ganz leicht verständlich, dass sie nämlich von Seiten der Legislative tatbestandlich anzuordnen ist, was in Hinsicht auf Art. 82 DS-GVO schlicht nicht gegeben ist. Schließlich ist als weiteres Indiz für die Ablehnung ebendieser Haftungsart noch hinzuzufügen, dass eine Gefährdungshaftung in der Regel mit einer Zwangshaftpflichtversicherung einhergeht, die von der DS-GVO jedoch nicht gesetzlich angeordnet wird. Die IT-Haftpflichtversicherung ist wohl in größeren Unternehmen Standard, jedoch längst nicht flächendeckend vom Versicherungsschutz aller Unternehmen umfasst.

Es verbleiben der haftungsrechtlichen Systematik nach noch die Verschuldenshaftung und die vom Verschulden unabhängige Haftung. Der Wortlaut des Art. 82 DS-GVO setzt zur Anspruchsbegründung genauso wie das geltende Recht kein Verschulden und Vertretenmüssen voraus. Aufschluss über die Haftungsart gibt die Gesamtschau von Haftungsbegründung (Art. 82 Abs. 2 DS-GVO) und Exkulpationsmöglichkeit (Art. 82 Abs. 3 DS-GVO). In der EG-DSRL wurde die Haftungsbefreiung noch fakultativ geschaffen (Art. 23 Abs. 2 EG-DSRL). Die Einordnung der Haftungsart bei der noch geltenden Datenschutzrichtlinie hing schlussendlich von der Ausgestaltung durch den nationalen Gesetzgeber ab und dabei insbesondere von der Wahl und Form einer Exkulpation in dem zur Umsetzung der EG-DSRL erlassenen innerstaatlichen Recht. Mit der DS-GVO entfällt die Umsetzungspflicht, und damit besteht die Möglichkeit zur Haftungsbefreiung zukünftig EU-weit. Die zukünftige Haftungsregel gewährt die Befreiung vom Schadensersatz, wenn der Anspruchsgegner nachweist, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.

Art. 82 Abs. 3 DS-GVO lässt sich weit interpretieren, so dass eine Vielzahl an Tatbeständen die Exkulpation erlaubt. Gründe zur Haftungsbefreiung können demnach weiter im Falle höherer Gewalt genauso wie im Fehlverhalten des Geschädigten liegen.[26] Für den Ersatz des Schadens, der durch die nicht der DS-GVO entsprechende Verarbeitung verursacht wurde, ist in Art. 82 Abs. 2 DS-GVO weder ein Vertretenmüssen noch ein Verschulden verlangt. In seiner Gesamtheit setzt die Schadensersatznorm dann jedoch unausgesprochen ein widerlegliches Vertretenmüssen voraus, verbunden mit der Umkehr der Nachweispflicht zulasten des Verantwortlichen im Sinne des Art. 4 Abs. 1 Ziff. 7 DS-GVO. Die Begrifflichkeit der Verantwortlichkeit in Art. 82 Abs. 3 DS-GVO, auf welche die Haftung abstellt, begründet die Abkehr vom Verschulden hin zum Vertretenmüssen als Erfordernis zur Haftungsbegründung. Den Schadenserfolg hat die datenverarbeitende Stelle auch ohne Verschulden zu vertreten, die Zurechenbarkeit genügt dazu bereits. In der Praxis wird dieses Erfordernis der Verantwortlichkeit im Sinne des § 276 Abs. 1 BGB jedoch mangels abweichender Abrede oder gesetzlicher Anordnung mit dem Verschulden gleichzusetzen sein.[27] Einfache Fahrlässigkeit genauso wie Vorsatz können die Voraussetzung zur Haftung erfüllen. Es lässt sich deswegen resümieren, dass Art. 82 DS-GVO als eine Haftung mit vermutetem Verschulden samt Beweislastumkehr hinsichtlich der Verantwortlichkeit qualifiziert werden kann.[28]

Damit verpasst die supranationale Legislative die Chance, ein Betroffenenrecht und einen Rechtsbehelf in seiner Wirkung zu stärken. Die mit der Datenverarbeitung verbundenen Gefahren für das grundrechtlich geschützte Persönlichkeitsrecht hätten aus rechtspolitischen Überlegungen heraus auch eine Gefährdungshaftung erlaubt.[29] Im Zuge der Implementierung der Haftung gemäß Art. 23 EG-DSRL ins nationale Recht bestand immerhin noch die Freiheit, eine rein verschuldensunabhängige, also eine schärfere Haftung zur normieren. Im Sinne des Funktionierens des Binnenmarkts und seines Wettbewerbs erscheint der in der DS-GVO gegangene Weg dennoch nachvollziehbar. Das vermutete Verschulden heilt zudem die für den Betroffenen grundsätzlich mangelhafte Transparenz bei der Datenverarbeitung, der die Schuldfrage deswegen nur schwer beweisen könnte. Ein tatsächlich effektiver Rechtsvollzug zum Schutz personenbezogener Daten bedarf dennoch spürbarer Mittel. Es ist offenkundig, dass der Verordnungsgeber das im Datenschutzrecht bestehende Sanktionsdefizit nicht primär durch Privatrecht zu lösen versucht.

2. Haftungsbegründung

Verglichen mit Art. 23 EG-DSRL fällt in Hinsicht auf die Haftungsregel der DS-GVO zunächst einmal auf, dass sich darin lediglich noch ein Haftungsgrund findet. Nur durch die nicht dieser Verordnung entsprechende Verarbeitung verursachte Schäden sind zu ersetzen. Dagegen beinhalteten die Fassungen des Europäischen Parlaments und der Kommission in Art. 77 Abs. 1 DS-GVO-E noch beide Haftungsgründe der EG-DSRL, was die Frage aufwirft, ob nun tatsächlich ausschließlich nicht mit der DS-GVO zu vereinbarende Datenverarbeitungen im Sinne des Art. 4 Abs. 1 Ziff. 2 DS-GVO haftungsauslösend sein können. Außen vor blieben in diesem Fall etwa Verstöße bei der etwaigen Benennung eines Datenschutzbeauftragten (Art. 37 DS-GVO) oder die Notifikation bei Datenschutzverstößen (Art. 33 f. DS-GVO), die nicht als Datenverarbeitung im Sinne der Verordnung zu qualifizieren sind.[30] Die deliktische Haftung wäre in diesem Szenario als lückenhaft zu charakterisieren, wenn die unerlaubte Handlung ausschließlich in Verbindung mit einer Datenverarbeitung eine Ersatzpflicht auslöst. Doch genau diese Beschränkung auf Datenverarbeitungen wird von EG. 146 DS-GVO untermauert. Darin wird lediglich die Haftung auf diejenigen Datenverarbeitungen erweitert, „die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und nationalen Rechtsvorschriften zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang stehen“. Zusammengefasst ist der Haftungsgrund in Art. 82 DS-GVO jedenfalls verglichen mit dem bisherigen Schadensersatzanspruch im europäischen Datenschutzprivatrecht weitaus weniger offen formuliert. Doch im ersten Absatz der zukünftigen Haftungsregel wird deutlich, dass die Haftungsbegründung nicht derart begrenzt normiert ist. Der Ersatzanspruch nach Art. 82 DS-GVO besteht danach für jeden Schaden infolge eines „Verstoßes gegen diese Verordnung“. Bisher war die bloße Beeinträchtigung der informationellen Selbstbestimmung aus Betroffenensicht zu erdulden, da sie noch keine Rechtswidrigkeit indizierte.[31] Allein der schädigende Verstoß gegen die DS-GVO genügt in Zukunft, um Schadensersatz verlangen zu können.

Von großer Bedeutung bleibt meines Erachtens die Würdigung des für die Haftungsbegründung ursächlichen Zusammenhangs. Ausgehend von der vorstehend konstatierten Haftung für vermutetes Verschulden wird für die haftungsbegründende Kausalität grundsätzlich ein Verschulden von Seiten des Schädigers verlangt. Jedoch ist die haftungsbegründende Kausalität, der Zusammenhang zwischen Tatbestand und Rechtsgutbeeinträchtigung, in Art. 82 DS-GVO gar keine notwendige Bedingung zur Haftungsbegründung. Die Norm verlangt stattdessen einen Kausalzusammenhang zwischen Tatbestand und Schaden („haftet für den Schaden, der durch die nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde“).[32] Dieser ursächliche Zusammenhang für den haftungsbegründenden Tatbestand ist der Geschädigte sowohl darlegungs- als auch beweispflichtig. Auch wenn durch neue Pflichten wie die sog. Rechenschafts- und Nachweispflicht die Verantwortung des Verantwortlichen wächst, schafft dies keine grundsätzliche Umkehr der Beweislast weg vom Datensubjekt. Vielmehr geht die Beweislast aufgrund des Art. 82 Abs. 3 in Verbindung mit Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO nur für das Verschuldensmoment auf den für die Verarbeitung Verantwortlichen oder den Auftragsdatenverarbeiter über.[33]

3. Haftungsausfüllung

Das Problem bei der Haftung ist aber weniger die Haftungsbegründung als die Haftungsausfüllung. Für die DS-GVO ist das Vorliegen eines Schadens zwingend vorausgesetzt.[34] Die unzulässige Verarbeitung personenbezogener Daten ist jedenfalls ein Verfassungsverstoß;[35] ob dies gleichzeitig als ein Schaden im Sinne des Zivilrechts zu verstehen ist, muss individuell bewertet werden.

Ein Schaden ist nur im Rahmen des Schutzzwecks der DSGVO (Art. 1 Abs. 2 DS-GVO) ersatzfähig. Mit der grundsätzlichen Anknüpfung des Art. 82 DS-GVO an Art. 23 EG-DSRL geht wohl auch in Zukunft das Erfordernis einer tatsächlichen Schädigung mit einer Rechtsgutbeeinträchtigung einher. Schäden in diesem Sinne setzen demzufolge die Rechtsgutbeeinträchtigung voraus, mit anderen Worten: Jeder ersatzfähige Schaden geht hier mit einer Rechtsgutbeeinträchtigung einher. Somit setzt nicht die haftungsbegründende, sondern die haftungsausfüllende Seite den Verletzungserfolg voraus.

Der unbestimmte Rechtsbegriff des Schadens ist autonom nach dem Unionsrecht auszulegen. EG. 146 DS-GVO weist sogar explizit darauf hin. Der Schadensersatz nach Art. 82 DS-GVO umfasst materielle ebenso wie immaterielle Schäden. Damit hat sich die Version des Rats und hierbei die deutsche Delegation[36] durchgesetzt, wenngleich die Version des Europäischen Parlaments („damage including non-pecuniary damage“) inhaltlich dieses weite Verständnis teilt. Den Erwägungsgründen aller Entwürfe nach zeigt sich gerade in der englischen Sprachfassung, dass das Bestreben eines weiten Verständnisses („Any damage“) von allen legislativen Akteuren geteilt wird.

Auch hier ist die DS-GVO insoweit zu begrüßen, dass sie dieses umfassende Begriffsverständnis ausdrücklich normiert. Weitere Schwierigkeiten resultieren aus dem divergenten Umgang der Mitgliedstaaten bei der Entschädigung von Verletzungen des allgemeinen Persönlichkeitsrechts: Für manche ist bereits der Verletzungserfolg für einen Anspruch ausreichend, die anderen Mitgliedstaaten setzten dagegen einen Verletzungsschaden voraus. Es ist also davon abhängig, ob neben der Interessenverletzung ein schadensausfüllender Verlust Voraussetzung für einen ersatzfähigen Schaden ist. Diese Differenzierung entfällt bei den sog. per se-Schäden[37], die jedoch nicht in jeder nationalen Rechtsordnung als ersatzfähig erachtet werden. Das Erfordernis der haftungsausfüllenden Kausalität, des ursächlichen Zusammenhangs, zwischen Beeinträchtigung und Schaden, wäre damit hinfällig. Inwieweit auch per se-Schäden nach der Grundverordnung ersatzfähig sind, wird die Rechtspraxis entscheiden. Der explizite Verweis in den Erwägungsgründen auf ein Schadensverständnis im Sinne des Unionsrechts spricht dafür, wohingegen ein Ratsdokument[38] die Ersatzfähigkeit ebendieser Schäden ausdrücklich verneint.

Im Allgemeinen ist es bei unionsrechtlichen Schadensersatzansprüchen Aufgabe des Haftungsgläubigers, den Eintritt samt Höhe des Schadens nachzuweisen. Wie zuvor herausgestellt, ist für die Anspruchsbegründung die bloße Realisierung des haftungsauslösenden Moments nicht ausreichend, sondern es muss tatsächlich ein Schaden bei einer Person vorliegen.[39] Dieses Erfordernis beinhalten alle Grundnormen des europäischen Haftungsrechts, wodurch eine Regel auszumachen ist, nach der zur Verletzung eines Rechts etwas Zusätzliches wie der Nachteil der Vermögensbilanz oder einer fiktiven Bilanz über immaterielle Interessen einer Person hinzukommen muss – ganz unabhängig davon, ob es sich um Verletzungen von Rechten oder Beeinträchtigungen durch unerlaubte Handlungen handelt.[40] In Hinsicht auf materielle Schädigungen ist diesem Erfordernis noch einfach gerecht zu werden. Immaterielle Schäden werden im Unionsrecht vielfach bei Vorliegen einer bestimmten Rechtsverletzung angenommen und ersetzt.[41] Ein Hinweis der Kommission besagt hingegen, dass auch der immaterielle Schaden vom Betroffenen darzulegen ist und die Rechtsübertretung allein nicht ausreicht.[42] Somit ist ausgeschlossen, ein Nichtübereinstimmen mit geltendem Recht durch die verantwortliche Stelle mit einer immateriellen Schädigung gleichzusetzen. Diesem Erfordernis zur Geltendmachung für den Immaterialschadensersatz kommt eine hohe Praxisrelevanz zu,[43] da sie den vom Datensubjekt zu leistenden Nachweis enorm erhöht. Meines Erachtens wird in dieser Voraussetzung der Hauptgrund liegen, dass Schadensersatzansprüche aus Betroffenensicht praktisch kaum durchzusetzen sind.

4. Schafft Art. 82 DS-GVO spürbare Veränderungen?

Die rechtliche Ausgestaltung der Haftungsregime im Datenschutzprivatrecht tritt zu den strukturellen Disparitäten erschwerend hinzu und zeichnet für das Vollzugsdefizit des Schadensersatzanspruchs mitverantwortlich. Grundsätzlich sind die Haftungsinstitute im europäischen Datenschutzprivatrecht davon gekennzeichnet, dass sie hauptsächlich die Haftungsbegründung regeln. Eine große Verbesserung liegt in jedem Fall in der ausdrücklichen Erwähnung moralischer, also immaterieller Schäden als ersatzfähige Schäden im Sinne des Art. 82 Abs. 1 DS-GVO. Diese Anspruchsgrundlage wird zukünftig als lex specialis Vorrang gegenüber der konkurrierenden deliktischen Haftung im jeweiligen einzelstaatlichen Recht genießen, sie aber nicht verdrängen. Die deutsche Generalklausel zum Schutz des allgemeinen Persönlichkeitsrechts etwa, § 823 Abs. 1 BGB, wird auch weiterhin anwendbar sein. Jedoch ist Art. 82 DS-GVO neben ihrem bereichsspezifischen Vorteil auch aus rechtspraktischer Perspektive vorzuziehen. Ein maßgeblicher Vorzug darin liegt nämlich unter anderem in der zukünftig tatsächlich geltenden Beweislastumkehr hinsichtlich des Verschuldensmoments. Die größte Schwierigkeit im Zuge der Geltendmachung von Schadensersatz wird der vom Betroffenen zu leistende Nachweis darüber sein, dass tatsächlich eine immaterielle Schädigung vorliegt. Die Übertretung der DS-GVO allein wird dafür nicht ausreichen, vielmehr verlangt das zukünftige Recht eine durch die im datenschutzrechtlichen Sinne betroffene Person erlebte Benachteiligung. Denkbar erscheinen solche Beeinträchtigungen praktisch in Form von Ehrverletzungen, Verlust des Ansehens und ähnlicher emotional zu begründender Einbußen. An dieser Stelle gilt es grundlegend zu untersuchen, ob Art. 82 DS-GVO in der tatsächlichen Anwendung ein funktionales Instrument zur Geltendmachung einer Entschädigung in Geld sein kann. Immaterielle Schäden infolge unzulässiger Datenverarbeitung sind der zukünftigen Anspruchsgrundlage nach jedenfalls ausdrücklich zu kompensieren. Die künftige Haftungsregel in der DS-GVO knüpft den Ersatz nicht an eine schwerwiegende Verletzung, wie es § 823 Abs. 1 oder der nur für öffentliche Stellen geltende § 8 Abs. 2 BDSG machen. Im Umkehrschluss sind danach auch die bisher nicht ersatzfähigen kleineren, sozialadäquaten Eingriffe für einen Schadensersatz ausreichend, um sie in Geld zu entschädigen.

Besondere Relevanz gewinnt mit der unmittelbaren Anwendbarkeit der DS-DVO das für die vollständige Geltung ergänzende Zivilrecht der Mitgliedstaaten. Die hiesige Rechtsprechung verlangt für den Immaterialschadensersatz bei zivilrechtlichen Persönlichkeitsverletzungen unverändert eine schwere Verletzung. Das noch geltende BDSG ist mittels § 1 Abs. 1 BDSG mit dem Persönlichkeitsrecht verknüpft. Dieser Schutzzweck korrespondiert mit Art. 1 Abs. 1 EG-DSRL („Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.“), da er im Zuge der Implementierung der Richtlinie aus dem Jahr 1995 zu keiner Änderung des Schutzzwecks des BDSG führte. Wenn nun mit der DS-GVO laut Art. 1 Abs. 2 DS-GVO die „Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ geschützt werden, ist der Persönlichkeitsschutz darunter auch weiterhin zu subsummieren. Es ist aber nicht die Geldentschädigung bei Persönlichkeitsverletzungen, die eine schwerwiegende Verletzung voraussetzt, sondern die Geldentschädigung bei Persönlichkeitsverletzungen nach § 823 Abs. 1 BGB i. V. m. Art. 2 Abs. 1 u. Art. 1 Abs. 1 GG. Der Ersatz immaterieller Schäden in Form einer Geldentschädigung auf Grundlage des zukünftigen Datenschutzrechts in Form der DS-GVO hängt jedenfalls nicht von der Intensität der Beeinträchtigung ab. Gerade mit der ab 2018 in der gesamten Union unmittelbar geltenden DS-GVO wird diese Unvollkommenheit besonders deutlich, wenn sich die Voraussetzungen zum Schadensersatzanspruch nach Sekundärrecht richten und die haftungsausfüllende Kausalität, der Schaden sowie sein Umfang durch jeweils anzuwendendes nationales Recht zu bestimmen sind. Das Zusammenwirken der DS-GVO mit dem BDSG-neu ist aufgrund der mangelnden Spezifik der supranationalen Anspruchsgrundlagen einerseits unerlässlich, andererseits verdünnt sie sich durch autonome Auslegung unbestimmter Rechtsbegriffe durch Unionsrecht. Zusammengefasst ist das supranationale Haftungsregime als unvollkommen zu bewerten. Die Europäisierung des privatrechtlichen Datenschutzes trifft dadurch auf zu viele verschiedene nationale Eigenheiten in der jeweiligen Zivilrechtsordnung, um einen einheitlichen Rechtsvollzug zu ermöglichen.

III. Ohne Schaden kein Schadensersatz

Datenschutz schützt nicht nur die Privatsphäre des Einzelnen, sondern schafft einen noch weitergehenderen Schutzgehalt. Die notwendige Verknüpfung zwischen ideeller und kommerzieller Seite des Datenschutzrechts als allgemeines Persönlichkeitsrecht wird durch den Gedanken der Selbstbestimmung hergestellt.[44] Das allgemeine Persönlichkeitsrecht vermag diesen Dualismus also inzwischen abzubilden, das Schadensersatzrecht noch nicht.

1. Was ist der ersatzfähige Schaden?

Der Schutzzweck des Datenschutzrechts erschöpft sich schon seit langem nicht mehr allein im Schutz ideeller Werte wie Würde, Persönlichkeit oder Integrität, sondern ist gerade auch auf das Austarieren wirtschaftlicher Interessen gerichtet. Für das informationelle Selbstbestimmungsrecht gilt insoweit das Gleiche wie auch für das allgemeine Persönlichkeitsrecht; auch Letzteres mag früher rein ideell verstanden worden sein, hat sich jedoch im Laufe der Zeit zu einem Recht fortentwickelt, das neben ideellen auch Vermögensinteressen des Einzelnen umfasst.[45]

Solcherlei Vermögensinteressen stehen beim Umgang mit personenbezogenen Daten oftmals sogar im Vordergrund. In der digitalen Welt haben sich personenbezogene Daten zu einer Art von Währung entwickelt und werden als wirtschaftliches Tauschobjekt genutzt. Damit agiert der Einzelne aber bei einer Datenpreisgabe nicht mehr nur als „Person“, sondern auch als Marktteilnehmer.

a) Materielle Schäden

Liegen Vermögensschäden vor, so kann der in negativer Weise Betroffene ebendiesen, in einem Geldbetrag bestimmbaren Ausgleich zivilrechtlich einfordern. Eine negative Veränderung des fiktiven Vermögensstatus als Folge rechtswidriger Verarbeitung personenbezogener Daten ist ebenso theoretisch wie auch praktisch denkbar. Die Kreditwirtschaft wird gerne als Beispiel für rein materielle Schäden als Folge unzulässiger Datenverarbeitung angeführt, da sie schon aus ihrem Geschäftsmodell heraus eine pekuniäre Bestimmbarkeit mit sich bringt. Dieser numerisch genau bestimmbare, also nach der konkreten Berechnung ermittelte Schaden ist grundsätzlich ersatzfähig.[46] Ein fehlerhaftes und deshalb unzulässiges Credit Reporting zur Bonitätsbewertung kann für den Betroffenen einen klar bestimmbaren Verlust in seiner Vermögensbilanz zur Folge haben. Die Differenz zwischen der wegen der negativen Bewertung höheren Zinslast und einer der tatsächlichen Solvenz des Kreditnehmers entsprechenden Zinslast ist der Vermögensschaden, der sich auf Euro und Cent genau bestimmen lässt.[47] Diese objektive Wertbestimmbarkeit würde jede prozessuale Durchsetzung von Schadensersatzansprüchen in der Rechtspraxis von vornherein als viel Erfolg versprechender erscheinen lassen als die Geltendmachung von immateriellen Schadensersatzforderungen. Bei der Durchsetzung eines Ersatzes für den Vermögensschaden ist der Klagegegenstand bzw. der Streitwert klar bestimmbar. In dem hier skizzierten Szenario aus dem Kreditwesen ist primär die Vermögenslage betroffen, eine Persönlichkeitsrechtsverletzung liegt im Binnenverhältnis zwischen der Kreditanstalt und dem Kunden, der hier das Datensubjekt darstellt, auf den ersten Blick nicht nahe.

b) Immaterielle Schäden

aa) Fehlende Bemessungskriterien im Datenschutzrecht

In den meisten Fällen der Nichtbeachtung von datenschutzrechtlichen Pflichten bleibt es allein bei einer Grundrechtsverletzung. Die größte, mit dem Ersatz immaterieller Schäden verbundene Schwierigkeit liegt meines Erachtens darin, einen solchen Schaden pekuniär zu erfassen. Schlussendlich wird die Determinierung der Schadenshöhe gerade von immateriellen Schäden ein Richterrecht bleiben. Gleichwohl versteht sich bereits die EG-DSRL als Instrument zur Angleichung der Rechtsvorschriften (EG. 8 EG-DSRL), und die DS-GVO als unionsweit unmittelbar geltender Rechtsakt bezweckt erst recht die unionsweit kohärente und einheitliche Anwendung (EG. 10 DSGVO). Diese legislativen Bemühungen um Kohärenz verlangen meinem Verständnis nach einen möglichst von Einheitlichkeit geprägten Umgang mit dem Schadensersatzanspruch im Datenschutzprivatrecht. Dies gelingt am besten durch möglichst umfassende und detaillierte Vorgaben im Rechtsakt. Auf Seiten des haftungsausfüllenden Tatbestands verbleibt der ersatzfähige Schaden jedoch ohne anzuwendende Kriterien zur Determinierung der Schadenshöhe. Im Sinne des unionsweiten, möglichst einheitlichen Rechtsvollzugs bleiben konkretisierende Vorgaben in Form von Leitlinien, Mitteilungen oder gar Rechtsakten wünschenswert. Eine solche Weiterentwicklung und Spezifizierung der Haftungsregime durch die supranationale Ebene wäre erstrebenswert, um die Klärung nicht dem nationalen Recht zwangsweise zu überlassen und damit die einheitliche Rechtsanwendung zu behindern.

bb) Datenschutzverstoß = unerlaubte Kommerzialisierung personenbezogener Daten?

Aus den bei Datenschutzverstößen vorherrschend auftretenden immateriellen Schäden sollen im Sinne der Messbarkeit von Schäden Vermögensschäden werden, da Letztere eine Quantifizierbarkeit des Schadensumfangs mit sich bringen. Grundsätzlich besteht bei der ökonomischen Bestimmung von aus Datenschutzverstößen resultierenden immateriellen Schäden die Problematik der Bewertung von nichtkörperlichen Persönlichkeitsrechten. In deren Schutzumfang kann zweifellos auch ein wirtschaftlicher, in Geld ausdrückbarer Wert einbezogen sein. Das Immaterialgüterrecht ist der beste Beleg dafür, dass sowohl die ökonomischen als auch die ideellen Interessen des Rechteinhabers geschützt sein können. Auch das Recht auf informationelle Selbstbestimmung schützt beide Interessensdimensionen des von der Datenverarbeitung Betroffenen.[48] Die informationelle Selbstbestimmung schützt nicht nur vor Preisgabe der eigenen Daten, sondern mithin auch vor deren Kommerzialisierung durch Dritte. Eine richterliche Rechtsfortbildung, welche die vermögenswerten Bestandteile des zivilrechtlichen Schutzes personenbezogener Daten als Konkretisierung des allgemeinen Persönlichkeitsrechts ausdrücklich anerkennt, erscheint wahrscheinlich. Wie dies praktisch gelingen kann, hat die BVerfG-Entscheidung in der Rechtssache „Blauer Engel“[49] bewiesen. Der Datenschutz, der im Persönlichkeitsrecht wurzelt, kann seinen Vermögenswert bereits heute nicht mehr verneinen. Mit der Möglichkeit der Verwertung erhält das Datenschutzrecht eine immaterialgüterrechtliche Komponente.[50] Diese Entwicklung ist bisweilen noch im Anfangsstadium und wird sich in der nächsten Zeit mit Sicherheit fortsetzen. Das Recht steht vor der Aufgabe, sich dieser Entwicklung im Kontext der Verarbeitung personenbezogener Daten anzupassen. Genau das hat die Gerichtsbarkeit hinsichtlich des Rechts am eigenen Bild, ebenfalls eine Ausprägung des Persönlichkeitsrechts, geschafft: „Es wurde (…) im Interesse der Wirksamkeit des Schutzes dem der ideellen Interessen ein ideell gebundener Schutz von Vermögensinteressen hinzugefügt.“[51] Befürchtungen, dass eine solche Entwicklung pauschal zur Kommerzialisierung des Datenschutzrechts führt, kann entgegengetreten werden, da die informationelle Selbstbestimmung ein Persönlichkeitsrecht bleibt. Inwieweit der Schutz der Daten ein eigentumsartiges Recht umfasst, ist hier nicht zu beantworten. Für den zu bejahenden deliktsrechtlichen Schutz des Rechts des Betroffenen auf Schutz seiner personenbezogenen Daten, der kommerzielle Interessen umfasst, bedarf es keiner Ausschließlichkeitsrechte an Daten oder einer personellen Zuweisung. Lediglich das materielle Interesse am Recht auf Schutz personenbezogener Daten muss dafür besser bemessbar werden.

Die unerlaubte Kommerzialisierung personenbezogener Daten durch eine private datenverarbeitende Stelle stellt aufgrund der damit einhergehenden Beeinträchtigung des kommerziellen Interesses des Rechts auf informationelle Selbstbestimmung einen materiellen Schaden dar. In der Konsequenz können Schäden aus Datenschutzvergehen mitunter als ersatzfähige Vermögensschäden erfasst werden, die sich genau bemessen lassen. Das Immaterialgüterrecht hält entsprechende Instrumente zur konkreten Schadensberechnung bereit, die auch im Datenschutzrecht anwendbar sind.[52] Insbesondere das Urheberrecht könnte dem privaten Rechtsschutz im Datenschutzrecht als Vorbild dienen.[53] Damit würden zumindest manche Datenschutzverstöße tatsächlich zu materiellen Schäden umgewandelt und damit in ihrem Umfang ermittelbar. Der pekuniäre Wert eines personenbezogenen Datums ist demnach im kommerziell motivierten Verletzungsfall der ersatzfähige Schaden. Daneben können auch die ideellen Interessen des Rechts des Betroffenen auf Schutz seiner personenbezogenen Daten verletzt sein, was zu einem Anspruch auf Immaterialschadensersatz führt. Die Rechtsdurchsetzung auf Ersatz solcher Doppelverletzungen[54] sollte sich dabei im Sinne der Praktikabilität ausschließlich auf den materiellen ersatzfähigen Schaden beschränken, solange die Verletzung des allgemeinen Persönlichkeitsrechts nicht überwiegt.

cc) Bemessungskriterien für Persönlichkeitsverletzungen aus Datenschutzverstößen

Kann ein Datenschutzverstoß nicht als unerlaubte Kommerzialisierung der auf den Geschädigten bezogenen Daten qualifiziert werden, bleibt nur noch seine Einordnung als Verletzung ausschließlich ideeller Interessen des deliktisch geschützten Persönlichkeitsrechts. Die Frage, ob jede datenschutzrechtliche Übertretung automatisch eine Verletzung des allgemeinen Persönlichkeitsrechts bedeutet,[55] steht in enger Verbindung mit der Frage, ob nur schwere Verletzungen dieser Art ersatzfähig sind. Allein der schädigende Verstoß gegen die DS-GVO genügt in Zukunft, um Schadensersatz verlangen zu können. Somit ist die Intensität der Beeinträchtigung allein für die Determinierung einer Entschädigungshöhe von Relevanz und nicht für die Anerkennung eines Schadensersatzanspruchs. Tatsächlich ist jeder Schaden nach der DS-GVO zukünftig ersatzfähig, er sollte aber dennoch ein Mindestmaß überschreiten.[56] Der in der Rechtspraxis auftretenden Schwierigkeit, eine Intensität zu bestimmen, lässt sich nicht mit einer Art Rechenformel begegnen. Indes lassen sich Kriterien definieren, die für eine Einordnung der Schwere als Grundlage dienen können. Die Qualifizierung der Eingriffsintensität ist maßgeblich bedingt durch die Reichweite derer, die von der Verletzung Kenntnis erlangen, aber auch durch die Dauer der Beeinträchtigung, das Verschulden des Schädigers und vor allem durch den Kontext der Datenverarbeitung.[57] Wenngleich die genannten und weitere ungenannte Parameter nicht trennscharf zu definieren sind, folglich keine formelle Gewichtung zugewiesen bekommen können und auch keine Quantifizierbarkeit der Persönlichkeitsverletzung erlauben, so kann damit dennoch ein qualitatives Richtmaß definiert werden. Die festgestellte Intensität der Beeinträchtigung des Rechts auf informationelle Selbstbestimmung gibt Orientierung für die Entschädigungshöhe. Unstrittig ist, dass schwere Verletzungen zu einer höheren Geldentschädigung führen müssen als minder schwere. Daraus lässt sich erkennen, dass eine ordinale Einordnung des Verstoßes mithilfe solcher Leitlinien möglich wird. Existiert im Idealfall zusätzlich noch eine Tabelle für Entschädigungshöhen bei Datenschutzverstößen auf Grundlage von Fallrecht, liefert die Übertragung der ordinalen Einordnung numerische Ober- und Untergrenzen für eine Geldentschädigung als Rechtsfolge. Die Determinierung einer Entschädigungshöhe wäre mithilfe eines solchen numerischen Rahmens maximal objektiviert. Schlussendlich muss die Geldentschädigung für immaterielle Schäden der Funktion der Haftung im Datenschutzprivatrecht entsprechend auch in ihrer Höhe präventiven Ansprüchen genügen.

Das Normieren einer Haftung wirkt zwar bereits generalpräventiv, doch auch auf Mikroebene bedarf es als Rechtsfolge für die einzelnen Delikte spürbarer Entschädigungssummen, um der individuellen Prävention Rechnung zu tragen.

IV. Fazit

Der Mangel an erfolgreich durchgesetzten Schadensersatzansprüchen lässt sich mit Sicherheit nicht auf die immerzu vollständige Einhaltung sämtlicher datenschutzrechtlicher Anforderungen zurückführen. Geschriebenes Datenschutzrecht und gelebte Datenverarbeitung haben heute nur noch wenig miteinander gemein. Der Einzelne im Datenschutzprivatrecht steht häufig international agierenden Unternehmen gegenüber, was zu einem hohen Ungleichgewicht zwischen Betroffenen und verantwortlicher Stelle führt. Doch gerade zivilrechtliche Bestimmungen vermögen es ihrer Funktion nach, Disparitäten grundsätzlich auszugleichen. Es gelingt in der Praxis jedoch nicht, das materielle Recht zu effektivieren. Eine solche Effektivierung der Rechtsdurchsetzung könnte aber eine Antwort auf unstrittig bestehende Sanktionsdefizit im Schutzbereich individueller Freiheit darstellen. Zivilrechtliche Durchsetzungsmechanismen, die unser Recht kennt, kommen mit dem dagegen immer noch neuartigem Datenschutzrecht nicht zurecht. An sich ist dieses datenschutzrechtliche Vollzugsdefizit alles andere als eine neue Erkenntnis, gleichwohl hat sich daran aber bislang nur wenig geändert und wird es auch nicht durch die DS-GVO. Eine individuelle Rechtsdurchsetzung findet im Datenschutzrecht bis heute so gut wie gar nicht statt, und auch die behördliche Rechtsdurchsetzung wird gemeinhin als nur wenig effektiv eingeschätzt.

Was das Haftungsrecht in seiner theoretischen Natur zu leisten vermag, stößt in der Rechtspraxis auf seine Unzulänglichkeiten. Sind Datenschutzverstöße nicht gleichzeitig als Medienrechtsdelikte zu qualifizieren, lässt sich konstatieren, dass die Schadenshöhe für den Einzelnen zu gering ist, um sie prozessual geltend zu machen. Stellt der Wert personenbezogener Daten bei der unrechtmäßigen Kommerzialisierung von personenbezogenen Daten den ersatzfähigen materiellen Schaden dar, wird er für den Einzelnen immer noch keine nennenswerte Größe erreichen, die eine Durchsetzung wirtschaftlich erscheinen ließ. Persönlichkeitsrechtliche Verletzungen führen vor Gericht nur im Einzelfall zu finanziell hohen Geldentschädigungen, obwohl die Billigkeit als Maßstab durchaus häufiger das Feststellen spürbarer Erträge erlauben würde. Je weiter die Kommerzialisierung von Daten voranschreitet, desto stärker wird der in der Information enthaltene wirtschaftliche Wert auch die ideelle Dimension repräsentieren. Eine Höherbewertung des ersatzfähigen Schadens – gerade bei Doppelverletzungen ideeller und kommerzieller Interessen – erscheint geboten. Ließe sich der kartellrechtliche Charakter, der zu der Erhöhung der Bußgeldhöhen geführt hat, auch auf das Privatrecht übertragen, kämen spürbare Entschädigungshöhen auf die privaten Stellen zu. Der Individualrechtsschutz kann im Ergebnis nur eine bescheidene Präventivwirkung entfalten. In der Konsequenz scheitert die privatrechtliche Rechtsdurchsetzung meistens an dem dafür nötigen Aufwand, spätestens aber an den dabei anfallenden Kosten.

Dr. Tobias Jacquemain, LL.M. ist promovierter Datenschutzrechtler und veröffentlicht im Datenschutz ebenso wie im Europäischen Wirtschaftsrecht.

[1] Zu den Folgen rechtswidriger Datenverarbeitung kann man auch die Betroffenenrechte auf Berichtigung, Löschung und Sperrung zählen. Gleichfalls kann man das Recht auf Schadensersatz oder Unterlassung zu den Rechten des Betroffenen fassen.

[2] Vgl. Sloot, Do data protection rules protect the individual and should they? An assessment of the proposed General Data Protection Regulation, International Data Privacy Law 2014, 307 (319).

[3] Franck/Purnhagen, Homo Economicus, Behavioural Sciences, and Economic Regulation: On the Concept of Man in Internal Market Regulation and its Normative Basis, in: Mathis (Hrsg.), Law and Economics in Europe: Foundations and Applications, 2014, 329. Vgl. Sloot, Do data protection rules protect the individual and should they? An assessment of the proposed General Data Protection Regulation, International Data Privacy Law 2014, 307 (320).

[4] EG. 13 DS-GVO. Vgl. dazu Sloot, Do data protection rules protect the individual and should they? An assessment of the proposed General Data Protection Regulation, International Data Privacy Law 2014, 307 (320).

[5] Die Zuständigkeit der nationalen Aufsichtsbehörden ergibt sich nach dem Ort des Hauptsitzes eines Unternehmens. Was für einen lediglich national agierenden Unternehmer leicht nachvollziehbar ist, führt für international bzw. multi-national tätige Unternehmen zu dem Ergebnis, dass die Aufsichtsbehörde aus dem Mitgliedstaat der Hauptniederlassung auch für sämtliche Niederlassungen im EU-Ausland zuständig sein wird, um dem Unternehmer eine einheitliche Rechtsvollziehung zu gewährleisten.

[6] Art. 83 Abs. 6 DS-GVO.

[7] Art. 83 Abs. 9 S. 2 DS-GVO.

[8] Mögliche Datenschutzverstöße der Facebook Inc., USA werden derzeit wettbewerbsrechtlich untersucht: Bundeskartellamt, Bundeskartellamt eröffnet Verfahren gegen Facebook wegen Verdachts auf Marktmachtmissbrauch durch Datenschutzverstöße, Meldung v. 02.03.2016

[9] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Bußgeldverfahren gegen die Debeka einvernehmlich abgeschlossen: Debeka akzeptiert Geldbuße und garantiert vorbildliche datenschutzkonforme Ausrichtung des Vertriebs, Pressemitteilung v. 29.12.2014.

[10] Berliner Beauftragter für Datenschutz und Informationsfreiheit, Deutsche Bahn akzeptiert hohe Geldbuße und will künftig Vorbild im Datenschutz sein, Pressemitteilung v. 23.10.2009.

[11] Ferner können auch Bestimmungen der StGB im Kontext des Persönlichkeitsschutzes Anwendung finden, siehe Weichert, Datenschutz – Grundrechtsschutz durch Verfahren, in: Kilian/Heussen (Hrsg.), Computerrechts-Handbuch, 2008, Rn. 84.

[12] § 44 Abs. 1 BDSG. Den objektiven und subjektiven Tatbestand darstellend Gola/Schomerus, BDSG, 2015, § 44, Rn. 5 ff. Zu den Tatbeständen im Detail Ehmann, in: Simitis (Hrsg.), BDSG, 2014, § 43, Rn. 53 ff.

[13] Meyer, in: Groeben/Schwarze/Hatje (Hrsg.), Europäisches Unionsrecht, 2015, Art. 83 AEUV, Rn. 71. Die Union hat dazu auch bereits konkrete Überlegungen angestrengt: Kommission, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Gesamtkonzept für den Datenschutz in der Europäischen Union, KOM (2010) 609 endg., 10; Kommission, Mitteilung „Auf dem Weg zu einer europäischen Strafrechtspolitik: Gewährleistung der wirksamen Durchführung der EU-Politik durch das Strafrecht“ v. 20.09.2011, KOM (2011) 573 endg., 3, 12, 14.

[14] Thüsing/Pötters, Rechtsfolgen unerlaubter Datenverarbeitung, in: Thüsing (Hrsg.), Beschäftigtendatenschutz und Compliance, 2014, § 21, Rn. 27.

[15] So auch Härting/Schneider, Das Ende des Datenschutzes – es lebe die Privatsphäre, CR 2015, 819 (827).

[16] Sloot, Do data protection rules protect the individual and should they? An assessment of the proposed General Data Protection Regulation, International Data Privacy Law 2014, 307 (321).

[17] Dazu ausführlich Jacquemain, Der deliktische Schadensersatz im europäischen Datenschutzprivatrecht, 2017, 285 ff.

[18] Art. 82 Abs. 2 DS-GVO.

[19] Art. 82 Abs. 4 DS-GVO.

[20] Gabel, in: Taeger/Gabel (Hrsg.), BDSG, 2013, § 7, Rn. 1; ebenso Becker, in: Plath (Hrsg.), BDSG, 2013, § 7, Rn. 1; Schneider, in: ders., Handbuch des EDV-Rechts, 2009, Kap. B, Rn. 361.

[21] Vgl. Simitis, in: ders. (Hrsg.), BDSG, 2014, § 7, Rn. 5. Noch schärfere Kritik übt ders., in: ders., Auf dem Weg zu einem neuen Datenschutzkonzept, DuD 2000, 714 (722) und spricht sogar von einer Schadensersatzpflicht als Fiktion.

[22] Trotz der tatsächlichen Vorteile der Verordnung gegenüber der Richtlinie hinsichtlich der Rechtsvereinheitlichung kann und wird auch die DS-GVO keine komplette Harmonisierung des europäischen Datenschutzrechts normieren, welche die nationale Datenschutzregelung gänzlich überflüssig machen würde; Freiherr von dem Bussche; Zeiter; Brombach, Die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung durch Unternehmen, DB 2016, 1359 (1364); Kuner, The European Commission’s Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law, BNA Bloomberg Privacy and Security Law Report 2012, 6.2.2012, 1 (3); Spindler, Die neue EU-Datenschutz-Grundverordnung, DB 2016, 937 (937).

[23] In dieser Abhandlung richtet sich die Interpretation der supranationalen Haftungsinstitute im Datenschutzprivatrecht stellvertretend für sämtliche Zivilrechtsordnungen der Mitgliedstaaten nach deutschem Privatrecht.

[24] Wenngleich auf den Kommissionsentwurf der DS-GVO bezogen, aber unverändert zutreffend Kosmides, Haftung für Datenschutzverstöße nach BDSG – Probleme des § 7 und europarechtliche Vorgaben, in: Conrad; Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, 2014, 534 (538).

[25] Spindler, Die neue EU-Datenschutz-Grundverordnung, DB 2016, 937 (947).

[26] In den Fassungen der Kommission (DS-GVO-E) und des Europäischen Parlaments (Europäisches Parlament, Standpunkt festgelegt in erster Lesung am 12.03.2014 im Hinblick auf den Erlass der Verordnung (EU) Nr. …/2014 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung). Damit in Verbindung steht: Europäisches Parlament, Legislative Entschließung v. 12.03.2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung).) sind dieselben Befreiungsgründe, Fehlverhalten der betroffenen Person und höhere Gewalt, wie in EG. 55 EG-DSRL noch erwähnt, finden sich aber in der finalen Fassung nicht wieder.

[27] Grundmann, in: Krüger (Red.), Münchener Kommentar zum BGB, 2016, § 276, Rn. 10.

[28] Zu diesem Schluss kommt auch Spindler, Die neue EU-DatenschutzGrundverordnung, DB 2016, 937 (947). Dem wohl zustimmend qualifizieren Larouche/Peitz/Purtova die Haftungsregel als „little more than a basic fault-based regime for privacy and data protection breaches, with a reversed burden of proof“, in: Larouche/Peitz/Purtova, Consumer privacy in network industries, 2016, 58.

[29] Zu der Angemessenheit dieser Haftungsart im europäischen Datenschutzrecht vgl. Jacquemain, Der deliktische Schadensersatz im europäischen Datenschutzprivatrecht, 2017, 136 ff.

[30] Vgl. Gola/Piltz, Die Datenschutz-Haftung nach geltendem und zukünftigem Recht – ein vergleichender Ausblick auf Art. 77 DS-GVO, RDV 2015, 279 (284).

[31] Gallwas, Schranken der Informationsfreiheit durch informationelle „Rechte anderer“ oder das „informationelle Drittverhältnis“, in: Conrad; Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, 2014, 347 (366).

[32] Vgl. ferner Rat, Ratsdokument Nr. 8383/15 v. 13.05.2015, 3.

[33] Kühling spricht hingegen insgesamt von einer „faktischen Beweislastumkehr“ in Kühling, Neues Bundesdatenschutzgesetz – Anpassungsbedarf bei Unternehmen, NJW 2017, 1985 (1990).

[34] Rat, Ratsdokument Nr. 9083/15 v. 27.05.2015, 18, Fn. 44.

[35] Bamberger, in: Bamberger/Roth (Hrsg.), Beck‘scher OK BGB, 2015, § 12, Rn. 161.

[36] Rat, Ratsdokument Nr. 15076/13 v. 23.10.2013, 14, Fn. 28; ders., Ratsdokument Nr. 8383/15 v. 13.5.2015, 20, Fn. 44. Norwegen schlug dagegen vor, diese Konkretisierung in einem Erwägungsgrund vorzunehmen.

[37] Bei sog. per se-Schäden entfällt die Differenzierung zwischen haftungsbegründender Interessenverletzung und schadensausfüllendem Verlust samt seiner Bewertung. Eine Verletzung der Rechte des Betroffenen ist mit dem immateriellen Schaden gleichgesetzt. Dazu Bar, Damage without Loss, in: Swadling/Jones (Hrsg.), The Search for Principle, 1999, 23 (37); Gerven, Remedies for Infringements of Fundamental Rights, European Public Law 2004, 261 (276 f.). Die Unionsgerichtsbarkeit geht bei der Unionshaftung bereits von diesem Verständnis des immateriellen Schadens aus, so Oskierski, Schadensersatz im Europäischen Recht, 2010, 311 f., 343 ff., 386. Vgl. auch Bar, Gemeineuropäisches Deliktsrecht II, 1999, Rn. 7, 20 ff.

[38] Rat, Ratsdokument Nr. 15076/13 v. 23.10.2013, 14.

[39] Kosmides, Zivilrechtliche Haftung für Datenschutzverstöße, 2010, 101; Rat, Ratsdokument Nr. 9083/15 v. 27.05.2015, 18, Fn. 44.

[40] Bar, Gemeineuropäisches Deliktsrecht II, 1999, Rn. 5. Verschiedene Jurisdiktionen differenzieren zwischen rechtlich relevantem Schaden und ersatzfähigem Schaden. Auf diese Differenzierung soll hier und im Folgenden verzichtet werden.

[41] Oskierski, Schadensersatz im Europäischen Recht, 2010, 168, 384. A. A., wonach immaterielle Schäden im Kontext des Art. 340 AEUV genauso wie materielle Schäden nachzuweisen sind: Jacob/Kottmann, in: Grabitz/Hilf (Hrsg.), Das Recht der Europäischen Union, 2015, Art. 340, Rn. 118.

[42] Rat, Ratsdokument Nr. 9083/15 v. 27.05.2015, 18, Fn. 44.

[43] Gola/Piltz, Die Datenschutz-Haftung nach geltendem und zukünftigem Recht – ein vergleichender Ausblick auf Art. 77 DS-GVO, RDV 2015, 279 (284).

[44] Zustimmend Graf von Westerholt, Wettbewerbsrecht und Datenschutzrecht – ein ungeklärtes Verhältnis, in: Straus (Hrsg.), Aktuelle Herausforderungen des geistigen Eigentums: FS für Beier, 1996, 561 (567).

[45] Der Dualismus des Persönlichkeitsschutzes, gleichzeitig ideelle Interessen als auch Vermögensrechte zu schützen, ist in der Rechtswissenschaft ebenso wie in der Judikatur wiederzufinden. Söder, in: Gersdorf/Paal (Hrsg.), Beck‘scher OK Informations- und Medienrecht, 2015, § 823 BGB, Rn. 127; Hubmann, Das Persönlichkeitsrecht, 1967, 133 f., 283 f. BGH, Urteil v. 20.03.1968, NJW 1968, 1773 (1774) – Mephisto; BGH, Urteil v. 08.05.1956, BGHZ 20, 346 – Paul Dahlke.

[46] Bergmann/Möhrle/Herb, Datenschutzrecht, 2012, § 7 BDSG, Rn. 11.

[47] Vgl. LG Paderborn, Urteil v. 05.03.1981, MDR 1981, 581.

[48] Dazu ausführlich Jacquemain, Der deliktische Schadensersatz im europäischen Datenschutzprivatrecht, 2017, 257 ff. Zustimmend Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 217.

[49] BVerfG, Beschluss v. 22.08.2006, NJW 2006, 3409 – Blauer Engel.

[50] Jacquemain, Der deliktische Schadensersatz im europäischen Datenschutzprivatrecht, 2017, 266 ff.

[51] BVerfG, Beschluss v. 22.08.2006, NJW 2006, 3409 (3410) – Blauer Engel.

[52] Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 304 mit zahlreichen Nachweisen für gegenteilige Auffassungen. Sein späterer Doktorand Lindhorst folgt dieser Auffassung in Lindhorst, Sanktionsdefizite im Datenschutzrecht, 2009, 69 f. Weichert bejaht dies indirekt, indem er neben dem konkreten Schaden auch die Schadensermittlung über die Lizenzgebühr für gangbar betrachtet, Weichert, Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung, NJW 2001, 1463 (1466). Scheja/Haag plädieren für die Schadensberechnung durch Lizenzanalogie, Scheja/Haag, Datenschutzrecht, in: Leupold/Glossner (Hrsg.), Münchener Anwaltshandbuch IT-Recht, 2013, Rn. 371. Gegen die Lizenzanalogie als Rechtsfolge, weil der Betroffene im Datenschutzrecht nicht über einen „kommerzialisierbaren Persönlichkeitswert“ verfügt, argumentiert Schröder, Die Haftung für Verstöße gegen Privacy Policies und Codes of Conduct nach US-amerikanischem und deutschen Recht, 2007, 131.

[53] Dazu ausführlich Jacquemain, Der deliktische Schadensersatz im europäischen Datenschutzprivatrecht, 2017, 273 ff. Ein Plädoyer für ein Datenverwertungsrecht nach dem Vorbild ökonomischer property rights gibt Purtova, Property rights in personal data: a European perspective, 2012. Schwartmann/Hentsch postulieren einen Verwertungsschutz nach dem Vorbild des Urheberrechts, lehnen jedoch die pauschale Übertragung urheberrechtlicher Konzepte auf personenbezogene Daten begründet ab, in: Schwartmann/Hentsch, Eigentum an Daten. Das Urheberrecht als Pate für ein Datenverwertungsrecht, RDV 2015, 221 (224, 230). Ein solches Verwertungsrecht ist von der von Kilian stets angeführten Verfügungsbefugnis abzugrenzen. Eine weitere Alternative: Für ein Verständnis des Persönlichkeitsrechts als Intellectual Property Right: Pinckaers, From Privacy toward a new intellectual property rights in person, 1996.

[54] Zustimmend, dass es Doppelverletzungen ideeller und kommerzieller Interessen geben kann: Wandtke, Ökonomischer Wert von persönlichen Daten, MMR 2017, 6 (9); Reber, Marlene Dietrich. Eine Prozessgeschichte zu den ideellen und kommerziellen Bestandteilen des (postmortalen) Persönlichkeitsrechts, ZUM 2004, 708 (714); Wagner, in: Habersack (Red.), Münchener Kommentar zum BGB, 2013, § 823, Rn. 246.

[55] Dafür spricht nach jetzigem Recht: BGH, Urteil v. 22.05.1984, BGHZ 91, 233 (239 f.) – AEG-Aktionär: „Jede durch das Bundesdatenschutzgesetz nicht gedeckte Übermittlung personenbezogener Daten stellt eine Verletzung dieses Rechts [das allgemeine Persönlichkeitsrecht des Klägers] dar.“ Dagegen Klippel, Deliktsrechtliche Probleme des Datenschutzes, BB 1983, 407 (414); Ehmann, Informationsschutz und Informationsverkehr im Zivilrecht, AcP 188 (1988), 230 (378) unter Berufung auf BGH, Urteil v. 17.12.1985, NJW 1986, 2505 – Zulässige Speicherung personenbezogener kreditrelevanter Daten über Ein-Mann-GmbH-Gesellschafter. Inwiefern dieses Urteil Ehmanns These stützt, bleibt unklar, eher stärkt es Buchner, der richtigerweise eine Abwägung der schutzwürdigen Interessen verlangt; s. dazu Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 300.

[56] So verlangt es das Schadensverständnis im unionsrechtlichen Sinne, Oskierski, Schadensersatz im Europäischen Recht, 2010, 385.

[57] Ein Vorschlag für Bemessungskriterien für Persönlichkeitsverletzungen aus Datenschutzverstößen in: Jacquemain, Der deliktische Schadensersatz im europäischen Datenschutzprivatrecht, 2017, 328 ff.