Datenschutz für Unternehmen

2.4.2 Die Anspruchsberechtigten
2.4.2.1Systematisches

Die Bezugnahme in Art 82 Abs 1 DSGVO auf „jede“ und nicht nur eine „betroffene Person“ als Anspruchsberechtigte, sofern sie durch einen Verstoß gegen die Bestimmungen der DSGVO einen Schaden erleidet, ist konsistent, wenn man die DSGVO (genauer: die im Einzelfall zu bestimmenden Verhaltenspflichten) – aus einem österreichischen Blickwinkel – genau als das betrachtet, was sie dem Grunde nach ist: nicht mehr und nicht weniger als ein Schutzgesetz.[76]

Zwar ist dieser österreichische Blickwinkel ob der erforderlichen autonomen Auslegung, beispielsweise, sofern es um den Begriff des Schadens im Sinne der DSGVO geht[77], methodisch nicht ganz korrekt. Eine Besinnung auf das Konstrukt „Schutzgesetz“ verdeutlicht jedoch nur allzu gut, warum Art 82 DSGVO auf „jede“ und eben nicht nur „betroffene Person“ abstellt und dass es auf eine rechtsgeschäftliche oder rechtsgeschäftsähnliche Beziehung zwischen dem vermeintlichen Schädiger (Verantwortlichen, Auftragsverarbeiter) und dieser Person nicht ankommt bzw. ankommen kann. Begreift man das Persönlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung, wenn und soweit es durch die DSGVO geschützt wird, als absolute Rechte, gilt es inter omnes (gegenüber jedermann). Das ist de lege lata nichts Neues; es liegt in der Natur von absolut geschützten Rechten bzw. Rechtsgütern, dass sie, ohne Bezug auf etwaige Sonderbeziehungen, von jedermann zu beachten sind.

Neu an der DSGVO ist allerdings, dass Art 82 DSGVO darüber hinaus ein Beweislastkonzept beinhaltet, das sich genau an solchen vertraglichen Sonderbeziehungen orientiert bzw. darüber hinausgeht. Hierzu jedoch an späterer Stelle[78] und zurück zu Grundlegenderem:

2.4.2.2„Jede Person“ als Anspruchsberechtigte?

Erfasst der Begriff „jede Person“ auch juristische Personen? Ein Blick in das hierzu verfügbare Schrifttum überrascht:

Einerseits wird die Auffassung vertreten, dass nur „betroffene [natürliche] Personen“ gemeint und juristische Personen ausgeschlossen sein sollen.[79] Andere erstrecken den Schutzbereich auch auf juristische Personen[80] bzw. formulieren vorsichtig, dass „eine Beschränkung des Kreises der Anspruchsberechtigten auf natürliche Personen vertretbar“[81] sei, wobei die Grenze des Haftungsrahmens nicht bei „betroffenen Personen“ stehen bleiben soll.[82]

Ohne sich an dieser Stelle in Details von Interpretationen, gestützt auf den Wortlaut oder Telos der DSGVO, verfangen zu wollen, sei an dieser Stelle festgehalten:

Der europäische Gesetzgeber wollte mit der DSGVO, wie bereits ihr offizieller Titel verrät, ein Regelwerk zum Schutz „natürlicher Personen bei der Verarbeitung personenbezogener Daten“ normieren. Und genau diese Befugnis steht dem europäischen Gesetzgeber gemäß Art 16 Abs 2 AEUV auch zu.

Eine Interpretation dahingehend, dass mittels des Begriffs „jede Person“ auch juristische Personen in den Haftungsverband der DSGVO einbezogen werden sollten, würde auf das Ergebnis hinauslaufen, dass der europäische Gesetzgeber (in Übertretung seiner Gesetzgebungskompetenz) als Reflexwirkung auch eindeutig nicht vom Telos der DSGVO erfasste Personen in deren Schutzbereich einbeziehen wollte. Der Willen nach einer solchen juristischen Gratwanderung sollte dem europäischen Gesetzgeber nicht unterstellt werden.

Somit sollte klar sein, dass iSd Art 82 DSGVO anspruchsberechtigt jede natürliche Person[83] ist, die wegen (besser: aufgrund) eines Verstoßes gegen die DSGVO einen Schaden erlitt. Damit gemeint sind die (natürlichen) Personen, deren Daten nach Maßgabe der DSGVO zu behandeln und somit betroffen sind.[84] Insoweit ist auch eine Rückbesinnung auf einen spezifisch drittschützenden Charakter der jeweiligen Verhaltenspflicht nicht notwendig.[85] Ausgeschlossen sind demnach Dritte, die (als Reflexwirkung) dadurch einen Schaden erleiden, weil beispielsweise ein Verantwortlicher rechtswidrig Daten einer betroffenen Person iSd Art 4 Z 4 DSGVO verarbeitete[86] − unabhängig davon, ob es sich bei dem Dritten um eine natürliche oder juristische Person handelt.

2.4.2.3Österreich als Sonderfall

§ 29 S 1 DSG statuiert für den Fall eines Verstoßes gegen die DSGVO bzw. § 1 sowie Art 2 1. Hauptstück des DSG einen Schadenersatzanspruch „nach Art 82 DSGVO“, wobei für diesen gemäß § 29 S 2 DSG im Einzelnen die allgemeinen Bestimmungen des bürgerlichen Rechts gelten sollen. Da sich der Anwendungsbereich des § 1 sowie Art 2 1. Hauptstück des DSG auch auf juristische Personen erstrecken, stünden somit auch solchen Personen Schadenersatzansprüche „nach Art 82 DSGVO“ zu.

Zwar hat der österreichische Gesetzgeber unbestritten die Kompetenz, nationale Bestimmungen hinsichtlich personenbezogener Daten juristischer Personen und somit auch die Rechtsfolgen im Falle von Verstößen zu implementieren. Und folgerichtig wird aufgrund des Wortlautes von § 29 DSG davon ausgegangen, dass der Gesetzgeber den sachlichen Anwendungsbereich des Art 82 DSGVO auch auf juristische Personen erstreckte.[87]

Die sich daraus nicht nur in der juristischen Praxis ergebenden Konsequenzen sind allerdings weder abschätzbar noch praktikabel, leidet doch die Erstreckung auf den „sachlichen Anwendungsbereich“ des Art 82 DSGVO unter einem Zirkelschluss: Art 82 DSGVO setzt als haftungsbegründendes Ereignis einen Verstoß gegen die Verordnung, die jedoch selbst unzweifelhaft juristische Personen nicht erfasst, voraus. Somit ergibt § 29 DSG, soweit es juristische Personen betrifft, nur Sinn, wenn und soweit sich auch juristische Personen auf die Tatbestandsvoraussetzungen des Art 82 DSGVO stützen können, wobei haftungsbegründend ausschließlich ein Verstoß gegen § 1 bzw. Artikel 2 1. Hauptstück des DSG wirken kann.

Hinsichtlich juristischer Personen verbleibt somit im Wesentlichen im Rahmen des § 29 S 1 DSG der Vorwurf, dass ein Verantwortlicher oder Auftragsverarbeiter den Anspruch auf Geheimhaltung der die juristische Person betreffenden personenbezogenen Daten, obwohl ein schutzwürdiges Interesse daran bestand, (schuldhaft) verletzte. Dabei könnte sich der Verantwortliche oder Auftragsverarbeiter von seiner Haftung nur befreien, wenn er gemäß Art 82 Abs 3 DSGVO nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Ein „Verstoß“ gegen § 1 Abs 3 DSG hat jedenfalls für juristische Personen keine Bedeutung:

§ 1 Abs 3 DSG statuiert zwar gewisse Rechte, die jedem zustehen (zB Auskunftsrecht, Recht auf Löschung und Richtigstellung), diese Rechte müssten aber demgemäß auch juristischen Personen zukommen. Allerdings: Sie gelten, dem Wortlaut des § 1 Abs 3 DSG folgend, „nach Maßgabe gesetzlicher Bestimmungen“. Es gibt jedoch im DSG keine einfach gesetzlichen datenschutzrechtlichen Bestimmungen (mehr), die zu Gunsten von juristischen Personen zur Anwendung gelangen könnten.

Welche Konsequenzen folgen daraus für die Praxis?

Sofern juristische Personen mit dem jeweiligen Verantwortlichen bzw. Auftragsverarbeiter in einer rechtgeschäftlichen Beziehung stehen, empfiehlt es sich, auf Rechtsfolgenebene vertragliche Vorkehrungen zu treffen, die explizit (auch) auf den Ausschluss von § 29 DSG bzw. eine entsprechende betragsmäßige Begrenzung gerichtet sind. Hierbei wird zu beachten sein, dass sich die Wirksamkeit einer solchen Haftungsbefreiung bzw. -beschränkung auch an der Schwere des Verschuldensvorwurfs orientieren wird; eine wirksame Freizeich­nung für vorsätzliches Fehlverhalten ist selbstredend ausgeschlossen, für grob fahrlässiges Handeln erscheint jedoch zumindest eine betragsmäßige Eingrenzung, die das verletzungstypische Risiko widerspiegelt, zulässig. Wobei auch folgender Gedankengang vertiefungswürdig erscheint:

Privaten Rechtsträgern steht es grundsätzlich frei, auf ihnen zustehende Rechte zu verzichten. Zwar ist nicht jeder Rechtsverzicht wirksam bzw. mögen bestimmte, insbesondere höchstpersönliche Rechte einem Verzicht unzugänglich sein. Und Grundrechten, denen der Charakter eines Abwehrrechtes gegenüber staatlichem Handeln immanent ist, mag eine solche Unverzichtbarkeit regelmäßig innewohnen. Allerdings dürfte jedenfalls dann, wenn genau diese Abwehrfunktion gegenüber staatlichem Handeln nicht Gegenstand der Grundrechtsausübung ist, eine differenzierte Betrachtung angebracht sein. Fehlende Dispositionsbefugnis dürfte grundsätzlich nur bei überindividuellen Gütern in Betracht zu ziehen sein. Das Recht auf Datenschutz fällt nicht darunter. Dessen Schutzbereich betrifft nur den Einzelnen, sei es auch eine juristische Person. Insoweit stellt sich die Frage, ob Parteien, zumal, wenn es sich um juristische Personen handelt, – inter partes – nicht auch wirksam auf ein zwischen ihnen unmittelbar wirkendes Grundrecht verzichten können. Dann würde jedoch ein Schadenersatzanspruch, gestützt auf § 29 iVm § 1 DSG, ins Leere laufen.

Vorangestellte Überlegungen können jedoch selbstredend dann nicht zum Tragen kommen, wenn zwischen den Parteien keine rechtsgeschäftliche bzw. rechtsgeschäftsähnliche Sonderbeziehung besteht. Hier bleibt es bei der (potenziellen) Anwendbarkeit des § 29 iVm § 1 DSG auch zugunsten juristischer Personen infolge der Verletzung ihrer „schutzwürdigen Interessen“ – wie auch immer dieser unbestimmte Rechtsbegriff letztlich im Einzelfall interpretiert werden mag.

2.5 Schaden
2.5.1 Ausgangspunkt

Allein die Rechtswidrigkeit des Verhaltens des Haftenden reicht für eine Haftung nicht aus; es muss beim Anspruchsberechtigten – infolge dieses Fehlverhaltens – auch ein (dem Schädiger zuzurechnender) Schaden entstanden sein, wobei der Begriff des Schadens unter Berücksichtigung von Art 4 Abs 3 AEUV „[…] im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise [auszulegen ist], die den Zielen dieser Verordnung in vollem Umfang entspricht“[88]. In den Erwägungsgründen wird in diesem Zusammenhang angesprochen, dass die rechtswidrige Verarbeitung von personenbezogenen Daten zu

+einer Diskriminierung, einem Identitätsdiebstahl oder -betrug,

+einem finanziellen Verlust,

+einer Rufschädigung,

+einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten,

+der unbefugten Aufhebung der Pseudonymisierung oder

+anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen

führen kann.[89]

Zusammengefasst geht es somit um den Ersatz erlittener[90] materieller und immaterieller Schäden.

2.5.2 Materielle Schäden

Selbst unter Beachtung des Vorrangs des Unionsrechtes kann hierbei grundsätzlich auf die zu §§ 1293 ff ABGB entwickelten Grundsätze zurückgegriffen werden. Es muss demgemäß zu einer tatsächlichen negativen Veränderung der Vermögensgüter des Geschädigten gekommen sein.[91] Aufgrund der erforderlichen autonomen und weiten Auslegung des Schadensbegriffes iSd Art 82 DSGVO dürften aber auch Verdienstentgang[92] und entgangener Gewinn hierzu zu zählen sein, ohne dass es auf die nach österreichischem Schadenersatzrecht zu beachtenden Verschuldensformen – was den entgangenen Gewinn betrifft[93] – ankommen dürfte.[94]

2.5.3 Immaterielle Schäden

Soweit es immaterielle Schäden, also Nichtvermögensschäden an nicht geldwerten Rechtsgütern, betrifft, gestaltet sich die Anwendung des Art 82 Abs 1 DSGVO schwieriger, als ihr Ersatz zwar einerseits ausdrücklich angeordnet wird, es andererseits jedoch im Unionsrecht nach wie vor keinen einheitlichen Begriff des „immateriellen Schadens“ gibt.

Erschwerend kommt hinzu, dass auch die DSGVO selbst keine Erheblichkeitsschwelle bzw. Vorgaben zum Umfang der Ersatzpflicht statuiert.[95] Ob die zur Pauschalreise-RL entwickelte Judikatur des EuGH[96] diese Lücke aufzufüllen vermag bzw. eine entsprechende Vergleichbarkeit zulässt, ist fraglich.[97]

Allerdings lohnt sich ein Blick in die bisher zu immateriellen Schäden entwickelte Judikatur des OGH, die – vorbehaltlich der angesprochenen autonomen und weiten Auslegung – sehr wohl Anhaltspunkte für die Bestimmung des zu ersetzenden immateriellen Schadens sowohl dem Grunde als auch der Höhe nach liefert:

Hier hat sich mittlerweile herauskristallisiert, dass die Verwirklichung einer gewissen Erheblichkeitsschwelle Wesensvoraussetzung für die Zuerkennung bzw. Ersatzfähigkeit eines immateriellen Schadens ist. In diesem Sinne judiziert auch der OGH in Übereinstimmung mit zumindest Teilen des Schrifttums, dass nicht alle Unlustgefühle, Ärgernisse oder „Gefühlsschäden“ schadenersatzrechtlich zu kompensieren sind.[98] Der Interessenbeeinträchtigung muss eben ein gewisses Gewicht zukommen. Mit anderen Worten: Es muss eine qualifizierte Persönlichkeitsverletzung vorliegen, was – aus einem österreichischen Blickwinkel betrachtet – regelmäßig zugleich das Vorliegen zumindest grober Fahrlässigkeit erfordert.

Dass Verhaltensweisen, die Bagatellcharakter aufweisen, keine Sanktionierung mittels Art 82 Abs 1 DSGVO erfahren sollen, kann im Übrigen auch den Erwägungsgründen zur DSGVO selbst entnommen werden. Dort heißt es nämlich, dass die betroffenen Personen einen „vollständigen und wirksamen Schadenersatz“ für den erlittenen Schaden erhalten sollen.[99] Sofern jedoch die Grenze zur Bagatelle nicht überschritten ist, läuft dieser Gesichtspunkt ins Leere. Darüber hinaus würde die Zubilligung von Schadenersatz nach Art 82 DSGVO auch für „Bagatellschäden“ ein erhebliches Missbrauchsrisiko im Bereich des Datenschutzrechtes Tür und Tor öffnen.[100] Ergänzend sei festgehalten, dass durch die aufgezeigte Sichtweise der rechtswidrig verletzte Betroffene nicht schutzlos gestellt wird: Er kann nach wie vor Beseitigung bzw. Unterlassung der rechtswidrigen Verarbeitung verlangen.

Die Neigung des europäischen Gesetzgebers, rechtswidriges Verhalten mit der Ersatzpflicht für immaterielle Schäden zu verbinden, ist weder neu noch überraschend: Die Pauschalreise-RL[101] bietet hierfür ein genauso gutes Beispiel wie Art 14 Geschäftsgeheimnis-RL, in der explizit der Ersatz immaterieller Schäden aus dem rechtswidrigen Erwerb, einer rechtswidrigen Nutzung oder Offenlegung eines Geschäftsgeheimnisses normiert wird. In den Fängen des ABGB verhaftend bleibend, mutet es allerdings eher befremdlich an, dass solche Ersatzpflichten bereits ab leichter Fahrlässigkeit[102] bzw. gar verschuldensunabhängig[103] gewährt werden.

Welche Konsequenz ergibt sich aber nun daraus für die schadenersatzrechtliche Sanktionierung von „Datenschutzverletzungen“?

Es wird wohl kein Weg daran vorbeiführen, die Unbestimmtheit der Vorgaben des europäischen Gesetzgebers in Art 82 DSGVO mithilfe von Fallgruppen zu konkretisieren. Zentraler Ansatzpunkt könnten hierbei die Informationen sein, welche personenbezogenen Daten mit welcher Eingriffsintensität[104] (rechtswidrig) verarbeitet wurden.

Hat man auf dieser – objektiven – Ebene die entsprechenden Fallgruppen gebildet, käme als weiteres Wertungskorrektiv die Schwere des konkreten Vorwurfs gegenüber demjenigen, der die Verarbeitung verantwortete, in Betracht. Je eingriffsintensiver und vorwerfbarer die jeweilige Verletzung erfolgte, desto höher wird demgemäß der jeweilige Schadenersatzanspruch ausfallen – immer vorausgesetzt, dass überhaupt ein Verhalten mit relevanter Eingriffsintensität vorliegt, was bei „Bagatellbeeinträchtigungen“, unabhängig von der Schwere des Verschuldensvorwurfs, zu verneinen ist.

2.6 Verschulden und Haftungsbefreiung

Art 81 Abs 1 DSGVO stellt als haftungsbegründendes Element auf einen Schaden, der „wegen“ eines Verstoßes gegen die DSGVO entstanden ist, ab. Diese Formulierung legt die Wertung nahe, dass es sich bei Art 82 DSGVO um eine Gefährdungshaftung, die ihrer Rechtsnatur nach verschuldensunabhängig ausgestaltet ist, handeln könnte. Allerdings eröffnet Art 82 Abs 3 DSGVO dem Schädiger die Möglichkeit, sich bei Nachweis der „Nichtverantwortlichkeit“ von der Haftung zu befreien. Somit stellt sich die Frage, ob es sich bei Art 82 DSGVO um eine Gefährdungshaftung (mit Entlastungsmöglichkeit) oder um eine Verschuldenshaftung (mit Beweislastumkehr)[105] handelt. Jedenfalls ist die weite Formulierung von Art 82 Abs 3 DSGVO („in keinerlei Hinsicht“) nicht glücklich gewählt, eröffnet sie doch tendenziell die Überlegung, dass sich die „Beweislastumkehr“ nicht (nur) auf die „Nichtverantwortlichkeit“ im Sinne eines Verschuldens, sondern auch auf andere Zurechnungskriterien beziehen könnte.[106]

Einer Lösung des Problems dürfte man sich am besten nähern, wenn man die „(Nicht-)Verantwortlichkeit“ iSv Art 82 Abs 3 DSGVO nicht (nur) als das Ergebnis einer subjektiven Zurechnung der (objektiv rechtswidrigen) Datenverarbeitung iSv Art 4 Z 7 iVm Art 5 Abs 2 DSGVO begreift. Vielmehr dürfte, wie auch Frenzel formuliert, eine unglückliche Doppelung von Begrifflichkeiten vorliegen:[107]

Nach Art 82 DSGVO soll die bloße Beteiligung an einer (rechtswidrigen) Datenverarbeitung ausreichen, um haften zu müssen. Derjenige jedoch, der nachweist, dass er seine der DSGVO entspringenden Verpflichtungen vollumfänglich erfüllt hat, soll von der Haftung entlastet werden.[108] Die Haftung nach Art 82 DSGVO soll aber auch nicht dazu führen, dass an der Datenverarbeitung gar nicht Beteiligte in eine Nachweispflicht dafür verstrickt werden, dass sie nicht verantwortlich iSv „nicht beteiligt“ sind.[109] Die Haftung bleibt im Grundsatz zu Gunsten der betroffenen Personen jedoch sehr strikt: Sie sollen davon entlastet werden, Zusammenhänge nachweisen zu müssen, die ggf. ihre Ursache in für sie gar nicht erkennbaren Verhältnissen der Verantwortlichen haben.[110]

Ein Verantwortlicher wird sich demgemäß erfolgreich auf Art 82 Abs 3 DSGVO berufen können, wenn die Verletzung auf einen unberechtigten Zugriff Dritter auf (personenbezogene) Daten beruht, er jedoch nachzuweisen vermag, dass er als Verantwortlicher entsprechend der DSGVO alle erforderlichen Sicherungsmaßnahmen ergriffen hat.[111] Nutzen hingegen Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, wird der Verantwortliche seine Nichtverantwortlichkeit nicht nachweisen können.[112] Dasselbe wird gelten, wenn die eigenen Mitarbeiter unberechtigt auf (personenbezogene) Daten zugriffen.[113]

Selbst unter der Annahme, dass mit Art 82 DSGVO eine Gefährdungshaftung mit Entlastungsmöglichkeit statuiert wurde, wäre dies nicht zwangsläufig mit einer Entkoppelung von der Frage der Vorwerfbarkeit eines menschlichen Verhaltens verbunden; die Frage der Vorwerfbarkeit würde sich primär auf eine andere Ebene, nämlich auf die der Beweislast, verlagern.

2.7 Die Passivlegitimation

Anspruchsverpflichtet ist der Verantwortliche oder der Auftragsverarbeiter, der an der Datenverarbeitung beteiligt ist – unabhängig davon, ob es sich um eine öffentliche oder private Stelle handelt.[114] Damit ist zugleich gesagt, dass beispielsweise das staatliche Haftungsprivileg nach § 2 Abs 2 AHG im Rahmen eines auf Art 82 DSGVO gestützten Schadenersatzanspruches keine Bedeutung erlangen kann.

Dass hierbei „Verantwortlicher“ iSd Art 82 DSGVO nicht im Sinne eines Verschuldensvorwurfes zu verstehen ist, bedarf ob der Legaldefinition des Art 4 Z 7 DSGVO keiner weitergehenden Erläuterung. Entscheidend ist vielmehr, wer die Daten – rechtswidrig – verarbeitete[115]; haftungsbegründend kommt es somit auf die Zurechnung der Verarbeitung an, nicht auf die Zurechnung des Schadens.[116] Zwar wird der Auftragsverarbeiter durch Art 82 Abs 2 S 2 DSGVO im Verhältnis gegenüber dem Geschädigten haftungsmäßig privilegiert; umgekehrt wird jedoch auch der Verantwortliche privilegiert, wenn der Auftragsverarbeiter seine Weisungen missachtete.[117]