04.08.2020 von und

DSGVO-Schadenersatz: OGH beschränkt Beweislastumkehr

Laut OGH betrifft die Beweislastumkehr im Datenschutz nur das Verschulden des Datenverarbeiters. Schaden, Kausalität und Rechtswidrigkeit müssen weiter vom Geschädigten nachgewiesen werden.

Es ist ein Problem, das jeden betreffen könnte: Eine Bank verweigert einem Mann einen Kredit. Als Grund dafür stellt sich später eine (falsche) Bonitätsauskunft heraus. Schließlich erhält der Mann bei einer anderen Bank – angeblich zu schlechteren Konditionen – das benötigte Geld. Den Vermögensschaden sowie einen immateriellen Schaden will der Mann daraufhin bei der Kreditauskunftei geltend machen.

Grundsatzurteil zu Beweislastumkehr

Dieser Fall führte nun zu einem lange erhofften Grundsatzurteil des Obersten Gerichtshofes (OGH), das weit über das Problemfeld falscher Bonitätsauskünfte hinausgeht. Es beantwortet die Frage, wer bei einem Schaden durch eine unzulässige oder fehlerhafte Datenverarbeitung die Beweislast trägt.

Kreditauskunfteien sind sogenannte Verantwortliche im Sinne der DSGVO. Denn sie verarbeiten personenbezogene Daten und können auch selbst über die Zwecke und Mittel dieser Verarbeitung entscheiden. Somit sind sie auch an die Grundsätze der Datenverarbeitung gebunden. Deshalb müssen sie betroffene Personen über Eintragungen informieren, da sie ansonsten gegen den Grundsatz von „Treu und Glauben“ verstoßen. Das hat der OGH bereits in mehreren Entscheidungen klargestellt. Einer betroffenen Person soll so die Gelegenheit gegeben werden, sich gegen Behauptungen zur Wehr zu setzen, die seine wirtschaftliche Dispositionsfähigkeit beeinträchtigen. Folgt die Kreditauskunftei diesem Grundsatz nicht, kann die betroffene Person auf Schadenersatz klagen.

Ausmaß der Beweislastumkehr war umstritten

Nach allgemeinem Schadenersatzrecht hat der klagende Betroffene die Voraussetzungen für seinen Anspruch zu beweisen: den vorliegenden Schaden, die Kausalität sowie die Rechtswidrigkeit und Schuldhaftigkeit des Verhaltens des Beklagten. In manchen Fällen aber kann es zu einer Umkehr dieser Beweislast kommen. Dann geht die Beweispflicht von dem Betroffenen auf den Beklagten über.

Artikel 82 der Datenschutz-Grundverordnung (DSGVO) enthält eine solche Beweislastumkehr – nicht der Betroffene als Kläger ist in der Nachweispflicht, sondern der Beklagte. Doch was davon umfasst ist, war bislang umstritten.

Nun hat der OGH klargestellt, dass der Beklagte zwar sein Nichtverschulden beweisen muss, die Beweislastumkehr des Artikel 82 DSGVO aber nicht die weiteren Voraussetzungen für den Ersatz eines Schadens umfasst: Schaden, Kausalität und Rechtswidrigkeit muss allein der Betroffene nachweisen.

Beweislastumkehr umfasst nur Verschulden

Ein beklagter Verantwortlicher (oder ein von ihm zur Verarbeitung beauftragtes Unternehmen) kann sich von der Haftung befreien. Dazu muss er nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Dafür muss er technische und organisatorische Maßnahmen nachweisen, die „der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken“ für die Betroffenen angemessen waren (Artikel 24 DSGVO).

Wenn beispielsweise durch menschliches Versagen ein Datensatz falsch eingegeben wird, kann es schuldbefreiend wirken, wenn es dem Beklagten gelingt zu beweisen, dass dies trotz angemessener Schulungs- sowie angemessener technischer Maßnahmen passierte.

Erleichterung für Datenverarbeiter

Für Unternehmen ist diese abschließende Klärung der Beweislastumkehr durch den OGH sehr begrüßenswert. Schließlich obliegt es somit dem Betroffenen, nicht nur die generelle Entstehung des Schadens, sondern auch dessen Höhe zu beweisen. Darüber hinaus muss dieser auch belegen, dass der Beklagte mit seinem Verhalten nicht nur rechtswidrig gehandelt hat, sondern damit auch kausal, sprich ursächlich für den Schaden war.

Dies stellt auch im Hinblick auf die nach der DSGVO ebenfalls zu ersetzenden immateriellen, also nicht vermögenswerten Schäden, eine große Erleichterung dar. Die österreichische Rechtsprechung hat gezeigt, dass sich diese zu hohen Entschädigungsaufwänden summieren können, wenn es sich um eine Vielzahl von Betroffenen, beispielsweise eine ganze Reihe an Kunden, handelt.

Erst Anfang des Jahres sprach der Oberste Gerichtshof einem Betroffenen Ersatz für einen immateriellen Schaden in Höhe von 2400 Euro für das heimliche Orten seines Dienstwagens zu. Im August 2019 wurden einem Betroffenen 800 Euro an Schadenersatz für die unzulässige Verarbeitung von sensiblen Daten zugesprochen. In einer (noch nicht rechtskräftigen) Entscheidung hob das Berufungsgericht dieses Urteil auf. Dies aber primär wegen unzureichender Geltendmachung und mangelndem Beweis des angeblich erlittenen Gefühlsschadens.

Conclusio

Ungeachtet dieser Erleichterung darf nicht vergessen werden, dass beim Verschulden weiterhin die Beweislastumkehr gilt. Deshalb ist es essenziell, im Rahmen der Risikominimierung darauf zu achten, angemessene Maßnahmen zu implementieren und diese auch ausreichend zu dokumentieren. Nur so kann gegebenenfalls der Nachweis erbracht werden, dass die erforderliche Sorgfalt – besonders im Zusammenspiel zwischen dem Stand der Technik und den schutzwürdigen Interessen des Betroffenen – eingehalten wurde.

Autor: und

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.