Freitag, 5. Oktober 2012

Haftung und Sanktionen bei Datenschutzverstößen – Schadensersatz und Schmerzensgeld



Entsteht dem von einem Datenschutzverstoß Betroffenen einen materieller oder immaterieller Schaden, so steht ihm die Geltendmachung von Schadensersatz (oder bei immateriellen Schäden gemeinhin Schmerzensgeld genannt) aus mehreren Ansprüchen offen: Zum einen sieht hier das Bundesdatenschutzgesetz in § 7 und § 8 BDSG Schadensersatzansprüche vor. Daneben sehen insbesondere die deliktischen Ansprüche aus dem Bürgerlichem Gesetzbuch – konkret die §§ 823, 831, 824 und 826 BGB.

Nach § 7 BDSG macht sich eine verantwortliche Stelle gemäß § 3 Abs. 7 BDSG bei einer datenschutzwidrigen Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten des Betroffenen schadensersatzpflichtig, sofern dem Betroffenen durch die Datenschutzverletzung ein Schaden entstanden ist. Zu beachten ist allerdings, dass sich die verantwortliche Stelle exculpieren kann, sofern sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

Zu beachten sind die zahlreichen Einschränkungen des § 7 BDSG: Den Schadensersatzanspruch kann nur eine natürliche Person geltend machen, ferner muss es sich bei den von der betroffenen Stelle verarbeiteten Daten um die Daten des Betroffenen selbst handeln und auch dem Betroffenen muss der Schaden selbst entstanden sein. Wichtig in diesem Zusammenhang ist auch, dass aufgrund des klaren Wortlaut des nicht etwa Mitarbeiter oder Arbeitnehmer oder gar der Datenschutzbeauftragte gemäß § 7 BDSG haften, sondern ausschließlich die verantwortliche Stelle. Die Schadensersatzpflicht besteht auch bei jedem Verstoß gegen eine Datenschutzvorschrift – egal in welcher Art und Weise eine unzulässige datenschutzwidrige Verarbeitung erfolgte. Dies können beispielsweise Verstößen gegen das BDSG durch die unerlaubte zweckentfremdete Nutzung von personenbezogenen Daten sein, die unberechtigte Nutzung von Daten sein – etwa weil keine wirksame Einwilligung vorliegt – oder keine Rechtsgrundlage für eine Datenverarbeitung vorliegt. Eine Haftung nach § 7 BDSG kommt beispielsweise auch in Betracht, wenn ein Verstoß gegen die Datenschutzvorschriften des Telemediengesetzes (TMG) oder des Telekommunikationsgesetzes (TKG) vorliegen.

Der verantwortlichen Stelle steht gemäß § 7 Satz 2 BDSG der Entlastungsbeweis offen: Hat die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet, haftet sie nicht. Dies bedeutet, dass sie alle im konkreten Fall darlegen muss, die erforderlichen Maßnahmen getroffen zu haben, um eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zu ermöglichen - in anderen Worten also alle gesetzlichen Anforderungen eingehalten wurden aber der Schaden beim Betroffenen dennoch nicht verhindert werden konnte.

Einer der schwierigsten Punkte bei einem Schadensersatz aus Datenschutzverletzungen ist die Nachweisbarkeit eines konkreten Schadens. Ein solcher muss der Betroffene darlegen und beweisen. Der Ersatz immaterieller Schäden ist von § 7 BDSG nicht vorgesehen – hier muss man sich des § 8 BDSG (wegen § 8 Abs. 2 BDSG) bedienen - sofern dessen engen Voraussetzungen überhaupt vorliegen - oder eines Anspruchs aus den Verletzung des allgemeinen Persönlichkeitsrechts.

Bei § 8 BDSG handelt es sich um eine Sondervorschrift zur Haftung von öffentlichen Stellen (§ 2 BDSG). Im Gegensatz zu § 7 BDSG besteht hier bei einer datenschutzwidrigen Verarbeitung von personenbezogenen Daten eine "echte" Gefährdungshaftung. Zu beachten ist aber hier, dass es sich im Gegensatz zu § 7 BDSG um eine "automatisierte Datenverarbeitung" handeln muss. Abs. 2 sieht hier eine Schadensersatzpflicht auch von immateriellen Schäden vor. Abs. 3 begrenzt die Haftung sowohl für materielle als auch immaterielle Schäden auf einen Höchstbetrag von 130.000,00 €.

Aufgrund dieser etwas löchrigen Anspruchsgrundlagen für die Geltendmachung von materiellen und immateriellen Schäden sind deshalb die daneben stehenden vertraglichen Ansprüche und deliktsrechtliche Ansprüche aus dem Bürgerlichen Gesetzbuch (BGB) relevant.

Datenschutzgerechtes Verhalten kann sich zum Beispiel aus einer Hauptpflicht des Vertragsverhältnisses ergeben, in der Regel aber aus der Verpflichtung durch vertragliche Nebenpflichten, welche unter Umständen zu einem vertraglichen Schadensersatzanspruch führen können.

Aus § 823 Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder dem allgemeinen Persönlichkeitsrecht kann sich im Falle eines verschuldeten Verstoßes gegen Datenschutzvorschriften ein Schadensersatzanspruch ergeben. Nach den allgemeinen haftungsrechtlichen Grundsätzen kann auch hier ein Unternehmen als juristische Person gemäß §§ 30,31 BGB oder aus der Verletzung einer Organisationspflicht (Organisationsverschulden) haften. Für von einem Mitarbeiter oder Angestellten – oder auch des Datenschutzbeauftragten – begangenen Datenschutzverstoß kann ein Unternehmen aber auch nach den Grundsätzen der Haftung für Verrichtungsgehilfen gemäß § 831 BGB in Verbindung mit § 823 Abs. 1 BGB haften. Hier steht dem Unternehmen allerdings ein Entlastungsbeweis frei, indem dargelegt wird, dass die Mitarbeiter sorgfältig ausgewählt wurden und sie auch ausreichend über die Befugnisse zur Verarbeitung personenbezogener Daten belehrt worden sind.

Wird etwa durch ein datenschutzwidriges Verhalten der Kredit eines anderen gefährdet oder dessen wirtschaftliche Lage nachteilig beeinflusst, kommt eine Haftung aus § 824 BGB (Kreditgefährdung) in Betracht. Im Einzelfall denkbar ist auch eine Inanspruchnahme aus sittenwidriger vorsätzlicher Schädigung gemäß § 826 BGB.

Für den Schadensersatz von immateriellen Schäden kommt ein Anspruch aus § 823 Abs. 1 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht oder des allgemeinen Persönlichkeitsrechts in Betracht.

Dienstag, 2. Oktober 2012

Haftung und Sanktionen bei Datenschutzverstößen – Straftatbestände und Strafen

Das Bundesdatenschutzgesetz sieht bei einer schwerwiegenden Verletzung von Datenschutzvorschriften in bestimmten Fällen - im Gegensatz zu den Ordnungswidrigkeitstatbeständen des § 43 BDSG und der Sanktionierung mit Bußgeldern - in § 44 BDSG die Verhängung von Strafen vor. Konkret: Freiheitsstrafe bis zu zwei Jahre oder eine Geldstrafe.

Strafbar macht sich nach § 44 BDSG, wer eine in § 43 Abs. 2 BDSG bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht.

Voraussetzung für eine Strafbarkeit ist, dass die Tathandlung vorsätzlich erfolgt – eine dem § 43 Abs. 2 BDSG zur Erfüllung des Ordnungswidrigkeitentatbestands erforderliche "nur" fahrlässige Tatbegehung reicht also nicht aus.

Der Täter muss auch gegen Entgelt handeln, also durch den  Datenschutzverstoß im Hinblick auf eine Gegenleistung erbringen. Alternativ dazu reicht auch aus, wenn sich der Täter selbst oder einer anderen Person einen Vermögensvorteil verschaffen möchte oder einen anderen schädigen möchte. Eine Schädigung kann auch in einer Ehrverletzung bestehen.

Bei den Straftatbestand des § 44 BDSG handelt es sich um ein Antragsdelikt, weshalb entsprechend § 44 Abs. 2 BDSG ein Strafantrag gemäß §§ 77-77d StGB erforderlich ist. Hierbei ist zu berücksichtigen, dass antragsberechtigt nur der Betroffene (also gemäß § 3 Abs. 1 BDSG die natürliche Person ist, auf welche die der Tat zugrunde liegenden Daten bezogen sind), die verantwortliche Stelle gemäß § 3 Abs. 7 BDSG, der Bundesbeauftragte für den Datenschutz und Informationsfreiheit und die jeweils zuständige Aufsichtsbehörde. In diesem Zusammenhang ist für die Stellung eines Strafantrags die Antragsfrist des § 77b Abs. 1 StGB von drei Monaten relevant.

Da es sich bei § 44 BDSG um eine strafrechtliche Vorschrift handelt, gelten auch die allgemeinen Vorschriften des Strafgesetzbuches. Dies bedeutet unter anderem, dass der Versuch der Tat nicht strafbar ist (§ 23 Abs. 1 StGB) und die Tat auch gemäß § 13 StGB durch Unterlassen begehbar und strafbar ist.