DSGVO-Schadenersatzansprüche gegen Behörden

Wer von einer Datenschutzverletzung betroffen ist und Schaden erleidet, dem steht Schadenersatz zu. Das gilt auch, wenn die verantwortliche Stelle eine Behörde ist.

Behörden erheben und speichern allerhand persönliche Daten, in Akten und elektronisch. Immer wieder kommt es auch bei Behörden zu Datenlecks – mal durch Hackerangriffe, mal durch Datenpannen. Behörden müssen nach Art. 33 DSGVO Verletzungen des Schutzes personenbezogener Daten, von denen mehr als nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht, unverzüglich der zuständigen Aufsichtsbehörde melden. Dies soll möglichst binnen 72 Stunden erfolgen.

Verstöße durch Hoheitsträger

Jede Person, der wegen eines Verstoßes gegen die DSGVO materieller oder immaterieller Schaden entsteht, hat nach Art. 82 DSGVO Anspruch auf Schadenersatz. Das Vorliegen eines Schadens muss nachgewiesen werden. Bei einem immateriellen Schaden muss eine gewisse Erheblichkeitsschwelle erreicht sein.

Konkurrenz mit Amtshaftungsanspruch möglich

Das Oberlandesgericht Düsseldorf hat geurteilt, dass der Schadenersatzanspruch nach Art. 82 DSGVO in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 Bürgerliches Gesetzbuch i.V.m. Art. 34 Grundgesetz treten kann (OLG Düsseldorf, Urteil vom 28.10.2021, Az. 16 U 275/20). Dies entspricht dem Grundsatz, dass zwischen einem Amtshaftungsanspruch und einem auf demselben Sachverhalt beruhenden Entschädigungsanspruch stets Anspruchskonkurrenz bestehen kann.

Haftung für Beteiligung an DSGVO-widriger Verarbeitung

Anknüpfungspunkt der Haftung einer Behörde ist nach Art. 82 Abs. 2 Satz 1 DSGVO die Beteiligung an einer Verarbeitung, die nicht der DSGVO entspricht und Schaden verursacht hat. Die Behörde kann sich nach Art. 82 Abs. 3 DSGVO exkulpieren.

Auch Auftragsverarbeiter von Behörden umfasst

Ein Auftragsverarbeiter einer Behörde haftet nach Art. 82 Abs. 2 Satz 2 DSGVO für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell in der DSGVO auferlegten Pflichten nicht nachgekommen ist oder den Anweisungen der Behörde zuwidergehandelt hat. In Erwägungsgrund 146 der DSGVO heißt es: „Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden.“

Wer ist der richtige Anspruchsgegner?

Der Schadenersatzanspruch richtet sich gemäß Art. 82 DSGVO „gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Nach Art. 4 Nr. 7 DSGVO ist ein „‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Je nach verantwortlicher Stelle kann es sein, dass nicht die Behörde selbst der richtige Anspruchsgegner ist, sondern der jeweilige Hoheitsträger. Eine Klage ist dann nach dem Rechtsträgerprinzip gegen den Bund, das Land oder die Körperschaft (z. B. Gemeinde), deren Behörde den Schaden verursacht hat, zu richten. Dies gilt auch für Körperschaften des öffentlichen Rechts, Anstalten des öffentlichen Rechts und Stiftungen des öffentlichen Rechts. Auch hier ist der jeweilige Rechtsträger der juristischen Person des öffentlichen Rechts der Anspruchsgegner.

Gewillkürter Gerichtsstand bei Behörden nicht möglich

Nach Art. 82 Abs. 6 DSGVO sind mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz die Gerichte zu befassen, die nach den in Art. 79 Abs. 2 DSGVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Für eine Klage gegen eine Behörde auf DSGVO-Schadenersatz sind nach Art. 79 Abs. 2 Satz 1 DSGVO „die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat“.

Wenn die verantwortliche Stelle eine Behörde ist, die in Ausübung hoheitlicher Befugnisse tätig wurde, kann – anders als bei privaten Unternehmen – nicht wahlweise auch dort Klage erhoben werden, wo die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Dies sieht Art. 79 Abs. 2 Satz 2 DSGVO vor.

Eine Klage auf Schadenersatz nach Art. 82 DSGVO kann – je nach Streitwert – vor dem Amts- bzw. Landgericht des Ortes erhoben werden, an dem die verantwortliche Stelle – beziehungsweise ihr Rechtsträger – ihren Sitz hat.

Bundesfinanzhof: Finanzrechtsweg besteht

Der Bundesfinanzhof (BFH) hat geurteilt, dass der Finanzrechtsweg für den Schadenersatzanspruch aus Art. 82 DSGVO gemäß § 33 Abs. 1 Nr. Finanzgerichtsordnung i.V.m. § 32i Abs. 1 Satz 1 Abgabenordnung eröffnet ist (BFH, Beschluss vom 28.06.2022, Az. II B 92/21). Dem BFH zufolge tritt eine Rechtswegspaltung nach § 17 Abs. 2 Satz 2 Gerichtsverfassungsgesetz ein.

In § 32i Abs. 2 Satz 1 Abgabenordnung ist geregelt: „Für Klagen der betroffenen Person hinsichtlich der Verarbeitung personenbezogener Daten gegen Finanzbehörden oder gegen deren Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person ist der Finanzrechtsweg gegeben.“

In dem BFH-Beschluss heißt es, sowohl der Begriff des Verantwortlichen als auch der des Auftragsverarbeiters sei „institutionell zu verstehen“. Wenn eine Behörde Daten verarbeite, sei „damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S. der DSGVO und folglich auch nicht Adressat des Anspruchs“. Der Anspruch richte sich vielmehr „unmittelbar gegen den Staat bzw. eine seiner Institutionen“ und sei damit gegenüber dem Amtshaftungsanspruch „grundlegend anders geartet“. Die in Art. 34 Satz 1 Grundgesetz (GG) (‚Haftung bei Amtspflichtverletzungen‘) angesprochene Amtspflicht sei hingegen die Pflicht des Amtsträgers persönlich.

Bundessozialgericht: Sozialgerichtsweg eröffnet

In seinem Beschluss widerspricht der BFH einem Beschluss des Hessischen Landessozialgerichts, der davon ausgeht, dass für Schadensersatzansprüche nach Art. 82 DSGVO „die ausschließliche Zuständigkeit der ordentlichen Gerichte gegeben“ ist (Hessisches LSG, Beschluss vom 26.01.2022, Az. L 6 SF 7/21 DS).

Das Hessische LSG sieht in dem Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO einen Amtshaftungsanspruch, für den die Rechtswegzuweisung des Art. 34 Satz 3 GG der spezialgesetzlichen Zuweisung der DSGVO-Sachen zur Sozialgerichtsbarkeit gemäß § 81b Abs. 1 Sozialgesetzbuch Zehntes Buch (SGB X) – ‚Sozialverwaltungsverfahren und Sozialdatenschutz‘ vorgehe.

Rechtliches Neuland

Auf eine Beschwerde gegen den Beschluss des Hessischen LSG hin hat das Bundessozialgericht entschieden, dass für Schadenersatzansprüche nach der DSGVO „wegen datenschutzrechtlicher Verstöße im Rahmen eines der Sozialgerichtsbarkeit zugewiesenen Rechtsverhältnisses“ der Sozialrechtsweg eröffnet ist (BSG, Beschluss vom 06.03.2023, Az. B 1 SF 1/22 R). Der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit sei für Schadenersatzansprüche aus Art. 82 DSGVO gemäß § 51 Abs. 1 Nr. 10 Sozialgerichtsgesetz i.V.m. § 81b Abs. 1 SGB X eröffnet. Das BSG hob den Beschluss des Hessischen LSG auf.

Es gibt inzwischen zahlreiche Urteile zu DSGVO-Schadenersatz von Gerichten in Deutschland, aber auch anderen EU-Mitgliedsstaaten. Die meisten bislang von Gerichten veröffentlichten und bekannt gewordenen Urteile zu DSGVO-Schadenersatz betreffen Verantwortliche, die keine Behörden sind. Eine Rolle dabei dürfte sicherlich spielen, dass das Gros der Verarbeitung von Daten sich eher im privatwirtschaftlichen Bereich abspielt als bei Behörden. Außerdem betreffen nicht wenige Urteile zu DSGVO-Schadenersatz arbeitsrechtliche Streitigkeiten und Arbeitgeber sind eher private Unternehmen als Behörden.

Universität musste 5.000 Euro Schadenersatz zahlen

Ein Fall, der bekannt wurde, betrifft die Universität Münster, eine Körperschaft des öffentlichen Rechts, über die als Einrichtung des Landes das Ministerium für Kultur und Wissenschaft des Landes Nordrhein-Westfalen Aufsicht führt. Das Graduate Center der Universität verwendete unbefugt das Foto einer Mitarbeiterin in einer Broschüre. Wegen eines Verstoßes gegen § 26 Abs. 2. Satz 3 BDSG erhielt die Mitarbeiterin der Universität Schadenersatz in Höhe eines Bruttomonatslohns (Arbeitsgericht Münster, Urteil vom 25.03.2021, Az. 3 Ca 391/20), was einem Betrag von 5.000 Euro entsprach.

Wenn man nach Deutschland schaut, gibt es bislang wenig Rechtsprechung zu DSGVO-Schadenersatz bei Datenschutzverletzungen durch Behörden – doch es dürfte mehr werden.