Schadensersatz bei Datenschutzverstößen – wer trägt die Beweislast?

Beweislast Schadensersatz Datenschutzverstöße

Chris – stock.adobe.com

Bei der Verletzung von DSGVO-Vorschriften steht dem Betroffenen ein Anspruch auf Ersatz immaterieller Schäden aus Art. 82 DSGVO zu. Voraussetzung ist der Eintritt eines Schadens.

Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt jedoch noch nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz. Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben.

Für den Schadensersatzanspruch nach Art. 82 DSGVO liegt dann die alleinige Beweislast beim Kläger, so das LG Frankfurt am Main.  

Ausgangspunkt: Datenleck

Es geht um einen Schadensersatzanspruch des Klägers gegen den Beklagten, wegen Spam-Anrufen und Spam-SMS. Bei dem Beklagten, dem Zahlungsanbieter Mastercard, ist es zu einem Datenleck gekommen. Einige Zeit später erhielt der Kunde immer wieder Spam-Anrufe und Spam-SMS. Er ist der Meinung, dass das Datenleck für die Spam-Anrufe und Nachrichten verantwortlich sei. Daher verlangte er Schadensersatz in Höhe von mindestens 2650,- Euro nach Art. 82 DSGVO.

Beweislast für Schadensersatzansprüche

Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) normiert das Recht auf Schadensersatz:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Absatz 1 begründet also einen Anspruch zugunsten der Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein Schaden entstanden ist. Zur Begründung des Anspruchs kommt es auf ein Verschulden gerade nicht an. Diese Bewertung als verschuldensunabhängig entspricht der Konstruktion des Haftungstatbestands: Für die Verwirklichung des Tatbestands mit der Rechtsfolge der Schadensersatzpflicht wird gerade kein Verschulden vorausgesetzt. Weiter muss jedoch ein „Verstoß gegen die Verordnung“ sowie ein Schaden gegeben sein, der schlüssig darzulegen ist.

Hinsichtlich der Beweislast nennt Art. 82 DSGVO explizit keine allgemeine Beweislastregel. Also müsste auf die nationalen Regelungen zurückgegriffen werden, wonach der Anspruchssteller die anspruchsbegründenden – also alle begünstigenden Tatsachen – vortragen muss. Hiernach müsste der Verstoß gegen die DSGVO vom Anspruchssteller bewiesen werden. Allerdings enthält die DSGVO von diesem Grundsatz Ausnahmen, die bei der Beweislastverteilung berücksichtigt werden müssen. Darunter fällt unter anderem Abs. 3, der vom Verantwortlichen oder Auftragsverarbeiter einen Nachweis verlangt, nicht für das schädigende Ereignis verantwortlich zu sein. Grundsätzlich wird sein Verschulden also vermutet, weswegen der Exkulpationsbeweis für den Verantwortlichen schwer zu führen sein dürfte. Denn, das würde bedeuten, dass dem Verantwortlichen als Anspruchsgegner auferlegt wird einen Entlastungsbeweis vorzulegen.

Grenzen der Beweislastumkehr

Das Landgericht Frankfurt am Main (LG Frankfurt a.M., Urteil v. 18.01.2021, Az. 2-30 O 147/20) zieht nun eine klare Grenze hinsichtlich der Beweislastumkehr. Die Richter entschieden, dass bei Schadensersatzansprüche nach Art. 82 DSGVO der Kläger die volle Beweislast hinsichtlich eines Verstoßes gegen die DSGVO treffe.

Es sei durchaus denkbar, dass ein illegaler Hacker-Angriff stattgefunden habe, mit dem die Beklagte oder ihre Erfüllungsgehilfen in dieser Form nicht rechnen brauchten. Es wäre demnach Sache des Klägers darzulegen und zu beweisen, dass das Datenleck aufgrund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist. In diesem Fall könne der Kläger sich auch nicht auf Art 82 Abs. 3 DSGVO berufen. Zwar heißt es in dem Absatz, dass der Verantwortliche von einer Haftung gemäß Art. 82 Abs. 2 DSGVO befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Allerdings führe das gerade nur zu einer Beweislastumkehr, wenn die Frage des Verschuldens betroffen ist. Hinsichtlich der Frage nach der Ursache des Datenlecks, greife die Beweislastumkehr aber eben nicht, so das Gericht.

Nach Art. 82 Abs. 2 DSGVO haftet nämlich jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht in dieser Verordnung entsprechende Verarbeitung verursacht wurde. Demnach müsste der Kläger zunächst darlegen und beweisen, dass das Datenleck durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Lediglich hinsichtlich des Verschuldens könne dann eine Beweislastumkehr nach Art. 82 Abs. 3 DSGVO stattfinden. Der Kläger muss also weiterhin den Verstoß, den Schaden – sowohl das Vorliegen als auch die Höhe – und den Kausalitätszusammenhang nachweisen.

Verschuldenshaftung „durch die Hintertür“

Art. 82 Abs. 3 DSGVO, der den Verantwortlichen bei Nachweis der Nichtverantwortlichkeit befreit, lässt sich als Rückkehr zu einer Verschuldenshaftung „durch die Hintertür“ rekonstruieren – der aber eben nur das Verschulden und nicht die sonstigen Anspruchsvoraussetzungen betrifft.

Also stellt die Entscheidung des LG Frankfurt a.M. erneut klar, dass der Anspruchssteller grundsätzlich beweispflichtig ist, mit Ausnahme der Beweispflicht hinsichtlich des Verschuldens. Eine substantiierte Darlegung des Schadensersatzanspruches durch den Betroffenen dürfte demnach ausschlaggebend für die erfolgreiche gerichtliche Durchsetzung sein.

Die mobile Version verlassen