26.01.2024

Schadensersatz und Bußgelder unter der DSGVO – Die Beweislast als entscheidender Faktor

Portrait von Dr. Jan-Michael Grages
Dr. Jan-Michael Grages Rechtsanwalt, Partner bei KNPZ Rechtsanwälte

Im letzten Jahr hat der EuGH mit seinen Entscheidungen C-340/21 (Urteil vom 14.12.2023, dazu Pfeiffer, CR 2024, R6 und Grosmann/Bausewein, ITRB 2024, 32) und C-807/21 (Urteil vom 5.12.2023, CR 2024, 40, dazu ausführlich Grages/Strassemeyer, CR 2024, 10) endlich zu wichtigen Fragestellungen im Bereich der Haftung Stellung bezogen. Und er liefert erfreulicherweise weiter - gerade gestern mit der Saturn-Entscheidung C-687/21.

Die DSGVO hat in den letzten Jahren mit ihren diffusen Anforderungen für viel Rechtsunsicherheit gesorgt. Das ging einher mit viel Beratungsbedarf, um Bußgeldrisiken zumindest abschätzen zu können. Und mit neuen Geschäftsmodellen, um Schadensersatzansprüche kommerziell zu verfolgen. In dieser Situation war und ist es am EuGH, die Eckpunkte bei der Auslegung zu konkretisieren. Die nunmehr vorliegenden Entscheidungen bringen Klarheit im Bereich der zivilrechtlichen Haftung auf Schadensersatz. Und sie zeigen auch die Anforderungen an Behörden (und Verteidigung) in öffentlich-rechtlichen Bußgeldszenarien auf.

Schadensersatz: Verstoß und konkrete Beeinträchtigung vom Anspruchsteller darzulegen

Grundvoraussetzung eines Schadensersatzanspruchs ist die Verletzung einer DSGVO-Pflicht. Die ist vom Anspruchsteller zu beweisen (so der EuGH ausdrücklich im gestrigen Urteil C-687/21 vom 25.1.2024 Rn. 61). Bereits in der Entscheidung C-340/21 hatte der EuGH klargestellt, dass etwa eine erfolgreiche Cyberattacke nicht gleichbedeutend mit einem DSGVO-Verstoß durch vermeintlich unzureichende Sicherheitsmaßnahmen des Verantwortlichen ist (Rn. 39).

Und selbst wenn der Verstoß vom Betroffenen zur Überzeugung des Gerichts substantiiert dargelegt wurde, kann sich der Verantwortliche auf der Verschuldensebene gemäß Art. 82 Abs. 3 DSGVO exkulpieren. Hierzu muss er aufzeigen, dass seine Vorkehrungen risikoadäquat waren und ihm daher kein Vorwurf zu machen ist. In seinem Urteil C-687/21  hat der EuGH noch einmal bekräftigt, dass insbesondere eine Verletzung des Schutzes personenbezogener Daten keine unwiderlegliche Vermutung schuldhaft unzureichender Sicherheitsmaßnahmen mit sich bringt (Rn. 32). Die Beweislast für die Implementierung angemessener Maßnahmen liegt aber beim Verantwortlichen (Rn. 57, 64).

Weitere Voraussetzung eines Schadensersatzanspruchs ist natürlich ein kausaler Schaden (vgl. EuGH, Urteil vom 14.12.2023, C‑456/22 Rn. 14). Bereits in seinem Urteil C-300/21 vom 4.5.2023 hatte der EuGH deutlich gemacht, dass ein DSGVO-Verstoß allein nicht zum Schadensersatz verpflichtet, sondern konkrete Schäden vorausgesetzt sind (Rn. 33 f., 42). Wenngleich keine Erheblichkeitsschwelle zu beachten sein soll (Rn. 51). Sowohl der Schaden als solcher als auch die Kausalität sind wiederum vom Anspruchsteller zu beweisen (vgl. EuGH, Urteil vom 14.12.2023, C‑456/22 Rn. 21 ff.).

Da der EuGH mittlerweile geklärt hat, dass der DSGVO-Schadensersatz keine Straffunktion hat, kann nur der Ausgleich einer individuellen Schädigung gefordert werden (EuGH, Urteil vom 21.12.2023, C-667/21 Rn. 85 ff.). Auch der Grad des Verschuldens darf zur Bestimmung der Höhe des Ersatzanspruchs nicht herangezogen werden (Rn. 102 f.). Daran anknüpfend macht der EuGH in seinem Urteil aus dem Dezember 2023 den wichtigen Punkt, dass allein die Befürchtung des Betroffenen, seine Daten könnten missbräuchlich verwendet werden, einen immateriellen Schaden darstellen kann (vgl. EuGH, Urteil vom 14.12.2023, C-340/21 Rn. 80 ff., 86). Beweisbelastet für die Qualität als Schaden ist aber eben der Betroffene als Anspruchsteller (Rn. 84). Das nationale Gericht muss prüfen, ob eine Befürchtung unter den gegebenen besonderen Umständen als begründet angesehen werden kann (Rn. 85) . In seinem Urteil C-687/21 stellt der EuGH insofern klar, dass “ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten” nicht zu einer Entschädigung führt (Rn. 68). Vielmehr muss der Anspruchsteller nachweisen, dass ein tatsächliches Risiko besteht, das zu einem immateriellen Schaden wegen der Sorge hierüber führt.

Die deutschen Gerichte nehmen diese Vorlage nun auf und zeigen sich im Sinne der ZPO nicht unbedingt klägerfreundlich. Das OLG Hamm (Beschluss vom 21.12.2023, Az. 7 U 137/23) hat bereits eine Woche nach dem EuGH-Urteil C-340/21 festgestellt, dass der Kläger einen "Indizienbeweis" führen muss, ob er tatsächlich einen Schaden erlitten hat (Ziff. I. 1.). Im konkreten Fall ist es nicht gelungen, das Gericht von einer begründeten Befürchtung der missbräuchlichen Datennutzung zu überzeugen. Das Gericht stellte im Leitsatz klar: Der "Kontrollverlust als solcher" kann die Annahme eines immateriellen Schadens nicht tragen.

Und der BGH folgt offenbar der gleichen Linie. Sein Beschluss vom 12.12.2023 (Az. VI ZR 277/22) antizipiert die EuGH-Vorgaben bereits und betont die hohen Hürden des deutschen Prozessrechts: Die als Schaden geltend gemachten negativen Folgen eines Datenschutzverstoßes muss der Anspruchsteller jedenfalls konkret benennen. Es sieht nicht danach aus, als würden Textbausteine hierzu ausreichen (Rn. 6).

Bußgelder: Verstoß und Verschulden von der Behörde zu belegen

In der Entscheidung C-807/21 zum Bußgeld gegen die Deutsche Wohnen hat der EuGH klargestellt, dass juristische Personen nicht nur für Verstöße der Geschäftsführung haften, sondern auch für Verstöße jedes anderen Beschäftigten (Rn. 44). Es soll nicht erforderlich sein, den Verstoß einer spezifischen Person zuzurechnen (Rn. 46, 60). Die deutschen Regelungen des OWiG, die für ein Verschulden eine Zurechnung in Bezug auf natürliche Personen der Geschäftsführung fordern, werden insofern europarechtlich überlagert. Die DSGVO sieht wie das europäische Kartellrecht keine komplizierten Zurechnungskonzepte vor.

Trotzdem muss die Behörde natürlich erst einmal einen Verstoß nachweisen. Der Nachweis irgendeines Verstoßes wird unter der engmaschigen DSGVO allerdings wenig schwerfallen. Aber ein Bußgeld setzt auch ein Verschulden voraus (Rn. 78). Der EuGH hat der Idee einer davon unabhängigen Gefährdungshaftung (sog. "strict liability") eine Absage erteilt. Verschulden im Sinne von Fahrlässigkeit soll indes bereits vorliegen, wenn man sich über die Rechtswidrigkeit des Verhaltens nicht im Unklaren sein durfte (Rn. 76). Die fahrlässige Handlung muss der Geschäftsführung dabei nicht konkret bekannt sein (Rn. 77).

In der aktuellen CR setze ich mich gemeinsam mit Laurenz Strassemeyer mit den Detailfragen der Entscheidung und deren Auswirkungen auf die Lage in Deutschland auseinander (Grages/Strassemeyer, CR 2024, 10-18). Wir kommen zum Ergebnis, dass die dogmatischen Feinheiten praktisch nicht viel ändern dürften. Ein Organisationsverschulden der Geschäftsführung im Sinne der §§ 30, 130 OWiG wird in der Regel der Angriffspunkt für die Verhängung von Bußgeldern bleiben. Ob hierfür letztlich die OWiG-Normen europarechtskonform oder unmittelbar die Vorschriften der DSGVO angewendet werden, ändert im Ergebnis wenig. Der EuGH selbst spricht im Urteil C-687/21 an, dass „Organisationsmängel“ beim Verantwortlichen ein typischer Anknüpfungspunkt für nicht geeignete technische und organisatorische Maßnahmen sind (Rn. 41).

Beweisbelastet für die Voraussetzungen einer Sanktion und damit auch für das Verschulden ist trotz der allgemeinen Rechenschaftspflicht der DSGVO nach rechtsstaatlichen Prinzipien die Behörde (vgl. Rn. 78). Der EuGH erkennt insofern in seiner Entscheidung an, dass die Ausübung der Befugnisse der Aufsichtsbehörde den Verfahrensgarantien des nationalen Rechts unterliegt (Rn. 48). Die Beweislastumkehr in Art. 82 Abs. 3 DSGVO gilt nur bei der Geltendmachung von Schadensersatz. Auch wenn die Anforderungen an die Fahrlässigkeit und damit auch an den Vortrag der Behörde erst einmal recht gering sein dürften, kann der Verantwortliche noch einmal kontern und den Vorwurf ggf. durch Darlegung adäquater Sicherheitsmaßnahmen widerlegen.

Und zudem muss ein Bußgeld in einem verwaltungsrechtlichen Verfahren unter Ausübung von Ermessen verhängt werden. Auch hier kann also der Verantwortliche weiterhin einer Haftung entkommen, wenn er geltend machen kann, dass der DSGVO-Verstoß einen „Ausreißer“ in einer eigentlich gut aufgestellten Compliance-Struktur darstellt. Die Verhängung eines Bußgelds dürfte dann kaum ermessensgerecht sein.

Entscheidende Stellschaube: Beweislast und Exkulpation durch angemessene TOMs

Die angesprochenen Entscheidungen zeigen, dass die DSGVO als europäisches Recht nationale Regelungen verdrängen kann. Gleichzeitig machen sie deutlich, dass die Anwendung durch die nationalen Gerichte in den Bahnen des Prozessrechts erfolgen muss und insbesondere die etablierten Anforderungen an die Darlegungs- und Beweislast auch im Datenschutzrecht gelten.

Aus Sicht der Unternehmen, die sich gegen Schadensersatzforderungen und Bußgelder verteidigen müssen, heißt das vor allem: Die Gegenseite muss erst einmal einen Verstoß nachweisen. Eine sanktionierende Behörde müsste zudem das Verschulden begründen, wobei die Schwelle zur Fahrlässigkeit erst einmal niedrig liegt. In beiden Fällen geht es dann vor allem darum, eine Exkulpation zu erreichen, indem dargelegt wird, dass die Sicherheitsmaßnahmen im Sinne einer angemessenen Datenschutzorganisation risikogerecht waren und damit kein haftungsbegründendes Verschulden vorliegt.

Die deutsche Rechtsprechung macht bislang nicht den Eindruck, als wolle sie die Haftungsrisiken durch die DSGVO ausufern lassen. Es wäre angesichts der ohnehin bereits weitgehenden Pflichten für die verantwortlichen Unternehmen ein weiser Weg, um die Digitalisierung nicht über Gebühr zu behindern.

Zurück