Haftung bei unzulässiger oder unrichtiger Datenverarbeitung824
Literatur:
Christian Born, Schadensersatz bei Datenschutzverstößen, Münster 2001; Ivo Geis, Haftungsrisiken im Datenschutzrecht für Unternehmen, in: CR 1993, 269; Niko Härting, Gewährleistungspflichten von Internet-Dienstleistern, in: CR 2001, 37; Günter Schmidt, Wann haftet der Staat? – Vorschriftswidrige Datenverabeitung und Schadensersatz, Neuwied 1989; Dirk Schmitz, Vertragliche Haftung bei unentgeltlichem Informationserwerb via Internet, in: MMR 2000, 396; Irene Wind, Haftung bei der Verarbeitung personenbezogener Daten, in: RDV 1991, 16.
Vertragliche Ansprüche
Die unrichtige oder unzulässige Verarbeitung personenbezogener Daten kann einen Anspruch auf Schadensersatz aus vertraglichen Gesichtspunkten auslösen.
Grundsätzlich sind zwei Fallgruppen zu unterscheiden: Im Bereich z. B. des Arbeitsvertragsrechts liegt grundsätzlich eine Datenverarbeitung für eigene Zwecke vor, bei der die konkreten Datenschutzpflichten regelmäßig 'nur' vertragliche Neben- bzw. Begleitpflichten im Verhältnis zum zugrundeliegenden Rechtsgeschäft darstellen (vgl. § 242 BGB).
Werden also Daten von Arbeitnehmern unzulässigerweise genutzt, kommt eine Haftung wegen Pflichtverletzung (§ 280 Abs. 1 BGB) in Betracht, die aber auf den Ersatz der materiellen Schäden beschränkt ist.
Im Bereich der Auftragsdatenverarbeitung (vgl. § 11 BDSG) liegen regelmäßig Geschäftsbesorgungsverträge (§ 675 BGB) vor, bei denen die Verpflichtung zur vertraulichen Behandlung von Daten meist eine Hauptpflicht des Vertrages darstellt. Der Auftraggeber hat hier verschiedene Ansprüche: Er kann vom Vertrag zurücktreten oder, etwa bei Dauerschuldverhältnissen, kündigen; er kann aber auch Schadensersatz wegen Nichterfüllung verlangen.
§§ 823 ff. BGB
Für den Betroffenen meist wichtiger ist die Möglichkeit, Verstöße gegen das BDSG deliktsrechtlich zu ahnden.
Dabei ist zu beachten, dass das BDSG selbst nur für den öffentlichen Bereich eine gesonderte Anspruchsnorm enthält: Nach § 8 BDSG haften öffentliche Stellen für eine unzulässige oder unrichtige automatisierte Datenverarbeitung ohne Rücksicht auf ihr Verschulden bis zu einem Höchstbetrag von 250.000,- €.
Für den nicht-öffentlichen Bereich enthält das BDSG keine eigene Schadensersatznorm: Treten hier Schäden durch unzulässige oder unrichtige Datenverarbeitung auf, so gelten die allgemeinen deliktsrechtlichen Vorschriften des Bürgerlichen Gesetzbuches (§§ 823 ff. BGB). Dabei ist für diese Vorschriften charakteristisch, dass sie ein Verschulden der verarbeitenden Stelle voraussetzen; insofern unterscheidet sich die Haftung des privatwirtschaftlichen Bereichs im Datenschutzrecht deutlich von der (verschuldensunabhängigen) Gefährdungshaftung im öffentlichen Bereich. Allerdings sieht § 7 BDSG für den nicht-öffentlichen Bereich eine Beweiserleichterung für den Betroffenen insoweit vor, als er ein Verschulden der verarbeitenden Stelle nicht beweisen muss; vielmehr liegt die Beweislast für das Nichtverschulden bei der entsprechenden Stelle.825
Verletzung des Persönlichkeitsrechtes, § 823 Abs. 1 BGB
§ 823 Abs. 1 BGB schützt insbesondere das seit der Entscheidung des BGH vom 25. Mai 1954826 zum juristischen Allgemeingut gewordene 'allgemeine Persönlichkeitsrecht' 827. Hierbei handelt es sich um sog. Rahmenrecht, dessen Reichweite und Grenzen im Einzelfall zu ermitteln sind. Im Falle einer Verletzung des allgemeinen Persönlichkeitsrechts des Betroffenen durch eine unzulässige Datenverarbeitung ergibt sich der Umfang der in Frage kommenden Verletzungshandlungen aus dem BDSG selbst. Gefahrenmomente und damit Verletzungsmöglichkeiten tauchen im Datenerhebungsverfahren, im Speicherungsstadium sowie bei unberechtigter Weitergabe (Übermittlung) von Daten an unbefugte Dritte auf.
Zur Beurteilung der Schuldfrage sind die vom BGH entwickelten Prinzipien der Produzentenhaftung analog anzuwenden, da auch hier der Betroffene einer z.T. höchst komplexen Organisation gegenübersteht, deren Strukturen er nicht durchschauen und überprüfen kann828. Er muss deshalb nur nachweisen, dass sein Schaden auf die Verarbeitung seiner Daten durch die betreffende Stelle zurückzuführen ist, während die speichernde Stelle dartun muss, dass die Datenverarbeitung entweder nicht ursächlich für den Schaden war829 bzw. dass ihre Mitarbeiter kein Verschulden trifft830.
Neben den materiellen Schäden kann der Betroffene auch immaterielle Schäden ersetzt bekommen.
Verletzung eines Schutzgesetzes, § 823 Abs. 2 BGB
Nach § 823 Abs. 2 BGB ist derjenige zum Ersatz von Schäden verpflichtet, der schuldhaft „gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt". Ein Schutzgesetz ist jede Rechtsnorm (vgl. Art. 2 EGBGB), die dem Schutz der Interessen anderer dienen soll. Es ist inzwischen anerkannt, dass Vorschriften des BDSG Schutzgesetze i.S.d. § 823 Abs. 2 BGB darstellen können. Allerdings ist bei jeder einzelnen Vorschrift zu prüfen, ob sie dem Schutz des Betroffenen gegen unrichtige oder unzulässige Datenverarbeitung dient. Über § 823 Abs. 2 BGB kann der Betroffene im Gegensatz zu § 823 Abs. 1 BGB auch einen Ersatz seines Vermögensschadens verlangen.
Schadensersatz nach §§ 824, 826 BGB
Neben § 823 Abs. 1 und 2 BGB kommt ein Anspruch aus § 824 BGB in Betracht. Nach dieser Vorschrift haftet die verarbeitende Stelle, wenn sie
-
die geeignet ist, den Kredit des Betroffenen zu gefährden oder sonstige Nachteile für dessen Erwerb oder Fortkommen herbeizuführen,
-
sofern die verarbeitende Stelle die Unwahrheit kennen musste.
§ 824 BGB statuiert also eine Haftung wegen unrichtiger Datenverarbeitung, die zu einer Herabsetzung der wirtschaftlichen Wertschätzung von Personen führt831.
Daneben ist auch eine Haftung nach § 826 BGB von Bedeutung, seit der BGH832 auch bei Weitergabe wahrer Informationen in besonderen Fällen eine Ersatzpflicht gem. § 826 BGB bejaht: Sollten Informationen über das Privatleben eines einzelnen ohne zwingenden Grund weitergegeben werden, so steht ihm der Schutz des § 826 BGB zu. Er kann sich dann auch den daraus resultierenden Vermögensschaden ersetzen lassen.
Unterlassungs- und Beseitigungsansprüche
Neben dem Schadensersatzanspruch können dem Betroffenen aus § 823 Abs. 1 BGB auch Beseitigungs- und Unterlassungsansprüche zustehen, die über die im BDSG statuierten Korrekturansprüche (§ 6 i. V. m. §§ 34, 35 BDSG) insofern hinausgehen, als sie auch gegenüber Dritten wirken. Solche Ansprüche ergeben sich regelmäßig aus § 1004, § 823 Abs. 1 BGB analog bei Verletzung des allgemeinen Persönlichkeitsrechts durch unzulässige Übermittlung personenbezogener Daten833. Der Betroffene kann daher unter Berufung auf § 1004, § 823 Abs. 1 BGB analog vom Empfänger der Daten deren Vernichtung oder Herausgabe verlangen834. Gleichzeitig hat er nach den Grundsätzen von Treu und Glauben (§ 242 BGB) einen Anspruch gegenüber der speichernden Stelle auf Auskunft über Name und Anschrift des Datenempfängers835.
Dostları ilə paylaş: |