Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

16.09.1977

Datenschutz und Schadensersatzansprüche

Von Rechtsanwalt Rolf Hartmann*

Das neue Bundes - Datenschutz- Gesetz (BDBG) enthält zwar in seinem ° 41 einen Straftatbestand, der Geld- und Gefängnisstrafen vorsieht, es fehlt jedoch eine Regelung über eventuelle Schadensersatzleistungen, die sich aus einer Verletzung des BDSG ergeben könnten. Das Gesetz hat die Frage des Schadensersatzes ausgeklammert. Dies ist verständlich, da es die Aufgabe des Bundes - Datenschutz - Gesetzes ist, durch eine Reihe von Vorschriften den Mißbrauch von Daten auszuschließen. Das Bundes - Datenschutz -Gesetz will verhindern, daß eine Situation entsteht, die zu Schadensersatzleistungen führen kann.

Das Fehlen einer Schadensersatzvorschrift bedeutet jedoch noch nicht, daß bei einer Verletzung von Vorschriften des BDSG Schadensersatz nicht zu zahlen ist. Vielmehr folgt die Pflicht zur Schadensersatzleistung aus den allgemeinen Normen des Vertragsrechts.

Bestehen zwischen dem Datenverarbeiter und dem Geschädigten vertragliche Beziehungen, so wird in erster Linie an Schadensersatzforderungen aus dem Institut der positiven Vertragsverletzung (pVV) zu denken sein.

Verletzt ein Angestellter das Datengeheimnis indem er Geschäftsgeheimnisse seines Arbeitgebers weitergibt, so folgt eine Schadensersatzpflicht aus ° 19 UWG.

In erster Linie werden aber die beiden Absätzen des ° 823 BGB Anspruchsgrundlage für Schadensersatzforderungen sein, wobei ° 823, Abs. 2 BGB dann Anwendung findet, wenn gegen ein Schutzgesetz schuldhaft verstoßen wird.

Das BDSG ist ein Schutzgesetz. Es erfüllt die Voraussetzungen die an ein Schutzgesetz gestellt werden, da es nicht nur den Schutz der Allgemeinheit bezweckt, sondern auch den Schutz des einzelnen im Auge hat.

Im Rahmen des ° 823, Abs. 1 BGB, der eine Schadensersatzpflicht an die Verletzung bestimmter Rechtsgüter knüpft, kommt ein Ersatz des Schadens wegen Verletzung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb und der Verletzung des allgemeinen Persönlichkeitsrechts in diesem Zusammenhang in Betracht.

Schon die Frage, ob das BDSG überhaupt verletzt ist, wird in vielen Fällen Schwierigkeiten bereiten.

Dies hängt mit den unbestimmten Rechtsbegriffen zusammen, die das BDSG enthält. Schadensersatzforderungen werden wohl in erster Linie dann auf den Datenverarbeiter zukommen, wenn das Datengeheimnis verletzt wird (° 5 BDSG), Daten ohne gesetzliche Grundlage übermittelt werden (°° 24, 32 BDSG) und eine Berichtigung oder Löschung von Daten entgegen den Vorschriften des BDSG nicht erfolgt.

Zumindest die rechtliche Feststellung der Verletzung des Datengeheimnisses wird weniger Schwierigkeiten bereiten. Dafür ist es aber rechtlich sehr fraglich, wann eine unzulässige Übermittlung vorliegt, oder wann entgegen den Vorschriften des BDSG eine Berichtigung oder Löschung unterblieben ist.

Da sich der Datenverarbeiter nicht darauf berufen kann, er habe sich hinsichtlich der Anwendung des Gesetzes geirrt, muß in jedem Fall genauestens geprüft werden, inwieweit die Datenverarbeitung im Betrieb noch mit den Grundsätzen des BDSG übereinstimmt. Hier wird zumindest für die nahe Zukunft ein Schwergewicht der Tätigkeit des Datenschutzbeauftragten liegen. Der Datenverarbeiter sollte daher in allen Zweifelsfällen den Datenschutz - Beauftragten konsultieren und seinen Rechtsrat einholen.

Doch nicht nur die rechtliche Unsicherheit, die zur Zeit noch auf weiten Gebieten des Datenschutzes herrscht, wird den Datenverarbeitern in Zukunft Kopfschmerzen bereiten, sondern auch die Tatsache, daß er schadensersatzpflichtig werden kann, wenn seine Angestellten das Datengeheimnis verletzen.

Hier wird wohl ein Schwerpunkt der Schadensersatzprozesse liegen. Die vergangenen Jahre haben gezeigt, daß nicht selten Angestellte in Datenverarbeitungsabteilungen beziehungsweise Datenverarbeitungsbetrieben unter Verletzung des Datengeheimnisses Daten weitergegeben haben.

Daneben besteht aber auch hier eine Haftung aus den Vorschriften des ° 823 BGB, soweit der Datenverarbeiter es selbst schuldhaft ermöglicht hat, daß der Angestellte das Datengeheimnis verletzen konnte. Ein solches schuldhaftes Handeln liegt dann vor, wenn der Datenverarbeiter Vorschriften des BDSG nicht beachtet hat. In einem solchen Fall hat er die im Verkehr erforderliche Sorgfalt außer acht gelassen, damit fahrlässig und schuldhaft (° 276 BGB) gehandelt.

Zur Zeit wird eine solche Verletzung des Bundes - Datenschutz - Gesetzes in erster Linie dann anzunehmen sein, wenn versäumt wurde, einen Datenschutzbeauftragten zu bestellen und dadurch der Datenschutz nur unzureichend gewährleistet wurde. Ab 1. 1. 1979 tritt daneben ° 6 BDSG und die dazu ergangene Rechtsverordnung der Bundesregierung in Kraft. Darin werden technische und organisatorische Anforderungen gestellt, die der Datenverarbeiter in der Regel erfüllen muß, damit man ihm ein fahrlässiges Handeln nicht vorwerfen kann. Doch auch schon in der Zwischenzeit werden von dem Datenverarbeiter technische und organisatorische Maßnahmen zum Zwecke des Datenschutzes verlangt werden.

Schon oben wurde angesprochen, daß der Datenverarbeiter bei unzulässiger Übermittlung oder rechtswidrig unterlassener Berichtigung oder Löschung von Daten auch dann schadensersatzpflichtig werden kann, wenn er wegen der zweifelhaften Rechtslage sich geirrt hat.

Auch hier ist zu prüfen, ob der Datenverarbeiter fahrlässig gehandelt hat. Eine solche fahrlässige Handlung wird man ihm stets dann vorwerfen können, wenn er die Rechtslage nicht ausreichend prüfen läßt.

Bisher wurde noch nicht erörtert, worin der Schaden liegen kann, der bei dem Betroffenen durch die Verletzung des Datenschutzgesetzes entsteht.

Auch in dieser Beziehung wird die Zukunft für die Gerichte und die Rechtsberater des Datenverarbeiters eine Reihe Probleme bringen. Zu unterscheiden ist hier zwischen dem materiellen und dem immateriellen Schaden, der bei dem Betroffenen entstehen kann.

Wenden wir uns zunächst dem materiellen Schaden zu. Hier läßt sich noch am leichtesten ein Schaden bei den Betroffenen feststellen. Erste Voraussetzung ist, daß die Verletzung des Datenschutzgesetzes für den Schaden ursächlich war.

Nicht nur in solchen Extremfällen treten durch eine Verletzung der Datenschutzvorschriften Schäden auf, sondern es sind eine Vielzahl von Fällen denkbar, bei denen Schäden unterschiedlicher Höhe bei dem Betroffenen anfallen, die von dem Datenverarbeiter dann ersetzt werden müssen.

So zum Beispiel kann ein Arbeitnehmer einen Schaden dadurch erleiden, daß entgegen ° 24 I seine Daten übermittelt werden, und er dadurch eine in Aussicht genommene Anstellung nicht erhält. Gibt der Angestellte einer Bank Kreditunterlagen einer Person unter Umgehung des Datengeheimnisses weiter, so können dem Betroffenen dadurch schwere wirtschaftliche Schäden entstehen. Die Bank wäre dann verpflichtet, für diese Schäden aufzukommen. Kopiert der Angestellte eines Service - Rechenzentrums die Kundenkartei einer angeschlossenen Firma und gibt sie an die Konkurrenz weiter, so entsteht dadurch der angeschlossenen Firma ein Schaden, der zwar nur sehr schwer meßbar ist, der sich aber von den Gerichten schätzen läßt. Auch hier wäre das Rechenzentrum zum Schadensersatz verpflichtet.

Weit schwerer als die Feststellung des materiellen Schadens ist es, Schäden immaterieller Art festzustellen. In Betracht kommt hier die Verletzung des allgemeinen Persönlichkeitsrechts, die nach herrschender Meinung unter bestimmten Voraussetzungen zu einem Ersatz des immateriellen Schadens führt. Der Betroffene erhält dadurch eine Art Schmerzensgeld (BGH NJW 71, 698). Voraussetzung dafür ist jedoch, daß die Verletzung schwer ist, und der Betroffene nicht auf eine andere Art und Weise Genugtuung für diese Verletzung erreichen kann. Auch eine Verletzung des allgemeinen Persönlichkeitsrechts liegt bei einer; Verletzung der Intimsphäre des Betroffenen vor. Zur Intimsphäre des Menschen gehören all diejenigen Daten, bei denen ihrer Natur nach ein Anspruch auf Geheimhaltung besteht. Zu diesen Daten gehören unter anderem Daten über den Gesundheitszustand (BGH Archiv für Urheber-, Film-, Funk- und Theaterrecht 1952, 208).

Eine weitere Problematik des Schadensersatzes im Rahmen des Datenschutzes liegt in der Frage, wer die Verletzung von Datenschutz - Vorschriften zu beweisen hat. Im Deliktsrecht ist es im allgemeinen so, daß der Geschädigte die Voraussetzungen für einen Schadensersatzanspruch beweisen muß. Dies wird ihm im Bereich des Datenschutzes nur in wenigen Ausnahmefällen gelingen, da der Betroffene in der Regel die Informationssysteme nicht durchschauen wird.

Es ist jedoch zu erwarten, daß die Gerichte auf dem Gebiet des Datenschutzes genauso verfahren wie bei der Produzentenhaftung. Wird bei bestimmungsgemäßer Verwendung eines Industrie - Erzeugnisses eine Person oder Sache dadurch geschädigt, daß das Produkt fehlerhaft hergestellt war, so muß nach der Rechtssprechung des Bundesgerichtshofes der Hersteller beweisen, daß ihn hinsichtlich des Fehlers kein Verschulden trifft. Kann der Hersteller diesen Beweis nicht erbringen, so haftet er nach Deliktgrundsätzen (BGHZ 51, 91). Wird diese Rechtsprechung, wie zu erwarten ist,

auch auf die Fälle der Verletzung des Datenschutzes übertragen, so hätte der Betroffene lediglich nachzuweisen, daß ein Fehler des Datenverarbeiters bei ihm einen Schaden verursacht hat. Der Datenverarbeiter müßte dann den Beweis führen, daß er den Fehler nicht zu vertreten hat.

Abschließend stellt sich die Frage, wie der Datenverarbeiter sich am besten vor Schadensersatzforderungen schützen kann.

Es besteht für ihn die Möglichkeit, in seinen allgemeinen Geschäftsbedingungen den von ihm zu leistenden Schadensersatz auszuschließen, beziehungsweise einzuschränken. Von dieser Möglichkeit wird er jedoch nur in wenigen Fällen Gebrauch machen können, da nach dem neuen AGB - Gesetz und der Rechtssprechung ein totaler partieller Haftungsausschluß nur in wenigen Fällen möglich ist. Auch kann ein solcher Haftungsausschluß nur gegenüber seinem Vertragspartner erfolgen. Werden durch seinen Fehler Dritte betroffen, mit denen er nicht direkt in Vertragsbeziehungen steht (siehe das Beispiel der Auskunftei), so nutzt ihm dieser Haftungsausschluß nichts.

Den besten Rat, den man daher einem Datenverarbeiter geben kann, ist es, die Datenschutz - Vorschriften peinlich zu beachten. Insbesondere sollte er bei der Auswahl des Datenschutzbeauftragten nicht leichtfertig handeln. Gerade hier wäre eine qualifizierte Persönlichkeit mit den notwendigen Kenntnissen zu bestellen.

Hat der Datenverarbeiter die technischen und organisatorischen Maßnahmen getroffen, die ihm das Bundes - Datenschutz - Gesetz aufträgt, so wird man ihm eine fahrlässige Handlungsweise kaum - vorwerfen können. Es wird dann schwierig werden, gegen ihn Schadensersatzansprüche geltend zu machen.

*Gesellschaft für Organisation und Datenverarbeitung mbH, Gießen

Eine Auskunftei hat falsche Daten über einen Kaufmann gespeichert. Der Betroffene erhält davon Kenntnis und bestreitet die Richtigkeit der Daten. Obwohl sich nicht feststellen läßt, ob die Daten richtig sind, sperrt die Auskunftei die Daten nicht, sondern gibt sie an ihre Kunden weiter. Der Betroffene erhält einen benötigten Kredit nicht, er fällt in Konkurs, es entsteht ein Schaden von mehreren Millionen Mark für den Betroffenen.

Dieses Beispiel ist zwar konstruiert, es ist aber nicht unwahrscheinlich, daß dies einmal vorkommen wird, wenn es nicht bereits geschehen ist.

Zweifelhaft ist hier schon, ob überhaupt die Datenspeicherung und Datenübermittlung zulässig war. Damit müssen wir uns hier jedoch nicht auseinandersetzen, da zumindest gegen die Vorschrift des ° 27, Abs. 2 BDSG verstoßen wurde.

Dieser Verstoß ist dann ursächlich für den Schaden, wenn er nicht hinweggedacht werden kann, ohne daß der konkrete Erfolg (der Schaden) entfällt, und der Schaden nicht nur in Folge einer ganz außergewöhnlichen Verkettung von Umständen herbeigeführt wurde.

Hätte die Auskunftei die Daten gesperrt, so hätten sie nicht weiterverarbeitet werden können und wären auch der Bank nicht zur Kenntnis gekommen. Die Bank hätte dann den Kredit gewährt, dem Betroffenen wäre seine wirtschaftliche Grundlage nicht entzogen worden. Der Zusammenhang zwischen Verletzung des BDSG und des Schadens beruht auch nicht auf einer außergewöhnlichen Verkettung von Umständen, da es ja gerade Aufgabe der Auskunftei war, Entscheidungshilfen für die Bank zu geben. Im vorliegenden Beispielsfall müßte die Auskunftei den Schaden tragen, es sei denn, sie könnte dem Geschädigten nachweisen, daß die Bank auch dann den Kredit verweigert hätte, wenn sie die Daten gesperrt hätte.