Nach der Datenschutzgrundverordnung muss ein Unternehmen, welches Daten einer betroffenen Person nutzt, beweisen, dass es personenbezogene Daten datenschutzkonform verarbeitet. Die betroffene Person muss aber beweisen, dass ihr durch einen Datenschutzverstoß ein Schaden entstanden ist.
Diese Beweislastverteilung im Zivilprozess hat das Amtsgericht Bochum bereits letztes Jahr im März entschieden (wir berichteten).
Ende letzten Jahres befasste sich nun der oberste Gerichtshof in Österreich mit der gleichen Fragestellung. Dieser Gerichtshof ist vergleichbar mit unserem Bundesgerichtshof.
Der Kläger trug in dem Verfahren vor, dass eine Inkassoagentur einen unrichtigen Eintrag über ein Inkassoverfahren des Klägers in seiner Datenbank hatte und er daraufhin einen Kreditvertrag bei einer Bank, die diesen Eintrag abrufen konnte, nicht erhielt und zu ungünstigeren Bedingungen bei einer anderen Bank einen Kredit abschließen musste, wodurch Mehraufwand entstanden sei.
Im Verfahren war unstreitig, dass der Eintrag bzw. der Abruf des Eintrags rechtswidrig war. Allerdings forderte der Gerichtshof von dem Kläger den Beweis, dass ihm ein Schaden entstanden und dass der Schaden durch den Datenschutzverstoß verursacht worden sei.
Der Gerichtshof begründet diese Forderung damit, dass nach Art. 82 DSGVO nur eine Beweislastumkehr für das Verschulden besteht. Der Kläger muss aber weiterhin nachweisen, dass der Datenschutzverstoß ursächlich für einen Schaden war.
Der Kläger konnte nicht beweisen, dass die ungünstigeren Bedingungen des Kreditvertrags auf den Eintrag bei der Inkassoagentur zurückzuführen waren. Der Gerichtshof räumte zwar ein, dass grundsätzlich nicht ausgeschlossen sei, dass der Nachweis der Nichtgewährung eines Kredits nach unzulässiger Bonitätsauskunft für den Nachweis eines Schadens ausreiche. Im konkreten Fall hatte der Kläger aber nicht vorgetragen einen Kredit zu marktunüblichen Konditionen erhalten zu haben. Daher gelang dem Kläger nicht der Beweis eines Schadens und der Anspruch wurde zurückgewiesen.
Fazit
Das höchste Zivilgericht in Österreich und das Amtsgericht in Bochum kommen beide zum gleichen Ergebnis in der Beweislastverteilung:
- Die betroffene Person eines Datenschutzverstoßes muss beweisen, dass ihr dadurch ein Schaden entstanden ist.
- Der Verantwortliche muss darlegen, dass er den Schadenseintritt in datenschutzrechtlicher Sicht nicht verschuldet hat.
Es beginnt sich eine Tendenz in der Bewertung solcher Fälle abzuzeichnen. Es bleibt abzuwarten, ob die Rechtsprechung in Deutschland sich ebenfalls dieser Bewertung anschließt.
2. März 2020 @ 15:46
Vielen Dank für den Kommentar. Tatsächlich wird es auch im Fall Buchbinder den Betroffenen obliegen zu beweisen, ob ein eingetretener Schaden, bspw. durch Identitätsdiebstahl, auf das Datenleck bei Buchbinder zurückzuführen ist. Dies wird in der Regel ein schwieriges Unterfangen sein.
2. März 2020 @ 10:53
Was ist denn hinsichtlich eines Datenschutzverstoßes die rechtliche Definition von „Schaden“? Das wird ja z. B. im Fall von Buchbinder interessant – ist mit der unfreiwilligen Veröffentlichung der Daten im Netz bereits ein Schaden eingetreten? Ich bin betroffen – sollte ich zukünftig Opfer von Phishing oder Identitätsdiebstahl werden, dürfte es aber schwierig sein die Fälle in Verbindung zu bringen. Anwaltskanzleien gehen jetzt schon in großem Stil auf Mandantenfang und stellen Schadenersatzansprüche im niedrigen vierstelligen Bereich in Aussicht. Das wäre ja mal ein Fall für eine Musterfeststellungsklage.