DSGVO: Bei Schadensersatzklagen müssen Anspruchssteller Verstoß nachweisen

Laut Datenschutz-Grundverordnung (DSGVO) können betroffene Personen bei Datenschutzverstößen Schadensersatzansprüche sowohl für materielle als auch für immaterielle Schäden geltend machen. Das Oberlandesgericht (OLG) Stuttgart hat nun klargestellt, dass der Anspruchsteller hierzu aber beweisen muss, dass die Anspruchsvoraussetzungen auch tatsächlich vorliegen. Der Frankfurter Allgemeinen Zeitung zufolge wurde bereits Revision gegen das Urteil eingelegt – als nächstes wird sich daher der Bundesgerichtshof (BGH) damit befassen.

„Die Zahl der Verfahren, in denen Kläger Schadensersatz für tatsächliche oder vermutete Verstöße gegen die DSGVO verlangen, nimmt rasant zu“, so Sibylle Schumacher, Expertin für Streitbeilegungsverfahren bei Pinsent Masons, der Kanzlei hinter Out-Law. „Das Urteil des OLG Stuttgarts dürfte deutliche Auswirkungen für die Geltendmachung immateriellen Schadensersatzes vor deutschen Gerichten haben – nicht zuletzt im Hinblick auf die Frage, welche Partei welche Umstände darlegen und beweisen muss.“

Grundsätzlich hat der Kläger die Voraussetzungen des von ihm geltend gemachten Anspruchs zu beweisen. Zuletzt haben sich jedoch die Stimmen gemehrt, wonach in DSGVO-Schadensersatzprozessen Beweislasterleichterungen, beziehungsweise eine Beweislastumkehr, zugunsten der betroffenen Person anzunehmen seien. Das OLG Stuttgart stellte in seinem Urteil nun klar, dass der vermeintlich Geschädigte auch weiterhin die Anspruchsvoraussetzungen darzulegen und zu beweisen hat. Erst wenn er dem nachgekommen ist, muss sich der für die Verarbeitung der Daten Verantwortliche gemäß Artikel 82 Absatz 3 DSGVO entlasten.

In dem Verfahren ging es um einen Hackerangriff, bei dem Daten von Kreditkartenkunden abgegriffen worden waren. Eine betroffene Person forderte Schadensersatz von ihrem Kreditkartenunternehmen und begründete den Anspruch unter anderem damit, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten getroffen habe. Diesen Verstoß gegen die DSGVO konnte sie laut Urteil des OLG Stuttgart jedoch nicht hinreichend belegen. Hierzu war sie nach Auffassung des OLG Stuttgart aber verpflichtet.

Zwar hält Artikel 5 Absatz 2 der DSGVO fest, dass derjenige, der für die Verarbeitung personenbezogener Daten verantwortlich ist, nachweisen können muss, dass die Regeln der DSGVO eingehalten wurden. Diese Rechenschaftspflicht umfasst auch die Pflicht, geeignete Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten zu treffen und zu dokumentieren. Die Rechenschaftspflicht beziehe sich nach Ansicht des Gerichts jedoch nur auf eine Verantwortlichkeit gegenüber den Datenschutzbehörden und lasse sich nicht auf die Beweislast im Prozessrecht ausweiten. Sie führe nicht zu einer Umkehr oder Erleichterung der im deutschen Recht geltenden Beweislastverteilung: Das bedeutet, dass eine betroffene Person einen Verstoß nachweisen muss, eine bloße Vermutung genügt nicht.

„Nicht zuletzt im Hinblick auf mögliche Schadensersatzprozesse sollten Unternehmen jedoch darauf achten, die Einhaltung der DSGVO umfassend zu dokumentieren“, so ffNadia Scha, Expertin für Datenschutzrecht bei Pinsent Masons. „Die Dokumentationen können unter anderem dazu dienen, sich im Rahmen von Prozessen gegen nicht hinreichend begründete Behauptungen der Gegenpartei zu verteidigen.“

Aufgrund der grundsätzlichen Bedeutung der in dem Verfahren entschiedenen Rechtsfragen hat das OLG Stuttgart die Revision zum BGH, dem höchsten deutschen Zivilgericht, zugelassen.

„Das ist nur konsequent. Gerade im Hinblick auf die Frage der Beweislastverteilung bei DSGVO-Schadensersatzansprüchen werden teils sehr unterschiedliche Auffassungen vertreten“, so Schumacher. „Der BGH wird in dem bei ihm anhängigen Verfahren auch zu entscheiden haben, ob er den Fall dem Europäischen Gerichtshof vorlegt.“