15. Dezember 2010
Filesharing
Datenschutzrecht

Schadensersatz im Datenschutz – Ein stumpfes Schwert?

Bei Datenschutzverletzungen ist ein Schadensersatz häufig nur bei schweren Persönlichkeitsrechtsverletzungen denkbar. Aber viele weitere Sanktionen denkbar!

Der geschätzte Kollege Clemens Kochinke aus Washington, D.C. berichtet über ein aktuelles Urteil des US-Bundesberufungsgerichts in San Francisco, mit dem Ansprüche von ehemaligen Mitarbeitern wegen eines gestohlenen Laptops mit insgesamt 97.000 Personaldatensätzen gegen die Kaffeehauskette Starbucks zurückgewiesen wurden (die Begründung hier).

Die Entscheidung illustriert ein Dilemma, dem Betroffene von Datenschutzverstößen diesseits wie jenseits des Atlantiks ausgesetzt sind: Schon die unzulässige Offenlegung personenbezogener Daten an Dritte kann (z.B. bei Angaben zu Bankverbindungen, Kreditkarten oder wie in den USA zur Social Security Nummer) ein erhebliches Missbrauchspotential begründen und Anlass für geeignete Präventionsmaßnahmen des Betroffenen geben – zur unbefugten Verwendung der offengelegten Daten selbst muss es gar nicht kommen.

Fehlende immaterielle Schäden: Kein Schadensersatz bei jeder Datenschutzverletzung

Das US-Gericht erkannte diesen Umstand bei Prüfung der prozessualen Voraussetzungen für eine Sammelklage zwar an und bescheinigte den klagenden Betroffenen die Aktivlegitimation für die erhobene Sammelklage – gleichwohl scheitern die Ansprüche materiell-rechtlich, solange kein messbarer Vermögensschaden entstanden ist. Wie wäre dies hierzulande?

Mutmaßlich wäre die materiell-rechtliche Würdigung bei einem Verfahren in Deutschland ähnlich ausgefallen: Denn das Bundesdatenschutzgesetz enthält in § 7 BDSG zwar einen selbständigen Ersatzanspruch des Betroffenen für diejenigen Schäden, die durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten entstehen (daneben kommen weitere Haftungsgrundlagen, etwa wegen Verletzung (vor-)vertraglicher Pflichten in Betracht).

Im Regelfall beschränken sich diese Anspruchsgrundlagen aber auf den Ersatz von Vermögensschäden. Immaterielle Schäden werden durch die bei schweren Persönlichkeitsrechtsverletzungen anerkannte Geldentschädigung („Schmerzensgeld″) nur in Ausnahmefällen ersetzt. Hinzu kommt, dass der Betroffene trotz einer Beweiserleichterung im Hinblick auf das Verschulden der verantwortlichen Stelle zunächst den Verstoß gegen datenschutzrechtliche Vorschriften sowie dessen Kausalität für den eingetretenen Schaden darlegen und beweisen muss.

Es ist deshalb wenig überraschend, dass der datenschutzrechtliche Schadensersatzanspruch in der Praxis bislang keine allzu große Rolle zu spielen scheint. Zu selten sind offensichtlich die Fälle, in denen einem Betroffenen derart erhebliche Schäden entstanden, dass die Durchsetzung des Ersatzanspruchs in Ermangelung anderer Anspruchsgrundlagen erforderlich war und trotz der rechtlichen Risiken in Angriff genommen wurde.

Grund zur Sorglosigkeit ist dies jedoch nicht: Denn das Datenschutzrecht hält neben dem Ersatzanspruch des Betroffenen ein Bündel von Sanktionen in Form von Anordnungen und Verboten der Aufsichtsbehörden (§ 38 Abs. 5 BDSG) über die Bußgeldtatbestände in § 43 BDSG bis hin zu den Strafnormen in § 44 BDSG bereit (dazu auch hier).

Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Anlass für einen weiteren Eintrag in der datenschutzrechtlichen Risiko-Checkliste gibt seit den BDSG-Novellen im vergangenen Jahr überdies die „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten″ nach § 42a BDSG. Vor dem Hintergrund des Schadensersatzanspruchs kann diese Informationspflicht sogar ein probates Mittel zur Schadensminderung sein: Denn die verantwortliche Stelle muss bei unbefugter Kenntniserlangung besonders risikoträchtiger Datenkategorien (u.a. Daten zu Bank- und Kreditkartenkonten) nicht nur die Aufsichtsbehörden, sondern auch die Betroffenen selbst informieren und diesen „Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen″ mitteilen.

Im eingangs angesprochenen Fall aus den USA tat Starbucks genau dies – mehr noch: Die Kaffeekette warnte die 97.000 Mitarbeiter nicht nur vor dem Risiko von Identitätsdiebstahl und unrechtmäßigen Kontenbewegungen, sondern bot ihnen kostenlos „credit watch services″ zur Kontenüberwachung an. Selbst nach den strengen BDSG-Maßstäben wäre dies nicht zu beanstanden gewesen – eine vielleicht überraschende Erkenntnis im Hinblick auf die USA, die aus europäischer Sicht datenschutzrechtlich „unsicheres Drittland″ sind.

Tags: Datenschutzrecht Datenschutzverletzung Schadensersatz