Am 27. April 2016 haben das Europäische Parlament und der Rat der Europäischen Union mit der Datenschutz-Grundverordnung und der Richtlinie zum Datenschutz bei Polizei und Justiz zwei wesentliche Rechtsakte zur Reform des europäischen Datenschutzrechts verabschiedet. Die Regelungen der Datenschutz-Grundverordnung sind seit dem 25. Mai 2018 unmittelbar anzuwenden, da die Verordnung gegenüber nationalem Recht Anwendungsvorrang besitzt. Die Richtlinie zum Datenschutz bei Polizei und Justiz ist ebenfalls seit Mai 2018 durch das BDSG und Landesrecht umgesetzt.
Für die Haftungsgrundlagen bedeutet das. Geht es um die allgemeine Verarbeitung personenbezogener Daten durch öffentliche Stellen, ist die DSGVO anzuwenden. Die einschlägige Haftungsnorm ist hier Art. 82 DSGVO.
Geht es dagegen um die Verarbeitung personenbezogener Daten im Bereich von Polizei und Justiz, ist die DSGVO nicht anwendbar, Art. 2 Abs. 2 lit. d) DSGVO. Vielmehr finden hier die nationalen Regelungen, die die Datenschutzrichtlinie Polizei/Justiz umsetzen, Anwendung. Hier ist dann zu unterscheiden, ob Bundes- oder Landesbehörden gehandelt haben. Bei der Verarbeitung personenbezogener Daten durch Bundesbehörden greift Art. 83 BDSG. Bei der Verarbeitung personenbezogener Daten durch Landesbehörden in Ausübung landesrechtlicher Befugnisnormen greift das jeweilige Landesrecht, z.B. Art. 37 BayDSG.
I. Art. 82 DSGVO
1. Verletzungshandlung
Erste Voraussetzung ist die Verletzung von Vorschriften der DSGVO. Dabei kommen sowohl materielle wie formelle Verstöße in Betracht. Es muss sich zudem nicht um einen Verstoß gegen unmittelbar in der DSGVO geregelte Datenschutzbestimmungen handeln. Vielmehr genügt auch ein Verstoß gegen delegierte Rechtsakte, Durchführungsrechtsakte sowie präzisierende nationale Rechtsvorschriften der Mitgliedstaaten (Erwägungsgrund 146).
Der für das deutsche Amtshaftungsrecht zentrale Drittschutz der Norm ist nicht erforderlich.
Der Verstoß muss bei einer Verarbeitung erfolgt sein. Verarbeitung ist gemäß Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Bei anderen Handlungen oder Unterlassungen besteht keine Haftung nach Art. 82 DSGVO.
2. Verschulden
Zweite Voraussetzung ist eine Verantwortlichkeit des Anspruchsverpflichteten. Diese wird allerdings vermutet. Der Anspruchsverpflichtete wird also nur dann von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist.
Verantwortung ist dabei als Verschulden zu verstehen. In der Regel wird es sich um Fahrlässigkeit handeln. Fahrlässigkeit ist die Außerachtlassung der im Verkehr erforderlichen Sorgfalt. Für das Maß der Sorgfältigkeitsanforderungen kommt es auch auf die Art der Daten, insbesondere deren Sensibilität, und die Gefahr, die bei der Verarbeitung für diese Daten droht, an.
3. Schaden
Erwägungsgrund 75 und 85 nennen beispielshaft folgende Nichtvermögens- wie Vermögensschäden: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile.
4. Kausalität
Der Schaden muss kausal auf die Verletzungshandlung zurückzuführen sein („wegen“).
5. Schadensersatz
Zu ersetzen sind die eingetretenen materiellen Schäden nach den allgemeinen zivilrechtlichen Regelungen der §§ 249 ff. BGB.
Beispiel: Abschluss eines Versicherungsvertrages zu schlechteren Konditionen
Ein Mitverschulden des Betroffenen ist nach § 254 BGB schadensmindernd zu berücksichtigen.
Für den immateriellen Schadensersatz gelten die zu § 253 BGB entwickelten Grundsätze. Auch hier sind die Maßgaben des Art. 83 Absatz 2 DSGVO relevant, insbesondere die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten.
Vor allem kann ein angemessenes Schmerzensgeld verlangt werden.
6. Anspruchsverpflichteter
Anspruchsverpflichtet ist der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO.
7. Gesamtschuldnerische Haftung
Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden.
8. Weitergehende Ansprüche
Weitergehende Ansprüche auf Schadensersatz bleiben unberührt (Erwägungsgrund 146 S. 4). Zwischen dem Anspruch aus Art. 82 DSGVO und anderweitigen Anspruchsgrundlagen besteht also Anspruchskonkurrenz. Allerdings wird der Schadensersatzanspruch nach Art. 82 DSGVO wegen der Beweislastumkehr hinsichtlich des Verschuldens und wegen der Regelung über Schuldnermehrheiten für den Betroffenen regelmäßig am günstigsten sein.
9. Rechtsweg
Zuständig für eine Schadensersatzklage sind gemäß Art. 82 Abs. 6 i.V.m. Art. 79 DSGVO die Verwaltungsgerichte, da Klagen wegen unrechtmäßiger Datenverarbeitung durch die öffentliche Hand vor den Verwaltungsgerichten zu erheben sind.
10. Beweislast
Die Beweislast für die Verletzungshandlung und für den Schaden liegt beim Kläger. Dagegen liegt die Beweislast für die fehlende Verantwortlichkeit beim Beklagten.
II. § 83 BDSG
Bei der Verarbeitung personenbezogener Daten durch Bundessicherheitsbehörden gewährt § 83 BDSG einen speziellen Schadensersatzanspruch. Bei einer rechtswidrigen Datenverarbeitung kann der Betroffenen Ersatz des materiellen und immateriellen Schadens verlangen. Ein Verschulden ist nicht erforderlich außer es handelt sich um eine nichtautomatisierte Datenverarbeitung. Verpflichtet ist nach dem Normwortlaut der Verantwortliche oder sein Rechtsträger. Der Geschädigte hat damit ein echtes Wahlrecht, ob er den Verantwortlichen, d.h. den Amtswalter, oder den Rechtsträger, mithin die staatliche Körperschaft, verklagen möchte. Mit Art. 34 Satz 1 GG ist dies vereinbar, weil der Rechtsträger auf jeden Fall haftet und Art. 34 nicht prinzipiell verhindern will, dass ein Amtswalter persönlich haftet.
Das BDSG enthielt bis 25.5.2018 insofern zwei Anspruchsnormen, die für den Geschädigten erhebliche Erleichterungen bei der Anspruchsdurchsetzung brachten, sich in Anspruchsvoraussetzungen und Rechtsfolgen aber nicht unerheblich voneinander unterschieden. § 7 BDSG sah eine Verschuldenshaftung vor, wies jedoch der verantwortlichen Stelle die Beweislast dafür zu, dass sie kein Verschulden trifft. § 8 BDSG enthielt demgegenüber einen echten Gefährdungshaftungstatbestand bei automatisierter Datenverarbeitung durch öffentliche Stellen. Beide Normen sind jedoch nicht mehr in Kraft. An ihre Stelle ist Art. 82 DSGVO getreten.
Art. 7 und 8 BDSG sind mit Wirkung vom 25.5.2018 außer Kraft getreten. An ihre Stelle ist Art. 82 DSGVO getreten.
Überblick
I. Verschuldensabhängige Haftung nach § 7 BDSG
1. Schutzgut und Anspruchsberechtigte
3. Unzulässige oder unrichtige Verarbeitung
4. Verschulden und Umkehr der Beweislast
5. Kausalität und ersatzfähiger Schaden
7. Anforderungen an die Darlegungslast
II. Gefährdungshaftung bei automatisierter Datenverarbeitung nach § 8 BDSG
1. Schutzgut und Anspruchsberechtigte
3. Automatisierte Datenverarbeitung
4. Unzulässige oder unrichtige Verarbeitung
5. Rechtswidrigkeit und Verschulden nicht erforderlich
6. Ersatzfähiger materieller und immaterieller Schaden; Haftungshöchstgrenze
7. Benennung des Schädigers bei Datenpool nicht erforderlich
III. Weitere Anspruchsgrundlagen bei Verstößen gegen Datenschutzbestimmungen
Durch die Neufassung des § 7 BDSG im Zuge der Umsetzung der EG- Datenschutzrichtlinie (Vgl. Art. 23 der Richtlinie 1995/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. 1995, Nr. L 281, S. 31.) ist im BDSG erstmals eine eigenständige Verschuldenshaftung geschaffen worden. Die Bestimmung sieht aber eine Umkehr der Beweislast vor, der zufolge die verantwortliche Stelle nachzuweisen hat, dass sie kein Verschulden trifft.
Fügt eine verantwortliche Stelle einem Betroffenen durch eine nach dem BDSG oder nach einer anderen Vorschrift über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten schuldhaft einen Schaden zu, ist sie oder ihr Träger gem. § 7 Satz 1 BDSG dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt nach § 7 Satz 2 BDSG, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
„Schutzgut“ der Vorschrift sind „personenbezogene Daten“. Personenbezogene Daten sind gem. § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (VG Wiesbaden DuD 2011, 142.).
„Betroffene“ und damit Anspruchsberechtigte gem. § 7 BDSG können damit nur natürliche Personen, nicht aber juristische Personen sein. (Simitis, § 7 BDSG, Rdn. 9; Gola/Schomerus, § 7 BDSG, Rdn. 6.).
„Verantwortliche Stelle“ ist gem. § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Eine öffentliche Stelle haftet folglich gem. § 11 Abs. 1 BDSG auch für Datenschutzverstöße externer Dienstleister, die im Rahmen eines EDV-Outsourcing in Gestalt der Auftragsdatenverarbeitung datenschutzrelevante Aufgaben übernommen haben.
„Unzulässig“ ist jede unerlaubte Erhebung, Verarbeitung oder Nutzung. Gem. § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. „Unrichtig“ ist eine Datenverarbeitung, wenn die Daten nicht mit der Wirklichkeit übereinstimmen, wenn sie unvollständig sind und damit ein falsches Bild über den Betroffenen geben oder wenn sie wegen eines Programmfehlers unrichtig verarbeitet werden. Die Begriffe „unzulässig“ und „unrichtig“ überschneiden sich, da die Verarbeitung unrichtiger Daten regelmäßig auch unzulässig ist (Gola/Schomerus, § 7 BDSG, Rdn. 4.).
Eine unzulässige Datenverarbeitung liegt auch dann vor, wenn personenbezogene Daten an Dritte übermittelt werden, obwohl die Voraussetzungen der §§ 15 f. BDSG nicht vorliegen oder zwischenzeitlich entfallen sind. Die Übermittlung personenbezogener Daten an Dritte setzt die Daten einer potenziell stärkeren Gefährdung aus, da die Daten den Kontext verlassen, in dem sie erhoben und gespeichert wurden. Im neuen Sachzusammenhang können sie ein anderes Gewicht oder einen neuen Informationsgehalt erlangen.
Die Daten müssen aber stets in einer Datei enthalten sein. Ein einzelnes Gutachten ist keine Datei i.S.v. Art. 3 Abs. 2 lit. c der RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 (BGH, Urteil vom 29.11.2016 – VI ZR 530/15).
Die Haftung nach § 7 BDSG setzt des Weiteren ein Verschulden der verantwortlichen Stelle voraus. Die Ersatzpflicht entfällt jedoch, wenn diese die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Hinsichtlich des Verschuldens ordnet § 7 Satz 2 BDSG eine Umkehr der Beweislast an (OLG Zweibrücken, Urteil vom 21. Februar 2013 – 6 U 21/12 –, juris.). Die verantwortliche Stelle muss also den Entlastungsbeweis hinsichtlich des fehlenden Verschuldens führen.
Ob die gebotene Sorgfalt gewahrt wurde, ist u.a. danach zu beurteilen, ob die verantwortliche Stelle die erforderlichen technischen und organisatorischen Anforderungen gem. § 9 BDSG getroffen hat (Vgl. zu den notwendigen Datenschutzmaßnahmen Gola/Schomerus, § 9 BDSG, Rdn. 10 ff.). Nach einer in der Literatur vertretenen Auffassung soll die gebotene Sorgfalt im Sinne des § 7 Satz 2 BDSG schon dann gewahrt sei sein, wenn sich die getroffenen Maßnahmen nur am unteren Rand des Erforderlichen befinden (Rossnagel-Wedde, Handbuch Datenschutzrecht, S. 566, Rdn. 92.). Nach Erwägungsgrund 55 der EG-Datenschutzrichtlinie entfällt das Verschulden dagegen nur bei Vorliegen höherer Gewalt und bei eigenem Fehlverhalten des Betroffenen. Der Maßstab ist damit offensichtlich enger.
Der Ersatzanspruch erfasst den Schaden, der als adäquat kausale Folge durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten entstanden ist. Hierbei kommt es – anders als bei dem Anspruch gem. § 8 BDSG – nicht darauf an, ob es sich um automatisierte oder nicht-automatisierte Datenverarbeitung handelt (Rossnagel-Wedde, Handbuch Datenschutzrecht, S. 566, Rdn. 91.). Der Betroffene muss den Eintritt des Schadens darlegen und beweisen.
Im Schrifttum besteht Uneinigkeit darüber, ob der Betroffene auch den Kausalzusammenhang zwischen dem Verhalten der verantwortlichen Stelle und dem Schaden nachzuweisen hat oder ob umgekehrt die verantwortliche Stelle beweisen muss, dass ein Kausalzusammenhang nicht gegeben ist (Schaffland/Wiltfang, § 7 BDSG, Rdn. 2 m. w. N.).
Ersatzfähig ist nur der materielle Schaden. § 7 BDSG gewährt keinen Anspruch auf Ersatz immaterieller Schäden; (OLG Düsseldorf, Urteil vom 21. August 2015 – I-16 U 152/14, 16 U 152/14 –, juris.) dies ergibt aus einem Umkehrschluss zu § 8 Abs. 2 BDSG, wo der Ersatz von Nichtvermögensschäden bei schwerer Verletzung des Persönlichkeitsrechts ausdrücklich vorgesehen ist. Bei solchen Schäden müssen daher sicherheitshalber zusätzlich Amtshaftungsansprüche geltend gemacht werden, (Vgl. OLG Zweibrücken, Urteil vom 21. Februar 2013 – 6 U 21/12 –, juris.) auch wenn sehr fraglich ist, ob nicht die Rechtsprechung zum Schutz des Allgemeinen Persönlichkeitsrechts und die Reform des § 253 BGB zu einer erweiternden Auslegung von § 7 BDSG zwingen (Simitis, § 7 BDSG, Rdn. 33.).
Die Ansprüche aus § 7 BDSG verjähren grundsätzlich drei Jahre, nachdem der Geschädigte den Schaden festgestellt und erfahren hat, gegen wen der Anspruch zu richten ist, spätestens aber 30 Jahre nach der Datenschutzverletzung, § 195 BGB. § 7 BDSG geht anders als § 8 Abs. 6 BDSG nicht ausdrücklich auf die Verjährung ein, sodass die allgemeinen Verjährungsvorschriften anzuwenden sind (Simitis, § 7 BDSG, Rdn. 48.).
Der Schutz des verfassungsrechtlich fundierten Rechts auf informationelle Selbstbestimmung wäre unvollständig, wenn es durch schwer oder nicht zu erfüllende verfahrensrechtliche Anforderungen ausgehöhlt werden könnte. Im Einzelfall können daher die vom Betroffenen vorgetragenen Indizien einen prima-facie-Beweis hinsichtlich der Kausalität der Datenschutzverletzung für den Schaden begründen (Däubler/Klebe/Wedde/Weichert, § 7 BDSG, Rdn. 18.). Die verantwortliche Stelle ist auch zu einer verstärkten Mitwirkung im Sinne einer Umkehr der subjektiven Darlegungslast verpflichtet, wenn der Betroffene Anhaltspunkte für einen Datenschutzverstoß dargelegt hat (Däubler/Klebe/Wedde/Weichert, § 7 BDSG, Rdn. 18.).
§ 8 BDSG sieht eine Gefährdungshaftung (Schaffland/Wiltfang, § 8 BDSG, Rdn. 4 m.w.N.) öffentlicher Stellen für materielle und immaterielle Schäden infolge einer unzulässigen oder unrichtigen automatisierten Datenverarbeitung vor. Auch die Haftung für technisches Versagen und Softwarefehler wird erfasst (Vgl. Taeger, RDV 1996, 77, 80.). Diese Sonderhaftungsnorm des öffentlichen Rechts wird wie ihre Vorgängernorm im haftungsrechtlichen Schrifttum nur wenig beachtet (Taeger, RDV 1996, 77, 80 (zu § 7 BDSG a. F.).).
Grundlage der Gefährdungshaftung ist der Einsatz einer zwar erlaubten aber gleichwohl „gefährlichen“ Technik (Schaffland/Wiltfang, § 8 BDSG, Rdn. 4.). Dem Betroffenen soll es in Anbetracht der komplexen, für Außenstehende kaum noch nachvollziehbaren Vorgänge bei der automatisierten Datenvereinbarung nicht zugemutet werden, dem Betreiber ein Verschulden nachweisen zu müssen.
Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach dem BDSG oder nach einer anderen Vorschrift über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen gem. § 8 Abs. 1 BDSG unabhängig von einem Verschulden zum Schadensersatz verpflichtet.
Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen gem. § 8 Abs. 2 BDSG der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
Ansprüche nach § 8 Abs. 1 und Abs. 2 BDSG sind gem. § 8 Abs. 3 BDSG insgesamt auf einen Betrag von 130.000 € begrenzt.
„Schutzgut“ der Vorschrift sind wie bei § 7 BDSG „personenbezogene Daten“. „Betroffene“ und damit Anspruchsberechtigte gem. § 8 BDSG sind damit ebenfalls nur natürliche Personen, nicht aber juristische Personen (Schaffland/Wiltfang, § 8 BDSG, Rdn. 9.).
Handelnde Stelle muss eine „verantwortliche öffentliche Stelle“ sein. Der Begriff der öffentlichen Stelle ist in § 2 BDSG definiert. Die Definition für die „verantwortliche Stelle“ findet sich in § 3 Abs. 7 BDSG. Schädigende Stelle kann auch ein öffentlich-rechtliches Wettbewerbsunternehmen sein (Schaffland/Wiltfang, § 8 BDSG, Rdn. 4a.).
Die öffentlichen Stellen müssen auch als Auftraggeber Schadensersatz leisten, wenn die den Schaden verursachende Datenverarbeitung bei der Auftragsdatenverarbeitung durch einen Dritten erfolgte. Der Auftraggeber bleibt gem. § 11 Abs. 1 BDSG auch bei einer von ihm veranlassten Datenverarbeitung durch einen Dritten haftungsrechtlich verantwortlich (Vgl. auch Taeger, RDV 1996, 77, 80.).
Der Anspruch setzt eine Schädigung infolge einer automatisierten Datenverarbeitung voraus. Automatisierte Verarbeitung ist gem. § 3 Abs. 2 Satz 2 BDSG die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.
§ 8 BDSG findet bei manueller Datenverarbeitung keine Anwendung. Eine Haftung tritt z.B. dann nicht ein, wenn die Daten deshalb unrichtig gespeichert wurden, weil ein Erhebungsbogen fehlerhaft ausgefüllt wurde (Schaffland/Wiltfang, § 8 BDSG, Rdn. 10.). Andererseits werden Eingabefehler bereits dem durch die automatisierte Verarbeitung geschaffenen Gefahrenbereich zugeordnet (Vgl. Schaffland/Wiltfang, § 8 BDSG, Rdn. 10; Taeger, RDV 1996, 77, 81.).
Die Datenverarbeitung muss des Weiteren unzulässig oder unrichtig sein. „Unzulässig“ ist jede unerlaubte Erhebung, Verarbeitung oder Nutzung. Gem. § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
Das Tatbestandsmerkmal „unzulässig“ ist i.Ü. im Sinne von „rechtswidrig“ zu verstehen; damit ist eine Datenverarbeitung auch unzulässig, wenn die datenverarbeitende Stelle z.B. Daten speichert, ohne die gesetzlich vorgesehene Beteiligung des Betroffenen vorzunehmen (Schaffland/Wiltfang, § 8 BDSG, Rdn. 11.).
„Unrichtig“ ist jede Verarbeitung falscher, unvollständiger oder durch den Verarbeitungsprozess verfälschter Daten (Schaffland/Wiltfang, § 8 BDSG, Rdn. 10; ähnlich Taeger, RDV 1996, 77, 81.). Insbesondere ein Fehler der zur Datenverarbeitung eingesetzten Computerprogramme kann dazu führen, dass richtige Daten durch Änderung, Vertauschen, Hinzufügen oder Löschen verfälscht und damit unrichtig werden (Taeger, RDV 1996, 77, 81.). Die Verarbeitung von „unrichtigen Daten“ ist auch „unzulässig“ (Taeger, RDV 1996, 77, 81.).
Sofern ein Programmfehler bewirkt, dass richtige Daten genutzt oder an Dritte übermittelt werden, obwohl die Erlaubnistatbestände gem. § 14 BDSG bzw. § 15 f. BDSG dafür nicht vorliegen oder nicht mehr vorliegen, führt dies zu einer Haftung wegen einer unzulässigen automatisierten Datenverarbeitung gem. § 8 BDSG (Taeger, RDV 1996, 77, 81.).
Rechtswidriges Verhalten als solches ist keine Haftungsvoraussetzung, da die Haftung die „typische Automationsgefährdung“ (Gola/Schomerus, § 8 BDSG, Rdn. 9.) erfassen soll; im Sinne des Erfolgsunrechts muss die Datenverarbeitung aber rechtswidrig sein.
Ein Verschulden der öffentlichen Stelle ist gem. § 8 Abs. 1 BDSG nicht erforderlich. § 8 BDSG sieht keine Exkulpationsmöglichkeit für die öffentlich Stelle vor (Schaffland/Wiltfang, § 8 BDSG, Rdn. 4; Taeger, RDV 1996, 77, 80 (zu § 7 BDSG a.F.).). Der Geschädigte muss damit lediglich nachweisen, dass ihm eine verantwortliche öffentliche Stelle durch eine unzulässige bzw. unrichtige Datenverarbeitung adäquat kausal ein Schaden zugefügt hat (Simitis, § 8 BDSG, Rdn. 14.).
Ersatzfähig ist gem. § 8 Abs. 1 BDSG der materielle Schaden, gem. § 8 Abs. 2 BDSG bei besonders schweren Verletzungen des Persönlichkeitsrechts auch der immaterielle Schaden. Der Betroffene kann danach insbesondere Schmerzensgeld verlangen.
Allerdings ist die Haftung für materielle und immaterielle Schäden gem. § 8 Abs. 3 BDSG insgesamt auf den Betrag von 130.000 € beschränkt. Diese Haftungsbegrenzung wird in Teilen des Schrifttums als unangemessen niedrig kritisiert (Vgl. Taeger, RDV 1996, 77, 81 (zu § 7 BDSG a.F.) m. w. N.).
Diese summenmäßige Begrenzung gilt auch bei sog. Serienschäden: Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 130.000 € übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.
Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt (sog. Datenpool) und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet gem. § 8 Abs. 4 BDSG jede dieser Stellen. Der Betroffene muss deshalb grundsätzlich nicht den konkreten Verletzer benennen.
Ein „Mitverschulden“ muss sich der Geschädigte gem. § 8 Abs. 5 BDSG in entsprechender Anwendung des § 254 BGB zurechnen lassen; Mitverschulden ist hier untechnisch zu verstehen, weil es auf ein Verschulden des Schädigers gerade nicht ankommt und damit auch nicht von einem Mitverschulden des Geschädigten gesprochen werden kann. Ein Schadensersatzanspruch entfällt demnach etwa, wenn die Unrichtigkeit der Daten selbst verschuldet war, weil der Geschädigte falsche Angaben gemacht hat.
Der Anspruch aus § 8 BDSG verjährt gem. § 8 Abs. 6 BDSG i.V.m. § 195 BGB drei Jahre, nachdem der Geschädigte den Schaden festgestellt und auch erfahren hat, gegen wen der Anspruch zu richten ist.
Neben § 7 BDSG und § 8 BDSG kommen als weitere Anspruchsgrundlagen bei hoheitlicher Tätigkeit insbesondere der Amtshaftungsanspruch gem. § 839 BGB i.V.m. Art. 34 GG und im fiskalischen Bereich §§ 280 ff., 311 BGB bei vorvertraglicher bzw. §§ 280 ff. BGB bei vertraglicher Pflichtverletzung sowie §§ 823 ff., 31, 89 bzw. 831 BGB bei deliktischer – nicht-hoheitlicher – Schädigung in Betracht (Gola/Schomerus, § 7 BDSG, Rdn. 17ff.; Schaffland/Wiltfang, § 7 BDSG, Rdn. 5 ff. mit Beispielen.).
§ 7 BDSG und § 8 BDSG sind nicht abschließend gegenüber anderen Anspruchsgrundlagen (Gola/Schomerus, § 8 BDSG, Rdn. 2.).
Das bei anderen Anspruchsgrundlagen stets vorausgesetzte Verschulden kann insbesondere in einem Organisationsverschulden bestehen. Dies dürfte regelmäßig dann vorliegen, wenn die nach § 9 BDSG erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten nicht getroffen wurden (Simitis, § 7 BDSG, Rdn. 61.).
Schadensersatzansprüche aus § 7 BDSG sind vor den ordentlichen Gerichten geltend zu machen, § 40 Abs. 2 Satz 1 VwGO.
Dies gilt auch für Ansprüche aus § 8 BDSG. Nach der Rechtsprechung des BGH sind Ansprüche aus Gefährdungshaftung vor den ordentlichen Gerichten geltend zu machen (BGHZ 55, 180, 182.). Gleichwohl ist die Anwendbarkeit des § 40 Abs. 2 Satz 1 VwGO auf Ansprüche aus Gefährdungshaftung nicht unumstritten. (Vgl. Kopp/Schenke, § 40 VwGO, Rdn. 70.) Aus diesem Grund wäre eine Klarstellung des Gesetzgebers in § 8 BDSG wünschenswert gewesen. Wie sich jedoch aus der Gesetzgebungshistorie ergibt, hielt der Gesetzgeber eine entsprechende Regelung für verzichtbar, da die Anwendbarkeit des § 40 Abs. 2 Satz 1 VwGO als selbstverständlich vorausgesetzt wurde.
Die Vorgängervorschrift des § 8 BDSG, § 7 BDSG a.F. enthielt eine ausdrückliche Regelung zum Rechtsweg. Diese wurde im Gesetzgebungsverfahren zunächst aufgegriffen: Der Gesetzentwurf der Bundesregierung vom 18.08.2000 (BR-Drs. 461/00) stellte in § 7 Abs. 4 E-BDSG fest, dass der Rechtsweg zu den ordentlichen Gerichten offen steht. § 8 Abs. 3 E-BDSG besagte dann, dass § 7 Abs. 2 bis 4 E-BDSG entsprechend anzuwenden sind. Die darauf folgenden Empfehlungen des Innenausschusses verlangten demgegenüber, § 7 Abs. 4 E-BDSG zu streichen, da § 7 E-BDSG einen deliktischen Anspruch normiere, sodass §§ 823 ff. BGB gelten, weshalb unproblematisch der Rechtsweg zu den ordentlichen Gerichten eröffnet sei und § 7 Abs. 2 bis 4 E-BDSG überflüssig wären. Allerdings sollte in einem neuen § 8 VIII E-BDSG klargestellt werden, dass der Rechtsweg zu den ordentlichen Gerichten offen stehe, denn bei Schadensersatzansprüchen gegen öffentliche Stellen sei es nicht zwingend, dass der Rechtsweg zu den ordentlichen Gerichten gegeben sei. Der neue Gesetzentwurf der Bundesregierung vom 13.10.2000 (Drs. 14/4329) änderte jedoch den ursprünglichen Entwurf nicht ab. Der Bundesrat blieb demgegenüber in seiner Stellungnahme zu diesem geänderten Gesetzentwurf (Drs. 14/4329) bei seiner Auffassung.
Erst die Gegenäußerung der Bundesregierung vom 31.10.2000 (Drs. 14/4458) brachte die Änderung, die nunmehr geltendes Recht ist. Danach wurden sowohl § 7 Abs. 4 E-BDSG als auch der vom Bundesrat vorgeschlagene § 8 VIII E-BDSG als unnötig erachtet, da sich die Zuständigkeit der ordentlichen Gerichte schon aus § 40 Abs. 2 Satz 1 VwGO ergebe, der sinngemäß auch für Ansprüche aus Gefährdungshaftung gilt. Infolgedessen enthält das neue BDSG keine Regelung mehr zum Rechtsweg. Dem stimmte der Innenausschuss in seiner Beschlussempfehlung vom 04.04.2001 (Drs. 14/5793) mit der Erwägung zu, § 7 Abs. 2 bis 4 E-BDSG hätten nur deklaratorische Bedeutung, sodass sie entfallen könnten.