Europäisches Datenschutzrecht - die Haftung nach der DSGVO

 

Am 27. April 2016 haben das Europäische Parlament und der Rat der Europäischen Union mit der Datenschutz-Grundverordnung und der Richtlinie zum Datenschutz bei Polizei und Justiz zwei wesentliche Rechtsakte zur Reform des europäischen Datenschutzrechts verabschiedet. Die Regelungen der Datenschutz-Grundverordnung sind seit dem 25. Mai 2018 unmittelbar anzuwenden, da die Verordnung gegenüber nationalem Recht Anwendungsvorrang besitzt. Die Richtlinie zum Datenschutz bei Polizei und Justiz ist ebenfalls seit Mai 2018 durch das BDSG und Landesrecht umgesetzt.

 

 

 

Für die Haftungsgrundlagen bedeutet das. Geht es um die allgemeine Verarbeitung personenbezogener Daten durch öffentliche Stellen, ist die DSGVO anzuwenden. Die einschlägige Haftungsnorm ist hier Art. 82 DSGVO.

 

Geht es dagegen um die Verarbeitung personenbezogener Daten im Bereich von Polizei und Justiz, ist die DSGVO nicht anwendbar, Art. 2 Abs. 2 lit. d) DSGVO. Vielmehr finden hier die nationalen Regelungen, die die Datenschutzrichtlinie Polizei/Justiz umsetzen, Anwendung. Hier ist dann zu unterscheiden, ob Bundes- oder Landesbehörden gehandelt haben. Bei der Verarbeitung personenbezogener Daten durch Bundesbehörden greift Art. 83 BDSG. Bei der Verarbeitung personenbezogener Daten durch Landesbehörden in Ausübung landesrechtlicher Befugnisnormen greift das jeweilige Landesrecht, z.B. Art. 37 BayDSG.

 

 

 

I. Art. 82 DSGVO

 

 

 

Nach Art. 82 Abs.1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verpflichtet ist gemäß Abs. 2 jeder an einer Verarbeitung beteiligte Verantwortliche, es sei denn, dass er gemäß Abs. 3 nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Auf ein Verschulden kommt es insofern aber nicht an, es geht allein um Verantwortungsbeiträge. Haften mehrere Verantwortliche nebeneinander, so ist jeder zum vollen Schadensersatz verpflichtet, Abs. 4. Er kann aber einen dem jeweiligen Verantwortungsbeitrag entsprechenden Ersatz von den anderen Verantwortlichen verlangen, Abs. 5.

 

Ersatzfähig ist der gesamt materielle und immaterielle Schaden. Es kann also auch eine Entschädigung wegen der Verletzung des Datengeheimnisses verlangt werden.

 

 

 

Geltend zu machen ist der Schadensersatzanspruch vor den Verwaltungsgerichten. Dies folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DSGVO, da Streitigkeiten hinsichtlich der Rechtmäßigkeit der Datenverarbeitung durch öffentliche Stellen vor die Verwaltungsgerichte gehören.

 

 

 

II. § 83 BDSG

 

Bei der Verarbeitung personenbezogener Daten durch Bundessicherheitsbehörden gewährt § 83 BDSG einen speziellen Schadensersatzanspruch. Bei einer rechtswidrigen Datenverarbeitung kann der Betroffenen Ersatz des materiellen und immateriellen Schadens verlangen. Ein Verschulden ist nicht erforderlich außer es handelt sich um eine nichtautomatisierte Datenverarbeitung. Verpflichtet ist nach dem Normwortlaut der Verantwortliche oder sein Rechtsträger. Der Geschädigte hat damit ein echtes Wahlrecht, ob er den Verantwortlichen, d.h. den Amtswalter, oder den Rechtsträger, mithin die staatliche Körperschaft, verklagen möchte. Mit Art. 34 Satz 1 GG ist dies vereinbar, weil der Rechtsträger auf jeden Fall haftet und Art. 34 nicht prinzipiell verhindern will, dass ein Amtswalter persönlich haftet.