Staatliche Haftung beim Einsatz von IT

Die öffentliche Verwaltung setzt die elektronische Datenverarbeitung (EDV) zur Erfüllung ihrer Aufgaben bereits seit Ende der 50er Jahre des letzten Jahrhunderts ein (Vgl. hierzu und zum Faktor technischer Möglichkeiten in der Verwaltung Wolf/Bachof/Stober, Verwaltungsrecht I, § 5 VII. Zur Verwaltungsautomation allgemein Maurer, § 18, Rdn. 1ff.). Jedoch bringt die Informations- und Kommunikationstechnologie erst in den letzten Jahren entscheidende Veränderungen für Struktur und Handlungsformen der Verwaltung. Kennzeichnend hierfür ist die Ablösung der Verwaltung vom Informationsträger Papier und eine Wandlung von der Papierverwaltung zur elektronischen Verwaltung (Vgl. Roßnagel, NJW 2003, 469, 470.).

Zunehmende Bedeutung erlangen elektronische Register wie das elektronische Handelsregister (Hierzu Bergmann, K&R 2003, 228.) und das elektronische Grundbuch (Hierzu Göttlinger, DNotZ 2002, 743.). Durch das Dritte Verwaltungsverfahrensänderungsgesetz (3. VwVfÄG) (BGBl. I 2002 S. 2322. Zeitgleich haben viele Länder ihre Verwaltungsverfahrensgesetze angepasst, etwa durch das ebenfalls zum 1.2.2003 in Bayern in Kraft getretene Gesetz zur Stärkung elektronischer Verwaltungstätigkeit, GVBl. 2002, 962. Ausführlich dazu: Deubert, BayVBl. 2003, 426.) wurde u.a. mit der Einführung des elektronischen Verwaltungsakts und der Anerkennung der elektronischen Form das elektronische Verwaltungsverfahren ermöglicht (Hierzu Roßnagel, NJW 2003, 469; Schlatmann, LKV 2002, 489.). Das Vierte Verwaltungsverfahrensänderungsgesetz (4. VwVfÄndG) (Das Gesetz ist zum 18.12.2008 in Kraft getreten.) hat mit § 71e VwVfG einen Anspruch auf Durchführung eines elektronischen Verwaltungsverfahrens eingeführt.

Unter dem Oberbegriff „Electronic Government“ (Eine allgemeingültige Definition ist hierzu noch nicht gefunden. Im wesentlichen wird unter „Electronic Government“ bzw. „E-Government“ wohl ganz allgemein das IT-gestützte Handeln des öffentlichen Sektors zu verstehen sein. Zur Praxis im Verwaltungsalltag Heckmann, K&R 2003, 425; zur Modernisierung der Verwaltung durch eGovernment: Schuppan/Reichard, LKV 2002, 105; zur historischen Entwicklung des eGovernment: Boehme-Neßler, NVwZ 2001, 374, 375. Zu den rechtlichen Rahmenbedingungen für eGovernment siehe das E-Government Handbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), http://www.bsi.de.) wird eine Vielzahl von Projekten umgesetzt, die das Verwaltungshandeln erleichtern und beschleunigen sollen. 2003 haben Bund und Länder die gemeinsame E-Government-Strategie Deutschland-Online beschlossen, deren Ziel es ist, eine effizientere Verwaltung zu schaffen, indem bestimmte Verwaltungsvorgänge unter Nutzung der Informationstechnik vereinfacht und automatisiert werden. Im Rahmen des Projektes „Bund Online 2005“ hat die Bundesverwaltung zum Ende des Jahres 2005 insgesamt 440 internetfähige „Dienstleistungen“ online zur Verfügung gestellt (Vgl. die eGovernment Initiative des Bundes vom September 2000: http://www.bundonline2005.de.). Hierzu zählen Leistungen in folgenden Bereichen: Bereitstellung von Informationen, Beratung, die Vorbereitung politischer Entscheidungen, Zusammenarbeit mit Behörden, Antragsverfahren, Förderungen, Beschaffungsvorhaben (Hierzu Heckmann, K&R 2003, 97.) und Durchführung von Aufsichtsmaßnahmen. Vergleichbare Bestrebungen gibt es auch auf Ebene der Länder (Vgl. die eGovernment Initiative der Bayerischen Staatsregierung unter: http://www.bayern.de. ) und der Kommunen (Vgl. http://www.idw-online.de. Media@Komm geht auf eine Initiative der Bundesregierung aus dem Jahr 1998 zurück, die den Aufbau von virtuellen Rathäusern in Städten und Gemeinden unter Verwendung der elektronischen Signatur fördert.). Aufbauend auf dem Aktionsplan E-Government der europäischen Initiative i2010, den Erfahrungen mit BundOnline 2005 und Deutschland-Online hat der Bund schließlich Ende 2006 das Programm E-Government 2.0 beschlossen, um das Regierungsprogramm Zukunftsorientierte Verwaltung durch Innovation zu konkretisieren. Im Jahr 2009 wurde mit dem neu geschaffenen Art. 91c GG eine stärkere Bund-Länder-Zusammenarbeit etabliert. Nächstes Ziel ist die Ausweitung des E-Government auf verbindlichere Verfahren; dazu gehören der elektronische Identitätsnachweis des neuen Personalausweises und die De-Mail-Infrastruktur (S. dazu www.cio.bund.de.). Durch das E-Governement-Gesetz (EGovG) wurden dafür die rechtlichen Grundlagen geschaffen.

Mit dem zunehmenden Einsatz (S. dazu die Studie zur Nutzung und Akzeptanz von elektronischen Bürgerdiensten eGovernement Monitor 2011, abrufbar unter www.initiatived21.de) der Informations- und Kommunikationstechnologien insbesondere im Bereich des hoheitlichen Handelns mehren sich für die Verwaltung aber auch die technologietypischen Risiken und rechtlichen Probleme.

 

Haftungsprobleme entstehen dabei zunächst beim Einsatz von maschinellen Verarbeitungssystemen ohne menschliche Mitwirkung (sog. vollautomatisierte Fallbearbeitung oder "Dunkelverarbeitung").

 

Die zweite große Fallgruppe betrifft das Datenschutzrecht, das wegen der gesteigerten Gefahr der missbräuchlichen Verarbeitung personenbezogener Daten besondere Bedeutung gewinnt. Die technischen Möglichkeiten, Informationen in jedem Umfang zu speichern, an jedem gewünschten Ort verfügbar zu halten und abzurufen und mit anderen Informationen zu verknüpfen, sind eine potentielle Gefährdung für die Persönlichkeitsrechte der betroffenen Personen (Einen guten Überblick über die möglichen Bedrohungen bietet das E-Government Handbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Modul: Datenschutzgerechtes E-Government, S. 24 ff, abrufbar unter: www.bsi.de. ). Bei Verletzung von Datenschutzbestimmungen, die unmittelbar den Schutz der personenbezogenen Daten des Einzelnen bezwecken, kommen Amtshaftungsansprüche der Betroffenen gem. § 839 BGB i.V.m. Art. 34 GG in Betracht. Zudem finden sich in den Datenschutzgesetzen bislang nur wenig beachtete Anspruchsnormen, die dem Betroffenen eine im Vergleich zur Amtshaftung wesentlich einfachere Durchsetzung von Schadensersatzansprüchen ermöglichen.

 

Das BDSG  enthielt bis 25.5.2018 insofern zwei Anspruchsnormen, die für den Geschädigten erhebliche Erleichterungen bei der Anspruchsdurchsetzung brachten, sich in Anspruchsvoraussetzungen und Rechtsfolgen aber nicht unerheblich voneinander unterschieden. § 7 BDSG sah eine Verschuldenshaftung vor, wies jedoch der verantwortlichen Stelle die Beweislast dafür zu, dass sie kein Verschulden trifft. § 8 BDSG enthielt demgegenüber einen echten Gefährdungshaftungstatbestand bei automatisierter Datenverarbeitung durch öffentliche Stellen. Beide Normen sind jedoch nicht mehr in Kraft. An ihre Stelle ist Art. 82 DSGVO getreten.

 

Staatliche Haftung für Fehler bei der automatisierten Datenverarbeitung

Die staatliche Haftung für Fehler bei der automatisierten Datenverarbeitung ist noch völlig ungeklärt. Da es bei einer maschinellen Verarbeitung an einem menschlichen Zutun fehlt, scheitert jeder Amtshaftungsanspruch jedenfalls am fehlenden Verschulden eines Amtswalters. Die Umdeutung von § 839 BGB in einen Gefährdungshaftungstatbestand kommt ebenfalls nicht in Betracht.

Ansatzpunkt muss daher die letztlich amtspflichtwidrige Freigabe einer Software durch einen verantwortlichen Amtswalter sein, deren Einsatz im Rahmen einer automatisierten Datenverarbeitung zu einer fehlerhaften Rechtsanwendung geführt hat. Die Amtspflichtverletzung liegt also nicht primär in der fehlerhaften Rechtsanwendung im Einzelfall, sondern in der "Indienststellung" einer fehlerhaften Software. Beim Verschulden kommt es dann entscheidend darauf an, ob der konkrete Einzelfall, in dem die Software und die auf ihr beruhende maschinelle Verarbeitung zu einem rechtswidrigen Ergebnis geführt hat, vorhersehbar war und insofern ein echter Programmierfehler vorlag ("Übersehen einer Fallgruppe"). Die Amtspflichtverletzung hat dann allerdings nicht der Programmierer begangen, sondern der Amtswalter, der die Software "abgenommen" hat.

Staatliche Haftung für Verstöße gegen das Datenschutzrecht infolge der Verwendung von EDV und IuK-Technologie

Haftung nach Art. 82 DSGVO, § 83 BDSG / landesrechtliche Regelungen

 

Am 27. April 2016 haben das Europäische Parlament und der Rat der Europäischen Union mit der Datenschutz-Grundverordnung und der Richtlinie zum Datenschutz bei Polizei und Justiz zwei wesentliche Rechtsakte zur Reform des europäischen Datenschutzrechts verabschiedet. Die Regelungen der Datenschutz-Grundverordnung sind seit dem 25. Mai 2018 unmittelbar anzuwenden, da die Verordnung gegenüber nationalem Recht Anwendungsvorrang besitzt. Die Richtlinie zum Datenschutz bei Polizei und Justiz ist ebenfalls seit Mai 2018 durch das BDSG und Landesrecht umgesetzt.

 

 

 

Für die Haftungsgrundlagen bedeutet das. Geht es um die allgemeine Verarbeitung personenbezogener Daten durch öffentliche Stellen, ist die DSGVO anzuwenden. Die einschlägige Haftungsnorm ist hier Art. 82 DSGVO.

 

Geht es dagegen um die Verarbeitung personenbezogener Daten im Bereich von Polizei und Justiz, ist die DSGVO nicht anwendbar, Art. 2 Abs. 2 lit. d) DSGVO. Vielmehr finden hier die nationalen Regelungen, die die Datenschutzrichtlinie Polizei/Justiz umsetzen, Anwendung. Hier ist dann zu unterscheiden, ob Bundes- oder Landesbehörden gehandelt haben. Bei der Verarbeitung personenbezogener Daten durch Bundesbehörden greift Art. 83 BDSG. Bei der Verarbeitung personenbezogener Daten durch Landesbehörden in Ausübung landesrechtlicher Befugnisnormen greift das jeweilige Landesrecht, z.B. Art. 37 BayDSG.

 

 

 

I. Art. 82 DSGVO

 

 

 

Nach Art. 82 Abs.1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Verpflichtet ist gemäß Abs. 2 jeder an einer Verarbeitung beteiligte Verantwortliche, es sei denn, dass er gemäß Abs. 3 nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Auf ein Verschulden kommt es insofern aber nicht an, es geht allein um Verantwortungsbeiträge. Haften mehrere Verantwortliche nebeneinander, so ist jeder zum vollen Schadensersatz verpflichtet, Abs. 4. Er kann aber einen dem jeweiligen Verantwortungsbeitrag entsprechenden Ersatz von den anderen Verantwortlichen verlangen, Abs. 5.

 

Ersatzfähig ist der gesamt materielle und immaterielle Schaden. Es kann also auch eine Entschädigung wegen der Verletzung des Datengeheimnisses verlangt werden.

 

 

 

Geltend zu machen ist der Schadensersatzanspruch vor den Verwaltungsgerichten. Dies folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DSGVO, da Streitigkeiten hinsichtlich der Rechtmäßigkeit der Datenverarbeitung durch öffentliche Stellen vor die Verwaltungsgerichte gehören.

 

 

 

II. § 83 BDSG

 

Bei der Verarbeitung personenbezogener Daten durch Bundessicherheitsbehörden gewährt § 83 BDSG einen speziellen Schadensersatzanspruch. Bei einer rechtswidrigen Datenverarbeitung kann der Betroffenen Ersatz des materiellen und immateriellen Schadens verlangen. Ein Verschulden ist nicht erforderlich außer es handelt sich um eine nichtautomatisierte Datenverarbeitung. Verpflichtet ist nach dem Normwortlaut der Verantwortliche oder sein Rechtsträger. Der Geschädigte hat damit ein echtes Wahlrecht, ob er den Verantwortlichen, d.h. den Amtswalter, oder den Rechtsträger, mithin die staatliche Körperschaft, verklagen möchte. Mit Art. 34 Satz 1 GG ist dies vereinbar, weil der Rechtsträger auf jeden Fall haftet und Art. 34 nicht prinzipiell verhindern will, dass ein Amtswalter persönlich haftet.

 

  

 

Art. 7 und 8 BDSG sind mit Wirkung vom 25.5.2018 außer Kraft getreten. An ihre Stelle ist Art. 82 DSGVO getreten.

 

Überblick

 

I. Verschuldensabhängige Haftung nach § 7 BDSG

   1. Schutzgut und Anspruchsberechtigte

   2. Verantwortliche Stelle

   3. Unzulässige oder unrichtige Verarbeitung

   4. Verschulden und Umkehr der Beweislast

   5. Kausalität und ersatzfähiger Schaden

   6. Verjährung

   7. Anforderungen an die Darlegungslast

II. Gefährdungshaftung bei automatisierter Datenverarbeitung nach § 8 BDSG

   1. Schutzgut und Anspruchsberechtigte

   2. Verantwortliche Stelle

   3. Automatisierte Datenverarbeitung

   4. Unzulässige oder unrichtige Verarbeitung

   5. Rechtswidrigkeit und Verschulden nicht erforderlich

   6. Ersatzfähiger materieller und immaterieller Schaden; Haftungshöchstgrenze

   7. Benennung des Schädigers bei Datenpool nicht erforderlich

   8. Mitverschulden

   9. Verjährung

III. Weitere Anspruchsgrundlagen bei Verstößen gegen Datenschutzbestimmungen

IV. Rechtsweg

 

 

I. Verschuldensabhängige Haftung nach § 7 BDSG

Durch die Neufassung des § 7 BDSG im Zuge der Umsetzung der EG- Datenschutzrichtlinie (Vgl. Art. 23 der Richtlinie 1995/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. 1995, Nr. L 281, S. 31.) ist im BDSG erstmals eine eigenständige Verschuldenshaftung geschaffen worden. Die Bestimmung sieht aber eine Umkehr der Beweislast vor, der zufolge die verantwortliche Stelle nachzuweisen hat, dass sie kein Verschulden trifft.

Fügt eine verantwortliche Stelle einem Betroffenen durch eine nach dem BDSG oder nach einer anderen Vorschrift über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten schuldhaft einen Schaden zu, ist sie oder ihr Träger gem. § 7 Satz 1 BDSG dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt nach § 7 Satz 2 BDSG, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

 

1. Schutzgut und Anspruchsberechtigte

„Schutzgut“ der Vorschrift sind „personenbezogene Daten“. Personenbezogene Daten sind gem. § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (VG Wiesbaden DuD 2011, 142.).

„Betroffene“ und damit Anspruchsberechtigte gem. § 7 BDSG können damit nur natürliche Personen, nicht aber juristische Personen sein.  (Simitis, § 7 BDSG, Rdn. 9; Gola/Schomerus, § 7 BDSG, Rdn. 6.).

 

2. Verantwortliche Stelle

„Verantwortliche Stelle“ ist gem. § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Eine öffentliche Stelle haftet folglich gem. § 11 Abs. 1 BDSG auch für Datenschutzverstöße externer Dienstleister, die im Rahmen eines EDV-Outsourcing in Gestalt der Auftragsdatenverarbeitung datenschutzrelevante Aufgaben übernommen haben.

 

3. Unzulässige oder unrichtige Verarbeitung

„Unzulässig“ ist jede unerlaubte Erhebung, Verarbeitung oder Nutzung. Gem. § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. „Unrichtig“ ist eine Datenverarbeitung, wenn die Daten nicht mit der Wirklichkeit übereinstimmen, wenn sie unvollständig sind und damit ein falsches Bild über den Betroffenen geben oder wenn sie wegen eines Programmfehlers unrichtig verarbeitet werden. Die Begriffe „unzulässig“ und „unrichtig“ überschneiden sich, da die Verarbeitung unrichtiger Daten regelmäßig auch unzulässig ist (Gola/Schomerus, § 7 BDSG, Rdn. 4.).

Eine unzulässige Datenverarbeitung liegt auch dann vor, wenn personenbezogene Daten an Dritte übermittelt werden, obwohl die Voraussetzungen der §§ 15 f. BDSG nicht vorliegen oder zwischenzeitlich entfallen sind. Die Übermittlung personenbezogener Daten an Dritte setzt die Daten einer potenziell stärkeren Gefährdung aus, da die Daten den Kontext verlassen, in dem sie erhoben und gespeichert wurden. Im neuen Sachzusammenhang können sie ein anderes Gewicht oder einen neuen Informationsgehalt erlangen.

Die Daten müssen aber stets in einer Datei enthalten sein. Ein einzelnes Gutachten ist keine Datei i.S.v. Art. 3 Abs. 2 lit. c der RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 (BGH, Urteil vom 29.11.2016 – VI ZR 530/15).

 

 

4. Verschulden und Umkehr der Beweislast

Die Haftung nach § 7 BDSG setzt des Weiteren ein Verschulden der verantwortlichen Stelle voraus. Die Ersatzpflicht entfällt jedoch, wenn diese die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Hinsichtlich des Verschuldens ordnet § 7 Satz 2 BDSG eine Umkehr der Beweislast an (OLG Zweibrücken, Urteil vom 21. Februar 2013 – 6 U 21/12 –, juris.). Die verantwortliche Stelle muss also den Entlastungsbeweis hinsichtlich des fehlenden Verschuldens führen.

Ob die gebotene Sorgfalt gewahrt wurde, ist u.a. danach zu beurteilen, ob die verantwortliche Stelle die erforderlichen technischen und organisatorischen Anforderungen gem. § 9 BDSG getroffen hat (Vgl. zu den notwendigen Datenschutzmaßnahmen Gola/Schomerus, § 9 BDSG, Rdn. 10 ff.). Nach einer in der Literatur vertretenen Auffassung soll die gebotene Sorgfalt im Sinne des § 7 Satz 2 BDSG schon dann gewahrt sei sein, wenn sich die getroffenen Maßnahmen nur am unteren Rand des Erforderlichen befinden (Rossnagel-Wedde, Handbuch Datenschutzrecht, S. 566, Rdn. 92.). Nach Erwägungsgrund 55 der EG-Datenschutzrichtlinie entfällt das Verschulden dagegen nur bei Vorliegen höherer Gewalt und bei eigenem Fehlverhalten des Betroffenen. Der Maßstab ist damit offensichtlich enger.

 

5. Kausalität und ersatzfähiger Schaden

Der Ersatzanspruch erfasst den Schaden, der als adäquat kausale Folge durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten entstanden ist. Hierbei kommt es – anders als bei dem Anspruch gem. § 8 BDSG – nicht darauf an, ob es sich um automatisierte oder nicht-automatisierte Datenverarbeitung handelt (Rossnagel-Wedde, Handbuch Datenschutzrecht, S. 566, Rdn. 91.). Der Betroffene muss den Eintritt des Schadens darlegen und beweisen.

Im Schrifttum besteht Uneinigkeit darüber, ob der Betroffene auch den Kausalzusammenhang zwischen dem Verhalten der verantwortlichen Stelle und dem Schaden nachzuweisen hat oder ob umgekehrt die verantwortliche Stelle beweisen muss, dass ein Kausalzusammenhang nicht gegeben ist (Schaffland/Wiltfang, § 7 BDSG, Rdn. 2 m. w. N.).

Ersatzfähig ist nur der materielle Schaden. § 7 BDSG gewährt keinen Anspruch auf Ersatz immaterieller Schäden; (OLG Düsseldorf, Urteil vom 21. August 2015 – I-16 U 152/14, 16 U 152/14 –, juris.) dies ergibt aus einem Umkehrschluss zu § 8 Abs. 2 BDSG, wo der Ersatz von Nichtvermögensschäden bei schwerer Verletzung des Persönlichkeitsrechts ausdrücklich vorgesehen ist. Bei solchen Schäden müssen daher sicherheitshalber zusätzlich Amtshaftungsansprüche geltend gemacht werden, (Vgl. OLG Zweibrücken, Urteil vom 21. Februar 2013 – 6 U 21/12 –, juris.) auch wenn sehr fraglich ist, ob nicht die Rechtsprechung zum Schutz des Allgemeinen Persönlichkeitsrechts und die Reform des § 253 BGB zu einer erweiternden Auslegung von § 7 BDSG zwingen (Simitis, § 7 BDSG, Rdn. 33.).

 

6. Verjährung

Die Ansprüche aus § 7 BDSG verjähren grundsätzlich drei Jahre, nachdem der Geschädigte den Schaden festgestellt und erfahren hat, gegen wen der Anspruch zu richten ist, spätestens aber 30 Jahre nach der Datenschutzverletzung, § 195 BGB. § 7 BDSG geht anders als § 8 Abs. 6 BDSG nicht ausdrücklich auf die Verjährung ein, sodass die allgemeinen Verjährungsvorschriften anzuwenden sind (Simitis, § 7 BDSG, Rdn. 48.).

 

7. Anforderungen an die Darlegungslast

Der Schutz des verfassungsrechtlich fundierten Rechts auf informationelle Selbstbestimmung wäre unvollständig, wenn es durch schwer oder nicht zu erfüllende verfahrensrechtliche Anforderungen ausgehöhlt werden könnte. Im Einzelfall können daher die vom Betroffenen vorgetragenen Indizien einen prima-facie-Beweis hinsichtlich der Kausalität der Datenschutzverletzung für den Schaden begründen (Däubler/Klebe/Wedde/Weichert, § 7 BDSG, Rdn. 18.). Die verantwortliche Stelle ist auch zu einer verstärkten Mitwirkung im Sinne einer Umkehr der subjektiven Darlegungslast verpflichtet, wenn der Betroffene Anhaltspunkte für einen Datenschutzverstoß dargelegt hat (Däubler/Klebe/Wedde/Weichert, § 7 BDSG, Rdn. 18.).

II. Gefährdungshaftung bei automatisierter Datenverarbeitung nach § 8 BDSG

§ 8 BDSG sieht eine Gefährdungshaftung (Schaffland/Wiltfang, § 8 BDSG, Rdn. 4 m.w.N.) öffentlicher Stellen für materielle und immaterielle Schäden infolge einer unzulässigen oder unrichtigen automatisierten Datenverarbeitung vor. Auch die Haftung für technisches Versagen und Softwarefehler wird erfasst (Vgl. Taeger, RDV 1996, 77, 80.). Diese Sonderhaftungsnorm des öffentlichen Rechts wird wie ihre Vorgängernorm im haftungsrechtlichen Schrifttum nur wenig beachtet (Taeger, RDV 1996, 77, 80 (zu § 7 BDSG a. F.).).

Grundlage der Gefährdungshaftung ist der Einsatz einer zwar erlaubten aber gleichwohl „gefährlichen“ Technik (Schaffland/Wiltfang, § 8 BDSG, Rdn. 4.). Dem Betroffenen soll es in Anbetracht der komplexen, für Außenstehende kaum noch nachvollziehbaren Vorgänge bei der automatisierten Datenvereinbarung nicht zugemutet werden, dem Betreiber ein Verschulden nachweisen zu müssen.

Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach dem BDSG oder nach einer anderen Vorschrift über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen gem. § 8 Abs. 1 BDSG unabhängig von einem Verschulden zum Schadensersatz verpflichtet.

Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen gem. § 8 Abs. 2 BDSG der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.

Ansprüche nach § 8 Abs. 1 und Abs. 2 BDSG sind gem. § 8 Abs. 3 BDSG insgesamt auf einen Betrag von 130.000 € begrenzt.

 

1. Schutzgut und Anspruchsberechtigte

„Schutzgut“ der Vorschrift sind wie bei § 7 BDSG „personenbezogene Daten“. „Betroffene“ und damit Anspruchsberechtigte gem. § 8 BDSG sind damit ebenfalls nur natürliche Personen, nicht aber juristische Personen (Schaffland/Wiltfang, § 8 BDSG, Rdn. 9.).

 

2. Verantwortliche Stelle

Handelnde Stelle muss eine „verantwortliche öffentliche Stelle“ sein. Der Begriff der öffentlichen Stelle ist in § 2 BDSG definiert. Die Definition für die „verantwortliche Stelle“ findet sich in § 3 Abs. 7 BDSG. Schädigende Stelle kann auch ein öffentlich-rechtliches Wettbewerbsunternehmen sein (Schaffland/Wiltfang, § 8 BDSG, Rdn. 4a.).

Die öffentlichen Stellen müssen auch als Auftraggeber Schadensersatz leisten, wenn die den Schaden verursachende Datenverarbeitung bei der Auftragsdatenverarbeitung durch einen Dritten erfolgte. Der Auftraggeber bleibt gem. § 11 Abs. 1 BDSG auch bei einer von ihm veranlassten Datenverarbeitung durch einen Dritten haftungsrechtlich verantwortlich (Vgl. auch Taeger, RDV 1996, 77, 80.).

 

3. Automatisierte Datenverarbeitung

Der Anspruch setzt eine Schädigung infolge einer automatisierten Datenverarbeitung voraus. Automatisierte Verarbeitung ist gem. § 3 Abs. 2 Satz 2 BDSG die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

§ 8 BDSG findet bei manueller Datenverarbeitung keine Anwendung. Eine Haftung tritt z.B. dann nicht ein, wenn die Daten deshalb unrichtig gespeichert wurden, weil ein Erhebungsbogen fehlerhaft ausgefüllt wurde (Schaffland/Wiltfang, § 8 BDSG, Rdn. 10.). Andererseits werden Eingabefehler bereits dem durch die automatisierte Verarbeitung geschaffenen Gefahrenbereich zugeordnet (Vgl. Schaffland/Wiltfang, § 8 BDSG, Rdn. 10; Taeger, RDV 1996, 77, 81.).

 

4. Unzulässige oder unrichtige Verarbeitung

Die Datenverarbeitung muss des Weiteren unzulässig oder unrichtig sein. „Unzulässig“ ist jede unerlaubte Erhebung, Verarbeitung oder Nutzung. Gem. § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Das Tatbestandsmerkmal „unzulässig“ ist i.Ü. im Sinne von „rechtswidrig“ zu verstehen; damit ist eine Datenverarbeitung auch unzulässig, wenn die datenverarbeitende Stelle z.B. Daten speichert, ohne die gesetzlich vorgesehene Beteiligung des Betroffenen vorzunehmen (Schaffland/Wiltfang, § 8 BDSG, Rdn. 11.).

„Unrichtig“ ist jede Verarbeitung falscher, unvollständiger oder durch den Verarbeitungsprozess verfälschter Daten (Schaffland/Wiltfang, § 8 BDSG, Rdn. 10; ähnlich Taeger, RDV 1996, 77, 81.). Insbesondere ein Fehler der zur Datenverarbeitung eingesetzten Computerprogramme kann dazu führen, dass richtige Daten durch Änderung, Vertauschen, Hinzufügen oder Löschen verfälscht und damit unrichtig werden (Taeger, RDV 1996, 77, 81.). Die Verarbeitung von „unrichtigen Daten“ ist auch „unzulässig“ (Taeger, RDV 1996, 77, 81.).

Sofern ein Programmfehler bewirkt, dass richtige Daten genutzt oder an Dritte übermittelt werden, obwohl die Erlaubnistatbestände gem. § 14 BDSG bzw. § 15 f. BDSG dafür nicht vorliegen oder nicht mehr vorliegen, führt dies zu einer Haftung wegen einer unzulässigen automatisierten Datenverarbeitung gem. § 8 BDSG (Taeger, RDV 1996, 77, 81.).

 

5. Rechtswidrigkeit und Verschulden nicht erforderlich

Rechtswidriges Verhalten als solches ist keine Haftungsvoraussetzung, da die Haftung die „typische Automationsgefährdung“ (Gola/Schomerus, § 8 BDSG, Rdn. 9.) erfassen soll; im Sinne des Erfolgsunrechts muss die Datenverarbeitung aber rechtswidrig sein.

Ein Verschulden der öffentlichen Stelle ist gem. § 8 Abs. 1 BDSG nicht erforderlich. § 8 BDSG sieht keine Exkulpationsmöglichkeit für die öffentlich Stelle vor (Schaffland/Wiltfang, § 8 BDSG, Rdn. 4; Taeger, RDV 1996, 77, 80 (zu § 7 BDSG a.F.).). Der Geschädigte muss damit lediglich nachweisen, dass ihm eine verantwortliche öffentliche Stelle durch eine unzulässige bzw. unrichtige Datenverarbeitung adäquat kausal ein Schaden zugefügt hat (Simitis, § 8 BDSG, Rdn. 14.).

 

6. Ersatzfähiger materieller und immaterieller Schaden; Haftungshöchstgrenze

Ersatzfähig ist gem. § 8 Abs. 1 BDSG der materielle Schaden, gem. § 8 Abs. 2 BDSG bei besonders schweren Verletzungen des Persönlichkeitsrechts auch der immaterielle Schaden. Der Betroffene kann danach insbesondere Schmerzensgeld verlangen.

Allerdings ist die Haftung für materielle und immaterielle Schäden gem. § 8 Abs. 3 BDSG insgesamt auf den Betrag von 130.000 € beschränkt. Diese Haftungsbegrenzung wird in Teilen des Schrifttums als unangemessen niedrig kritisiert (Vgl. Taeger, RDV 1996, 77, 81 (zu § 7 BDSG a.F.) m. w. N.).

Diese summenmäßige Begrenzung gilt auch bei sog. Serienschäden: Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 130.000 € übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.

 

7. Benennung des Schädigers bei Datenpool nicht erforderlich

Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt (sog. Datenpool) und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet gem. § 8 Abs. 4 BDSG jede dieser Stellen. Der Betroffene muss deshalb grundsätzlich nicht den konkreten Verletzer benennen.

 

8. Mitverschulden

Ein „Mitverschulden“ muss sich der Geschädigte gem. § 8 Abs. 5 BDSG in entsprechender Anwendung des § 254 BGB zurechnen lassen; Mitverschulden ist hier untechnisch zu verstehen, weil es auf ein Verschulden des Schädigers gerade nicht ankommt und damit auch nicht von einem Mitverschulden des Geschädigten gesprochen werden kann. Ein Schadensersatzanspruch entfällt demnach etwa, wenn die Unrichtigkeit der Daten selbst verschuldet war, weil der Geschädigte falsche Angaben gemacht hat.

 

9. Verjährung

Der Anspruch aus § 8 BDSG verjährt gem. § 8 Abs. 6 BDSG i.V.m. § 195 BGB drei Jahre, nachdem der Geschädigte den Schaden festgestellt und auch erfahren hat, gegen wen der Anspruch zu richten ist.

III. Weitere Anspruchsgrundlagen bei Verstößen gegen Datenschutzbestimmungen

Neben § 7 BDSG und § 8 BDSG kommen als weitere Anspruchsgrundlagen bei hoheitlicher Tätigkeit insbesondere der Amtshaftungsanspruch gem. § 839 BGB i.V.m. Art. 34 GG und im fiskalischen Bereich §§ 280 ff., 311 BGB bei vorvertraglicher bzw. §§ 280 ff. BGB bei vertraglicher Pflichtverletzung sowie §§ 823 ff., 31, 89 bzw. 831 BGB bei deliktischer – nicht-hoheitlicher – Schädigung in Betracht (Gola/Schomerus, § 7 BDSG, Rdn. 17ff.; Schaffland/Wiltfang, § 7 BDSG, Rdn. 5 ff. mit Beispielen.).

§ 7 BDSG und § 8 BDSG sind nicht abschließend gegenüber anderen Anspruchsgrundlagen (Gola/Schomerus, § 8 BDSG, Rdn. 2.).

Das bei anderen Anspruchsgrundlagen stets vorausgesetzte Verschulden kann insbesondere in einem Organisationsverschulden bestehen. Dies dürfte regelmäßig dann vorliegen, wenn die nach § 9 BDSG erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten nicht getroffen wurden (Simitis, § 7 BDSG, Rdn. 61.).

IV. Rechtsweg

Schadensersatzansprüche aus § 7 BDSG sind vor den ordentlichen Gerichten geltend zu machen, § 40 Abs. 2 Satz 1 VwGO.

Dies gilt auch für Ansprüche aus § 8 BDSG. Nach der Rechtsprechung des BGH sind Ansprüche aus Gefährdungshaftung vor den ordentlichen Gerichten geltend zu machen (BGHZ 55, 180, 182.). Gleichwohl ist die Anwendbarkeit des § 40 Abs. 2 Satz 1 VwGO auf Ansprüche aus Gefährdungshaftung nicht unumstritten.  (Vgl. Kopp/Schenke, § 40 VwGO, Rdn. 70.) Aus diesem Grund wäre eine Klarstellung des Gesetzgebers in § 8 BDSG wünschenswert gewesen. Wie sich jedoch aus der Gesetzgebungshistorie ergibt, hielt der Gesetzgeber eine entsprechende Regelung für verzichtbar, da die Anwendbarkeit des § 40 Abs. 2 Satz 1 VwGO als selbstverständlich vorausgesetzt wurde.

Die Vorgängervorschrift des § 8 BDSG, § 7 BDSG a.F. enthielt eine ausdrückliche Regelung zum Rechtsweg. Diese wurde im Gesetzgebungsverfahren zunächst aufgegriffen: Der Gesetzentwurf der Bundesregierung vom 18.08.2000 (BR-Drs. 461/00) stellte in § 7 Abs. 4 E-BDSG fest, dass der Rechtsweg zu den ordentlichen Gerichten offen steht. § 8 Abs. 3 E-BDSG besagte dann, dass § 7 Abs. 2 bis 4 E-BDSG entsprechend anzuwenden sind. Die darauf folgenden Empfehlungen des Innenausschusses verlangten demgegenüber, § 7 Abs. 4 E-BDSG zu streichen, da § 7 E-BDSG einen deliktischen Anspruch normiere, sodass §§ 823 ff. BGB gelten, weshalb unproblematisch der Rechtsweg zu den ordentlichen Gerichten eröffnet sei und § 7 Abs. 2 bis 4 E-BDSG überflüssig wären. Allerdings sollte in einem neuen § 8 VIII E-BDSG klargestellt werden, dass der Rechtsweg zu den ordentlichen Gerichten offen stehe, denn bei Schadensersatzansprüchen gegen öffentliche Stellen sei es nicht zwingend, dass der Rechtsweg zu den ordentlichen Gerichten gegeben sei. Der neue Gesetzentwurf der Bundesregierung vom 13.10.2000 (Drs. 14/4329) änderte jedoch den ursprünglichen Entwurf nicht ab. Der Bundesrat blieb demgegenüber in seiner Stellungnahme zu diesem geänderten Gesetzentwurf (Drs. 14/4329) bei seiner Auffassung.

 

Erst die Gegenäußerung der Bundesregierung vom 31.10.2000 (Drs. 14/4458) brachte die Änderung, die nunmehr geltendes Recht ist. Danach wurden sowohl § 7 Abs. 4 E-BDSG als auch der vom Bundesrat vorgeschlagene § 8 VIII E-BDSG als unnötig erachtet, da sich die Zuständigkeit der ordentlichen Gerichte schon aus § 40 Abs. 2 Satz 1 VwGO ergebe, der sinngemäß auch für Ansprüche aus Gefährdungshaftung gilt. Infolgedessen enthält das neue BDSG keine Regelung mehr zum Rechtsweg. Dem stimmte der Innenausschuss in seiner Beschlussempfehlung vom 04.04.2001 (Drs. 14/5793) mit der Erwägung zu, § 7 Abs. 2 bis 4 E-BDSG hätten nur deklaratorische Bedeutung, sodass sie entfallen könnten.