auf den ersten Blick anders sein. Ganz so liegen die Dinge aber nicht:
2.2 Art 82 DSGVO – Haftung und Recht auf Schadenersatz
Art 82 DSGVO bestimmt zunächst: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“[69] Soweit – scheinbar – so klar.
Aber eben nicht ganz:
2.3 Art 82 DSGVO vs § 33 DSG 2000 – alles beim Alten?
Bei einem Streifzug durch die in ihrer Zahl stetig zunehmenden Stellungnahmen zu Art 82 DSGVO fällt zunächst auf, dass diese sehr oft von einem klaren Unbehagen über die legistische Leistung des europäischen Gesetzgebers beherrscht sind. Diese Kritik, auf die im Folgenden zumindest partiell eingegangen wird, ist mitunter durchaus berechtigt. Überraschend ist allerdings, dass die Konsequenz einer zivilrechtlichen Haftung für – vereinfacht gesprochen – Verstöße gegen datenschutzrechtliche Bestimmungen so neu eigentlich nicht ist:
§ 33 DSG 2000, dem bis zur Einführung der DSGVO eher wenig Beachtung geschenkt wurde, was sich infolge seiner Derogation auch nicht mehr ändern wird, sah das bereits vor[70]. Zwar mag die in § 33 DSG 2000 vorgenommene Eingrenzung, wonach Ersatz immaterieller Schäden nur dann in Betracht kam, wenn der höchstpersönliche Lebensbereich eines Menschen in einer Weise erörtert oder dargestellt wird, die geeignet ist, ihn in der Öffentlichkeit bloßzustellen[71], für die Rechtsanwendung einfacher und praktikabler gewesen sein. Diese strikte Begrenzung war jedoch auch eine Mitursache dafür, dass § 33 DSG 2000 an sich totes Recht darstellte.
Die nunmehr „offene“ Gestaltung des Ersatzes immaterieller Schäden, wie sie in Art 82 DSGVO Eingang gefunden hat, mag ob ihrer Unbestimmtheit bzw. des Fehlens eines einheitlichen Verständnisses vom Begriff des immateriellen Schadens auf europäischer Ebene Anlass für Kritik geben. In der Sache selbst sollte man an dieser Stelle jedoch nicht mit zu vielen Steinen werfen, denn das Glashaus in Form des österreichischen Rechtskreises und mit ihm eingeschlossen des, jedenfalls soweit es den Ersatz immaterieller Schäden betrifft, recht unbestimmten § 1325 Allgemeines Bürgerliches Gesetzbuch (ABGB) existiert seit 1811 (und dennoch haben die Rechtsanwender auch mit diesem Gesetz zu leben gelernt). An die äußerst flexibel gestalteten § 1323 und § 1324 ABGB sei an dieser Stelle nur erinnert.
2.4 Aktivlegitimation
2.4.1 Grundsätzliches
Hervorhebenswert ist zunächst, dass Art 82 Abs 1 DSGVO nicht auf jeden „Betroffenen“, sondern auf „[j]ede Person“ als (potenziell) aktiv Legitimierten eines auf die Verletzung von Vorgaben der DSGVO gestützten Schadenersatzanspruches abstellt. Hervorhebenswert deshalb, weil die DSGVO selbst an diversen Stellen auf die „betroffene Person“[72] als Anknüpfungspunkt Bezug nimmt. Dass es sich hierbei keineswegs um ein „Redaktionsversehen“, sondern um eine bewusste Entscheidung des europäischen Gesetzgebers handelt, zeigt auch ein Blick in die englische Version der DSGVO, in der zwischen “data subject” und – in Bezug auf Art 82 DSGVO – „any person“ (Art 82 DSGVO) unterschieden wird.[73]
Dass nur eine Person, der durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, diesen (gegenüber dem Schädiger) zu liquidieren berechtigt sein sollte, liegt bereits in der Natur von Schadenersatzansprüchen begründet. Zu ergänzen ist allerdings, was jedoch ebenfalls keine Neuheit darstellt, dass der erlittene Schaden gerade vom Schutzzweck der (normierten) Verhaltenspflicht erfasst sein muss; jede andere Sichtweise würde auf einen – dem Schadenersatzrecht grundsätzlich fremden – Sanktionscharakter hinauslaufen. Von diesen Überlegungen ist Art 83 DSGVO getragen; im Rahmen des Art 82 DSGVO sollten sie jedoch keinen Platz haben.[74] Andernfalls würde man unmittelbar bei einer Art Strafschadenersatz landen. Ein solcher ist jedoch, jedenfalls im Sinne von punitive damages, ebenfalls nicht gewollt.[75]
2.4.2 Die Anspruchsberechtigten
2.4.2.1Systematisches
Die Bezugnahme in Art 82 Abs 1 DSGVO auf „jede“ und nicht nur eine „betroffene Person“ als Anspruchsberechtigte, sofern sie durch einen Verstoß gegen die Bestimmungen der DSGVO einen Schaden erleidet, ist konsistent, wenn man die DSGVO (genauer: die im Einzelfall zu bestimmenden Verhaltenspflichten) – aus einem österreichischen Blickwinkel – genau als das betrachtet, was sie dem Grunde nach ist: nicht mehr und nicht weniger als ein Schutzgesetz.[76]
Zwar ist dieser österreichische Blickwinkel ob der erforderlichen autonomen Auslegung, beispielsweise, sofern es um den Begriff des Schadens im Sinne der DSGVO geht[77], methodisch nicht ganz korrekt. Eine Besinnung auf das Konstrukt „Schutzgesetz“ verdeutlicht jedoch nur allzu gut, warum Art 82 DSGVO auf „jede“ und eben nicht nur „betroffene Person“ abstellt und dass es auf eine rechtsgeschäftliche oder rechtsgeschäftsähnliche Beziehung zwischen dem vermeintlichen Schädiger (Verantwortlichen, Auftragsverarbeiter) und dieser Person nicht ankommt bzw. ankommen kann. Begreift man das Persönlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung, wenn und soweit es durch die DSGVO geschützt wird, als absolute Rechte, gilt es inter omnes (gegenüber jedermann). Das ist de lege lata nichts Neues; es liegt in der Natur von absolut geschützten Rechten bzw. Rechtsgütern, dass sie, ohne Bezug auf etwaige Sonderbeziehungen, von jedermann zu beachten sind.
Neu an der DSGVO ist allerdings, dass Art 82 DSGVO darüber hinaus ein Beweislastkonzept beinhaltet, das sich genau an solchen vertraglichen Sonderbeziehungen orientiert bzw. darüber hinausgeht. Hierzu jedoch an späterer Stelle[78] und zurück zu Grundlegenderem:
2.4.2.2„Jede Person“ als Anspruchsberechtigte?
Erfasst der Begriff „jede Person“ auch juristische Personen? Ein Blick in das hierzu verfügbare Schrifttum überrascht:
Einerseits wird die Auffassung vertreten, dass nur „betroffene [natürliche] Personen“ gemeint und juristische Personen ausgeschlossen sein sollen.[79] Andere erstrecken den Schutzbereich auch auf juristische Personen[80] bzw. formulieren vorsichtig, dass „eine Beschränkung des Kreises der Anspruchsberechtigten auf natürliche Personen vertretbar“[81] sei, wobei die Grenze des Haftungsrahmens nicht bei „betroffenen Personen“ stehen bleiben soll.[82]
Ohne sich an dieser Stelle in Details von Interpretationen, gestützt auf den Wortlaut oder Telos der DSGVO, verfangen zu wollen, sei an dieser Stelle festgehalten:
Der europäische Gesetzgeber wollte mit der DSGVO, wie bereits ihr offizieller Titel verrät, ein Regelwerk zum Schutz „natürlicher Personen bei der Verarbeitung personenbezogener Daten“ normieren. Und genau diese Befugnis steht dem europäischen Gesetzgeber gemäß Art 16 Abs 2 AEUV auch zu.
Eine Interpretation dahingehend, dass mittels des Begriffs „jede Person“ auch juristische Personen in den Haftungsverband der DSGVO einbezogen werden sollten, würde auf das Ergebnis hinauslaufen, dass der europäische Gesetzgeber (in Übertretung seiner Gesetzgebungskompetenz) als Reflexwirkung auch eindeutig nicht vom Telos der DSGVO erfasste Personen in deren Schutzbereich einbeziehen wollte. Der Willen nach einer solchen juristischen Gratwanderung sollte dem europäischen Gesetzgeber nicht unterstellt werden.
Somit sollte klar sein, dass iSd Art 82 DSGVO anspruchsberechtigt jede natürliche Person[83] ist, die wegen (besser: aufgrund) eines Verstoßes gegen die DSGVO einen Schaden erlitt. Damit gemeint sind die (natürlichen) Personen, deren Daten nach Maßgabe der DSGVO zu behandeln
