Ob die zur Pauschalreise-RL entwickelte Judikatur des EuGH[96] diese Lücke aufzufüllen vermag bzw. eine entsprechende Vergleichbarkeit zulässt, ist fraglich.[97]
Allerdings lohnt sich ein Blick in die bisher zu immateriellen Schäden entwickelte Judikatur des OGH, die – vorbehaltlich der angesprochenen autonomen und weiten Auslegung – sehr wohl Anhaltspunkte für die Bestimmung des zu ersetzenden immateriellen Schadens sowohl dem Grunde als auch der Höhe nach liefert:
Hier hat sich mittlerweile herauskristallisiert, dass die Verwirklichung einer gewissen Erheblichkeitsschwelle Wesensvoraussetzung für die Zuerkennung bzw. Ersatzfähigkeit eines immateriellen Schadens ist. In diesem Sinne judiziert auch der OGH in Übereinstimmung mit zumindest Teilen des Schrifttums, dass nicht alle Unlustgefühle, Ärgernisse oder „Gefühlsschäden“ schadenersatzrechtlich zu kompensieren sind.[98] Der Interessenbeeinträchtigung muss eben ein gewisses Gewicht zukommen. Mit anderen Worten: Es muss eine qualifizierte Persönlichkeitsverletzung vorliegen, was – aus einem österreichischen Blickwinkel betrachtet – regelmäßig zugleich das Vorliegen zumindest grober Fahrlässigkeit erfordert.
Dass Verhaltensweisen, die Bagatellcharakter aufweisen, keine Sanktionierung mittels Art 82 Abs 1 DSGVO erfahren sollen, kann im Übrigen auch den Erwägungsgründen zur DSGVO selbst entnommen werden. Dort heißt es nämlich, dass die betroffenen Personen einen „vollständigen und wirksamen Schadenersatz“ für den erlittenen Schaden erhalten sollen.[99] Sofern jedoch die Grenze zur Bagatelle nicht überschritten ist, läuft dieser Gesichtspunkt ins Leere. Darüber hinaus würde die Zubilligung von Schadenersatz nach Art 82 DSGVO auch für „Bagatellschäden“ ein erhebliches Missbrauchsrisiko im Bereich des Datenschutzrechtes Tür und Tor öffnen.[100] Ergänzend sei festgehalten, dass durch die aufgezeigte Sichtweise der rechtswidrig verletzte Betroffene nicht schutzlos gestellt wird: Er kann nach wie vor Beseitigung bzw. Unterlassung der rechtswidrigen Verarbeitung verlangen.
Die Neigung des europäischen Gesetzgebers, rechtswidriges Verhalten mit der Ersatzpflicht für immaterielle Schäden zu verbinden, ist weder neu noch überraschend: Die Pauschalreise-RL[101] bietet hierfür ein genauso gutes Beispiel wie Art 14 Geschäftsgeheimnis-RL, in der explizit der Ersatz immaterieller Schäden aus dem rechtswidrigen Erwerb, einer rechtswidrigen Nutzung oder Offenlegung eines Geschäftsgeheimnisses normiert wird. In den Fängen des ABGB verhaftend bleibend, mutet es allerdings eher befremdlich an, dass solche Ersatzpflichten bereits ab leichter Fahrlässigkeit[102] bzw. gar verschuldensunabhängig[103] gewährt werden.
Welche Konsequenz ergibt sich aber nun daraus für die schadenersatzrechtliche Sanktionierung von „Datenschutzverletzungen“?
Es wird wohl kein Weg daran vorbeiführen, die Unbestimmtheit der Vorgaben des europäischen Gesetzgebers in Art 82 DSGVO mithilfe von Fallgruppen zu konkretisieren. Zentraler Ansatzpunkt könnten hierbei die Informationen sein, welche personenbezogenen Daten mit welcher Eingriffsintensität[104] (rechtswidrig) verarbeitet wurden.
Hat man auf dieser – objektiven – Ebene die entsprechenden Fallgruppen gebildet, käme als weiteres Wertungskorrektiv die Schwere des konkreten Vorwurfs gegenüber demjenigen, der die Verarbeitung verantwortete, in Betracht. Je eingriffsintensiver und vorwerfbarer die jeweilige Verletzung erfolgte, desto höher wird demgemäß der jeweilige Schadenersatzanspruch ausfallen – immer vorausgesetzt, dass überhaupt ein Verhalten mit relevanter Eingriffsintensität vorliegt, was bei „Bagatellbeeinträchtigungen“, unabhängig von der Schwere des Verschuldensvorwurfs, zu verneinen ist.
2.6 Verschulden und Haftungsbefreiung
Art 81 Abs 1 DSGVO stellt als haftungsbegründendes Element auf einen Schaden, der „wegen“ eines Verstoßes gegen die DSGVO entstanden ist, ab. Diese Formulierung legt die Wertung nahe, dass es sich bei Art 82 DSGVO um eine Gefährdungshaftung, die ihrer Rechtsnatur nach verschuldensunabhängig ausgestaltet ist, handeln könnte. Allerdings eröffnet Art 82 Abs 3 DSGVO dem Schädiger die Möglichkeit, sich bei Nachweis der „Nichtverantwortlichkeit“ von der Haftung zu befreien. Somit stellt sich die Frage, ob es sich bei Art 82 DSGVO um eine Gefährdungshaftung (mit Entlastungsmöglichkeit) oder um eine Verschuldenshaftung (mit Beweislastumkehr)[105] handelt. Jedenfalls ist die weite Formulierung von Art 82 Abs 3 DSGVO („in keinerlei Hinsicht“) nicht glücklich gewählt, eröffnet sie doch tendenziell die Überlegung, dass sich die „Beweislastumkehr“ nicht (nur) auf die „Nichtverantwortlichkeit“ im Sinne eines Verschuldens, sondern auch auf andere Zurechnungskriterien beziehen könnte.[106]
Einer Lösung des Problems dürfte man sich am besten nähern, wenn man die „(Nicht-)Verantwortlichkeit“ iSv Art 82 Abs 3 DSGVO nicht (nur) als das Ergebnis einer subjektiven Zurechnung der (objektiv rechtswidrigen) Datenverarbeitung iSv Art 4 Z 7 iVm Art 5 Abs 2 DSGVO begreift. Vielmehr dürfte, wie auch Frenzel formuliert, eine unglückliche Doppelung von Begrifflichkeiten vorliegen:[107]
Nach Art 82 DSGVO soll die bloße Beteiligung an einer (rechtswidrigen) Datenverarbeitung ausreichen, um haften zu müssen. Derjenige jedoch, der nachweist, dass er seine der DSGVO entspringenden Verpflichtungen vollumfänglich erfüllt hat, soll von der Haftung entlastet werden.[108] Die Haftung nach Art 82 DSGVO soll aber auch nicht dazu führen, dass an der Datenverarbeitung gar nicht Beteiligte in eine Nachweispflicht dafür verstrickt werden, dass sie nicht verantwortlich iSv „nicht beteiligt“ sind.[109] Die Haftung bleibt im Grundsatz zu Gunsten der betroffenen Personen jedoch sehr strikt: Sie sollen davon entlastet werden, Zusammenhänge nachweisen zu müssen, die ggf. ihre Ursache in für sie gar nicht erkennbaren Verhältnissen der Verantwortlichen haben.[110]
Ein Verantwortlicher wird sich demgemäß erfolgreich auf Art 82 Abs 3 DSGVO berufen können, wenn die Verletzung auf einen unberechtigten Zugriff Dritter auf (personenbezogene) Daten beruht, er jedoch nachzuweisen vermag, dass er als Verantwortlicher entsprechend der DSGVO alle erforderlichen Sicherungsmaßnahmen ergriffen hat.[111] Nutzen hingegen Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, wird der Verantwortliche seine Nichtverantwortlichkeit nicht nachweisen können.[112] Dasselbe wird gelten, wenn die eigenen Mitarbeiter unberechtigt auf (personenbezogene) Daten zugriffen.[113]
Selbst unter der Annahme, dass mit Art 82 DSGVO eine Gefährdungshaftung mit Entlastungsmöglichkeit statuiert wurde, wäre dies nicht zwangsläufig mit einer Entkoppelung von der Frage der Vorwerfbarkeit eines menschlichen Verhaltens verbunden; die Frage der Vorwerfbarkeit würde sich primär auf eine andere Ebene, nämlich auf die der Beweislast, verlagern.
2.7 Die Passivlegitimation
Anspruchsverpflichtet ist der Verantwortliche oder der Auftragsverarbeiter, der an der Datenverarbeitung beteiligt ist – unabhängig davon, ob es sich um eine öffentliche oder private Stelle handelt.[114] Damit ist zugleich gesagt, dass beispielsweise das staatliche Haftungsprivileg nach § 2 Abs 2 AHG im Rahmen eines auf Art 82 DSGVO gestützten Schadenersatzanspruches keine Bedeutung erlangen kann.
Dass hierbei „Verantwortlicher“ iSd Art 82 DSGVO nicht im Sinne eines Verschuldensvorwurfes zu verstehen ist, bedarf ob der Legaldefinition des Art 4 Z 7 DSGVO keiner weitergehenden Erläuterung. Entscheidend ist vielmehr, wer die Daten – rechtswidrig – verarbeitete[115]; haftungsbegründend kommt es somit auf die Zurechnung der Verarbeitung an, nicht auf die Zurechnung des Schadens.[116] Zwar wird der Auftragsverarbeiter durch Art 82 Abs 2 S 2 DSGVO im Verhältnis gegenüber dem Geschädigten haftungsmäßig privilegiert; umgekehrt wird jedoch auch der Verantwortliche privilegiert, wenn der Auftragsverarbeiter seine Weisungen missachtete.[117]
2.8 Gesamtschuldnerschaft
Art 82 Abs 4 DSGVO normiert die gesamtschuldnerische Haftung von mehreren Verantwortlichen vice versa Auftragsverarbeitern derselben Verarbeitung,
