Im Zivilprozess gilt: Jeder muss die für ihn günstigen Tatsachen beweisen. Nur in bestimmten Fällen kann sich das umkehren – zum Beispiel bei Schadensersatzansprüchen, wenn eine gesetzliche Vermutung für ein Verschulden des Schädigers besteht. Dann muss der Schädiger (gegen den diese Vermutung wirkt) Tatsachen vortragen und beweisen, die ihn entlasten. Juristen bezeichnen das als Beweislastumkehr. Im Datenschutzrecht war bislang nicht klar, wie weit diese Beweislastumkehr reicht. Das OLG Stuttgart hat nun für Schadensersatzansprüche gemäß DSGVO entschieden: Sie betrifft nur das Verschulden. Alle weiteren Voraussetzungen des Schadensersatzanspruchs muss die betroffene Person beweisen.
Der Fall
Die Klägerin begehrte Auskunft und Schadensersatz von einem Kreditkartenanbieter. Denn bei einem Hackerangriff wurden personenbezogene Daten der Klägerin von Dritten abgegriffen und im Internet veröffentlicht. Deshalb verlangte die Klägerin daraufhin Schadensersatz.
Voraussetzungen für Schadensersatz nicht erfüllt
Die Voraussetzungen des Schadensersatzanspruchs lagen nicht vor, weshalb das Gericht die Berufung zurückwies. Diese Voraussetzungen sind unter anderem:
- Verstoß gegen die DSGVO (Pflichtverletzung)
- Verschulden
- Schaden
- Schaden muss gerade durch den Rechtsverstoß eingetreten sein (Ursächlichkeit des Verstoßes, sog. Kausalität)
Der Grund lag darin, dass die Klägerin weder einen Verstoß gegen die DSGVO nachgewiesen hatte, noch den Umstand, dass der Verstoß den Schaden verursacht hat. Nach dem Urteil muss aber die Klägerin als betroffene Person die Anspruchsvoraussetzungen vorzutragen und nachzuweisen. Erst wenn ein Verstoß vorgetragen und nachgewiesen wurde, hilft der betroffenen Person die Beweislastumkehr für das Verschulden: Dann muss sich nämlich der Verantwortliche entlasten, indem er Umstände vorträgt und nachweist, dass der Verstoß weder vorsätzlich noch fahrlässig erfolgte.
OLG Stuttgart: DSGVO enthält kein Beweisrecht
Dabei hatte die Klägerin argumentiert: Der Kreditkartenanbieter (= der Verantwortliche) muss die Einhaltung der DSGVO nachweisen (Rechenschaftspflicht). Wenn er dies nicht nachweisen kann, dann liegt ein Verstoß vor, es sei denn, der Kreditkartenanbieter könnte sich entlasten.
Dem erteilte das OLG eine Absage: Es gelten die Beweisregeln des jeweiligen nationalen Prozessrechts (die haben wir oben bereits kurz dargestellt). Die DSGVO enthält keine Beweisrecht, außer der Beweislastumkehr für das Verschulden. Die Rechenschaftspflicht bezieht sich auf die Verantwortlichkeit gegenüber den Aufsichtsbehörden, aber nicht auf Gerichtsprozesse. Ein Pflichtverstoß wird hierbei jedoch nicht vermutet.
Weil das alles höchst umstritten ist, hat das OLG die Revision zum BGH zugelassen. Ob dieser die Rechtsfragen dem EuGH vorlegen wird, bleibt abzuwarten, ist aber wahrscheinlich.
Bedeutung für Unternehmen
Das Urteil ist eine gute Nachricht für Unternehmen: Denn weitere Gerichte dürften dieses Urteil als Grundlage ihrer eigenen Entscheidungen nehmen. Die bloße Behauptung einer Datenschutzverletzung durch eine betroffene Person führt demnach nicht automatisch zu einem Schadensersatzanspruch. Dennoch ist eine gute Dokumentation über die Einhaltung der DSGVO nach wie vor ein geeignetes Mittel, Schadensersatzansprüche abzuwehren.