Schadensersatz BDSG, JI-RL, DSGVO
Schadensersatz BDSG, JI-RL, DSGVO

Schadensersatz BDSG, JI-RL, DSGVO

Gegenüberstellung – Schadensersatz nach BDSG, JI-Richtlinie und DSGVO.

Sowohl die Datenschutz-Grundverordnung (DSGVO – EU 2016/679) als auch Teil 3 des BDSG, der die JI-Richtlinie (JI-RL – EU 2016/680) in Bundesrecht umsetzt, enthalten Regelungen zur Schadensersatzpflicht des Verarbeiters. Die Gegenüberstellung der europäischen Regelungstexte und der deutschen Umsetzung zeigt Gemeinsamkeiten, und Unterschiede.

(Dieser Beitrag wurde auch veröffentlicht in Johannes ZD-Aktuell 2019, 06875)

Gegenüberstellung BDSG, JI-RL, DSGVO

Art. 82 DSGVO sieht für den Anwendungsbereich der DSGVO einen unmittelbar geltenden Schadensersatzanspruch vor. Dieser bezieht sich jedoch nicht auf Schäden, die durch rechtswidrige Datenverarbeitungen der Polizei-, Strafverfolgungs- und Strafvollstreckungsbehörden entstehen, da diese Stellen nicht der DSGVO unterfallen (Art. 2 Abs. 2 lit. d). Insofern ist § 83 BDSG einschlägig, der Art. 56 JI-RL in Bundesrecht umsetzt. Über § 500 StPO kommt § 83 BDSG auch bei unrechtmäßigen Datenverarbeitungen der Polizeien und Staatsanwaltschaften der Bundesländer zur Anwendung.

§ 83 BDSG sowie Art. 82 DSGVO normieren jeweils einen Schadensersatzanspruch der Verantwortlichen bezüglich materieller und immaterieller Schäden im jeweiligen Anwendungsbereich der Vorschriften. Die Vorschriften konkretisieren damit die allgemeinen Grundsätze auf Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sowie Art. 4 Abs. 4 f. JI-RL. Die Schadensersatzvorschriften sind neben Aufsicht und Bußgeldern ein weiterer Pfeiler, auf denen die praktische Durchsetzung der Schutzvorschriften des geltenden Datenschutzrechts stehen.

Zusammenfassung der Gegenüberstellung

Art. 82 DSGVO und § 83 BDSG unterscheiden sich stark im Wortlaut und Aufbau. Dies liegt an dem eher unkonkreten Umsetzungsvorgaben in Art. 56 JI-RL. § 83 BDSG regelt den Schadensersatz und die Entschädigung in Umsetzung von Art. 56 JI-RL. Eine Begrenzung der Ersatzansprüche der Höhe nach ist nicht vorgesehen. Bei richtlinienkonformer Auslegung umfasst der Schadensbegriff materiellen und immateriellen Schaden und ist gemäß Erwägungsgrund 88 JI-RL weit zu fassen.

Beide Vorschriften sind deliktische Ansprüche, die in Deutschland durch die allgemeinen Regelungen im BGB ergänzt werden, soweit sie selbst keine konkreteren Regelungen treffen. Dies gilt hinsichtlich § 83 BDSG insbesondere für die Gesamtschuld nach §§ 840 Abs. 1 BGB, 420 ff. BGB und die Verjährung gem. § 199 BGB sowie die Übertragbarkeit durch Rechtsgeschäft und Vererbung. Siehe auch Hinweise unten in der Tabelle.

Zu beachten ist, dass die Schadensersatzpflicht nach § 83 Abs. 1 Satz 1 BDSG bei automatisierter Verarbeitung als verschuldensunabhängige Gefährdungshaftung ausgestaltet wurde. Eine Exkulpationsmöglichkeit seitens des Verarbeiters, die die Ersatzpflicht entfallen ließe, ist nämlich nach Satz 2 nur bei nichtautomatisierter Verarbeitung vorgesehen. Dagegen besteht nach Art. 82 Abs. 3 DSGVO eine widerlegliche Vermutung für das Verschulden des Verantwortlichen oder des Auftragsverarbeiters.

Ein wesentlicher Unterschied der Vorschriften ist auch die Haftung der Auftragsverarbeiter. Nach Art. 82 Abs. 4 DSGVO haften Verantwortlicher und Auftragsverarbeiter als Gesamtschuldner. Dies sieht § 83 BDSG nicht vor. Wird die Datenverarbeitung durch einen Auftragsverarbeiter vorgenommen und der Schaden dadurch begründet, muss die betroffene Person ihr Recht auf Schadensersatz nach § 62 Abs. 1 Satz 2 BDSG gegenüber dem Verantwortlichen geltend machen. Warum die betroffene Person im Anwendungsbereich der JI-Richtlinie ihre Ansprüche nicht gegenüber dem Auftragsverarbeiter geltend machen können, erschließt sich mit Blick auf die DSGVO nicht. Sowohl die JI-RL als auch die DSGVO sind anwendbar bei Verantwortlichen, die öffentliche Stellen sind. Im Anwendungsbereich der DSGVO könnte die betroffene Person einen Anspruch auf Schadenersatz gegenüber dem Auftragsverarbeiter geltend machen, wenn der Verantwortliche öffentliche Stelle ist. Im Anwendungsbereich der Richtlinie wäre dies nicht möglich.

Gegenüberstellung der Vorschriften

BDSG n.F.JI-RichtlinieDSGVO
§ 83 – Schadensersatz und EntschädigungArt. 56 – Recht auf SchadenersatzArt. 82 – Haftung und Recht auf Schadenersatz
(1) 1Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet. 2Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen Handlung, die gegen nach Maßgabe dieser Richtlinie erlassenen nationalen Vorschriften verstößt, ein materieller oder immaterieller Schaden entstanden ist, Recht auf Schadenersatz seitens des Verantwortlichen oder jeder sonst nach dem Recht der Mitgliedstaaten zuständigen Stelle hat.(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.  
(2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen. 
(3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche beziehungsweise sein Rechtsträger.(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten
(4) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden. Siehe auch Abs. 1 Satz 2(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
§ 83 BDSG ist ein deliktischer Anspruch, auf den die allgemeinen Regelungen des BGB Anwendung finden. Dies gilt insbesondere für die Gesamtschuld nach §§ 840 Abs. 1 BGB, 420 ff. BGB.(4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
Nach § 426 BGB sind die Gesamtschuldner sind im Verhältnis zueinander zu gleichen Anteilen verpflichtet. Soweit ein Gesamtschuldner den Gläubiger befriedigt und von den übrigen Schuldnern Ausgleichung verlangen kann, geht die Forderung des Gläubigers gegen die übrigen Schuldner auf ihn über.(5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
(5) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende AnwendungArt. 82 DSGVO ist ein eigenständiger zivilrechtlicher Anspruch, der dem allgemeinen Zivilrecht unterliegt, unter anderen den Verjährungsregelungen nach BGB.
Ansprüche aus § 83 sind vor den ordentlichen Gerichten geltend zu machen (vgl. § 40 Abs. 2 S. 1 VwGO).(6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind