Keine Beweislasterleichterung bei DSGVO-Schadensersatz

Urteil

Das OLG Stuttgart hat in seinem Urteil (9 U34/21) vom 31.03.2021 entschieden, dass es auch im Fall eines Schadensersatzanspruchs nach der DSGVO bei den allgemeinen zivilprozessualen Regelungen zur Darlegungs- und Beweislast bleibt. Eine Beweislastumkehr lässt sich nicht auf die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DSGVO stützen.

Was ist passiert?

Aber von Anfang an…

Die Beklagte ist die europäische Tochtergesellschaft eines Anbieters von Zahlungskarten. Sie schloss mit der Klägerin einen Vertrag über ein Bonusprogramm ab, bei dem Kunden durch den Einsatz der Kreditkarte Punkte sammeln und gegen Prämien einlösen konnten. Infolge eines Hackerangriffs Mitte August 2019 wurden personenbezogene Daten der Klägerin von Dritten abgegriffen und im Internet veröffentlicht. Die Klägerin begehrte daraufhin von der Beklagten die Zahlung von Schmerzensgeld gemäß Art. 82 DSGVO. Als Grund für die Haftung der Beklagten nannte die Klägerin zwei Verstöße der Beklagten gegen die DSGVO. Zum einen sei die Beklagte dem Auskunftsbegehren der Klägerin zu spät nachgekommen. Zum anderen habe es die Beklagte versäumt, geeignete und dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz vor Datendiebstählen zu ergreifen. Die Klägerin ist der Ansicht, dass die Beklagte aufgrund der „Garantenpflicht“ in Art. 32 DSGVO und wegen Art. 82 Abs. 3 DSGVO darlegungs- und beweisbelastet ist.

Die Klage wurde vom Landgericht abgewiesen, weshalb die Klägerin Berufung beim OLG Stuttgart einlegte.

Entscheidung des OLG

Das OLG Stuttgart wies die Berufung der Klägerin als unbegründet ab. Ein Verstoß der Beklagten gegen die DSGVO ist laut OLG nicht festzustellen. Vorliegend fehle es bereits an einer, gemäß Art. 82 Abs. 1 DSGVO, erforderlichen Pflichtverletzung seitens der Beklagten. Diese habe weder das Auskunftsersuchen der Klägerin zu spät beantwortet, noch konnte von der Klägerin nachgewiesen werden, dass die Beklagte die Daten nur unzureichend geschützt habe.

„Ein Verstoß gegen die Anforderungen des Art. 32 DS-GVO ist damit nicht erwiesen. Der Senat vermag sich allein aufgrund der klägerseits geäußerten Vermutungen nicht die Überzeugung zu bilden, dass die Beklagte nicht alle im konkreten Fall erforderlichen Sicherheitsvorkehrungen – die nie jede Art von Hackerangriff sicher ausschließen können und nach der gesetzlichen Regelung auch nicht müssen – einhielt. Die Klägerin hat behauptet, dass die Beklagte einen Standard (PCI-DSS) nicht eingehalten habe, für diese bestrittene Behauptung aber keinen Beweis angeboten. Der Hinweis in dem Bericht des Hessischen Beauftragten für Datenschutz legt zwar eine „Sicherheitslücke“ nahe, vermutet diese aber auch nur und enthält gerade keinen Hinweis auf die Nichteinhaltung des o.g. Standards, sondern weist undifferenziert auf „Sicherheitsprobleme“ hin.“

Anspruchsteller muss Anspruchsvoraussetzungen vortragen und nachweisen

Die DSGVO enthält nach Auffassung des Senats keine Bestimmungen zur Beweislast. Somit finde der allgemeine Grundsatz Anwendung, dass der Anspruchsteller die Anspruchsvoraussetzungen vorzutragen und nachzuweisen habe.

„Die DSGVO ändert entgegen der Ansicht der Klägerin nichts daran, dass die Klägerin die Darlegungs- und Beweislast für eine haftungsbegründende Pflichtverletzung der Beklagten trägt.“

Wenn ein Verstoß festgestellt ist, helfe dem Geschädigten hinsichtlich des Verschuldens die Regelung in Art. 82 Abs. 3 DSGVO, wonach der Verantwortliche sich exkulpieren muss.

Keine Beweiserleichterung aufgrund der Rechenschaftspflicht

Die Ansicht, dass die allgemeine Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DSGVO bei letztlich allen Tatbestandsmerkmalen Beachtung finden müsse und es folglich genügt, wenn die betroffene Person Anhaltspunkte für einen Datenschutzverstoß vorträgt überzeuge laut dem Senat so nicht. Denn die DSGVO enthalte kein Beweisrecht. Vielmehr würden die Beweisregeln des jeweiligen nationalen Prozessrechts Anwendung finden.

Die Rechenschaftspflicht aus Art. 5 Abs. 2, 24 Abs. 1 DSGVO beziehe sich lediglich auf die Verantwortlichkeit gegenüber der Behörde. Eine Beweislastumkehr oder Beweiserleichterung könne darauf hingegen nicht gestützt werden. Das deutsche Prozessrecht biete ausreichende Möglichkeiten für eine effektive Rechtsdurchsetzung.

Europarechtlicher Effektivitätsgrundsatz

Der Effektivitätsgrundsatz setzt voraus, dass das nationale Beweisrecht keine unüberbrückbaren Hürden für die Geltendmachung des Anspruchs nach Art. 82 DSGVO vorsieht. Diese Anforderungen seien durch die Grundsätze über die sekundäre Darlegungslast im deutschen Zivilprozessrecht gewahrt.

Handle es sich, wie im Streitfall, um Interna, in die die darlegungs- und beweisbelastete Partei keinen Einblick hat, seien die Grundsätze über die sekundäre Darlegungslast heranzuziehen. Danach hat der Prozessgegner der primär darlegungsbelasteten Partei nähere Angaben zu den internen Abläufen zu machen. Genügt der Anspruchsgegner seiner sekundären Darlegungslast nicht, gilt die Behauptung des Anspruchstellers nach § 138 Abs. 3 ZPO als zugestanden.

Kausalitäterfordernis bei DSGVO-Schadensersatz

Gemäß Art. 82 DSGVO ist des Weiteren Kausalität vorauszusetzen. Auch für die Kausalität seien aus Art. 82 DSGVO oder der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 und 24 Abs. 1 keine Beweislastumkehr im Schadensersatzprozess herzuleiten. Der Anspruch aus Art. 82 DSGVO setze vielmehr voraus, dass ein Verstoß gegen die DSGVO für einen Schaden der betroffenen Person ursächlich geworden sei.

„Auch bezüglich der Kausalität ist aus Art. 82 DS-GVO oder der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 und 24 Abs. 1 keine Beweislastumkehr im Schadenersatzprozess herzuleiten. Die Verordnung bietet keine Grundlage für eine allgemeine, bereichsspezifische Beweiserleichterung. Bezüglich des Nachweises einer Verursachung gilt nichts anderes als für den Nachweis einer objektiven Pflichtverletzung. Die in der Literatur zum Teil für eine Beweislastumkehr oder Beweiserleichterungen vorgebrachten Argumente überzeugen den Senat nicht.“

Eine Verletzung erforderlicher Sicherheitsvorkehrungen durch die Beklagte sei vorliegend nicht für die behauptete Verletzung des Schutzes personenbezogener Daten der Klägerin ursächlich geworden. Die Klägerin habe insoweit nicht nachgewiesen, dass ein behauptetes Unterlassen der Beklagten ursächlich für das Abgreifen der Daten im Rahmen des Hackerangriffs geworden sei. Es genüge insoweit nicht, dass ein etwaiger Schaden auf eine Verarbeitung personenbezogener Daten zurückzuführen sei, in deren Rahmen es zu einem Rechtsverstoß gekommen ist.

„Im Streitfall ist eine Kausalität einer – unterstellten – Pflichtverletzung durch unterlassene Anwendung des „PCI-DSS“-Standards nicht erwiesen. Die Klägerin hat dazu, mittels welcher Attacke die Hacker die Daten abgriffen, nichts vorgetragen. Insoweit helfen ihr die Grundsätze der sekundären Darlegungslast nicht weiter. Sie hat schon nicht behauptet, dass die Beklagte Einzelheiten dazu, wie die Hacker konkret vorgegangen sind und wie sie sich einen Eintritt schaffen konnten, wusste oder wissen musste. Es liegt auch nicht auf der Hand, dass das datenverarbeitende Unternehmen stets den Grund und die Funktionsweise der inkriminierten Handlung exakt ermittelt oder ermitteln kann.“

Revision wurde zugelassen

Das OLG hat die Revision zum BGH zugelassen, da der Rechtssache grundsätzliche Bedeutung zukomme.

Welche Auswirkungen hat diese Entscheidung?

Das OLG Stuttgart bringt mit seiner Entscheidung deutlich zum Ausdruck, dass die allgemeinen Grundsätze der Darlegungs- und Beweislast auch in Verfahren wegen Schadensersatz nach Art. 82 DSGVO gelten. Dies dürfte erhebliche Auswirkungen für die Geltendmachung von immateriellen Schadensersatz nach Art. 82 DSGVO vor deutschen Gerichten haben. Zudem ist es aufgrund der Revisionszulassung nur noch eine Frage der Zeit bis sich der Bundesgerichtshof mit den Voraussetzungen von Art. 82 DSGVO befassen wird.

Für Unternehmen zeigt das Urteil, dass sie, um einer sekundären Darlegungslast bei Bedarf im Streitfall nachzukommen, auf eine umfassende Dokumentation der Maßnahmen zur Erfüllung datenschutzrechtlicher Vorgaben achten sollten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.