Читать книгу Datenschutz für Unternehmen - Ricarda Kreindl - Страница 50

Art 81 Abs 1 DSGVO stellt als haftungsbegründendes Element auf einen Schaden, der „wegen“ eines Verstoßes gegen die DSGVO entstanden ist, ab. Diese Formulierung legt die Wertung nahe, dass es sich bei Art 82 DSGVO um eine Gefährdungshaftung, die ihrer Rechtsnatur nach verschuldensunabhängig ausgestaltet ist, handeln könnte. Allerdings eröffnet Art 82 Abs 3 DSGVO dem Schädiger die Möglichkeit, sich bei Nachweis der „Nichtverantwortlichkeit“ von der Haftung zu befreien. Somit stellt sich die Frage, ob es sich bei Art 82 DSGVO um eine Gefährdungshaftung (mit Entlastungsmöglichkeit) oder um eine Verschuldenshaftung (mit Beweislastumkehr)[105] handelt. Jedenfalls ist die weite Formulierung von Art 82 Abs 3 DSGVO („in keinerlei Hinsicht“) nicht glücklich gewählt, eröffnet sie doch tendenziell die Überlegung, dass sich die „Beweislastumkehr“ nicht (nur) auf die „Nichtverantwortlichkeit“ im Sinne eines Verschuldens, sondern auch auf andere Zurechnungskriterien beziehen könnte.[106]

Einer Lösung des Problems dürfte man sich am besten nähern, wenn man die „(Nicht-)Verantwortlichkeit“ iSv Art 82 Abs 3 DSGVO nicht (nur) als das Ergebnis einer subjektiven Zurechnung der (objektiv rechtswidrigen) Datenverarbeitung iSv Art 4 Z 7 iVm Art 5 Abs 2 DSGVO begreift. Vielmehr dürfte, wie auch Frenzel formuliert, eine unglückliche Doppelung von Begrifflichkeiten vorliegen:[107]

Nach Art 82 DSGVO soll die bloße Beteiligung an einer (rechtswidrigen) Datenverarbeitung ausreichen, um haften zu müssen. Derjenige jedoch, der nachweist, dass er seine der DSGVO entspringenden Verpflichtungen vollumfänglich erfüllt hat, soll von der Haftung entlastet werden.[108] Die Haftung nach Art 82 DSGVO soll aber auch nicht dazu führen, dass an der Datenverarbeitung gar nicht Beteiligte in eine Nachweispflicht dafür verstrickt werden, dass sie nicht verantwortlich iSv „nicht beteiligt“ sind.[109] Die Haftung bleibt im Grundsatz zu Gunsten der betroffenen Personen jedoch sehr strikt: Sie sollen davon entlastet werden, Zusammenhänge nachweisen zu müssen, die ggf. ihre Ursache in für sie gar nicht erkennbaren Verhältnissen der Verantwortlichen haben.[110]

Ein Verantwortlicher wird sich demgemäß erfolgreich auf Art 82 Abs 3 DSGVO berufen können, wenn die Verletzung auf einen unberechtigten Zugriff Dritter auf (personenbezogene) Daten beruht, er jedoch nachzuweisen vermag, dass er als Verantwortlicher entsprechend der DSGVO alle erforderlichen Sicherungsmaßnahmen ergriffen hat.[111] Nutzen hingegen Dritte bereits erkannte oder erkennbare Angriffswege, um auf Daten zuzugreifen, wird der Verantwortliche seine Nichtverantwortlichkeit nicht nachweisen können.[112] Dasselbe wird gelten, wenn die eigenen Mitarbeiter unberechtigt auf (personenbezogene) Daten zugriffen.[113]

Selbst unter der Annahme, dass mit Art 82 DSGVO eine Gefährdungshaftung mit Entlastungsmöglichkeit statuiert wurde, wäre dies nicht zwangsläufig mit einer Entkoppelung von der Frage der Vorwerfbarkeit eines menschlichen Verhaltens verbunden; die Frage der Vorwerfbarkeit würde sich primär auf eine andere Ebene, nämlich auf die der Beweislast, verlagern.