Diese Diplomarbeit soll sich mit der Haftung bei Verstößen gegen den Datenschutz und die Datensicherheit beschäftigen. Ziel ist ein Überblick über die möglichen Schadensersatzansprüche des Geschädigten, und die Ermittlung des jeweiligen Anspruchsgegners des Geschädigten. Die Arbeit ist in zwei Teile gegliedert, einen theoretischen und einen praktischen. Im theoretischen Teil wird zunächst auf die Grundlagen des Datenschutzrechtes eingegangen und im weiteren einen Einblick in die Zuständigkeit für den Datenschutz geben.
Im Hauptteil wird auf die Möglichkeiten der Haftung eingegangen. Aufgezeigt werden dabei die unterschiedlichen Arten der Haftung. Es wird auf die verschiedenen Anspruchsgrundlagen des Geschädigten gegenüber den Verantwortlichen und der Verantwortlichen untereinander eingehen. Im folgenden Teil wird kurz auf die datenschutzrechtliche Situation der Kontrollen der Telekommunikation am Arbeitsplatz eingegangen, insbesondere darauf, welche Möglichkeiten dem Arbeitgeber dabei zur Verfügung stehen und welche Grenzen er dabei nicht überschreiten darf. Im letzten Abschnitt des theoretischen Teils wird auf die Datensicherheit sowie auf die Folgen Ihrer Nichtbeachtung eingegangen und die Messbarkeit der Sicherheit. Im praktischen Teil der Arbeit werden die Themenpunkte des theoretischen Teils auf die Praxis angewandt. Dies wird durch die Auswertung einer selbsterstellten Umfrage geschehen. Es wurden dabei verschiedene Unternehmen zu verschiedenen Punkten des Datenschutzes befragt. [...]
Inhaltsverzeichnis
Diagrammverzeichnis
Abkürzungsverzeichnis
1. Inhalt und Ziel der Arbeit
2. Grundlagen Datenschutz - Bundesdatenschutzgesetz
2.1. Historische Entwicklung
2.2. Zweck
2.3. Aufbau
2.4. Begriffbestimmungen
2.4.1. Öffentliche Stellen
2.4.2. Nicht-öffentliche Stellen
2.5. Anwendungsbereich
2.5.1. Sachlicher Anwendungsbereich
2.5.2. Persönlicher Anwendungsbereich / Normadressat
2.6. Tragende Grundsätze
2.6.1. Verbotsprinzip mit Erlaubnisvorbehalt
2.6.2. Grundsatz der Zweckbindung
2.6.3. Grundsatz der Verhältnismäßigkeit
2.6.4. Datenvermeidung und Datensparsamkeit
2.6.5. Grundsatz der Transparenz
3. Verantwortlicher für den Datenschutz
3.1. Bestellung
3.1.1. Fachkunde
3.1.2. Zuverlässigkeit
3.1.3. Mehrfachbestellung
3.2. Stellung und Befugnisse
3.2.1. Stellung in der Hierarchie
3.2.2. Benachteiligungsverbot
3.2.3. Unterstützungspflicht der verantwortlichen Stelle
3.3. Aufgaben
3.3.1. Beratung und Mitwirkung
3.3.2. Kontrolle
3.3.3. Vorabkontrolle
3.3.4. Schulung
3.3.5. Verfahrensverzeichnis
3.4. Widerruf
3.5. Einsatz externer DSB
3.6. Aufsichtsbehörden
4. Haftung bei unsicheren IT-Systemen
4.1. Ansprüche der verantwortlichen Stelle gegenüber dem DSB
4.1.1. vertragliche Ansprüche
4.1.1.1. Schadensersatz wegen Nichterfüllung
4.1.1.2. Schadensersatz wegen Schlechterfüllung - § 280 Abs. 1 BGB
4.1.2. deliktische Ansprüche
4.1.2.1. Verletzung des allg. Persönlichkeitsrechts - § 823 Abs. 1 BGB
4.1.2.2. Verstoß gg. im BDSG enthaltene Schutznormen - § 823 Abs. 2 BGB
4.2. Ansprüche des Betroffenen gegenüber dem DSB
4.2.1. vertragliche Ansprüche
4.2.2. deliktische Ansprüche
4.2.2.2. Verstoß gg. im BDSG enthaltene Schutznormen - § 823 Abs. 2 BGB
4.2.2.3. Kreditgefährdung durch Verstoß gegen die Verschwiegenheit durch Verbreitung unwahrer Tatsachen - § 824 BGB
4.2.2.4. Verstoß gegen die Verschwiegenheit durch sittenwidrige vorsätzliche Schädigung - § 826 BGB
4.2.2.5. Amtshaftung § 839 Abs. 1 BGB i.V.m. Art. 34 GG
4.2.2.6. Eigenhaftung des Beamten § 839 Abs.1 S. 1 BGB
4.3. Ansprüche des Betroffenen gegenüber der verantwortlichen Stelle
4.3.1. dingliche Ansprüche
4.3.2. vertragliche Ansprüche
4.3.3. deliktische Ansprüche
4.3.3.1. Ansprüche aus § 7 BDSG
4.3.3.2. Ansprüche aus § 8 BDSG
4.3.3.3. Ansprüche aus § 823 Abs. 1 BGB
4.3.3.4. Ansprüche aus §§ 823 Abs. 2, 824, 826 BGB
4.4. Ordnungswidrigkeiten und Strafvorschriften
4.4.1. Ordnungswidrigkeiten
4.4.2. Strafvorschriften
5. Einsatz von Kommunikationsmitteln im Arbeitsverhältnis
5.1. Telekommunikationsgesetz, Teledienstegesetz und Teledienstedatenschutzgesetz
5.2. Telefon
5.2.1. Private und dienstliche Nutzung
5.2.2. Kontrollmöglichkeiten und deren Grenzen
5.2.2.1. Kontrolle dienstlicher Gespräche
5.2.2.2. Kontrolle von privaten Gesprächen
5.3. E-Mail
5.3.1. Private und dienstliche Nutzung
5.3.2. Kontrollmöglichkeiten und deren Grenzen
5.3.2.1. Kontrolle dienstlicher E-Mail
5.3.2.2. Kontrolle privater E-Mail
5.4. Internet
5.4.2. Kontrollmöglichkeiten und deren Grenzen
5.4.2.1. Kontrolle der dienstlichen Internet-Nutzung
5.4.2.2. Kontrolle der zulässigen privaten Internet-Nutzung
6. Sicherheitspolitik
6.1. Datensicherheit
6.1.1. Allgemeines
6.1.2. Anlage zu § 9 BDSG
6.2. Messbarkeit der Sicherheit / Return of Security Investment (RoSI)
6.3. Wirtschaftskriminalität
7. Auswertung des Fragebogens
8. Schlusswort
Ehrenwörtliche Erklärung
Literaturverzeichnis
Internetquellen
Anlage I - Fragebogen
Diagrammverzeichnis
Diagramm 1: Anzahl der verschickten Fragebögen
Diagramm 2: Anzahl der beschäftigten MA
Diagramm 3: Branchenzugehörigkeit der Unternehmen
Diagramm 4: Existenz ausländischer Niederlassungen
Diagramm 5: Standorte ausländischer Niederlassungen
Diagramm 6: Arten der personenbezogenen Datenverarbeitung
Diagramm 7: Anzahl der mit personenbezogenen Daten beschäftigten MA
Diagramm 8: Existenz unternehmerischer Stellen
Diagramm 9: Nutzung der Kommunikationsmittel
Diagramm 10: Überwachung der Kommunikation
Diagramm 11: Arten der Kontrollmaßnahmen
Diagramm 12: Existenz eines Back - up - Systems
Diagramm 13: Wie oft wird eine Sicherung durchgeführt?
Diagramm 14: Wo werden die Sicherungen aufbewahrt
Diagramm 15: Regelmäßige Schulung der MA
Diagramm 16: Sensibilisierung der Führungskräfte
Diagramm 17: Auskunftsersuchen im letzten Jahr
Diagramm 18: Kontrolle auf das Datengeheimnis
Diagramm 19: Unmittelbare Unterstellung
Diagramm 20: weitere Tätigkeit des DSB
Diagramm 21: Unterstellung in der Hierarchie
Diagramm 22: Teilnahmen an Datenschutzseminaren
Diagramm 23: Funktion mit Datenverantwortung
Diagramm 24: Wahrnehmung der Tätigkeit als DSB
Diagramm 25: Jährliches Budget
Diagramm 26: Beurteilung des Budget
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1. Inhalt und Ziel der Arbeit
Diese Diplomarbeit soll sich mit der Haftung bei Verstößen gegen den Datenschutz und die Datensicherheit beschäftigen. Ziel ist ein Überblick über die möglichen Schadensersatzansprüche des Geschädigten, und die Ermittlung des jeweiligen Anspruchsgegners des Geschädigten.
Die Arbeit ist in zwei Teile gegliedert, einen theoretischen und einen praktischen.
Im theoretischen Teil wird zunächst auf die Grundlagen des Datenschutzrechtes eingegangen und im weiteren einen Einblick in die Zuständigkeit für den Datenschutz geben.
Im Hauptteil wird auf die Möglichkeiten der Haftung eingegangen. Aufgezeigt werden dabei die unterschiedlichen Arten der Haftung. Es wird auf die verschiedenen Anspruchsgrundlagen des Geschädigten gegenüber den Verantwortlichen und der Verantwortlichen untereinander eingehen.
Im folgenden Teil wird kurz auf die datenschutzrechtliche Situation der Kontrollen der Telekommunikation am Arbeitsplatz eingegangen, insbesondere darauf, welche Möglichkeiten dem Arbeitgeber dabei zur Verfügung stehen und welche Grenzen er dabei nicht überschreiten darf.
Im letzten Abschnitt des theoretischen Teils wird auf die Datensicherheit sowie auf die Folgen Ihrer Nichtbeachtung eingegangen und die Messbarkeit der Sicherheit.
Im praktischen Teil der Arbeit werden die Themenpunkte des theoretischen Teils auf die Praxis angewandt. Dies wird durch die Auswertung einer selbsterstellten Umfrage geschehen. Es wurden dabei verschiedene Unternehmen zu verschiedenen Punkten des Datenschutzes befragt.
2. Grundlagen Datenschutz - Bundesdatenschutzgesetz
Datenschutz bezieht sich – entgegen dem allgemeinen Sprachgebrauch – nicht auf den Schutz der Daten, sondern seit jeher auf den Schutz der Persönlichkeit dessen, auf den die Daten sich beziehen.
2.1. Historische Entwicklung
Die Grundidee des Datenschutzes existiert schon seit über 2.400 Jahren, als der Eid des Hippokrates die ärztliche Schweigepflicht erstmals festlegte. Bereits zur Zeit des Römischen Imperiums wurden von allen mündigen Bürgern persönliche Daten über Familien- und Vermögensverhältnisse erhoben, um in diesem Zusammenhang die Steuern der Bürger zu errechnen.
Wie man erkennt, gibt es schon seit langem Datenerhebung und -verarbeitung durch den Staat. Volkszählungen sind wohl die größten gleichzeitigen Datenerhebungen die es gibt. So wurde 1890 bei der Volkszählung in den USA zum ersten Mal eine Maschine zur Auswertung genutzt. Durch diese erste automatisierte Datenverarbeitung konnte die Auswertung der Erhebung in nur vier Wochen mit gerade einmal 50 MA geschafft werden. Bei der Erhebung 1880 brauchte man noch sieben Jahre und 500 MA, um die erhobenen Daten auszuwerten.[1]
Durch den zunehmenden Einsatz elektronischer Datenverarbeitung und den damit verbundenen Gefahren wurde 1970 das 1. Hessische Datenschutzgesetz, das erste Datenschutzgesetz der Welt, verkündet. Somit begann die Geschichte der Datenschutzgesetzgebung.[2] Am 1. Februar 1977 wurde das erste Bundesdatenschutzgesetz (BDSG) im Bundesgesetzblatt verkündet.[3] Dieses Gesetz sollte die Interessen des Betroffenen bei Speicherung, Übermittlung, Veränderung und Löschung (Datenverarbeitung) personenbezogener Daten schützen. Es wurde mit dieser ersten Regelung nur die Datenverarbeitung erfasst, also das, was mit den erhobenen Daten passiert, aber nicht die Erhebung der Daten selbst. Dieser Fehler wurde bei der geplanten Volkszählung 1983 offensichtlich. Durch eine Verfassungsbeschwerde und dem daraus entstandenen „Volkszählungsurteil"[4] hat das Bundesverfassungsgericht mit seiner Leitentscheidung festgestellt, dass das durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs.1 GG geschützte allgemeine Persönlichkeitsrecht auch die „Befugnis des einzelnen, grundsätzlich zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“[5], umfasst. Im Jahre 2001 wurde die „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“[6] des Europäischen Parlamentes vom 24. Oktober 1995 in deutsches Recht umgesetzt.
2.2. Zweck
Das BDSG ist ein "Querschnittsgesetz" und enthält, abgesehen von einigen Sondervorschriften, keine Regelungen für bestimmte Lebensbereiche.[7] Das Gesetz umschreibt seine Zweckbestimmung in § 1 Abs. 1 BDSG wie folgt: „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ Es ist der Schutz des Grundrechts auf Datenschutz gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG.[8] Es sollen die personenbezogenen Daten, unabhängig von ihrer Staatsangehörigkeit und ihrem Aufenthaltsort, geschützt werden. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.[9] Das BDSG gilt nicht für Daten juristischer Personen, wie z.B. einer AG oder eines eingetragenen Vereins. Kann man die Daten einer juristischen Person jedoch genau einer natürlichen Person, z.B. einer Ich-AG oder Ein-Mann-GmbH, zuordnen, so handelt es sich auch hier um personenbezogene Daten, die durch das BDSG geschützt werden.[10] Das BDSG gilt jedoch nur subsidiär neben anderen Rechtsvorschriften des Bundes und der Länder gem. § 1 Abs. 3 BDSG. Es dient daher als Auffanggesetz.
2.3. Aufbau
Das BDSG gliedert sich in sechs Abschnitte.
Erster Abschnitt: Allgemeine und Gemeinsame Bestimmungen
(§§ 1 – 11 BDSG)
Inhaltlich regelt dieser Bereich, ebenso wie der Allgemeine Teil des BGB, Regelungen, die für den restlichen Teil des Gesetzes verbindlich sind. Er enthält neben zahlreichen Begriffbestimmungen auch das Verbotsprinzip (siehe 2.6.1.) als Grundsatz der Datenerhebung, -verarbeitung und -nutzung.
Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen
(§§ 12 – 26 BDSG)
Hier finden sich die Voraussetzungen der Datenverarbeitung durch öffentliche Stellen. Auch die Individualrechte des Betroffenen und die Rechtsstellung des Bundesbeauftragten für den Datenschutz (BfD) werden geregelt.
Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen
(§§ 27 – 38a BDSG)
Dieser Abschnitt betrifft die Rechtsgrundlagen des Datenschutzes im nicht-öffentlichen Bereich, die Informationsrechte des Betroffenen, sowie Informationen über die Einrichtung und Kompetenz der Aufsichtsbehörden.
Vierter Abschnitt: Sondervorschriften
(§§ 39 – 42 BDSG)
An dieser Stelle sind Sondervorschriften für vier Fälle zu finden:
die Zweckbindung bei einem verlängerten Geheimnisschutz bei Übermittlung der Daten an Dritte
bei Verarbeitung und Nutzung personenbezogener Daten durch Forschungsinstitute
Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien und
die Bestellung eines DSB der Deutschen Welle
Fünfter Abschnitt: Schlussvorschriften
(§§ 43 – 44 BDSG)
In diesem Abschnitt werden die strafrechtlichen Sanktionen oder Bußgelder bei Gesetzesverstößen geregelt. Aber auch wer die strafrechtliche Verfolgung veranlassen darf, ist hier fixiert.
Sechster Abschnitt: Übergangsvorschriften
(§§ 45 – 46 BDSG)
Abschließende Regelungen für den Anpassungszeitraum werden in diesem letzten Abschnitt getroffen für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die bei in-Kraft-treten des Gesetzes bereits begonnen haben.
2.4. Begriffbestimmungen
2.4.1. Öffentliche Stellen
Öffentliche Stellen des Bundes sind gem. § 2 Abs. 1 BDSG Behörden, Organe der Rechtspflege und andere öffentlich-rechtliche Einrichtungen. Dies sind alle Einrichtungen der unmittelbaren Bundesverwaltung, der mittelbaren Bundesverwaltung sowie Vereinigungen von öffentlichen Stellen des Bundes. Unter den Einrichtungen der unmittelbaren Bundesverwaltung sollen alle Einrichtungen des Bundes gesehen werden, die unmittelbar beim Bund bestehen, ohne über eine eigene Rechtsfähigkeit zu verfügen. Hierzu zählen insbesondere die Behörden des Bundes. Zu den mittelbaren Einrichtungen der Bundesverwaltung sind die selbständigen Einrichtungen mit eigener Rechtsfähigkeit zu verstehen. Hierbei handelt es sich um juristische Personen des öffentlichen Rechts, z.B Körperschaften (u.a. die Berufsgenossenschaften und die Bundesversicherungsanstalt für Angestellte), Anstalten (z.B. Fachhochschulen als Anstalten des öffentlichen Rechts) und Stiftungen (z.B. Stiftung Warentest). Die Vereinigungen von öffentlichen Stellen des Bundes, ungeachtet ihrer Rechtsform, an denen die Länder oder nicht-öffentliche Stellen nicht beteiligt sind, gelten als öffentliche Stellen.
Ebenfalls zählen zu den öffentlichen Stellen die öffentlichen Stellen der Länder gem. § 2 Abs. 2 BDSG, aber nur soweit für diese Stellen nicht die jeweiligen Landesdatenschutzgesetze gem. § 1 Abs. 2 Nr. 2 BDSG gelten. Da es sich bei den öffentlichen Stellen der Länder um die gleichen Behörden, Organe der Rechtspflege und andere öffentlich-rechtliche Einrichtungen des Bundes handelt, wird hier auf den oberen Abschnitt verwiesen.[11]
Des Weiteren zählen zu den öffentlichen Stellen Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, z.B. „Der Verband deutscher Rentenversicherungsträger e.V.“. Bei solchen Mischvereinigungen regelt § 2 Abs. 3 BDSG, unter welchen Voraussetzungen diese Vereinigungen als Stellen des Bundes oder der Länder gesehen werden. Diese Sonderregelung ist immer dann anzuwenden, wenn Stellen des Bundes und eines Bundeslandes an einer Vereinigung des privaten Rechts beteiligt sind. In diesen Fällen ist es unerheblich, dass auch andere natürliche oder juristische Personen an dieser Vereinigung beteiligt sein können.[12]
2.4.2. Nicht-öffentliche Stellen
Nicht-öffentliche Stellen sind natürliche und juristische Personen des Privatrechts, Gesellschaften und andere Personenvereinigungen des privaten Rechts. Zu den natürlichen Personen werden auch freiberuflich Tätige gezählt. Bei juristischen Personen des Privatrechts werden ebenfalls eingetragene Vereine gem. § 21 BGB hinzugezählt. Dies sind z.B. Gewerkschaften, aber auch politische Parteien.
Zu den nicht-öffentliche Stellen sind alle natürlichen Personen und Personenmehrheiten zu zählen, ungeachtet ihrer möglichen wirtschaftlichen Verbundenheit, z.B. im Konzernverbund. Rechtlich unselbständige Stellen, z.B. Niederlassungen, gehören rechtlich grundsätzlich zum Unternehmen. Auch nicht-öffentliche Stellen werden als öffentliche Stellen angesehen, wenn diese hoheitliche Aufgaben der Verwaltung übernehmen.[13]
2.5. Anwendungsbereich
2.5.1. Sachlicher Anwendungsbereich
Der sachliche Anwendungsbereich des BDSG ist geregelt durch den „Umgang“[14] mit personenbezogenen Daten. Dieser „Umgang“ ist ein Oberbegriff für die Phasen des Erhebens, Speicherns, Veränderns, Übermittelns, Sperrens, Löschens und Nutzens personenbezogener Daten in Akten und Dateien.
2.5.2. Persönlicher Anwendungsbereich / Normadressat
Normadressaten des BDSG sind Verarbeiter und Nutzer personenbezogener Daten. Hierzu zählen zum einen öffentliche Stellen des Bundes und der Länder, soweit bei diesen der Datenschutz nicht durch Landesgesetze geregelt ist, zum anderen nicht-öffentliche Stellen.[15] Bei einer Verarbeitung und Nutzung personenbezogener Daten im Bereich der privaten Datenverarbeitung findet das BDSG keine Anwendung, wenn die personenbezogenen Daten „ausschließlich für persönliche und familiäre Tätigkeiten“ genutzt werden.[16]
2.5.3. Räumlicher Anwendungsbereich
Hat eine verantwortliche Stelle ihren Sitz in der Europäischen Union bzw. im Europäischen Wirtschaftsraum, so gilt grundsätzlich das Sitz(land)prinzip. Der Sitz der verantwortlichen Stelle ist somit maßgebend für das anzuwendende nationale Recht. Befindet sich der Sitz einer Firma beispielsweise in Schweden, so kann diese Firma ihr schwedisches Recht bei der Datenverarbeitung nach Deutschland exportieren. Dies gilt auch für deutsche Stellen. Bei deutschen öffentlichen Stellen, z.B. Diplomatischen Vertretungen in anderen Staaten, gilt ebenfalls das BDSG.[17]
Gibt es aber eine Niederlassung der verantwortlichen Stelle in Deutschland, so gilt grundsätzlich das Territorialprinzip, d. h. es gilt das deutsche BDSG. Das Territorialprinzip gilt ebenso für Stellen, die ihren Sitz in einem Nicht-EU-Staat haben.[18] Bei einem Transit der Daten eines Drittlandes durch Deutschland findet das BDSG keine Anwendung.[19]
2.6. Tragende Grundsätze
2.6.1. Verbotsprinzip mit Erlaubnisvorbehalt
§ 4 Abs. 1 BDSG enthält den wesentlichen Grundsatz des deutschen Datenschutzrechtes. Dieser Grundsatz des Verbots mit Erlaubnisvorbehalt besagt, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist. Sie ist nur solange erlaubt, wie es einen gesetzlichen Rechtfertigungstatbestand gibt, sei es durch das BDSG oder eine andere Rechtsvorschrift, oder wem der Betroffene seine Einwilligung gegeben hat.[20]
2.6.2. Grundsatz der Zweckbindung
Das BDSG sieht vor, dass personenbezogene Daten nur dann erhoben, verarbeitet und genutzt werden dürfen, soweit dies erforderlich ist. Der Grundsatz der Zweckbindung[21] besagt, dass diese personenbezogenen Daten nur für den eindeutig konkret festgelegten Zweck, für den sie erhoben wurden, verarbeitet und genutzt werden dürfen. Bei öffentlichen Stellen dürfen gem. § 14 BDSG personenbezogene Daten verarbeitet und genutzt werden, wenn sie zur jeweiligen Aufgabenerfüllung der öffentlichen Stelle erforderlich sind. Nicht-öffentliche Stellen müssen bereits vor Erhebung der personenbezogenen Daten den konkreten Zweck, für den die Daten verarbeitet und genutzt werden sollen, gem. § 28 Abs. 1 S. 2 BDSG, festlegen.
Eine Zweckentfremdung der personenbezogenen Daten ist grundsätzlich verboten. Eine Zweckänderung ist unter bestimmten Voraussetzungen jedoch möglich.[22] [23]
2.6.3. Grundsatz der Verhältnismäßigkeit
Das verfassungsgemäße gesetzliche Grundrecht auf informelle Selbstbestimmung kann zwangsläufig nicht schrankenlos gewährt werden.[24]
Einschränkungen des Verbotsprinzips bedürfen einer verfassungsgemäßen rechtlichen Grundlage. Eine Vielzahl der Erlaubnistatbestände ist unter den Vorbehalt gestellt, dass das berechtigte Interesse der verantwortlichen Stelle dem schutzwürdigen Interesse des Betroffenen überwiegt. Dabei ist zu beachten, dass hierbei die verfassungsrechtliche Verhältnismäßigkeit beachtet wird. Diese Verhältnismäßigkeit besagt, dass jedes Handeln im Hinblick auf den zu verfolgenden Zweck geeignet, erforderlich und angemessen sein muss.[25] Rechtsgrundlage des Verhältnismäßigkeitsgrundsatzes ist das in Art. 20 Abs. 3 GG verankerte Rechtsstaatsprinzip.[26]
2.6.4. Datenvermeidung und Datensparsamkeit
Der Grundsatz der Verhältnismäßigkeit besagt, dass jedes Handeln geeignet, erforderlich und angemessen sein muss. Das trifft auch auf die technische Gestaltung der Datenverarbeitungssysteme zu. In § 3 a BDSG wird dies durch den Grundsatz der Datenvermeidung und Datensparsamkeit konkretisiert. Bei der Gestaltung und der Auswahl von Datenverarbeitungssystemen sind diese gemäß § 3 a BDSG daran auszurichten, keine (Datenvermeidung) oder so wenig personenbezogene Daten wie möglich (Datensparsamkeit) zu erheben, zu verarbeiten oder zu nutzen. Dadurch soll das Risiko der Gefahren für das informelle Selbstbestimmungsrecht des Betroffenen von vornherein minimiert werden. Dies soll z.B. durch Anonymisierung[27] oder Pseudonymisierung[28] der personenbezogenen Daten durch den Einsatz der technischen Möglichkeiten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck erfolgen.[29]
2.6.5. Grundsatz der Transparenz
Eine Verarbeitung personenbezogener Daten des Betroffenen darf nicht ohne sein Wissen erfolgen. Dies gehört zu den datenschutzrechtlichen Grundprinzipien. Bereits in der Europäischen Datenschutzkonvention muss die Datenerhebung nach Treu und Glauben in rechtmäßiger Weise erfolgen.[30] Dies beinhaltet, dass der Betroffene grundsätzlich über die ihn betreffende Datenverarbeitung und -nutzung informiert wird. Durch diesen Grundsatz der Transparenz kann der Betroffene selbst über seine persönlichen Angaben bestimmen und somit sein Recht zur Wahrung des Persönlichkeitsschutzes wahrnehmen. Der Betroffene soll die Möglichkeit haben, ab dem Zeitpunkt der Erhebung über den Zeitraum der Verarbeitung und Nutzung, Informationen über seine Daten zu bekommen. Dieses Prinzip findet vor allem im Grundsatz der Direkterhebung[31] und den damit verbundenen Unterrichtungspflichten Anwendung. Darüber hinaus gewährleistet das Datenschutzrecht die Transparenz durch Benachrichtigungs- und Auskunftspflichten.[32] [33]
3. Verantwortlicher für den Datenschutz
Die Verantwortung für die ordnungsgemäße Durchführung der nach dem Gesetz notwendigen Datenschutzmaßnahmen obliegt der Leitung der verantwortlichen Stelle. Dies bedeutet, dass der Behördenleiter bei den öffentlichen Stellen bzw. der Unternehmensinhaber oder die Leitung der juristischen Person bei nicht-öffentlichen Stellen als erstes für den Datenschutz verantwortlich ist. Ihnen obliegt die Aufgabe, für ihre öffentliche oder nicht-öffentliche Stelle, die eine automatisierte Erhebung, Verarbeitung und Nutzung personenbezogener Daten durchführt, gemäß § 4 f Abs. 1 S. 1 BDSG einen Beauftragten für Datenschutz schriftlich zu bestellen.
Für den bestellten Beauftragten für Datenschutz bei nicht-öffentlichen Stellen hat sich die Bezeichnung "betrieblicher Datenschutzbeauftragter" (bDSB) etabliert. Ziel des Gesetzgebers ist es, durch den gesetzlichen Schutz des informellen Selbstbestimmungsrechts eine hohe Effektivität zu gewährleisten. Dieses Ziel erreicht der Gesetzgeber durch eine Mischung aus Eigen- und Fremdkontrolle.
3.1. Bestellung
Bei öffentlichen Stellen, die personenbezogene Daten automatisiert verarbeiten, im Gegensatz zu öffentlichen Stellen die personenbezogene Daten nicht automatisiert verarbeiten und nicht-öffentlichen Stellen, ist die Bestellung eines DSB verpflichtend. Dies hat unabhängig von der Zahl der Beschäftigten zu geschehen. Bei nicht-öffentlichen Stellen ist grundsätzlich auch ein DSB zu bestellen. Jedoch sieht das Gesetz hier eine Abstufung der Anforderungen vor. Diese Anforderungen können in drei Kriterien unterteilt werden:
der Verarbeitungsform (manuell oder automatisiert)
der Bedeutung der Verarbeitungsaktivitäten (bei besonderen Gefährdungen für das Persönlichkeitsrecht)
der Anzahl der bei der Verarbeitung beschäftigten Personen.
Daraus ergibt sich, dass, wenn eine nicht-öffentliche Stelle mit der automatisierten Datenverarbeitung mindestens 5 Arbeitnehmer, oder bei manueller Datenverarbeitung mindestens 20 Arbeitnehmer beschäftigt, eine Bestellpflicht besteht.[34] Es entfallen jedoch diese Mindestvorschriften, wenn aus der Art der zu verarbeitenden Daten bzw. dem Verwendungszweck besondere Gefährdungen des Persönlichkeitsrechts des Betroffenen zu befürchten sind. Dies ist gem. § 4 f Abs. 1 S. 6 BDSG der Fall, wenn eine nicht-öffentliche Stelle automatisierte Verarbeitungen vornimmt, die einer Vorabkontrolle[35] unterliegen. Zum anderen besteht ebenfalls eine Bestellpflicht, unabhängig von der Zahl der Beschäftigten, für Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zwecke der personenbezogenen oder auch nur anonymisierter Übermittlung erheben, verarbeiten oder nutzen.[36]
Die Bestellung des DSB muss schriftlich erfolgen[37], wobei auch Aufgabe und organisatorische Stellung zu konkretisieren sind. Die Schriftform ist rechtsbegründend. Fehlt es an einer schriftlichen Vereinbarung ist die Bestellung unwirksam und die verantwortliche Stelle ist der Verpflichtung aus § 4 f Abs. 1 BDSG nicht nachgekommen. Ihr droht daher ein Bußgeld[38], unter Umständen auch eine Schadensersatzpflicht.[39] Die Bestellung des DSB hat bei öffentlichen Stellen, die automatisiert personenbezogene Daten verarbeiten, spätestens bei Beginn der Verarbeitung zu geschehen. Öffentliche Stellen, die nicht automatisiert personenbezogene Daten verarbeiten, und nicht-öffentliche Stellen sind zur Bestellung eines DSB spätestens einen Monat nach Aufnahme ihrer Tätigkeit verpflichtet, oder unverzüglich nach Eintritt der Voraussetzungen für die Bestellpflicht.
Anforderungen zur Bestellung des DSB sind gemäß § 4 f Abs. 2 BDSG, dass der zu Bestellende die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Ein festes Anforderungsprofil gibt es nicht.
3.1.1. Fachkunde
Die geforderte Fachkunde lässt sich in drei Teile untergliedern in rechtliche, technische und organisatorische Kenntnisse.
Die rechtlichen Kenntnisse basieren auf der Aufgabenstellung gem. § 4 g Abs. 1 S.1 BDSG. Demnach muss der DSB auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinaus hinwirken. Dies bedeutet, der DSB muss grundsätzlich Kenntnisse über das Datenschutzrecht, insbesondere bei öffentlichen Stellen über die jeweiligen LDSG, aber auch über einschlägige spezielle datenschutzrechtliche Regelungen und Spezialvorschriften haben.[40] Er muss neben diesen Kenntnissen aber auch Kenntnisse über weiterführende Rechtsvorschriften besitzen. Hier muss man unterscheiden zwischen den öffentlichen und nicht-öffentlichen Stellen. So sind z.B. für den öffentlichen Bereich Kenntnisse über Amtshilfe, spezielle Vorschriften der jeweiligen Behörde, aber auch über das Bundesbeamtengesetz notwendig. Bei nicht-öffentlichen Stellen muss der DSB weiterführende Kenntnisse über das Betriebsverfassungsgesetz, die Abgabenordnung oder das Sozialgesetzbuch haben.[41]
Neben diesen rechtlichen Kenntnissen sind gem. Literatur und h.M. auch die technischen Kenntnisse erforderlich. Dies sind Kenntnisse über den Bereich der Informations- und Kommunikationstechniken. Der zu Bestellende muss zumindest Grundkenntnisse über Verfahren und Technik der Datenverarbeitung haben. Er hat als DSB vorbeugend darauf zu achten, dass den Anforderungen beim Einsatz von Datenverarbeitungssystemen des Datenschutzes Genüge getan wird. Dies bedeutet, dass durch geeignete technische und organisatorische Maßnahmen personenbezogene Daten in jeder Phase ihrer Verarbeitung geschützt werden müssen. Falls diese notwendigen speziellen technischen Kenntnisse nicht realisierbar sind, kann er sich einen Spezialisten als Berater heranziehen.[42] [43]
Als dritter Punkt der Trias sind die organisatorischen Kenntnisse und Fähigkeiten zu nennen, die ebenso wie die technischen Kenntnisse durch Literatur und h.M. gefordert werden. Hierunter sind die betrieblichen Zusammenhänge zu sehen. Der DSB muss über die formalen und tatsächlichen Strukturen der Organisation, die Aufgabenzuordnung sowie über die Kompetenz und Verantwortung der Stelleninhaber informiert sein. Nur durch diese Kenntnisse kann er möglichen Risiken und Gefahren durch geeignete technische und organisatorische Maßnahmen in richtiger Art und Weise begegnen. Für diese Kenntnisse sind dem DSB Organisationsübersichten, Stellenbeschreibungen, Dienstanweisungen u.ä. zur Verfügung zu stellen. Weiterhin muss der betriebliche DSB die Fähigkeit besitzen, Maßnahmen zu erarbeiten, die sowohl den Datenschutzbestimmungen als auch den Unternehmens-/Behördeninteressen genügen.[44]
Als zusätzlicher Punkt muss auch noch die soziale Kompetenz des Beauftragten gesehen werden. Es werden demnach auch pädagogisch-didaktische und kommunikative Kenntnisse für erforderlich gehalten. Diese werden für die Information und Schulung der datenschutzrechtlichen Regelungen der an der Verarbeitung beteiligten Personen benötigt.[45]
Diese Kenntnisse und Fähigkeiten des zu Bestellenden müssen in ausreichendem Maße, bereits zum Zeitpunkt der Bestellung, vorhanden sein. Ebenso muss auch die Lernbereitschaft des zu Bestellenden gegeben sein, sich weiter nötige Fachkunde anzueignen.
3.1.2. Zuverlässigkeit
Neben der erforderlichen Fachkompetenz steht auch die Zuverlässigkeit des zu Bestellenden. Die Anforderungen an die Zuverlässigkeit sind gegeben, wenn der DSB aufgrund seiner persönlichen Eigenschaften, sowie seines Verhaltens geeignet ist, seine Aufgaben ordnungsgemäß zu erfüllen.[46] Zur Zuverlässigkeit gehören unter anderem Verschwiegenheit, Unbestechlichkeit und ein ausgeprägtes Verantwortungsbewusstsein. Aber auch Belastbarkeit, Lernfähigkeit und Gewissenhaftigkeit und die Inkompatibilität der Aufgabe des DSB mit anderen hauptamtlichen Aufgaben des DSB zählen hierzu. Bei der nebenamtlich beauftragten Person des DSB kann es zur Interessenskollision mit der im Gesetz geforderten Zuverlässigkeit kommen. Insbesondere darf der DSB nicht in Situationen kommen, in denen er sich selbst kontrollieren muss. Daher sollten ebenfalls nicht Personen als DSB bestellt werden, die in ihrer Funktion in einen Interessenskonflikt geraten würden. Dies gilt z.B. für den Inhaber selbst, den Vorstand, den Geschäftsführer oder den sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter, da sie sich nicht wirksam selbst kontrollieren können. Auch sollten nach Auffassung der Aufsichtsbehörden nicht Personen zum DSB bestellt werden, die in einen Interessenkonflikt über das unvermeidliche Maß hinaus geraten könnten. Dies könnte z.B. auf den Betriebsleiter, den Leiter der EDV oder den Personalleiter zutreffen.[47]
3.1.3. Mehrfachbestellung
Gemäß § 4 f Abs. 1 S. 5 BDSG ist die Bestellung eines DSB auch für mehrere Behörden, also bereichsübergreifend, gestattet, wenn dies die Struktur einer öffentlichen Stelle zulässt. Eine Möglichkeit könnte hier z.B. der DSB einer Mittelbehörde sein, der gleichzeitig auch für die nachgeordneten Dienststellen zuständig wäre. Für nicht-öffentliche Stellen ist immer ein DSB für ein Unternehmen vorgesehen. Falls dieses Unternehmen beispielsweise Niederlassungen hat, so müssen für diese Niederlassungen keine gesonderten DSB bestellt werden. Handelt es sich aber um rechtlich eigenständige Unternehmen, die z.B. in einem Konzernverbund zusammengeschlossen sind, muss für jedes Unternehmen ein DSB bestellt werden. Nicht erlaubt ist es, wenn ein Unternehmen für die restlichen Unternehmen im Konzernverbund einen DSB mitbestellt. Es besteht aber die Möglichkeit, dass jedes Unternehmen ein und dieselbe Person zum DSB bestellt.[48] Auf die Möglichkeit neben internen DSB auch Externe zu verpflichten wird unter Punkt 3.5. in dieser Arbeit näher eingegangen.
3.2. Stellung und Befugnisse
3.2.1. Stellung in der Hierarchie
Für eine wirkungsvolle Tätigkeit ist es am Besten, wenn der DSB eine unabhängige und organisatorisch herausgehobene Stellung hat. Die ist gem. § 4 f Abs. 3 S.1 BDSG so zu sehen, dass der DSB dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar unterstellt ist. Seine Unabhängigkeit wird ihm in § 4 f Abs. 3 S. 2 und 3 BDSG gegeben. Dies beinhaltet, dass der DSB auf dem Gebiet des Datenschutzes weisungsfrei ist. Es darf ihm niemand vorschreiben, wie er seine Arbeit wahrzunehmen hat. Diese Weisungsfreiheit ist aber nur auf seine Kontroll- und Beratungstätigkeit gem. § 4 g BDSG bezogen. Er hat keine Entscheidungsbefugnisse, diese hat ausschließlich der Leiter der verantwortlichen Stelle. Es besteht aber ein direktes Vortragsrecht gegenüber dem Leiter der verantwortlichen Stelle, um ihn über datenschutzrelevante Angelegenheiten zu informieren. Daher nimmt der DSB der verantwortlichen Stelle die Verantwortung für Belange des Datenschutzes nicht ab, sondern soll diese bei der Sicherung dieser Belange unterstützen. Seine arbeitsrechtliche Stellung wird, wenn er seine Arbeit als DSB nur Teilzeit wahrnimmt, nicht berührt. Er ist dann weiterhin in seine arbeitsrechtliche Hierarchie eingeordnet.[49]
3.2.2. Benachteiligungsverbot
Gem. § 4 f Abs. 3. S. 3 BDSG darf der DSB nicht wegen der Erfüllung seiner Tätigkeit benachteiligt werden. Es sollen damit mögliche Diskriminierungen durch die verantwortliche Stelle bzw. auch deren MA verhindert werden. Eine solche Benachteiligung liegt vor, wenn dies eine Reaktion auf die Tätigkeit des DSB ist. Dieses können direkte Benachteiligungen, z.B. Entlassung oder Übergehung bei der Beförderung sein. Es besteht aber auch die Möglichkeit der indirekten Benachteiligung, z.B. materielle oder personelle Ausstattung der zweiten oder dritten Wahl, welche aber noch nicht unterhalb der Schwelle zur Verletzung der Unterstützungspflicht liegen. Das Benachteiligungsverbot wirkt auch nach der Bestellung zum DSB weiter, so dass spätere Benachteiligungen ausgeschlossen werden können.[50]
3.2.3. Unterstützungspflicht der verantwortlichen Stelle
Eine Unterstützungspflicht gem. § 4 f Abs. 5 S. 1 BDSG hat die verantwortliche Stelle dem DSB gegenüber. Sie hat ihm bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal, Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Der Gesetzgeber fordert hier von der verantwortlichen Stelle eine aktive Unterstützung des DSB. Diese Unterstützung konkretisiert sich in § 4 g Abs. 1 S. 3 2. HS BDSG, nach dem die verantwortliche Stelle rechtzeitig über neue Vorhaben der automatisierten Verarbeitung von Daten den DSB zu unterrichten hat. Zuletzt entscheidet aber die verantwortliche Stelle über den Umfang der Unterstützung des DSB, da die Unterstützung unter dem Vorbehalt der Erforderlichkeit steht.[51]
3.3. Aufgaben
Der DSB hat die ihm gesetzlich zugewiesene Aufgabe, gem. § 4 g BDSG auf die Einhaltung des BDSG und anderer Vorschriften des Datenschutzes hinzuwirken. Die Aufgaben des DSB liegen im Wesentlichen in der Beratung und Kontrolle, den Schulungen, sowie der Unterstützung der Betroffenen bei der Möglichkeit der Einsichtnahme in das von ihm geführte Verfahrensverzeichnis.
3.3.1. Beratung und Mitwirkung
Die Beratungsfunktion des DSB ist seine zentrale Aufgabe. Die Beratung soll jeden unterstützen, seine Persönlichkeitsrechte zu schützen. Er hat dabei mitzuwirken, dass die datenschutzrechtlichen Bestimmungen nicht verletzt werden. Seine Beratung geht dabei von der Unterstützung bei Fragen der Datenerhebung, über die Beratung bei der Entwicklung, Auswahl und Wirkbetrieb von Datenverarbeitungssystemen, bis hin zur Beratung bei der Erstellung von Datenschutzrichtlinien. Seine Beratungsfunktion erstreckt sich auf alle Bereiche, in denen die Möglichkeit besteht, dass es zu Verletzungen des Persönlichkeitsrechts durch den Umgang mit personenbezogenen Daten kommen kann.
3.3.2. Kontrolle
Der DSB hat die ordnungsgemäße Anwendung der Verarbeitungssysteme zu überwachen.[52] Er hat neben der Einhaltung der datenschutzrechtlichen Vorschriften bei bereits eingeführten Verarbeitungsprogrammen nachträglich, oder zukünftig geplanten Verarbeitungsprogrammen die Einhaltung und die Vereinbarkeit mit den Anforderungen des Datenschutzes zu überprüfen. Dabei hat er auch die Kontrollaufgabe, die Einhaltung der datenschutzrechtlichen Vorschriften nachträglich zu überprüfen. Über die Form und den Zeitpunkt der Kontrolle kann der DSB frei bestimmen. Neben dem Nachgehen von Beschwerden, die Anlass zu einer gezielten Kontrolle in den betroffenen Bereich geben, müssen regelmäßige Kontrollen stattfinden.[53]
3.3.3. Vorabkontrolle
Der DSB ist verpflichtet, bei automatisierter Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten Betroffener eine Prüfung vor Beginn der Verarbeitung (Vorabkontrolle) durchzuführen.[54] Diese Vorabkontrolle ist notwendig bei Verarbeitung besonderer personenbezogener Daten[55] oder wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens.[56] Eine Vorabkontrolle ist nicht notwendig, wenn es eine gesetzliche Verpflichtung, eine Einwilligung des Betroffenen gibt, oder die Erhebung, Verarbeitung und Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. Der Umfang der Vorabkontrolle ist nicht geregelt. Es sollten aber auf alle Fälle der berechtigte Personenkreis und die Zulässigkeit und Erforderlichkeit der Verarbeitung begutachtet werden.
3.3.4. Schulung
Neben der Beratungs- und Kontrollaufgabe des DSB steht auch die Schulungsaufgabe. Der DSB ist verpflichtet, alle an der Verarbeitung beteiligten Personen mit dem Ziel und Inhalt der Datenschutzvorschriften vertraut zu machen.[57] Dabei sollte es keine Rolle spielen, ob die MA hauptberuflich, nebenberuflich, gelegentlich oder nur aushilfsweise mit personenbezogenen Daten arbeiten. Besondere Aufgabe des DSB ist es bei diesen Schulungen, die MA für den Umgang mit personenbezogenen Daten zu sensibilisieren und dadurch Risiken der MA zu minimieren, in Ihrer Unkenntnis der datenschutzrechtlichen Erfordernisse Fehler zu machen. Wie oft eine Schulung stattfinden sollte ist aus der Literatur nicht ersichtlich, aber man kann davon ausgehen, dass die Schulungsmaßnahmen immer in regelmäßigen Abständen stattfinden sollten. Dadurch bleiben die MA im Umgang mit personenbezogenen Daten sensibilisiert und die Gefahr der Risiken wird minimiert.[58]
3.3.5. Verfahrensverzeichnis
Die verantwortliche Stelle hat gem. § 4 g Abs. 2 i.V.m. § 4 e S. 1 Nr. 1-9 BDSG dem DSB eine Übersicht über ihre Verfahren automatisierter Verarbeitungen, in denen personenbezogene Daten verarbeitet werden, zur Verfügung zu stellen. Der DSB hat danach nicht die Pflicht, dieses Verzeichnis zu erstellen oder zu pflegen. Dies obliegt der verantwortlichen Stelle. Die Aufgabe des DSB ist es aber, dieses Verzeichnis auf Antrag für jedermann verfügbar zu machen. Dies soll dazu dienen, dass jedermann u.a. erfahren kann, von wem, für welchen Zweck und von welcher Personengruppe Daten erhoben, verarbeitet und genutzt werden. Dieses Verfahrensverzeichnis dient der Schaffung von Transparenz in der Datenverarbeitung.[59]
3.4. Widerruf
Das BDSG sieht vor, dass die Bestellung des DSB gem. § 4 f Abs. 3 S. 4 BDSG nur widerrufen werden kann, wenn dies die Aufsichtsbehörde von der nicht-öffentlichen Stelle verlangt, oder wenn ein wichtiger Grund im Sinne des § 626 BGB gegeben ist. Der Widerruf aus wichtigem Grund gilt sowohl für die öffentlichen, als auch die nicht-öffentlichen Stellen. Dieser wichtige Grund ist gegeben, wenn unter Berücksichtigung aller Umstände und unter Abwägung der Interessen beider Parteien die Fortsetzung der Beschäftigung unzumutbar geworden ist.[60] Diese wichtigen Gründe können nur Gründe sein, die im Zusammenhang mit der Beauftragung stehen. Dies könnten z.B. schwerwiegende Versäumnisse bei der Beratung der verantwortlichen Stelle, Vernachlässigung der Überprüfungen, Verstöße gegen die Verschwiegenheitspflicht, aber auch nachträglich festgestellte Mängel in der Fachkunde sein.[61] Der Widerruf muss innerhalb von 14 Tagen nach Bekanntwerden der Widerrufsgründe erfolgen.[62]
3.5. Einsatz externer DSB
Das BDSG sieht gem. § 4 f Abs. 2 S. 2 BDSG die Möglichkeit, den Beauftragten für den Datenschutz auch durch eine externe Person außerhalb der verantwortlichen Stelle zu betrauen. Vorraussetzung ist auch hier die erforderliche Fachkunde und Zuverlässigkeit. Die Zuverlässigkeit ist nicht gegeben, wenn der externe DSB in eine Interessenskollision durch seine Mehrfachbeschäftigung kommt. Öffentliche Stellen können auch externe DSB bestellen, aber sie müssen dabei auf einen Bediensteten einer anderen öffentlichen Stelle gem. § 4 f Abs. 2 S. 3 BDSG zurückgreifen. Dies bedarf der Zustimmung der ihr zuständigen Aufsichtsbehörde.[63]
3.6. Aufsichtsbehörden
Die zur Einhaltung der datenschutzrechtlichen Bestimmungen eingerichteten Kontrollinstanzen sind die Aufsichtsbehörden. Diese Aufsichtsbehörden stellen die Einhaltung der datenschutzrechtlichen Bestimmungen durch Kontrolle und Überwachung sicher.[64]
Die Kontrollinstanzen lassen sich in folgende Zuständigkeiten unterteilen:
der Bundesbeauftragte für den Datenschutz
ist zuständig für die Kontrolle über die Behörden des Bundes. Der BfD wird für eine Amtszeit von 5 Jahren gewählt. Die Aufgaben und Befugnisse werden in den §§ 22 ff. BDSG geregelt.
die Landesbeauftragten für den Datenschutz
sind zuständig für die Kontrolle über die Behörden der Länder. Die Aufgaben und Befugnisse werden in den einzelnen Landesdatenschutzgesetzen geregelt.
die Aufsichtsbehörden der Länder
sind für alle nicht-öffentlichen Stellen des privatwirtschaftlichen Bereiches zuständig, da der Bund in § 38 Abs. 6 BDSG diesen Bereich an die Zuständigkeit der Länder übertragen hat. So ergeben sich unterschiedliche Aufsichtsbehörden in den einzelnen Ländern. So hat z.B. Thüringen dem zentralen Landesverwaltungsamt die obliegende Kontrolle übertragen. Berlin hat die Kontrolle über die nicht-öffentlichen Stellen aber dem zuständigen LDSB übertragen.[65]
Der DSB hat in Zweifelsfällen bei seiner Arbeit die Möglichkeit, sich an die für ihn zuständige Aufsichtsbehörde gem. § 4 g Abs. 1 S. 2 BDSG zuwenden. Er hat sogar die Pflicht, sich nach § 4 d Abs. 6 S. 3 BDSG an die Aufsichtsbehörde zu wenden, wenn es bei der Vorabkontrolle[66] zu Zweifelsfällen kommt. Kontrollen der Aufsichtsbehörden nach § 38 BDSG sind für die Einhaltung datenschutzrechtlicher Vorschriften ohne die Voraussetzung eines konkreten Anhaltspunktes eines Datenschutzverstoßes möglich. Diese Routinekontrollen können die gesamte Datenverarbeitung oder auch nur einzelne Bereiche erfassen. Schwerpunkte bei diesen Kontrollen sind allgemein die Bestellung und Tätigkeit des DSB, die Zulässigkeit der Verarbeitung personenbezogener Daten, sowie die Datensicherungsmaßnahmen. Die der Kontrolle unterliegenden nicht-öffentlichen Stellen haben gem. § 38 Abs. 3 BDSG den Behörden gegenüber eine Auskunftspflicht. Die Aufsichtsbehörde hat gem. § 38 Abs. 4 BDSG gegenüber der zu kontrollierenden Stelle auch Zutritts-, Prüfungs-, Besichtigungs- sowie Einsichtnahmerechte. Die Aufsichtsbehörde reagiert mit diesen Kontrollen aber auch auf Eingaben Betroffener. Diese Anlasskontrollen werden im gleichen Umfang wie Routinekontrollen unternommen, jedoch mit besonderem Gesichtspunkt auf die Eingabe des Betroffenen. Sollten die Aufsichtsbehörden bei Ihren Kontrollen Mängel feststellen, haben sie die Möglichkeit zur Anordnung von Maßnahmen nach § 9 BDSG i.V.m. § 38 Abs. 5 S. 1 BDSG bis hin zur Untersagung von Verfahren im Unternehmen gem. § 38 Abs. 5 S. 2 BDSG. Die Aufsichtsbehörden haben somit ein weites Spektrum, um gegen Verstöße gegen den Datenschutz vorzugehen.[67]
4. Haftung bei unsicheren IT-Systemen
Im nachfolgenden werden die verschiedenen Haftungsmöglichkeiten und Schadensersatzansprüche der einzelnen Gruppen untereinander aufgezeigt. Da es sich hauptsächlich um vertragliche und deliktische Ansprüche handelt, werden die verschiedenen Ansprüche nichtgutachtlich geprüft werden. Es wird nur besonders auf den Anwendungsbereich, die Voraussetzungen, sowie den ersatzfähigen Schaden eingegangen. Die verschiedenen Ansprüche lassen sich in folgende Gruppen unterteilen:
Ansprüche der verantwortlichen Stelle gegenüber dem DSB
Ansprüche des Betroffenen gegenüber dem DSB
Ansprüche des Betroffenen gegenüber der verantwortlichen Stelle
4.1. Ansprüche der verantwortlichen Stelle gegenüber dem DSB
Bei den verschiedenen Ansprüchen handelt es sich größtenteils um die gleichen Ansprüche wie aus dem Arbeitsrecht. Aus diesem Grund wird hier bei dem DSB auch vom Arbeitnehmer (AN) und der verantwortlichen Stelle vom Arbeitgeber (AG) gesprochen. Auf weitere Möglichkeiten, wie Einbehaltung des Entgelts oder Kündigung, wird nicht näher eingegangen.
4.1.1. vertragliche Ansprüche
Im Folgenden werden die verschiedenen vertraglichen Ansprüche der verantwortlichen Stelle gegen den DSB aus dem zwischen beiden entstandenen Arbeitsvertrag erläutert.
4.1.1.1. Schadensersatz wegen Nichterfüllung
Der AG kann vom AN Schadensersatz gem. §§ 275 Abs. 4, 280 Abs. 1, 3, 283 S. 1, 249 ff. BGB fordern, wenn dieser seine Arbeitsleistung nicht zur rechten Zeit am richtigen Ort erfüllt. Unter Nichterfüllung der Arbeitspflicht ist zu verstehen, dass der AN seine Arbeitspflicht nicht oder verspätet aufnimmt oder seine Arbeitskraft zurückhält. Da es sich bei der Arbeitsleistung um eine zu einer bestimmten Zeit oder innerhalb eines festbestimmten Zeitraums zu erbringende Leistung handelt, ist die Arbeitsleistung eine Fixschuld. Diese kann nicht nachgeholt werden. Der AN muss hierbei schuldhaft seiner Arbeitspflicht nicht nachgekommen sein, d.h. er hat vorsätzlich oder fahrlässig (§ 276 BGB) seine Arbeit nicht geleistet. Die Beweislast, dass der AN die verschuldete Pflichtverletzung nicht zu vertreten hat, trägt er selbst. Der AG kann in diesem Fall Schadensersatz statt der Leistung verlangen. Der Umfang des Schadensersatzes richtet sich nach §§ 249 ff. BGB. Der AG ist so zu stellen, wie er bei Fortbestand des Arbeitsverhältnisses gestanden hätte. Der Anspruch des AG kann auf
Ersatz des entgangenen Gewinns
Differenz des Entgelts zu einer Ersatzkraft
Konventionalstrafen
Kosten für die Anwerbung einer Ersatzkraft (Inserat,
Vorstellungskosten)
gerichtet sein.[68]
4.1.1.2. Schadensersatz wegen Schlechterfüllung - § 280 Abs. 1 BGB
Unter Schlechterfüllung ist zu verstehen, dass der AN seiner Arbeitsverpflichtung nachkommt, aber die ihm übertragenen vertraglichen Leistungen in mangelhafter Form erfüllt. Es sind darunter alle Verletzungen arbeitsvertraglicher Pflichten zu verstehen, die weder Verzug noch Unmöglichkeit der Arbeitsleistung zur Folge haben, oder zu einer darüber hinausgehenden Schädigung des Arbeitgebers führen.[69]
Damit sind alle vertraglichen Pflichten aus dem Arbeitsverhältnis erfasst. Es kommt also nicht darauf an, ob eine Haupt- oder Nebenpflicht verletzt wird. Als ein Verstoß gegen die Hauptpflicht kommt z.B. in Betracht, wenn der AN zu langsam oder zu ungenau arbeitet und dadurch fehlerhafte Arbeitsergebnisse hervorbringt. Als Verletzung von Nebenpflichten kann z.B. ein Verstoß gegen die allgemeine Schutzpflicht, die auch den Schutz immaterieller Rechte z.B. dem Persönlichkeitsrecht umfasst, in Betracht kommen. Voraussetzung ist aber immer, dass diese Schäden im Zusammenhang mit einer betrieblich veranlassten Tätigkeit stehen. Eine Schlechtleistung ist dann erbracht, wenn der AN seine zu erbringende Arbeitsleistung in irgendeiner Form pflichtwidrig geschädigt hat.[70]
Dem AG nicht-öffentlicher Stellen erwachsen somit vertragliche Schadensersatzansprüche aus positiver Vertragsverletzung gem. § 280 Abs. 1 BGB. Vorraussetzungen für das Bestehen eines Schadensersatzanspruches sind:
eine arbeitsvertragliche Pflichtverletzung
oder eine unerlaubte Handlung,
die vom AN zu vertretende Vertragsverletzung oder zu
vertretende unerlaubte Handlung,
dem AG ein daraus entstandener Schaden und
dem Kausalzusammenhang zwischen entstandenem Schaden und Vertragsverletzung/unerlaubter Handlung.
a) eine arbeitsvertragliche Pflichtverletzung oder eine unerlaubte Handlung
Der Umfang der möglichen arbeitsvertraglichen Pflichtverletzungen besteht in den möglichen Verletzungen der Haupt- und Nebenpflichten, auf die hier nach oben verwiesen wird. Eine unerlaubte Handlung i.S.d. § 823 Abs. 1 BGB kann vorliegen, wenn der AN beispielsweise Gegenstände des AG beschädigt.
b) vom AN zu vertretende Vertragsverletzung oder zu vertretende unerlaubte Handlung
Der AN hat grundsätzlich nur Vorsatz und Fahrlässigkeit gem. § 276 Abs. 1 S. 1 BGB zu vertreten, wenn nichts anderes bestimmt ist. Durch das System der Haftungsteilung haftet der AN, unter Berücksichtigung des Betriebsrisikos, in Anwendung des § 254 BGB wie folgt bei:
Leichter Fahrlässigkeit
In den Fällen des typischen Abirrens der Arbeitsleistung, also einem "sich-vergreifen" oder "sich-vertun" überhaupt nicht. Die AG trägt hier den vollen Schaden als Konsequenz seines Betriebsrisikos.
normaler oder mittlerer Fahrlässigkeit
In den Fällen, dass der AN die im Verkehr erforderliche Sorgfalt außer Acht gelassen hat und der missbilligte Erfolg bei Anwendung der gebotenen Sorgfalt vorhersehbar und vermeidbar gewesen wäre, gem. § 276 Abs. 2 BGB, ergibt sich eine quotale Haftungsteilung unter Berücksichtigung bestimmter Merkmale, wie z.B. Schadenshöhe oder Schadensanlass.
grober Fahrlässigkeit
In den Fällen, in dem die im Verkehr erforderliche Sorgfalt nach den gesamten Umständen in ungewöhnlich hohem Maße verletzt und dasjenige unbeachtet gelassen hat, was im gegebenen Fall jedem hätte einleuchten müssen, ist eine Haftungserleichterung zugunsten des AN von einer Abwägung des Einzelfalls abhängig.
In den Fällen des Vorsatzes, wer also den rechtswidrigen Erfolg vorausgesehen und gewollt hat oder ihn vorausgesehen und billigend in Kauf genommen hat, haftet der AN ebenfalls in voller Höhe, wenn der Vorsatz sich auf die Pflichtverletzung und den Schaden bezieht. Der Grundsatz der Haftungserleichterung für den AN greift bei jeder betrieblich veranlassten Tätigkeit.
c) dem AG ein daraus entstandener Schaden
Ein Schaden ist dem AG dann entstanden, wenn ihm ein Nachteil an seinen Rechtsgütern (Eigentum, Gesundheit, körperliche Integrität) infolge eines Ereignisses oder eines bestimmten Vorgangs durch den AN entsteht.
d) dem Kausalzusammenhang zwischen entstandenem Schaden und Vertragsverletzung/unerlaubter Handlung
Dies bedeutet, dass zwischen der Vertragsverletzung, dem Verletzungserfolg (haftungsbegründende Kausalität) und dem geltend gemachten Schaden (haftungsausfüllende Kausalität) ein Zusammenhang bestehen muss.
Sind diese Voraussetzungen gegeben, ist dem AG grundsätzlich der gesamte Schaden gem. § 249 BGB zu ersetzen. Auch Schmerzensgeld kann unter den Voraussetzungen des § 253 Abs. 2 BGB geltend gemacht werden.
Die Beweis- und Darlegungspflicht für die Voraussetzungen zur Geltendmachung eines Schadensersatzanspruches, einschließlich des Verschuldens des AN, hat abweichend von den vertraglichen Schadensersatzansprüchen gem. § 619 a BGB, der AG zu tragen. Dies ist eine Umkehr der Exkulpationspflicht des Schuldners nach § 280 Abs. 1 S. 2 BGB.[71]
Schadensersatzansprüche öffentlicher Stellen gegen ihre AN können gem. §§ 46 BRRG und 78 BBG geltend gemacht werden. Es muss sich dabei allerdings um Beamte oder Beschäftigte, auf deren Arbeitsverhältnis ein Tarifvertrag des öffentlichen Dienstes anzuwenden ist, handeln. Der AN hat allerdings nur die entstandenen Schäden auszugleichen, in denen er grob fahrlässig oder vorsätzlich gegen seine Pflichten verstoßen hat. Bei DSB, die nicht Beamte oder Beschäftigte sind, auf deren Beschäftigungsverhältnis aber ein Tarifvertrag des öffentlichen Dienstes anzuwenden ist, richtet sich die Haftung nach den sonst für AN geltenden o.g. Grundsätzen.[72]
Es muss hierbei auch der Unterschied zwischen internen und externen DSB beachtet werden. Bei internen DSB richtet sich die Haftung nach den o.g. Grundsätzen. Sie haften also nur für grob fahrlässig und vorsätzlich verursachte Schäden. Bei einer Bestellung eines externen DSB ist dieser im Gegensatz zu einem internen DSB bei jeglichem Verschulden haftbar zu machen. Dies bedeutet, dass die verantwortliche Stelle von dem externen DSB auch Schadensersatz für leichte und mittlere Fahrlässigkeit in voller Höhe geltend machen kann. Daher ist es aus Sicht des externen DSB sinnvoll, bei seiner Bestellung eine entsprechende Haftungsbeschränkung vertraglich mit zu vereinbaren.[73]
4.1.2. deliktische Ansprüche
Neben den o.g. vertraglichen Ansprüchen stehen der verantwortlichen Stelle auch Ansprüche gegen den DSB auf Schadensersatz aus Delikt zu. Die Ansprüche sollen in diesem Abschnitt erläutert werden.
4.1.2.1. Verletzung des allg. Persönlichkeitsrechts - § 823 Abs. 1 BGB
Aus den deliktschen Ansprüchen kann sich ein möglicher Schadensersatzanspruch gem. § 823 Abs. 1 BGB ergeben. Voraussetzungen hierfür sind:
Rechtsgutverletzung
Verletzungshandlung oder Unterlassen
Haftungsbegründende Kausalität
Haftungsausfüllende Kausalität
Rechtswidrigkeit
Verschulden
Schaden
a) Rechtsgutverletzung
Eine Rechtsgutverletzung ist die Verletzung des Körpers, des Eigentums oder eines sonstigen Rechtes. Als sonstiges Recht kommen nur absolute Rechte in Betracht, d.h. diese Rechte wirken gegenüber jedermann. Das allgemeine Persönlichkeitsrecht wurde durch die höchstrichterliche Rechtssprechung[74] des BGH als „sonstiges Recht“ anerkannt. Eine Rechtsgutverletzung entsteht hierbei durch eine rechtswidrige Datenverarbeitung personenbezogener Daten. Werden personenbezogene Daten unrechtmäßig erhoben, verarbeitet oder genutzt, liegt grundsätzlich ein Eingriff in das Recht auf informelle Selbstbestimmung und damit eine Rechtsgutverletzung vor.[75]
b) Verletzungshandlung oder Unterlassen
Die Rechtsgutverletzung, aus der der Schaden entstanden ist, muss vom Schädiger begangen worden sein. Als Verletzungshandlung kommt jede nachteilige Beeinträchtigung eines der o.g. Rechtsgüter oder Rechte in Betracht. Sie kann durch ein positives Tun oder durch Unterlassen ausgelöst werden.
c + d) Haftungsbegründende und haftungsausfüllende Kausalität
Um einen Schadensersatzanspruch geltend zu machen, muss die Handlung kausal für die Rechtsgutverletzung und diese wiederum kausal für den entstandenen Schaden sein.
e) Rechtswidrigkeit
Ein Schadensersatzanspruch kann nur durch eine widerrechtliche Rechtsgutverletzung entstehen. Voraussetzung ist die Rechtswidrigkeit der Rechtsgutverletzung. Die Rechtswidrigkeit gilt als indiziert, d.h. die Handlung ist rechtswidrig, wenn kein besonderer Rechtfertigungsgrund, z.B. Notwehr oder Notstand vorliegt, nach der Lehre vom Erfolgsunrecht.
f) Verschulden
Der Schädiger muss vorsätzlich oder fahrlässig gem. § 276 BGB gehandelt haben.[76]
g) Schaden
Als Rechtsfolge der Verletzung des allgemeinen Persönlichkeitsrechts stehen dem Betroffenen folgende Ansprüche zu:
Ersatz des materiellen Schadens
Ersatz des immateriellen Schadens
Unterlassung und Widerruf
aa) Ersatz des materiellen Schadens
Dem Betroffenen sind alle Vermögenseinbußen gem. § 823 Abs. 1 i.V.m. §§ 249 ff. BGB zu ersetzen. Ebenfalls sind die Gegenmaßnahmen zu ersetzen, die der Betroffene für nötig gehalten hat, um sich gegen die Verletzung des allgemeinen Persönlichkeitsrechts zu wehren.
bb) Ersatz des immateriellen Schadens
Ein Ersatz des immateriellen Schadens ist nur unter dem Gesichtspunkt der Genugtuung und Prävention gem. § 823 Abs. 1 BGB i.V.m. Art. 1 und 2 GG möglich. Dieser Ersatz ist aber nur zu gewähren, wenn es sich um eine schwere Persönlichkeitsverletzung handelt und eine Genugtuung durch Unterlassung, Gegendarstellung oder Widerruf nicht erreichbar ist.[77]
cc) Unterlassung und Widerruf
Dem Betroffenen steht auch ein Anspruch auf Unterlassung und Widerruf, analog §§ 12 S. 2, 862 Abs. 1 S. 2, 1004 Abs. 1 S. 2 BGB zu. Ein Anspruch auf Unterlassung besteht, wenn es zu einer drohenden Verletzung des Persönlichkeitsrechtes durch Veröffentlichung kommen kann. Der Widerrufsanspruch steht dem Betroffenen zu, wenn es zu wiederholten Persönlichkeitsverletzungen gekommen ist, so z.B. durch Verbreitung unwahrer Tatsachen.
4.1.2.2. Verstoß gg. im BDSG enthaltene Schutznormen - § 823 Abs. 2 BGB
Neben den Ansprüchen aus § 823 Abs. 1 BGB kann die verantwortliche Stelle auch Ansprüche gegenüber dem DSB aus § 823 Abs. 2 BGB, Verstoß gegen ein Schutzgesetz, geltend machen. Voraussetzungen dafür sind:
Schutzgesetzverletzung
Schutznormqualität
Persönlicher Schutzbereich
Sachlicher Schutzbereich
Rechtswidrigkeit
Verschulden
a) Verletzung eines Schutzgesetzes
aa) Schutznormqualität
Die Schutznormqualität eines Gesetzes ist gegeben, wenn das betreffende Gesetz dem Betroffenen einen Individualschutz gewährt. Das entsprechende Gesetz darf nicht nur für die Allgemeinheit gelten, es muss einen individuellen Schutz für den einzelnen Geschädigten haben. Es kommt hierbei §§ 4 f und 4g BDSG in Betracht. Der DSB hat seine Tätigkeit so zu gestalten, dass er den Schutz der personenbezogenen Daten des Betroffenen zu gewährleisten hat. Die §§ 4 f und 4 g BDSG sind daher Schutzvorschriften i.S.d. § 823 Abs. 2 BGB.[78]
bb) Persönlicher Schutzbereich
Der Betroffene muss in den Personenkreis derer gehören, auf die sich das Schutzgesetz bezieht, um sich erfolgreich auf eine Verletzung des Schutzgesetzes beziehen zu können.
cc) Sachlicher Anwendungsbereich
Das Schutzgesetz will nur bestimmten Rechtsgütern Schutz verleihen, das BDSG möchte dem Recht auf informelle Selbstbestimmung Schutz verleihen. Es werden hier nur die Schäden erfasst, die bei Verletzung des Rechts auf informelle Selbstbestimmung entstanden sind. Andere Schäden sind nicht ersatzfähig.
b) Rechtswidrigkeit
Die Rechtswidrigkeit wird, wie im Fall des § 823 Abs. 1 BGB, durch die Verletzung des Schutzgesetzes indiziert.
c) Verschulden
Das Verschulden richtet sich hier nach den Anforderungen des Schutzgesetzes. Das BDSG sieht hierbei Vorsatz und Fahrlässigkeit vor.
Für den AN gilt auch bei deliktischen Ansprüchen bei einer betriebsbezogenen Tätigkeit der Grundsatz des innerbetrieblichen Schadensausgleiches. Bei den unter diesem Punkt genannten möglichen Schadensersatzansprüchen muss der AG immer auch die durch Rechtsprechung und Lehre vertretenen Einschränkungen der AN-Haftung, wie unter Punkt 4.3.1. beschrieben, berücksichtigen.[79]
4.2. Ansprüche des Betroffenen gegenüber dem DSB
4.2.1. vertragliche Ansprüche
Die Pflicht des DSB, seinen gesetzlichen und vertraglichen Aufgaben sorgfältig und gewissenhaft nachzukommen, ist er nur gegenüber der verantwortlichen Stelle verpflichtet. Es besteht also nur eine (arbeits-)vertragliche Verpflichtung gegenüber seinem Arbeitgeber und nicht gegenüber den Betroffenen. Der Betroffene kann somit keine vertraglichen Ansprüche gegenüber dem DSB geltend machen. Über die Rechtsfiguren des Vertrages zugunsten Dritter oder eines Vertrages mit Schutzwirkung zugunsten Dritter, lassen sich auch keine vertraglichen Ansprüche zwischen dem Betroffenen und dem DSB herstellen. Es kommen somit nur deliktische Ansprüche in Betracht.
4.2.2. deliktische Ansprüche
Bei den deliktischen Ansprüchen des Betroffenen gegenüber dem DSB sind verschiedene Ansprüche zu prüfen. Diese sollen im Folgenden erläutert werden.
4.2.2.1. Verletzung des allg. Persönlichkeitsrechts - § 823 Abs. 1 BGB
Auf die Voraussetzungen des Schadensersatzanspruches wird hier auf die bereits unter Punkt 4.1.2.1. gemachten Ausführungen hingewiesen.
Es ist hier zu prüfen, ob überhaupt die Möglichkeit der Durchsetzung dieser Ansprüche gegen den DSB möglich ist. Der DSB hat in seiner Stellung eine besondere Eigenart. Er hat nur eine Weisungsbefugnis in Fragen des Datenschutzes, keine Handlungsbefugnis. Er hat in seiner Aufgabe als DSB der verantwortlichen Stelle die Missstände und Lücken im Datenschutz aufzuzeigen, aber die verantwortliche Stelle allein entscheidet über die zu treffenden Maßnahmen. Die verantwortliche Stelle trägt daher hier die Verantwortung, eine mögliche Haftung des DSB ist daher eher selten.[80]
Es könnte unter diesen Voraussetzungen nur eine Ersatzpflicht gegen den DSB möglich sein, wenn der DSB gegen seine Verschwiegenheitspflicht (§ 4 f Abs. 4 BDSG) verstoßen würde und dieser Verstoß unmittelbar auf den DSB zurückzuführen wäre.
4.2.2.2. Verstoß gg. im BDSG enthaltene Schutznormen - § 823 Abs. 2 BGB
Auf die Voraussetzungen der beiden Schadensersatzansprüche wird hier auf die bereits unter Punkt 4.1.2.2. gemachten Ausführungen verwiesen.
Hat der DSB einen Schadenersatzanspruch des Betroffenen zu erfüllen, so kann er sich nicht auf den Grundsatz der Haftungsbeschränkung berufen. Diese gilt nur zwischen den Arbeitsvertragsparteien. Der DSB kann aber nach h.M. einen Freistellungsanspruch gegen die verantwortliche Stelle geltend machen. Er kann diesen Freistellungsanspruch aber nur durchsetzen, wenn er nach den Grundsätzen der Haftungsbeschränkung bei betrieblich veranlasster Tätigkeit nicht hätte für den Schaden einstehen müssen. Der DSB kann den Freistellungsanspruch an den Betroffenen abtreten. Im Falle einer Insolvenz der verantwortlichen Stelle muss der DSB aber als Gläubiger des Freistellungsanspruchs in voller Höhe für den Schaden aufkommen.[81]
4.2.2.3. Kreditgefährdung durch Verstoß gegen die Verschwiegenheit durch Verbreitung unwahrer Tatsachen - § 824 BGB
Der DSB erhält bei seiner Arbeit Zugang zu personenbezogenen Daten der Betroffenen. Nutzt der DSB diese Daten außerhalb des vorgesehenen Zwecks und kommt es somit zur Kreditgefährdung des Betroffenen, kann dem Betroffenen hieraus ein Schadensersatzanspruch gem. § 824 Abs. 1 BGB erwachsen. Das kann durch die Verbreitung unwahrer Tatsachen, z.B. dass der DSB gegen seine Verschwiegenheitspflicht verstößt und unwahre Tatsachen mit nachteiligen Folgen für den Betroffenen verbreitet, geschehen. Tatbestandliche Voraussetzungen sind hierfür:
Unwahre Tatsachen
Behaupten oder Verbreiten
Eignung zur Kreditgefährdung
Rechtswidrigkeit
Verschulden
Schaden
a) Unwahre Tatsachen
Tatsachen sind, in Abgrenzung zu Werturteilen, objektive Geschehnisse oder Zustände der Gegenwart oder Vergangenheit, die wahrnehmbar in Erscheinung getreten und daher beweisbar sind. Werturteile sind dagegen subjektive Bewertungen aus der Sicht des Betrachters. Tatsachen sind danach konkrete, nach Zeit und Raum bestehende, der Vergangenheit oder Gegenwart angehörende Geschehnisse oder Zustände der Außenwelt und des menschlichen Seelenlebens.[82] Es ist daher wichtig, zwischen Tatsachen und Werturteilen zu unterscheiden. Liegt keine Tatsachenbehauptung vor, scheidet § 824 Abs. 1 BGB als Anspruchsgrundlage aus. Die verbreiteten Tatsachen müssen immer unwahr sein.
b) Behaupten oder Verbreiten
Behaupten ist die Mitteilung einer Tatsache als Gegenstand eigenen Wissens oder eigener Überzeugung.
Verbreiten einer Tatsache ist die Weitergabe der Behauptung eines Dritten, ohne dass sich der Weitergebende mit dieser Äußerung identifiziert.
c) Eignung zur Kreditgefährdung
Der Inhalt der unwahren Tatsache muss dazu geeignet sein, dass andere aufgrund der Kenntnis dieser Tatsache die Kreditwürdigkeit des Betroffenen anders einstufen, z.B der Betroffene bekommt nur einen niedrigeren Kredit zugesprochen oder er wird ihm gänzlich verwehrt.
d) Rechtswidrigkeit
Die Rechtswidrigkeit liegt grundsätzlich bei der Behauptung unwahrer Tatsachen vor. Sie ist nur zu verneinen, wenn der Mitteilende gem. § 824 Abs. 2 BGB von der Unwahrheit nicht gewusst hat.
e) Verschulden
Das Verschulden muss sich sowohl auf die Unwahrheit der Tatsache als auch auf die Eignung zur Kreditgefährdung beziehen. Fahrlässiges Nichtwissen, dass die Tatsache unwahr ist, genügt bereits.
f) Schaden
Sind diese Tatbestände erfüllt, so sind dem Betroffenen alle Vermögensschäden zu ersetzen. Hierzu zählen auch alle Aufwendungen, die er für notwendig gehalten hat, um drohende Nachteile zu vermeiden. Auch der Ersatz immaterieller Schäden bei Verletzung des Persönlichkeitsrechts gem. § 823 BGB ist erstattungsfähig. Der Betroffene hat ferner Anspruch auf die Zurücknahme der Behauptung, einer Gegendarstellung durch den Verursacher, sowie die Löschung der unrichtig gespeicherten Daten.[83] [84]
4.2.2.4. Verstoß gegen die Verschwiegenheit durch sittenwidrige vorsätzliche Schädigung - § 826 BGB
Eine weitere Möglichkeit für einen Anspruch des Betroffenen gegenüber dem DSB besteht in der Möglichkeit auf Schadensersatz wegen sittenwidriger vorsätzlicher Schädigung gem. § 826 BGB. Hier kann der DSB haftbar gemacht werden, wenn er wahre Tatsachen weitergegeben hat, die Dritten oder der verantwortlichen Stelle gegenüber nicht hätten erwähnt werden dürfen. Tatbestandliche Voraussetzungen sind hier:
Schaden
Verstoß gegen die guten Sitten
Vorsatz
a) Schaden
Dem Betroffenen muss ein Schaden entstanden sein. Ein Schaden ist im natürlichen Sinn jede Einbuße, die jemand infolge eines bestimmten Ereignisses an seinen Lebensgütern, wie Gesundheit, Ehre, Eigentum oder Vermögen, erleidet. Objekt des Schadens können vermögenswerte Rechtsstellungen, aber auch immaterielle Güter sein.[85]
b) Verstoß gegen die guten Sitten
Bei dem Verstoß gegen die guten Sitten muss man zwischen objektiven und subjektiven Erfordernissen unterscheiden. Unter den objektiven Erfordernissen muss geprüft werden, ob das Verhalten des Schädigers einen Verstoß gegen die guten Sitten darstellt. Bei den subjektiven Erfordernissen muss geprüft werden, ob Elemente in der Person des Schädigers, in seiner inneren Einstellung, ein sittenwidriges Verhalten darstellen.
c) Vorsatz
Der Schädiger muss mit Vorsatz gehandelt haben, d.h. er muss so leichtfertig gehandelt haben, dass er den Schadenseintritt gewollt oder vorausgesehen hat und eine Schädigung billigend in Kauf nahm. Eine grobe Fahrlässigkeit genügt in diesem Fall nicht.
Dem Betroffenen ist gem. §§ 249 ff. BGB der gesamte entstandene Schaden zu ersetzen, auch nicht-Vermögensschaden und gegebenenfalls Schmerzensgeld. Zum Schaden kann hier auch die Beeinträchtigung einer zu erwartenden erwerblichen Tätigkeit gezählt werden.
4.2.2.5. Amtshaftung § 839 Abs. 1 BGB i.V.m. Art. 34 GG
Ist der verantwortliche DSB Beamter oder Angestellter im öffentlichen Dienst, so kann der Betroffene auch einen Amtshaftungsanspruch gem. § 839 Abs. 1 BGB i.V.m. Art. 34 GG geltend machen. Voraussetzungen für die Durchsetzung sind:
Jemand in Ausübung eines öffentlichen Amtes
Verletzung einer drittbezogenen Amtspflicht
Rechtswidrigkeit
Verschulden
kein Haftungsausschlussgrund
a) Jemand in Ausübung eines öffentlichen Amtes
Voraussetzung ist hier, dass jemand, also entweder ein Beamter, aber auch Beliehene oder Private, tätig wird. Es kommt also nicht auf den Status der Person an. Es kann somit jeder Staatsbedienstete in Betracht kommen. Bei der Tätigkeit muss jemand in Ausübung eines öffentlichen Amtes gehandelt haben. Hierbei handelt es sich um eine öffentlich-rechtliche Tätigkeit in Form von hoheitlichem Handeln.
b) Verletzung einer drittbezogenen Amtspflicht
Amtspflichten sind die persönlichen Pflichten des Amtsträgers, die ihm durch das Innehaben eines Amtes oder die Abhängigkeit von einem Amte auferlegt sind. Sie können sich sowohl aus Gesetzen, Verordnungen, Satzungen, als auch aus innerdienstlichen Regelungen ergeben. Verletzt der Amtsträger diese Pflicht durch die Vornahme einer unzulässigen Handlung oder durch das Unterlassen einer gebotenen Handlung, stellt das eine Amtspflichtverletzung dar. Diese Amtspflichtverletzung muss gegenüber einem Dritten bestehen. Das ist z.B. der Fall, wenn der behördliche DSB durch eine unerlaubte Handlung das informelle Selbstbestimmungsrecht des Betroffenen verletzt. Die Amtspflichtverletzung darf nicht gegenüber der Allgemeinheit oder der Behörde bestehen.[86]
c) Rechtswidrigkeit
Die Rechtswidrigkeit kann bei einer amtspflichtwidrigen Handlung der Staatsbediensteten als indiziert angesehen werden.
d) Verschulden
Das Verschulden des Amtsträgers richtet sich nach den allgemeinen Grundsätzen. Verschulden ist in den Formen des Vorsatzes und der Fahrlässigkeit möglich. Das Verschulden muss sich hier nur auf die haftungsbegründenden Tatsachen, nicht auf den Schaden beziehen.
e) kein Haftungsausschlussgrund
Gem. § 839 Abs. 1 S. 2 BGB ist die Haftung beschränkt. Der Amtsträger kann für Fahrlässigkeit nur haftbar gemacht werden, wenn der Betroffene nicht auf andere Weise Ersatz verlangen kann. Das heißt, dass der Amtsträger hier nur haftet, wenn es keine andere Möglichkeit für den Betroffenen gibt, Ersatz zu verlangen. Es kommt hier gem. Art. 34 GG zu einer Haftungsverlagerung. Für die Pflichtverletzung eines Amtsträgers bei hoheitlichem Handeln haftet dem Betroffenen gegenüber die Trägerkörperschaft (Bund, Land, Kommune usw.). Die Behörde darf gegen den MA intern nur unter den im Punkt 4.1.1. beschriebenen Voraussetzungen Regress fordern.
Für den Inhalt des Schadenersatzanspruches gelten die §§ 249 ff. BGB. Der Betroffene ist demnach so zu stellen, wie er bei ordnungsgemäßem Verhalten des Amtsträgers gestanden hätte.[87]
4.2.2.6. Eigenhaftung des Beamten § 839 Abs.1 S. 1 BGB
Handelt der Beamte nicht hoheitlich, sondern fiskalisch, ist demnach eine Staatshaftung nicht möglich. So kann sich eine Eigenhaftung des Beamten gem. § 839 Abs. 1 S. 1 BGB ergeben. Voraussetzungen für diesen Anspruch sind:
Beamter im staatsrechtlichen Sinne
Verletzung einer drittbezogenen Amtspflicht
Rechtswidrigkeit
Verschulden
Fehlen von Haftungsausschlussgründen
a) Beamter im staatsrechtlichen Sinne
Es muss sich um einen Beamten im staatsrechtlichen Sinne handeln. Er muss nach den einschlägigen beamtenrechtlichen Vorschriften ernannt worden sein. Es spielt dabei keine Rolle, ob er auf Dauer, auf Probe, auf Widerruf oder auf Zeit eingestellt ist. Angestellte oder Arbeiter im öffentlichen Dienst haften bei nicht hoheitlichem Handeln nach den Voraussetzungen des §§ 823 ff. BGB.
b) Verletzung einer drittbezogenen Amtspflicht
Es gelten hier die gleichen Voraussetzungen wie bereits bei der Amtshaftung beschrieben. Es muss sich aber um eine Amtspflicht aus dem nicht-hoheitlichen Bereich handeln.
c) - e)
Es gibt hier keine Unterschiede zu den gemachten Ausführungen bei der Amtshaftung, auf die hier verwiesen wird.[88]
Die o.g. Haftungsmöglichkeiten sind für Beamte und Angestellte zu sehen, bei denen sich die Amtspflicht, insbesondere Vollzeit-DSB, auf den Schutz personenbezogener Daten bezieht. Eine Amtspflicht begründet sich dadurch, den Betroffenen vor den möglichen Gefahren zu schützen. Die Amtspflicht kann durch unrichtige oder unzulässige Verarbeitung personenbezogener Daten, die den Bedingungen des BDSG entgegenstehen, verletzt werden. Es ist egal, ob die Verletzung unmittelbar aus dem Verarbeitungsablauf oder aus den Bestimmungen zur Kontrolle und Korrektur der Verarbeitungsvorgänge herrührt.
Beamte oder Angestellte, denen die Aufgabe als DSB nur als Teilzeitaufgabe übertragen wurde, haften gegenüber dem Betroffenen ausschließlich nach §§ 823 ff. BGB. Bei Teilzeit-DSB lässt sich aus ihrer Tätigkeit, die sie als DSB wahrnehmen, nicht folgern, dass sie dabei ein öffentliches Amt ausüben, oder einer hoheitlichen Tätigkeit nachkommen.[89]
4.3. Ansprüche des Betroffenen gegenüber der verantwortlichen Stelle
Die Verantwortung für den Datenschutz in den verantwortlichen Stellen trägt die Leitung der Behörde bzw. der Unternehmung, wie bereits im Punkt 3 dieser Arbeit beschrieben. Sie tragen damit auch haftungsrechtliche Verantwortung. Im Bereich des Gesellschaftsrechts trägt die Unternehmensleitung, der Geschäftsführer und die Vorstandsmitglieder die Verantwortung. Die Unternehmen wurden mit der Einführung des Gesetzes zur Kontrolle und Transparenz (KonTraG) und des § 91 Abs. 2 AktG sowie dem § 43 GmbHG zur Errichtung eines Risikomanagements verpflichtet. Das bedeutet, dass die Unternehmensleitung die allgemeine Pflicht hat, alle geeigneten Maßnahmen zu treffen, damit der Fortbestand der Unternehmung gesichert ist. Darunter fallen z.B. die Einrichtung eines Überwachungssystemes, mit dem alle relevanten Schwachstellen, die bedrohlich für die Unternehmung sein können, transparent gemacht werden können, und die Unternehmensorganisation darauf ausgerichtet werden kann. Nach h.M. gilt dies auch für GmbHs und andere Gesellschaftsformen im Sinne eines Sorgfaltsmaßstabes.[90]
Im Folgenden sollen die Möglichkeiten der Ansprüche des Betroffenen gegen die verantwortliche Stelle aufgezeigt und erläutert werden.
4.3.1. dingliche Ansprüche
Es wäre auch möglich, einen Schadensersatzanspruch aus einem Eigentümer-Besitzer-Verhältnis gem. §§ 989, 990 BGB abzuleiten. Hierfür geben die tatbestandlichen Anspruchsgrundlagen aber bereits Probleme auf. Gem. §§ 985 ff. BGB finden dingliche Ansprüche nur auf bewegliche oder unbewegliche Sachen Anwendung. Es wäre daher erforderlich, dass personenbezogene Daten als Sache behandelt werden oder eine analoge Anwendung der §§ 985 ff. BGB berechtigt wäre. Gem. § 90 BGB sind Sachen als körperliche Gegenstände definiert, diese müssen im Raum abgrenzbar sein. Dies trifft auf personenbezogene Daten nicht zu. Personenbezogene Daten sind somit keine Sachen.[91]
Ein anderes Problem ist die Eigentumsfähigkeit von personenbezogenen Daten. Der Eigentumsbegriff ist im BGB nicht legaldefiniert. Er lässt sich aber durch eine Negativ-Definition aus dem Inhalt des Eigentums und der Befugnisse des Eigentümers herleiten. Somit ist begrifflich das Eigentum das umfassende Recht zu tatsächlichen und rechtlichen Herrschaftshandlungen, das die Rechtsordnung an einer beweglichen oder unbeweglichen Sache zulässt. Unkörperliche Gegenstände können nicht Gegenstand des Eigentumsbegriffs sein.[92]
Die personenbezogenen Daten stellen somit eher unkörperliche, nicht eigentumsfähige „Gegenstände“ dar. Auch durch eine Speicherung auf der Festplatte können sie keine Eigentumsfähigkeit erlangen. Sie sind somit weder bewegliche Sachen, noch eigentumsfähig im Sinne des BGB, daher können auch keine Schadensersatzansprüche aus dem Eigentümer – Besitzer – Verhältnis erwachsen.[93]
4.3.2. vertragliche Ansprüche
Einen vertraglichen Anspruch des Betroffenen gegen die verantwortliche Stelle kann sich bereits aus einem vorvertraglichen Bereich ergeben. Eine Datenerhebung ist gem. § 28 Abs. 1 S. 1 Nr. 1 BDSG auch schon für die Erfüllung eigener Geschäftszwecke zulässig, wenn es der Zweckbindung eines vertragsähnlichen Vertrauensverhältnis mit dem Betroffenen dient. Dies wäre z.B. bei einer Bewerbung des Betroffenen bei einer verantwortlichen Stelle möglich. Kommt es in dieser Situation zu einer unzulässigen oder unrichtigen Verarbeitung oder Nutzung, einem schuldhaft und rechtswidrig herbeigeführtem Datenschutzverstoß, kann der Betroffene hier einen Schadensersatzanspruch aufgrund einer Pflichtverletzung im Rahmen eines vorvertraglichen Schuldverhältnisses gem. § 280 Abs. 1 i.V.m. §§ 311 Abs. 2, 241 Abs. 2 BGB geltend machen. Voraussetzungen hierfür sind:
wirksames (vorvertragliches) Schuldverhältnis
Pflichtverletzung
Vertretenmüssen
Schaden
a) wirksames vorvertragliches Schuldverhältnis
Das vorvertragliche Schuldverhältnis kann gem. § 280 Abs. 1 i.V.m. § 311 Abs. 2 BGB durch
die Aufnahme von Vertragsverhandlungen,
der Anbahnung eines Vertrages oder
ähnlichen geschäftlichen Kontakten entstehen.
b) Pflichtverletzung
Es bestehen bis zur Vollendung der Vertragsverhandlungen gem. § 241 Abs. 2 BGB für beide Parteien Pflichten zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils. Damit ist auch das Recht auf informelle Selbstbestimmung gemeint. Eine Pflichtverletzung ist gegeben, wenn gegen die Schutzpflichten verstoßen wird.[94]
c) Vertretenmüssen
Die verantwortliche Stelle hat hier gem. § 276 Abs. 1 S. 1 BGB Vorsatz und Fahrlässigkeit zu vertreten.
d) Schaden
Es muss dem Betroffenen ein Schaden infolge der Pflichtverletzung entstanden sein.
Die Rechtsfolge einer Pflichtverletzung aus einem vorvertraglichen Schuldverhältnis ist die Verpflichtung zum Schadensersatz.
Dem Betroffenen ist hier gem. § 249 BGB der Schaden zu ersetzen, der bei Nichteintreten des Schadensfalles bestanden hätte.[95]
4.3.3. deliktische Ansprüche
4.3.3.1. Ansprüche aus § 7 BDSG
Mit dem § 7 enthält das Bundesdatenschutzgesetz eine eigene Anspruchsgrundlage für eine Verschuldenshaftung. Diese gilt sowohl für den öffentlichen, als auch den nicht-öffentlichen Bereich bei einer automatisierten und nicht-automatisierten Datenverarbeitung. Voraussetzungen für diesen Anspruch sind:
Anwendungsbereich
schädigende Handlung
Kausalität
Verschulden
a) Anwendungsbereich
Einen möglichen Schadensersatzanspruch haben im Falle des § 7 BDSG ausschließlich die Personen, die einen Schaden durch eine unzulässige oder unrichtige Verarbeitung ihrer Daten erlitten haben. Sie sind die „Betroffenen“ i.S.d. § 3 Abs. 1 BDSG, und nur Sie haben einen Schadensersatzanspruch. Dieser kann auf der Verletzung einer der Datenvorschriften des BDSG beruhen, aber auch auf Datenschutzvorschriften anderer Gesetze. Juristischen Personen oder Dritten steht hier kein Anspruch zu. Anspruchsgegner des Betroffenen ist hierbei immer die verantwortliche Stelle, durch die dem Betroffenen Schaden zugefügt wurde. Es kommt dabei nicht darauf an, ob es sich um eine öffentliche oder nicht-öffentliche Stelle handelt. Zu den verantwortlichen Stellen zählen nicht die DSB, Schadensersatzansprüche gegen sie ergeben sich nicht aus § 7 BDSG. Ebenso wenig lassen sich gegen andere Beschäftigte der verantwortlichen Stelle Schadensersatzansprüche aus § 7 BDSG ableiten. Der Betroffene kann seine Schadensersatzansprüche gegen die Beschäftigten bzw. den DSB der verantwortlichen Stelle nur unter den Möglichkeiten der unter Punkt 4.2. genannten Voraussetzungen, unabhängig der Verarbeitungsform, geltend machen. Der Anspruch gilt sowohl bei automatisierter, als auch bei nicht-automatisierter Verarbeitung. Die Ersatzpflicht öffentlicher Stellen bei automatisierter Verarbeitung richtet sich aber nach § 8 BDSG.[96]
b) schädigende Handlung
Die verantwortliche Stelle ist dem Betroffenen gem. § 7 S. 1 BDSG zum Schadensersatz verpflichtet, wenn durch eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ein Schaden entsteht. Unzulässig ist somit grundsätzlich jede Verarbeitung, sofern kein Rechtfertigungsgrund vorliegt. Rechtfertigungsgründe können in den BDSG-Bestimmungen oder anderen Rechtsvorschriften über den Datenschutz vorliegen. Verstöße gegen diese Vorschriften sind immer rechtswidrig. So ist die Rechtswidrigkeit gegeben, wenn z.B. die verantwortliche Stelle ihre Zuständigkeit überschreitet (§ 14 Abs. 4 BDSG) oder gesperrte Daten an Dritte weitergibt, ohne dazu berechtigt zu sein (§§ 20 Abs. 7; 35 Abs. 8 BDSG). Eine Rechtswidrigkeit liegt aber auch vor, wenn bei der Erhebung und Verarbeitung bestehende Informationspflichten nicht erfüllt wurden. Neben der Rechtswidrigkeit durch Verstöße gegen die Bestimmungen des BDSG kann auch bei Verstößen gegen andere Vorschriften über den Datenschutz eine Rechtswidrigkeit erwachsen. Hier sind unter anderem die Vorschriften über den Datenschutz aus dem TKG, dem TDDSG aber auch aus dem MDStV zu nennen. Diese Vorschriften gehen aber nur auf die Verwendung personenbezogener Daten ein. Das BDSG wird hier verdrängt (§ 1 Abs. 3 S. 1 BDSG). Es wird in diesen Vorschriften jedoch nicht auf Schadensersatzansprüche bei Verletzung dieser Vorschriften eingegangen. Die Betroffenen können deshalb einen Ausgleich der ihnen entstandenen Schäden über § 7 BDSG verlangen.
Unrichtig ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten, wenn die Daten falsch, unvollständig oder durch den Verarbeitungsprozess verfälscht worden sind. Es kommt aber nicht darauf an, ob die Unrichtigkeit durch menschliches oder technisches Versagen entstanden ist.[97]
Die Begriffe unzulässig und unrichtig überschneiden sich, da die Verarbeitung unrichtiger Daten regelmäßig auch unzulässig ist.[98]
c) Kausalität
Sie liegt vor, wenn der rechtswidrige Umgang mit den personenbezogenen Daten zu einem Schaden beim Betroffenen geführt hat. Die verantwortliche Stelle muss für den Schaden ursächlich gewesen sein.[99]
d) Verschulden
Der rechtswidrige Umgang mit den personenbezogenen Daten muss schuldhaft gem. § 276 BGB vorsätzlich oder fahrlässig erfolgt sein. Es liegt keine Fahrlässigkeit vor, wenn die verantwortliche Stelle die nach den Umständen erforderliche Sorgfalt beachtet hat. Keine Ursächlichkeit liegt vor, wenn der Schaden ebenfalls bei Beachtung der gebotenen Sorgfalt eingetreten wäre.[100]
Der Betroffene muss für die Durchsetzung seiner Ansprüche nur beweisen, dass die verantwortliche Stelle durch die unrichtige oder unzulässige Verarbeitung seiner personenbezogenen Daten ihm einen Schaden zugefügt hat. Möchte sich die verantwortliche Stelle von den Ansprüchen entlasten, muss sie beweisen, dass sie die nach den Umständen des Falls gebotene Sorgfalt beachtet hat. Dies bedeutet, dass der Schaden trotz all ihrer getroffenen erforderlichen Maßnahmen, z.B. regelmäßige Überprüfung der Datenbestände, Vorkehrungen zur Datensicherung (§ 9 BDSG), aber auch regelmäßige Überprüfung des DSB (§ 4 f BDSG), eingetreten wäre. Es liegt somit eine Umkehr der Beweislast gem. § 7 S. 2 BDSG vor. Zunächst wird immer ein schuldhaftes Verhalten der verantwortlichen Stelle vermutet.[101]
Die Ansprüche des Betroffenen können auch gegen die verantwortliche Stelle geltend gemacht werden, wenn ein externer DSB für die verantwortliche Stelle tätig ist. Der externe DSB übernimmt die gleichen Aufgaben und steht in dem gleichen organisatorischen Verhältnis zur verantwortlichen Stelle. Die verantwortliche Stelle ist daher ebenfalls bei externen DSB ersatzpflichtig.[102]
Sind die Voraussetzungen erfüllt, ergibt sich als Rechtsfolge ein Schadenersatzanspruch für den Betroffenen. Die verantwortliche Stelle muss dem Betroffenen den Schaden ersetzen, der ihm durch die unrichtige oder unzulässige Verarbeitung entstanden ist. Sämtliche materielle Schäden sind dem Betroffenen zu ersetzen, solange es sich dabei um einen tatsächlichen, wirtschaftlichen, vermögensmäßigen und messbaren Nachteil handelt. Durch eine folgenlose Übermittlung, z.B. falscher Angaben, kann der Betroffene keinen Schadenersatzanspruch geltend machen. Die Art und der Umfang des zu ersetzenden Schadens ist nicht von Bedeutung.[103]
Ob ein Anspruch auf Ersatz immaterieller Schäden durch die unrichtige oder unzulässige Verarbeitung geltend gemacht werden kann, ist strittig. Es herrschen verschiedene Meinungen. Einerseits wird in der Literatur[104] die Meinung vertreten, dass immaterielle Schäden nicht ersetzt werden können, weil der Gesetzgeber der Regelung des Art. 23 EU-DatSchRL nicht gefolgt ist. Die Regelung des Art. 23 EU-DatSchRL schließt zwar einen Ersatz immaterieller Schäden nicht aus, schreibt ihn aber auch nicht vor. Dem Betroffenen bleibt somit nur die Möglichkeit auf § 823 Abs. 1 BGB zurückzugreifen, um seinen immateriellen Schaden ersetzt zu bekommen.[105] Auf der anderen Seite wird die Meinung[106] vertreten, dass auch der immaterielle Schaden zu ersetzen ist. Die Meinung begründet sich darauf, dass durch die richtlinienkonforme Auslegung des Art. 23 EU-DatSchRL immaterielle Schäden grundsätzlich auch im Rahmen des § 7 S. 1 BDSG ersatzfähig sind. Da auch der BfD in der Schriftenreihe BfD-Info 1 sich dafür ausspricht Schmerzensgeld bei schweren Verletzungen des Persönlichkeitsrechtes zu zahlen, ist sich eher der 2. Meinung anzuschließen. Bei der Verletzung des allgemeinen Persönlichkeitsrechtes ist mit immateriellen Schäden immer eher zu rechnen als mit materiellen Schäden. Daher sollten diese auch ersatzfähig sein.
Haben den Schaden mehrere verantwortliche Stellen verursacht, hat z.B. eine Stelle rechtswidrig Daten erhoben und dann einer anderen Stelle zur unzulässigen Verarbeitung übermittelt, so haften sie als Gesamtschuldner gem. § 840 Abs. 1 BGB.[107] Der Betroffene kann entscheiden, ob er einer Stelle den gesamten Schaden geltend macht oder ob er alle Stellen zu gleichen Teilen in Anspruch nehmen möchte.[108]
Der Betroffene kann neben § 7 BDSG auch durch andere Vorschriften Schadensersatzansprüche geltend machen. Der § 7 BDSG garantiert nur einen „Mindestschutz“. Er lässt dem Betroffenen die Möglichkeit, z.B. durch vertragliche Haftungsansprüche, andere Ansprüche geltend zu machen. Der Betroffene kann dadurch auch z.B. Ansprüche gegen den DSB oder die Beschäftigten der verantwortlichen Stelle geltend machen, da der Anspruch aus § 7 BDSG sich ausschließlich gegen die verantwortliche Stelle richtet.
Auf die möglichen weiteren Ansprüche des Betroffenen gegen den DSB wird auf Punkt 4.2. verwiesen.
4.3.3.2. Ansprüche aus § 8 BDSG
§ 8 BDSG enthält eine eigenständige Haftungsnorm öffentlicher Stellen bei der automatisierten Verarbeitung personenbezogener Daten. Als Anspruchsberechtigt gelten Betroffene, die durch die automatisierte Verarbeitung öffentlicher Stellen einen Schaden erlitten haben. Dieser Anspruch gilt, ebenso wie in § 7 BDSG, nur für natürliche Personen. Anspruchsgegner ist hierbei der Träger der öffentlichen Stelle. Es ist dabei nicht wichtig, ob die öffentliche Stelle eine Behörde, eine Körperschaft oder ein öffentlich-rechtliches Wettbewerbsunternehmen ist. § 8 BDSG kann somit nicht als Anspruchsgrundlage gegen den behördlichen DSB oder Beschäftigte der öffentlichen Stelle genutzt werden.[109]
Der Schaden des Betroffenen muss, ebenso wie in § 7 BDSG, durch eine unrichtige oder unzulässige Verwendung personenbezogener Daten erfolgt sein. Es ist dabei unerheblich, ob es sich bei dem Verstoß gegen eine Bestimmung des BDSG oder einer anderer Datenschutzvorschrift handelt (§ 8 Abs. 1 S. 1 BDSG). In welcher Verwendungsform oder Verarbeitungsphase der Schaden entstanden ist, spielt, wie in § 7 BDSG, keine Rolle. Der Schaden muss aber durch eine automatisierte Verarbeitung verursacht wurden sein. Entstandene Schäden öffentlicher Stellen durch nicht-automatisierte Verarbeitung wird über § 7 BDSG ausgeglichen.[110]
Wie in § 7 BDSG muss der Schaden des Betroffenen durch eine rechtswidrige Verarbeitung unzulässiger oder falscher, unvollständiger oder unrichtiger Daten verursacht worden sein. Die verantwortliche Stelle ist zum Ersatz des hieraus entstandenen Schadens verpflichtet. Es spielt dabei keine Rolle, ob ein Verschulden (§ 276 BGB) vorliegt, da es sich bei dem § 8 BDSG um einen Gefährdungstatbestand handelt. Ob sich die verantwortliche Stelle dabei fahrlässig oder vorsätzlich verhalten hat, ist gleichgültig. Ein vorhandener Schaden beim Betroffenen reicht aus, um die Ersatzpflicht zu begründen. Der Betroffene muss nur die Existenz eines Schadens und den Nachweis der rechtswidrigen Verarbeitung beweisen. Auf die Möglichkeit einer Exkulpation der verantwortlichen Stelle wird verzichtet.[111]
Als Rechtsfolge steht dem Betroffenen Schadensersatz zu. Dieser umfasst alle materiellen Schäden, anders als § 7 BDSG auch alle immateriellen Schäden (§ 8 Abs. 2 BDSG). Der Betroffene kann aber nur einen Schadensausgleich bis zu einer Höhe von 250.000 € geltend machen. Diese Höchstsumme richtet sich auf den schadensstiftenden Verarbeitungsvorgang, nicht auf den individuellen Schaden. Wurden durch ein und denselben Schaden mehrere geschädigt, so können sich diese Betroffenen nur mit einem anteiligen Betrag der 250.000 € abfinden.[112]
Haben mehrere verantwortliche Stellen, wie in § 7 BDSG, den Schaden zu vertreten, so haften sie als Gesamtschuldner (§ 840 Abs. 1 BGB).
Dem Betroffenen steht hier offen, weitergehende Ansprüche geltend zu machen. Dies können unter anderem weitere deliktischen Ansprüche gegen die verantwortliche Stelle sein. Diese werden im Folgenden erläutert:
4.3.3.3. Ansprüche aus § 823 Abs. 1 BGB
Der Betroffene kann neben den o.g. Ansprüchen auch einen Anspruch gegen die verantwortliche Stelle aus § 823 Abs. 1 BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts geltend machen. Auf die Voraussetzungen zur Durchsetzung dieses Anspruches und dem zu ersetzenden Schaden wird auf den Punkt 4.2. verwiesen. Der Betroffene kann auf den Anspruch aus § 823 Abs. 1 BGB deshalb nicht verzichten, weil nicht alle Schäden durch §§ 7 oder 8 BDSG abgedeckt werden können. So hat z.B. der Betroffene keine Ersatzmöglichkeit, wenn ihm durch die verantwortliche Stelle ein Schaden zugefügt wird, der nicht auf einer Verwendung personenbezogener Daten beruht. Erfasst sind ebenso immaterielle Schäden des Betroffenen, die er dadurch geltend machen kann, falls die Rechtsprechung einen Ersatz immaterieller Schäden durch § 7 BDSG nicht zustimmt.[113]
Der Betroffene kann seinen Anspruch gegen die verantwortliche Stelle nur geltend machen, wenn der Schaden der verantwortlichen Stelle zuzuschreiben ist. Maßgebend für die Zurechnung ist die Organisationspflicht der verantwortlichen Stelle. Die verantwortliche Stelle muss die nach dem BDSG geltenden Vorschriften für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten beachten, Sicherheitsvorkehrungen treffen und die organisatorischen Aspekte nicht außer Acht lassen. Eine Verletzung dieser Maßnahmen bildet die Grundlage eines Organisationsverschuldens der verantwortlichen Stelle und einer daraus folgenden Schadenersatzpflicht nach § 823 Abs. 1 BGB wegen Organisationsverschuldens. Es ist für die Ersatzpflicht unerheblich, ob der Schaden durch technisches oder menschliches Versagen ausgelöst wurde. Die verantwortliche Stelle hat in ihrer Organisationspflicht dafür Sorge zu tragen, dass alle betrieblichen Abläufe so eingerichtet sind und überwacht werden, dass durch das Fehlverhalten ihrer Beschäftigten, sowie Fehler und Mängel in den Verarbeitungssystemen, Dritten keine Schäden zugefügt werden. Um sich entlasten zu können, muss die verantwortliche Stelle beweisen, dass weder Sie noch ein verfassungsmäßig berufener Vertreter oder ein Organ ein Verschulden trifft, kein Organisationsmangel vorliegt und dass jeder MA sorgfältig ausgewählt und überwacht worden ist.[114] [115]
4.3.3.4. Ansprüche aus §§ 823 Abs. 2, 824, 826 BGB
Als weitere deliktische Anspruchsgrundlagen kommen die §§ 823 Abs. 2 i.V.m. Schutzgesetz, 824, 826 BGB in Betracht. Das BDSG gilt mit seinen Paragraphen als Schutzgesetz i.S.d. § 823 Abs. 2 BGB. Diese Vorschrift kann daher als Anspruchsgrundlage gegen die verantwortliche Stelle genutzt werden. Durch die Übermittlung personenbezogener Daten kann es zu Auswirkungen in der Kreditfähigkeit oder der wirtschaftlichen Lage beim Betroffenen kommen. Daher bietet sich § 824 BGB als weitere Anspruchsgrundlage an. § 826 BGB könnte sich als Generalklausel anbieten, alle vorher nicht durch andere Normen erfassten Schäden auszugleichen. Diese Vorschriften sind aber nur als Anspruchsgrundlage greifbar, solange es keine spezielle Vorschrift als Anspruchsgrundlage für Schäden aus der Verarbeitung personenbezogener Daten gibt. Mit der letzten Novellierung des BDSG wurde durch § 7 BDSG eine Vorschrift geschaffen, die bei jeder unrichtigen oder unzulässigen Verarbeitung personenbezogener Daten greift und die verantwortliche Stelle für Schadensersatzansprüche aufkommen lässt. Die drei o.g. Vorschriften werden daher durch den § 7 BDSG verdrängt.
[...]
[1] Vgl. Pfahl, S. 1 - 16 (4).
[2] Vgl. Gola/Klug, Einleitung Rd. 1.
[3] BGBl. I S. 201.
[4] BVerfG, Urteil v. 15.12.83, Az. 1 BvR 209, 269, 362, 420, 440, 483/83,
BVerfGE 65, S.1 ff.
[5] BVerfGE 65, 1, 42.
[6] Richtlinie 95/46/EG, S. 31 ff.
[7] Vgl. Tinnefeld/Ehrmann, S. 155.
[8] BVerfG, NJW (1991), 2129, 2132.
[9] § 3 Abs. 1 BDSG.
[10] Vgl. Bayrische Datenschutzaufsichtsbehörde S. 3.
[11] Vgl. Simitis/Dammann, BDSG § 2 Rd. 58.
[12] Vgl. Gola/Schomerus § 2, Rd. 16.
[13] Vgl. Tinnefeld/Ehmann/Gerlin S. 267.
[14] § 1 Abs. 1 BDSG.
[15] §1 Abs. 2 BDSG.
[16] §§ 1 Abs. 2 Nr. 3, 27 Abs. 1 S. 2.
[17] Vgl. Tinnefeld/Ehmann/Gerling, S. 269.
[18] Vgl. Gola/Klug, S. 43.
[19] § 1 Abs. 5 S. 3 BDSG.
[20] Vgl. Hetmank, Abs. 22.
[21] Art. 6 Abs. 1 lit. b der RL 95/46/EG.
[22] Vgl. Hetmank, Abs. 22.
[23] Vgl. BfD-Info 1, S. 26.
[24] BVerfGE 65, 1 = NJW 1984, 419.
[25] Vgl. Roßnagel/v. Zezschwitz, 3.1 Rd. 32 ff.
[26] Vgl. Sachs/Sachs, Art. 20 Rdn. 146.
[27] § 3 Abs. 6 BDSG.
[28] § 3 Abs. 6a BDSG.
[29] Vgl. Gola/Klug S. 46.
[30] Art. 5 lit. a. der RL 95/46/EG
[31] § 4 Abs. 2 BDSG.
[32] Vgl. Bay. Datenschutzaufsichtsbehörde, S. 9.
[33] Vgl. Gola/Klug S. 49.
[34] Vgl. Gola/Klug, § 4f Rd. 7 ff.
[35] § 4 d Abs. 5 BDSG.
[36] Vgl. Simitis/Simitis, § 4 f Rd. 12 ff.
[37] § 4f Abs. 1 S. 1 BDSG.
[38] § 43 Abs. 1 Nr. 2 und Abs. 3. BDSG
[39] Vgl. Simitis/Smitis, § 4 f Rdn. 59.
[40] Vgl. Roßnagel/Abel, 5.6. Rdn. 38.
[41] Vgl. Haaz, S. 104 ff.
[42] Vgl. Koch, S. 110.
[43] Vgl. Roßnagel/Abel, 5.6. Rdn. 42.
[44] Vgl. Tinnefeld/Ehmann, S. 228 f.
[45] Vgl. Simitis/Simitis, § 4f Rd. 91.
[46] Vgl. Auenhammer, § 28 Rd. 10.
[47] Vgl. Mensen, LfD Niedersachsen http://www.lfd.niedersachsen.de/master/C291134_N13163_L20_D0_I560.html v. 5.7.05.
[48] Vgl. Koch, S. 31 f.
[49] Vgl. BfD, BfD-Info 4, S. 12f.
[50] Vgl. Engelien-Schulz, S. 241 - 250 (246).
[51] Vgl. Koch, S. 143 ff.
[52] § 4g Abs. 1 S. 3 Nr. 1 BDSG.
[53] Vgl. BfD, BfD-Info 4 S. 22.
[54] § 4 d Abs. 5 i.V.m. Abs. 6 S. 1 BDSG.
[55] § 3 Abs.9 BDSG.
[56] § 4d S.2 BDSG.
[57] § 4g Abs. 1 Nr. 2 BDSG.
[58] Vgl. Simitis/Königshofen, 5.5. Rdn. 40ff.
[59] Vgl. BfD, BfD-Info 4 3.5.
[60] Vgl. Gola/Schomerus § 4f Rdn. 41.
[61] Vgl. Simitis/Simitis § 4f rdn. 182.
[62] § 4f Abs. 3 S. 4 i.V.m. § 626 Abs. 2 BGB.
[63] Vgl. Gola/Schomerus § 4f Rdn. 17 ff.
[64] § 38 Abs.1 S.1 BDSG.
[65] Vgl. BfD, http://www.bfd.bund.de/technik/DS-KAP/35.htm v. 20.08.2005.
[66] § 4d Abs. 6 S. 3 BDSG.
[67] Vgl. o.V. http://www.rp-dresden.de/ds/ds_aufgaben.htm v. 24.08.2005.
[68] Vgl. Schaub/Linck, § 52 Rdn. 1 ff.
[69] Vgl. ErfK/Preis, § 611 BGB Rdn. 844.
[70] Vgl. Moll/Eisenbeis, § 15 Rdn. 60 ff.
[71] Vgl. Schaub/Linck, § 52 Rdn. 12 ff.
[72] Vgl. Simitis/Simitis, § 4g Rdn. 101f.
[73] Vgl. Schrey, S. 249.
[74] Leserbrief-Entscheidung v. 25.05.64; BGHZ 13, 334.
[75] Vgl. Niedermeier/Schröcker, S. 220.
[76] Vgl. Fuchs, S. 67 ff.
[77] Vgl. Palandt/Thomas § 823 Rdn. 200.
[78] Vgl. Simitis/Simitis, § 4g Rdn. 106.
[79] Vgl. Hromadka, § 9 Rdn. 25 ff.
[80] Vgl. Simitis/Simitis, § 4g Rdn. 104.
[81] Vgl. Hromadka, § 9 Rdn. 41 f.
[82] BGH NJW 98 1223.
[83] Vgl. Palandt/Sprau, § 824 BGB.
[84] Vgl. Fuchs, S. 122 ff.
[85] Vgl. Palandt/Heinrichs, Vorb. v § 249 BGB.
[86] Vgl. Sachs/Bonk, Art. 34 Rdn. 53 ff.
[87] Vgl. Fuchs, S. 166 ff.
[88] siehe Punkt 4.2.2.5.
[89] Vgl. Simitis/Simitis, § 4g Rdn. 102.
[90] Vgl. Schubert, S. 2.
[91] Vgl. Palandt/Heinichs, § 90 Rdn. 1.
[92] Vgl. Palandt/Bassenge, Überbl. v. § 903 Rdn. 1.
[93] Vgl. Niedermeier/Schröcker, S. 217ff. (220).
[94] Vgl. Looschelders, § 10 Rdn. 188.
[95] Vgl. Wörlen, Rdn. 249 ff.
[96] Vgl. Simitis/Simitis, § 7 Rdn. 9ff.
[97] Vgl. Simitis/Simitis, § 7 Rdn. 18 ff.
[98] Vgl. Gola/Schomerus, § 7 Rdn. 4.
[99] Vgl. Gola/Schomerus, § 7 Rdn. 7.
[100] Vgl. Gola/Schomerus, § 7 Rdn. 8.
[101] Vgl. Simitis/Simitis, § 7 Rdn. 23 ff.
[102] Vgl. Simitis/Simitis, § 7 Rdn. 27.
[103] Vgl. Simitis/Simitis, § 7 Rdn. 30f.
[104] Vgl. Gola/Schomerus, § 7 Rdn. 12.
[105] Vgl. Simitis/Simitis, § 7 Rdn. 32.
[106] Dammann in Simitis Kommentar zur EU-Datenschutzrichtlinie Art. 23 Rdn. 5
Roßnagel/Pfitzmann/Garstka, Modernisierung des Schuldrechts
Niedermeier/Schröcker, S. 217 ff. (224).
[107] Vgl. Gola/Schomerus, § 7 Rdn. 15.
[108] Vgl. Simitis/Simitis, § 7 Rdn. 36.
[109] Vgl. Gola/Schomerus, § 8 Rdn. 2 f.
[110] Vgl. Simitis/Simitis, § 8 Rdn. 7 ff.
[111] Vgl. Simitis/Simitis, § 8 Rdn. 12 ff.
[112] Vgl. Simitis/Simitis, § 8 Rdn. 15 ff.
[113] Vgl. Simitis/Simitis, § 7 Rdn. 56 f.
[114] Vgl. Fuchs, S. 140.
[115] Vgl. Simitis/Simitis, § 7 Rdn. 58.
- Citar trabajo
- Diplom-Wirtschaftsjurist (FH) Torsten Kummer (Autor), 2005, Haftung bei Verstößen gegen den Datenschutz und Datensicherheit, Múnich, GRIN Verlag, https://www.grin.com/document/53093
-
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X.