14.2.7 Rechtsfolgen bei Verstoß gegen den Datenschutz

Wer datenschutzrechtliche Bestimmungen missachtet, kann auf Unterlassung in Anspruch genommen werden und muss unter Umständen Schadensersatz leisten. Ein Anspruch auf Unterlassung oder Schadensersatz kann sich zunächst aus dem Bürgerlichen Gesetzbuch ergeben, denkbar sind Ansprüche aus dem allgemeinen Schadensersatzrecht des BGB, beispielsweise aus § 823 Abs. 2 BGB.

Soweit es sich um eine besonders schwerwiegende Verletzung des Datenschutzes handelt und der Betroffene in seinem allgemeinen Persönlichkeitsrecht betroffen ist, ist auch ein Schadensersatzanspruch aus § 823 Abs. 1 BGB möglich. Ein solcher Verstoß gegen das allgemeine Persönlichkeitsrecht als "sonstiges Recht" im Sinne des § 823 Abs. 1 ist beispielsweise in Betracht zu ziehen, wenn datenschutzwidrig unrichtige oder ehrverletzende personenbezogene Daten übermittelt wurden. Da die Rechtsprechung hier den Maßstab sehr hoch anlegt, sind solche Schadensersatzansprüche in der Praxis jedoch eher selten.

Eine Verbesserung erfährt der Persönlichkeitsschutz durch die speziellen Regelungen der §§ 7 und 8 BDSG. Hierbei wird entsprechend der Systematik des BDSG zwischen öffentlichen und nicht-öffentlichen Stellen unterschieden.

Öffentliche Stellen haften nach dem Prinzip der Gefährdungshaftung, d.h. sie sind gemäß § 8 BDSG bei datenschutzrechtlich unzulässiger oder unrichtiger automatisierter Datenverarbeitung unabhängig von einem eventuellen Verschulden schadensersatzpflichtig. Bei einer besonders schweren Rechtsverletzung durch öffentliche Stellen kann der Betroffene auch einen Anspruch auf Schmerzensgeld aus § 8 Abs. 2 BDSG haben - nach dem BGB ist ein solches Schmerzensgeld ansonsten nur bei Körperverletzung, Gesundheitsschädigung oder Freiheitsentziehung vorgesehen (§ 847 BGB).

Nicht-öffentlichen Stellen haften dem Betroffenen für Schäden gemäß § 7 BDSG verschuldensabhängig. Nach § 7 Satz 2 besteht die Haftung nicht, wenn die Stelle die gebotene Sorgfalt beachtet hat. Die Stelle haftete also nur, wenn ihr ein vorsätzliches oder fahrlässiges Handeln vorgeworfen werden kann. Allerdings obliegt es der handelnden Stelle, im Streitfalle nachzuweisen, dass sie kein Verschulden trifft. Insoweit besteht also eine Beweislastumkehr zugunsten des Betroffenen. Eine Schmerzensgeldregelung wie in § 8 Abs. 2 BDSG findet sich in § 7 nicht.

Neben diesen zivilrechtlichen Ansprüchen enthält das Bundesdatenschutzgesetz auch strafrechtliche Sanktionsmöglichkeiten. Wer vorsätzlich geschützte Daten unbefugt speichert, verändert oder übermittelt und dabei gegen Entgelt oder mit Bereicherungsabsicht handelt, kann mit bis zu zwei Jahren Haft oder Geldstrafe betraft werden. Die Tat wird jedoch nur auf Antrag des Betroffenen, der verantwortlichen Stelle, des Bundesbeauftragten für den Datenschutz oder der Aufsichtsbehörde verfolgt.

§ 43 BDSG enthält außerdem zahlreiche Ordnungswidrigkeitentatbestände. Hier droht dem Täter ein Bußgeld von bis zu 250.000,- EUR.

Sie sehen also, die gesetzlichen Möglichkeiten, gegen Datenschutzverstöße vorzugehen, sind durchaus gegeben. In der Praxis werden sie jedoch nicht im erforderlichen Umfang genutzt.

Eine weitere Gefahr droht dem Verletzer datenschutzrechtlicher Bestimmungen durch das deutsche Wettbewerbsrecht. Die Verletzungshandlung kann wegen des mit ihr verbundenen Rechtsbruchs sittenwidrig i.S.d. § 1 UWG sein. Dies kann wiederum zu kostenpflichtigen Abmahnungen durch Konkurrenten und Verbraucherschutzverbände führen, wenn mit dem Rechtsbruch ein Vorteil gegenüber Konkurrenten im Wettbewerb erlangt werden soll.