Der Bundesgerichtshof (BGH) hat entschieden, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen kann. Selbst wenn alle Beteiligten einer strengen Verschwiegenheitspflicht unterliegen, bleibt die unzulässige Verarbeitung durch Dritte ein eigenständiger Verstoß. Dieses Grundsatzurteil stellt klar: Der Schutz personenbezogener Daten endet nicht bei formaler Vertrauenswürdigkeit der Datenempfänger.
Übertragung von Personalakten an Landesbedienstete als Datenschutzverstoß
Im entschiedenen Fall hatte eine Bundesbeamtin bemängelt, dass die Verwaltung ihrer Personalakten von Bediensteten eines Bundeslandes übernommen wurde. Trotz mehrmaliger Beschwerden blieb zunächst jede Änderung aus. Erst nach Einschaltung der Datenschutzaufsichtsbehörden beendete die Bundesanstalt diese Praxis. Die Beamtin klagte anschließend auf Schadensersatz, unterlag jedoch zunächst vor den Vorinstanzen. Der BGH erkannte nun ausdrücklich an, dass die rechtswidrige Weitergabe der Akten an externe Bedienstete bereits einen relevanten Schaden darstellt.
Verlust der Kontrolle als ausreichender immaterieller Schaden
Nach Auffassung des BGH besteht der Schaden schon im Kontrollverlust über die eigenen personenbezogenen Daten. Eine darüberhinausgehende konkrete Persönlichkeitsrechtsverletzung oder eine besonders schwerwiegende Beeinträchtigung sei nicht erforderlich. Damit korrigierte der BGH die strengeren Anforderungen der Vorinstanzen und folgte der großzügigen Auslegung des Europäischen Gerichtshofs (EuGH).
Verschwiegenheit der Empfänger mindert nicht den Anspruch
Dass die Landesbediensteten ebenfalls Verschwiegenheitspflichten unterlagen, spielt für das Bestehen des Anspruchs keine Rolle. Lediglich bei der Bemessung der Schadenshöhe kann dieser Umstand berücksichtigt werden. Die Entscheidung verdeutlicht: Datenschutzverstöße können nicht dadurch relativiert werden, dass die Empfänger als zuverlässig gelten oder besonderen beruflichen Pflichten unterliegen.
Keine Schadensabwendungsobliegenheit nach deutschem Recht erforderlich
Die Bundesanstalt hatte sich darauf berufen, die Klägerin hätte durch rechtzeitiges Einschreiten den Schaden verhindern müssen. Der BGH wies dieses Argument zurück. Der Anspruch aus der DSGVO ist von nationalen Amtshaftungsgrundsätzen unabhängig. Eine Pflicht zur Schadensabwendung nach deutschem Recht darf die Ausübung der europäischen Schadensersatzansprüche nicht erschweren. Zudem hatte die Klägerin durch ihre Beschwerden und die Einschaltung der Datenschutzbeauftragten nachweislich alles Erforderliche unternommen.
Feststellung des Anspruchs, Höhe noch offen
Im aktuellen Urteil bestätigte der BGH nur das grundsätzliche Bestehen eines Schadensersatzanspruchs. Über die konkrete Höhe der Entschädigung muss in einem gesonderten Verfahren entschieden werden. Maßgeblich wird dabei sein, inwieweit der Kontrollverlust tatsächlich Auswirkungen auf die Klägerin hatte und welche Rolle die bestehenden Verschwiegenheitspflichten der Empfänger dabei spielen.
Weitreichende Folgen für öffentliche Arbeitgeber und Datenverarbeiter
Die Entscheidung hat erhebliche Bedeutung für die Verwaltungspraxis von Behörden und öffentlichen Arbeitgebern. Die Anforderungen an die Verarbeitung personenbezogener Daten bleiben hoch. Eine formelle Delegation an vermeintlich geeignete Dritte genügt nicht, wenn sie datenschutzrechtlich nicht gedeckt ist. Behörden müssen sicherstellen, dass ausschließlich befugte Personen Zugriff auf sensible Daten haben.
Rechtsanwalt Nils Michael Becker aus Bad Honnef bei Bonn ist mit seiner Kanzlei auf Tierrecht, Datenschutz und Vereinsrecht spezialisiert. Er ist Dozent an der Tierechtsakademie in Bielefeld. Einfache und schnelle Terminvereinbarung unter nilsbecker.de/telefontermin.“