Einerseits sieht die DSGVO, wie der Blick in Art 83 DSGVO verrät, fast schon absurd hoch anmutende Geldbußen bei Verstößen gegen ausgewählte Bestimmungen der Verordnung vor. Mag man auch über die Sinnhaftigkeit solcher Strafdrohungen (Stichwort Verhältnismäßigkeit) diskutieren, so obliegt deren Einführung selbstredend dem zuständigen Gesetzgeber, zumal es letztlich die zuständigen Aufsichtsbehörden sind, die (wieder: Stichwort Verhältnismäßigkeit) den jeweiligen konkreten Verhaltensverstoß angemessen zu sanktionieren haben. Da vermag bereits aus Präventionsgründen ein potenzielles finanzielles Desaster ein geeignetes Instrumentarium zu sein, zumal, wenn betroffene Unternehmen ihre Organisation danach ausrichten können. Aber genau hier liegt die Crux begraben.
Die DSGVO weist eine Vielzahl strafbegründender, unbestimmter Rechtsbegriffe auf, was sowohl aus Sicht des Legalitäts- als auch Gesetzlichkeitsprinzips zumindest kritisch zu sehen ist. Dem Anspruch des Gesetzgebers, bestimmte Verhaltensweisen zu sanktionieren, ist zugleich die Notwendigkeit immanent, dies auf Basis hinreichend bestimmter Gesetze zu tun („nulla poena sine lege certa“). Dass dieser, ursprünglich im Strafrecht verankerte Rechtsgrundsatz[68] auch im Verwaltungsrecht gilt, ist heute unbestritten.
Sofern es nun aber um zivilrechtliche Rechtsfolgen von Verstößen gegen die DSGVO geht, mag die Rechtslage auf den ersten Blick anders sein. Ganz so liegen die Dinge aber nicht:
2.2 Art 82 DSGVO – Haftung und Recht auf Schadenersatz
Art 82 DSGVO bestimmt zunächst: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“[69] Soweit – scheinbar – so klar.
Aber eben nicht ganz:
2.3 Art 82 DSGVO vs § 33 DSG 2000 – alles beim Alten?
Bei einem Streifzug durch die in ihrer Zahl stetig zunehmenden Stellungnahmen zu Art 82 DSGVO fällt zunächst auf, dass diese sehr oft von einem klaren Unbehagen über die legistische Leistung des europäischen Gesetzgebers beherrscht sind. Diese Kritik, auf die im Folgenden zumindest partiell eingegangen wird, ist mitunter durchaus berechtigt. Überraschend ist allerdings, dass die Konsequenz einer zivilrechtlichen Haftung für – vereinfacht gesprochen – Verstöße gegen datenschutzrechtliche Bestimmungen so neu eigentlich nicht ist:
§ 33 DSG 2000, dem bis zur Einführung der DSGVO eher wenig Beachtung geschenkt wurde, was sich infolge seiner Derogation auch nicht mehr ändern wird, sah das bereits vor[70]. Zwar mag die in § 33 DSG 2000 vorgenommene Eingrenzung, wonach Ersatz immaterieller Schäden nur dann in Betracht kam, wenn der höchstpersönliche Lebensbereich eines Menschen in einer Weise erörtert oder dargestellt wird, die geeignet ist, ihn in der Öffentlichkeit bloßzustellen[71], für die Rechtsanwendung einfacher und praktikabler gewesen sein. Diese strikte Begrenzung war jedoch auch eine Mitursache dafür, dass § 33 DSG 2000 an sich totes Recht darstellte.
Die nunmehr „offene“ Gestaltung des Ersatzes immaterieller Schäden, wie sie in Art 82 DSGVO Eingang gefunden hat, mag ob ihrer Unbestimmtheit bzw. des Fehlens eines einheitlichen Verständnisses vom Begriff des immateriellen Schadens auf europäischer Ebene Anlass für Kritik geben. In der Sache selbst sollte man an dieser Stelle jedoch nicht mit zu vielen Steinen werfen, denn das Glashaus in Form des österreichischen Rechtskreises und mit ihm eingeschlossen des, jedenfalls soweit es den Ersatz immaterieller Schäden betrifft, recht unbestimmten § 1325 Allgemeines Bürgerliches Gesetzbuch (ABGB) existiert seit 1811 (und dennoch haben die Rechtsanwender auch mit diesem Gesetz zu leben gelernt). An die äußerst flexibel gestalteten § 1323 und § 1324 ABGB sei an dieser Stelle nur erinnert.
2.4 Aktivlegitimation
2.4.1 Grundsätzliches
Hervorhebenswert ist zunächst, dass Art 82 Abs 1 DSGVO nicht auf jeden „Betroffenen“, sondern auf „[j]ede Person“ als (potenziell) aktiv Legitimierten eines auf die Verletzung von Vorgaben der DSGVO gestützten Schadenersatzanspruches abstellt. Hervorhebenswert deshalb, weil die DSGVO selbst an diversen Stellen auf die „betroffene Person“[72] als Anknüpfungspunkt Bezug nimmt. Dass es sich hierbei keineswegs um ein „Redaktionsversehen“, sondern um eine bewusste Entscheidung des europäischen Gesetzgebers handelt, zeigt auch ein Blick in die englische Version der DSGVO, in der zwischen “data subject” und – in Bezug auf Art 82 DSGVO – „any person“ (Art 82 DSGVO) unterschieden wird.[73]
Dass nur eine Person, der durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, diesen (gegenüber dem Schädiger) zu liquidieren berechtigt sein sollte, liegt bereits in der Natur von Schadenersatzansprüchen begründet. Zu ergänzen ist allerdings, was jedoch ebenfalls keine Neuheit darstellt, dass der erlittene Schaden gerade vom Schutzzweck der (normierten) Verhaltenspflicht erfasst sein muss; jede andere Sichtweise würde auf einen – dem Schadenersatzrecht grundsätzlich fremden – Sanktionscharakter hinauslaufen. Von diesen Überlegungen ist Art 83 DSGVO getragen; im Rahmen des Art 82 DSGVO sollten sie jedoch keinen Platz haben.[74] Andernfalls würde man unmittelbar bei einer Art Strafschadenersatz landen. Ein solcher ist jedoch, jedenfalls im Sinne von punitive damages, ebenfalls nicht gewollt.[75]
2.4.2 Die Anspruchsberechtigten
2.4.2.1Systematisches
Die Bezugnahme in Art 82 Abs 1 DSGVO auf „jede“ und nicht nur eine „betroffene Person“ als Anspruchsberechtigte, sofern sie durch einen Verstoß gegen die Bestimmungen der DSGVO einen Schaden erleidet, ist konsistent, wenn man die DSGVO (genauer: die im Einzelfall zu bestimmenden Verhaltenspflichten) – aus einem österreichischen Blickwinkel – genau als das betrachtet, was sie dem Grunde nach ist: nicht mehr und nicht weniger als ein Schutzgesetz.[76]
Zwar ist dieser österreichische Blickwinkel ob der erforderlichen autonomen Auslegung, beispielsweise, sofern es um den Begriff des Schadens im Sinne der DSGVO geht[77], methodisch nicht ganz korrekt. Eine Besinnung auf das Konstrukt „Schutzgesetz“ verdeutlicht jedoch nur allzu gut, warum Art 82 DSGVO auf „jede“ und eben nicht nur „betroffene Person“ abstellt und dass es auf eine rechtsgeschäftliche oder rechtsgeschäftsähnliche Beziehung zwischen dem vermeintlichen Schädiger (Verantwortlichen, Auftragsverarbeiter) und dieser Person nicht ankommt bzw. ankommen kann. Begreift man das Persönlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung, wenn und soweit es durch die DSGVO geschützt wird, als absolute Rechte, gilt es inter omnes (gegenüber jedermann). Das ist de lege lata nichts Neues; es liegt in der Natur von absolut geschützten Rechten bzw. Rechtsgütern, dass sie, ohne Bezug auf etwaige Sonderbeziehungen, von jedermann zu beachten sind.
Neu an der DSGVO ist allerdings, dass Art 82 DSGVO darüber hinaus ein Beweislastkonzept beinhaltet, das sich genau an solchen vertraglichen Sonderbeziehungen orientiert bzw. darüber hinausgeht. Hierzu jedoch an späterer Stelle[78] und zurück zu Grundlegenderem:
2.4.2.2„Jede Person“ als Anspruchsberechtigte?
Erfasst der Begriff „jede Person“ auch juristische Personen? Ein Blick in das hierzu verfügbare Schrifttum überrascht:
Einerseits wird die Auffassung vertreten, dass nur „betroffene [natürliche] Personen“ gemeint und juristische Personen ausgeschlossen sein sollen.[79] Andere erstrecken den Schutzbereich auch auf juristische Personen[80] bzw. formulieren vorsichtig, dass „eine Beschränkung des Kreises der Anspruchsberechtigten auf natürliche Personen vertretbar“[81] sei, wobei die Grenze des Haftungsrahmens nicht bei