Der europäische Gesetzgeber wollte mit der DSGVO, wie bereits ihr offizieller Titel verrät, ein Regelwerk zum Schutz „natürlicher Personen bei der Verarbeitung personenbezogener Daten“ normieren. Und genau diese Befugnis steht dem europäischen Gesetzgeber gemäß Art 16 Abs 2 AEUV auch zu.
Eine Interpretation dahingehend, dass mittels des Begriffs „jede Person“ auch juristische Personen in den Haftungsverband der DSGVO einbezogen werden sollten, würde auf das Ergebnis hinauslaufen, dass der europäische Gesetzgeber (in Übertretung seiner Gesetzgebungskompetenz) als Reflexwirkung auch eindeutig nicht vom Telos der DSGVO erfasste Personen in deren Schutzbereich einbeziehen wollte. Der Willen nach einer solchen juristischen Gratwanderung sollte dem europäischen Gesetzgeber nicht unterstellt werden.
Somit sollte klar sein, dass iSd Art 82 DSGVO anspruchsberechtigt jede natürliche Person[83] ist, die wegen (besser: aufgrund) eines Verstoßes gegen die DSGVO einen Schaden erlitt. Damit gemeint sind die (natürlichen) Personen, deren Daten nach Maßgabe der DSGVO zu behandeln und somit betroffen sind.[84] Insoweit ist auch eine Rückbesinnung auf einen spezifisch drittschützenden Charakter der jeweiligen Verhaltenspflicht nicht notwendig.[85] Ausgeschlossen sind demnach Dritte, die (als Reflexwirkung) dadurch einen Schaden erleiden, weil beispielsweise ein Verantwortlicher rechtswidrig Daten einer betroffenen Person iSd Art 4 Z 4 DSGVO verarbeitete[86] − unabhängig davon, ob es sich bei dem Dritten um eine natürliche oder juristische Person handelt.
2.4.2.3Österreich als Sonderfall
§ 29 S 1 DSG statuiert für den Fall eines Verstoßes gegen die DSGVO bzw. § 1 sowie Art 2 1. Hauptstück des DSG einen Schadenersatzanspruch „nach Art 82 DSGVO“, wobei für diesen gemäß § 29 S 2 DSG im Einzelnen die allgemeinen Bestimmungen des bürgerlichen Rechts gelten sollen. Da sich der Anwendungsbereich des § 1 sowie Art 2 1. Hauptstück des DSG auch auf juristische Personen erstrecken, stünden somit auch solchen Personen Schadenersatzansprüche „nach Art 82 DSGVO“ zu.
Zwar hat der österreichische Gesetzgeber unbestritten die Kompetenz, nationale Bestimmungen hinsichtlich personenbezogener Daten juristischer Personen und somit auch die Rechtsfolgen im Falle von Verstößen zu implementieren. Und folgerichtig wird aufgrund des Wortlautes von § 29 DSG davon ausgegangen, dass der Gesetzgeber den sachlichen Anwendungsbereich des Art 82 DSGVO auch auf juristische Personen erstreckte.[87]
Die sich daraus nicht nur in der juristischen Praxis ergebenden Konsequenzen sind allerdings weder abschätzbar noch praktikabel, leidet doch die Erstreckung auf den „sachlichen Anwendungsbereich“ des Art 82 DSGVO unter einem Zirkelschluss: Art 82 DSGVO setzt als haftungsbegründendes Ereignis einen Verstoß gegen die Verordnung, die jedoch selbst unzweifelhaft juristische Personen nicht erfasst, voraus. Somit ergibt § 29 DSG, soweit es juristische Personen betrifft, nur Sinn, wenn und soweit sich auch juristische Personen auf die Tatbestandsvoraussetzungen des Art 82 DSGVO stützen können, wobei haftungsbegründend ausschließlich ein Verstoß gegen § 1 bzw. Artikel 2 1. Hauptstück des DSG wirken kann.
Hinsichtlich juristischer Personen verbleibt somit im Wesentlichen im Rahmen des § 29 S 1 DSG der Vorwurf, dass ein Verantwortlicher oder Auftragsverarbeiter den Anspruch auf Geheimhaltung der die juristische Person betreffenden personenbezogenen Daten, obwohl ein schutzwürdiges Interesse daran bestand, (schuldhaft) verletzte. Dabei könnte sich der Verantwortliche oder Auftragsverarbeiter von seiner Haftung nur befreien, wenn er gemäß Art 82 Abs 3 DSGVO nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Ein „Verstoß“ gegen § 1 Abs 3 DSG hat jedenfalls für juristische Personen keine Bedeutung:
§ 1 Abs 3 DSG statuiert zwar gewisse Rechte, die jedem zustehen (zB Auskunftsrecht, Recht auf Löschung und Richtigstellung), diese Rechte müssten aber demgemäß auch juristischen Personen zukommen. Allerdings: Sie gelten, dem Wortlaut des § 1 Abs 3 DSG folgend, „nach Maßgabe gesetzlicher Bestimmungen“. Es gibt jedoch im DSG keine einfach gesetzlichen datenschutzrechtlichen Bestimmungen (mehr), die zu Gunsten von juristischen Personen zur Anwendung gelangen könnten.
Welche Konsequenzen folgen daraus für die Praxis?
Sofern juristische Personen mit dem jeweiligen Verantwortlichen bzw. Auftragsverarbeiter in einer rechtgeschäftlichen Beziehung stehen, empfiehlt es sich, auf Rechtsfolgenebene vertragliche Vorkehrungen zu treffen, die explizit (auch) auf den Ausschluss von § 29 DSG bzw. eine entsprechende betragsmäßige Begrenzung gerichtet sind. Hierbei wird zu beachten sein, dass sich die Wirksamkeit einer solchen Haftungsbefreiung bzw. -beschränkung auch an der Schwere des Verschuldensvorwurfs orientieren wird; eine wirksame Freizeichnung für vorsätzliches Fehlverhalten ist selbstredend ausgeschlossen, für grob fahrlässiges Handeln erscheint jedoch zumindest eine betragsmäßige Eingrenzung, die das verletzungstypische Risiko widerspiegelt, zulässig. Wobei auch folgender Gedankengang vertiefungswürdig erscheint:
Privaten Rechtsträgern steht es grundsätzlich frei, auf ihnen zustehende Rechte zu verzichten. Zwar ist nicht jeder Rechtsverzicht wirksam bzw. mögen bestimmte, insbesondere höchstpersönliche Rechte einem Verzicht unzugänglich sein. Und Grundrechten, denen der Charakter eines Abwehrrechtes gegenüber staatlichem Handeln immanent ist, mag eine solche Unverzichtbarkeit regelmäßig innewohnen. Allerdings dürfte jedenfalls dann, wenn genau diese Abwehrfunktion gegenüber staatlichem Handeln nicht Gegenstand der Grundrechtsausübung ist, eine differenzierte Betrachtung angebracht sein. Fehlende Dispositionsbefugnis dürfte grundsätzlich nur bei überindividuellen Gütern in Betracht zu ziehen sein. Das Recht auf Datenschutz fällt nicht darunter. Dessen Schutzbereich betrifft nur den Einzelnen, sei es auch eine juristische Person. Insoweit stellt sich die Frage, ob Parteien, zumal, wenn es sich um juristische Personen handelt, – inter partes – nicht auch wirksam auf ein zwischen ihnen unmittelbar wirkendes Grundrecht verzichten können. Dann würde jedoch ein Schadenersatzanspruch, gestützt auf § 29 iVm § 1 DSG, ins Leere laufen.
Vorangestellte Überlegungen können jedoch selbstredend dann nicht zum Tragen kommen, wenn zwischen den Parteien keine rechtsgeschäftliche bzw. rechtsgeschäftsähnliche Sonderbeziehung besteht. Hier bleibt es bei der (potenziellen) Anwendbarkeit des § 29 iVm § 1 DSG auch zugunsten juristischer Personen infolge der Verletzung ihrer „schutzwürdigen Interessen“ – wie auch immer dieser unbestimmte Rechtsbegriff letztlich im Einzelfall interpretiert werden mag.
2.5 Schaden
2.5.1 Ausgangspunkt
Allein die Rechtswidrigkeit des Verhaltens des Haftenden reicht für eine Haftung nicht aus; es muss beim Anspruchsberechtigten – infolge dieses Fehlverhaltens – auch ein (dem Schädiger zuzurechnender) Schaden entstanden sein, wobei der Begriff des Schadens unter Berücksichtigung von Art 4 Abs 3 AEUV „[…] im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise [auszulegen ist], die den Zielen dieser Verordnung in vollem Umfang entspricht“[88]. In den Erwägungsgründen wird in diesem Zusammenhang angesprochen, dass die rechtswidrige Verarbeitung von personenbezogenen Daten zu
+einer Diskriminierung, einem Identitätsdiebstahl oder -betrug,
+einem finanziellen Verlust,
+einer Rufschädigung,
+einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten,
+der unbefugten Aufhebung der Pseudonymisierung oder
+anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen
führen kann.[89]
Zusammengefasst geht es somit um den Ersatz erlittener[90] materieller und immaterieller Schäden.
2.5.2 Materielle Schäden
Selbst unter Beachtung des Vorrangs des Unionsrechtes kann hierbei grundsätzlich auf die zu §§ 1293 ff ABGB entwickelten