2.8 Gesamtschuldnerschaft
Art 82 Abs 4 DSGVO normiert die gesamtschuldnerische Haftung von mehreren Verantwortlichen vice versa Auftragsverarbeitern derselben Verarbeitung, wenn sie an diesen beteiligt waren. Der Gesetzgeber gießt in diesem Zusammenhang, was eher ungewöhnlich ist, den Zweck der Haftungsbestimmung auch gleich in Gesetzestext: „Damit ein wirksamer Schadenersatz für die betroffene Person sichergestellt ist“. Die Gesamtschuld iSd Art 82 Abs 4 DSGVO folgt nicht den §§ 891 ff ABGB statuierten Grundsätzen. Womit – auch unter Berücksichtigung des unklaren Wesensgehaltes der Rechtsnatur der Haftung nach Art 82 Abs 1 DSGVO – Probleme vorgezeichnet sind:
Begreift man Art 82 DSGVO als Gefährdungshaftung und übernimmt ungefiltert den haftungsbegründenden Umstand („Verstoß gegen die Verordnung“), ist man – sofern eine weite Auslegung des Begriffs des „Verantwortlichen“ erfolgt – sehr schnell bei einer Gesamtschuld angelangt. Die Crux an diesem gesamtschuldnerischen Haftungskonzept liegt auch darin begründet, dass eine „Beteiligung“ an „derselben Verarbeitung“, was oft der Fall sein wird, haftungsbegründend wirken soll.
Im Ergebnis werden sich somit auch Verantwortliche, die klare Zuständigkeiten und Verantwortlichkeiten definieren, um sich rechtmäßig zu verhalten, nicht von dem Beteiligungserfordernis entkoppeln können. Allerdings steht auch die gesamtschuldnerische Haftung nach Art 82 Abs 4 DSGVO unter dem Vorbehalt des Art 82 Abs 3 DSGVO, sodass im Falle einer entsprechenden Nachweisführung die Haftung des betroffenen Verantwortlichen (als Gesamtschuldner) ausgeschlossen ist.
2.9 Fazit
Die Haftung aufgrund von Datenschutzverletzungen gemäß Art 82 DSGVO ist leider in wesentlichen Aspekten auslegungsbedürftig und folglich in ihrer praktischen Anwendung mit Risiken für die Rechtsunterworfenen behaftet.
Die in Österreich vorherrschende Zurückhaltung, was den Ersatz immaterieller Schäden betrifft, wird sich jedenfalls im Anwendungsbereich des Art 82 DSGVO nicht aufrechterhalten lassen.
Art 82 DSGVO lässt die Wertung zu, dass ein Verantwortlicher einer rechtswidrigen Datenverarbeitung haftet, wenn er sich nicht durch den Nachweis der Einhaltung jeder Sorgfalt freibeweist. Das liefe auf eine Verschuldenshaftung mit der Möglichkeit eines Freibeweises hinaus, was zugleich eine interessensgerechte Lösungsmöglichkeit für die Fallkonstellation der Haftung mehrerer Verantwortlicher mit sich bringen dürfte. Unter der Annahme, dass Art 82 DSGVO eine Gefährdungshaftung statuiert, erscheint das fraglich.
67 politico.com/story/2019/05/25/how-silicon-valley-gamed-the-worlds-toughest-privacy-rules-1466148
68Zurückgehend auf Feuerbach, Lehrbuch des geltenden Peinlichen Rechts § 24, 20.
69Art 82 Abs 1 DSGVO.
70§ 33 Abs 1 DSG: „Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen.“
71vgl. auch § 8 MedienG.
72vgl. Art 4 Z 1 DSGVO.
73Hierzu auch Zankl, ecolex 2017, 1150.
74Insofern ist es sehr kritisch zu sehen, wenn dem Schadenersatzrecht mitunter auch eine präventive Wirkung zugewiesen wird. In diesem Sinne Schweiger in Knyrim, DatKomm, Art 82 Rz 12 (Stand 1.12.2018., rdb.at) unter Verweis auf § 1292 Abs 2 ABGB des Reformentwurfes zum österreichischen Schadenersatzrecht. Auch der EuGH weist – leider – eine dahingehende Tendenz auf, vgl. beispielsweise EuGH 17. 12. 2015 – C-407/14.
75EuGH, insbesondere 17. 12. 2015, C-407/14 (betr Art 6 Abs 2 RL 76/207/EWG idF der RL 2002/73/EG und Art 18, 25 RL 2006/54/EG).
76vgl. § 1311 ABGB.
77Siehe ErwGr 146 DSGVO.
78Siehe Kapitel 2.6.
79Piltz in Gola, DSGVO2 Art 82 Rz 10; Kreße in Sydow, DSGVO² Art 82 Rz 9 ff. Jedenfalls für den Ausschluss juristischer Personen auch Krätschmer/Bauswein in Wybitul, EU-DSGVO, Art 82 Rz 12 ff.
80Feldmann in Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art 82 Rz 4.
81Bergt in Kühling/Buchner, DSGVO/BDSG² Art 82 Rz 13 ff.
82Bergt in Kühling/Buchner, DSGVO/BDSG² Art 82 Rz 13 ff.
83vgl. Art 4 Z 1 DSGVO.
84Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 7.
85Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 7.
86vgl. auch Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 7.
87Schweiger in Knyrim, DatKomm, Art 82 Rz 61 (Stand 1.10.2018, rdb.at).
88ErwGr 146 DSGVO (S 6: „[…] vollständiger und wirksamer Schadensersatz […]“).
89ErwGr 75 DSGVO.
90Im Kontext der §§ 1323 ff ABGB gesehen, wären auch Beseitigungs- und Unterlassungsansprüche denkbar.
91Koziol, Österreichisches Haftpflichtrecht I Rz 2/17.
92Verdienstentgang stellt einen positiven Schaden dar (statt vieler RS0081773).
93vgl. § 1331 ABGB: Ersatz des entgangenen Gewinns nur bei Vorsatz bzw. grober Fahrlässigkeit.
94Ebenso: