Mit seinem Urteil vom 27.11.2019 (Az.: 6 Ob 217/19h) hat der österreichische Oberste Gerichtshof (OGH) darüber entschieden, wer beim Schadensersatzanspruch nach Art. 82 DSGVO was zu beweisen hat.
In dem zugrundeliegenden Fall wurde dem Kläger die Gewährung eines Kredits verweigert, da die Bonitätsauskunft einer Wirtschaftsauskunftei mit einem Eintrag über ein Inkassoverfahren behaftet gewesen war. Der Kläger klagte gegen das Unternehmen unter anderem auf Schadensersatz, da der Eintrag falsch gewesen war und er daraufhin einen anderen Kredit zu ungünstigeren Konditionen aufgenommen hatte.
In der Regel muss ein Kläger, der Schadensersatz verlangt, das Vorliegen aller Voraussetzungen beweisen, die für den Anspruch vorliegen müssen. Allerdings macht Art. 82 Abs. 3 DSGVO davon eine Ausnahme. Danach haftet der Beklagte nicht, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Es war bisher nicht eindeutig geklärt, welche Beweispflichten genau dem Beklagten damit auferlegt werden
Hier hat der OGH nun Stellung bezogen. Wie es der Wortlaut nahelegt, ist der Kläger nur in Bezug auf das Verschulden von seiner Beweispflicht befreit. Ohne einen Gegenbeweis des Beklagten wird also davon ausgegangen, dass er den Verstoß gegen die DSGVO verschuldet hat. Alle anderen Voraussetzungen, namentlich das Vorliegen eines Schadens und dass die rechtswidrige Handlung der Gegenpartei für den Schaden ursächlich war, muss der Kläger beweisen. Auch über die Höhe des Schadens muss er Nachweise erbringen. Das gelang dem Kläger im vorliegenden Fall nicht, sodass ihm der Schadensersatz verwehrt wurde. Das Urteil hat zwar keinen unmittelbare Wirkung für die Rechtslage in Deutschland, zeigt aber die Richtung in dieser Frage auf. Da die Beweispflichten für betroffene Personen einen höheren Aufwand bedeuten, dürfte für Unternehmen nach dem Urteil ein geringeres Risiko bestehen, Schadensersatzansprüchen ausgesetzt zu sein.
-
Joint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit
Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben.
-
Anonymisierung und Pseudonymisierung in der Praxis
Wie der vermeintliche Widerspruch zwischen Datenschutz durch Pseudonymisierung und dem Nutzen personenbezogener Daten in der wissenschaftlichen Praxis bearbeitet werden kann, beleuchten wir in diesem Beitrag. Außerdem werfen wir einen Blick auf die besonderen Herausforderungen, denen Akteur:innen des Gesundheitswesens bei diesem Thema begegnen.
-
Die NIS-2-Richtlinie: Die wichtigsten Ziele und Regelungen
Nach Inkrafttreten der NIS-2-Richtlinie am 16. Januar 2023 verbleiben Deutschland und anderen den EU-Mitgliedsstaaten nunmehr 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Welche Neuerungen ergeben sich und was müssen Unternehmen jetzt beachten? Wir geben Ihnen einen Überblick.