Mit seinem Urteil vom 27.11.2019 (Az.: 6 Ob 217/19h) hat der österreichische Oberste Gerichtshof (OGH) darüber entschieden, wer beim Schadensersatzanspruch nach Art. 82 DSGVO was zu beweisen hat.
In dem zugrundeliegenden Fall wurde dem Kläger die Gewährung eines Kredits verweigert, da die Bonitätsauskunft einer Wirtschaftsauskunftei mit einem Eintrag über ein Inkassoverfahren behaftet gewesen war. Der Kläger klagte gegen das Unternehmen unter anderem auf Schadensersatz, da der Eintrag falsch gewesen war und er daraufhin einen anderen Kredit zu ungünstigeren Konditionen aufgenommen hatte.
In der Regel muss ein Kläger, der Schadensersatz verlangt, das Vorliegen aller Voraussetzungen beweisen, die für den Anspruch vorliegen müssen. Allerdings macht Art. 82 Abs. 3 DSGVO davon eine Ausnahme. Danach haftet der Beklagte nicht, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Es war bisher nicht eindeutig geklärt, welche Beweispflichten genau dem Beklagten damit auferlegt werden
Hier hat der OGH nun Stellung bezogen. Wie es der Wortlaut nahelegt, ist der Kläger nur in Bezug auf das Verschulden von seiner Beweispflicht befreit. Ohne einen Gegenbeweis des Beklagten wird also davon ausgegangen, dass er den Verstoß gegen die DSGVO verschuldet hat. Alle anderen Voraussetzungen, namentlich das Vorliegen eines Schadens und dass die rechtswidrige Handlung der Gegenpartei für den Schaden ursächlich war, muss der Kläger beweisen. Auch über die Höhe des Schadens muss er Nachweise erbringen. Das gelang dem Kläger im vorliegenden Fall nicht, sodass ihm der Schadensersatz verwehrt wurde. Das Urteil hat zwar keinen unmittelbare Wirkung für die Rechtslage in Deutschland, zeigt aber die Richtung in dieser Frage auf. Da die Beweispflichten für betroffene Personen einen höheren Aufwand bedeuten, dürfte für Unternehmen nach dem Urteil ein geringeres Risiko bestehen, Schadensersatzansprüchen ausgesetzt zu sein.
-
Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS
Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
-
Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits.
-
Datenschutz und Digitalisierung: EU-Datenregulierung im Überblick
Datengetriebene Unternehmen stehen vor der Herausforderung, ihre Geschäftsmodelle nicht nur an technologische Veränderungen, sondern auch an datenschutzrechtliche Anforderungen anzupassen. Dazu gehört auch das Verständnis der verschiedenen EU-Rechtsakte zur Datenregulierung wie: Data Governance Act (DGA), Data Act (DA), Digital Services Act (DSA), Digital Markets Act (DMA), AI Act (AIA) und dem European Health Data Space (EHDS).