Die Beweislast in der DSGVO

Veröffentlicht von IT und Rechtsblog am

Wenn es wegen einer Datenschutzverletzung zu einer zivilrechtlichen Klage kommt, dann will es natürlich keiner gewesen sein und schon gar nicht darlegen und beweisen müssen.

Deshalb stellen sich viele Juristen die Frage: Wer hat diese Datenschutzverletzung im Verhältnis zwischen dem verantwortlichen Unternehmen und dem Betroffenen zu beweisen?

Beweislastverteilung

Für viele Juristen scheint die Sache klar auf der Hand zu liegen. Es gelten die allgemeinen Grundsätze des deutschen Zivilprozesses. Nach den Vertretern der allgemeinen Beweislastverteilung des deutschen Zivilprozesses muss wie gewohnt jeder Beteiligte an einer juristischen Auseinandersetzung das Bestehen für ihn günstigen Tatsachen beweisen. Bedeutet so viel wie, dass der Betroffene der Datenschutzverletzung beweisen muss, dass der Verantwortliche etwaige Datenschutzverletzungen begangen hat. Gelingt der Beweis nicht eindeutig, scheitern etwaige Schadensersatzansprüche und die Klage wird abgewiesen (so auch rigoros das LG Karlsruhe, Urteil vom 02.08.2019 - 8 O 26/19).

Andere wiederum sehen im Art. 5 II DSGVO und Art. 24 I DSGVO eine sog. Beweislastumkehr. Das würde bedeuten, dass das verantwortliche Unternehmen etwaige Datenschutzverletzungen gegenüber dem Betroffenen beweisen müsste.

Diese Zuordnung der Beweislast sei nach den Vertretern der allgemeinen Beweislastverteilung für das verantwortliche Unternehmen unverhältnismäßig. Das verantwortliche Unternehmen müsste dann das gesamte DSGVO nach etwaigen Datenschutzverletzungen abklopfen. Ferner stünden dem Betroffenen ja auch noch die Auskunftsrechte nach Art. 15 DSGVO zu. Diese würden den Betroffenen ausreichend dazu bemächtigen, an alle Datenschutz relevanten Informationen zu gelangen.

Prinzipen des Datenschutzes

Vertreter dieser Ansicht argumentieren in der Tat juristisch und analytisch sehr sauber. Aber mit den Grundsätzen des Datenschutzes lediglich zu kokettieren, kann keine sachgerechte Lösung hervorbringen.

Sinn und Zweck dieser Datenschutzreformen war es den Betroffenen wieder in den Mittelpunkt zu stellen und ihm durch mehr Transparenz und unterstützende behördliche Kontrolle, wieder in seiner informationellen Selbstbestimmung zu affirmieren

Man muss sich die Vertreter dieser Ansicht wie einen Meeresbiologen vorstellen. Dieser kann detailliert jeden Fisch und jeden einzelnen Meeresbewohner beschreiben und erklären. Aber nicht ein einziges Mal geht der Meeresbiologe darauf ein, dass sich das alles im Wasser abspielt. Das Wasser steht hier selbstverständlich für die Grundsätze und Regelungsziele, die der Datenschutz und die DSGVO verkörpern.

Sinn und Zweck dieser Datenschutzreformen war es den Betroffenen wieder in den Mittelpunkt zu stellen und ihm durch mehr Transparenz und unterstützende behördliche Kontrolle, wieder in seiner informationellen Selbstbestimmung zu affirmieren. Gleichzeitig sollte dem „Daten-Machtgefälle“ zwischen ihm und dem datenverarbeitenden Unternehmen präventiv entgegengewirkt werden. Mit dem Katalog an Gesetzen in der DSGVO lassen sich diese Regelungsziele sehr einfach erodieren. Denn Gesetze leben nicht von ihrer Partikularität, sondern sind unteranderem auch in ihrer Gesamtheit und in ihrem Kontext zu erfassen. Wer diese Gesamtheit ausblendet und Recht nur als das betrachtet, was die Gesetzgebung schwarz auf weiß zum Recht erklärt, blendet den Inhalt und die Begründung dessen völlig aus. Man darf als Jurist auch mal das Große im Kleinen sehen.

IT-Forensiker?

Außer Acht lassen darf man natürlich auch nicht die IT-technische Komponente. Wenn schließlich der Betroffene alles beweisen müsste, macht man aus ihm einen hochprofessionellen IT-Forensiker. Das Menschenbild dahinter scheint definitiv sehr löblich zu sein. Aber in komplex gelagerten Fällen ist diese Auffassung unhaltbar. Und auch hier lässt sich „der Informatiker“ natürlich nicht lumpen, wenn er behauptet, dass IT-technisch gut aufgestellte Unternehmen (Stichwort: zu viele heterogene Datentöpfe) unberechtigte Vorwürfe leicht entkräften könnten. Der Trend bei Aufsichtsbehörden und sonstigen Legal Regulatoren, immer detailreichere Informationen zu verlangen, führt also zwangsläufig dazu diese heterogenen Datentöpfe zu entwirren und den Aufsichtsbehörden zur Verfügung zu stellen. Diese Vorgehensweise ist in der Wirtschaftswelt auch nicht als reine Genugtuung rechtlicher Anforderungen zu betrachten, sondern notwendig, um den Arbeitsprozess effektiver zu gestalten.

Wozu die immensen technischen und organisatorischen Maßnahmen (kurz: Toms) und "überbordenden" Dokumentationspflichten dann noch gut sein sollen, bleibt den Vertreter dieser Theorie offenbar auch ein Rätsel. Schließlich sind die datenverarbeitenden Unternehmen nunmehr im Besitz dieser so mühsam erstellten Verarbeitungsverzeichnisse und Datenschutz-Folgenabschätzungen. Das sich diese Dokumentationen ausschließlich an die zuständigen Datenschutzbehörden richten sollen, entspricht ebenso nicht dem Regelungsziel dieser Verordnung. In den Erwägungsgründen 6-8 der DSGVO heißt es hierzu, dass die aktuelle Entwicklung in der IT "einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes" erfordert und demgemäß "ein hohes Datenschutzniveau zu gewährleisten ist". Diesem Regelungsziel hat sich die DSGVO verpflichtet und kann mit Auskunfts- und Informationspflichten nicht einfach abgekanzelt werden (so auch in einer vergleichbaren Frage das OLG Hamburg, Urt. v. 25.10.2018, 3 U 66/17, Tz. 54).

Daher wäre es, und das muss man den Vertretern dieser Theorie zugestehen, wünschenswert, dass der Gesetzgeber hier nachsteuert und korrelierend zu den Verbrauchergesetzen im BGB (vgl. § 477 BGB) klare Regelungen trifft.

Ansonsten bleibt es wie gewohnt in der Welt der Juristen und dem einen seine Eule, ist dem anderen wieder seine Nachtigall.

Der Jurist und Der Informatiker

Ein Jurist mit einem Faible für die Verzahnung von IT und Recht. Und ein rechthaberischer Informatiker.

Kategorien: Artikel