Bonitätsauskunft als Ausgangsfall (Inkassoverfahren)
Der Oberste Gerichtshof hatte sich mit einem Sachverhalt zu beschäftigen, in dem es um Bonitätsauskünfte ging. Die Beklagte ist eine Wirtschaftsauskunftei. Ein direkter Kontakt zwischen Kläger und Beklagter besteht nicht. Über Anfrage Dritter erteilte die Beklagte eine Auskunft über den Kläger, in der angegeben war: „Ampel-Score: 5 (durchschnittliche Bonität, durchschnittliches bis erhöhtes Risiko)“ sowie als „Negativmerkmal“ das „Merkmal 20 (Inkasso)“. Der Kläger wollte einen Kredit aufnehmen, den er allerdings nicht erhielt. Es konnte nicht festgestellt werden, ob die Bank ein unüberwindliches Hindernis für die Kreditgewährung in einer unrichtigen negativen Auskunft der Beklagten über den Kläger erblickte. Eine andere Bank gewährte den Kredit.
Verfahren erster und zweiter Instanz
Der Kläger begehrte von der Beklagten Schadenersatz von EUR 8.271,67 und die Feststellung der Haftung der Beklagten für künftige Schäden. Das Erstgericht beurteilte die Weitergabe der Daten als rechtswidrig, sah jedoch den Nachweis von Schaden und Kausalität als nicht gelungen. Die Konditionen der ersten Bank konnte der Kläger auch nicht nachweisen. Dieses Urteil wurde im klagsstattgebenden Teil mangels Anfechtung rechtskräftig. Das Berufungsgericht bestätigte den klagsabweisenden Teil, da weder für Schadens noch Kausalität eine Beweislastumkehr sachgerecht sei, sodass Negativfeststellungen zu Lasten des Klägers gehen.
Oberster Gerichtshof
Der Oberste Gerichtshof hat sich nachfolgend ausführlich mit allen Stimmen zur Beweislast bei Datenschutzverletzung und Schadenersatz auseinandergesetzt und kam nach Prüfung der anzuwendenden Normen zum Ergebnis, dass durch die DSGVO die Beweislast für das Vorliegen eines Schadens und für die Kausalität nicht geändert wurde, da bereits. § 33 DSG 2000 eine vergleichbare Regelung enthielt. Er hielt fest, dass Art 82 DSGVO als Ergänzung zum nationalen Schadenersatzrecht als eine Art lex specialis eines datenschutzrechtlichen Schadenersatzrechts zu sehen ist.
Warnliste der Banken und Datenweitergabe – Rechtswidrigkeit
Unter Verweis auf bisherige Rechtsprechung (Warnliste der österreichischen Kreditinstitute, 6 Ob 275/05t, 6 Ob 247/08d) sprach er aus, dass der in § 6 Abs 1 Z 1 DSG 2000 verankerte Grundsatz, wonach Daten nur nach Treu und Glauben verwendet werden dürfen, eine entsprechende Benachrichtigung des Betroffenen erfordert, um ihm die Möglichkeit zu geben, sich gegen eine seiner Meinung nach nicht gerechtfertigte, seine Kreditwürdigkeit aber massiv beeinträchtigende Datenverwendung zur Wehr zu setzen. Die Eintragung in die Warnliste ist rechtswidrig und der Bank subjektiv vorwerfbar, wenn sie ohne entsprechende Benachrichtigung des Betroffenen erfolgt. Zudem muss geprüft werden, ob Daten, die auf den ersten Blick bonitätsrelevant scheinen, in Wahrheit keine oder nur sehr beschränkte/unzuverlässige Aussagekraft über die Bonität des Betroffenen zukommt. Würden daher gegenüber dem Inkassobüro keine nennenswerten Zahlungsschwierigkeiten offenbar – das sei bei einer Zahlung in lediglich zwei Monatsraten anzunehmen –, sei die bloße Übergabe zum Inkasso im Hinblick auf die soeben dargelegte beschränkte Aussagekraft kein Datum, für dessen Weitergabe an eine Kreditauskunftei ein überwiegendes berechtigtes Interesse angenommen werden kann.
Beweislast bei Schadenersatz nach Datenschutzverletzung
Neben der bejahten Rechtswidrigkeit müssen allerdings auch die übrigen Voraussetzungen eines Schadenersatzanspruches vorliegen, zu denen das Erstgericht mehrere Negativfeststellungen traf. Der Oberste Gerichtshof setzte sich daher mit der Beweislast bei Datenschutzverletzung nach Art 82 DSGVO auseinander. Die Norm regelt nur eine Beweislastumkehr in Bezug auf das Verschulden, nicht jedoch hinsichtlich der anderen anspruchsbegründenden Voraussetzungen.
Das Unionsrecht enthält zur Beweislast keinerlei Bestimmungen, sodass diesbezüglich die innerstaatlichen Vorschriften zur Anwendung kommen. Die Beweislast für das Vorliegen und die Höhe des Schadens liegt daher beim Kläger. Gemäß dem Effektivitätsprinzip darf das nationale Beweisrecht nur keine unüberbrückbaren Hürden für die Geltendmachung des Anspruchs vorsehen. Zum Beweis des materiellen Schadens können insbesondere Statistiken aus der Kreditwirtschaft zum Nachweis der gewöhnlichen Höhe des Kreditzinses herangezogen werden. § 273 Abs 1 ZPO bietet eine Erleichterung bei der Berechnung, vorausgesetzt der Schadenersatzanspruch steht dem Grunde nach fest. Zur Beweislast bei der Kausalität gilt, dass es ohne genauen Einblick in die Verarbeitungsvorgänge praktisch nicht nachzuweisen sei, dass beispielsweise eine unzulässige Weitergabe von Bonitätsdaten die ausschlaggebende Ursache für die Nichtgewährung eines Kredits war (vgl Kerschbaumer-Gugu, Schadenersatz bei Datenschutzverletzung).
Aus Art 82 DSGVO ist keine Beweislastumkehr hinsichtlich der Kausalität abzuleiten. Die haftungsbegründenden Tatsachen sind vom Anspruchsteller zu behaupten und zu beweisen, sohin der Eintritt eines (materiellen oder immateriellen) Schadens, der Normverstoß, dh die (objektive) Rechtswidrigkeit durch den Schädiger, sowie die (Mit-)Ursächlichkeit des Verhaltens des Schädigers am eingetretenen Schaden im Sinne einer adäquaten Kausalität.
Auch die Anwendung eines Anscheinsbeweises hat das Berufungsgericht zu Recht verneint. Der Anscheinsbeweis wird in Fällen als sachgerecht empfunden, in denen eine umfassende und konkrete Beweisführung vom Beweispflichtigen billigerweise nicht erwartet werden kann, weil Umstände beweisbedürftig sind, die allein in der Sphäre des anderen liegen, nur letzterem bekannt sein können und daher auch nur durch ihn beweisbar.
Rechtsanwalt Schadersatz nach Datenschutzverletzung
Rechtsanwalt Dr. Johannes Öhlböck LL.M. berät und vertritt in Fällen von Schadenersatz und Verletzung von Datenschutzrecht (DSGVO).