Nachfolgende Beschlussempfehlung erhielt ich zu meiner Petition, in der es darum ging, dass Firmen sich nicht mit Kleinbeträgen von Datenskandalen freikaufen können.

Der Petent fordert eine Erweiterung des Bundesdatenschutzgesetzes dahingehend, dass bei Datenpannen und bei nicht rechtmäßige Datensammlungen eine Entschädigung an die Opfer zu zahlen ist.

Zur Begründung des Anliegens trägt der Petent im Wesentlichen vor, es käme immer wieder zu Datenpannen, wie beispielsweise zum Verlust von Kontonummern. Vielfach sei die Ursache für diesen Verlust nicht der angebliche Hackerangriff, sondern die Unfähigkeit oder Unwilligkeit der Unternehmen, für einen sorgfältigen Umgang mit Daten zu sorgen. Eine finanzielle Entschädigung der Opfer von Datenpannen würde einerseits einen Anreiz für die Unternehmen, sich für mehr Datensicherheit zu engagieren, bieten. Andererseits würde für die Betroffenen ein Ausgleich für den mit Datenpannen verbundenen erheblichen Zeit- und Kostenaufwand geschaffen werden. Insbesondere zu kritisieren seien die Schadensersatzregelung des § 7 Bundesdatenschutzgesetz (BDSG), da sie weder eine genau Form noch eine Höhe der Entschädigung vorgebe, sowie die Regelungen des § 8 BDSG, die für bestimmte Fälle eine Obergrenze vorsehe. Der in § 8 BDSG genannte Höchstbetrag von 130.000 Euro Schadensersatz sei für Unternehmen, die gegen datenschutzrechtliche Bestimmungen verstießen, eine „lächerlich geringe Summe“, die erfolgreiche Unternehmen in Kauf nehmen würden.

Hinsichtlich der weiteren Einzelheiten zu dem weiteren Vorbringen wird auf die vom Petenten eingereichten Unterlagen verwiesen.

Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht zu Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt zusammenfassen.

Der Petitionsausschuss hebt zunächst hervor, dass der Datenschutz für ihn ein sehr wichtiges Anliegen darstellt. Er misst dem Grundrecht auf informationelle Selbstbestimmung gemäß Artikel 2 in Verbindung mit Artikel 1 Grundgesetz einen sehr hohen Stellenwert zu.

Nach umfassender Prüfung der Sach- und Rechtslage stellt der Petitionsausschuss fest, dass das Bundesdatenschutzgesetz in den §§ 7 und 8 BDSG bereits Schadensersatzansprüche für den nicht-öffentlichen wie auch für den öffentlichen Bereich vorsieht.

Wird einem Betroffenen durch eine nach dem Bundesdatenschutzgesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch eine verantwortliche Stelle ein Schaden zugefügt, ist sie oder ihr Träger gemäß § 7 BDSG dem Betroffenen zum Schadensersatz verpflichtet. Die Haftung entfällt, wenn die verantwortliche Stelle vorträgt und beweisen kann, dass sie die erforderliche Sorgfalt beachtet hat.

Handelt es sich bei der Stelle um eine öffentliche Stelle, ist ihr Träger gemäß § 8 BDSG dem Betroffenen unabhängig von einem Verschulden zum Schadenersatz verpflichtet. Die in § 8 BDSG enthaltene eigenständige Haftungsnorm öffentlicher Stellen normiert damit einen verschuldensunabhängigen Gefährdungshaftungstatbestand bei automatisierter Datenverarbeitung.

Der Schadensersatz gemäß § 8 BDSG ist insgesamt auf einen Betrag von 130.000 Euro beschränkt. Jede beteiligte Stelle haftet, sofern bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt sind und der Geschädigte nicht in der Lage ist, die speichernde Stelle festzustellen. Hierbei sind dem Betroffenen die materiellen und gegebenenfalls auch die immateriellen Schäden zu ersetzen.

Ferner macht der Petitionsausschuss darauf aufmerksam, dass daneben allgemeine zivilrechtliche Schadensersatzansprüche sowohl nach Deliktsrecht (§§ 823 ff. des Bürgerlichen Gesetzbuches) als auch nach Vertragsrecht sowie darüber hinaus gegenüber öffentlichen Stellen Staathaftungsansprüche bestehen können. Vor diesem Hintergrund vermag der Petitionsausschuss derzeit keine Notwendigkeit für die vom Petenten geforderte Einführung weitergehender Schadensersatzansprüche zu erkennen.

Ergänzend merkt der Ausschuss an, dass § 42a BDSG eine Informationspflicht nichtöffentlicher Stellen bei unrechtmäßiger Kenntniserlangung von Daten vorsieht, die u.a. auch Fälle von Daten- bzw. Identitätsdiebstahl sowie Datenpannen (wie z.B. den Verlust von Datenträgern) erfasst.

Gemäß §§ 43 und 44 BDSG sind Verstöße gegen datenschutzrechtliche Regelungen mit Bußgeld, Geldstrafe oder Freiheitsstrafe bedroht.

Darüber hinaus weist der Ausschuss darauf hin, dass die Behandlung von Schadensersatzansprüchen im Datenschutzrecht auch Gegenstand datenschutzrechtlicher Überlegungen auf EU-Ebene ist. In diesem Zusammenhang macht der Ausschuss auf einen Vorschlag der Europäischen Kommission für eine Datenschutz-Grundverordnung (KOM(2012) 11 endg.) aufmerksam. Nach Artikel 77 des Vorschlags hat „Jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit dieser Verordnung nicht zu vereinbarenden Handlung ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Hinsichtlich der weiteren Einzelheiten wird zur Vermeidung von Wiederholungen auf die dem Petenten bekannte und inhaltlich zutreffende Stellungnahme der Bundesregierung verwiesen, die aus Sicht des Ausschusses grundsätzlich nicht zu beanstanden ist.

Nach den vorangegangenen Ausführungen hält der Ausschuss die geltende Rechtslage daher für sachgerecht und vermag sich nicht für eine darüber hinausgehende Gesetzesänderung im Sinne des Petenten auszusprechen.

Vor diesem Hintergrund empfiehlt der Petitionsausschuss, das Petitionsverfahren abzuschließen, weil dem Anliegen des Petenten nicht entsprochen werden konnte.

Momentmal „…nach umfassender Prüfung?“ So umfassend kann die Prüfung nicht gewesen sein, denn die §§ wurden schon in der Petitionsbeschreibung angeführt.