Alexa Finke, Anna-Lena Glander
Ebenfalls noch nicht abschließend geklärt ist die Frage, wer bei der Geltendmachung von Schadensersatzansprüchen darlegen und beweisen muss, dass ein Datenschutzverstoß vorliegt, beziehungsweise nicht vorliegt. Normalerweise ist nach dem deutschen (Zivil-) Prozessrecht der Antragssteller für die Voraussetzungen seines Anspruchs stets darlegungs- und beweispflichtig.
Teile der Literatur und auch das LAG Baden-Württemberg sind jedoch der Ansicht, dass im Rahmen von datenschutzrechtlichen Ersatzansprüchen eine Beweislastumkehr greife. Aus diesem Grund müssten im Falle der Geltendmachung entsprechender Ansprüche nicht die Betroffenen dessen Voraussetzungen und insbesondere den Datenschutzverstoß, sondern vielmehr die datenverarbeitenden Unternehmen nachweisen, dass sie die Vorgaben der DSGVO eingehalten haben. Diese Ansicht wird insbesondere aus der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO abgeleitet, nach der verantwortliche Unternehmen die Einhaltung der datenschutzrechtlichen Grundsätze nachweisen müssen. Zudem sei es ansonsten für Betroffene nur schwer möglich, ihre Ansprüche geltend zu machen, wenn sie keine Einsicht in die datenschutzrechtlichen Abläufe der Unternehmen hätten. Sollte sich diese Ansicht durchsetzen, hieße dies, dass beklagte Unternehmen vor Gericht anhand einer umfassenden Datenschutzdokumentation darlegen und beweisen müssten, dass sie datenschutzkonform gehandelt haben und es zu keinem Verstoß kam.
Diese Auffassung ist aus rechtlicher Sicht jedoch wenig überzeugend. Denn die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO soll lediglich dazu dienen, gegenüber den Aufsichtsbehörden in Ermittlungsverfahren nach Art. 58 DSGVO die Einhaltung der Vorschriften der DSGVO nachzuweisen. Betroffene sind nach der DSGVO jedoch nicht berechtigt, die Einhaltung der Datenschutzbestimmungen zu kontrollieren. Vielmehr steht ihnen eine fest definierte Auswahl an Betroffenenrechten zu, nach denen sie ein Recht auf Information haben, in dem jedoch keine Nachweispflicht für Unternehmen enthalten ist. Vor diesem Hintergrund kam kürzlich auch das OLG Stuttgart zu dem Schluss, dass die Regelungen der DSGVO die prozessrechtlichen Beweisregeln nicht berühren, und der Betroffene als Antragssteller weiterhin darlegen und beweisen muss, dass das Unternehmen einen Datenschutzverstoß begangen hat, durch den ihm oder ihr ein Schaden entstanden ist.