Kein Schadenersatz für Veröffentlichung eines Fotos

Das OLG Linz hat kürzlich eine Entscheidung gefällt, in der Art 82 DSGVO eine Rolle spielte. Am 12.6.2019 wurde die Klage des „Geschädigten“ auf Zahlung von EUR 20.000,-- an immateriellem Schadenersatz wegen der Veröffentlichung eines Fotos abgewiesen. 

 

 

Der Sachverhalt

Der Kläger war beim Beklagten in Behandlung zu einer Haartransplantation. Die Haartransplantation selbst wurde nicht vom Beklagten, sondern bei einer Gesellschaft in Griechenland durchgeführt. Der Beklagte berät die Kunden, vermittelt die Leistung und übernimmt die ärztliche Vor- und Nachbetreuung.

 

Im Zuge des Aufenthalts des Klägers in Griechenland anlässlich der Transplantation wurden von einem Freund des Klägers (Frisör), der ihm zur Haartransplantation geraten hatte, und von Mitarbeitern desjenigen Unternehmens, dass die Transplantation tatsächlich durchführte, Lichtbilder vom Kläger auch während der Operation aufgenommen und gemeinsam mit weiteren Bildern, u.a. einem Selfie des Klägers, in der Folge von einem Mitarbeiter des Transplantationsunternehmens auf deren Website mit dem Klarnamen des Klägers veröffentlicht. Der Begleittext dazu war in griechischer Sprache verfasst.

 

Der Kläger hatte keine Zustimmung zu einer allfälligen Veröffentlichung erteilt, vielmehr erklärte er ausdrücklich, das nicht zu wünschen.

 

Der Kläger hat von der Veröffentlichung erfahren, als ihn zwei seiner Mitarbeiter darauf ansprachen, dass sie nun wüssten, warum er ein Kapperl trage. Er fiel aus allen Wolken. Obwohl umgehend versucht wurde, die Bilder bzw. den Artikel zu löschen, dauerte es ca. ein Monat, bis sie im Internet nicht mehr auffindbar waren.

 

 

Anwendbarkeit der DSGVO

Der Sachverhalt ereignete sich im Jahr 2017; die Klage wurde vor Geltungsbeginn der DSGVO eingebracht und der Kläger verlangte vom Beklagten einen Betrag von EUR 20.000,-- auf Basis des § 33 DSG 2000.

 

Das Landesgericht Linz hat die Rechtssache erst nach dem 25.05.2018 entschieden und wendet bereits die DSGVO, konkret Art 82 DSGVO an.

 

„Sofern sich der Kläger auf § 33 DSG 2000 und damit auf eine Verletzung seines Grundrechts auf Datenschutz berufe, sei während laufendem Verfahren die DSGVO in Kraft getreten. Gemäß § 69 Abs 4 DSG seien zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei den ordentlichen Gerichten zum DSG 2000 anhängige Verfahren nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen. Die Nachfolgebestimmung zu § 33 DSG 2000 finde sich in § 29 DSG, der wiederum auf den Schadenersatzanspruch gemäß Art 82 DSGVO Bezug nehme.“  (Erstgericht LG Linz)

 

„2. Zutreffend verweist das Erstgericht darauf, dass § 69 Abs 4 DSG idF des Datenschutz-Anpassungsgesetzes 2018 (BGBl I 2018/120) bestimmt, dass zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes (am 25.5.2018; § 70 Abs 1 leg cit) bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen sind, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt (6 Ob 131/18k).“

 

 

Haftung des Beklagten für die veröffentlichten Fotos?

Mit der Veröffentlichung von Name und Fotos des Klägers im Internet ist aufgrund der dadurch denknotwendig rechnerunterstützten Bearbeitung der sachliche Anwendungsbereich der DSGVO gegeben.

 

Das Unternehmen, das die Transplantation (in Griechenland) durchgeführt hat, ist im Hinblick auf die Veröffentlichung von Name und Foto des Klägers als Verantwortlicher zu betrachten.

Die Haftung des Beklagten richtet sich aufgrund § 29 Abs 1 letzter Satz DSG nach den Vorgaben des bürgerlichen Rechts.

 

Das LG Linz als Erstgericht hatte entschieden, dass die Beklagte für die Handlungen des Transplantationsunternehmens bzw. deren Mitarbeiter, dh das Hochladen der Fotos im Internet, nicht im Rahmen der Erfüllungsgehilfenhaftung des § 1313a haftet, da diese Handlung keine inneren Zusammenhang mit dem Behandlungsvertrag hat. Diese Beurteilung hat der Kläger vor dem OLG Linz gar nicht mehr releviert.

 

Vielmehr hat sich der Kläger darauf gestützt, dass Art 83 Abs 1, 2und 4 DSGVO ihm einen eigenständigen Anspruch auf Schadenersatz gäben.

 

Aus der Entscheidung des OLG Linz vom 12.06.2019, 6R49/19x (Hervorherbungen und Anmerkungen durch den Autor)

 

„Ein solcher [Anspruch auf Schadenersatz auf Basis des Art 82 DSGVO] besteht jedoch nicht:

[…] War bei einer Verarbeitung nur der Verantwortliche allein beteiligt, ergibt sich seine Haftung bei einem Verstoß gegen die DSGVO und einem kausalen Schaden ohne Weiteres aus Art 82 Abs 1.

Handelt der Auftragsverarbeiter allein, gilt für seine Haftung die Privilegierung des Abs 2 Satz 2. Der Auftragsverarbeiter haftet der betroffenen Person nur, wenn er seinen speziell ihm auferlegten Pflichten nach der DSGVO nicht nachgekommen ist oder die ihm durch den Verantwortlichen erteilten rechtmäßigen Anweisungen nicht beachtet oder diese verletzt (Nemitz in Ehmann/Selmayr, Datenschutz-Grundverordnung² Art 82 Rz 23).

 

Sind an derselben Verarbeitung mehrere Verantwortliche oder mehrere Auftragsverarbeiter oder ein Verantwortlicher und ein Auftragsverarbeiter beteiligt, haften sie gemäß Art 82 Abs 4 und Erwägungsgrund 146 S 7 gesamtschuldnerisch. Die gesamtschuldnerische Haftung setzt jedoch voraus, dass die Voraussetzungen der Abs 2 und 3 erfüllt sind. Mithin müssen Verantwortliche und Auftragsverarbeiter bei einer Verarbeitung gegen die DSGVO verstoßen haben, wobei dem Verantwortlichen nach Abs 2 S 1 ein beliebiger Verstoß, dem Auftragsverarbeiter jedoch ein in Abs 2 S 2 spezifizierter Verstoß zur Last fallen muss. Ferner darf weder der Verantwortliche noch der Auftragsverarbeiter in der Lage sein, sich nach Abs 3 zu exculpieren (Nemitz aaO, Rz 25).

 

Die Rechtsfigur der gemeinsamen Verantwortlichkeit mehrerer Akteure im Rahmen einer Verarbeitung ist im Vergleich zur bisher geltenden Datenschutzrichtlinie an sich nichts Neues. Deren Legaldefinition wurde inhaltlich nahezu unverändert in Art 4 Z 7 der DSGVO übernommen; auch dem DSG 2000 waren gemeinsam verantwortliche Auftraggeber bereits bekannt.

 

Nach der DSGVO haftet jeder Verantwortliche unabhängig davon, ob er selbst ein adäquat kausales, rechtswidriges oder schuldhaftes Verhalten gesetzt hat, dass den Schaden bei der betroffenen Person verursacht hat. Der Geschädigte muss nur beweisen, dass ihm durch eine verordnungswidrige Verarbeitung adäquat kausal ein Schaden entstanden ist und wie hoch dieser materielle oder ideelle Schaden zu bemessen ist. Zur Stärkung der Rechte der betroffenen Personen sieht Art 82 Abs 4 DSGVO  für den Fall einer Verarbeitung durch mehrere Akteure eine solidarische Haftung aller haftpflichtigen Akteure vor (Horn in Knyrim, Datenschutzgrundverordnung [Das neue Datenschutzrecht in Österreich und der EU], 163f).

 

[…] An der […] Aufnahme der Fotos, der Verknüpfung des Namens des Klägers mit diesen Fotos und der Veröffentlichung im Internet hatte die beklagte Partei keinen Anteil. Diesbezüglich ist sie selbst weder Verantwortliche oder Auftragsverarbeiterin. Eine Haftung der Beklagten nach DSGVO ergibt sich daher nicht.

 

7. Selbst wenn man […] die Beklagte hinsichtlich dieser Datenbehandlung sowohl als Verantwortliche als auch Auftraggeberin nach Art 4 Z 7 und 8 DSGVO beurteilt, käme ihr jedenfalls die Haftungsbefreiung nach Art 82 Abs 3 DSGVO zugute: Danach wird der Verantwortliche oder Auftragsverarbeiter von der Haftung gemäß Abs 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

 

In der deutschen Literatur (Nemitz in Ehmann/Selmayr, Datenschutzgrundverordnung² Art 82 Rz 19) wird dazu vertreten, dass die Haftungsbefreiung damit nur beim Nachweis einer Verschuldensquote von 0 % durch den Verantwortlichen oder Auftragsverarbeiter eingreife oder entweder schon keine kausale Verbindung zwischen der Verletzung der DSGVO und dem Schaden vorliegen dürfe oder dass die Verletzung nur auf einem unvermeidbaren Ereignis beruhe.

 

Diese Voraussetzung liegt insofern schon vor, als durch die bloße, mit Zustimmung des Klägers erfolgte Nennung des Namens des Klägers an B***** kein Verschulden der beklagten Partei begründet werden kann. [Anm. Die Beklagte hatte dem Transplantationunternehmen in Griechenland den Namen des Klägers im Rahmen der Vermittlung genannt]

 

Nach österreichischer Lehrmeinung (Horn in Knyrim, Datenschutzgrundverordnung, 164) bezieht sich die Haftungsbefreiung auf fehlende Kausalität oder mangelndes Verschulden; auch soll der Beweis der fehlenden Rechtswidrigkeit möglich sein. Das festgestellte Verhalten der Mitarbeiter von B***** [Anm: des Transplantationsunternehmens] kommt vor allem jenem in einer weiteren Literaturmeinung beschriebenen Fall gleich (Schweiger in Der DatKomm, Art 82 Rz 91): Danach hat der in Anspruch genommene Schädiger die Möglichkeit unter Beweis zu stellen, dass ein unvorhersehbarer Eingriff eines Dritten in den Verarbeitungsvorgang, etwa ein bewusster Verstoß einer beim verantwortlichen Beschäftigten sonst zuverlässigen Person gegen eine dienstvertragliche Verpflichtung gehandelt hat.

 

Das eigenmächtige Handeln von Mitarbeitern der griechischen B*****, vom Kläger nicht freigegebene Fotos mit dessen Namen zu versehen und im Internet zu veröffentlichen, stellt einen derart für die beklagte Partei unvorhersehbaren Eingriff in die zunächst rechtmäßige Weitergabe des Namens des Klägers an B***** dar, der dazu führt, dass die beklagte Partei für diesen Umstand nicht mehr verantwortlich gemacht werden kann.“

 

 

Fazit:

Ein Verantwortlicher, der mit einem anderen Verantwortlichen oder einem Auftragsverarbeiter eine Verarbeitungstätigkeit durchführt, haftet den betroffenen Personen für einen entstandenen Schaden dann nicht bzw. kann sich nach Art 82 Abs 4 DSGVO exculpieren, wenn ein anderer Beteiligter (Verantwortlicher oder Auftragsverarbeiter) ein unerwartbares, mit dem Vertragsinhalt nicht vereinbares Verhalten setzt, so zB bei einer Haartransplantation ein Foto anfertigt und dieses dann unter Nennung des Namens der betroffenen Person im Internet veröffentlicht.

 

 

dataprotect bedankt sich bei RdOLG Linz Mag. Bernhard Telfser (OLG Linz) für den Hinweis auf die Entscheidung und dafür, dass die Entscheidung im RIS veröffentlicht wurde.

 

 

 

07.06.2020, Autor:

Michael Schweiger, zert DSBA