Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 82 DSGVO einen Anspruch auf Ersatz materieller und immaterieller Schäden vor, allerdings ohne Aussagen darüber, wie die Schadenshöhe zu bestimmen ist. Der Beitrag in CR 12/2019, 789-797, beleuchtet die bisherige Gerichtspraxis kritisch und zeigt auf, welche Kriterien speziell in data leakage-Fällen herangezogen werden können, um die Schadenshöhe zu bestimmen. Aus der Sicht von Betroffenen stellt sich die Frage nach effektiver Rechtsdurchsetzung, aus der Sicht von Unternehmen stellt sich die Frage nach Prävention und Abwehr von Ansprüchen.

Praxisorientierte Überlegungen zur Bestimmung der Höhe eines materiellen und eines immateriellen Schadens

Inhaltsverzeichnis:

I. Einleitung

II. Meinungsstand

1. Bisherige Praxis

2. Restriktive Ansätze in Rechtsprechung und Literatur

3. Großzügige Tendenzen in Teilen der Kommentarliteratur

III. Unionsrechtliche Rahmenbedingungen

1. Rechtsvereinheitlichung als Ziel der DSGVO

2. Effektivitätsgebot

3. Robustes Sanktionssystem als gesetzgeberische Zielsetzung

4. Folgerungen für die Rechtspraxis

IV. Berechnung des materiellen Schadens

1. Trennung zwischen materiellem und immateriellem Schaden

2. Ökonomische Betrachtungsweisen zum Wert von Daten

a) Allgemeines
b) Wert der Daten beim professionellen Datenhandel
c) Wert der Daten aus der Unternehmensperspektive
d) Wert persönlicher Daten aus der Betroffenenperspektive
e) Preise für Daten europäischer Nutzer im Darknet

3. Datenverlust infolge des Lecks als Schaden

4. Schadensberechnung nach den Grundsätzen der Lizenzanalogie

V. Berechnung des immateriellen Schadens

1. Abkehr von der bisherigen Rechtsprechungslinie

2. Entwicklung der Schadenshöhe bei Persönlichkeitsrechtsverletzungen

3. Anlehnung an das Bußgeldkonzept der Datenschutzkonferenz

a) Grundgedanke
b) Bußgeldkonzept der DSK
c) Modifizierte Übertragung auf die Schadensberechnung

VI. Ergebnis

I. Einleitung

[1] Die Änderungen, die das europäische Datenschutzrecht mit dem Inkrafttreten der DSGVO erfahren hat, wurden an zahlreichen Stellen besprochen. Die Darstellungen befassen sich zum einen mit den neuen Verhaltens- und Organisationsvorgaben und gehen zum anderen auf die scharf gestellten Bußgeldregelungen in Art. 83 DSGVO ein. ¹  Im deutschen Recht ist auch die Diskussion über die lauterkeitsrechtliche Verfolgung von Datenschutzrechtsverstößen fortgeschritten. ²  Im Vergleich dazu befindet sich die Auseinandersetzung mit Schadensersatzansprüchen nach Art. 82 DSGVO erst am Anfang.

[2] In der neueren Gerichtspraxis ist eine Tendenz erkennbar, mit Art. 82 DSGVO eher restriktiv umzugehen und die Schadensersatzansprüche nur unter einschränkenden Voraussetzungen zu bejahen, die zwar nicht im Normwortlaut verankert sind, aber zum Teil der nationalen Rechtstradition entspringen und vor Inkrafttreten der DSGVO galten. Bejahen die Gerichte den Schadensersatzanspruch dem Grunde nach, fallen die Schadenssummen meist moderat aus.

[3] Im Folgenden wird dargelegt, dass dieser restriktive Umgang mit Art. 82 DSGVO dogmatisch bedenklich ist. Es werden Kriterien vorgeschlagen, die bei der Bestimmung des materiellen und immateriellen Schadensersatzes herangezogen werden können, um die Rechtsanwendung sicherer und vor allem europarechtskonform zu machen. Dabei konzentrieren sich die Ausführungen auf data leakage-Fälle, wie sie in jüngster Vergangenheit etwa bei Mastercard aufgetreten sind. ³

II. Meinungsstand

1. Bisherige Praxis

[4] Vor der Einführung des Art. 82 DSGVO war ein Schadensersatzanspruch wegen Datenschutzrechtsverstößen namentlich bei Verletzung des allgemeinen Persönlichkeitsrechts anerkannt. Allerdings wurde ein solcher Anspruch nur bejaht, wenn es sich um einen schwerwiegenden Eingriff in das Persönlichkeitsrecht handelte und die Beeinträchtigung nicht in anderer Weise befriedigend ausgeglichen werden konnte. ⁴

2. Restriktive Ansätze in Rechtsprechung und Literatur

[5] Diese restriktive Linie wird in Gerichtspraxis und von Teilen der Literatur nach dem Inkrafttreten der DSGVO (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht