Zivilrechtliche Haftung für Datenschutzverstöße

Timoleon Kosmides studierte Rechtswissenschaften an der Aristoteles-Universität Thessaloniki, es folgte ein Aufbaustudiengang (LL.M. Eur.) und schließlich die Promotion zum Dr. jur. an der Ludwig-Maximilians-Universität München; Er war Forschungsstipendiat und ist seit Dezember 2009 wissenschaftlicher Mitarbeiter am Max-Planck-Institut für Geistiges Eigentum, Wettbewerbs- und Steuerrecht. Außerdem ist er Lehrbeauftragter an der LMU München und arbeitet auch als Rechtsanwalt in Thessaloniki.

1;Vorwort;8
2;Inhaltsverzeichnis;10
3;Abkürzungsverzeichnis;20
4;Teil 1: Einleitung und Grundlagen;26
4.1;
1 Einleitung;26
4.1.1;A. Allgemeiner sozioökonomischer Rahmen - Gefahren- und Schadenspotential bei Datenschutzverstößen;26
4.1.2;B. Die Bedeutung einer außervertraglichen Haftung für Datenschutzverstöße;32
4.1.3;C. Problembeschreibung, Zielsetzung und methodischer Ansatz;36
4.1.4;D. Gang der Untersuchung;38
4.2;
2 Die EG-Datenschutzrichtlinie: Grundlagen und Grundpfeiler;39
4.2.1;A. Geschichte;39
4.2.2;B. Inhaltsübersicht - Aufbau;40
4.2.3;C. Ziel und Zweck der Regelung (Art. 1 EG-Datenschutzrichtlinie);41
4.2.4;D. Überblick über den Anwendungsbereich nach Art. 3 EG-Datenschutzrichtlinie;46
4.2.5;E. Anwendbares einzelstaatliches Recht (Art. 4 EG-Datenschutzrichtlinie);47
4.2.6;F. Grundsätze und Leitprinzipien;48
4.2.7;G. Kontrollstelle;51
4.2.8;H. Artikel-29-Datenschutzgruppe;52
4.3;
3 Das Datenschutzgesetz: Grundlagen und Grundpfeiler;53
4.3.1;A. Geschichte;53
4.3.2;B. Inhaltsübersicht - Aufbau;55
4.3.3;C. Ziel und Zweck (Art. 1 DSG);56
4.3.4;D. Überblick über den Anwendungsbereich nach Art. 3 DSG;60
4.3.5;E. Grundsätze und Leitprinzipien;61
4.3.6;F. Die unabhängige Datenschutzbehörde;62
4.3.6.1;I. Einrichtung, Aufgaben und Rechtscharakter;62
4.3.6.2;II. Kompetenzen;64
4.3.6.2.1;1. Richtlinien- und Gutachtenkompetenz;64
4.3.6.2.2;2. Beschlusskompetenz;65
4.3.6.2.3;3. Regelungskompetenz;66
4.3.6.2.4;4. Beratungs- und Mitwirkungskompetenz;67
4.3.6.2.5;5. Kontrollkompetenz;68
4.3.6.2.6;6. Sanktionierungskompetenz;68
4.3.6.2.7;7. Kompetenz im Hinblick auf die Geschäftstätigkeit und die Verwirklichung der Aufgaben der Datenschutzbehörde;68
5;Teil 2: Die Haftung nach der EG-Datenschutzrichtlinie;70
5.1;
4 Ausgangspunkt: Der Anwendungsbereich der Richtlinie;70
5.1.1;A. Sachlicher Anwendungsbereich;71
5.1.1.1;I. Positive Anwendungsvoraussetzungen;71
5.1.1.1.1;1. Allgemeines;71
5.1.1.1.2;2. Erläuterung wichtiger Begriffe;72
5.1.1.2;II. Ausnahmetatbestände;74
5.1.1.2.1;1. Anknüpfung an den Anwendungsbereich des Gemeinschaftsrechts (Art. 3 Abs. 2 erster Anstrich EG-Datenschutzrichtlinie);74
5.1.1.2.2;2. Ausschließlich persönliche oder familiäre Tätigkeiten (Art. 3 Abs. 2 zweiter Anstrich EG-Datenschutzrichtlinie);75
5.1.2;B. Persönlicher Anwendungsbereich;75
5.1.2.1;I. Normadressaten der EG-Datenschutzrichtlinie;75
5.1.2.1.1;1. Allgemeines;75
5.1.2.1.2;2. Die an der Datenverarbeitung aktiv Beteiligten - Begrifflichkeiten;76
5.1.2.2;II. Geschützter Personenkreis;79
5.1.3;C. Räumlicher Anwendungsbereich;80
5.2;
5 Die Haftungsregelung (Art. 23 EG-Datenschutzrichtlinie);82
5.3;
6 Die Rechtsnatur der Haftung;82
5.3.1;A. Allgemeines;82
5.3.2;B. Die Diskussion im Schrifttum;83
5.3.3;C. Zusammenstellung der Fragestellungen;85
5.3.4;D. Qualifizierung der Haftung nach Art. 23 Abs. 1 EG-Datenschutzrichtlinie (isolierte Betrachtung);86
5.3.5;E. Qualifizierung der Haftung nach Art. 23 Abs. 1 und 2 EG-Datenschutzrichtlinie (Gesamtbetrachtung);90
5.3.5.1;I. Problem - zur Verdeutlichung;90
5.3.5.2;II. Ausgangspunkt: Interpretation von Art. 23 Abs. 2;92
5.3.5.2.1;1. Grundlegendes;92
5.3.5.2.2;2. Grammatische Interpretation;93
5.3.5.2.3;3. Systematische Interpretation;97
5.3.5.2.4;4. Historisch-teleologische Interpretation;100
5.3.5.2.5;5. Objektiv-teleologische Interpretation;103
5.3.5.2.6;6. Primärrechtskonforme Interpretation;110
5.3.5.2.7;7. Ergebnis der Interpretation;112
5.3.6;III. Bewertung der in der Literatur vorgeschlagenen Lösungen;112
5.3.7;IV. Ergebnis bzw. Problemlösung;114
5.4;
7 Normzweck;115
5.5;
8 Haftungstatbestand - Voraussetzungen der Haftung (Art. 23 Abs. 1 EG-Datenschutzrichtlinie);118
5.5.1;A. Haftungsauslösende Momente (Haftungsgründe) I. Wesen und Inhalt;118
5.5.1.1;I. Wesen und Inhalt;118
5.5.1.2;II. Fälle einer Zuwiderhandlung gegen Vorschriften der EG-Datenschutzrichtlinie;123
5.5.2;B. Schaden;126
5.5.2. 1;Vorwort;8
2;Inhaltsverzeichnis;10
3;Abkürzungsverzeichnis;20
4;Teil 1: Einleitung und Grundlagen;26
4.1;
1 Einleitung;26
4.1.1;A. Allgemeiner sozioökonomischer Rahmen - Gefahren- und Schadenspotential bei Datenschutzverstößen;26
4.1.2;B. Die Bedeutung einer außervertraglichen Haftung für Datenschutzverstöße;32
4.1.3;C. Problembeschreibung, Zielsetzung und methodischer Ansatz;36
4.1.4;D. Gang der Untersuchung;38
4.2;
2 Die EG-Datenschutzrichtlinie: Grundlagen und Grundpfeiler;39
4.2.1;A. Geschichte;39
4.2.2;B. Inhaltsübersicht - Aufbau;40
4.2.3;C. Ziel und Zweck der Regelung (Art. 1 EG-Datenschutzrichtlinie);41
4.2.4;D. Überblick über den Anwendungsbereich nach Art. 3 EG-Datenschutzrichtlinie;46
4.2.5;E. Anwendbares einzelstaatliches Recht (Art. 4 EG-Datenschutzrichtlinie);47
4.2.6;F. Grundsätze und Leitprinzipien;48
4.2.7;G. Kontrollstelle;51
4.2.8;H. Artikel-29-Datenschutzgruppe;52
4.3;
3 Das Datenschutzgesetz: Grundlagen und Grundpfeiler;53
4.3.1;A. Geschichte;53
4.3.2;B. Inhaltsübersicht - Aufbau;55
4.3.3;C. Ziel und Zweck (Art. 1 DSG);56
4.3.4;D. Überblick über den Anwendungsbereich nach Art. 3 DSG;60
4.3.5;E. Grundsätze und Leitprinzipien;61
4.3.6;F. Die unabhängige Datenschutzbehörde;62
4.3.6.1;I. Einrichtung, Aufgaben und Rechtscharakter;62
4.3.6.2;II. Kompetenzen;64
4.3.6.2.1;1. Richtlinien- und Gutachtenkompetenz;64
4.3.6.2.2;2. Beschlusskompetenz;65
4.3.6.2.3;3. Regelungskompetenz;66
4.3.6.2.4;4. Beratungs- und Mitwirkungskompetenz;67
4.3.6.2.5;5. Kontrollkompetenz;68
4.3.6.2.6;6. Sanktionierungskompetenz;68
4.3.6.2.7;7. Kompetenz im Hinblick auf die Geschäftstätigkeit und die Verwirklichung der Aufgaben der Datenschutzbehörde;68
5;Teil 2: Die Haftung nach der EG-Datenschutzrichtlinie;70
5.1;
4 Ausgangspunkt: Der Anwendungsbereich der Richtlinie;70
5.1.1;A. Sachlicher Anwendungsbereich;71
5.1.1.1;I. Positive Anwendungsvoraussetzungen;71
5.1.1.1.1;1. Allgemeines;71
5.1.1.1.2;2. Erläuterung wichtiger Begriffe;72
5.1.1.2;II. Ausnahmetatbestände;74
5.1.1.2.1;1. Anknüpfung an den Anwendungsbereich des Gemeinschaftsrechts (Art. 3 Abs. 2 erster Anstrich EG-Datenschutzrichtlinie);74
5.1.1.2.2;2. Ausschließlich persönliche oder familiäre Tätigkeiten (Art. 3 Abs. 2 zweiter Anstrich EG-Datenschutzrichtlinie);75
5.1.2;B. Persönlicher Anwendungsbereich;75
5.1.2.1;I. Normadressaten der EG-Datenschutzrichtlinie;75
5.1.2.1.1;1. Allgemeines;75
5.1.2.1.2;2. Die an der Datenverarbeitung aktiv Beteiligten - Begrifflichkeiten;76
5.1.2.2;II. Geschützter Personenkreis;79
5.1.3;C. Räumlicher Anwendungsbereich;80
5.2;
5 Die Haftungsregelung (Art. 23 EG-Datenschutzrichtlinie);82
5.3;
6 Die Rechtsnatur der Haftung;82
5.3.1;A. Allgemeines;82
5.3.2;B. Die Diskussion im Schrifttum;83
5.3.3;C. Zusammenstellung der Fragestellungen;85
5.3.4;D. Qualifizierung der Haftung nach Art. 23 Abs. 1 EG-Datenschutzrichtlinie (isolierte Betrachtung);86
5.3.5;E. Qualifizierung der Haftung nach Art. 23 Abs. 1 und 2 EG-Datenschutzrichtlinie (Gesamtbetrachtung);90
5.3.5.1;I. Problem - zur Verdeutlichung;90
5.3.5.2;II. Ausgangspunkt: Interpretation von Art. 23 Abs. 2;92
5.3.5.2.1;1. Grundlegendes;92
5.3.5.2.2;2. Grammatische Interpretation;93
5.3.5.2.3;3. Systematische Interpretation;97
5.3.5.2.4;4. Historisch-teleologische Interpretation;100
5.3.5.2.5;5. Objektiv-teleologische Interpretation;103
5.3.5.2.6;6. Primärrechtskonforme Interpretation;110
5.3.5.2.7;7. Ergebnis der Interpretation;112
5.3.6;III. Bewertung der in der Literatur vorgeschlagenen Lösungen;112
5.3.7;IV. Ergebnis bzw. Problemlösung;114
5.4;
7 Normzweck;115
5.5;
8 Haftungstatbestand - Voraussetzungen der Haftung (Art. 23 Abs. 1 EG-Datenschutzrichtlinie);118
5.5.1;A. Haftungsauslösende Momente (Haftungsgründe) I. Wesen und Inhalt;118
5.5.1.1;I. Wesen und Inhalt;118
5.5.1.2;II. Fälle einer Zuwiderhandlung gegen Vorschriften der EG-Datenschutzrichtlinie;123
5.5.2;B. Schaden;126
5.5.2.

Teil 2: Die Haftung nach der EG-Datenschutzrichtlinie (S. 45-46) § 4 Ausgangspunkt: Der Anwendungsbereich der Richtlinie Der Anwendungsbereich der Haftung nach Art. 23 EG-Datenschutzrichtlinie fällt grundsätzlich mit dem der Richtlinie zusammen. Hier wird der Anwendungsbereich der Richtlinie erörtert. Somit betreffen die folgenden Ausführungen gemeinhin den Geltungsbereich aller Vorschriften der Richtlinie und damit auch des Art. 23. Was speziell den persönlichen Anwendungsbereich der Haftung betrifft, so ergibt sich eine Präzisierung durch Art. 23. Darauf wird unten im Rahmen der Haftungsvoraussetzungen eingegangen. Für den Anwendungsbereich der EG-Datenschutzrichtlinie ist vor allem Art. 3 EG-Datenschutzrichtlinie maßgeblich. Ergänzend zu Art. 3 regelt Art. 4 den räumlichen Geltungsbereich2 des in Umsetzung der Richtlinie erlassenen einzelstaatlichen Rechts.3 Für den räumlichen Geltungsbereich der Richtlinie ist ihr Art. 34 einschlägig. Von Bedeutung ist in diesem Zusammenhang auch Art. 1, der das Regelungsziel der Richtlinie festlegt.4 Schließlich sind hierfür die Begriffsbestimmungen des Art. 2 EG-Datenschutzrichtlinie zu berücksichtigen. Die genannten Vorschriften können im Rahmen dieser Studie nicht bis ins letzte Detail erläutert werden. Es geht um eine Untersuchung, die wegen ihrer Breite und Tiefe ein typisches "Kommentarproblem" darstellt. Gegen eine ausführliche Darstellung des Anwendungsbereichs der EG-Datenschutzrichtlinie spricht auch der Umstand, dass die in Umsetzung der oben genannten einschlägigen Vorschriften erlassenen griechischen Regeln des DSG weitgehend den europäischen Regeln ähneln. Diese wurden unverändert oder jedenfalls mit nur geringen Abweichungen in das DSG übergenommen. Die Folge hieraus ist, dass der Anwendungsbereich der EG-Datenschutzrichtlinie mit diesem des DSG in mehrfacher Hinsicht zusammenfällt. Insoweit erscheint es überflüssig, soweit es um konvergierende Rechtsfragen geht, mit diesen zweimal befasst zu werden. Da aber die europäischen Normen ihre Wirkung in ihrer Umsetzung in das nationale Recht entfalten, soll nicht hier, sondern im Rahmen des entsprechenden Kapitels zum DSG, auf diese Problematik eingegangen werden. An dieser Stelle wird nur auf die Grundzüge des Themas eingegangen. Im Übrigen wird jeweils auf die Ausführungen zum griechischen Recht verwiesen. Die Erläuterung des sachlichen Anwendungsbereichs ist für die Bestimmung des persönlichen Anwendungsbereiches der Richtlinie entscheidend, daher wird dieser in einem ersten Schritt genauer behandelt (vgl. sogleich unten A). Im zweiten Schritt wird der persönliche Anwendungsbereich dargestellt (vgl. unten B). Abschließend soll der räumliche Anwendungsbereich der EG-Datenschutzrichtlinie erörtert werden (vgl. unten C). Teil 2: Die Haftung nach der EG-Datenschutzrichtlinie (S. 45-46) § 4 Ausgangspunkt: Der Anwendungsbereich der Richtlinie Der Anwendungsbereich der Haftung nach Art. 23 EG-Datenschutzrichtlinie fällt grundsätzlich mit dem der Richtlinie zusammen. Hier wird der Anwendungsbereich der Richtlinie erörtert. Somit betreffen die folgenden Ausführungen gemeinhin den Geltungsbereich aller Vorschriften der Richtlinie und damit auch des Art. 23. Was speziell den persönlichen Anwendungsbereich der Haftung betrifft, so ergibt sich eine Präzisierung durch Art. 23. Darauf wird unten im Rahmen der Haftungsvoraussetzungen eingegangen. Für den Anwendungsbereich der EG-Datenschutzrichtlinie ist vor allem Art. 3 EG-Datenschutzrichtlinie maßgeblich. Ergänzend zu Art. 3 regelt Art. 4 den räumlichen Geltungsbereich2 des in Umsetzung der Richtlinie erlassenen einzelstaatlichen Rechts.3 Für den räumlichen Geltungsbereich der Richtlinie ist ihr Art. 34 einschlägig. Von Bedeutung ist in diesem Zusammenhang auch Art. 1, der das Regelungsziel der Richtlinie festlegt.4 Schließlich sind hierfür die Begriffsbestimmungen des Art. 2 EG-Datenschutzrichtlinie zu berücksichtigen. Die genannten Vorschriften können im Rahmen dieser Studie nicht bis ins letzte Detail erläutert werden. Es geht um eine Untersuchung, die wegen ihrer Breite und Tiefe ein typisches "Kommentarproblem" darstellt. Gegen eine ausführliche Darstellung des Anwendungsbereichs der EG-Datenschutzrichtlinie spricht auch der Umstand, dass die in Umsetzung der oben genannten einschlägigen Vorschriften erlassenen griechischen Regeln des DSG weitgehend den europäischen Regeln ähneln. Diese wurden unverändert oder jedenfalls mit nur geringen Abweichungen in das DSG übergenommen. Die Folge hieraus ist, dass der Anwendungsbereich der EG-Datenschutzrichtlinie mit diesem des DSG in mehrfacher Hinsicht zusammenfällt. Insoweit erscheint es überflüssig, soweit es um konvergierende Rechtsfragen geht, mit diesen zweimal befasst zu werden. Da aber die europäischen Normen ihre Wirkung in ihrer Umsetzung in das nationale Recht entfalten, soll nicht hier, sondern im Rahmen des entsprechenden Kapitels zum DSG, auf diese Problematik eingegangen werden. An dieser Stelle wird nur auf die Grundzüge des Themas eingegangen. Im Übrigen wird jeweils auf die Ausführungen zum griechischen Recht verwiesen. Die Erläuterung des sachlichen Anwendungsbereichs ist für die Bestimmung des persönlichen Anwendungsbereiches der Richtlinie entscheidend, daher wird dieser in einem ersten Schritt genauer behandelt (vgl. sogleich unten A). Im zweiten Schritt wird der persönliche Anwendungsbereich dargestellt (vgl. unten B). Abschließend soll der räumliche Anwendungsbereich der EG-Datenschutzrichtlinie erörtert werden (vgl. unten C).