Zivilrechtliche Haftung für Datenschutzverstöße (eBook)

Vorwort 8
Inhaltsverzeichnis 10
Abkürzungsverzeichnis 20
Teil 1: Einleitung und Grundlagen 26
§ 1 Einleitung 26
A. Allgemeiner sozioökonomischer Rahmen – Gefahren- und Schadenspotential bei Datenschutzverstößen 26
B. Die Bedeutung einer außervertraglichen Haftung für Datenschutzverstöße 32
C. Problembeschreibung, Zielsetzung und methodischer Ansatz 36
D. Gang der Untersuchung 38
§ 2 Die EG-Datenschutzrichtlinie: Grundlagen und Grundpfeiler 39
A. Geschichte 39
B. Inhaltsübersicht – Aufbau 40
C. Ziel und Zweck der Regelung (Art. 1 EG-Datenschutzrichtlinie) 41
D. Überblick über den Anwendungsbereich nach Art. 3 EG-Datenschutzrichtlinie 46
E. Anwendbares einzelstaatliches Recht (Art. 4 EG-Datenschutzrichtlinie) 47
F. Grundsätze und Leitprinzipien 48
G. Kontrollstelle 51
H. Artikel-29-Datenschutzgruppe 52
§ 3 Das Datenschutzgesetz: Grundlagen und Grundpfeiler 53
A. Geschichte 53
B. Inhaltsübersicht – Aufbau 55
C. Ziel und Zweck (Art. 1 DSG) 56
D. Überblick über den Anwendungsbereich nach Art. 3 DSG 60
E. Grundsätze und Leitprinzipien 61
F. Die unabhängige Datenschutzbehörde 62
I. Einrichtung, Aufgaben und Rechtscharakter 62
II. Kompetenzen 64
1. Richtlinien- und Gutachtenkompetenz 64
2. Beschlusskompetenz 65
3. Regelungskompetenz 66
4. Beratungs- und Mitwirkungskompetenz 67
5. Kontrollkompetenz 68
6. Sanktionierungskompetenz 68
7. Kompetenz im Hinblick auf die Geschäftstätigkeit und die Verwirklichung der Aufgaben der Datenschutzbehörde 68
Teil 2: Die Haftung nach der EG-Datenschutzrichtlinie 70
§ 4 Ausgangspunkt: Der Anwendungsbereich der Richtlinie 70
A. Sachlicher Anwendungsbereich 71
I. Positive Anwendungsvoraussetzungen 71
1. Allgemeines 71
2. Erläuterung wichtiger Begriffe 72
II. Ausnahmetatbestände 74
1. Anknüpfung an den Anwendungsbereich des Gemeinschaftsrechts (Art. 3 Abs. 2 erster Anstrich EG-Datenschutzrichtlinie) 74
2. Ausschließlich persönliche oder familiäre Tätigkeiten (Art. 3 Abs. 2 zweiter Anstrich EG-Datenschutzrichtlinie) 75
B. Persönlicher Anwendungsbereich 75
I. Normadressaten der EG-Datenschutzrichtlinie 75
1. Allgemeines 75
2. Die an der Datenverarbeitung aktiv Beteiligten – Begrifflichkeiten 76
II. Geschützter Personenkreis 79
C. Räumlicher Anwendungsbereich 80
§ 5 Die Haftungsregelung (Art. 23 EG-Datenschutzrichtlinie) 82
§ 6 Die Rechtsnatur der Haftung 82
A. Allgemeines 82
B. Die Diskussion im Schrifttum 83
C. Zusammenstellung der Fragestellungen 85
D. Qualifizierung der Haftung nach Art. 23 Abs. 1 EG-Datenschutzrichtlinie (isolierte Betrachtung) 86
E. Qualifizierung der Haftung nach Art. 23 Abs. 1 und 2 EG-Datenschutzrichtlinie (Gesamtbetrachtung) 90
I. Problem – zur Verdeutlichung 90
II. Ausgangspunkt: Interpretation von Art. 23 Abs. 2 92
1. Grundlegendes 92
2. Grammatische Interpretation 93
3. Systematische Interpretation 97
4. Historisch-teleologische Interpretation 100
5. Objektiv-teleologische Interpretation 103
6. Primärrechtskonforme Interpretation 110
7. Ergebnis der Interpretation 112
III. Bewertung der in der Literatur vorgeschlagenen Lösungen 112
IV. Ergebnis bzw. Problemlösung 114
§ 7 Normzweck 115
§ 8 Haftungstatbestand – Voraussetzungen der Haftung (Art. 23 Abs. 1 EG-Datenschutzrichtlinie) 118
A. Haftungsauslösende Momente (Haftungsgründe) I. Wesen und Inhalt 118
I. Wesen und Inhalt 118
II. Fälle einer Zuwiderhandlung gegen Vorschriften der EG-Datenschutzrichtlinie 123
B. Schaden 126
I. Allgemeines 126
II. Der Schadensbegriff 126
1. Problem 126
2. Interpretation 129
3. Ergebnis der Interpretation – Schadensbegriff 136
C. Kausalität 138
D. Haftungsgläubiger: Jede natürliche Person 140
E. Haftungsschuldner: Für die Verarbeitung Verantwortlicher 141
§ 9 Zulässige Haftungsminderung oder -befreiung (Art. 23 Abs. 2 EG-Datenschutzrichtlinie) 142
§ 10 Schadensersatz als Rechtsfolge – Art und Umfang des zu leistenden Schadensersatzes 146
§ 11 Spezialfragen 146
A. Beweislast 147
B. Verjährung 148
C. Mehrheit von Schädigern – Identifizierung des Schädigers bei vernetzten und zentralisierten Verarbeitungssystemen 148
Teil 3: Die Haftung nach dem Datenschutzgesetz 152
§ 12 Ausgangspunkt: Der Anwendungsbereich des Datenschutzgesetzes 152
A. Sachlicher Anwendungsbereich 153
I. Positive Anwendungsvoraussetzungen 153
1. Allgemeines 153
2. Erläuterung wichtiger Begriffe 154
II. Ausnahmetatbestände 165
1. Ausschließlich persönliche oder familiäre Tätigkeiten (Art. 3 Abs. 2 lit. a DSG) 165
2. Strafrechtspflege und Feststellung von Straftaten (Art. 3 Abs. 2 lit. b DSG) 167
B. Persönlicher Anwendungsbereich 167
I. Normadressaten des DSG 1. Allgemeines 168
1. Allgemeines 168
2. Die an der Datenverarbeitung aktiv Beteiligten – Begrifflichkeiten 169
II. Geschützter Personenkreis 175
C. Räumlicher Anwendungsbereich 176
§ 13 Die Haftungsregelung (Art. 23 DSG) 178
§ 14 Die Rechtsnatur der Haftung 179
A. Problem 179
B. Mögliche Lösungen hinsichtlich der Qualifizierung 180
I. Bisherige Qualifizierungsansätze 180
II. Weitere Qualifizierungsmöglichkeit 181
C. Auf dem Weg zum Ergebnis: Besprechung der Qualifizierungsmöglichkeiten 182
I. Keine „relativierte Gefährdungshaftung“ 182
II. Verschuldenshaftung oder Zwei-Haftungsgründe-Regelung? 1. Nähere Problembeschreibung 183
1. Nähere Problembeschreibung 183
2. Interpretation 184
3. Ergebnis der Interpretation – Bewertung der möglichen Lösungen 207
D. Ergebnis bzw. Problemlösung 207
§ 15 Normzweck 208
§ 16 Haftung für Verstöße gegen das Datenschutzgesetz (Art. 23 Abs. 1 S. 1 und 2 DSG) 212
A. Haftungsauslösendes Moment (Haftungsgrund) 212
I. Allgemeines 212
II. Systematisierung und Kategorisierung der Verstöße gegen das DSG 218
1. Verstoß gegen die qualitativen Merkmale der personenbezogenen Daten (Art. 4 DSG) 219
2. Zuwiderhandlung gegen die Meldepflicht (Art. 6 DSG) 225
3. Verstoß gegen die Zulässigkeitstatbestände für die Verarbeitung personenbezogener Daten (Art. 5 und Art. 7 bis 9 DSG) 227
4. Verletzung der Pflicht zur Sicherheit und Vertraulichkeit der Datenverarbeitung (Art. 10 DSG) 236
5. Verletzung der Rechte der betroffenen Person (Art. 11 bis 14 DSG) 239
6. Verstoß im Zusammenhang mit der Verwirklichung der Aufgabe der unabhängigen Datenschutzbehörde 245
7. Zuwiderhandlung gegen kraft des DSG erlassene Rechtsakte 246
B. Schaden 249
I. Allgemeines 249
II. Inhalt und Umfang des Schadensbegriffs 250
1. Materieller und immaterieller Schaden 250
2. Positiver Schaden und entgangener Gewinn 254
3. Rechtsgutsschaden und Folgeschaden 255
4. Aktueller und zukünftiger Schaden 256
5. Realer und rechnerischer Schaden 257
6. Konkreter Schaden 258
C. Kausalität 259
D. Haftungsschuldner 266
E. Ungeschriebenes Tatbestandsmerkmal: Natürliche Personen als Haftungsgläubiger 269
§ 17 Haftung für schuldhafte Verletzungen von datenschutzrechtlichen Sorgfaltspflichten (Art. 23 Abs. 1 S. 3 DSG) 273
A. Ausgangspunkt: Umformulierung des Art. 23 Abs. 1 S. 3 DSG 273
B. Haftungsauslösendes Moment (Haftungsgrund) 274
C. Schaden 278
D. Kausalität 279
E. Haftungsgläubiger/Haftungsschuldner 280
§ 18 Schadensersatz als Rechtsfolge – Art und Umfang des zu leistenden Schadensersatzes 280
§ 19 Anspruchsberechtigte/Ersatzverpflichtete 282
§ 20 Beweislast 283
§ 21 Die Haftungsvoraussetzungen im Fall der Annahme einer Verschuldenshaftung (mit Beweislastumkehr) 284
A. Haftungsauslösendes Moment (Haftungsgrund) 285
B. Schaden 285
C. Kausalität 286
D. Haftungsgläubiger/Haftungsschuldner 286
§ 22 Anspruch auf Beseitigung und Unterlassung 286
§ 23 Spezialfragen 292
A. Haftungsbeschränkung und Haftungsausschluss 292
I. Zufall und höhere Gewalt 292
II. Mitverschulden 293
III. Freizeichnung – Verzicht 295
B. Verjährung 297
C. Mehrheit von Schädigern 298
D. Streitigkeiten (Art. 23 Abs. 3 DSG) 300
E. Zusammentreffen mehrerer Haftungsgründe 301
I. Vorvertragliche Schadensersatzansprüche 301
II. Vertragliche Schadensersatzansprüche 302
III. Nachvertragliche Schadensersatzansprüche 302
IV. Außervertragliche Schadensersatzansprüche 303
§ 24 Beurteilung und Bewertung des Haftungssystems des Datenschutzgesetzes 307
A. Allgemeines 307
B. Gesetzliche Formulierung 308
C. Richtlinienkonformität 309
I. Haftungsauslösende Momente (Haftungsgründe) 309
II. Schaden als Haftungsvoraussetzung bzw. Schadensersatz als Rechtsfolge 310
III. Kausalität 311
IV. Haftungsgläubiger 311
V. Haftungsschuldner 311
D. Rechtspolitische Betrachtung I. Positive Gesichtspunkte 1. Kreis der Haftungsgläubiger 315
I. Positive Gesichtspunkte 315
1. Kreis der Haftungsgläubiger 315
2. Kreis der Haftungsschuldner 316
3. Haftungsauslösende Momente (Haftungsart) 316
4. Schadensersatz 319
II. Probleme im Haftungssystem – Lösungsvorschläge de lege ferenda 322
1. Haftungsart: Unrechtshaftung – keine Gefährdungshaftung 322
2. Beweislast für den Kausalzusammenhang 324
3. Identifizierung des Schädigers bei vernetzten und zentralisierten Verarbeitungssystemen 325
E. Änderungsvorschlag von Art. 23 DSG 327
Teil 4: Schlusskapitel 330
§ 25 Zusammenfassende Schlussthesen 330
A. Teil 1 330
B. Teil 2 331
C. Teil 3 334
Literaturverzeichnis 340
Lebenslauf 362

Teil 2: Die Haftung nach der EG-Datenschutzrichtlinie (S. 45-46)

§ 4 Ausgangspunkt: Der Anwendungsbereich der Richtlinie


Der Anwendungsbereich der Haftung nach Art. 23 EG-Datenschutzrichtlinie fällt grundsätzlich mit dem der Richtlinie zusammen. Hier wird der Anwendungsbereich der Richtlinie erörtert. Somit betreffen die folgenden Ausführungen gemeinhin den Geltungsbereich aller Vorschriften der Richtlinie und damit auch des Art. 23. Was speziell den persönlichen Anwendungsbereich der Haftung betrifft, so ergibt sich eine Präzisierung durch Art. 23. Darauf wird unten im Rahmen der Haftungsvoraussetzungen eingegangen.

Für den Anwendungsbereich der EG-Datenschutzrichtlinie ist vor allem Art. 3 EG-Datenschutzrichtlinie maßgeblich. Ergänzend zu Art. 3 regelt Art. 4 den räumlichen Geltungsbereich2 des in Umsetzung der Richtlinie erlassenen einzelstaatlichen Rechts.3 Für den räumlichen Geltungsbereich der Richtlinie ist ihr Art. 34 einschlägig. Von Bedeutung ist in diesem Zusammenhang auch Art. 1, der das Regelungsziel der Richtlinie festlegt.4 Schließlich sind hierfür die Begriffsbestimmungen des Art. 2 EG-Datenschutzrichtlinie zu berücksichtigen.

Die genannten Vorschriften können im Rahmen dieser Studie nicht bis ins letzte Detail erläutert werden. Es geht um eine Untersuchung, die wegen ihrer Breite und Tiefe ein typisches „Kommentarproblem“ darstellt. Gegen eine ausführliche Darstellung des Anwendungsbereichs der EG-Datenschutzrichtlinie spricht auch der Umstand, dass die in Umsetzung der oben genannten einschlägigen Vorschriften erlassenen griechischen Regeln des DSG weitgehend den europäischen Regeln ähneln. Diese wurden unverändert oder jedenfalls mit nur geringen Abweichungen in das DSG übergenommen.

Die Folge hieraus ist, dass der Anwendungsbereich der EG-Datenschutzrichtlinie mit diesem des DSG in mehrfacher Hinsicht zusammenfällt. Insoweit erscheint es überflüssig, soweit es um konvergierende Rechtsfragen geht, mit diesen zweimal befasst zu werden. Da aber die europäischen Normen ihre Wirkung in ihrer Umsetzung in das nationale Recht entfalten, soll nicht hier, sondern im Rahmen des entsprechenden Kapitels zum DSG, auf diese Problematik eingegangen werden. An dieser Stelle wird nur auf die Grundzüge des Themas eingegangen. Im Übrigen wird jeweils auf die Ausführungen zum griechischen Recht verwiesen.

Die Erläuterung des sachlichen Anwendungsbereichs ist für die Bestimmung des persönlichen Anwendungsbereiches der Richtlinie entscheidend, daher wird dieser in einem ersten Schritt genauer behandelt (vgl. sogleich unten A). Im zweiten Schritt wird der persönliche Anwendungsbereich dargestellt (vgl. unten B). Abschließend soll der räumliche Anwendungsbereich der EG-Datenschutzrichtlinie erörtert werden (vgl. unten C).