PRAXIS | 51 tengetriebene Geschäftsmodelle in Deutschland erstickt oder aus dem Land vertrieben werden. „Datenschutz ist in unserer digitalen Welt extrem wichtig. Aktuell erleben wir aber eine lähmende Angst vor Fehlern und eine einseitige Abwägung zwischen Datenschutz und Mehrwerten der Datennutzung“, so Berg. Das gelte zum Beispiel für länderübergreifende Kooperationsprojekte und die medizinische Forschung, aber auch für die Digitalisierung des Gesundheitswesens oder der Verwaltung. Insbesondere kleinen und mittelständischen Unternehmen fehle es zudem an praxistauglichen Hilfestellungen, um in der Datenökonomie innovative Geschäftsideen umsetzen zu können. ... weil zu oft auf Datennutzung verzichtet wird!“ „Die vorhandenen Spielräume der DSGVO werden in Deutschland kaum genutzt“, sagt Berg. „Wir müssen Datenverarbeitungen als Chance verstehen statt als Risiko. Wenn wir fünf Jahre so weitermachen wie zuletzt, schwächen wir unsere Innovations- und Wettbewerbsfähigkeit.“ Der Verband fordert daher, die Datenschutz-Aufsicht stärker zu vereinheitlichen. Momentan gebe es allein in Deutschland 18 unabhängige Datenschutz-Aufsichten. Zudem müsse sich der Datenschutz stärker an realen Gefahren als an theoretischen Risiken orientieren, gerade bei den laufenden Diskussionen zum Beschäftigtendatenschutz. Die Aufsichtsbehörden sollten aus Bitkom-Sicht auch dazu verpflichtet werden, nicht nur Verbote oder pauschale Produktwarnungen auszusprechen und Bußgelder zu verhängen, sondern bei datenschutzkonformer Umsetzung zu unterstützen. Für die Umfrage im Auftrag des Digitalverbandes Bitkom hat Bitkom Research 602 Unternehmen ab 20 Beschäftigten in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ für die Gesamtwirtschaft. Die Fragen lauteten: „Inwieweit treffenfolgende Aussagen zum Thema Datenpolitik aus Sicht Ihres Unternehmens zu bzw. nicht zu?"; „Haben Sie in Ihrem Unternehmen schon einmal Pläne für Innovationen in Zusammenhang mit der Nutzung von Daten wegen rechtlicher Vorgaben oder Unsicherheiten gestoppt?“ ck zm113 Nr. 12, 16.06.2023, (1053) VERSTOSS GEGEN DSGVO ALLEIN REICHT NICHT FÜR SCHADENERSATZ Der bloße Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) begründet keinen Schadenersatz. Ein Schaden muss vorliegen und zwischen dem Verstoß und dem Schaden muss ein Kausalzusammenhang bestehen. Das entschied jetzt der Europäische Gerichtshof (EuGH) in Luxemburg. In seinem Urteil stellt der EuGH fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei Voraussetzungen geknüpft sei: 1. einen Verstoß gegen die DSGVO, 2. einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, 3. und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Dabei sei der Schadenersatzanspruch nicht auf immaterielle Schäden mit gewisser Erheblichkeit beschränkt. Die DSGVO kenne keine Erheblichkeitsschwelle und eine solche Beschränkung stünde im Widerspruch zu dem weiten Verständnis des EU-Gesetzgebers vom Begriff 'Schaden'. Zudem führt nach dem Wortlaut der DSGVO ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und es muss einen Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden geben, um einen Schadenersatzanspruch zu begründen. Zu den Regeln für die Bemessung des Schadenersatzes stellten die Luxemburger Richter fest, dass die DSGVO dazu keine konkretisierende Bestimmung enthält. Daher sei die Festlegung dieser Kriterien für die Ermittlung des Umfangs des Schadenersatzes Aufgabe der einzelnen Mitgliedstaaten. In diesem Zusammenhang weist der EuGH darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll. Die Erheblichkeit des Schadens dürfe kein anspruchsausschließender Umstand sein. Dem EuGH zufolge "kann nicht davon ausgegangen werden, dass jeder 'Verstoß' gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person (...) eröffnet". Voraussetzungen dafür seien "eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden". Europäischer Gerichtshof Az.: C-300/21 Urteil vom 4. Mai 2023 Der Fall Ab 2017 hatte die österreichische Post AG Daten der Landesbevölkerung gesammelt und daraus parteipolitische Präferenzen abgeleitet. Mithilfe eines Algorithmus hatte sie daraufhin anhand sozialer und demografischer Merkmale „Zielgruppenadressen“ definiert. Diese Daten waren für Wahlwerbezwecke von Parteien gedacht, wurden jedoch am Ende nicht an Dritte übermittelt. Davon war auch der klagende Mann betroffen, für den eine Hochrechnung vorgenommen worden war. Er wehrte sich gegen die Zuordnung zu der fraglichen Partei: Er sei verärgert, habe einen Vertrauensverlust erlitten, fühle sich bloßgestellt und verlange daher Schadenersatz gemäß Art. 82 DSGVO in Höhe von 1.000 Euro. Der österreichische Oberste Gerichtshof bezweifelte jedoch den Schadenersatzanspruch und wandte sich mit folgenden Fragen an den Europäischen Gerichtshof: 1. Reicht der bloße Verstoß gegen die DSGVO aus, um einen Schadenersatzanspruch zu begründen?, 2. Muss der entstandene immaterielle Schaden für den Anspruch auf Ersatz einen bestimmten Grad an Erheblichkeit erreichen? Welche EU-Vorgaben gibt es für die Festsetzung der Höhe des Schadenersatzes?
RkJQdWJsaXNoZXIy MjMxMzg=