EuGH: Ist jeder Datendiebstahl mit einem immateriellen Schaden verbunden?

EuGH: Ist jeder Datendiebstahl mit einem immateriellen Schaden verbunden?

Auch bei Datenverlust muss ein tatsächlicher Schaden nachgewiesen werden

Ist jeder Datendiebstahl mit einem immateriellen Schaden verbunden? 

Der Europäische Gerichtshof (EuGH) hat sich in den Verfahren C-182/22 und C-189/22 mit der Frage befasst, unter welchen Voraussetzungen Personen, deren personenbezogene Daten gestohlen wurden, einen Anspruch auf Ersatz des immateriellen Schadens haben. Dabei ging es insbesondere um die Frage, ob bereits der Verlust der Kontrolle über die Daten einen solchen Schaden begründet oder ob ein konkreter Missbrauch nachgewiesen werden muss. 

Welches sind nach dem EuGH die wesentlichen Gesichtspunkte eines immateriellen Schadens? 

Der EuGH hat klargestellt, dass der bloße Verlust der Kontrolle über personenbezogene Daten nicht automatisch einen Anspruch auf immateriellen Schadenersatz begründet. Vielmehr muss ein tatsächlicher Schaden nachgewiesen werden. 

Der immaterielle Schadenersatz dient in erster Linie dem Ausgleich eines tatsächlich erlittenen Schadens und nicht der Bestrafung des Verantwortlichen. Ein Identitätsdiebstahl liegt nur dann vor, wenn ein Dritter tatsächlich die Identität des Betroffenen annimmt. Es muss jedoch nicht nachgewiesen werden, dass dieser Missbrauch konkrete Folgen hatte. Das bedeutet, dass es keinen festen Katalog von Nachweisen gibt, die in jedem Fall erforderlich sind. Vielmehr wird es darauf ankommen, eine möglichst überzeugende Indizienkette zu schaffen, die darauf hindeutet, dass die gestohlenen Daten tatsächlich missbraucht wurden. Die Gerichte werden jeden Einzelfall prüfen und abwägen müssen.  

Die Höhe des Schadensersatzes liegt im Ermessen der nationalen Gerichte. Das Verschulden des Verantwortlichen spielt bei der Bemessung des Schadensersatzes keine Rolle. 

Was bedeutet die Entscheidung für die Betroffenen? 

Die Entscheidung des EuGH schränkt die Möglichkeiten für Betroffene von Datenschutzverletzungen ein. Betroffene von Datenschutzverletzungen werden es in Zukunft schwerer haben, immateriellen Schadensersatz zu erlangen. Die Rechtslage ist nach wie vor unklar. Welche konkreten Folgen eines Datendiebstahls müssen nachgewiesen werden, um einen immateriellen Schaden zu begründen? Wie hoch ist der immaterielle Schaden in einzelnen Fällen zu bemessen? 

Der EuGH macht mit dieser Entscheidung deutlich, dass der Schutz personenbezogener Daten in der EU ernst genommen wird. Die Durchsetzung von Ansprüchen kann jedoch weiterhin schwierig sein. 

Was bedeutet das für Unternehmen? 

Um Unternehmen wirksam vor Schadensersatzklagen zu schützen, ist eine proaktive Prävention unerlässlich. Durch die Implementierung eines robusten Risikomanagementsystems, regelmäßige Schulungen der Mitarbeiter, klare Vertragsgestaltung und eine umfassende Dokumentation können potenzielle Risiken minimiert werden. Zudem ist es ratsam, rechtzeitig auf Veränderungen in der Rechtslage zu reagieren und sich kontinuierlich über aktuelle Entwicklungen zu informieren. Wenn ein Datenschutzvorfall eingetreten ist, sollten alle möglichen Maßnahmen ergriffen werden, um den Eintritt eines Schadens so gering wie möglich zu halten.

 

Wir unterstützen Sie gerne bei der Umsetzung und Einhaltung der DSGVO, indem wir Ihre Prozesse analysieren, Datenschutzschulungen durchführen und Sie bei der Dokumentation begleiten. 

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Der European Data Governance Act

Der European Data Governance Act 

Neue Regelungen Zur Vereinfachung des Datenaustasches und der Datenverwendung

Einleitung

Der Data-Governance-Act („DGA“) ist eine Verordnung der Europäischen Union (Verordnung (EU) 2022/686), welche am 3. Juli 2022 veröffentlicht wurde und nun dieses Jahr am 24. September in Kraft tritt. Es handelt sich um eine Verordnung zur Datenverwaltung, die eine bessere gemeinsame Nutzung von Daten zwischen den Mitgliedstaaten der EU ermöglichen soll. Als Verordnung gilt der DGA unmittelbar in allen Europäischen Mitgliedstaaten und bedarf keiner Umsetzung durch nationales Recht.

Der DGA gilt als wichtiger Eckpfeiler der europäischen Datenstrategie. In dem folgenden Beitrag soll der DGA mit seinen Inhalten und Zielen vorgestellt und die Anwendung in der Praxis erläutert werden.

Wozu ist eine solche Verordnung notwendig und welches Ziel verfolgt sie?

Daten spielen in der heutigen digitalisierten Welt eine herausragende Rolle: gerade bei aktuellen Themen wie der Bewältigung der Klimakrise, der Mobilitätswende, der digitalen Vernetzung oder der Digitalisierung der Verwaltung spielt die Verfügbarkeit und der Austausch von Daten eine zentrale Rolle. In nahezu jedem Wirtschaftssektor ist die Verwendung und der Austausch von personenbezogenen und nicht personenbezogenen Daten von zentraler Bedeutung. Gerade dies soll durch den DGA realisiert und erleichtert werden.

Derzeit gestaltet sich ein funktionierender und effizienter Datenaustausch innerhalb der EU aufgrund vieler Faktoren schwierig. Durch ein fehlendes einheitliches System mangelt es beispielsweise bei Unternehmen an Vertrauen in einen sicheren Datenaustausch, die Frage der Datenweiterleitung ist aufgrund verschiedener landeseigener Regelungen undurchsichtig und auch technische Hindernisse bestehen. Die Datenschutzgrundverordnung („DSGVO“) kann hierbei nicht Abhilfe schaffen und stellt kein einheitliches System dar, da sie nur den europaweit einheitlichen Umgang mit personenbezogenen Daten regelt, aber gerade nicht einen sicheren Austausch und die Weiterverwendung von Daten durch Unternehmen oder Private regelt. Diese Faktoren sollen durch den DGA beseitigt werden, indem ein einheitliches, sicheres System für eine Datenübermittlung und den Datenaustausch geschaffen wird.

Die Verordnung ist Teil der europäischen Datenstrategie und soll einen grundlegenden rechtlichen Rahmen für die gemeinsame Nutzung von Daten schaffen. Sie verfolgt das Ziel, das Vertrauen in die gemeinsame Nutzung von Daten zu stärken, die Datenverfügbarkeit durch gewisse Mechanismen zu erhöhen und derzeitige technische Schwierigkeiten bei der Weiterleitung und -verarbeitung von Daten zwischen den Mitgliedstaaten der EU zum Vorteil des europäischen Binnenmarktes zu beseitigen. Als ein sektorübergreifendes Instrument regelt die Verordnung die Weiterleitung von gespeicherten, geschützten Daten.

Konkret wird der DGA für die Einrichtung und Entwicklung gemeinsamer Datenräume der Mitgliedstaaten relevant, an denen private und öffentliche Akteure teilhaben sollen. So soll ein effizienter und schneller Datenaustausch zwischen den Mitgliedstaaten und den Sektoren der EU ermöglicht werden. Gerade in den Bereichen Gesundheitswesen, Landwirtschaft, Umwelt, Energie, Finanzen und der öffentlichen Verwaltung wird ein effizienter Datenaustausch und -abgleich zur Digitalisierung und Erleichterung des Austausches der Mitgliedländer beitragen, sodass Fortschritt und Weiterentwicklung länderübergreifend gelingen können. In den noch zu schaffenden Datenräumen werden sodann beispielsweise Gesundheitsdaten, Umwelt- und Agrardaten gesammelt, damit private und öffentliche Akteure auf diese zugreifen können und zum Beispiel für die Entwicklung ihrer Produkte oder die Entwicklung einer künstlichen Intelligenz verwenden können.

Doch wie sieht die Umsetzung dieser Ziele aus?

Um die grundsätzlich schon vorhandene Menge an Daten in der EU und deren Potenzial nutzen zu können, soll das Vertrauen in das Teilen und Zurverfügungstellen von Daten gestärkt werden. Derzeit befürchten viele Unternehmen, dass die Weitergabe ihrer Daten mit einem Verlust an Wettbewerbsfähigkeit einhergeht und die Offenlegung von Daten ein Missbrauchsrisiko darstellt. Der DGA benennt unter anderem eine Reihe von Regeln für Anbieter von Datenvermittlungsdiensten, damit diese als vertrauenswürdige Organisatoren den Datenaustausch abwickeln. Der DGA sieht mehrere Säulen zur Umsetzung vor:

 

Technische Voraussetzungen:

Zunächst sollen die Mitgliedstaaten technisch passend ausgestatten sein, damit die Privatsphäre und Vertraulichkeit der Daten sichergestellt werden kann.

Möglichkeit der Datenspende:

Gerade um eine Vielfalt von Daten für Wirtschaft, Forschung und Gesundheit nutzen zu können, müssen erst einmal auch Datenmenge vorliegen. Als ein Instrument wird die Datenspende vorgesehen, die es Unternehmen und auch öffentlichen Stellen ermöglicht, Daten freiwillig zur Verfügung zu stellen (sog. Datenaltruismus).

Daneben sind Maßnahmen normiert, die es Bürgern und Unternehmen ermöglichen, ihre Daten zum Nutzen der Allgemeinheit in dem geschaffenen System zur Verfügung zu stellen, sowie Maßnahmen zur Erleichterung des Datenaustauschs, insbesondere zur Ermöglichung der grenzübergreifenden Nutzung von Daten und zur Auffindung der richtigen Daten für den richtigen Zweck.

Erleichterungen bei der Weiterverarbeitung:

Sodann sieht der Data Governance Act einen Mechanismus zur Erleichterung der Weiterverarbeitung bestimmter Daten des öffentlichen Sektors vor, die nicht als offene Daten zur Verfügung gestellt werden können.

Vertrauenswürdigkeit:

Des Weiteren enthält die Verordnung Maßnahmen, mit denen sichergestellt wird, dass Datenintermediäre (Datenvermittlungsdienste) als vertrauenswürdige Organisatoren des Datenaustauschs oder der Datenbündelung innerhalb der gemeinsamen europäischen Datenräume fungieren. Dadurch soll ein sicheres Datensystem entstehen, wodurch mehr Daten offengelegt werden, sodass die Datenverfügbarkeit gesteigert wird.

Zusammenarbeit öffentlicher Stellen und Verwender:

Weiterhin sollen öffentliche Stellen und Verwender der Daten eng zusammenarbeiten, damit eine problemlose Verwendung und Nutzung gegen Entgelt und Weiterverarbeitung der Daten gewährleistet werden. Kann eine öffentliche Stelle zum Bespiel keinen Zugang zu gewissen Daten zur Weiterleitung gewähren, so soll sie dem potenziellen Verwender dabei helfen, die Zustimmung der betroffenen Person zur Weiterverarbeitung einzuholen.

Wichtig ist zu betonen, dass die Datenintermediäre als neutrale Dritte fungieren, die Einzelpersonen und Unternehmen auf der einen Seite mit Datennutzern auf der anderen Seite verbinden. Datenintermediäre können die Daten nicht monetarisieren und müssen durchgehend gewissen Anforderungen erfüllen, um eine Neutralität zu gewährleisten und Interessenskonflikte vorzubeugen. Ebenfalls wichtig ist, dass durch den DGA die öffentlichen Stellen nicht verpflichtet werden können, eine Erlaubnis in die Weiterverarbeitung ihrer Daten zwangsweise zu erteilen.

Durch diese verschiedenen Säulen und Maßnahmen lässt sich ein Teil der europäischen Datenstrategie umsetzen. Diese beinhaltet die sog. „FAIR-Datengrundsätze“:

F – Findability (Auffindbarkeit)
A – Accessibility (Zugänglichkeit)
I – Interoperability (Interoperabilität)
R – Reusability (Weiterverwendbarkeit)

 

Fazit und Ausblick

Der DGA sieht mit seinen Regelungsgegenständen eine weitreichende, effiziente und mitgliedstaatenübergreifende Nutzung von Daten vor. Eine solche sektorübergreifende und gezielte Förderung des Austausches und der Weiterverwendung von Daten könnte nicht nur insbesondere in der Forschung ein Vorankommen bedeuten, sondern auch kleinere Unternehmen der Mitgliedstaaten könnten signifikant durch den Datengewinn profitieren. Sei es, dass die bereitgestellten Daten die Produktentwicklung vorantreiben oder den Marktzugang erleichtern.

Der DGA ist jedoch nur ein Rechtsrahmen, er gibt ein rechtliches System als Rahmenbedingung vor, beinhaltet aber keine konkrete Pflicht zur Nutzung der neu erschaffenen Möglichkeiten in den Mitgliedstaaten. Es besteht somit keine Verpflichtung zur öffentlichen Bereitstellung von Daten. Auch sind keine Bußgelder oder ähnliche Sanktionen vorgesehen, sodass es fraglich ist, ob der Verordnung eine breite praktische Relevanz zukommen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!