Was haben fünf Jahre DSGVO gebracht?
Mehr als 6 von 10 Unternehmen (62 Prozent) zögern bei der Datennutzung, weil sie Angst haben, gegen den Datenschutz zu verstoßen. Fast ebenso viele (60 Prozent) haben schon einmal Pläne für Innovationen gestoppt, weil datenschutzrechtliche Vorgaben oder Unsicherheiten sie dazu gezwungen haben. Dabei war dies bei 22 Prozent der Betriebe schon häufig, bei 24 Prozent mehrfach und bei 14 Prozent bislang einmal der Fall. Das zeigt eine repräsentative Umfrage des Digitalverbandes Bitkom zum fünften Jahrestag der DSGVO. Die Verordnung gilt seit dem 25. Mai 2018.
„Ein einheitliches Datenschutzrecht für die ganze EU war und ist ein großartiges Projekt für die Bürgerinnen und Bürger ebenso wie für die EU als Wirtschaftsraum", sagt Bitkom-Präsident Achim Berg. "Nach fünf Jahren Datenschutz-Grundverordnung muss man allerdings festhalten: Die DSGVO hat ihr Versprechen, für europaweit einheitliche, verständliche und praxistaugliche Datenschutz-Regeln zu sorgen, nicht eingelöst!"
Stattdessen führe die von jeder nationalen und regionalen Aufsicht eigenständige Interpretation der Regeln zu Rechtsunsicherheit. Berg: "Viele Unternehmen verzichten deshalb auf die Entwicklung neuer Technologien und Dienste – oder verlagern ihre Projekte ins Ausland. Das zeigt sich nicht zuletzt an Verboten für innovative Technologien wie ChatGPT in einzelnen EU-Mitgliedstaaten, die für massive Verunsicherung sorgen."
„Deutschland verschenkt Chancen ...
Demzufolge glauben 58 Prozent der Unternehmen, dass Deutschland Chancen für Wachstum und Wohlstand verschenkt, weil zu oft auf Datennutzung verzichtet wird. 63 Prozent meinen, dass durch strenge Regeln innovative datengetriebene Geschäftsmodelle in Deutschland erstickt oder aus dem Land vertrieben werden.
Verstoß gegen DSGVO allein reicht nicht für Schadenersatz
Der bloße Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) begründet keinen Schadenersatz. Ein Schaden muss vorliegen und zwischen dem Verstoß und dem Schaden muss ein Kausalzusammenhang bestehen. Das entschied jetzt der Europäische Gerichtshof (EuGH) in Luxemburg.
In seinem Urteil stellt der EuGH fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei Voraussetzungen geknüpft sei:
1. einen Verstoß gegen die DSGVO,
2. einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert,
3. und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Dabei sei der Schadenersatzanspruch nicht auf immaterielle Schäden mit gewisser Erheblichkeit beschränkt. Die DSGVO kenne keine Erheblichkeitsschwelle und eine solche Beschränkung stünde im Widerspruch zu dem weiten Verständnis des EU-Gesetzgebers vom Begriff 'Schaden'. Zudem führt nach dem Wortlaut der DSGVO ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und es muss einen Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden geben, um einen Schadenersatzanspruch zu begründen.
Der Fall
Ab 2017 hatte die österreichische Post AG Daten der Landesbevölkerung gesammelt und daraus parteipolitische Präferenzen abgeleitet. Mithilfe eines Algorithmus hatte sie daraufhin anhand sozialer und demografischer Merkmale „Zielgruppenadressen“ definiert. Diese Daten waren für Wahlwerbezwecke von Parteien gedacht, wurden jedoch am Ende nicht an Dritte übermittelt. Davon war auch der klagende Mann betroffen, für den eine Hochrechnung vorgenommen worden war. Er wehrte sich gegen die Zuordnung zu der fraglichen Partei: Er sei verärgert, habe einen Vertrauensverlust erlitten, fühle sich bloßgestellt und verlange daher Schadenersatz gemäß Art. 82 DSGVO in Höhe von 1.000 Euro. Der österreichische Oberste Gerichtshof bezweifelte jedoch den Schadenersatzanspruch und wandte sich mit folgenden Fragen an den Europäischen Gerichtshof: 1. Reicht der bloße Verstoß gegen die DSGVO aus, um einen Schadenersatzanspruch zu begründen?, 2. Muss der entstandene immaterielle Schaden für den Anspruch auf Ersatz einen bestimmten Grad an Erheblichkeit erreichen? Welche EU-Vorgaben gibt es für die Festsetzung der Höhe des Schadenersatzes?
Zu den Regeln für die Bemessung des Schadenersatzes stellten die Luxemburger Richter fest, dass die DSGVO dazu keine konkretisierende Bestimmung enthält. Daher sei die Festlegung dieser Kriterien für die Ermittlung des Umfangs des Schadenersatzes Aufgabe der einzelnen Mitgliedstaaten. In diesem Zusammenhang weist der EuGH darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll. Die Erheblichkeit des Schadens dürfe kein anspruchsausschließender Umstand sein.
Dem EuGH zufolge "kann nicht davon ausgegangen werden, dass jeder 'Verstoß' gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person (...) eröffnet". Voraussetzungen dafür seien "eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden".
Europäischer Gerichtshof
Az.: C-300/21
Urteil vom 4. Mai 2023
„Datenschutz ist in unserer digitalen Welt extrem wichtig. Aktuell erleben wir aber eine lähmende Angst vor Fehlern und eine einseitige Abwägung zwischen Datenschutz und Mehrwerten der Datennutzung“, so Berg. Das gelte zum Beispiel für länderübergreifende Kooperationsprojekte und die medizinische Forschung, aber auch für die Digitalisierung des Gesundheitswesens oder der Verwaltung. Insbesondere kleinen und mittelständischen Unternehmen fehle es zudem an praxistauglichen Hilfestellungen, um in der Datenökonomie innovative Geschäftsideen umsetzen zu können.
... weil zu oft auf Datennutzung verzichtet wird!“
„Die vorhandenen Spielräume der DSGVO werden in Deutschland kaum genutzt“, sagt Berg. „Wir müssen Datenverarbeitungen als Chance verstehen statt als Risiko. Wenn wir fünf Jahre so weitermachen wie zuletzt, schwächen wir unsere Innovations- und Wettbewerbsfähigkeit.“
<notice>
Für die Umfrage im Auftrag des Digitalverbandes Bitkom hat Bitkom Research 602 Unternehmen ab 20 Beschäftigten in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ für die Gesamtwirtschaft. Die Fragen lauteten: „Inwieweit treffen folgende Aussagen zum Thema Datenpolitik aus Sicht Ihres Unternehmens zu bzw. nicht zu?"; „Haben Sie in Ihrem Unternehmen schon einmal Pläne für Innovationen in Zusammenhang mit der Nutzung von Daten wegen rechtlicher Vorgaben oder Unsicherheiten gestoppt?“
</notice>