E-Book, Deutsch, 367 Seiten
Kosmides Zivilrechtliche Haftung für Datenschutzverstöße
1. Auflage 2010
ISBN: 978-3-8316-0967-3
Verlag: Herbert Utz Verlag
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
Eine Studie zu Art. 23 EG-Datenschutzrichtlinie und Art. 23 griechisches Datenschutzgesetz unter Berücksichtigung des deutschen Rechts
E-Book, Deutsch, 367 Seiten
ISBN: 978-3-8316-0967-3
Verlag: Herbert Utz Verlag
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
Im Rahmen der heutigen Informationsgesellschaft stellt die Verarbeitung personenbezogener Daten einen Eigenwert dar. Aus dieser Datenverarbeitung ergibt sich indessen ein hohes Schadenspotenzial für den Einzelnen. So gesehen kommt einer Haftung für Datenschutzverstöße und den damit begründeten Schadensersatzansprüchen eine große Bedeutung für den Schutz des Einzelnen zu. Eine solche Haftung für Datenschutzverstöße wird auf europäischer Ebene durch Art. 23 EG-Datenschutzrichtlinie festgelegt, die korrespondierende Haftungsregelung stellt in der griechischen Rechtsordnung Art. 23 Datenschutzgesetz dar. Die vorliegende Studie befasst sich mit den oben genannten Haftungsnormen, wobei auch das deutsche Recht, insbesondere die Schadensersatzregelungen der §§ 7 und 8 BDSG, berücksichtigt wird.
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort;8
2;Inhaltsverzeichnis;10
3;Abkürzungsverzeichnis;20
4;Teil 1: Einleitung und Grundlagen;26
4.1;§ 1 Einleitung;26
4.1.1;A. Allgemeiner sozioökonomischer Rahmen – Gefahren- und Schadenspotential bei Datenschutzverstößen;26
4.1.2;B. Die Bedeutung einer außervertraglichen Haftung für Datenschutzverstöße;32
4.1.3;C. Problembeschreibung, Zielsetzung und methodischer Ansatz;36
4.1.4;D. Gang der Untersuchung;38
4.2;§ 2 Die EG-Datenschutzrichtlinie: Grundlagen und Grundpfeiler;39
4.2.1;A. Geschichte;39
4.2.2;B. Inhaltsübersicht – Aufbau;40
4.2.3;C. Ziel und Zweck der Regelung (Art. 1 EG-Datenschutzrichtlinie);41
4.2.4;D. Überblick über den Anwendungsbereich nach Art. 3 EG-Datenschutzrichtlinie;46
4.2.5;E. Anwendbares einzelstaatliches Recht (Art. 4 EG-Datenschutzrichtlinie);47
4.2.6;F. Grundsätze und Leitprinzipien;48
4.2.7;G. Kontrollstelle;51
4.2.8;H. Artikel-29-Datenschutzgruppe;52
4.3;§ 3 Das Datenschutzgesetz: Grundlagen und Grundpfeiler;53
4.3.1;A. Geschichte;53
4.3.2;B. Inhaltsübersicht – Aufbau;55
4.3.3;C. Ziel und Zweck (Art. 1 DSG);56
4.3.4;D. Überblick über den Anwendungsbereich nach Art. 3 DSG;60
4.3.5;E. Grundsätze und Leitprinzipien;61
4.3.6;F. Die unabhängige Datenschutzbehörde;62
4.3.6.1;I. Einrichtung, Aufgaben und Rechtscharakter;62
4.3.6.2;II. Kompetenzen;64
4.3.6.2.1;1. Richtlinien- und Gutachtenkompetenz;64
4.3.6.2.2;2. Beschlusskompetenz;65
4.3.6.2.3;3. Regelungskompetenz;66
4.3.6.2.4;4. Beratungs- und Mitwirkungskompetenz;67
4.3.6.2.5;5. Kontrollkompetenz;68
4.3.6.2.6;6. Sanktionierungskompetenz;68
4.3.6.2.7;7. Kompetenz im Hinblick auf die Geschäftstätigkeit und die Verwirklichung der Aufgaben der Datenschutzbehörde;68
5;Teil 2: Die Haftung nach der EG-Datenschutzrichtlinie;70
5.1;§ 4 Ausgangspunkt: Der Anwendungsbereich der Richtlinie;70
5.1.1;A. Sachlicher Anwendungsbereich;71
5.1.1.1;I. Positive Anwendungsvoraussetzungen;71
5.1.1.1.1;1. Allgemeines;71
5.1.1.1.2;2. Erläuterung wichtiger Begriffe;72
5.1.1.2;II. Ausnahmetatbestände;74
5.1.1.2.1;1. Anknüpfung an den Anwendungsbereich des Gemeinschaftsrechts (Art. 3 Abs. 2 erster Anstrich EG-Datenschutzrichtlinie);74
5.1.1.2.2;2. Ausschließlich persönliche oder familiäre Tätigkeiten (Art. 3 Abs. 2 zweiter Anstrich EG-Datenschutzrichtlinie);75
5.1.2;B. Persönlicher Anwendungsbereich;75
5.1.2.1;I. Normadressaten der EG-Datenschutzrichtlinie;75
5.1.2.1.1;1. Allgemeines;75
5.1.2.1.2;2. Die an der Datenverarbeitung aktiv Beteiligten – Begrifflichkeiten;76
5.1.2.2;II. Geschützter Personenkreis;79
5.1.3;C. Räumlicher Anwendungsbereich;80
5.2;§ 5 Die Haftungsregelung (Art. 23 EG-Datenschutzrichtlinie);82
5.3;§ 6 Die Rechtsnatur der Haftung;82
5.3.1;A. Allgemeines;82
5.3.2;B. Die Diskussion im Schrifttum;83
5.3.3;C. Zusammenstellung der Fragestellungen;85
5.3.4;D. Qualifizierung der Haftung nach Art. 23 Abs. 1 EG-Datenschutzrichtlinie (isolierte Betrachtung);86
5.3.5;E. Qualifizierung der Haftung nach Art. 23 Abs. 1 und 2 EG-Datenschutzrichtlinie (Gesamtbetrachtung);90
5.3.5.1;I. Problem – zur Verdeutlichung;90
5.3.5.2;II. Ausgangspunkt: Interpretation von Art. 23 Abs. 2;92
5.3.5.2.1;1. Grundlegendes;92
5.3.5.2.2;2. Grammatische Interpretation;93
5.3.5.2.3;3. Systematische Interpretation;97
5.3.5.2.4;4. Historisch-teleologische Interpretation;100
5.3.5.2.5;5. Objektiv-teleologische Interpretation;103
5.3.5.2.6;6. Primärrechtskonforme Interpretation;110
5.3.5.2.7;7. Ergebnis der Interpretation;112
5.3.6;III. Bewertung der in der Literatur vorgeschlagenen Lösungen;112
5.3.7;IV. Ergebnis bzw. Problemlösung;114
5.4;§ 7 Normzweck;115
5.5;§ 8 Haftungstatbestand – Voraussetzungen der Haftung (Art. 23 Abs. 1 EG-Datenschutzrichtlinie);118
5.5.1;A. Haftungsauslösende Momente (Haftungsgründe) I. Wesen und Inhalt;118
5.5.1.1;I. Wesen und Inhalt;118
5.5.1.2;II. Fälle einer Zuwiderhandlung gegen Vorschriften der EG-Datenschutzrichtlinie;123
5.5.2;B. Schaden;126
5.5.2.1;I. Allgemeines;126
5.5.2.2;II. Der Schadensbegriff;126
5.5.2.2.1;1. Problem;126
5.5.2.2.2;2. Interpretation;129
5.5.2.2.3;3. Ergebnis der Interpretation – Schadensbegriff;136
5.5.3;C. Kausalität;138
5.5.4;D. Haftungsgläubiger: Jede natürliche Person;140
5.5.5;E. Haftungsschuldner: Für die Verarbeitung Verantwortlicher;141
5.6;§ 9 Zulässige Haftungsminderung oder -befreiung (Art. 23 Abs. 2 EG-Datenschutzrichtlinie);142
5.7;§ 10 Schadensersatz als Rechtsfolge – Art und Umfang des zu leistenden Schadensersatzes;146
5.8;§ 11 Spezialfragen;146
5.8.1;A. Beweislast;147
5.8.2;B. Verjährung;148
5.8.3;C. Mehrheit von Schädigern – Identifizierung des Schädigers bei vernetzten und zentralisierten Verarbeitungssystemen;148
6;Teil 3: Die Haftung nach dem Datenschutzgesetz;152
6.1;§ 12 Ausgangspunkt: Der Anwendungsbereich des Datenschutzgesetzes;152
6.1.1;A. Sachlicher Anwendungsbereich;153
6.1.1.1;I. Positive Anwendungsvoraussetzungen;153
6.1.1.1.1;1. Allgemeines;153
6.1.1.1.2;2. Erläuterung wichtiger Begriffe;154
6.1.2;II. Ausnahmetatbestände;165
6.1.2.1;1. Ausschließlich persönliche oder familiäre Tätigkeiten (Art. 3 Abs. 2 lit. a DSG);165
6.1.2.2;2. Strafrechtspflege und Feststellung von Straftaten (Art. 3 Abs. 2 lit. b DSG);167
6.1.3;B. Persönlicher Anwendungsbereich;167
6.1.3.1;I. Normadressaten des DSG 1. Allgemeines;168
6.1.3.1.1;1. Allgemeines;168
6.1.3.1.2;2. Die an der Datenverarbeitung aktiv Beteiligten – Begrifflichkeiten;169
6.1.3.2;II. Geschützter Personenkreis;175
6.1.4;C. Räumlicher Anwendungsbereich;176
6.2;§ 13 Die Haftungsregelung (Art. 23 DSG);178
6.3;§ 14 Die Rechtsnatur der Haftung;179
6.3.1;A. Problem;179
6.3.2;B. Mögliche Lösungen hinsichtlich der Qualifizierung;180
6.3.2.1;I. Bisherige Qualifizierungsansätze;180
6.3.2.2;II. Weitere Qualifizierungsmöglichkeit;181
6.3.3;C. Auf dem Weg zum Ergebnis: Besprechung der Qualifizierungsmöglichkeiten;182
6.3.3.1;I. Keine „relativierte Gefährdungshaftung“;182
6.3.3.2;II. Verschuldenshaftung oder Zwei-Haftungsgründe-Regelung? 1. Nähere Problembeschreibung;183
6.3.3.2.1;1. Nähere Problembeschreibung;183
6.3.3.2.2;2. Interpretation;184
6.3.3.2.3;3. Ergebnis der Interpretation – Bewertung der möglichen Lösungen;207
6.3.4;D. Ergebnis bzw. Problemlösung;207
6.4;§ 15 Normzweck;208
6.5;§ 16 Haftung für Verstöße gegen das Datenschutzgesetz (Art. 23 Abs. 1 S. 1 und 2 DSG);212
6.5.1;A. Haftungsauslösendes Moment (Haftungsgrund);212
6.5.1.1;I. Allgemeines;212
6.5.1.2;II. Systematisierung und Kategorisierung der Verstöße gegen das DSG;218
6.5.1.2.1;1. Verstoß gegen die qualitativen Merkmale der personenbezogenen Daten (Art. 4 DSG);219
6.5.1.2.2;2. Zuwiderhandlung gegen die Meldepflicht (Art. 6 DSG);225
6.5.1.2.3;3. Verstoß gegen die Zulässigkeitstatbestände für die Verarbeitung personenbezogener Daten (Art. 5 und Art. 7 bis 9 DSG);227
6.5.1.2.4;4. Verletzung der Pflicht zur Sicherheit und Vertraulichkeit der Datenverarbeitung (Art. 10 DSG);236
6.5.1.2.5;5. Verletzung der Rechte der betroffenen Person (Art. 11 bis 14 DSG);239
6.5.1.2.6;6. Verstoß im Zusammenhang mit der Verwirklichung der Aufgabe der unabhängigen Datenschutzbehörde;245
6.5.1.2.7;7. Zuwiderhandlung gegen kraft des DSG erlassene Rechtsakte;246
6.5.2;B. Schaden;249
6.5.2.1;I. Allgemeines;249
6.5.2.2;II. Inhalt und Umfang des Schadensbegriffs;250
6.5.2.2.1;1. Materieller und immaterieller Schaden;250
6.5.2.2.2;2. Positiver Schaden und entgangener Gewinn;254
6.5.2.2.3;3. Rechtsgutsschaden und Folgeschaden;255
6.5.2.2.4;4. Aktueller und zukünftiger Schaden;256
6.5.2.2.5;5. Realer und rechnerischer Schaden;257
6.5.2.2.6;6. Konkreter Schaden;258
6.5.3;C. Kausalität;259
6.5.4;D. Haftungsschuldner;266
6.5.5;E. Ungeschriebenes Tatbestandsmerkmal: Natürliche Personen als Haftungsgläubiger;269
6.6;§ 17 Haftung für schuldhafte Verletzungen von datenschutzrechtlichen Sorgfaltspflichten (Art. 23 Abs. 1 S. 3 DSG);273
6.6.1;A. Ausgangspunkt: Umformulierung des Art. 23 Abs. 1 S. 3 DSG;273
6.6.2;B. Haftungsauslösendes Moment (Haftungsgrund);274
6.6.3;C. Schaden;278
6.6.4;D. Kausalität;279
6.6.5;E. Haftungsgläubiger/Haftungsschuldner;280
6.7;§ 18 Schadensersatz als Rechtsfolge – Art und Umfang des zu leistenden Schadensersatzes;280
6.8;§ 19 Anspruchsberechtigte/Ersatzverpflichtete;282
6.9;§ 20 Beweislast;283
6.10;§ 21 Die Haftungsvoraussetzungen im Fall der Annahme einer Verschuldenshaftung (mit Beweislastumkehr);284
6.10.1;A. Haftungsauslösendes Moment (Haftungsgrund);285
6.10.2;B. Schaden;285
6.10.3;C. Kausalität;286
6.10.4;D. Haftungsgläubiger/Haftungsschuldner;286
6.11;§ 22 Anspruch auf Beseitigung und Unterlassung;286
6.12;§ 23 Spezialfragen;292
6.12.1;A. Haftungsbeschränkung und Haftungsausschluss;292
6.12.1.1;I. Zufall und höhere Gewalt;292
6.12.1.2;II. Mitverschulden;293
6.12.1.3;III. Freizeichnung – Verzicht;295
6.12.2;B. Verjährung;297
6.12.3;C. Mehrheit von Schädigern;298
6.12.4;D. Streitigkeiten (Art. 23 Abs. 3 DSG);300
6.12.5;E. Zusammentreffen mehrerer Haftungsgründe;301
6.12.5.1;I. Vorvertragliche Schadensersatzansprüche;301
6.12.5.2;II. Vertragliche Schadensersatzansprüche;302
6.12.5.3;III. Nachvertragliche Schadensersatzansprüche;302
6.12.5.4;IV. Außervertragliche Schadensersatzansprüche;303
6.13;§ 24 Beurteilung und Bewertung des Haftungssystems des Datenschutzgesetzes;307
6.13.1;A. Allgemeines;307
6.13.2;B. Gesetzliche Formulierung;308
6.13.3;C. Richtlinienkonformität;309
6.13.3.1;I. Haftungsauslösende Momente (Haftungsgründe);309
6.13.3.2;II. Schaden als Haftungsvoraussetzung bzw. Schadensersatz als Rechtsfolge;310
6.13.3.3;III. Kausalität;311
6.13.3.4;IV. Haftungsgläubiger;311
6.13.3.5;V. Haftungsschuldner;311
6.13.4;D. Rechtspolitische Betrachtung I. Positive Gesichtspunkte 1. Kreis der Haftungsgläubiger;315
6.13.4.1;I. Positive Gesichtspunkte;315
6.13.4.1.1;1. Kreis der Haftungsgläubiger;315
6.13.4.1.2;2. Kreis der Haftungsschuldner;316
6.13.4.1.3;3. Haftungsauslösende Momente (Haftungsart);316
6.13.4.1.4;4. Schadensersatz;319
6.13.5;II. Probleme im Haftungssystem – Lösungsvorschläge de lege ferenda;322
6.13.5.1;1. Haftungsart: Unrechtshaftung – keine Gefährdungshaftung;322
6.13.5.2;2. Beweislast für den Kausalzusammenhang;324
6.13.5.3;3. Identifizierung des Schädigers bei vernetzten und zentralisierten Verarbeitungssystemen;325
6.13.6;E. Änderungsvorschlag von Art. 23 DSG;327
7;Teil 4: Schlusskapitel;330
7.1;§ 25 Zusammenfassende Schlussthesen;330
7.1.1;A. Teil 1;330
7.1.2;B. Teil 2;331
7.1.3;C. Teil 3;334
8;Literaturverzeichnis;340
9;Lebenslauf;362
Teil 2: Die Haftung nach der EG-Datenschutzrichtlinie (S. 45-46)
§ 4 Ausgangspunkt: Der Anwendungsbereich der Richtlinie
Der Anwendungsbereich der Haftung nach Art. 23 EG-Datenschutzrichtlinie fällt grundsätzlich mit dem der Richtlinie zusammen. Hier wird der Anwendungsbereich der Richtlinie erörtert. Somit betreffen die folgenden Ausführungen gemeinhin den Geltungsbereich aller Vorschriften der Richtlinie und damit auch des Art. 23. Was speziell den persönlichen Anwendungsbereich der Haftung betrifft, so ergibt sich eine Präzisierung durch Art. 23. Darauf wird unten im Rahmen der Haftungsvoraussetzungen eingegangen.
Für den Anwendungsbereich der EG-Datenschutzrichtlinie ist vor allem Art. 3 EG-Datenschutzrichtlinie maßgeblich. Ergänzend zu Art. 3 regelt Art. 4 den räumlichen Geltungsbereich2 des in Umsetzung der Richtlinie erlassenen einzelstaatlichen Rechts.3 Für den räumlichen Geltungsbereich der Richtlinie ist ihr Art. 34 einschlägig. Von Bedeutung ist in diesem Zusammenhang auch Art. 1, der das Regelungsziel der Richtlinie festlegt.4 Schließlich sind hierfür die Begriffsbestimmungen des Art. 2 EG-Datenschutzrichtlinie zu berücksichtigen.
Die genannten Vorschriften können im Rahmen dieser Studie nicht bis ins letzte Detail erläutert werden. Es geht um eine Untersuchung, die wegen ihrer Breite und Tiefe ein typisches „Kommentarproblem“ darstellt. Gegen eine ausführliche Darstellung des Anwendungsbereichs der EG-Datenschutzrichtlinie spricht auch der Umstand, dass die in Umsetzung der oben genannten einschlägigen Vorschriften erlassenen griechischen Regeln des DSG weitgehend den europäischen Regeln ähneln. Diese wurden unverändert oder jedenfalls mit nur geringen Abweichungen in das DSG übergenommen.
Die Folge hieraus ist, dass der Anwendungsbereich der EG-Datenschutzrichtlinie mit diesem des DSG in mehrfacher Hinsicht zusammenfällt. Insoweit erscheint es überflüssig, soweit es um konvergierende Rechtsfragen geht, mit diesen zweimal befasst zu werden. Da aber die europäischen Normen ihre Wirkung in ihrer Umsetzung in das nationale Recht entfalten, soll nicht hier, sondern im Rahmen des entsprechenden Kapitels zum DSG, auf diese Problematik eingegangen werden. An dieser Stelle wird nur auf die Grundzüge des Themas eingegangen. Im Übrigen wird jeweils auf die Ausführungen zum griechischen Recht verwiesen.
Die Erläuterung des sachlichen Anwendungsbereichs ist für die Bestimmung des persönlichen Anwendungsbereiches der Richtlinie entscheidend, daher wird dieser in einem ersten Schritt genauer behandelt (vgl. sogleich unten A). Im zweiten Schritt wird der persönliche Anwendungsbereich dargestellt (vgl. unten B). Abschließend soll der räumliche Anwendungsbereich der EG-Datenschutzrichtlinie erörtert werden (vgl. unten C).
