Eine kürzlich veröffentlichte Studie der OECD hat die Berechnungsmethoden und offiziellen wie auch inoffiziellen Marktpreise für verschiedene Arten personenbezogener Daten untersucht. Danach liege der Preis für die Daten zur Insolvenzauskunft eines US-Bürgers etwa bei 26.5 US-Dollar, für eine unveröffentlichte Telefonnummer müsste man 10 US-Dollar zahlen.
Schadenersatz bei rechtwidriger Datenverarbeitung?
Häufig wird der Betroffene von derlei Datenhandel überhaupt nichts mitbekommen. Welche rechtliche Möglichkeit besteht aber, wenn er dennoch Kenntnis erlangt? Kann er dann von dem Verantwortlichen Schadenersatz in Höhe des wirtschaftlichen „Wertes“ seiner Daten verlangen? Sollte es sich um besonders sensible Informationen handeln, kann er dann auch einen immateriellen, also finanziell nicht messbaren, Schaden geltend machen?
Derzeitige Rechtslage
Nach Art. 23 Abs. 1 der derzeit geltenden Datenschutz-Richtlinie (DS-RL, 95/46/EG) kann jede Person, welcher durch eine rechtswidrige Datenverarbeitung ein Schaden entsteht, von dem für die Datenverarbeitung Verantwortlichen Schadenersatz verlangen. Eine Beschränkung auf eine bestimmte Art des Schadens, also materiell oder immateriell, wird nicht vorgenommen. Auch Erwägungsgrund 55 der DS-RL spricht nur von „möglichen Schäden“ die einer Person entstehen.
Nach deutschem Datenschutzrecht
Diese Vorgaben wurden in Deutschland in § 7 und § 8 BDSG umgesetzt. § 7 BDSG bezieht sich auf den nicht-öffentlichen Bereich, also auf eine Datenverarbeitung durch Unternehmen. Auch hier wird keine wörtliche Differenzierung nach Schadensarten vorgenommen. Man könnte also davon ausgehen, dass auch immaterielle Schäden nach dem BDSG grundsätzlich ersatzfähig sind. Jedoch wird gegen diese Auslegung vorgebracht, dass § 8 Abs. 2 BDSG für den öffentlichen Bereich gerade den Schadenersatzanspruch für immaterielle Schäden regelt. Daraus ergebe sich, dass der Gesetzgeber im nicht-öffentlichen Bereich des Datenschutzrechts gerade keinen speziellen Anspruch auf Ersatz immaterieller Schäden statuieren wollte. So lehnte etwa das OLG Zweibrücken (Urt. v. 21.02.2013 – 6 U 21/12) genau aus diesem Grund einen Schmerzensgeldanspruch ab und billigte nur den Ersatz von wirtschaftlichen Schäden, nämlich Rechtsanwaltskosten, zu. Vor allem in den juristischen Kommentaren wird hiergegen vorgebracht, dass eine solche Einschränkung den europarechtlichen Vorgaben zuwider laufe. Daher sei entweder direkt über § 7 S. 1 BDSG auch ein Schadenersatzanspruch für immaterielle Schäden möglich oder aber über § 823 Abs. 1 BGB i. V. m. mit einer Verletzung des Rechts auf informationelle Selbstbestimmung.
Wegen Verletzung des Allgemeinen Persönlichkeitsrechts
In Rechtsprechung wie auch in der Literatur anerkannt ist jedoch die Möglichkeit, einen Schmerzensgeldanspruch (also den Ersatz immaterieller Schäden) geltend zu machen, wenn durch die rechtswidrige Datenverarbeitung gleichzeitig auch in den Schutzbereich des Allgemeinen Persönlichkeitsrechts (APR), etwa in die Privatsphäre, eingegriffen wird. Das typische Beispiel ist etwa ein heimliches Filmen von Personen. Es werden dann rechtswidrig personenbezogene Daten erhoben und gegen das Datenschutzrecht verstoßen und gleichzeitig auch in den Schutzbereich des APR eingegriffen. Liegt dann noch eine schwerwiegende Persönlichkeitsrechtsverletzung vor, denn dies ist eine zusätzliche Voraussetzung für den Ersatz immaterieller Schäden, und besteht keine andere Genugtuungsmöglichkeit, so kann ein Anspruch auf Geldentschädigung zugesprochen werden. In diesen Fällen umgehen die Gerichte also die Frage nach einem speziellen datenschutzrechtlichen Schadenersatzanspruch und stützen die Geldentschädigung auf den allgemeinen zivilrechtlichen Schadenersatzanspruch aus § 823 Abs. 1 BGB. Jedoch lehnte etwa das AG Celle (Urt. v. 30.01.2013 – 14 C 1662/12) einen Ersatz immaterieller Schäden in dem Fall einer unberechtigten Weitergabe ehemaliger Kundendaten eines Internetproviders an eine Anwaltskanzlei mit der Begründung ab, dass aufgrund des unberechtigten Versendens einer Abmahnung wegen des Downloads eines erotischen Filmes, eine Rufschädigung des Klägers und damit eine schwere Persönlichkeitsrechtsverletzung, nicht bereits deshalb möglich war, weil mehrere andere Personen den Inhalt der Abmahnung zur Kenntnis nahmen. Auf die Frage nach einem Schmerzensgeldanspruch allein nach dem BDSG ging das Gericht dann nicht weiter ein.
Kriterium der „schwerwiegenden“ Verletzung
Dieser Entscheidung kann man zustimmen, wenn man auch für den datenschutzrechtlichen Schadenersatzanspruch nach § 7 S. 1 BDSG im Rahmen immaterieller Schäden eine schwerwiegende Verletzung verlangt. Denn dann gilt insofern nichts anderes als bei der Prüfung einer Verletzung des APR. Dafür spricht etwa die explizite Regelung in § 8 Abs. 2 BDSG. Dagegen lässt sich jedoch anführen, dass die europarechtliche Vorgabe keine Einschränkung vornimmt. Teilweise wird in der Literatur auch vorgeschlagen, den Geldentschädigungsanspruch nach § 7 S. 1 BDSG grundsätzlich zuzubilligen, bei der Frage der Höhe des Anspruchs jedoch zu berücksichtigen, ob die Verletzung schwerwiegend sei.
Ersatz materieller Schäden?
Ebenso problematisch stellt sich jedoch die Lage dar, wenn man einen materiellen, wirtschaftlichen Schaden, etwa aufgrund der unberechtigten Datenweitergabe, geltend machen möchte. Denn auch wenn die Studie der OECD für gewisse Daten einen Marktwert ermittelt, so stellt sich die Frage, ob die Informationen auch für den Betroffenen diesen Marktwert hatten. Ob er also z. B. seine nicht öffentliche Telefonnummer für 10 US-Dollar hätte verkaufen können? Daten besitzen sicher einen gewissen Wert, doch ist dieser immer von dem jeweiligen Verwendungskontext abhängig und vor allem kaum von dem Betroffenen selbst zu realisieren. Ein Beispiel: gibt man bei der Teilnahme zu einem Gewinnspiel seine Telefonnummer an, so erlangt man dafür die Möglichkeit der Gewinnchance. Für das Unternehmen hat diese Information jedoch schon einen ganz anderen Wert, da sie eventuell für zukünftige Werbemaßnahmen genutzt werden kann. Es stellt sich also die unbefriedigende Situation ein, dass personenbezogene Daten für die Betroffenen selbst einen kaum realisierbaren Wert besitzen, in den Händen der Unternehmen jedoch durch verschiedenste Verwendungsmöglichkeiten eine monetäre Aufwertung erfahren.
Zukünftige Rechtslage
In der derzeit geplanten Datenschutz-Grundverordnung (DS-GV, KOM 2012(11)) unterscheidet Art. 77 Abs. 1 DS-GV nicht nach Schadensarten, sondern billigt einen Anspruch für einen entstandenen „Schaden“ zu. Auch Erwägungsgrund 118 spricht nur von „Schäden“. Erwägungsgrund 67 wird jedoch etwas konkreter, wenn dort von „wirtschaftlichen Schäden“ und „sozialen Nachteilen“ gesprochen wird. Dies spricht zumindest ansatzweise für die Anerkennung des Ersatzes von immateriellen Schäden.
In dem Entwurf des Berichterstatters des Europäischen Parlaments, Jan Philipp Albrecht, spricht sich dieser explizit für eine Konkretisierung des Art. 77 Abs. 1 DS-GV aus, dass nämlich auch „einschließlich nicht finanzieller Schäden“ in den Gesetzestext aufgenommen werden sollte (Änderungsantrag 313). Auch in der Stellungnahme des Ausschusses für Binnenmarkt und Verbraucherschutz (IMCO) wird vorgeschlagen, dass ein „materieller oder immaterieller Schaden“ ersatzfähig sein kann (Änderungsantrag 202).
Fazit
Obwohl personenbezogene Daten unbestreitbar einen wirtschaftlichen Wert besitzen, ist es derzeit sowohl rechtlich als auch tatsächlich nicht einfach, einen Schadenersatzanspruch allein auf eine rechtswidrige Datenverarbeitung zu stützen. Erleichterung auf rechtlicher Ebene könnte die DS-GV bringen. Dennoch bleibt auf tatsächlicher Ebene das Problem bestehen, den tatsächlichen Wert von Daten zu berechnen oder eine immaterielle Einbuße darzutun.
Ich habe in diesem Blogbeitrag ausgerechnet, wieviel legal verkaufte Kundenprofile wert gewesen sind. Eventuell sind das Anhaltspunkte
http://safeaddress.wordpress.com/2012/12/19/air-berlin-kundendaten-aus-bonusprogramm-bringen-184-millionen-euro-ein/
Ich kenne einen Fall in Österreich, wo von einer Firma die Daten widerrechtlich an eine andere Firma weitergeleitet wurde und dadurch große Unannehmlichkeiten für den Betroffenen entstanden. Trotz Weiterleitung an die Datenschutzbehörde ist nicht viel passiert. Entweder mahlen die Mühlen in den Behörden seeehr langsam, oder es interessiert sie nicht.