Datenschutz für Unternehmen

1.4.2 Zweckbindung

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Art 5 Abs 1 lit b DSGVO).

Die Zwecke der Datenverarbeitung müssen jedenfalls schon vor der Datenerhebung – in dokumentierter Form[45] – festgelegt werden.[46] Auch sollten Unternehmen zu unspezifische Zweckbeschreibungen vermeiden. Als zu unspezifisch gelten wohl Formulierungen wie „Die Daten werden zu Marketing-Zwecken“ oder „zur Verbesserung der Benutzerfreundlichkeit erhoben“.[47]

Ändert sich der Zweck der Datenverarbeitung, werden durch den Zweckbindungsgrundsatz nur solche Weiterverarbeitungen ausgeschlossen, deren Zwecke nicht mit dem Erhebungszweck vereinbar sind. Somit sind Verarbeitungen zu anderen als den ursprünglichen, zum Zeitpunkt der Erhebung vorgesehenen Zwecken durchaus möglich.[48]

1.4.3 Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke notwendige Maß beschränkt werden (Art 5 Abs 1 lit c DSGVO).

Als dem Zweck angemessen gelten personenbezogene Daten nur, wenn diese „bezogen auf den Zweck hinsichtlich Funktion, Inhalt und Umfang sachgerecht sind“.[49] So wird die Verarbeitung besonderer Kategorien personenbezogener Daten (Art 9 DSGVO) für banale Zwecke wohl idR nicht angemessen sein.[50] Die personenbezogenen Daten sind für den Zweck erheblich, wenn diese geeignet sind, die Zweckerreichung zu fördern.[51] Auf das für die Zwecke notwendige Maß beschränkt ist die Verarbeitung personenbezogener Daten, wenn es nicht möglich ist, den Zweck ohne ihre Verarbeitung zu erreichen.[52]

Um im Sinne des Grundsatzes der Datenminimierung zu agieren, sollten Unternehmen auch hinterfragen, ob der Verarbeitungszweck unter Umständen nicht auch dann erreicht werden kann, wenn die personenbezogenen Daten anonymisiert sind. Wird dies bejaht, kann die Verarbeitung nicht-anonymisierter Daten als ein Verstoß gegen diesen Grundsatz zu qualifizieren sein.[53]

1.4.4 Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls[54] auf dem neuesten Stand sein. Es sind außerdem alle Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Art 5 Abs 1 lit d DSGVO). Durch diesen Grundsatz ergeben sich für Verantwortliche folgende Pflichten:

+Bei erstmaliger Erhebung muss mit der üblichen Sorgfalt geprüft werden, ob die Daten richtig sind.

+Werden dem Verantwortlichen zu einem späteren Zeitpunkt Unrichtigkeiten bekannt, so muss dieser die Daten entsprechend korrigieren.

+Ergeben sich Anzeichen, dass personenbezogene Daten unter Umständen unrichtig sind, trifft den Verantwortlichen diesbezüglich eine Nachforschungspflicht.

+Es müssen technische und organisatorische Maßnahmen getroffen werden, durch die die Richtigkeit der personenbezogenen Daten überprüft wird bzw. die personenbezogenen Daten im Fall der Unrichtigkeit berichtigt werden.[55]

1.4.5 Speicherbegrenzung

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art 5 Abs 1 lit e 1. HS DSGVO).

Der Verantwortliche hat daher zu prüfen, für welchen Zeitraum personenbezogene Daten für die Erreichung des Zwecks erforderlich sind.[56] Dabei hat die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt zu bleiben (ErwGr 39 DSGVO).

Nach diesem Zeitraum kann dem Grundsatz der Speicherbegrenzung durch Löschung oder Aufhebung der personenbezogenen Daten, zB durch Anonymisierung, Rechnung getragen werden.[57] Damit personenbezogene Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche aber Fristen für die Löschung oder regelmäßige Überprüfungen vorsehen (ErwGr 39 DSGVO).

1.4.6 Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies inkludiert den Schutz

+vor unbefugter oder unrechtmäßiger Verarbeitung und

+vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Art 5 Abs 1 lit f DSGVO).

Diese Sicherheit hat der Verantwortliche durch die Ergreifung von geeigneten technischen und organisatorischen Maßnahmen zu gewährleisten. Diese werden durch Art 32 DSGVO konkretisiert (Details siehe Kapitel 12).

Der Verantwortliche hat daher u. a. sicherzustellen, dass Unbefugte keinen Zugang zu den personenbezogenen Daten haben und ihnen auch keine Möglichkeit gegeben wird, Geräte, mit denen personenbezogene Daten verarbeitet werden, zu benutzen (ErwGr 39 DSGVO). Eine unbefugte Verarbeitung wird idR durch unbefugte Dritte, die nicht dem Verantwortlichen zuzuordnen sind, vorgenommen.[58] Aber auch die Verarbeitung durch Mitarbeiter des Verantwortlichen kann unter Umständen eine unbefugte Verarbeitung darstellen.[59] Verarbeitet der Verantwortliche personenbezogene Daten ohne ausreichende Rechtsgrundlage (zB wenn kein Rechtfertigungstatbestand des Art 6 Abs 1 DSGVO gegeben ist), ist die Verarbeitung als unrechtmäßig zu qualifizieren.[60]

1.4.7 Rechenschaftspflicht

Der Verantwortliche ist für die Einhaltung der Grundprinzipien (siehe Kapitel 1.4.1 bis Kapitel 1.4.6) verantwortlich und muss dies auch entsprechend nachweisen können (Art 5 Abs 2 DSGVO). Der Verantwortliche ist daher dazu angehalten, eine umfassende Dokumentation über sämtliche Maßnahmen zur Sicherstellung des Datenschutzes zu führen.[61]

1.5 Überblick über das Sanktionen- und Haftungsregime

Die DSGVO stieß nicht zuletzt aufgrund ihres scharfen Sanktionsregimes auf besondere Aufmerksamkeit in der Öffentlichkeit. Die Strafrahmen wurden im Vergleich zur DS-RL massiv ausgeweitet. Der Hauptgrund dafür ist, dass die mangelnde Effektivität der DS-RL unter anderem darauf zurückgeführt wurde, dass die Sanktionen nicht abschreckend genug gewesen sein dürften. Der EU-Gesetzgeber orientierte sich bei der Festlegung der Strafhöhe in der DSGVO daher am europäischen Kartellrecht.[62]

1.5.1 Strafen

Die Verhängung von Geldbußen ist in Art 83 DSGVO geregelt. Demnach können bei Verstößen gegen die datenschutzrechtlichen Bestimmungen Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

In Österreich ist die Verhängung von Verwaltungsstrafen in § 30 DSG verankert. Gegen Behörden und öffentliche Stellen können keine Geldbußen verhängt werden. Die Verwaltungsstrafen fließen dem Bund zu. Nach § 30 Abs 1 DSG kann eine Verwaltungsstrafe direkt gegen eine juristische Person verhängt werden. Der österreichische Gesetzgeber normierte in Anlehnung an § 99d BWG gewissermaßen die vorrangige Bestrafung der juristischen Person vor ihren vertretungsbefugten Organen und den verantwortlichen Beauftragten nach § 9 VStG.[63]

1.5.2 Haftung

In der DSGVO wurde auch eine eigenständige Haftungsbestimmung eingeführt.[64] Jede betroffene Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat gemäß Art 83 DSGVO Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Bestimmung gewährt den betroffenen Personen einen direkten Anspruch gegen den Verantwortlichen bzw. den Auftragsverarbeiter.[65]

Die DSGVO normiert eine solidarische Haftung für alle Beteiligten.[66] Für denjenigen Verantwortlichen oder Auftragsverarbeiter, der den Schaden ersetzt, besteht ein Regressanspruch (siehe Kapitel 2.8).

1.6 Fazit

Das durch die DSGVO neu etablierte EU-Datenschutzregime hat zwar die bisherige datenschutzrechtliche Regelungssystematik nicht vollends umgestaltet, brachte jedoch einige wesentliche Neuerungen mit sich – seien es neue Begrifflichkeiten, ein veränderter Anwendungsbereich oder verschärfte Sanktionen. Datenverarbeitende Unternehmen müssen sich darüber im Klaren sein, dass mit der DSGVO zwar eine stärkere Harmonisierung des europäischen Datenschutzrechts gelungen ist, eine echte Vollharmonisierung allerdings – aufgrund bestehender Regelungslücken und Öffnungsklauseln – nicht erreicht wurde. Die daraus resultierenden – und speziell für ein noch junges Regelungswerk oftmals typischen – Rechtsunsicherheiten dürften daher auch in Zukunft nicht gänzlich ausgeräumt werden können. Dennoch wird der europäische Datenschutz in Zukunft weiteren Entwicklungsschritten ausgesetzt sein, die sich auch positiv auf die Datenschutzpraxis auswirken dürften.

1Diregger, Handbuch Datenschutzrecht 1.

2Georgieva in Bergauer/Jahnel/Mader/Staudegger, jusIT Spezial: DSGVO 3 (4).

3Georgieva in Bergauer/Jahnel/Mader/Staudegger, jusIT Spezial: DSGVO 3 (11).

4Souhrada-Kirchmayer in Baumgartner, Jahrbuch Öffentliches Recht 61.

5Zerdick in Ehmann/Selmayr, DSGVO2 Art 2 Rz 3.

6Kühling/Raab in Kühling/Buchner, DSGVO/BDSG2 Art 2 Rz 15.

7Heißl in Knyrim, DatKomm, Art 2 Rz 49 (Stand 01.12.2018 rdb.at); Kühling/Raab in Kühling/Buchner, DSGVO/BDSG2 Art 2 Rz 16.

8„Die Formulierung ‚gespeichert werden sollen‘ ist dabei weit zu verstehen. Sie meint nicht etwa ein zielgerichtetes Verhalten, sondern es genügt bereits die Aussicht, dass die Daten in ein Dateisystem aufgenommen werden können, auch wenn dies von Bedingungen abhängig ist (zB von einer Entscheidung. des Personalchefs).“ (Ernst in Paal/Pauly, DSGVO BDSG2 Art 2 Rz 10.)

9Kühling/Raab in Kühling/Buchner, DSGVO/BDSG2 Art 2 Rz 18.

10Heißl in Knyrim, DatKomm, Art 2 Rz 55 (Stand 01.12.2018, rdb.at).

11ErwGr 16 DSGVO nennt diesbezüglich etwa die nationale Sicherheit betreffende Tätigkeiten.

12Laut ErwGr 18 DSGVO darf die Tätigkeit somit keinerlei Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit aufweisen.

13Die Verarbeitung ist daher nicht zwingend von der Niederlassung selbst durchzuführen, sondern es ist ausreichend, dass die Tätigkeit unzertrennbar mit der betreffenden Datenverarbeitung zusammenhängt (Zerdick in Ehmann/Selmayr, DSGVO2 Art 3 Rz 10; Leissler/Wolfbauer in Knyrim, DatKomm, Art 3 Rz 8 (Stand 01.10.2018, rdb.at)).

14Piltz in Gola, DSGVO2 Art 3 Rz 9.

15Piltz in Gola, DSGVO2 Art 3 Rz 11.

16Leissler/Wolfbauer in Knyrim, DatKomm, Art 3 Rz 7 (Stand 01.10.2018, rdb.at).

17Zerdick in Ehmann/Selmayr, DSGVO2 Art 3 Rz 9.

18Piltz in Gola, DSGVO2 Art 3 Rz 14.

19Ein Wohnsitz ist dafür nicht Voraussetzung. Es ist ausreichend, dass sich die von der Datenverarbeitung betroffene Person innerhalb der EU bzw. im Hoheitsgebiet eines MS aufhält, auch wenn dies nur vorübergehend ist (Zerdick in Ehmann/Selmayr, DSGVO2 Art 3 Rz 17).

20Es spielt folglich keine Rolle, ob die Waren oder Dienstleistungen entgeltlich oder unentgeltlich angeboten werden.

21Klar in Kühling/Buchner, DSGVO/BDSG2 Art 3 Rz 81.

22Leissler/Wolfbauer in Knyrim, DatKomm, Art 3 Rz 16 (Stand 01.10.2018, rdb.at).

23Klar in Kühling/Buchner, DSGVO/BDSG2 Art 3 Rz 91; Zerdick in Ehmann/Selmayr, DSGVO2 Art 3 Rz 20.

24Klar in Kühling/Buchner, DSGVO/BDSG2 Art 3 Rz 97.

25Klar in Kühling/Buchner, DSGVO/BDSG2 Art 3 Rz 99.

26Klar in Kühling/Buchner, DSGVO/BDSG2 Art 3 Rz 103.

27Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs.

28Bericht des Verfassungsausschusses über die Regierungsvorlage (1664 der Beilagen): Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018), Erläuterungen zu § 4, 4.

29Heißl in Knyrim, DatKomm, Art 2 Rz 58 (Stand 01.12.2018, rdb.at) vertritt jedoch die Ansicht, dass die Haushaltsausnahme nicht auf das DSG übertragbar ist und dieses daher auch in diesem Fall weiterhin anwendbar bleibt.

30Hödl in Knyrim, DatKomm, Art 4 Rz 1 (Stand 01.12.2018, rdb.at).

31Feiler/Forgó, EU-DSGVO, Art 4 Rz 2.

32Hödl in Knyrim, DatKomm, Art 4 Rz 12 (Stand 01.12.2018, rdb.at).

33Hödl in Knyrim, DatKomm, Art 4 Rz 28 (Stand 01.12.2018, rdb.at).

34Hödl in Knyrim, DatKomm, Art 4 Rz 26 (Stand 01.12.2018, rdb.at).

35Hödl in Knyrim, DatKomm, Art 4 Rz 77 (Stand 01.12.2018, rdb.at).

36Voigt/von dem Bussche, EU-DSGVO 113.

37Voigt/von dem Bussche, EU-DSGVO 114.

38Heberlein in Ehmann/Selmayr, DSGVO2 Art 5 Rz 8.

39Heberlein in Ehmann/Selmayr, DSGVO2 Art 5 Rz 10.

40Roßnagel, ZD 2018, 339 (340).

41Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 17.

42Gegebenenfalls sollten zusätzlich visuelle Elemente verwendet werden (ErwGr 59 DSGVO).

43Roßnagel in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht, Art 5 Rz 60.

44Roßnagel in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht, Art 5 Rz 57.

45Es muss Dritten möglich sein, die Festlegung nachzuvollziehen. Eine geeignete Form der Zweckfestlegung kann zB das Verzeichnis der Verarbeitungstätigkeiten gemäß Art 30 Abs 1 DSGVO sein (Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 32 und 34).

46Artikel-29-Datenschutzgruppe, WP 203, 15.

47Artikel-29-Datenschutzgruppe, WP 203, 16.

48Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 24.

49Roßnagel in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht, Art 5 Rz 119.

50Wolff in Schantz/Wolff, Das neue Datenschutzrecht, Rz 421.

51Wolff in Schantz/Wolff, Das neue Datenschutzrecht, Rz 422.

52Roßnagel in Simitis/Hornung/Spiecker gen Döhmann, Datenschutzrecht, Art 5 Rz 121.

53Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 58.

54Personenbezogene Daten müssen folglich nicht in jedem Fall auf dem neuesten Stand sein, sondern nur, wenn dies der Zweck der Datenverarbeitung erfordert (Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 61).

55Wolff in Schantz/Wolff, Das neue Datenschutzrecht, Rz 442; Hötzendorfer/Tschohl/Kasteliz in Knyrim, DatKomm, Art 5 Rz 46 (Stand 01.12.2018, rdb.at).

56Roßnagel, ZD 2018, 339 (341).

57Hötzendorfer/Tschohl/Kasteliz in Knyrim, DatKomm, Art 5 Rz 51 (Stand 01.10.2018, rdb.at).

58Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 74.

59Hötzendorfer/Tschohl/Kasteliz in Knyrim, DatKomm, Art 5 Rz 54 (Stand 01.10.2018, rdb.at).

60Herbst in Kühling/Buchner, DSGVO/BDSG2 Art 5 Rz 74.

61Roßnagel, ZD 2018, 339 (341).

62Kristoferitsch/Paefgen in Lewisch, Wirtschaftsstrafrecht und Organverantwortlichkeit 2018, 145.

63Illibauer in Knyrim, DatKomm, Art 83 Rz 124 (Stand 01.10.2018, rdb.at).

64Schweiger in Knyrim, DatKomm, Art 82 Rz 1 (Stand 01.12.2018, rdb.at).

65Schweiger in Knyrim, DatKomm, Art 82 Rz 3 (Stand 01.12.2018, rdb.at).

66

2 Art 82 DSGVO und Haftungsszenarien

Axel Thoß

2 Art 82 DSGVO und Haftungsszenarien
2.1 Augsgangspunkt

Selbst bis über den Atlantik hat es sich herumgesprochen, dass es sich bei der DSGVO um die „world’s toughest privacy rules“[67] handeln dürfte. Dieser Titel wurde jedoch – betrachtet man ihn unter dem Gesichtspunkt der Rechtssicherheit – teuer erkauft:

Einerseits sieht die DSGVO, wie der Blick in Art 83 DSGVO verrät, fast schon absurd hoch anmutende Geldbußen bei Verstößen gegen ausgewählte Bestimmungen der Verordnung vor. Mag man auch über die Sinnhaftigkeit solcher Strafdrohungen (Stichwort Verhältnismäßigkeit) diskutieren, so obliegt deren Einführung selbstredend dem zuständigen Gesetzgeber, zumal es letztlich die zuständigen Aufsichtsbehörden sind, die (wieder: Stichwort Verhältnismäßigkeit) den jeweiligen konkreten Verhaltensverstoß angemessen zu sanktionieren haben. Da vermag bereits aus Präventionsgründen ein potenzielles finanzielles Desaster ein geeignetes Instrumentarium zu sein, zumal, wenn betroffene Unternehmen ihre Organisation danach ausrichten können. Aber genau hier liegt die Crux begraben.

Die DSGVO weist eine Vielzahl strafbegründender, unbestimmter Rechtsbegriffe auf, was sowohl aus Sicht des Legalitäts- als auch Gesetzlichkeitsprinzips zumindest kritisch zu sehen ist. Dem Anspruch des Gesetzgebers, bestimmte Verhaltensweisen zu sanktionieren, ist zugleich die Notwendigkeit immanent, dies auf Basis hinreichend bestimmter Gesetze zu tun („nulla poena sine lege certa“). Dass dieser, ursprünglich im Strafrecht verankerte Rechtsgrundsatz[68] auch im Verwaltungsrecht gilt, ist heute unbestritten.

Sofern es nun aber um zivilrechtliche Rechtsfolgen von Verstößen gegen die DSGVO geht, mag die Rechtslage auf den ersten Blick anders sein. Ganz so liegen die Dinge aber nicht:

2.2 Art 82 DSGVO – Haftung und Recht auf Schadenersatz

Art 82 DSGVO bestimmt zunächst: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“[69] Soweit – scheinbar – so klar.

Aber eben nicht ganz:

2.3 Art 82 DSGVO vs § 33 DSG 2000 – alles beim Alten?

Bei einem Streifzug durch die in ihrer Zahl stetig zunehmenden Stellungnahmen zu Art 82 DSGVO fällt zunächst auf, dass diese sehr oft von einem klaren Unbehagen über die legistische Leistung des europäischen Gesetzgebers beherrscht sind. Diese Kritik, auf die im Folgenden zumindest partiell eingegangen wird, ist mitunter durchaus berechtigt. Überraschend ist allerdings, dass die Konsequenz einer zivilrechtlichen Haftung für – vereinfacht gesprochen – Verstöße gegen datenschutzrechtliche Bestimmungen so neu eigentlich nicht ist:

§ 33 DSG 2000, dem bis zur Einführung der DSGVO eher wenig Beachtung geschenkt wurde, was sich infolge seiner Derogation auch nicht mehr ändern wird, sah das bereits vor[70]. Zwar mag die in § 33 DSG 2000 vorgenommene Eingrenzung, wonach Ersatz immaterieller Schäden nur dann in Betracht kam, wenn der höchstpersönliche Lebensbereich eines Menschen in einer Weise erörtert oder dargestellt wird, die geeignet ist, ihn in der Öffentlichkeit bloßzustellen[71], für die Rechtsanwendung einfacher und praktikabler gewesen sein. Diese strikte Begrenzung war jedoch auch eine Mitursache dafür, dass § 33 DSG 2000 an sich totes Recht darstellte.

Die nunmehr „offene“ Gestaltung des Ersatzes immaterieller Schäden, wie sie in Art 82 DSGVO Eingang gefunden hat, mag ob ihrer Unbestimmtheit bzw. des Fehlens eines einheitlichen Verständnisses vom Begriff des immateriellen Schadens auf europäischer Ebene Anlass für Kritik geben. In der Sache selbst sollte man an dieser Stelle jedoch nicht mit zu vielen Steinen werfen, denn das Glashaus in Form des österreichischen Rechtskreises und mit ihm eingeschlossen des, jedenfalls soweit es den Ersatz immaterieller Schäden betrifft, recht unbestimmten § 1325 Allgemeines Bürgerliches Gesetzbuch (ABGB) existiert seit 1811 (und dennoch haben die Rechtsanwender auch mit diesem Gesetz zu leben gelernt). An die äußerst flexibel gestalteten § 1323 und § 1324 ABGB sei an dieser Stelle nur erinnert.

2.4 Aktivlegitimation
2.4.1 Grundsätzliches

Hervorhebenswert ist zunächst, dass Art 82 Abs 1 DSGVO nicht auf jeden „Betroffenen“, sondern auf „[j]ede Person“ als (potenziell) aktiv Legitimierten eines auf die Verletzung von Vorgaben der DSGVO gestützten Schadenersatzanspruches abstellt. Hervorhebenswert deshalb, weil die DSGVO selbst an diversen Stellen auf die „betroffene Person“[72] als Anknüpfungspunkt Bezug nimmt. Dass es sich hierbei keineswegs um ein „Redaktionsversehen“, sondern um eine bewusste Entscheidung des europäischen Gesetzgebers handelt, zeigt auch ein Blick in die englische Version der DSGVO, in der zwischen “data subject” und – in Bezug auf Art 82 DSGVO – „any person“ (Art 82 DSGVO) unterschieden wird.[73]

Dass nur eine Person, der durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, diesen (gegenüber dem Schädiger) zu liquidieren berechtigt sein sollte, liegt bereits in der Natur von Schadenersatzansprüchen begründet. Zu ergänzen ist allerdings, was jedoch ebenfalls keine Neuheit darstellt, dass der erlittene Schaden gerade vom Schutzzweck der (normierten) Verhaltenspflicht erfasst sein muss; jede andere Sichtweise würde auf einen – dem Schadenersatzrecht grundsätzlich fremden – Sanktionscharakter hinauslaufen. Von diesen Überlegungen ist Art 83 DSGVO getragen; im Rahmen des Art 82 DSGVO sollten sie jedoch keinen Platz haben.[74] Andernfalls würde man unmittelbar bei einer Art Strafschadenersatz landen. Ein solcher ist jedoch, jedenfalls im Sinne von punitive damages, ebenfalls nicht gewollt.[75]