DA+

Kurzbeitrag : Breiter Schadenersatzanspruch im Sinne der DS‑GVO laut EuGH, mögliche Praxisfolgen und die Verhaltensregeln als Lösungsansatz : aus der RDV 6/2023, Seite 369-373

Lesezeit 14 Min.

I. Einleitung

In seinem Urteil vom 04.05.2023 (EuGH, EU:ECLI:EU:C:2023:370, Rs. C-300/21) (das „Urteil“) lehnte die Dritte Kammer des Europäischen Gerichtshofs (das „Gericht“) die Voraussetzung einer Mindestschwelle zur Begründung eines Anspruchs auf Entschädigung aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung (die „DS-GVO“) ab, überließ es dennoch den nationalen Gerichten anhand der Merkmale des Einzelfalls zu bestimmen, wann das subjektive Gefühl des Unmuts als immaterieller Schaden angesehen werden kann.

Ein bloßer Verstoß gegen die DS-GVO begründet keinen Anspruch auf Entschädigung, so das Gericht. Vielmehr muss sich ein entsprechender (im)materieller Schaden ergeben, der in kausalem Zusammenhang zu dem Verstoß steht.[1] Anhand dieser Feststellungen des Gerichts ergibt sich eine Reihe von Fragen wie z.B. ab welchem Zeitpunkt ein ersatzfähiger Schaden vorliegt, wie ein bloßes Unmutsgefühl von Ärger zu unterscheiden ist oder wie der erlittene immaterielle Schaden genau bemessen werden soll. Solche Problematiken lösen nun für mehrere Marktteilnehmer, z.B. Cloud Service Anbieter, darunter auch KI-basierte Plattformen wie CoyPu, Bedenken aus: in Ermangelung einer Bagatellgrenze besteht die Gefahr, wegen geringfügiger Verstöße mit Klagen konfrontiert zu werden. Weiter sorgt der Mangel an festen Kriterien zur Feststellung und Bezifferung des erlittenen Schadens für mehr Unklarheit. Daraus lässt sich ein Bedarf an die Entwicklung eines marktorientierten Lösungsansatzes lesen. Eine Lösung könnten Verhaltenskodizes anbieten. Diese Themen stellen den Fokus des vorliegenden Beitrages dar und werden folgend eins zu eins eingegangen.

II. Hintergrund des Verfahrens und Vorlage des OGH

Seit 2017 sammelte die Österreichische Post Informationen über die politischen Präferenzen der österreichischen Bevölkerung und mithilfe eines Algorithmus definierte sie „Zielgruppenadressen“ nach soziodemografischen Kriterien. Anhand der so erhobenen Daten konnte die Österreichische Post eine hohe Affinität bestimmter Bürger zu einer bestimmten österreichischen politischen Partei (FPÖ) feststellen und entwickelte somit ein Geschäftsmodell von Datenhandel das mehrfach als juristisch bedenklich kritisiert wurde[2] : Daten über die Parteiaffinität zu erheben könnte unter Umständen und je nach Aussagekraft als Verarbeitung von politischen Meinungen verstanden werden. Letztere gelten als besondere Kategorie personenbezogener Daten und unterliegen gesonderten Schutzes gem. Art. 9 DS-GVO. Findet eine Verarbeitung personenbezogener Daten statt, aus denen politische Meinungen hervorgehen, ohne eine der unter Art.  9 DS-GVO abschließend aufgelisteten Rechtsgrundlagen, ungeachtet der allgemeinen Rechtsgrundlagen unter Art.6 DS-GVO, wäre dies ein Datenschutzverstoß.

Obwohl die auf diese Weise erlangten Informationen nicht an Dritte übermittelt wurden, machte der Kläger einen immateriellen Schaden geltend, basierend auf der fehlenden Einwilligung zur Verarbeitung seiner personenbezogenen Daten und die Behauptung, dass die Feststellung einer besonderen Nähe zu der rechten FPÖ bei ihm „großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung“[3]ausgelöst habe. Aus diesen Gründen verlangte er vor den österreichischen Gerichten Schadenersatz in Höhe von 1.000,– Euro. Der österreichische Oberste Gerichtshof (OGH) äußerte Zweifel an der Tragweite des in Art. 82 der DS-GVO verankerten Rechts auf Schadensersatz für immaterielle und/oder materielle Schäden, die sich aus einem Verstoß gegen die DS-GVO ergeben, und fragte das Gericht, ob (i) die bloße Verletzung der DS-GVO ausreicht, um einen Anspruch auf Schadensersatz entstehen zu lassen, (ii) ob eine Entschädigung nur dann möglich ist, wenn der erlittene immaterielle Schaden von einer gewissen Schwere ist und (iii) welche Anforderungen das EU-Recht an die Bestimmung der Höhe der Entschädigung stellt außer der Grundsätze der Äquivalenz und der Effektivität.

III. Das Urteil

Bezüglich der ersten Frage zu den Voraussetzungen der Geltendmachung des Schadenersatzanspruchs nach Art.  82 DS-GVO stellte das Gericht fest, dass drei kumulative Bedingungen bestehen müssen:

1) der Verstoß gegen die DS-GVO,

2) ein materieller oder immaterieller Schaden, der sich aus diesem Verstoß ergibt,

3) und ein Kausalzusammenhang zwischen dem erlittenen Schaden und dem Verstoß.

Demnach führt ein Verstoß gegen die DS-GVO nicht zwangsläufig zu einem Schaden. Vielmehr muss eine erlittene kausale Beeinträchtigung begründet sein. Unter Verweis auf die einschlägige Rechtsprechung[4] hat das Gericht darauf hingewiesen, dass soweit für die Auslegung unbestimmter Begriffe – darunter auch die Begriffe des Schadens sowie des Schadensersatzes unter Art. 82 Abs. 1 DS-GVO – nicht auf das Recht der Mitgliedstaaten verwiesen wird diese als autonome Begriffe des Unionrechts gelten und unionsweit einheitlich auszulegen sind. Das Gericht ging von einer grammatikalischen Auslegung der Vorschrift aus und argumentierte, dass sich daraus das kumulative Vorhandensein von Verstoß gegen die DS-GVO, erlittenen Schaden und Kausalität ergebe. Das Ausreichen eines bloßen Verstoßes für die Begründung eines Schadenersatzanspruchs widerspreche demnach dem Wortlaut von Art. 82 Abs. 1 DS-GVO. Zudem bliebe die gesonderte Erwähnung von Schaden und Verstoß in Art. 82 Abs. 1 DS-GVO überflüssig, wenn der Zuspruch von Schadenersatz allein auf dem Verstoß der DS-GVO beruhen solle. Zur Begründung der vorstehenden Wortauslegung hat das Gericht weiter auf den Zusammenhang hingewiesen, in den sich diese Bestimmung einfügt, und Art. 82 Abs. 2 DS-GVO sowie ErwG 75, 85 und 146 DS-GVO in Erwägung gezogen. Diese Wortauslegung würde auch durch den Vergleich mit anderen Bestimmungen der DS-GVO (Art. 77 und 78, sowie 83 und 84) gestützt.

Eine Bagatellgrenze als Voraussetzung eines Schadenersatzanspruchs hat das Gericht ausgeschlossen mit der Argumentation, dass (i) die DS-GVO keine Erheblichkeitsschwelle vorsieht (ii) eine solche Beschränkung dem auf EU Ebene autonom und einheitlich auszulegenden Begriff des Schadens (s.o.) widerspreche und die kohärente Anwendung der DS-GVO gefährde, weil die Festlegung einer solchen Mindestschwelle je nach Einschätzung der Gerichte im Einzelfall unterschiedlich ausfallen könnte, und (iii) schlussendlich eine breite Auslegung des Begriffs mit den „Zielen dieser Verordnung in vollem Umfang“ stehe (ErwG 146 DS-GVO). So muss nach Feststellung des Gerichts kein bestimmter Grad an Erheblichkeit des erlittenen Schadens nachgewiesen werden.

Zur Beantwortung der dritten und letzten Fragestellung äußert sich das Gericht wie folgt: Die DS-GVO enthält keine Regeln für die Bemessung des Schadensersatzes. Es ist daher Sache der Rechtsordnung jedes Mitgliedstaats, die Modalitäten für die Bestimmung der Höhe des geschuldeten Schadensersatzes festzulegen nach dem Prinzip der Verfahrensautonomie. Dies, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, d.h., sofern diese „Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz)“[5]. Zudem weist das Gericht darauf hin, dass gewährleistet werden muss, dass der Ausgleich vollständig und wirksam sowie gleichwertig mit anderen immateriellen Ansprüchen ist (ErwG 146 DS-GVO).

IV. Mögliche Praxisfolgen

Die Festlegung des Gerichts, dass Antragsteller keinen schwerwiegenden immateriellen Schaden nachweisen müssen, schafft nun Klarheit in einem bis zuletzt unklaren Bereich. Ähnlich wie im österreichischen Recht, wurden auch im deutschen Recht hohe Anforderungen an den Ersatz immaterieller Schäden gestellt: nach § 7 BDSG a.F. konnten gegenüber nicht öffentlichen Stellen nur materielle Schäden geltend gemacht werden. § 8 BDSG a.F. ermöglichte den Schadensersatzanspruch wegen Eingriffs auf das Persönlichkeitsrecht nur gegen öffentliche Stellen, so dass nach alter Rechtslage die Geltendmachung von Schäden immaterieller Natur unter Berufung von Art. 1 Abs.1 und 2 Abs. 1 GG möglich war. Dies aber auch nur sofern nach Anforderungen der damaligen Rechtsprechung nachgewiesen werden konnte, dass die Verletzung des Persönlichkeitsrechts schwerwiegend war und mit schwerem Verschulden begangen wurde. Aber auch nach Einführung der DS-GVO blieb die Frage der Maßgeblichkeit der Erheblichkeit des erlittenen Schadens ungeklärt, so dass nationale Gerichte eine Bagatellgrenze oft vorausgesetzt hatten und zur Auslegung der DS-GVO Norm sich an das Gericht wendeten[6].

Das Ablehnen einer Bagatellgrenze und die damit einhergehende Senkung der Hürden zur Geltendmachung von immateriellen Schäden führt auf Seite der Betroffenen zu einem effektiveren Rechtsschutz. Auf Seite der Unternehmen jedoch bedeutet dies ein höheres Risiko mit Schadenersatzansprüchen konfrontiert zu werden. Für Gerichte ist demnach eine perspektivisch erhöhte Anzahl an Klagen zu erwarten. Weiter, aufgrund der Zurückhaltung des Gerichts klarere Grenzen festzustellen, kommen Fragen in den Vordergrund, die schlussendlich für die nationalen Gerichte Auslegungsmaterial, für den Kläger Darlegungsaufwand darstellen. Ab welchem Zeitpunkt ein ersatzfähiger Schaden eintrifft, wie ein bloßes Unmutsgefühl von Ärger zu unterscheiden ist oder wie der erlittene immaterielle Schaden genau bemessen werden soll, verbleiben somit in einer Grauzone und sind weiter auslegungsbedürftig.

In Ermangelung einer Bagatellgrenze laufen auch Hersteller[7] und Anbieter[8] von KI-basierten Plattformen wie CoyPu Gefahr, wegen geringfügiger Verstöße mit Klagen konfrontiert zu werden. In diesem Zusammenhang stellt sich die folgende, direkt mit dem maschinellen Lernen zusammenhängende Frage: Welches ist der Punkt, an dem die Beziehung zwischen den Gliedern einer Datenkette so weit abgeschwächt ist, dass die rechtswidrige Nutzung von Trainingsdaten auf Ebene des Trainings des Modells keinen Einfluss mehr auf die Erstellung neuer Daten oder die Nutzung der vom Modell generierten Daten hat und somit keine weiteren rechtswidrigen Handlungen mehr verursacht? Je nach Antwort könnte daraus eine unendlich fortgesetzte Rechtsverletzung abgeleitet werden, die unter gegebenen Umständen einen Schadensersatzanspruch rechtfertigt. Auch wenn realistisch gesehen die Einreichung von Klagen für jeden einzelnen Kleinstverstoß als eher unwahrscheinlich zu beurteilen ist, könnte die Einreichung von Masseklagen nicht ausgeschlossen werden.

V. Verhaltensregeln als Lösungsansatz

Um diesen eher entmutigenden Auswirkungen des Urteils entgegenzuwirken, könnte die Bestimmung von Exkulpationskriterien für Verantwortliche und die Konkretisierung der Kausalitätskette und der Schadenshöhe im Rahmen der Ausarbeitung von Verhaltensregeln i.S.v. Art. 40 DS-GVO[9] in Erwägung gezogen werden. Es besteht die Möglichkeit konkretere Bestimmungen auszugestalten, um die unbestimmten Begriffe des schuldhaften Verhaltens und der Kausalität zu pauschalisieren, in dem man Kausalitätsindizien in einer Verhaltensregel festlegen würde. Besonders in Fällen, wo es für Kläger übermäßig schwierig erscheint, würde dies den Betroffenenschutz stärken. Zugleich würde es aber auch den Unternehmen nutzen, da diese klarere Abgrenzungskriterien hätten, wenn kein ursächlicher Zusammenhang mehr vorläge. Insoweit könnte die Einhaltung von Verhaltensregeln eine hilfreiche DS-GVO Compliance – Nachweiserleichterung bieten. Eine Kausalitätsvermutung zwischen dem Verschulden des Verantwortlichen und dem eingetretenen Schaden könnte sich bspw. aus der Verletzung spezifischen in Verhaltensregeln festgelegten Sorgfaltspflichten ergeben. Alternativ könnten auch derartige Vermutungsregelungen explizit aufgenommen werden. Den Verfassern von Verhaltensregeln wird breiter Gestaltungsraum gewährt, da die Verordnung keine Anforderungen an den Regelungsgegenstand, -inhalt oder -tiefe stellt, solange durch die Verhaltensregeln Anwendungsprobleme und Rechtsunsicherheiten eines bestimmten Sektors adressiert werden[10] und eine erkennbare Konkretisierung der Vorgaben der DS-GVO mittels nachvollziehbarer konkreter technischer und organisatorischer Implementierungsmaßnahmen erfolgt[11]. Aus dem Wortlaut des Art. 40 Abs. 1 DS-GVO lässt sich ebenfalls die Möglichkeit ableiten derartige Pauschalisierungen vorzunehmen, da die Verordnung nur ein de minimis Anforderungen für die Erstellung von Verhaltensregeln stellt, so dass ein Hinausgehen über die Regelungen der DS-GVO weiterhin möglich bliebe[12].

Bezüglich der Rechtswirkung von Verhaltensregeln muss vorerst die Voraussetzung der Genehmigung der Verhaltensregeln durch die etwaig zuständige Aufsichtsbehörde gemäß Art. 40 Abs. 5 DS-GVO erfüllt sein, um die Verwaltungsorgane bzw. Datenschutzaufsicht bei der Auslegung der DS-GVO zu binden, aber insbesondere auch die positiven Rechtsfolgen innerhalb der DS-GVO nutzbar zu machen. Die DS-GVO verweist an mehreren Stellen[13] auf die Funktion von Verhaltensregeln als Compliance Nachweis in dem sie diese als „Faktor“ „gebührend zu berücksichtigen“ bezeichnet. Daraus lässt sich zum einen ableiten, dass Verhaltensregeln je nach Ausgestaltung keine allumfängliche Datenschutzrechtskonformität für den Verantwortlichen gewährleisten, zum anderen, dass sie stets in einer Gesamtbetrachtung mit der Umsetzung von anderen datenschutzrechtlichen Maßnahmen betrachtet werden müssen[14]. Die Stärke des Faktors kann variieren und ist von der inhaltlichen Ausgestaltung der Verhaltensregeln und die Tiefe des Überwachungsverfahrens abhängig[15].

Bedenkenswert wäre die Pauschalisierung von Schuldverhalten und Kausalität in transnationalen Verhaltensregeln zu adressieren, d.h. mit Verhaltensregeln, die Sachverhalte nicht nur in einem, sondern mehreren – möglichst allen – Mitgliedstaaten abdecken[16]. Gerade für kleine und mittelständische Unternehmen („KMUs“) erscheint der Harmonisierungseffekt von transnationalen Verhaltenskodizes besonders vorteilhaft[17].

Verhaltenskodizes sind per definitionem sektorspezifisch und ermöglichen die Konkretisierung allgemeiner und sektorenunabhängiger gesetzlicher Regelungen. Sie stellen somit effektive Instrumente zur Bewältigung dringender Herausforderungen und fördern parallel eine einheitliche und kohärente Umsetzung von gesetzlichen Anforderungen in verschiedenen Sektoren (und Rechtsordnungen)[18]. Zudem stellt deren Anpassungsfähigkeit an die Bedürfnisse des Marktes in Vergleich zu dem langsamen Reaktionstempo des Gesetzgebers einen weiteren Vorteil[19] dar. Ihr sektorspezifischer Charakter ermöglicht weiter den Austausch von branchenspezifischem Wissen zwischen beteiligten Stakeholdern[20] und schafft schließlich Kommunikationskanäle zwischen Marktteilnehmern, privaten Überwachungsstellen und Aufsichtsbehörden[21].

Wird einer transnationaler Verhaltensregel durch einem Durchführungsrechtsakt der Kommission gemäß Art. 40 Abs. 9 DS-GVO allgemeine Gültigkeit zuerkannt bleibt streitig, inwiefern dieser Durchführungsrechtsakt eine allgemein bindende Rechtswirkung der Verhaltensregeln auslöst und somit Gesetzesrang bekommt. Die Verordnung selbst schweigt diesbezüglich. Auch die Meinungen in der Literatur variieren stark und der Europäische Datenschutzausschuss hat selbst bis dato keine ausreichenden Leitlinien zum Thema veröffentlicht. Unter anderen wird auch die gemäßigte Auffassung einer Auslegung unterstützt, nach der die allgemeine Gültigkeit von Verhaltensregeln eine verstärkte Nachweiserleichterung in Form einer widerlegbaren Konformitätsvermutung böte [22]. Aber auch selbst im Falle der Annahme einer eher konservativen Ansicht zur Frage der Rechtsfolgen der Allgemeingültigkeitserklärung, bleibt der Mehrwert durch die Verwendung von Verhaltensregeln für Unternehmen offensichtlich. Mit anderen Worten: auf Basis der aktuellen Begebenheiten in der Praxis erscheint im Normalfall eine Allgemeingültigkeitserklärung für Verhaltensregeln nicht erforderlich.

VI. Schlussbetrachtung und Fazit

Das Gericht hat in seinem Urteil eine bestimmte Mindestschwelle für die Begründung eines Zuspruchs auf Entschädigung wegen Verstoßes gegen DS-GVO Bestimmungen abgelehnt und hat somit eine Reihe von klärungsbedürftigen Fragen für die Praxis angestoßen. Dass die vorliegende Thematik weiterhin offenbleibt, lässt sich daraus bestätigen, dass diesbezüglich weiterhin die Auslegungshilfe des EuGH ersucht wird. So hat bspw. neulich der Bundesgerichtshof dem EuGH zur Vorabentscheidung Fragen zur Auslegung der DS-GVO Bestimmungen vorgelegt[23], die unter anderem die Abgrenzung des immateriellen Schadens von bloßen negativen Gefühlen betreffen. Im Rahmen dieser Rechtssache wird auch gefragt, ob der Grad des Verschuldens des für die Verarbeitung Verantwortlichen ein Kriterium bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens darstellt und ob ein Unterlassungsanspruch, der dem Geschädigten neben dem Schadensersatzanspruch zusteht, anspruchsmindernde Auswirkungen auslösen kann. Derartige Unklarheiten könnten mittels Verhaltensregeln, sei es auf nationaler oder europäischer Ebene, adressiert werden, die als eine Art Compliance Nachweiserleichterung bzw. Präventivmechanismen fungieren würden und für mehr Transparenz und Rechtssicherheit für die Verantwortlichen sorgen würden. Davon könnten vor allem KMUs profitieren. Gerade im Technologiesektor, wo ein ausgewogeneres Wettbewerbsumfeld zu begrüßen wäre, könnten länderübergreifende Verhaltenskodizes eine Schlüsselrolle spielen[24].

 

Stavroula Chatzipanagioti ist wissenschaftliche Mitarbeiterin des Selbstregulierung Informationswirtschaft e.V. Dieser Beitrag stellt die persönliche Auffassung der Autorin dar und ist i.R.d. Forschungsprojektes Cognitive Economy Intelligence Plattform für die Resilienz wirtschaftlicher Ökosysteme (CoyPu1 ) entstanden.

[1] In Anwendung des Urteils siehe auch das kürzlich veröffentlichte Urteil des OLG Hamm (7. Zivilsenat), Urteil vom 15.08.2023 – 7 U 19/23.

[2] Post verkauft Daten zu „Parteiaffinität“. In Wien-News, 07.01.2019, https://wien.orf.at/v2/news/stories/2957293/ (abgerufen am: 16.10.2023), https://www.addendum.org/datenhandel/parteiaffinitaet/.

[3] EuGH, Urt. v. 04.05.2023 – C-300/21 Rn. 12

[4] EuGH-Urt. v. 22.06.2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und EuGH-Urt. v. 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21)

[5] Siehe Fn. 3  Rn. 53.

[6] BVerfG sieht Vorlagepflicht: Über Schadensersatz für Datenschutzverstoß muss der EuGH entscheiden. In: Legal Tribune Online, 18.02.2021, https://www.lto.de/persistent/a_id/44305/ (abgerufen am: 16.10.2023).

[7] I.S.v. Art. 7 des Vorschlags für eine Richtlinie des europäischen Parlaments und des Rates zur Anpassung der Vorschriften über außervertragliche zivilrechtliche Haftung an künstliche Intelligenz (Richtlinie über KI-Haftung) (COM(2022) 496 final 2022/0303(COD))

[8] I.S.v. Art. 3 Nr. 2 des Vorschlags für eine Verordnung des europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtssache der Unión (COM(2021) 206 final 2021/0106(COD)).

[9] Da die Aufzählung in Art. 40 Abs.2 DS-GVO deskriptiver Natur ist, könnte ein Buchstabe nur exemplarisch erwähnt werden bzw. die Zuordnung an einem konkreten Buchstaben im Einzelfall zu bewerten.

[10] EDPB, Leitlinien 1/2019, S.15, Rz. 36.

[11] EDPB, Leitlinien 1/2019, S.15, Rz. 36.

[12] Wittmann/Haidenthaler, MMR 2022, 8, 10 f.

[13] Art. 24 Abs. 3, Art. 28 Abs. 5, Art. 32 Abs. 3, Art. 35 Abs. 8 DS-GVO

[14] Plath, DS-GVO/BDSG/v. Wittmann/Ingenrieth, 4. Aufl. 2023, DS-GVO Art. 40 Rn. 22

[15] Wittmann/Haidenthaler, MMR 2022, 8, 5 f.

[16] Ausf. zu der Unterscheidung zwischen nationalen und transnationalen Verhaltensregeln EDPB, Leitlinien 1/2019 über Verhaltensregeln und Überwachungsstellen gemäß der Verordnung (EU) 2016/679, S.31, Anhang 1.

[17] Ausf. dazu: Report – General Observations, Experience and Recommendations. In GDPR’s 5th Anniversary Resumée: a practical resumée from a coregulatory perspective, reflecting Codes of Conduct and Monitoring Bodies in particular, June 2023, S. 7, https://sriw.de/fileadmin/sriw/files/202306_SRIW_5th-Anniversary-GDPR_Resumee.pdf.

[18] Siehe Fn. 17.

[19] SRIW s. Fn. 17, S. 8 ff

[20] Siehe Fn.19 .

[21] Siehe Fn. 19.

[22] Ausf. dazu Plath, DS-GVO/BDSG/v. Wittmann/Ingenrieth, 4. Aufl. 2023, DS-GVO Art. 40 Rn. 27

[23] Pressemitteilungen des Bundesgerichtshofs bzgl. Beschluss vom 26. September 2023 – VI ZR 97/22, 26.09.2023 – Nr.  162/2023, https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2023/2023162.html (Stand 16 Oktober 2023).

[24] A Blueprint for Future Tech Regulation. In GDPR’s 5th Anniversary Resumée: a practical resumée from a co-regulatory perspective, reflecting Codes of Conduct and Monitoring Bodies in particular, June 2023, S. 40, https://sriw.de/fileadmin/sriw/files/202306_SRIW_5th-Anniversary-GDPR_Resumee.pdf.