Damages According to Article 82 GDPR—NERA’s Role in One of the First Major European Damages Proceedings on Data Protection Violation

Scroll down for the German version

The Situation

In 2018, the new General Data Protection Regulation (GDPR) entered into force in the European Union. This regulation governs the protection of personal data and the processing of this data. Among other things, the GDPR provides for imposing fines and compensation in cases of violations against the regulation. A key issue in this regard is measuring the damages that result from violations. The legal literature provides little guidance on this, and damages in early court decisions ranged widely, from zero to hundreds of euros per case—largely without any in-depth analysis of the economic aspects of each case. Due to the high number of persons affected in a typical GDPR case, small differences in the valuations of damages can have significant economic ramifications for the companies involved.

NERA was retained by a large European company, which was permitted to collect certain customer data. However, the company had used this data to estimate interest in other goods and services. The local data protection agency classified this as a violation of the GDPR. A local court of first instance awarded hundreds of euros in compensation to an individual claimant, based on judicial discretion.

NERA's Role

The client hired a team from the NERA offices in Berlin, Frankfurt, and San Francisco to produce a damage estimate using economic methods likely to be approved by the courts. This assessment began with a review of methodological approaches and empirical evidence described in the economic and legal literature.

NERA then derived an approach for the estimation of the alleged damage based on the findings from this literature. In order to determine a case-specific estimate for the valuation of the personal information involved, NERA conducted a conjoint analysis survey. Conjoint analysis is regularly applied in merger control, as well as in the valuation of intangible goods. In this case, the survey was specifically designed to distinguish the value respondents placed on the estimates of interest in certain goods and services at issue from the value of the personal information the company was allowed to collect. In addition, various control mechanisms (e.g., double-blind approach, screens, and treatment and control group), which are customary at the international level, were applied to avoid biases. The conjoint analysis was then used to estimate the distribution of consumers’ “willingness to pay” to avoid sharing these various types of information.

The Result

The estimate calculated by NERA showed that the compensation awarded in the first instance proceedings was overstated by a factor of close to 100, compared to the local population’s average valuation of the information concerned. An appeals court has already set aside the valuation of damages by the court of first instance due to insufficient justification.

NERA experts regularly advise as economic experts in legal and arbitration proceedings, for example on data protection and other intangible goods in relation to the GDPR, as well as on other issues in regulation and competition economics.

Schadenersatz nach Art. 82 DSGVO – NERAs Rolle in einem der ersten bedeutenden europäischen Schadenersatzverfahren zu Datenschutzverstößen

Ausgangssituation

Im Jahr 2018 trat in der Europäischen Union die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese Verordnung regelt den Schutz personenbezogener Daten und die Verarbeitung dieser Daten. Entsprechend sieht die DSGVO bei Verstößen gegen die Vorschriften u.a. das Verhängen von Bußgeldern und Schadenersatz vor. Eine zentrale Frage ist hierbei, wie hoch der durch Verstöße entstandene Schaden ist und wie dieser zu bemessen ist. In der rechtlichen Literatur finden sich dazu nur wenige Anhaltspunkte und die ersten Gerichtsurteile kamen dabei – weitgehend ohne tiefergehende Analyse der ökonomischen Aspekte - zu sehr unterschiedlichen Schadenshöhen zwischen null Euro und mehreren hundert Euro pro Fall. Aufgrund der oft hohen Zahl der Betroffenen haben bereits kleine Unterschiede in der Schadensbewertung erhebliche wirtschaftliche Bedeutung für die betroffenen Unternehmen.

NERA wurde von einem großen europäischen Unternehmen mandatiert, welches im Zusammenhang mit der (zulässigen) Erhebung bestimmter Kundendaten auch aus diesen Daten abgeleitete weitere Schätzwerte ermittelt hatte. Dieses Vorgehen wurde von der lokalen Datenschutzbehörde als Verstoß gegen die Richtlinien der DSGVO gewertet. In erster Instanz sprach ein örtliches Gericht einem Einzelkläger immateriellen Schadenersatz in dreistelliger Höhe zu, basierend auf freiem richterlichen Ermessen. 

NERAs Rolle

Die Mandantin beauftragte ein Team aus den NERA-Büros in Berlin, Frankfurt und San Francisco um die Ermittlung des entstandenen Schadens anhand anerkannter ökonomischer Methoden zu untersuchen. Diese Untersuchung begann mit einer Auswertung der volkswirtschaftlichen und juristischen Literatur zu möglichen Methoden und empirischen Ergebnissen aus der wissenschaftlichen Literatur, u.a. der im Urheberrecht üblichen „Lizenzanalogie“.

Basierend auf den Erkenntnissen aus der Literaturrecherche entwickelte NERA einen Ansatz zur wissenschaftlichen Abschätzung des vermeintlichen Schadens. Um einen fallspezifischen Schätzwert für die Bewertung der betroffenen persönlichen Informationen bestimmen zu können, erstellte NERA einen Fragebogen für eine sogenannte (umfragebasierte) Conjoint-Analyse, die auf die spezifischen Gegebenheiten des Falls zugeschnitten wurde. Die Conjoint-Analyse wird regelmäßig in der Fusionskontrolle, sowie bei der Bewertung immaterieller Güter verwandt. Zudem wurden verschiedene international übliche Kontrollmethoden (Double-Blind Ansatz, Screens, Treatment- und Kontrollgruppe, …) eingesetzt um Verzerrungen zu vermeiden.

Anhand anerkannter statistischer Methoden analysierte NERA zum einen den Wert einzelner Informationen separat, um die Bewertung der recht- und unrechtmäßig erhobenen Daten voneinander zu trennen, und analysierte außerdem die Verteilung der Bewertung in der Bevölkerung, um so den vom erstinstanzlichen Gericht festgelegten Schaden zu plausibilisieren bzw. zu hinterfragen.

Ergebnis

Der von NERA ermittelte Schadenswert zeigte eine annähernd 100-fache Überhöhung des im erstinstanzlichen Verfahren im freien Ermessen des Gerichts festgelegten Schadens gegenüber der durchschnittlichen Bewertung der betroffenen Daten durch die lokale Bevölkerung. In einem ersten Berufungsverfahren hat ein Berufungsgericht die Schadensbewertung des erstinstanzlichen Gerichts bereits als unzureichend begründet aufgehoben.

NERA-Experten beraten regelmäßig als ökonomische Sachverständige in Gerichts- und Schiedsverfahren, u.a. zu Datenschutz- und anderen immateriellen Gütern im Zusammenhang mit der DSGVO, sowie zu anderen regulatorischen und wettbewerbsökonomischen Fragen.