Seit einiger Zeit sehen sich Unternehmen jedoch zunehmend mit DSGVO-Klagen von Einzelpersonen konfrontiert. Hierdurch können erhebliche finanzielle Risiken oder sogar tatsächliche Belastungen entstehen, wenn die Ansprüche im Wege des kollektiven Rechtsschutzes verfolgt werden oder wenn hunderte bis tausende Einzelklagen parallel eingereicht werden.
Data Litigation im Aufschwung
Das Risiko von Rechtsstreitigkeiten hat in den letzten Jahren deutlich zugenommen, was unter anderem darauf zurückzuführen ist, dass die Finanzierung von Massenklagen auf Klägerseite erheblich zugenommen hat und es einfacher geworden ist, potenzielle Kläger zu rekrutieren. Zudem werden Gerichtsverfahren immer häufiger früher, parallel zu behördlichen Verfahren, eingeleitet. Kläger in Datenrechtsstreitigkeiten sind nicht mehr bloß Verbraucher und Datenschützer, sondern zunehmend auch Unternehmen, die von Datenschutzverletzungen, unbefugtem Auslesen von Daten oder Hacks in Belangen ihres Unternehmensinteresses betroffen sind.
Auch wenn überwiegend Hacks, Cyberangriffe und Ransomware für Schlagzeilen sorgen, sind das lange nicht alle Ursachen für Datenrechtsstreitigkeiten. Die Zahl der Rechtsstreitigkeiten im Zusammenhang mit der grenzüberschreitenden Datenübermittlung, dem Missbrauch personenbezogener Daten, der Online-Sicherheit und Mängeln in Datenschutzerklärungen hat – nicht nur in Deutschland – zugenommen. So wurden, zum Beispiel, in den USA in jüngster Zeit Sammelklagen wegen des massenhaften Auslesens von Daten zum Training großer Sprachmodelle eingereicht.
Auch in Zukunft werden sich die Cyber-Risikolandschaft und ihre rechtlichen Rahmenbedingungen, insbesondere im Hinblick auf KI und Quantencomputing, weiterentwickeln. Mit der neuen technologischen Entwicklung werden ebenso neue Spielfelder für die Klägerindustrie entstehen.
Die Besonderheiten des immateriellen Schadenersatzes in der Landschaft der DSGVO-Schadensersatzansprüche
Die aktuelle Rechtsprechung beschäftigt sich derzeit besonders mit den Voraussetzungen des immateriellen Schadensersatzes infolge von angeblichen Datenschutzverstößen. In diesen Fällen machen die Kläger in der Regel keine konkreten Beeinträchtigungen geltend. Sie berufen sich vielmehr regelmäßig auf die bloße Tatsache, dass ihre personenbezogenen Daten kompromittiert wurden und sie die „Kontrolle“ darüber verloren haben oder potenziell einem „Identitätsdiebstahl“ ausgesetzt sein können.
In seinem Urteil in der Rechtssache Österreichische Post (C-300/21) vom 4. Mai 2023 wies der Europäische Gerichthof (EuGH) darauf hin, dass die betroffene Person zusätzlich zu einem Verstoß gegen die DSGVO nachweisen muss, dass sie einen tatsächlichen kausalen Schaden erlitten hat und dass „negative Folgen“ des Verstoßes nicht per se einen immateriellen Schaden darstellen. Darauf aufbauend hat der EuGH in seiner Entscheidung vom 21. Dezember 2023 (Rechtssache C-667/21) festgehalten, dass der datenschutzrechtliche Schadensersatzanspruch keine abschreckende oder Straffunktion erfüllt, sondern allein dem Ausgleich tatsächlicher (immaterieller) Schäden dient.
In einer weiteren Entscheidung (Rechtssache C-340/21) erkennt der EuGH hingegen an, dass die Angst einer betroffenen Person vor einem möglichen Missbrauch ihrer personenbezogenen Daten einen immateriellen Schaden darstellen kann. Die betroffene Person trage allerdings die Beweislast für den geltend gemachten Schaden und das angerufene Gericht habe zu prüfen, ob die geltend gemachte „Angst“ unter Berücksichtigung der konkreten Umstände des Einzelfalles tatsächlich begründet ist.
Der EuGH stellte zudem klar, dass die Tatsache, dass ein Hack oder eine Datenschutzverletzung stattgefunden hat, nicht automatisch auch bedeutet, dass ein Unternehmen keine angemessenen Sicherheitsmaßnahmen getroffen hat und haftet.
Die Vielfalt der Instrumente zur kollektiven Durchsetzung in Deutschland
Das deutsche Recht sieht mehrere Mechanismen für die kollektive Durchsetzung von Datenschutzvorschriften vor. Dazu gehört vor allem die Klage nach dem Unterlassungsklagengesetz (UKlaG) und dem Gesetz gegen den unlauteren Wettbewerb (UWG). In beiden Fällen können qualifizierte Einrichtungen Rechte im Namen der Verbraucher durchsetzen. Nach dem UKlaG können Unternehmen bei Verstößen gegen bestimmte datenschutzrechtliche Bestimmungen auf Unterlassung verklagt werden. Mit der Sammelklage nach dem UWG können qualifizierte Einrichtungen Anordnungen erwirken, die Unternehmen zur Unterlassung rechtswidriger geschäftlicher Handlungen verpflichten.
Eine weitere mögliche Option – die sich bisher (noch?) nicht als relevant erwiesen hat – ist die sog. „Musterfeststellungsklage“. Seit ihrer Einführung im Jahr 2018 wurden etwa 30 Musterfeststellungsklagen beim öffentlichen Register für Musterverfahren veröffentlicht. Die Musterfeststellungsklage wurde als Reaktion auf die wachsende Zahl von Massenverfahren eingeführt und ermöglicht es qualifizierten Einrichtungen, im Namen von Verbrauchern eine Feststellungsklage zu erheben. Die auf Feststellung gerichtete Musterfeststellungsklage erfordert eine anschließende Schadensersatzklage jeder einzelnen betroffenen Person und erscheint Klägern deshalb wohl, trotz einiger Vorteile, als unattraktiv.
Die Richtlinie über Verbandsklagen (RAD), welche in Deutschland mit dem Verbraucherrechtedurchsetzungsgesetz (VDuG) umgesetzt wurde, zielt darauf ab, Sammelklagen von Verbrauchern in der EU zu erleichtern und könnte auch tatsächlich zu einem erhöhten Aufkommen von Sammelklagen führen. Es gibt allerdings unter anderem noch verschiedene Fragen, wie das neue Instrument mit der DSGVO interagieren wird. Darüber hinaus werden Sammelklagen nur insoweit ermöglicht, als die verfolgten Ansprüche hinreichend „im Wesentlichen gleichartig“ sind. Da immaterielle Schäden, die nach EuGH individuell dargelegt und von den nationalen Gerichten gewürdigt werden müssen, in hohem Maße subjektiv und individueller Natur sind, dürfte diese „Gleichartigkeit“ in der Regel fehlen.
Darüber hinaus versuchen auch private Anbieter, die Ansprüche im Wege von „Abtretungsmodellen“ durchzusetzen. Es ist jedoch umstritten, ob immaterielle Schadensersatzansprüche nach der DSGVO abgetreten werden können oder ob derartige Ansprüche höchstpersönlicher Natur und somit nicht abtretbar sind. Es bleibt abzuwarten, wie die deutschen Gerichte diese Frage entscheiden werden.
Das VDuG lässt grundsätzlich vermuten, dass die Zahl der datenschutzrechtlichen Sammelklagen steigen wird. Für Prozessfinanzierer könnten sich diese allerdings auch als wenig lukrativ erweisen, da die konkrete Beteiligung der Finanzierer an den erstrittenen Erlösen aktuell nicht sicher absehbar ist. Insofern könnte es für die Prozessfinanzierer attraktiver bleiben, Ansprüche im Abtretungsmodell oder durch Einzelklagen geltend zu machen, bei denen es keine solche Begrenzung des Streitwerts gibt.
Ausblick für Unternehmen
Die zivilrechtlichen Streitigkeiten im Bereich des Datenschutzrechts werden weiter zunehmen. Die Risiken solcher Rechtsstreitigkeiten sind komplex und weitreichend und gleichzeitig ändert sich das rechtliche und regulatorische Umfeld schnell.
Die Herausforderungen bei der parallelen Bearbeitung von behördlichen Untersuchungen und Zivilgerichtsverfahren sind für betroffene Unternehmen nicht zu unterschätzen. Es besteht regelmäßig eine erhebliche Belastung für die personellen Ressourcen eines Unternehmens und es bedarf eines sorgfältigen Managements, um sicherzustellen, dass die Verteidigung in den Bereichen Regulierung und Rechtsstreitigkeiten aufeinander abgestimmt ist.
Darüber hinaus besteht selbst bei rechtlich aussichtsreicher Ausgangslage das Risiko eines Misserfolgs in vereinzelten Fällen. Denn allein aufgrund der großen Zahl an Fällen ist es wahrscheinlich, dass die Kläger (zumindest in der ersten Instanz) vereinzelt obsiegen. In Deutschland wird dies dadurch begünstigt, dass der Erfahrung nach viele Kläger über eine private Rechtsschutzversicherung verfügen, die grundsätzlich unabhängig vom Ausgang des Verfahrens die mit dem Rechtsstreit verbundenen Kosten abdeckt. In derartigen Situationen ist eine ganzheitliche Strategie erforderlich, die möglichst verhindert, dass derartige Einzelfälle zu Präzedenzfällen werden.
Die o.g. Urteile des EuGH können als ein Aufruf zum Handeln für Unternehmen verstanden werden, um ihre Datenschutzstrategien neu zu bewerten, die Einhaltung der Vorschriften sicherzustellen und sich auf Cyberangriffe vorzubereiten (insbesondere auch im Hinblick auf die Dokumentation, um in späteren Prozessen ausreichende Nachweise erbringen zu können). Darüber hinaus können derartige Maßnahmen auch unabhängig von rechtlichen Folgen Schadensfälle verhindern oder zumindest deren Ausmaß begrenzen.
Unternehmen, die sich frühzeitig mit diesen Fragen befassen und zweckmäßige Maßnahmen ergreifen, haben regelmäßig gute Aussichten, Ansprüche abzuwehren oder Klagen ganz zu vermeiden.