News

Private Enforcement im Datenschutzrecht

31.01.2022

Die Frequenz neuer Verfahren und Urteile zu immateriellen Schadensersatzansprüchen im Datenschutzrecht steigt ständig. Gleichzeitig war für Unternehmen das Risiko, nach einem Datenschutzverstoß von Betroffenen zivilrechtlich in Anspruch genommen zu werden, noch nie so groß wie heute. Diese Entwicklung wird weiter befeuert durch Meldungen in den Medien, die eine breite Öffentlichkeit auf mögliche Datenschutzverstöße aufmerksam machen, so zuletzt etwa die Berichterstattung über eine Sicherheitslücke bei einem Schnittstellendienstleister, durch die Daten von 700.000 Kundinnen und Kunden von Online-Händlern frei im Netz zugänglich gewesen sein sollen. Die rechtlichen und tatsächlichen Entwicklungen lassen erwarten, dass sich Unternehmen in Zukunft mit immer mehr Schadensersatzforderungen konfrontiert sehen werden, bis hin zu Massenverfahren. Das „Private Enforcement“ ergänzt so zunehmend die behördliche Durchsetzung des Datenschutzrechts und verleiht dem Datenschutzrecht als Compliance Thema nochmals mehr Gewicht.

Hintergrund

Nach Art. 82 Abs. 1 DSGVO können Personen, die einen immateriellen Schaden durch einen Datenschutzverstoß erleiden, Schadensersatz verlangen. Wann ein immaterieller Schaden entsteht und in welcher Höhe Ersatz zu leisten ist, ist bisher nicht höchstrichterlich geklärt. Da die Anspruchsgrundlage aus dem Unionsrecht stammt, ist sie unionsrechtskonform auszulegen. Die Rechtsprechung zu anderen im deutschen Recht vorgesehenen immateriellen Schadensersatzansprüchen ist daher nicht direkt übertragbar.

Nach Inkrafttreten der DSGVO haben zunächst offene Rechtsfragen und die traditionell restriktive Haltung deutscher Gerichte zu immateriellen Schäden dafür gesorgt, dass die Schadensersatzansprüche wegen Datenschutzverletzungen in der Vergangenheit eher selten durchgesetzt wurden.

Richtungswechsel in der Rechtsprechung

Anfang des Jahres 2021 hat jedoch das Bundesverfassungsgericht einigen Argumenten, mit denen Gerichte Schadensersatzansprüche wegen Datenschutzverletzungen bisher leicht ablehnen konnten, den Riegel vorgeschoben. In der Folge etabliert sich in Deutschland nun zunehmend eine klägerfreundliche Rechtsprechung. Urteile, die mitunter Schadensersatzsummen von bis zu 5.000 Euro pro Schadensfall zusprechen, ermutigen immer mehr Personen dazu, nach Datenschutzverstößen Schadensersatzansprüche geltend zu machen.

Zur Klärung offener Rechtsfragen zum „immateriellen Schaden“ im Sinne des Art. 82 DSGVO sind bereits mehrere Vorlagefragen deutscher Gerichte beim Europäischen Gerichtshof (EuGH) anhängig (siehe z.B. hier und hier). Die zu erwartende, klarstellende Rechtsprechung durch den EuGH hat das Potential, den Startschuss für eine massenhafte Geltendmachung von Schadensersatz für Datenschutzverstöße zu setzen.

Private Enforcement im Datenschutz - Trendthema für eine zunehmend professionalisierte Klägerindustrie

Auch Rechtsdienstleister wittern ein neues, lukratives Geschäftsmodell. Datenschutzverstöße betreffen oft eine große Anzahl an Personen gleichermaßen. Da Gerichte bereits jetzt bei vergleichbar geringfügigen Beeinträchtigungen einzelnen Personen vierstellige Beträge zusprechen, ist die Hoffnung der Akteure einer zunehmend professionalisierten Klägerindustrie, gesammelt sehr hohe Schadensersatzsummen geltend machen zu können, wohl nicht ganz unbegründet. Rechtsdienstleister hoffen, auf ihre Erfahrungen aus anderen Massenverfahren wie z.B. Kartellschadensersatz, Diesel-Thematik oder dem sog. „Widerrufsjoker“ bei Verbraucherdarlehensverträgen aufbauen zu können. Derzeit versuchen sie, Einzelfälle voranzutreiben und eine für betroffene Personen günstige höchstrichterliche Rechtsprechung zu erreichen. Die neuen Sammelklagemodelle verschärfen das Risiko für Unternehmen noch weiter.

Überblick zu aktueller Rechtsprechung in Deutschland

Angesichts der Vielzahl an Verfahren fällt es nicht leicht, einen vollständigen Überblick über die vielfältigen Positionen der Instanzgerichte zu behalten. Gleichwohl kristallisieren sich zunehmend Linien und Lager der Rechtsprechung zu wichtigen Themenkomplexen heraus.

Aktuelle Entscheidungen zum Schaden dem Grunde nach

Vielen aktuellen Entscheidungen deutscher Gerichte lässt sich ein sehr weites Verständnis ersatzfähiger Schäden entnehmen. So sind bspw. Diskriminierungen, ein Identitätsdiebstahl oder -betrug, eine Rufschädigung, der Verlust der Kontrolle an personenbezogenen Daten oder die Verursachung von Angst und Verunsicherung als immaterielle Schäden anerkannt worden. Ein Ausschluss der Haftung für Bagatellschäden komme dabei nicht in Betracht.

Sollte der EuGH dieses weite Verständnis bestätigen, so würden viele Datenschutzverletzungen immaterielle Schadensersatzansprüche begründen. Bei einem Datenleak können Betroffene bspw. auch ohne eine tatsächlich missbräuchliche Verwendung der Daten durch Dritte ein ungutes Gefühl, Angst oder Verunsicherung erleiden. Unternehmen müssten dann befürchten, massenweise auf Schadensersatz in Anspruch genommen zu werden.

Aktuelle Entscheidungen zur Höhe des Schadensersatzes

Zur Bemessung der Höhe sind sich die Gerichte weithin einig, dass der jeweilige Schadensersatzanspruch vollständig und wirksam sein soll. Zu vergleichsweise hohen Schadensersatzsummen kommen Gerichte, die zusätzlich auf eine erforderliche Abschreckungsfunktion des Schadensersatzanspruchs verweisen. Ob sich dieses Verständnis letztlich durchsetzen wird, bleibt abzuwarten. Es gibt aus unserer Sicht gute Argumente dagegen. Denn im Datenschutzrecht stehen öffentlich-rechtliche Sanktionen und das Private Enforcement durch zivilrechtliche Schadensersatzansprüche nebeneinander. Schon die Bußgelder haben den Zweck, Unternehmen für rechtswidriges Verhalten zu bestrafen. Für den zivilrechtlichen Anspruch kann daher nur der Zweck verbleiben, tatsächlich entstandene Schäden zu kompensieren.

Fazit

Für Unternehmen wird es durch die aktuellen Entwicklungen immer wichtiger, sich frühzeitig und strategisch mit den Herausforderungen, Chancen und Risiken der Data Protection Litigation auseinanderzusetzen. Das Datenschutzrecht bildet dabei den Schwerpunkt und zugleich das inhaltliche Scharnier zu anderen Bereichen, insbesondere den maßgeblichen Verfahrens- und Prozessordnungen. Essenziell im Bereich der Abwehr von zivilrechtlichen Massenklagen ist dabei auch das nahtlose Ineinandergreifen der datenschutzrechtlichen Expertise mit der Litigation. Mit unserer herausragenden Erfahrung in der Bewältigung von Massenverfahren unterstützen unsere eingespielten Teams aus anerkannten Datenschutz- und Litigation Experten Sie aus einer Hand.