Verbands- und Sammelklagen im Datenschutzrecht
ǀ Die Durchsetzung des Datenschutzrechts in Form von privaten Verbands- und Sammelklagen gewinnt europaweit immer mehr an Bedeutung. Bereits am 24. Dezember 2020 trat die Richtlinie (EU) 2020/1828 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher in Kraft. Der Europäische Gerichtshof (EuGH) hat nun im April 2022 entschieden, dass die DSGVO den nationalen Regelungen nicht entgegensteht, Verbraucherverbänden die Befugnis einzuräumen, Datenschutzverstöße unabhängig von einem Auftrag durch die betroffenen Verbraucher gerichtlich geltend zu machen.
Aktuell überwiegt die individuelle Durchsetzung bei Schadensersatzansprüchen. Zukünftig wird es mit einer Datenschutz-Sammelklage als Instrument der kollektiven Rechtsdurchsetzung möglich sein, dass viele betroffene Personen ihre Ansprüche gemeinsam verfolgen können. Die Umsetzung der Möglichkeit zu „echten“ DSGVO-Sammelklagen auf Schadensersatz hat bis zum 31. Dezember 2022 in das deutsche Recht zu erfolgen. Damit wird die Umsetzung für die nationalen Regeln zur EU-weiten Verbandsklage spätestens Mitte 2023 in allen 27 Mitgliedstaaten in Kraft treten.
Wenn natürliche Personen Schadensersatz bei einem DSGVO-Verstoß verlangen, wirken die geforderten Schadensersatzansprüche einzelner Personen zunächst vernachlässigbar. Da ein DSGVO-Verstoß jedoch häufig große Datenbestände und damit oftmals tausende bis hunderttausende Personen betrifft, können die Bußgeldrisiken in der Summe schnell enorm sein.
Um Schadensersatz zu erhalten, müssen die Voraussetzungen aus Artikel 82 DSGVO kumulativ erfüllt sein:
- Es muss ein Verstoß gegen eine DSGVO-Vorschrift vorliegen.
- Der Verantwortliche oder der Anspruchsgegner, gegen den Ersatzanspruch gerichtet wird, muss den Datenschutzverstoß verschuldet haben.
- Es muss ein materieller oder immaterieller Schaden eingetreten sein, was bedeutet, dass auch Schmerzensgeld wegen eines Datenschutzverstoßes beansprucht werden kann.
Die Höhe eines konkreten Schadens ist nach den Umständen des konkreten Einzelfalls zu bemessen. Zu den verschiedenen Kriterien, die für die Abwägung und Beurteilung von Bedeutung sind, gehören die Finanzkraft des Schädigers, die Bedeutung des verletzten Rechts, die Schwere der Rechtsverletzung und die Schwere der Schuld des Verantwortlichen am Schadenseintritt.
Grundsätzlich muss bei der Höhe eines Schadensersatzes davon ausgegangen werden, dass dem Schadensersatz auch eine Abschreckungsfunktion zukommt. Der Betrag soll nicht nur als Kompensation für die erlittenen Nachteile, sondern auch als Repressalie für den Schädiger Wirkung zeigen.
Die zentrale Frage zum Datenschutz, unter welchen konkreten Voraussetzungen und in welcher Höhe aus einem Datenschutzverstoß überhaupt ein ersatzfähiger Schaden entsteht, bleibt derzeit noch ungeklärt. Es wird voraussichtlich noch Jahre dauern, bis sich eine einheitliche Praxis hierzu entwickelt hat.
Vor diesem Hintergrund sollten Unternehmen ihre Datenflüsse überprüfen, um DSGVO-Verstöße zu erkennen, zu vermeiden und damit sowohl das wirtschaftliche Risiko durch Sammelklagen als auch Reputationsschäden zu minimieren.
Hinweis zu aktuell tätigen Trittbrettfahrern
Aufgrund der derzeit vorherrschenden individuellen Durchsetzung von Schadensersatzansprüchen wird aktuell noch vor Trittbrettfahrern gewarnt. Diese nehmen Urteile zu individuellen DSGVO-Schadensersatzansprüchen zum Anlass, Unternehmen zu kontaktieren und diese für vermeintlich ähnliche DSGVO-Verstöße zu einer direkten Zahlung desselben Betrags zu bewegen. Die Trittbrettfahrer hoffen darauf, dass die angeschriebenen Unternehmen es vorziehen, einen geringen Betrag direkt zu zahlen, um so einen Prozess zu verhindern.
Handlungsbedarf
- Überprüfung der Datenflüsse im Unternehmen, um DSGVO-Verstöße zu vermeiden
- Sachverhalte bei Zahlungsaufforderungen wegen Datenschutzvorfällen immer überprüfen