Datenschutzverstöße im Visier der europäischen Verbandsklage
Das Haftungsrisiko für Unternehmen wird sich dadurch bei Verstößen gegen Datenschutzrecht deutlich erhöhen. Neben erheblichen finanziellen Schäden in Form von Schadensersatz- oder Vergleichszahlungen stehen dabei vor allem auch Rufschäden, die mit solchen Prozessen stets einhergehen, im Raum.
Neue Möglichkeit für Massenklagen mit der EU-Verbandsklage
Die EU-Verbandsklage ist Gegenstand der im Dezember letzten Jahres auf EU-Ebene beschlossenen „Richtlinie über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher“. Sie gilt explizit bei Verstößen gegen den Datenschutz – also insbesondere die Datenschutzgrundverordnung (DSGVO) und nationale Datenschutzgesetze.
Schon heute können Betroffene einzeln gegen Unternehmen bei Datenschutzverstößen klagen – auch auf Schadensersatz. Die EU-Verbandsklage tritt neben diese bestehende Klagemöglichkeit und geht noch einen Schritt weiter: Sie ermöglicht es erstmals, dass alle von einem Datenschutzverstoß betroffenen Verbraucher zusammen gegen ein Unternehmen klagen können. Das verbessert den Rechtschutz für Verbraucher gerade in Fällen, in denen der Einzelschaden gering ist und sich eine Einzelklage daher nicht „lohnen“ würde.
Hacks und Leaks: So ersetzt die Firma deine Schäden nach einem Datenschutzskandal
Massenklagen im amerikanischen Stil bald auch in der EU?
Massenklagen führen allerdings auch zu einer wachsenden „Klageindustrie“. Dadurch steigt das Risiko von Klagemissbrauch. Schon jetzt gibt es in Europa immer mehr Legal-Tech-Unternehmen und auf Massenverfahren spezialisierte Klägerkanzleien. Deren Geschäftsmodell ist es, Unternehmen im großen Stil zu verklagen.
In den USA ist dieser Trend schon lange Realität. Von dort machen immer wieder Nachrichten über horrende Schadensersatzsummen in den dortigen Sammelklageprozessen (Class Actions) Schlagzeilen. Erst kürzlich akzeptierte das hinter der App Tiktok stehende Unternehmen Bytedance in einem solchen Prozess die Zahlung einer Vergleichssumme von umgerechnet rund 75 Millionen Euro. Die Sammelkläger hatten dem Unternehmen unter anderem vorgeworfen, persönliche Daten von Nutzern unrechtmäßig zu sammeln, aufzubewahren und an Dritte – gewerbsmäßig – weiterzugeben.
Müssen sich Unternehmen in Europa zukünftig auf ähnliche Prozesse einstellen wie in den USA? Dagegen spricht, dass die EU-Verbandsklage im Gegensatz zur amerikanischen Sammelklage keinen Strafschadensersatz (Punitive Damages) – also eine Strafzahlung über den eigentlichen Schaden hinaus – vorsieht. Das Haftungsrisiko ist, was mögliche Schadensersatzforderungen angeht, bei der EU-Verbandsklage auf die Summe der ersatzfähigen Einzelschäden von den betroffenen Verbrauchern beschränkt. Aber welcher Schaden entsteht bei Datenschutzverstößen überhaupt?
Bei Datenschutzverstößen häufig „nur“ immaterieller Schadensersatz
Die Problematik liegt darin, dass Datenschutzverstöße meist zu keinem materiellen Schaden, also einem echten Vermögensschaden, führen. Kläger können oft „nur“ Schmerzensgeld wegen der Verletzung von Persönlichkeitsrechten und daraus resultierenden Beeinträchtigungen einklagen. Bei einer nicht autorisierten Datenweitergabe an Dritte beispielsweise könnte eine solche Beeinträchtigung etwa in einer Rufschädigung liegen.
Die Frage, in welcher Höhe Schadensersatz bei solchen immateriellen Schäden zugesprochen werden kann, liegt im Ermessen der Gerichte. Bisher haben deutsche Gerichte in datenschutzrechtlichen Streitigkeiten Schadensersatz nur sehr maßvoll zugesprochen. Ob es dabei bleiben wird oder die Beträge tendenziell eher ansteigen werden, bleibt abzuwarten. Letztinstanzlich hat der europäische Gerichtshof (EuGH) darüber zu entscheiden, in welcher Höhe ein Schmerzensgeld bei Verstößen gegen die DSGVO angemessen ist. Die diesbezügliche Rechtsprechung ist derzeit noch im Fluss.
Wer darf EU-Verbandsklagen erheben?
Die EU-Verbandsklage ist, neben dem Ausschluss von Strafschadensersatz, noch in einem weiteren Punkt restriktiver als die amerikanische Sammelklage ausgestaltet: Während bei der amerikanischen Sammelklage die betroffenen Verbraucher selbst klagen, ist bei der EU-Verbandsklage eine sogenannte qualifizierte Einrichtung klagebefugt. Sie ist es, die den Prozess stellvertretend für die betroffenen Verbraucher führt. Hierfür kommen insbesondere Verbraucherschutzverbände oder öffentliche Einrichtungen in Betracht.
Die qualifizierte Einrichtung ist zwischen die betroffenen Verbraucher einerseits und dem beklagten Unternehmen andererseits geschaltet. Sie soll als eine Art „Kontrollinstanz“ fungieren. Denn sie muss gewisse Anforderungen erfüllen, um im Namen der Verbraucher klagen zu können. Sie darf zum Beispiel keinen Erwerbszweck verfolgen und muss von Dritten unabhängig sein. Das soll das Risiko vor Klagemissbrauch minimieren.
So vermeiden Unternehmen Stolperfallen bei der Umsetzung der DSGVO
Konkrete Umsetzung in den Mitgliedsstaaten offen
Mitgliedsstaaten sind allerdings nicht verpflichtet, diesen Schutzmechanismus einheitlich umzusetzen. Die Verbandsklagerichtlinie überlässt den Mitgliedsstaaten vielmehr gerade in diesem Punkt Umsetzungsspielräume. Somit ist nicht sichergestellt, dass die Anforderungen an qualifizierte Einrichtungen zukünftig in gleicher Weise in allen Mitgliedsstaaten gelten.
Umsetzungsspielräume bei der Ausgestaltung der EU-Verbandsklage existieren zudem in anderen Punkten. So können Mitgliedsstaaten etwa auch selbst darüber entscheiden, ob sie eine Finanzierung durch kommerzielle Prozessfinanzierer erlauben oder nicht.
Angesichts dieser Umsetzungsspielräume ist derzeit noch offen, in welcher Form die 27 Mitgliedsstaaten die EU-Verbandsklagerichtlinie umsetzen werden. Die Mitgliedsstaaten haben hierfür noch bis Ende 2022 Zeit.
„Forum Shopping“ der Klageindustrie steht zu erwarten
Mit einer einheitlichen Umsetzung ist allerdings eher nicht zu rechnen. Dadurch ist ein europäischer Flickenteppich vorprogrammiert. Setzt ein Mitgliedsstaat die Richtlinie mit einem niedrigeren Schutz vor Klagemissbrauch um, wird das die Klageindustrie allerdings nicht nur in dem betreffenden Mitgliedsstaat, sondern in der ganzen EU weiter stärken. Denn für die Erhebung einer EU-Verbandsklage werden in der Regel zugleich mehrere Mitgliedsstaaten in Betracht kommen. Die Verbandsklagerichtlinie sieht nämlich eine Vielzahl von Gerichtsständen vor, an denen geklagt werden kann. Insbesondere kann die EU-Verbandsklage in jedem Mitgliedsstaat eingeleitet werden, in dem ein betroffener Verbraucher seinen Wohnsitz hat. Qualifizierte Einrichtungen dürften sich dann den jeweils günstigeren Gerichtsstandort „rauspicken“ (Forum Shopping).
Was Unternehmen jetzt tun sollten
Unternehmen, deren Geschäftsmodell auf europäische Verbraucher ausgelegt ist und die dabei Daten von Kunden erheben und verarbeiten, sollten sich daher warm anziehen. Denn sie müssen damit rechnen, dass sie früher oder später ins Visier der EU-Verbandsklage geraten. Daher sollten sie sich schon jetzt auf einen potenziellen Haftungsfall vorbereiten. Insbesondere sollten sie alle datenbezogenen Vorgänge auf ihre Konformität mit der DSGVO und den nationalen Datenschutzgesetzen überprüfen. Für jeden Prozessschritt muss der Datenschutz mitgedacht und fest integriert werden. Zentral ist außerdem die Prüfung der IT-Sicherheit. So muss sichergestellt sein, dass die Daten vor unbefugten Zugriffen, etwa vor einem Hackerangriff, bestmöglich geschützt sind.
Nicht zu vergessen ist schließlich eine vollumfängliche Dokumentation aller datenschutzrechtlich relevanten Vorgänge. Die ist essenziell für die Frage der Enthaftung. Denn in Datenschutzprozessen muss regelmäßig das beklagte Unternehmen nachweisen, dass es rechtskonform gehandelt hat. Nur wenn dieser Nachweis rechtssicher geführt werden kann, können sich Unternehmen einer potenziellen Haftung im Verbandsklageprozess entziehen.