Anzeige
Anzeige
Analyse
Artikel merken

Datenschutzverstöße im Visier der europäischen Verbandsklage

Bei Datenschutzverstößen drohen Millionen-Bußgelder. Bald werden Verbrauchermassenklagen erschwerend hinzukommen. Was Unternehmen jetzt wissen müssen, erläutern unsere Gastautorinnen.

5 Min. Lesezeit
Anzeige
Anzeige

Datenschutzverstöße können teuer werden. (Bild: Shutterstock / Den Rise)

Während China vor Kurzem Daten als „fünften Produktionsfaktor“ proklamiert hat, müssen europäische Unternehmen den Umgang mit Kundendaten mehr und mehr fürchten. Denn nicht nur drohen Unternehmen empfindliche Bußgelder, wenn sie gegen Datenschutzvorschriften verstoßen; zukünftig steht mit der EU-Verbandsklage auch eine neue Klagemöglichkeit zur Verfügung, mit der betroffene Verbraucher kollektiv gegen Unternehmen bei Datenschutzverstößen klagen können.

Das Haftungsrisiko für Unternehmen wird sich dadurch bei Verstößen gegen Datenschutzrecht deutlich erhöhen. Neben erheblichen finanziellen Schäden in Form von Schadensersatz- oder Vergleichszahlungen stehen dabei vor allem auch Rufschäden, die mit solchen Prozessen stets einhergehen, im Raum.

Neue Möglichkeit für Massenklagen mit der EU-Verbandsklage

Anzeige
Anzeige

Die EU-Verbandsklage ist Gegenstand der im Dezember letzten Jahres auf EU-Ebene beschlossenen „Richtlinie über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher“. Sie gilt explizit bei Verstößen gegen den Datenschutz – also insbesondere die Datenschutzgrundverordnung (DSGVO) und nationale Datenschutzgesetze.

Schon heute können Betroffene einzeln gegen Unternehmen bei Datenschutzverstößen klagen – auch auf Schadensersatz. Die EU-Verbandsklage tritt neben diese bestehende Klagemöglichkeit und geht noch einen Schritt weiter: Sie ermöglicht es erstmals, dass alle von einem Datenschutzverstoß betroffenen Verbraucher zusammen gegen ein Unternehmen klagen können. Das verbessert den Rechtschutz für Verbraucher gerade in Fällen, in denen der Einzelschaden gering ist und sich eine Einzelklage daher nicht „lohnen“ würde.

Anzeige
Anzeige

Hacks und Leaks: So ersetzt die Firma deine Schäden nach einem Datenschutzskandal

Anzeige
Anzeige

Massenklagen im amerikanischen Stil bald auch in der EU?

Massenklagen führen allerdings auch zu einer wachsenden „Klageindustrie“. Dadurch steigt das Risiko von Klagemissbrauch. Schon jetzt gibt es in Europa immer mehr Legal-Tech-Unternehmen und auf Massenverfahren spezialisierte Klägerkanzleien. Deren Geschäftsmodell ist es, Unternehmen im großen Stil zu verklagen.

In den USA ist dieser Trend schon lange Realität. Von dort machen immer wieder Nachrichten über horrende Schadensersatzsummen in den dortigen Sammelklageprozessen (Class Actions) Schlagzeilen. Erst kürzlich akzeptierte das hinter der App Tiktok stehende Unternehmen Bytedance in einem solchen Prozess die Zahlung einer Vergleichssumme von umgerechnet rund 75 Millionen Euro. Die Sammelkläger hatten dem Unternehmen unter anderem vorgeworfen, persönliche Daten von Nutzern unrechtmäßig zu sammeln, aufzubewahren und an Dritte – gewerbsmäßig – weiterzugeben.

Anzeige
Anzeige

Müssen sich Unternehmen in Europa zukünftig auf ähnliche Prozesse einstellen wie in den USA? Dagegen spricht, dass die EU-Verbandsklage im Gegensatz zur amerikanischen Sammelklage keinen Strafschadensersatz (Punitive Damages) – also eine Strafzahlung über den eigentlichen Schaden hinaus – vorsieht. Das Haftungsrisiko ist, was mögliche Schadensersatzforderungen angeht, bei der EU-Verbandsklage auf die Summe der ersatzfähigen Einzelschäden von den betroffenen Verbrauchern beschränkt. Aber welcher Schaden entsteht bei Datenschutzverstößen überhaupt?

Bei Datenschutzverstößen häufig „nur“ immaterieller Schadensersatz

Die Problematik liegt darin, dass Datenschutzverstöße meist zu keinem materiellen Schaden, also einem echten Vermögensschaden, führen. Kläger können oft „nur“ Schmerzensgeld wegen der Verletzung von Persönlichkeitsrechten und daraus resultierenden Beeinträchtigungen einklagen. Bei einer nicht autorisierten Datenweitergabe an Dritte beispielsweise könnte eine solche Beeinträchtigung etwa in einer Rufschädigung liegen.

Die Frage, in welcher Höhe Schadensersatz bei solchen immateriellen Schäden zugesprochen werden kann, liegt im Ermessen der Gerichte. Bisher haben deutsche Gerichte in datenschutzrechtlichen Streitigkeiten Schadensersatz nur sehr maßvoll zugesprochen. Ob es dabei bleiben wird oder die Beträge tendenziell eher ansteigen werden, bleibt abzuwarten. Letztinstanzlich hat der europäische Gerichtshof (EuGH) darüber zu entscheiden, in welcher Höhe ein Schmerzensgeld bei Verstößen gegen die DSGVO angemessen ist. Die diesbezügliche Rechtsprechung ist derzeit noch im Fluss.

Anzeige
Anzeige

Wer darf EU-Verbandsklagen erheben?

Die EU-Verbandsklage ist, neben dem Ausschluss von Strafschadensersatz, noch in einem weiteren Punkt restriktiver als die amerikanische Sammelklage ausgestaltet: Während bei der amerikanischen Sammelklage die betroffenen Verbraucher selbst klagen, ist bei der EU-Verbandsklage eine sogenannte qualifizierte Einrichtung klagebefugt. Sie ist es, die den Prozess stellvertretend für die betroffenen Verbraucher führt. Hierfür kommen insbesondere Verbraucherschutzverbände oder öffentliche Einrichtungen in Betracht.

Die qualifizierte Einrichtung ist zwischen die betroffenen Verbraucher einerseits und dem beklagten Unternehmen andererseits geschaltet. Sie soll als eine Art „Kontrollinstanz“ fungieren. Denn sie muss gewisse Anforderungen erfüllen, um im Namen der Verbraucher klagen zu können. Sie darf zum Beispiel keinen Erwerbszweck verfolgen und muss von Dritten unabhängig sein. Das soll das Risiko vor Klagemissbrauch minimieren.

So vermeiden Unternehmen Stolperfallen bei der Umsetzung der DSGVO

Anzeige
Anzeige

Konkrete Umsetzung in den Mitgliedsstaaten offen

Mitgliedsstaaten sind allerdings nicht verpflichtet, diesen Schutzmechanismus einheitlich umzusetzen. Die Verbandsklagerichtlinie überlässt den Mitgliedsstaaten vielmehr gerade in diesem Punkt Umsetzungsspielräume. Somit ist nicht sichergestellt, dass die Anforderungen an qualifizierte Einrichtungen zukünftig in gleicher Weise in allen Mitgliedsstaaten gelten.

Umsetzungsspielräume bei der Ausgestaltung der EU-Verbandsklage existieren zudem in anderen Punkten. So können Mitgliedsstaaten etwa auch selbst darüber entscheiden, ob sie eine Finanzierung durch kommerzielle Prozessfinanzierer erlauben oder nicht.

Angesichts dieser Umsetzungsspielräume ist derzeit noch offen, in welcher Form die 27 Mitgliedsstaaten die EU-Verbandsklagerichtlinie umsetzen werden. Die Mitgliedsstaaten haben hierfür noch bis Ende 2022 Zeit.

Anzeige
Anzeige

„Forum Shopping“ der Klageindustrie steht zu erwarten

Mit einer einheitlichen Umsetzung ist allerdings eher nicht zu rechnen. Dadurch ist ein europäischer Flickenteppich vorprogrammiert. Setzt ein Mitgliedsstaat die Richtlinie mit einem niedrigeren Schutz vor Klagemissbrauch um, wird das die Klageindustrie allerdings nicht nur in dem betreffenden Mitgliedsstaat, sondern in der ganzen EU weiter stärken. Denn für die Erhebung einer EU-Verbandsklage werden in der Regel zugleich mehrere Mitgliedsstaaten in Betracht kommen. Die Verbandsklagerichtlinie sieht nämlich eine Vielzahl von Gerichtsständen vor, an denen geklagt werden kann. Insbesondere kann die EU-Verbandsklage in jedem Mitgliedsstaat eingeleitet werden, in dem ein betroffener Verbraucher seinen Wohnsitz hat. Qualifizierte Einrichtungen dürften sich dann den jeweils günstigeren Gerichtsstandort „rauspicken“ (Forum Shopping).

Was Unternehmen jetzt tun sollten

Unternehmen, deren Geschäftsmodell auf europäische Verbraucher ausgelegt ist und die dabei Daten von Kunden erheben und verarbeiten, sollten sich daher warm anziehen. Denn sie müssen damit rechnen, dass sie früher oder später ins Visier der EU-Verbandsklage geraten. Daher sollten sie sich schon jetzt auf einen potenziellen Haftungsfall vorbereiten. Insbesondere sollten sie alle datenbezogenen Vorgänge auf ihre Konformität mit der DSGVO und den nationalen Datenschutzgesetzen überprüfen. Für jeden Prozessschritt muss der Datenschutz mitgedacht und fest integriert werden. Zentral ist außerdem die Prüfung der IT-Sicherheit. So muss sichergestellt sein, dass die Daten vor unbefugten Zugriffen, etwa vor einem Hackerangriff, bestmöglich geschützt sind.

Nicht zu vergessen ist schließlich eine vollumfängliche Dokumentation aller datenschutzrechtlich relevanten Vorgänge. Die ist essenziell für die Frage der Enthaftung. Denn in Datenschutzprozessen muss regelmäßig das beklagte Unternehmen nachweisen, dass es rechtskonform gehandelt hat. Nur wenn dieser Nachweis rechtssicher geführt werden kann, können sich Unternehmen einer potenziellen Haftung im Verbandsklageprozess entziehen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige