DSGVO-Sammelklagen: "Die Orga­ni­sa­tion ist oft schwie­riger als der Pro­zess"

Immer öfter verhängen Datenschutzbehörden Bußgelder gegen Unternehmen, die gegen die Datenschutzgrundverordnung (DSGVO) verstoßen haben. Zuletzt hat es den Telekom- und Internetkonzern 1&1 Drillisch getroffen: Ein Tochterunternehmen soll 9,6 Millionen Euro zahlen, weil es die Daten seiner Kunden nicht ausreichend geschützt hat.

Doch noch viel höher ist das Bußgeld, das vor kurzem gegen die Österreichische Post ÖPAG verhängt wurde - 18 Millionen Euro. Diese Verwaltungsstrafe wurde ihr von der Österreichischen Datenschutzbehörde auferlegt, weil die ÖPAG von 2,2 Millionen Bürgern neben "erlaubten" Daten wie Name, Adresse, Geschlecht und Alter auch die Parteiaffinität abspeichert hat.

Zusätzlich zur Strafe der Datenschutzbehörde hat das Landesgericht (LG) Feldkirch der Klage eines Anwalts stattgegeben und ihm in Schadensersatz in Höhe von 800 Euro zugesprochen. Nun soll auch eine "Musterklage" folgen, der sich Verbraucher anschließen können. Der Datenschutzrechtler Dr. Gernot Fritz erklärt, womit das Unternehmen zu rechnen hat, welche Fallstricke der parallele Rechtszug an Zivilgericht und Datenschutzbehörde haben kann und wie die Situation in Deutschland ist.

LTO: Ein Kläger soll 800 Euro Schadensersatz von der ÖPAG erhalten, weitere Betroffene formieren sich in einem Sammelverfahren. Was könnte mit so einer Musterklage auf die ÖPAG zukommen?

Dr. Gernot Fritz: 800 Euro Ersatz bei einem Einzelfall erscheint zunächst nicht viel. Doch DSGVO-Verstöße betreffen regelmäßig nicht nur einzelne, sondern eine große Anzahl an Personen. In der Masse bergen auch 800 Euro pro Person ein signifikantes Risiko für Unternehmen.

Wie in Deutschland können auch in Österreich nur jene Gefühlsbeeinträchtigungen, denen ein entsprechendes Gewicht zukommt, überhaupt ein Schaden sein. Das LG Feldkirch hat diese Erheblichkeitsschwelle allerdings - im Gegensatz etwa zu bisher ergangenen Entscheidungen in Deutschland - extrem niedrig angesetzt.

So reichte dem Gericht schon, dass der Kläger sich an der nicht konformen Speicherung seine Parteiaffinität "störte". Auch einen Nachweis für sein "Störgefühl" musste der Kläger nicht wirklich erbringen. Damit wird es den Klägern, vor allem bei etwaigen Massenklagen, aber zu leicht gemacht. Es bleibt abzuwarten, ob das OLG Innsbruck im Rechtsmittelverfahren einen strengeren und damit angemesseneren Maßstab anlegen wird.

Wie wird der Schadensersatz bei DSGVO-Verstößen üblicherweise bemessen?

Die übliche Höhe von immateriellem Schadensersatz bei DSGVO-Verstößen ist schwierig zu ermitteln. So gibt es neben der Entscheidung des LG Feldkirch, soweit überblickbar, erst eine weitere Entscheidung in der EU, mit der immaterieller Schadensersatz aufgrund eines Verstoßes gegen die DSGVO zugesprochen wurde: Ein Gericht in Amsterdam hat einer Klägerin für erlittene Stress- und Angstgefühle aufgrund der Übermittlung bestimmter Gesundheitsdaten an ihren Arbeitgeber 250 Euro zugesprochen.

Die Bemessung eines konkreten Schadens bei "Gefühlsverletzungen" ist nie leicht. Das LG Feldkirch hat haftungsmindernd berücksichtigt, dass die Daten des Klägers nicht an Dritte zu Marketing-Zwecken übermittelt wurden – was wohl bei anderen Betroffenen durchaus erfolgt ist. In solchen Fällen wären durchaus auch höhere Ersatz-Beträge zu erwarten.

Hat die Entscheidung der Datenschutzbehörde Einfluss auf anstehende Gerichtsverfahren?

Die Frage, inwieweit Zivilgerichte in diesem Kontext an Bescheide der Datenschutzbehörde gebunden wären, ist in Österreich allgemein gar nicht so einfach zu beantworten. In dem Verfahren vor dem LG Feldkirch war der relevante Bescheid der Datenschutzbehörde noch nicht rechtskräftig, weshalb das Gericht die relevante Frage selbst zu beurteilen hatte. Das LG Feldkirch hat ausgesprochen, dass auch der Normverstoß vom Geschädigten zu behaupten und zu beweisen ist.

Gäbe es eine rechtskräftige Entscheidung der Datenschutzbehörde, die ein bestimmtes Verhalten als DSGVO-widrig qualifiziert, dann würde das den Beweis durch den Geschädigten entsprechend erleichtern. Selbst wenn das Gericht vielleicht daran nicht gebunden wäre, hätte es natürlich entsprechende Indizwirkung für das Zivilverfahren. Immerhin sind die Datenschutzbehörden – im Gegensatz zu den Zivilgerichten – ja auf die Beurteilung datenschutzrechtlicher Fragestellungen spezialisiert.

Muss nicht jeder Kläger selbst beweisen, dass sein persönliches Recht auf Datenschutz verletzt wurde, wenn er Schadensersatz will? Wie aussichtsreich könnte dann eine solche Massenklage sein?

Für die Geltendmachung eines Schadensersatzanspruchs reicht der Normverstoß - und nur dieser könnte durch Entscheidung der Datenschutzbehörde belegt werden - nicht aus. Es muss auch ein immaterieller Schaden beim Betroffenen eingetreten sein, und er muss die Höhe dieses Schadens belegen. Der Betroffene muss daher die Beeinträchtigung seiner Person und die daraus resultierenden, für ihn nachteiligen Auswirkungen nachweisen.

Gefühlsschäden sind aber so individuell wie die Personen, die sie geltend machen. Da sich jeder Gefühlsschaden auf eine konkrete Person bezieht, ist fraglich, inwiefern derartige Ansprüche überhaupt gleichartig genug sein können, um eine gebündelte Geltendmachung anstatt vieler Einzelverfahren zu rechtfertigen. Es wird sich jedenfalls in Österreich vermutlich schon bald zeigen, ob und in welchem Umfang Massenklagen diesbezüglich erfolgsversprechend sind.

Laut DSGVO können sich Betroffene sowohl an die Datenschutzbehörde als auch an ein Gericht wenden. In Österreich war zunächst umstritten, ob dieser parallele Rechtszug zulässig ist. Warum?

Es war auf den ersten Blick gar nicht so klar, dass der in der DSGVO vorgegebene parallele Rechtszug an Zivilgericht und Datenschutzbehörde mit österreichischem Verfassungsrecht vereinbar ist. Denn das Grundprinzip der Gewaltenteilung gibt unter anderem vor, dass dieselbe Rechtssache nur entweder einem Gericht oder einer Behörde, nicht aber beiden zugleich zugeteilt werden darf.

In Österreich gibt es bereits drei höchstgerichtliche Entscheidungen, die alle im Zuge der gerichtlichen Durchsetzung von datenschutzrechtlichen Löschungsbegehren ergangen sind. Vereinfacht gesagt argumentierte der Oberste Gerichtshof (OGH), dass derselbe Lebenssachverhalt auch aus verschiedenen Blickwinkeln betrachtet werden kann.

Nach Ansicht des OGH ist das parallele Nebeneinander von öffentlich-rechtlichen und privat-rechtlichen Rechtschutzmöglichkeiten im Hinblick auf das Grundprinzip der Gewaltenteilung unproblematisch, denn in beiden Verfahren wird zwar derselbe Sachverhalt, aber jeweils aus einem anderen Blickwinkel betrachtet. Zudem hat der EU-Gesetzgeber nach Ansicht des OGH eindeutig einen zweigleisigen Rechtsschutz normieren wollen, und dem nationalen Gesetzgeber ist es verwehrt, diese parallele Rechtsschutzmöglichkeit einzuschränken.

Gab es in Deutschland vergleichbare Fragestellungen?

Der parallele Rechtszug an Zivilgericht und Datenschutzbehörde wird sehr klar durch die DSGVO vorgegeben. Dass dies in Deutschland mit dem Prinzip der Gewaltenteilung in Konflikt geraten könnte, wäre mir bislang noch nicht untergekommen. Und Betroffene streben durchaus auch in Deutschland parallele Verfahren vor Datenschutzbehörden und Zivilgerichten an. Wir hatten in unserer Beratungspraxis bereits mit einigen derartigen Konstellationen zu tun.

Kann der parallele Rechtszug nicht auch zu Verwirrung führen?

Da Datenschutzbehörde und Zivilgericht über unterschiedliche Facetten desselben Sachverhalts entscheiden, würden widersprechende Entscheidungen grundsätzlich nebeneinander bestehen. Eine Unterbrechung der Verfahren ist weder in Österreich noch in Deutschland verpflichtend. Es wird aber zu erwarten sein, dass sich Zivilgericht und Behörde bzw. die entsprechenden Instanzen abstimmen werden, falls ein Fall länger dauert und die jeweiligen Entscheidungen wechselseitig in die Verfahren eingebracht werden.

Sofern keine Abstimmung erfolgt, könnten widersprechende Entscheidungen ein Unternehmen in die Zwickmühle bringen, etwa wenn die Datenschutzbehörde eine ungeschwärzte Auskunft verneint, um die Beeinträchtigung von Rechten Dritter zu vermeiden, das Gericht dem Unternehmen aber aufträgt, eine ungeschwärzte Auskunft zu erteilen. Bislang sind uns aus der Praxis aber noch keine derartigen Fälle bekannt.

Welche weiteren Problemfelder gibt es bei DSGVO-Verstößen?

Ein wichtiger Aspekt ist mit Sicherheit die Prävention, also neben der allgemeinen DSGVO-Compliance primär das Aufsetzen und Implementieren entsprechender technischer und organisatorischer Prozesse, mit denen Betroffenenbegehren abgehandelt werden, damit es im Idealfall gar nicht zu Klagen kommt. Ist man in diesem Bereich nicht ausreichend vorbereitet, hat man im Anlassfall – vor allem bei "Massenanstürmen" von betroffenen Personen – kaum noch Zeit richtig zu reagieren.

Wie aus der Presse bekannt, hatte auch die ÖPAG der große Ansturm von Anfragen an die Kapazitätsgrenzen gebracht, um überhaupt fristgerecht allen Betroffenen vollständig Auskunft über deren verarbeitete personenbezogene Daten zu erteilen. Sind Unternehmen dazu nicht imstande, droht neue Angriffsfläche - noch bevor die laufenden Ansprüche überhaupt abgehandelt sind.

Die Praxis zeigt, dass bei größeren Sammelverfahren oftmals die organisatorische Abwicklung wesentlich problematischer und schwieriger zu bewältigen ist als die drohende rechtliche Auseinandersetzung.

Und die gerichtliche Durchsetzung von Datenschutzthemen betrifft im Übrigen keinesfalls nur die Geltendmachung von Schadensersatzansprüchen, sondern genauso die Durchsetzung von Betroffenenrechten wie Auskunfts- oder Löschbegehren oder potentielle Klagen von Wettbewerbern oder Verbraucherschutzorganisationen.

Vielen Dank für das Gespräch, Herr Dr. Fritz!

Dr. Gernot Fritz ist Principal Associate im Wiener Büro von Freshfields Bruckhaus Deringer. Er berät Unternehmen aus den verschiedensten Branchen zu Fragen des EU-Datenschutzes und des E-Privacy-Rechtsrahmens, sowohl bei Transaktionen als auch bei Verfahren.

Die Fragen stellte Anja Hall