DSGVO und kollektiver Rechtsschutz: Neue Ver­bands- und Sam­mel­klagen im Daten­schutz­recht

Über dreieinhalb Jahre nach Geltungsbeginn der Datenschutzgrundverordnung (DSGVO) entdecken Verbraucherverbände, Klägerkanzleien und Prozessfinanzierer das Datenschutzrecht zunehmend als neues Betätigungsfeld. Die gerichtliche Durchsetzung des Datenschutzrechts in Form von privaten Verbands- und Sammelklagen gewinnt europaweit an Bedeutung.

Öffentlichkeitswirksam haben europäische Verbraucherverbände, inklusive der Verbraucherzentrale Bundesverband (vzbz), Klagen wegen vermeintlicher Datenschutzverstöße gegen einige große US-Tech-Konzerne angestrengt (etwa gegen Meta, Alphabet und Tesla). Im Juli 2022 hat die Verbraucherzentrale NRW bekannt gegeben, gegen drei der großen Telekommunikationsdienstleister vorzugehen.

Schützenhilfe erhalten die Verbände dabei sowohl vom Europäischen Gerichtshof (EuGH) als auch vom europäischen Gesetzgeber. So hat der EuGH im April 2022 entschieden, dass die DSGVO nationalen Regelungen nicht entgegensteht, die Verbraucherverbänden die Befugnis einräumen, Datenschutzverstöße unabhängig von einem Auftrag durch die betroffenen Verbraucher gerichtlich geltend zu machen. Zwar können Verbraucherverbände in Deutschland derzeit vor allem mittels Unterlassungsklagen gegen Datenschutzverstöße vorgehen, doch mit der bis Mitte 2023 umzusetzenden EU-Verbandsklagerichtlinie werden sie in die Lage versetzt, auch Schadensersatz einzufordern.

Behörden geben Zurückhaltung bei Bußgeldern auf

Neben Verbraucherverbänden hat sich unter der DSGVO eine lukrative Klägerindustrie bestehend aus Klägerkanzleien und Prozessfinanzierern entwickelt, die mit Hilfe von zielgerichteter Werbung auf sozialen Medien und Online-Portalen potenziell Geschädigte rekrutiert, um deren Ansprüche unter Vereinbarung eines Erfolgshonorars gebündelt durchzusetzen.

Diese Entwicklung trifft die europäische Wirtschaft zu einer Zeit, in der von der anfänglichen Zurückhaltung der Datenschutzbehörden nur noch wenig zu spüren ist. Verhängten die Behörden im Jahr 2020 noch Geldbußen in Höhe von insgesamt weniger als 200 Millionen Euro, belief sich das Gesamtvolumen 2021 bereits auf über 1,2 Milliarden Euro.

Zuvor eher unauffällig agierende Behörden, wie die irische und luxemburgische Datenschutzaufsicht, machen mittlerweile mit Rekordbußgeldern in dreistelliger Millionenhöhe auf sich aufmerksam und es scheint nur noch eine Frage der Zeit, bis ähnliche oder noch höhere Beträge in Deutschland, Österreich, den Niederlanden und im Rest des europäischen Wirtschaftsraums die Entscheidungspraxis prägen werden.

Unternehmen vermissen klaren Rechtsrahmen 

Während aber der behördenseitige Druck auf Unternehmen wächst und der kollektive Rechtsschutz Auftrieb erfährt, sind zentrale Fragen des Datenschutzrechts weiterhin ungeklärt. Unternehmen sehen sich unklaren, mitunter variierenden Vorgaben ausgesetzt, was sich nicht nur in behördlichen Bußgeldverfahren, sondern gerade auch in von Verbraucherverbänden und Prozessfinanzierern angestrebten Schadensersatzprozessen bemerkbar macht.  

Dies betrifft nicht zuletzt die Frage, unter welchen Voraussetzungen und in welcher Höhe aus einem Datenschutzverstoß überhaupt ein ersatzfähiger Schaden resultiert. Stellt der bloße Kontrollverlust über Daten bereits einen ersatzfähigen Schaden dar oder existiert eine Erheblichkeitsschwelle? Sind dem Besucher einer Webseite, dessen IP-Adresse erhoben wird, oder dem Empfänger einer ohne Einwilligung verschickten Werbemail Schäden entstanden und falls ja, in welcher Höhe?

Neben finanziellen Risiken droht Unternehmen auch ein Imageschaden

Eine höchstrichterliche Klärung der relevanten Fragestellungen steht bislang aus und aufgrund der Komplexität der Datenverarbeitungsvorgänge der heutigen Welt wird es noch Jahre dauern, bis sich eine einheitliche und vorhersehbare Praxis entwickeln wird.

Gerade der kollektive Rechtsschutz führt für Unternehmen zu Unwägbarkeiten, beispielsweise, wenn im Rahmen von groß angelegten Cyberattacken mehrere Millionen Kundendatensätze betroffen sind und für jeden Betroffenen Schadensersatz in drei bis vierstelliger Höhe verlangt wird. Hinzu kommen die mit derartigen Masseverfahren verbundenen Reputationsschäden, die selbst dann eintreten können, wenn sich das betroffene Unternehmen nach langjährigen Streitigkeiten vor Gericht und mit den Aufsichtsbehörden am Ende durchsetzt.

Dr. Christoph Werkmeister LL.M. (Cambridge) ist Partner und globaler Co-Leiter der Daten- und Technologiepraxis von Freshfields Bruckhaus Deringer und Lehrbeauftragter für Daten- und KI-Recht an den Universitäten Düsseldorf und Bonn.

Caspar Alexander Weitz ist Wissenschaftlicher Mitarbeiter bei Freshfields Bruckhaus Deringer.