Auf dem Weg zu Massenklagen wegen Datenschutzverletzungen?
Durch die Datenschutz-Grundverordnung wurde mit Art. 82 DSGVO ein eigener Anspruch begründet, der betroffenen Personen ein umfassendes Recht auf Ersatz jener Schäden einräumt, die durch DSGVO-Verstöße entstehen. Die Rechtsprechung legt die Norm – jedenfalls soweit es immaterielle Schäden betrifft – bislang überwiegend restriktiv aus. Allerdings deutet sich ein Wandel an, der dazu führen könnte, dass Unternehmen bei Datenschutzvorfällen künftig mit massenhaft geltend gemachten Schadenersatzforderungen konfrontiert sein werden.
Bisherige Rechtsprechung in Deutschland
Die deutsche Rechtsprechung zu Art 82 DSGVO ist eher restriktiv. So hat beispielsweise das AG Diez (Urt. v. 7.11.2018, Az. 8 C 130/18) einen Schadensersatzanspruch wegen einer unzulässigen Versendung einer Werbemail abgelehnt. Der bloße Verstoß ohne Schadensfolge führe nicht zu einer Haftung. Dieser Auffassung folgte auch das AG Bochum (Urt. v. 11.3.2019, Az. 65 C 485/18) und betonte dabei insbesondere, dass es dem Kläger obliegt, einen tatsächlichen materiellen oder immateriellen Schadenseintritt substantiiert darzulegen.
Doch auch eine substantiierte Schadensdarlegung des Klägers führt nicht unmittelbar zu einem Sieg vor Gericht. Vielmehr darf dieser Schaden nach Einschätzung des OLG Dresden (4 U 760/19) nicht nur in einer „individuell empfundenen Unannehmlichkeit“ liegen. Ein „Bagatellverstoß ohne ernsthafte Beeinträchtigung des Selbstbilds“ reiche zur Begründung eines Anspruchs nach Art. 82 DSGVO nicht aus. Auch das LG Karlsruhe (8 O 26/19) hat einen Anspruch auf immateriellen Schadensersatz verneint und betonte, dass nicht „jeder Verstoß gegen die DSGVO allein aus generalpräventiven Gründen zu einer Ausgleichspflicht“ führe.
Von dieser restriktiven Auslegung hat nun das Arbeitsgericht Düsseldorf Abstand genommen (Urt. v. 5.3.2020, Az. 9 Ca 6557/18). In seinem Urteil sprach es dem Kläger Schadensersatz in Höhe von 5.000 Euro zu, da sein früherer Arbeitgeber seinen Auskunftsantrag verspätet und unvollständig bearbeitet habe. Nach Einschätzung der Düsseldorfer Richter bedürfe es keiner Bagatellschwelle. Vielmehr müsste Art. 82 DSGVO dem unionsrechtlichen Effektivitätsgrundsatz Rechnung tragen und eine Abschreckungswirkung entfalten, welche sich wiederum in der Bemessung der Schadensersatzhöhe manifestiere. Eine Berufung gegen die Entscheidung ist derzeit beim Landesarbeitsgericht anhängig.
Schadensersatzverfahren in den Niederlanden
In anderen Ländern ist der Gedanke des Strafschadensersatzes (sog. „punitive damages“) stärker verbreitet. Spannend wird dabei der Ausgang der jüngst durch die Non-Profit-Organisation „The Privacy Collective“ in Amsterdam eingereichten Sammelklagen gegen Oracle und Salesforce sein. Laut „The Privacy Collective“ könnten die Sammelklagen die beiden kalifornischen Technologiekonzerne bis zu 10 Milliarden Euro kosten. Ihnen wird vorgeworfen, unter Verwendung von Drittanbieter-Cookies persönliche Profile der Verbraucher ohne ihr Wissen oder ihre Einwilligung angelegt zu haben. Diese Profile sollen Oracle und Salesforce dann wiederum per Real-Time-Bidding an Unternehmen verkauft haben.
Der Fall ist vor dem Hintergrund des Inkrafttretens des Gesetzes über die Abwicklung von Massenansprüchen in Sammelklagen (Wet Afwikkeling Massaschade in Collectieve Actie – WAMCA) am 1. Januar 2020 zu sehen. Seither können juristische Personen (i.d.R. Stiftungen) Sammelklagen vor niederländischen Gerichten erheben, in denen sie im Namen der Betroffenen Schadensersatz in Form von Geld fordern.
Gegenwärtig deuten erste Anzeichen darauf hin, dass die niederländischen Bezirksrichter („rechtbanken“) willens sind, Schadensersatz in Geld wegen Verletzungen des Datenschutzes auf der Grundlage von Art. 82 DSGVO zuzusprechen.
Massenklageverfahren in Deutschland
Auch in Deutschland wurde zum 1. November 2018 durch das Gesetz zur Einführung einer zivilprozessualen Musterfeststellungsklage die Möglichkeit eröffnet, die tatsächlichen und rechtlichen Voraussetzungen für das Bestehen oder Nichtbestehen von Ansprüchen oder Rechtsverhältnissen ohne großen (finanziellen) Aufwand durch qualifizierte Einrichtungen, wie etwa klagebefugte Verbände, mit Wirkung für alle angeschlossenen klagenden Verbraucher feststellen zu lassen. Trotz eines mittels einer Musterfeststellungsklage erreichten positiven Feststellungsurteils muss im Anschluss jeder einzelne Verbraucher sodann individuell gegen den Beklagten vorgehen, um seine Schadenersatzansprüche geltend zu machen.
Auch im Bereich des Datenschutzrechts – insbesondere bei Datenschutzvorfällen – ist denkbar, das Instrument der Musterfeststellungsklage einzusetzen. Bei Datenschutzvorfällen existiert typischerweise eine Vielzahl gleichartiger Geschädigter, die gleiche Ansprüche aus demselben Rechtsgrund geltend machen. Ein Hindernis bei der Musterfeststellungsklage: Es sind nur bestimmte, qualifizierte Einrichtungen zur Klage befugt. Deshalb haben sich bereits, ähnlich wie bei Flugreisen oder bei der Wohnraummiete, einige Verbraucheranwälte und Prozessfinanzierer mit Hilfe von Legal-Tech-Anwendungen in Stellung gebracht: Sie erheben keine Musterfeststellungsklage, sondern wollen sich bei massenhaften Datenschutzverstößen etwaige Schadensersatzansprüche durch die Betroffenen abtreten lassen und die Ansprüche im eigenen Namen geltend machen.
Unabhängig davon, ob den zahlreichen Schadensersatzklagen eine Musterfeststellungsklage vorangeht und ob diese durch die Betroffenen selbst oder – nach Abtretung durch die Betroffenen – durch ein Prozessvehikel erhoben werden – diesen Klagen liegen im Wesentlichen gleich gelagerte, standardisierte Sachverhalte zugrunde und die Erstellung von Anspruchsschreiben und Klagen verläuft bereits mindestens teilautomatisiert. So wie die Klägervertreter bereits verstärkt auf Legal-Tech-Anwendungen zurückgreifen, ist eine Automatisierung der Anspruchsabwehr auf Seiten des Beklagten nicht nur möglich, sondern auch geboten. Eine herkömmliche Bearbeitung jeder einzelnen Klage ohne Unterstützung durch Legal-Tech-Anwendungen wäre nicht nur wirtschaftlich kaum realisierbar. Um das wirtschaftliche Drohpotential solcher Massenklagen zu verringern, ist eine effiziente Anspruchs- und Klageabwehr für die Beklagten unerlässlich.
Fazit und Ausblick
Inwieweit Datenschutzverstöße zu immateriellem Schadensersatz führen können, wurde bereits unter Geltung des alten BDSG diskutiert. Der Wortlaut des Art. 82 DSGVO sieht dies zwar ausdrücklich vor. Die hiesige Rechtsprechung ist jedoch (noch) zurückhaltend. Eine höchstrichterliche Entscheidung ist bislang nicht absehbar. Sofern sich die Linie des Arbeitsgerichts Düsseldorf durchsetzt oder die Bestrebungen der Legal-Tech-Anbieter für zulässig erachtet werden, dürfte im Falle bekanntgewordener Data Breaches eine erhebliche Klagewelle auf die jeweiligen Unternehmen zurollen.
Unternehmen wären dann gefordert, Skaleneffekte zu nutzen und mit entsprechenden Tools ebenso automatisiert die Forderungsabwehr zu betreiben. Daneben bedarf es einer sorgfältigen PR-Strategie, um Reputationsschäden abzuwenden.