Europäischer Gerichtshof ebnet den Weg für Massenklagen im Datenschutz

Isabelle Brams, Stefan Patzer, Tim Wybitul
Latham & Watkins LLP
Contact
LinkedIn
Facebook
X
Send
Embed

Latham & Watkins LLP

 

Der Europäische Gerichtshof („EuGH“) legt die Anforderungen für Schadensersatz nach Art. 82 EU Datenschutz-Grundverordnung („DSGVO“) in einem neuen Urteil weit aus (Urteil vom 4. Mai 2023, C-300/21). Zwar trifft der EuGH einige Aussagen, die Unternehmen eine Verteidigung gegen entsprechende Ansprüche erleichtern könnten. Dies gilt etwa im Hinblick auf den nach Art. 82 DSGVO geforderten Schadensnachweis. Im Ergebnis überwiegen aber die negativen Folgen der Entscheidung für Unternehmen, die wegen Datenpannen oder anderen DSGVO-Verstößen in Anspruch genommen werden.

Hintergrund

Art. 82 DSGVO ermöglicht es Klägern, Schadensersatz für immaterielle Schäden, also die Kompensation von Nichtvermögensschäden, zu verlangen.

In entsprechenden Schadensersatzklagen wird als zu ersetzender Schaden häufig die Sorge darüber genannt, dass die eigenen Daten des Klägers gegenüber Dritten offengelegt oder sonst in unzulässiger Weise verarbeitet werden könnten. So hatte beispielsweise das höchste österreichische Zivilgericht einem Kläger deshalb Schadensersatz nach Art. 82 DSGVO zugesprochen, weil sich dieser „massiv genervt“ davon gefühlt habe, wie ein Unternehmen ihm Auskunft über die Verarbeitung seiner Daten nach Art. 15 DSGVO erteilt hatte (Az: 6 Ob 56/21k). Auch nach Datenpannen, Hackerangriffen oder anderen Cybersecurity Incidents kommt es häufig zur massenhaften Geltendmachung von Schadensersatzansprüchen nach Art. 82 DSGVO.

Manche Kanzleien und Legal Tech-Unternehmen haben sich bereits darauf spezialisiert, derartige Ansprüche und Klagen in hohen Stückzahlen geltend zu machen. Andere Anbieter sind sogar noch einen Schritt weiter: Sie werben damit, dass sie derartige Schadensersatzforderungen kaufen und machen diese dann selbst gebündelt geltend. Diese Unternehmen agieren dabei oft sehr professionell und richten sich mit ihrer Werbung gezielt an von einem möglichen Datenvorfall betroffene Personen.

Die ab dem 25. Juni 2023 in nationales Recht umzusetzende EU-Verbandsklage wird es Verbraucherschutzorganisationen zudem erleichtern, erfolgreich Sammelklagen gegen Unternehmen zu erheben. Sie können dabei auch grenzüberschreitend tätig werden. 

Die Entscheidung des EuGH

Für Stellen und Organisationen, die sich auf die massenhafte Geltendmachung solcher Datenschutzklagen konzentrieren, ist die aktuelle Entscheidung des EuGH Wasser auf die Mühlen. Zwar enthält das Urteil des EuGH auch einige Aussagen, die erfolgreiche Schadensersatzklagen wegen Datenschutzverstößen etwas erschweren. Im Ergebnis überwiegen aber die negativen Folgen der Entscheidung für Unternehmen, die wegen Datenpannen oder anderen DSGVO-Verstößen in Anspruch genommen werden.

1.                  Kein Schaden durch bloßen DSGVO-Verstoß

Der EuGH stellt zum einen klar, dass ein bloßer Verstoß gegen die Vorgaben der DSGVO für sich genommen keinen nach Art. 82 DSGVO ersatzfähigen Schaden begründet. Diese Argumentation hatten bislang viele Kläger in Schadensersatzprozessen angeführt. Insbesondere vertraten sie die Auffassung, dass sie keinen konkreten Schaden nachweisen müssten, um immateriellen Schadensersatz zu erhalten. Der bloße Verstoß gegen die DSGVO sei vielmehr ausreichend. Dieser extremen Auffassung erteilte der EuGH nun eine Absage. Ein vollumfänglicher Ausgleich erlittener Schäden erfordere nicht die Verhängung eines sogenannten Strafschadensersatzes.

Erfreulicherweise stellen die Luxemburger Richter auch klar, dass Kläger nicht von ihrer Beweislast befreit werden. Vielmehr müssten sie nachweisen, dass die Folgen eines Datenschutzverstoßes für sie einen immateriellen Schaden darstellen.

2.                  Keine Erheblichkeitsschwelle für DSGVO-Schadensersatz

Der EuGH betont in seiner Entscheidung aber zugleich auch, dass das Recht auf Schadensersatz die Durchsetzungskraft der in der DSGVO genannten Schutzvorschriften erhöhen soll. Art. 82 DSGVO ziele auch darauf ab, Verantwortliche von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.

In der Praxis haben Gerichte Schadensersatzforderungen häufig mit der Begründung abgewiesen, dass die von Klägern geltend gemachten Beeinträchtigungen Bagatellschäden beziehungsweise unerhebliche Schäden darstellten. Diese Möglichkeit hat der EuGH Gerichten nun genommen. Es stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch, wenn dieser Begriff auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht werden, könnte dies zu einer uneinheitlichen Rechtsanwendung in der Europäischen Union führen. Denn die Abstufung einer solchen Schwelle könnte je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen. Bei der Festsetzung der Höhe des Schadensersatzes können die nationalen Gerichte zwar ihre innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung anwenden. Dabei müssen sie nach Ansicht des EuGH aber unionsrechtliche Grundsätze beachten. Sie müssen insbesondere dafür Sorge tragen, dass der aufgrund eines Verstoßes gegen die DSGVO konkret erlittene Schaden in vollem Umfang ausgeglichen wird.

Folgen der Entscheidung

Als Folge des Urteils müssen sich Unternehmen noch mehr als bislang darauf einstellen, dass sie nach Datenpannen oder anderen möglichen Verstößen gegen die DSGVO Ziel von massenhaft geltend gemachten Schadensersatzforderungen werden könnten. Dadurch, dass der EuGH eine Erheblichkeitsschwelle ablehnt, werden auch Massenklagen wegen Bagatellschäden nun ein noch lukrativeres Geschäftsmodell. Bei der Verteidigung gegen derartige Ansprüche sollte man insbesondere darauf achten, ob eine Vielzahl von Klägern den angeblich erlittenen immateriellen Schaden mit gleichlautenden oder ähnlichen Textbausteinen geltend macht. Denn das Empfinden der Folgen eines einen einzelnen Kläger betreffenden Datenschutzverstoßes dürfte eine sehr individuelle Beeinträchtigung sein. Der Einsatz von Textbausteinen oder gleichlautenden Klageschriften ist damit ein starkes Argument gegen das tatsächliche Vorliegen eines immateriellen Schadens nach Art. 82 DSGVO. Allerdings sollte man sich auch darauf einstellen, dass Anwälte und Legal Tech-Unternehmen bei der Geltendmachung und Beschreibung der erlittenen Schäden künftig verstärkt Künstliche Intelligenz einsetzen werden, um Schriftsätze zu individualisieren.

Zwar dürfte mit dieser Entscheidung auf Unternehmen einiges zukommen. Insgesamt bleibt es aber erfreulicherweise bei den rechtsstaatlichen Vorgaben der Verfahrensordnungen der Mitgliedstaaten, in Deutschland also der Zivilprozessordnung. Daher haben Anwälte bei der Verteidigung von Unternehmen vor deutschen Gerichten immer noch eine Reihe von Möglichkeiten. Eine davon ist es, den behaupteten DSGVO-Verstoß zu widerlegen. Nach wie vor müssen Kläger zudem darlegen und nachweisen, dass der von ihnen ins Feld geführte Verstoß ursächlich für den geltend gemachten Schaden war(sogenannte Kausalität). Die Beweislast für das Vorliegen eines Verstoßes und die Kausalität liegt in solchen Verfahren nach wie vor bei Klägern. Unternehmensanwälte können hier auf Basis der Rechtsprechung des Bundesgerichtshofs zur abgestuften Darlegungs- und Beweislast Vieles erreichen.

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Latham & Watkins LLP | Attorney Advertising

Written by:

Latham & Watkins LLP
Latham & Watkins LLP
Contact
more
less

Latham & Watkins LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign Up Log in
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide