Was gibt es Neues bei Daten- und Technologie-Sammelklagen?, Martin Mikat, Christoph Werkmeister, Sarah Hillebrand
Daten- und Technologieunternehmen sehen sich seit einiger Zeit mit Klagen von Privatpersonen im Rahmen der Datenschutz-Grundverordnung (DSGVO) konfrontiert. Klagen können durch unbefugten Zugriff auf personenbezogene Daten oder durch andere Verstöße gegen die DSGVO entstehen. Besonders schwerwiegend werden DSGVO-bezogene Ansprüche für Unternehmen dann, wenn die Ansprüche im Wege einer Sammelklage verfolgt werden, da Sammelklagen hohe finanzielle Risiken mit sich bringen können. Die Umsetzung der EU-Vertreterklagenrichtlinie (RAD) hat in den meisten EU-Mitgliedstaaten (einschließlich Deutschland) zu neuen Gesetzen geführt, die die kollektive Durchsetzung fördern sollen und grundsätzlich auch für Ansprüche nach der DSGVO gelten.
In diesem Artikel untersuchen wir die aktuelle Landschaft der DSGVO-Sammelklagen in Deutschland und die möglichen Auswirkungen des RAD.
Rechte gemäß der Datenschutz-Grundverordnung
Personen, auf die sich personenbezogene Daten beziehen („betroffene Personen“), können ihre Rechte gemäß der EU-DSGVO auf zwei verschiedene Arten durchsetzen:
- Eine Beschwerde bei der Aufsichtsbehörde einreichen; oder
- Zivilbewegung.
Insbesondere können betroffene Personen nach der DSGVO Schadensersatz verlangen, wenn ihre personenbezogenen Daten nicht entsprechend den Anforderungen der DSGVO verarbeitet werden. In der Regel fordern Kläger eine Entschädigung für immaterielle Schäden (d. h. Schadensersatz für Schäden, die nicht wirtschaftliche Verluste darstellen, wie z. B. Bedrängnis oder emotionales Leid infolge des Verstoßes).
Mit Beschluss vom 4. Mai 2023)UI gegen Österreichische Post AGRechtssache C-300/21), entschied der Gerichtshof der Europäischen Union (EuGH), dass ein bloßer Verstoß gegen die DSGVO nicht automatisch einen Anspruch auf Schadensersatz begründet, sondern dass Kläger nachweisen müssen, dass ihnen dadurch ein ursächlicher Schaden entstanden ist aus dem angeblichen Verstoß (vgl. Unser Blog Hier). Der Europäische Gerichtshof stellt den nationalen Gerichten keine weiteren Leitlinien für die Entscheidung zur Verfügung, ob „Gefühle des Ärgers oder Unbehagens“, die aus einem „bloßen Kontrollverlust“ über personenbezogene Daten resultieren, einen entschädigbaren immateriellen Schaden darstellen. Daher bleiben die rechtlichen Voraussetzungen für die Anerkennung immaterieller Schäden im deutschen Recht weitgehend unklar.
Kollektive Umsetzung der Datenschutzbestimmungen nach deutschem Recht
Das deutsche Recht sieht mehrere Mechanismen zur kollektiven Durchsetzung von Datenschutzvorschriften vor:
- Hierzu zählen vor allem Maßnahmen nach Verbotsklagengesetz (Unterlassungsklagengesetz, UKlaG) f Unlauterer Wetbjörp-Gesitz (UWG). In beiden Fällen können qualifizierte Einrichtungen die Rechte im Namen der Verbraucher durchsetzen. Nach dem UKlaG können Unternehmen auf Unterlassung geklagt werden, wenn sie gegen bestimmte Datenschutzbestimmungen verstoßen. Durch eine Sammelklage nach dem UWG können berechtigte Unternehmen eine Anordnung beantragen, mit der Unternehmen aufgefordert werden, illegale Geschäfte zu unterbinden.
- Eine weitere theoretisch mögliche Option, deren Relevanz in der Praxis datenschutzrechtlicher Streitigkeiten bislang noch nicht nachgewiesen ist, ist das „feststellende Musterverfahren“. Seit seiner Einführung im Jahr 2018 wurden im öffentlichen Musterverfahrensregister lediglich etwa 30 deklaratorische Musterverfahren veröffentlicht. Die Musterfeststellungsklage wurde ursprünglich als Reaktion auf die wachsende Zahl von Sammelklagen eingeführt und ermöglicht es berechtigten Unternehmen, im Namen von Verbrauchern eine Feststellungsklage zu erheben. Im Gegensatz zu Verfahren im Rahmen der Rechtsvorschriften zur Umsetzung des RAD-Gesetzes (siehe unten) müssen hier zwei Ansprüche geltend gemacht werden: Zum einen muss eine Musterfeststellungsklage von einer deklarationsberechtigten Stelle erhoben werden, zum anderen muss ein Schadensersatzanspruch erhoben werden durch eine geschädigte Person, die Entschädigung beantragt. Entschädigung auf der Grundlage der vorherigen Feststellungsentscheidung.
- Hervorzuheben ist hier das EU-RAD-Gesetz, das am 25. Juni 2023 in Kraft trat. Das RAD soll Sammelklagen/Sammelklagen für Verbraucher in der EU erleichtern. RAD, das nun auch in Deutschland implementiert wurde (siehe unseren vorherigen Blog). Hier) kann zu einem erhöhten Risiko kollektiver Maßnahmen für Unternehmen führen, die Opfer einer Datenschutzverletzung werden, von der viele Menschen betroffen sind. Allerdings gibt es viele Fragen zur Umsetzung des RAD und seiner Wechselwirkung mit der DSGVO in Deutschland, die möglicherweise vor Gericht geprüft werden müssen. Darüber hinaus sind Sammelklagen im Rahmen der Gesetzgebung zur Umsetzung des RAD nur möglich, wenn die geltend gemachten Ansprüche hinreichend „ähnlich“ sind. Im Falle einer Datenschutzverletzung müssen Sie zunächst prüfen, ob der behauptete Schaden für jeden Kläger derselbe ist. Dies kann in manchen Fällen schwierig sein, da immaterielle Schäden sehr persönlicher und individueller Natur sind.
Kollektiver Rechtsschutz durch Verzichtsmodelle
In Deutschland kann nach einer Datenschutzverletzung auch Sammelklage von privaten Anbietern beantragt werden, die ihre Ansprüche über „Abtretungsformulare“ durchsetzen wollen (die aus der Bündelung von Ansprüchen mit einer Zweckgesellschaft per Verzicht bestehen). Nach deutschem Recht ist die Veräußerung und Abtretung von Forderungen an Dritte grundsätzlich möglich. Grundsätzlich ist es auch möglich, Forderungen an einen sogenannten „Inkasso“ abzutreten, eine juristische Person, deren alleiniger Zweck darin besteht, Forderungen einzutreiben und gerichtlich durchzusetzen. Allerdings besteht nach deutschem Recht Uneinigkeit darüber, ob ideelle Schadensersatzansprüche nach der DSGVO abgetreten werden können. Einige argumentieren, dass auf den Anspruch nicht verzichtet werden könne, da er sehr persönlicher Natur sei. Es bleibt abzuwarten, wie die deutschen Gerichte in dieser Frage entscheiden werden. Das Ergebnis dürfte darüber entscheiden, ob sich Verzichtsformulare als praktikabler Mechanismus zur Geltendmachung kollektiver Datenschutzansprüche erweisen werden.
Aussichten
In den nächsten Monaten wird es große Veränderungen in der Daten- und Technologie-Rechtsstreitlandschaft in Deutschland (und über RAD auch im Rest der EU) geben. Welche Auswirkungen dies hat, bleibt abzuwarten. Für Prozessfinanzierer könnte sich die Einführung von RAD in Deutschland als unattraktiv erweisen, da ihre Gebühren gesetzlich begrenzt sind. Somit können Prozessfinanzierer weiterhin über ausreichende (finanzielle) Anreize verfügen, weiterhin Ansprüche mithilfe bestehender Mechanismen wie etwa eines Verzichtsformulars oder durch die Verfolgung individueller Klagen einzureichen. Bei auf das Verbraucherschutzrecht spezialisierten Anwaltskanzleien wird sich mit der Zeit zeigen, ob sie weiterhin Einzelklagen einreichen oder ob sie anderen Möglichkeiten den Vorzug geben. Ob aufgrund individueller Klagen oder Sammelklagen: Zivilrechtliche Rechtsstreitigkeiten im Bereich des Datenschutz- und Datenschutzrechts werden voraussichtlich zunehmen.
Bierfan. TV-Wegbereiter. Alkoholiker. Allgemeiner Zombie-Evangelist. Total-Reiseleiter