Daten- und Technologieunternehmen sind seit einiger Zeit mit Klagen von Einzelpersonen im Rahmen der DSGVO konfrontiert. Streitigkeiten können durch unbefugten Zugriff auf personenbezogene Daten oder andere DSGVO-Verstöße ausgelöst werden. Besonders schwerwiegend werden Klagen im Zusammenhang mit der DSGVO für Unternehmen, wenn sie im Rahmen einer Sammelklage eingereicht werden, da massive Klagen zu hohen finanziellen Risiken führen können. Die Umsetzung der Europäischen Verbandsklagenrichtlinie (RAD) hat in den meisten EU-Mitgliedstaaten (einschließlich Deutschland) zu neuen Gesetzen geführt, die auf die Förderung der kollektiven Durchsetzung abzielen und grundsätzlich auch für Beschwerden nach der DSGVO gelten.

In diesem Artikel untersuchen wir die aktuelle Landschaft der Massenklagen nach DSGVO in Deutschland und die wahrscheinlichen Auswirkungen von ADR.

Rechte nach der DSGVO

Betroffene Personen („betroffene Personen“) können ihre Rechte nach der EU-DSGVO auf zwei verschiedene Arten geltend machen:

• eine Beschwerde bei einer Aufsichtsbehörde einreichen; Oder
• Zivilklage.

Insbesondere können betroffene Personen nach der DSGVO Schadensersatz verlangen, wenn ihre personenbezogenen Daten nicht entsprechend den Anforderungen der DSGVO verarbeitet wurden. In der Regel fordern Kläger eine Entschädigung für moralische Schäden (d. h. Schadensersatz für andere Schäden als wirtschaftliche Verluste, wie z. B. durch die Straftat verursachte Not oder emotionales Leid).

In seiner Entscheidung vom 4. Mai 2023 (UI vs. Österreichische Post AGIn der Rechtssache C-300/21 entschied der Gerichtshof der Europäischen Union (EuGH), dass ein einfacher Verstoß gegen die DSGVO nicht automatisch einen Anspruch auf Schadensersatz begründet, sondern dass Kläger nachweisen müssen, dass ihnen durch den angeblichen Verstoß ein ursächlicher Schaden entstanden ist (siehe unseren Blogbeitrag Hier). Der EuGH bietet den nationalen Gerichten keine zusätzlichen Leitlinien zur Feststellung, ob „Gefühle der Verlegenheit oder des Unbehagens“, die beispielsweise aus dem „einfachen Verlust der Kontrolle“ über personenbezogene Daten resultieren, einen moralischen Schaden darstellen, der zu einer Entschädigung führt. Daher bleiben die rechtlichen Voraussetzungen für die Anerkennung eines immateriellen Schadens im deutschen Recht weitgehend unklar.

Kollektive Anwendung der Datenschutzbestimmungen nach deutschem Recht

Das deutsche Recht sieht mehrere Mechanismen für die kollektive Anwendung von Datenschutzvorschriften vor:

• Es handelt sich vor allem um eine Aktion im Rahmen der Unterlassungsklagengesetz (Unterlassungsklagengesetz, UKlaG) und das Unlauterer Wettbewerbsgesetz (UWG). In beiden Fällen können qualifizierte Stellen ihre Rechte im Namen der Verbraucher geltend machen. Nach dem UKlaG können Unternehmen wegen Verstößen gegen bestimmte Datenschutzbestimmungen gerichtlich auf Unterlassung klagen. Durch Sammelklagen nach dem UWG können qualifizierte Einrichtungen eine Anordnung beantragen, mit der Unternehmen aufgefordert werden, ihre rechtswidrigen Geschäftshandlungen einzustellen.
• Eine weitere theoretisch mögliche Option – die sich in der datenschutzrechtlichen Praxis bislang jedoch nicht als relevant erwiesen hat – ist die „Musterfeststellungsklage“. Seit seiner Einführung im Jahr 2018 wurden lediglich rund dreißig deklarative Musterklagen im öffentlichen Musterklagenregister veröffentlicht. Das Feststellungsklagemodell wurde ursprünglich als Reaktion auf die zunehmende Zahl von Massenverfahren eingeführt und ermöglicht es qualifizierten Stellen, im Namen von Verbrauchern Feststellungsklagen zu erheben. Im Gegensatz zu Klagen im Rahmen der Gesetze zur Umsetzung der SAR (siehe unten) müssen hier zwei Anträge gestellt werden: Zum einen muss eine Musterfeststellungsklage von einer qualifizierten Stelle eingereicht werden, um ein Feststellungsurteil zu erwirken, und zum anderen muss eine Schadensersatzklage von einer qualifizierten Stelle eingereicht werden Der Betroffene verlangt Schadensersatz auf der Grundlage des vorangegangenen Feststellungsurteils.
• Erwähnenswert ist hier die EU-FDR, die am 25. Juni 2023 in Kraft trat. Die FDR soll Massenbeschwerden und Sammelklagen von Verbrauchern in der EU erleichtern. RAD, jetzt in Deutschland implementiert (siehe unseren vorherigen Blogartikel). Hier) kann zu einem erhöhten Risiko einer Sammelklage für Unternehmen führen, die von einer Datenschutzverletzung betroffen sind, von der viele Einzelpersonen betroffen sind. Allerdings gibt es verschiedene Fragen dazu, wie die Umsetzung von ADR in Deutschland tatsächlich funktionieren und mit der DSGVO interagieren wird, Fragen, die möglicherweise vor Gericht geprüft werden müssen. Darüber hinaus sind Sammelklagen im Rahmen der Gesetze zur Umsetzung der SAR nur möglich, wenn die verfolgten Ansprüche hinreichend „ähnlich“ sind. Im Falle einer Datenschutzverletzung muss daher zunächst geprüft werden, ob der behauptete Schaden für jeden Antragsteller derselbe ist. Dies kann sich in manchen Fällen als schwierig erweisen, da moralischer Schaden höchst subjektiver und individueller Natur ist.

Sammelklage unter Verwendung von Zuweisungsmodellen

In Deutschland können nach einem Datenschutzverstoß auch Sammelklagen von privaten Anbietern angestrengt werden, die ihre Ansprüche durch „Abtretungsmodelle“ (die darin bestehen, Ansprüche mit einer Zweckgesellschaft durch Abtretung zu bündeln) durchsetzen wollen. Nach deutschem Recht ist die Veräußerung und Abtretung von Forderungen an Dritte grundsätzlich möglich. Grundsätzlich ist es auch möglich, Schulden an ein Ad-hoc-Inkassounternehmen abzutreten, bei dem es sich um eine juristische Person handelt, deren alleiniger Zweck die Konsolidierung und gerichtliche Durchsetzung von Schulden ist. Das deutsche Recht bestreitet jedoch die Möglichkeit der Abtretung immaterieller Schadensersatzansprüche nach der DSGVO. Einige argumentieren, dass die Schuld nicht abgetreten werden könne, da sie höchst persönlicher Natur sei. Es bleibt abzuwarten, wie die deutschen Gerichte zu dieser Frage entscheiden werden, deren Ausgang voraussichtlich darüber entscheiden wird, ob sich Abtretungsmodelle als tragfähiger Mechanismus zur Durchsetzung kollektiver Datenschutzansprüche erweisen werden.

Ausblick

In den kommenden Monaten wird es erhebliche Veränderungen in der Daten- und Technologie-Rechtsstreitlandschaft in Deutschland (und über ADR auch im Rest der EU) geben. Die Auswirkungen bleiben abzuwarten. Für Prozessfinanzierer könnte sich die Einführung von ADR in Deutschland als unattraktiv erweisen, da ihre Gebühren gesetzlich begrenzt sind. Daher besteht für Prozessfinanzierer möglicherweise weiterhin ein ausreichender (finanzieller) Anreiz, weiterhin Ansprüche über bestehende Mechanismen wie das Abtretungsmodell oder die Verfolgung individueller Klagen einzureichen. Bei auf das Verbraucherrecht spezialisierten Anwaltskanzleien wird sich mit der Zeit zeigen, ob sie weiterhin Einzelklagen geltend machen oder ob sie andere Möglichkeiten bevorzugen. Ob Einzelklagen oder Sammelklagen: Es ist wahrscheinlich, dass sich zivilrechtliche Streitigkeiten im Bereich des Datenschutzrechts und des Datenschutzes entwickeln.