Gibt der EuGH den Weg frei für datenschutzrechtliche Massenklagen?

Constanze Köttgen, Stefan Patzer
Latham & Watkins LLP
Contact
LinkedIn
Facebook
X
Send
Embed

Latham & Watkins LLP

Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) die Frage zur Entscheidung vorgelegt, inwieweit Verbraucherschutzverbände berechtigt sind, Datenschutzverstöße geltend zu machen. Die Antwort auf diese Frage wird erhebliche Auswirkungen darauf haben, in welchem Umfang Unternehmen künftig wegen tatsächlichen oder vermuteten Datenschutzverstößen in Anspruch genommen werden. Mit seinem Vorlagebeschluss vom 28. Mai 2020 (I ZR 186/17) hat der BGH eine Debatte befeuert, die Datenschutzexperten schon seit Inkrafttreten der DSGVO beschäftigt. Dürfen sich Verbraucherschutzverbände zur Geltendmachung von Datenschutzverstößen auf nationale Vorschriften berufen oder sind die Regelungen der DSGVO abschließend? Die Auswirkungen dieser Frage für Unternehmen sind nicht zu unterschätzen, da die in der DSGVO ausdrücklich geregelten Klagemöglichkeiten deutlich restriktiver sind als nach deutschem Recht.

Rückgriff auf nationale Verbandsklagebefugnisse zur Durchsetzung der DSGVO?

Ausgangspunkt der aktuellen Vorlageentscheidung ist ein Rechtsstreit zwischen dem Verbraucherzentrale Bundesverband e.V. (vzbv) und der Facebook-Niederlassung in Irland. Der vzbv wirft Facebook eine unzulässige Weitergabe von Nutzerdaten an Drittanbieter vor und klagt auf Unterlassung. Dabei stützt sich der vzbv auf nationale Vorschriften aus dem Gesetz gegen Unlauteren Wettbewerb (UWG) sowie dem Unterlassungsklagegesetz (UKlaG) –. Die Vorinstanzen haben dem vzbv Recht gegeben. Der BGH indes hat Zweifel, ob der vzbv den Verstoß im Namen der Nutzer geltend machen darf.

Entscheidung des EuGH zur Datenschutz-Richtlinie

Der EuGH hatte im Juli 2019 bereits über eine ähnliche Frage zu entscheiden. In der dortigen Vorlage des Oberlandesgerichts Düsseldorf kam es auf die Auslegung der Vorgängerregelung der DSGVO an, der Datenschutz-Richtlinie (Richtlinie 95/46/EG). In Frage stand, ob diese der im deutschen UWG vorgesehenen Klagebefugnis gemeinnütziger Verbände entgegensteht. Der EuGH verneinte eine Sperrwirkung und bestätigte, dass die damals geltende Datenschutz-Richtlinie nationale Regeln zur Klagebefugnis gemeinnütziger Verbände nicht ausschließe („Fashion ID“, EuGH, Urt. v. 29.07.2019, Az. C-40/17).

Vorlage an den EuGH

Zur Rechtslage unter der DSGVO hat sich der EuGH in dieser Entscheidung allerdings nicht geäußert und auch ansonsten lassen sich aus der Entscheidung keine unmittelbaren Rückschlüsse auf die Rechtslage unter der DSGVO ziehen. Anders als die Datenschutz-Richtlinie enthält die DSGVO ausdrückliche Regelungen zur Klagebefugnis. Sie erlaubt ein Vorgehen durch einen Verbraucherschutzverband nur, wenn dieser im Bereich des Datenschutzrechts tätig ist und eine Verletzung subjektiver Rechte der betroffenen Person geltend macht. Die Voraussetzungen sind damit deutlich enger als nach UWG und UKlaG, die bereits jede objektive Rechtsverletzung genügen lassen und keine Tätigkeit im Bereich des Datenschutzrechts verlangen.

Risiko Datenschutzverstoß

Der Entscheidung des EuGH kommt daher hohe praktische Relevanz zu. Sie wird bestimmen, welche Folgen Datenschutzverstöße für Unternehmen nach sich ziehen können. Dies ist eine entscheidende Weichenstellung dafür, ob sich die seit Inkrafttreten der DSGVO im Mai 2018 angestiegenen Haftungsrisiken für Unternehmen weiter verschärfen.

  • So sind die Bußgelder seit Inkrafttreten der DSGVO dramatisch gestiegen. Drohte vorher maximal ein Bußgeld von EUR 300.000,00, haben die deutschen Datenschutzbehörden in zwei Fällen bereits Bußgelder von mehr als EUR 10 Mio. verhängt, in Großbritannien hat die dortige Datenschutzbehörde in zwei Fällen sogar Bußgelder in Höhe von jeweils etwa EUR 200 Mio. und EUR 100 Mio. angekündigt.
  • Ein Blick ins Ausland bestärkt überdies die Befürchtungen vor datenschutzrechtlichen Massenklagen. Erst Anfang Juni wurde bekannt, dass Millionen Nutzer Google in den USA aufgrund angeblicher Datenschutzverstöße mit einer Sammelklage in Anspruch nehmen. Die Kläger verlangen USD 5.000,00 Schadensersatz. Pro Kopf, versteht sich. Eine solche amerikanische class action wird es zwar in Deutschland wohl auf absehbare Zeit nicht geben. Dafür haben findige Rechtsdienstleister andere Ansätze entwickelt, um datenschutzrechtliche Massenklagen zu ermöglichen. Sie bieten beispielsweise eine kostenlose Prüfung der Ansprüche an und vermitteln den Fall bei Aussicht auf Erfolg an einen kooperierenden Rechtsanwalt. Der Dienstleister erhält eine Erfolgsbeteiligung, der Verbraucher eine risikofreie Durchsetzung seiner Rechte. Durch Abtretungsmodelle lassen sich Ansprüche zudem ohne größeren Aufwand bündeln. Da bei Datenpannen häufig eine Vielzahl von Personen betroffen ist, können die Klageforderungen schnell beträchtliche Summen erreichen. Dies gilt insbesondere, weil die DSGVO ausdrücklich die Möglichkeit vorsieht, auch immaterielle Schäden einzuklagen – die Voraussetzungen und die Höhe solcher Ansprüche sind bislang nicht abschließend geklärt.
  • Sollte der EuGH in der anstehenden Entscheidung eine Sperrwirkung verneinen, wird dies auch Auswirkungen auf die weiteren Verbraucherrechte nach der geplanten EU-Verbandsklagerichtlinie. Abgesehen von den soeben beschriebenen Geschäftsmodellen einiger Rechtsdienstleister besteht nach deutschem Recht bislang keine Möglichkeit zur kollektiven Geltendmachung von Schadenersatzansprüchen. Und auch die DSGVO erlaubt die Geltendmachung von Schadensersatzansprüchen durch Datenschutzverbände nur bei nur bei ausdrücklicher Beauftragung durch den Betroffenen. Für die EU-Verbandsklage steht allerdings eine Regelung zur Diskussion, nach der Schadensersatzansprüche unter bestimmten Voraussetzungen ohne ein Mandat des Betroffenen geltend gemacht werden können. Sofern es zu einer solchen Regelung kommt und der EuGH eine Sperrwirkung der DSGVO verneint, würde das Risiko für Unternehmen deutlich ansteigen.

Fazit

Die aus Datenschutzverstößen folgenden Risiken für Unternehmen sind seit Inkrafttreten der DSGVO merklich gestiegen. Der EuGH wird nun darüber entscheiden, ob die Befugnisse von Verbraucherschutzverbänden zur Geltendmachung von Datenschutzverstößen weiter ausgedehnt werden. Aus Unternehmenssicht lohnt es sich, diese Entwicklung genau zu beobachten.

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Latham & Watkins LLP | Attorney Advertising

Written by:

Latham & Watkins LLP
Latham & Watkins LLP
Contact
more
less

PUBLISH YOUR CONTENT ON JD SUPRA NOW

  • Increased visibility
  • Actionable analytics
  • Ongoing guidance

Latham & Watkins LLP on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign Up Log in
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide