Unternehmen müssen künftig öfter auf Auskunftsanträge und Schadensersatzklagen reagieren. 

Kürzlich ist eine erste Plattform an den Start gegangen, die Verbraucher dabei unterstützen soll, ihre Betroffenenrechte nach der DSGVO geltend zu machen. Die in München ansässige „EuGD Europäische Gesellschaft für den Datenschutz mbH“ (EuGD) tritt als Vermittler zwischen Verbrauchern und PartnerKanzleien auf, welche die Verbraucher gegenüber Unternehmen vertreten. Die EuGD will es Verbrauchern erleichtern, Schadensersatzansprüche gegen Verantwortliche durchzusetzen.

Das Wichtigste auf einen Blick

  •  Immaterielle Schadensersatzansprüche wegen Datenschutzverstößen: Das Geschäftsmodell der EuGD beruht auf einer wichtigen Gesetzesänderung durch das neue Datenschutzrecht. Art. 82 DSGVO erlaubt es von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen, auch Nichtvermögensschäden wegen der unzulässigen Verarbeitung ihrer Daten einzuklagen. Anders als nach dem bisherigen deutschen Recht könnten Gerichte daher bereits die unzulässige Datenverarbeitung selbst als erstattungsfähigen Schaden bewerten.
  •  Dienstleister für Verbraucher: Die EuGD ermöglicht es Verbrauchern, ihre Ansprüche nach der DSGVO gegenüber Unternehmen ohne eigenes finanzielles Risiko durchzusetzen. Die Gesellschaft vermittelt Verbraucher an kooperierende Anwälte, welche die Verbraucher gegenüber Unternehmen rechtlich vertreten.
  •  Kein Kostenrisiko für Verbraucher: Verbraucher tragen laut Anbieter kein finanzielles Risiko, wenn sie die Dienstleistungen der EuGD in Anspruch nehmen. Sie müssen weder Anwalts- noch Prozesskosten tragen. Für den Fall einer erfolgreichen Schadensersatzforderung müssen die Verbraucher aber ein Viertel der ihnen zustehenden Schadensersatzsumme als Provision an die Betroffenenrechteplattform abtreten.
  •  Möglicherweise hoher Aufwand für Unternehmen: Für Daten verarbeitende Unternehmen kann dieses Geschäftsmodell einen hohen Aufwand nach sich ziehen. In Zukunft könnten mehr betroffene Personen gegenüber Unternehmen ihre Rechte geltend machen. Dies gilt umso mehr, da ihnen bei diesem Modell anscheinend kein finanzielles Risiko droht. Dementsprechend müssen Unternehmen künftig gegebenenfalls auf eine steigende Zahl von Betroffenenanfragen und Schadensersatzforderungen reagieren.
  •  Keine Institution der EU: Die EuGD ist keine Institution der EU, sondern ein privatwirtschaftlich organisiertes Unternehmen. Der Anbieter hat trotz seines offiziell klingenden Namens keine Untersuchungsbefugnisse wie z.B. die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten.

Durchsetzung von Betroffenenrechten als lukratives Geschäftsmodell?

Von einer Datenverarbeitung betroffene Personen haben gegenüber dem verantwortlichen Unternehmen nach den Art. 12 bis 22 DSGVO verschiedene Rechte, die sogenannten Betroffenenrechte. Beispielsweise muss ein verantwortliches Unternehmen betroffenen Personen auf ihren Antrag hin umfassend Auskunft über die Zwecke und sonstigen Umstände der Verarbeitung ihrer personenbezogenen Daten erteilen (sog. Auskunftsrecht – Art. 15 Abs. 1 DSGVO). Nach Art. 15 Abs. 3 Satz 1 DSGVO muss das datenschutzrechtlich verantwortliche Unternehmen betroffenen Personen zudem eine Kopie „der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ zur Verfügung stellen. Durch diese Rechte sollen betroffene Personen überprüfen können, ob sich Verantwortliche bei der Verarbeitung ihrer personenbezogenen Daten an die Vorgaben des Datenschutzrechts halten. 

Darüber hinaus haben betroffene Personen nach Art. 82 Abs. 1 DSGVO Anspruch auf Schadensersatz, wenn ein verantwortliches Unternehmen bei der Verarbeitung personenbezogenen Daten gegen das Datenschutzrecht verstoßen hat. Betroffene Personen können dabei sowohl für materielle, als auch für immaterielle Schäden Ersatz verlangen.

Die EuGD hat auf Grundlage der in der DSGVO vorgesehenen Betroffenenrechte ein wahrscheinlich lukratives Geschäftsmodell entwickelt. Das Portal vermittelt Verbraucher an Partner-Anwälte, welche gegenüber Unternehmen im Namen des jeweiligen Verbrauchers zunächst Auskunftsansprüche geltend machen. Die erteilten Auskünfte werten die Partner-Anwälte bzw. das Betroffenenrechteportal daraufhin aus, ob das entsprechende Unternehmen gegen das Datenschutzrecht verstoßen haben könnte. Geht die EuGD davon aus, einen möglichen Datenschutzverstoß erkannt zu haben, gibt sie eine entsprechende Einschätzung an die Verbraucher ab. Die Verbraucher können dann entscheiden, ob sie die EuGD weiter damit beauftragen, in ihrem Namen Schadensersatz von dem verantwortlichen Unternehmen zu fordern. Auf seiner Website nennt das Portal dabei unter anderem Schadensersatzforderungen im Zuge von großen, bereits bekannt gewordenen Datenpannen. Allerdings nimmt das Portal von Verbrauchern auch Hinweise auf sonstige Datenschutzverstöße entgegen.

Die Dienstleistungen der EuGD sind für Verbraucher offenbar grundsätzlich kostenlos. Anfallende Anwaltskosten und Prozesskosten werden von der EuGD selbst getragen. Lediglich im Fall eines erfolgreichen Schadensersatzverlangens muss der Verbraucher eine Provision an das Betroffenenrechteportal zahlen. Die Provision beträgt in diesem Fall ein Viertel der vom Gericht zugesprochenen Schadensersatzsumme.

Ähnliche auf der Durchsetzung von Verbraucherrechten basierende Geschäftsmodelle sind in anderen Rechtsgebieten bereits weit verbreitet. Beispielsweise bieten verschiedene Dienstleister für Verbraucher die Durchsetzung von Entschädigungsrechten nach der EU-Fluggastrechtverordnung an. Auch für den Bereich des Datenschutzrechts ist nicht unwahrscheinlich, dass weitere Betroffenenrechteportale in den Markt einsteigen werden.

Welche Risiken bestehen für Unternehmen?

Derzeit geht bei deutschen Gerichten noch eine überschaubare Anzahl von Klagen wegen Schadensersatzansprüchen aufgrund von tatsächlichen oder behaupteten Datenschutzverstößen ein. Allerdings könnten Anbieter wie die EuGD dies durchaus ändern. Eine Herausforderung bür beklagte Unternehmen ist dabei das sogenannte „Rechenschaftsprinzip“ der DSGVO. Danach müssen Unternehmen nachweisen können, dass sie die Vorgaben des Datenschutzes umsetzen. Es ist nicht unwahrscheinlich, dass Gerichte dies als Beweislastregel auslegen. Dann müssten Unternehmen vor Gericht beweisen können, dass sie die Daten des jeweiligen Klägers auf zulässige Weise verarbeitet haben.

Ein anderes Problem für Daten verarbeitende Unternehmen können mögliche Streuwirkungen sein. Oftmals treten Fehler nicht nur bei der Verarbeitung personenbezogener Daten einer einzelnen Person auf, sondern sie betreffen gleich eine Vielzahl möglicher Kläger. Ein typisches Beispiel hierfür sind Datenpannen oder sonstige Cybersecurity-Incidents, bei denen die Daten einer Vielzahl von Verbrauchern gehackt oder in sonstiger Weise offengelegt werden. Gerade nach der Verhängung von Bußgeldern oder Presseberichten über Datenschutzverstöße müssen sich Unternehmen eventuell auf eine Vielzahl von Klagen einstellen.

Datenschutzklagen als Geschäftsmodell?

Die EuGD ist ein privatwirtschaftlich organisiertes Unternehmen in Form einer GmbH. Als solche kann sie keine eigenen Betroffenenrechte nach der DSGVO geltend machen. Betroffenenrechte stehen nach der DSGVO nur natürlichen Personen wie z.B. Verbrauchern zu. Diese müssen das Betroffenenrechteportal mit der Durchsetzung ihrer Rechte beauftragen. Die EuGD nimmt also fremde Betroffenenrechte im Auftrag möglicher Kläger wahr.

Die Europäische Gesellschaft für Datenschutz mbH ist auch keine Institution oder sonstige Initiative der Europäischen Union. Auch wenn der Name einen entsprechenden Schluss zulassen könnte, hat das Portal keinerlei Verbindung zur Europäischen Union. Die EuGD hat auch keine Untersuchungsbefugnisse wie z.B. die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. 

Zukünftig höherer Aufwand für Unternehmen? 

In der Praxis kann die Tätigkeit von derartigen Datenschutzportalen zukünftig zu einem höheren Aufwand für Unternehmen führen. Erfahrungsgemäß machen Verbraucher ihnen zustehende Rechte häufiger geltend, wenn dies für sie nur mit einem geringen zeitlichen und finanziellen Aufwand verbunden ist. Portale zur Durchsetzung von DSGVO-Betroffenenrechten versprechen Verbrauchern einen solchen geringen Aufwand. Würden betroffene Personen die ihnen nach der DSGVO zustehenden Rechte selbst durchsetzen, wäre dies für sie in der Regel deutlich aufwändiger. Auch müssten Verbraucher ein finanzielles Risiko tragen, wenn sie selbst einen Anwalt beauftragen.

Unternehmen müssen hingegen damit rechnen, dass betroffene Personen – über die EuGD oder andere Portale – zukünftig häufiger Auskunftsanträge und gegebenenfalls Schadensersatzansprüche stellen. In der Praxis stellt die Bearbeitung von Massenanfragen Unternehmen nicht selten vor erhebliche Probleme. Gerade wenn die Presse über Datenpannen oder sonstige Verstöße gegen die DSGVO berichtet oder Datenschutzbehörden sogar Bußgelder verhängen, müssen sich die betroffenen Unternehmen mit einiger Wahrscheinlichkeit auf eine ganze Reihe möglicher Klagen einstellen. Es sind bereits einige Fälle bekannt geworden, in denen sich eine Vielzahl von Verbrauchern Klagen bereits nach der bloßen Ankündigung einer Behörde, ein Bußgeld zu verhängen, vorbereitet haben. Nähere Informationen dazu finden Sie auf unserem Blog.

Unternehmen sollten daher ausreichend personelle und technische Ressourcen bereithalten, um auf eine steigende Anzahl von Auskunftsanträgen und Schadensersatzverlangen reagieren zu können. Reagieren sie zu spät oder nicht ausreichend auf Eingaben von Betroffenen, können Datenschutzbehörden dies teilweise mit einem Bußgeld bestrafen. Derzeit dürfte das Geschäftsmodell der Betroffenenrechteportale im Datenschutzrecht zwar noch nicht allzu vielen Verbrauchern bekannt zu sein. Allerdings steht dieses Geschäftsmodell im Datenschutzrecht auch noch ganz am Anfang. In Zukunft könnten DSGVOBetroffenenrechteportale bei Verbrauchern wohl noch deutlich bekannter und verbreiteter als bislang werden. Daher kann es für Unternehmen empfehlenswert sein, entsprechende Ablaufpläne vorzubereiten, wie sie mit möglichen drohenden Klagen umgehen. Hier gilt es, Verantwortlichkeiten und Verteidigungsstrategien festzulegen, um im Ernstfall möglichst schnell und effizient handeln zu können. Gerade bei einer Vielzahl drohender Gerichtsverfahren ist es oftmals empfehlenswert, entsprechende Legal Tech-Anwendungen zu nutzen, die die Handhabung einer großen Anzahl paralleler Schadensersatzprozess massiv erleichtern können.