Das Umfeld für datenschutzrechtliche Sammelklagen wird seit Jahren immer klägerfreundlicher. Gerade die Geltendmachung von immateriellen Schadensersatzansprüchen nach Art. 82 DSGVO hat sich zu einem beliebten Geschäftsfeld entwickelt, das durch diverse Gerichtsentscheidungen und Maßnahmen des Gesetzgebers immer weiter beflügelt wurde. Die deutschen Datenschutzaufsichtsbehörden wollen die entsprechenden Klagebefugnisse von Verbraucherverbänden in Zukunft noch weiter stärken. Im Juni 2022 hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einstimmig den Beschluss gefasst, sich über weitere Klagemöglichkeiten mit der Verbraucherzentrale Bundesverband auszutauschen.

Die Schlussanträge des zuständigen Generalanwalts am EuGH Campos Sánchez-Bordona im Verfahren Rs. C-300/21 könnten insofern eine Trendwende einleiten, da sie strenge Anforderungen an die Geltendmachung von immateriellen datenschutzrechtlichen Schadensersatzansprüchen stellen.

Die bisherige Klagelandschaft

Bisher greifen Klägeranwälte zur kollektiven Durchsetzung von datenschutzrechtlichen Ansprüchen oft auf Abtretungsmodelle oder parallele Einzelklagen zurück. Spezialisierte Rechtsdienstleister und Klägeranwälte kaufen Verbrauchern ihre aus möglichen Datenschutzverstößen resultierenden Schadensersatzansprüche ab und machen sie gebündelt geltend oder übernehmen die Durchsetzung der Ansprüche gegen eine Erfolgsprovision. Dabei profitieren Kläger von der oft sehr klägerfreundlichen Auslegung des Anspruchs auf immateriellen Schadensersatz gemäß Art. 82 DSGVO. So lassen viele Gerichte jeden Verstoß gegen die DSGVO als Grundlage für einen Anspruch auf immateriellen Schadensersatz ausreichen und verzichten auf weitere Anforderungen an den Eintritt eines ersatzfähigen Schadens. Darüber hinaus messen sie dem Schadensersatzanspruch einen Sanktionscharakter bei, was in Deutschland dazu geführt hat, dass Gerichte auch für einfachste Verstöße Ansprüche bis zu EUR 5.000,00 zugesprochen haben.

Neue Möglichkeiten zur kollektiven Durchsetzung von DSGVO-Verstößen

„Echte“ Verbandsklagebefugnisse von Verbraucherverbänden und ähnlichen Organisationen sind im deutschen Recht bisher nur vereinzelt vorgesehen – so etwa im Unterlassungsklagengesetz (UKlaG). Ob die dortigen Verbandsklagebefugnisse auch zur Geltendmachung von datenschutzrechtlichen Verstößen greifen, ist seit Inkrafttreten der DSGVO umstritten. Mit seinem Urteil vom 28. April 2022 (C-319/20) hat der EuGH diese Frage zumindest teilweise bejaht und damit die Verbandsklagebefugnisse von Verbraucherverbänden im Datenschutzrecht gestärkt.

Konkret ging es in dem Verfahren um die Frage, ob die Vorschriften der DSGVO einer nationalen Regelung entgegenstehen, welche es Verbraucherverbänden erlaubt, unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person im Wege einer Unterlassungsklage gegen den Verletzer vorzugehen. Der EuGH hat entschieden, dass die Verbandsklagebefugnisse des UKlaG mit der DSGVO vereinbar sind. Das Urteil betrifft allerdings nur Unterlassungsklagen, nicht auch die kollektive Durchsetzung von Schadensersatzansprüchen.

Bei welcher Art von Verstößen gegen die DSGVO Verbraucherverbände zu Unterlassungsklagen berechtigt sind, ist jedoch noch nicht endgültig geklärt. Nach Beantwortung seines ersten Vorabentscheidungsersuchens hat der BGH hat den EuGH im selben Verfahren nun das zweite Mal angerufen. Mit Beschluss vom 10. November 2022 (I ZR 186/17) hat er dem EuGH die Frage vorgelegt, ob die Verbände auch dann klagebefugt sein können, wenn sie annehmen, der Beklagte habe gegen Informationspflichten nach Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 lit. c und e DSGVO verstoßen. Hintergrund dieser Vorlagefrage ist, dass der EuGH in seinem Urteil vom 28. April 2022 (C-319/20) entschieden hat, dass ein Verband dann klagebefugt sein kann, wenn er geltend macht, die Rechte betroffener Personen seien „infolge einer Verarbeitung“ verletzt worden. Ob auch die Verletzung von Informationspflichten eine Rechtsverletzung „infolge einer Verarbeitung“ darstellt, muss nun erneut der EuGH entscheiden.

Weitere Schützenhilfe für Klägeranwälte durch Verbandsklagen-Richtlinie

Weiterer Rückenwind für datenschutzrechtliche Sammelklagen ist durch die zum Ende des Jahres umzusetzende Verbandsklagen-Richtlinie zu erwarten. Durch diese Richtlinie wird im deutschen Recht künftig erstmalig eine auf Schadensersatz gerichtete Verbandsklage möglich sein. Die Richtlinie ist bis zum 25. Dezember 2022 in nationales Recht umzusetzen. Bis Mitte 2023 müssen die Vorschriften in Kraft treten.

Kurz vor Ablauf der Umsetzungsfrist liegt nun ein erster Referentenentwurf des Bundesjustizministeriums zur Umsetzung der Richtlinie vor. Der Entwurf fasst die im deutschen Recht bereits vorgesehene Musterfeststellungsklage und die von der Verbandsklagen-Richtlinie vorgegebene sog. Abhilfeklage, die insbesondere der Durchsetzung von Schadensersatzansprüchen dient, in einem neuen Verbraucherrechtedurchsetzungsgesetz (VDuG) zusammen. Bestimmte qualifizierte Einrichtungen können nach dem Entwurf Ansprüche jeglichen Gegenstands für eine Vielzahl von Verbrauchern und kleinen Unternehmen gemeinsam geltend machen, soweit die Ansprüche „gleichartig“ sind.

Die Kriterien, die die qualifizierten Verbraucherverbände erfüllen müssen, um klageberechtigt zu sein, entsprechen denjenigen, die bisher für die Musterfeststellungsklage galten. Die Anforderungen sind hoch. So muss der Verband eine signifikante Mitgliederzahl (350 natürliche Personen oder zehn Verbände) haben, seit mindestens vier Jahren bestehen und darf nicht auf Gewinnerzielung ausgerichtet sein.

Der Gesetzgeber erhofft sich, die Justiz mit dem VDuG von Massenklagen zu entlasten. Ob das gelingt und wie sich die in den letzten Jahren von verschiedenen Rechtsdienstleistern ausgebildeten Klagemodelle zur kollektiven Geltendmachung von datenschutzbezogenen Schadensersatzansprüchen entwickeln, wird sich zeigen. Diese bleiben auch nach Inkrafttreten des VDuG weiter möglich.

Trendwende durch bevorstehende EuGH-Entscheidung?

In diesem immer klägerfreundlicheren Umfeld haben die Schlussanträge des Generalanwalts Campos Sánchez-Bordona vom 6. Oktober 2022 in der Rechtssache C-300/21 aufhorchen lassen und könnten eine Trendwende einläuten. Im Gegensatz zu der bisher oft von mitgliedstaatlichen Gerichten vertretenen weiten Auslegung des Anspruchs auf immateriellen Schadensersatz spricht sich der Generalanwalt nun für ein restriktiveres Verständnis aus. Er ist der Auffassung, dass Verstöße gegen die DSGVO und die Verärgerung darüber für sich genommen noch keinen Schadensersatzanspruch begründen könnten. Nach seinem Dafürhalten bereite „Schadensersatz ohne Schaden (…) offenkundige Schwierigkeiten.“ Das Hauptziel von Art. 82 DSGVO liege darin, der betroffenen Person einen vollständigen und wirksamen Ersatz für den tatsächlich erlittenen Schaden zu verschaffen. Damit ein ersatzfähiger immaterieller Schaden vorliege, müsse die jeweilige Rechtsverletzung ein gewisses Gewicht haben. Andernfalls zöge ein bloßes „Unmutsgefühl“ Schadensersatzansprüche nach sich. Das komme dem „bereits abgelehnten Schadensersatz ohne Schaden recht nahe“. Selbiges gelte für den von Klägeranwälten als Konsequenz eines Datenlecks oft angeführten „Kontrollverlust“. Auch dieser reiche nach Auffassung des Generalanwalts für sich genommen nicht zur Begründung eines immateriellen Schadens. Wann im Einzelfall die Erheblichkeitsschwelle für das Vorliegen eines ersatzfähigen Schadens überschritten wird, sollen nach Meinung des Generalanwalts die mitgliedsstaatlichen Gerichte entscheiden.

Schließlich erteilt der Generalanwalt auch Forderungen nach der Annahme eines Strafschadensersatzes eine klare Absage. Art. 82 Abs. 1 DSGVO bezwecke nicht, Unternehmen für datenschutzwidriges Verhalten zu sanktionieren. Der Ausgleich eines entstandenen Schadens durch Art. 82 DSGVO und die Bestrafung in Form von Geldbußen seien in der DSGVO klar voneinander getrennt.

Ausblick und Praxistipps

Gerade für datenschutzrechtliche Sammelklagen sind die obigen Fragen zum Vorliegen eines ersatzfähigen Schadens von erheblicher Bedeutung. Als Konsequenz der Auffassung des Generalanwalts müssten die Kläger deutlich detaillierter vortragen, welche konkreten Schäden jeder einzelne Betroffene erlittenen hat. Der pauschale Verweis auf eine Verärgerung der Kunden oder einen Kontrollverlust würde jedenfalls nicht mehr genügen, sofern der EuGH den Schlussanträgen des Generalanwalts folgen sollte. Es stellt sich zudem die Frage, inwieweit die Ansprüche noch „gleichartig“ wären und gebündelt geltend gemacht werden könnten.

Die Positionierung des EuGH bleibt abzuwarten. In den meisten Fällen folgt er zwar den Anträgen seiner Generalanwältinnen und Generalanwälte. Andererseits hat der EuGH in der Vergangenheit häufig eher „datenschutzfreundlich“ entschieden, sodass hierzu auch eine abweichende Entscheidung in Betracht kommt. Sofern der EuGH anders als der Generalanwalt einen klägerfreundlichen Ansatz vertritt, wird dies in Kombination mit der Umsetzung der Verbandsklagen-Richtlinie die kollektive Durchsetzung von Schadensersatzansprüchen erheblich erleichtern. All dies macht eine sorgfältige Datenschutz-Compliance und eine entsprechende Dokumentation für Unternehmen inzwischen unerlässlich. Im Idealfall lassen sich hierdurch Schadensersatzklagen weitgehend vermeiden, jedenfalls aber erleichtert es die Verteidigung im Klagefall deutlich.