Der EuGH hat Ende April die Klagebefugnisse von Verbraucherschutzverbänden gestärkt, weitere richtungsweisende Entscheidungen stehen bevor.

Seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) haben Massenklagen wegen Datenschutzverstößen kontinuierlich zugenommen. Neben den traditionell auf diesem Gebiet tätigen Verbraucherschutzverbänden tummeln sich seit einiger Zeit auch zahlreiche Rechtsdienstleister, Legal Tech-Unternehmen und Prozessfinanzierer, die Verbrauchern gegen eine Beteiligung am Erlös die Durchsetzung ihrer Ansprüche anbieten. Viele der damit zusammenhängenden Fragen warten indes noch auf Klärung durch den Europäischen Gerichtshof (EuGH). Die zeitnah anstehenden Entscheidungen werden Aufschluss geben, wie es mit dem neuen Geschäftsfeld der datenschutzbezogenen Sammelklagen weitergeht, und ob sich die privaten Anbieter dauerhaft etablieren können.

Darüber hinaus stehen aber auch für die Verbraucherschutzverbände grundlegende Änderungen an, insbesondere durch die anstehende Umsetzung der EU-Verbandsklage in deutsches Recht. In seinem Urteil vom 28. April 2022 (C-319/20) hat der EuGH die Rolle der Verbraucherschutzverbände vorerst gestärkt. Sie können Datenschutzverstöße fortan auch ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte der betroffenen Personen geltend machen.

EuGH erweitert Klagebefugnisse von Verbraucherschutzverbänden

Ausgangspunkt ist eine noch vor Inkrafttreten der DSGVO angestrengte Klage des Verbraucherzentrale Bundesverband e.V. auf Unterlassung der Weitergabe von Nutzerdaten. Die Klagebefugnis stützt sich auf nationale Vorschriften, die Verbraucherschutzverbänden eine Klage auch ohne Auftrag der Betroffenen erlauben. Der Bundesgerichtshof war sich allerdings unsicher, ob der Rückgriff auf diese Vorschriften zulässig ist. Denn auch die DSGVO sieht Verbandsklagebefugnisse vor, die hier allerdings nicht erfüllt sind.

Der EuGH hat eine derartige Sperrwirkung der DSGVO nunmehr abgelehnt und die Erwartungshaltung der meisten Experten bestätigt. Bereits zur Vorgängerregelung der DSGVO, der EU-Datenschutzrichtlinie, hatte der EuGH ähnlich entschieden und auch der Generalanwalt hatte sich in seinen Schlussanträgen im Dezember 2021 gegen eine Sperrwirkung ausgesprochen. Die DSGVO verfolge zwar im Ausgangspunkt das Ziel, eine vollständige Harmonisierung der nationalen Rechtsvorschriften herbeizuführen. Allerdings sehe sie an diversen Stellen sogenannte „Öffnungsklauseln“ vor, wonach die Mitgliedstaaten den nationalen Besonderheiten Rechnung tragen und zusätzliche Regelungen treffen können – so auch mit Blick auf die Klagebefugnis von Verbänden. Nach Ansicht des EuGH seien die in Deutschland geltenden Vorschriften nicht zu beanstanden, da sie im Einklang mit den Zielen der DSGVO stehen und dazu beitragen, „die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten“.

Umsetzung der EU-Verbandsklage wird Verbraucherschutzverbände weiter stärken

Die bis Ende 2022 in deutsches Recht umzusetzende EU-Verbandsklage wird zusätzliche Änderungen bringen. Ähnlich wie bei der nach dem Dieselskandal geschaffenen Musterfeststellungsklage haben sog. qualifizierte Einrichtungen die Möglichkeit, Verbraucherinteressen durch Verbandsklagen durchzusetzen. Anders als bislang werden sie aber nicht länger darauf beschränkt sein, die Unterlassung des Rechtsverstoßes oder seine Feststellung zu beantragen. Künftig können sie direkt auf Entschädigung klagen – auch bei Datenschutzverstößen. Ein Gesetzesentwurf liegt bisher allerdings noch nicht vor und um die genaue Ausgestaltung wird zwischen den verschiedenen Interessengruppen heftig gerungen. Im Kern geht es darum, welche Verbände und Vereinigungen in den Genuss dieser neuen Rechte kommen sollen. Bislang gibt es keinen einheitlichen Ansatz. Während etwa im Bereich des Wettbewerbsrechts eine sehr weitreichende Klagebefugnis der Verbände besteht, stellt die Musterfeststellungsklage deutlich restriktivere Anforderungen. Der deutsche Gesetzgeber steht daher vor der Frage, ob er an dieser differenzierten Ausgestaltung festhalten möchte oder das System des kollektiven Rechtsschutzes insgesamt überarbeitet. Wenig überraschend befürworten die Verbraucherschutzverbände selbst eine weitreichende Klagebefugnis, während sich die Wirtschaftsverbände für einen Gleichlauf mit der Musterfeststellungsklage aussprechen.

Weitere Grundsatzentscheidungen stehen vor der Tür

Für die Legal Tech-Unternehmen und Prozessfinanzierer, die sich auf die kollektive Geltendmachung von datenschutzbezogenen Schadensersatzansprüchen spezialisiert haben, stehen ebenfalls entscheidende Monate an. Den Kern ihres Geschäftsmodells bildet die Durchsetzung von Ansprüchen wegen immaterieller Schäden, die im deutschen Rechtsraum traditionell eine eher untergeordnete Rolle gespielt haben. Die DSGVO hat dies geändert und erkennt Betroffenen ausdrücklich einen Schadensersatzanspruch auch für immaterielle Schäden zu. Die genauen Voraussetzungen sind allerdings unklar und die Rechtsprechung in Deutschland wie auch in den anderen Mitgliedstaaten ist sich uneins. Daher überrascht es nicht, dass es allein im Jahr 2021 fünf Vorabentscheidungsersuchen zur Reichweite des Schadensersatzanspruchs nach der DSGVO gab – drei davon aus Deutschland.

Dabei geht es zunächst um die Verteilung der Darlegungs- und Beweislast. Diese liegt nach deutschem Recht im Grundsatz beim Anspruchsteller, der nachweisen oder jedenfalls konkrete Anhaltspunkte für eine Pflichtverletzung des beklagten Unternehmens darlegen muss. Unklar ist allerdings, ob deutsche Gerichte diese Grundsätze auch für Schadensersatzansprüche nach der DSGVO zugrunde legen dürfen, da diese im Ausgangspunkt einen eigenständigen europäischen Anspruch und ein europaweit vergleichbares Schutzniveau schaffen möchte. Ebenso wie bei seiner Entscheidung zur Klagebefugnis von Verbraucherschutzverbänden muss der EuGH sich damit erneut mit dem Verhältnis zwischen nationalem Recht und der DSGVO auseinandersetzen und entscheiden, inwieweit die DSGVO die nationalen Regelungen überlagert.

Mindestens ebenso spannend sind die weiteren Vorlagefragen im Zusammenhang damit, welche immateriellen Schäden zu ersetzen sind. Die bislang hierzu vertretenen Auffassungen könnten kaum unterschiedlicher sein. Auf der einen Seite finden sich Forderungen, wonach jeder Datenschutzverstoß automatisch einen immateriellen Schadensersatzanspruch begründen soll. Aus generalpräventiven Erwägungen solle dieser Anspruch möglichst hoch sein, um vor künftigen Datenschutzverstößen abzuschrecken. Am anderen Ende des Spektrums stehen diejenigen, die sich für eine Bagatellschwelle aussprechen und eine gewisse „Spürbarkeit“ der Beeinträchtigung verlangen, bevor ein Schadensersatzanspruch besteht.

Der EuGH hat sich bei seiner jüngsten Entscheidung nicht in die Karten schauen lassen. Wie er sich künftig zu DSGVO-Schadensersatzforderungen positioniert, wird erhebliche Auswirkungen auf das Geschäftsmodell der datenschutzrechtlichen Massenverfahren haben. Befürwortet der EuGH eine weitreichende Ersatzfähigkeit immaterieller Schäden, wird sich der Trend der letzten Jahre noch beschleunigen und Massenverfahren werden weiter zunehmen. Spricht er sich dagegen für eine einzelfallbezogene Betrachtung aus, würde dies Sammelklagen deutlich erschweren. Die wirtschaftlichen Dimensionen sind dabei enorm, denn bei Hackerangriffen oder sonstigen Datenlecks sind häufig Daten von zehn- oder sogar hunderttausenden Personen betroffen. Sollten künftig für alle diese Betroffenen Schadensersatzansprüche bestehen, könnte dies für die Unternehmen leicht existenzbedrohliche Folgen haben. Es ist daher zu hoffen, dass der EuGH die richtige Balance zwischen Schutz und Kommerzialisierung von Verbraucherrechten sowie den Interessen der datenverarbeitenden Unternehmen findet.

Weitere Informationen finden Sie unter den nachfolgenden Links:

Stellt bloßes Unbehagen einen zu ersetzenden DSGVO-Schaden dar?

Die Profiteure der Datenschutzverstöße: Wie sich mit Datenschutzklagen viel Geld machen lässt

Collective Redress Set to Redefine Litigation Across Europe