08. November 2018

Verbandsklagen und die DSGVO: kleiner Schaden, große Wirkung?

Die DSGVO gilt noch nicht einmal ein halbes Jahr, da ist in Brüssel schon die nächste Gesetzgebungsinitiative mit Datenschutzbezug im Rollen. Diesmal geht es um eine Richtlinie, die u.a. Verbandsklagen bei Datenschutzverstößen erleichtern soll. Bei Verstößen gegen die DSGVO sollen also nicht nur Betroffene selbst, sondern auch Verbände, die eine Vielzahl von Betroffenen vertreten, unter erleichterten Voraussetzungen im Namen der Betroffenen klagen dürfen. Dieser Artikel soll einen Überblick darüber geben, was Verbandsklagen sind, welche Neuerungen die geplante Richtlinie bringt und ob die Sorgen von Unternehmen vor Millionenklagen wirklich berechtigt sind.

Hintergrund: Was sind Verbandsklagen?

Mit Verbandsklagen soll es bestimmten Verbraucherschutzverbänden möglich sein bei Verstößen gegen die DSGVO kollektive Ansprüche geltend zu machen, d.h. im Namen einer Vielzahl von Nutzern zu klagen. Dabei sind nicht alle Verbände klageberechtigt. Nach der geplanten „Richtlinie zum Schutz der Kollektivinteressen der Verbraucher“, deren erster Entwurf im Juli 2018 von der EU-Justizkommissarin vorgelegt wurde, müssen klageberechtige Verbände bestimmte Voraussetzungen erfüllen. Demnach muss der klageberechtige Verband nach dem Recht eines Mitgliedstaates gegründet und in dortigen offiziellen Verzeichnissen als Verband geführt werden. Zudem muss der Verband nachweisen, dass er u.a. dem Zweck dient, die Einhaltung des Rechts der EU zu gewährleisten und darf keine kommerziellen Absichten, speziell keine Gewinnerzielungsabsicht, verfolgen. Sind diese Voraussetzungen erfüllt, kann ein Verbraucherschutzverband im Namen einer Vielzahl von Verbrauchern auch bei Verstößen gegen die DSGVO klagen und so deren Ansprüche bündeln.

Rechtliche Problematik: Ausdehnung des Verbandsklagerechts auf Schadensersatzansprüche

Zwar müssen sich Unternehmen auch nach der aktuellen Rechtslage in Deutschland auf Verbandsklagen bei Verstößen gegen das Datenschutzrecht einstellen. Allerdings sind diese Klagerechte, die sich aus dem UWG (Gesetz gegen den unlauteren Wettbewerb) und dem UKlaG (Unterlassungsklagengesetz) ergeben, nicht auf Schadensersatzansprüche, sondern v.a. auf Unterlassungsansprüche ausgerichtet. Auch die DSGVO selbst ermöglicht zwar bei Verstößen Verbandsklagen nach dem Recht der Mitgliedstaaten, schließt aber ausdrücklich Verbandsklagen auf Schadensersatz aus.

Die neue Richtlinie bezieht sich nicht nur ausdrücklich auch auf Verstöße gegen die DSGVO, sondern ermöglicht darüber hinaus auch Verbandsklagen auf Schadenersatz. Dies stellt im europäischen und deutschen Recht eine Neuerung dar, da Verbandsklagen bisher v.a. dem Zweck dienten Ungleichgewichte zwischen Unternehmen wie Facebook und einzelnen Nutzern insoweit auszugleichen, als dass diese bei Verstößen gegen das Datenschutzrecht erfolgreich auf Unterlassung klagen können, ohne etwa zu hohe Prozesskosten befürchten zu müssen. Schadensersatzansprüche waren ausdrücklich aus dem Verbandsklagerecht ausgenommen, da Verbandsklagen nicht dem Ziel dienen sollten, Betroffenen die Durchsetzung von Geldansprüchen zu erleichtern.

Der Schadensersatzanspruch besteht nach der geplanten Richtline bei allen Verstößen gegen die DSGVO sowie gegen Vorschriften der Mitgliedstaaten, die die DSGVO konkretisieren, wie es bspw. beim BDSG neu in Deutschland der Fall ist. Dabei sind sowohl Verstöße erfasst, die materielle Schäden bei Betroffenen herbeiführen, als auch solche Verstöße, die immaterielle Schäden bewirken.

Doppelte Härte: Neue Beweislastregeln

Die geplante Richtline enthält zudem eine Beweislastumkehr zugunsten der klagenden Verbände: Der Betroffene (bzw. der klagende Verband) muss nur noch darlegen, dass das Unternehmen an der Datenverarbeitung beteiligt war, ein Schaden entstanden ist und die Datenverarbeitung grundsätzlich geeignet war diesen Schaden herbeizuführen.  Ansprüche können dabei sowohl gegen das verantwortliche Unternehmen als auch gegen Auftragsverarbeiter geltend gemacht werden. Es muss nicht konkret nachgewiesen werden, dass die Datenverarbeitung durch das Unternehmen oder den Auftragsverarbeiter und der daraus folgende Verstoß gegen die DSGVO den Schaden tatsächlich auch herbeigeführt hat. Vielmehr ist es die Pflicht des beklagten Unternehmens den Beweis zu erbringen, dass die eigene Datenverarbeitung einen solchen Schaden gerade nicht herbeigeführt hat.

Haben Unternehmen jetzt eine Flut von Verbandsklagen zu befürchten?

Grundsätzlich ist durch die Möglichkeit, auch Schadensersatzansprüche im Wege der Verbandsklage geltend zu machen und durch die neue Beweislasterleichterung für Verbände, ein erhöhtes Risiko von Verbandsklagen anzunehmen. Allerdings handelt es sich beim bisherigen Vorgehen der Kommission nur um einen Richtlinienvorschlag. Dieser muss noch von Parlament und Rat bestätigt werden, also das gesamte EU-Gesetzgebungsverfahren durchlaufen. Danach haben Mitgliedstaaten noch zwei Jahre Zeit die Richtlinie in nationales Recht umzusetzen. Auf diesem Wege kann es noch zu Abmilderungen der aktuell von der Kommission geplanten Regelungen kommen.

So hat der nationale Gesetzgeber nach dem bisherigen Entwurf der Richtlinie die Möglichkeit bei deren Umsetzung in nationales Recht eine „Mandatierung“ zur Voraussetzung der Verbandsklage zu machen. Das hieße, dass Verbände nur solche Betroffenen vertreten dürfen, die ihnen vorher auch ein Mandat hierzu übertragen haben. Die Befürchtung von Unternehmen, dass sich kleinere Schäden im einstelligen Euro-Bereich gegenüber einzelnen Betroffenen, durch die Vielzahl der von Verbindenden vertretenen Betroffenen, schnell zu Millionenklagen ausweiten können, sind daher zu relativieren. Die Mandatierung kann für Betroffene eine mögliche Hemmschwelle darstellen und daher die Zahl der von Verbänden Vertretenen deutlich reduzieren.

Fazit und Handlungsempfehlung

Die Sorge vor Millionenklagen mit schwierigen Beweislastregeln sind vor dem Hintergrund der strengen Anforderungen an die Klageberechtigung von Verbraucherverbänden und die mögliche Regelung zur Mandatierung somit insgesamt zu relativieren. Unternehmen sollten den Gesetzgebungsprozess weiter beobachten. Es scheint möglich, dass der europäische Gesetzgeber noch einige Anpassungen, auch auf prozessualer Ebene vornimmt, um die strengen Beweislastregeln etwas abzumildern.

 

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!