Geld verdienen mit Massenklagen wegen Datenschutzverstößen

Preisfrage: Wer freut sich über Datenschutzverstöße? Die Opfer, die deshalb klagen und die Anwälte auf beiden Seiten. Denn für sie können Fehler beim Datenschutz sehr lukrativ sein. Gastbeitrag von Datenschutzanwalt Tim Wybitul von Latham & Watkins

 

Beispiele gefällig? Bis zu 5.000 Euro Schadensersatz waren fällig für Fehler bei Datenauskünften. 1.000 Euro Schadenersatz für eine Nachricht an den falschen Empfänger. Auch bis 5.000 Euro für eine falsche Meldung an eine Auskunftei.  2.500 Euro für eine Datenpanne und 4.000 Euro Schadenersatz für die Weitergabe von Gesundheitsdaten eines Mitarbeiters an Behörden. Und 500 Euro, weil sich ein Kläger „massiv genervt“ davon fühlte, wie ein Unternehmen ihn über die Verarbeitung seiner Daten informierte. Alles pro Einzelfall.

 

Bei manchen der Summen ging es um Datenverarbeitungen, die gleich eine Vielzahl von Mitarbeitern, Kunden, oder Geschäftspartnern betrafen. Manchmal verarbeiten Unternehmen die Daten von Millionen einzelner Personen – und damit ebenso vieler potenzieller Kläger. Entstanden ist ein neues Geschäftsmodell für Massenklagen, die ersten Anbieter sind bereits groß im Geschäft: Verbraucheranwälte, Prozessfinanzierer, spezialisierte Legal- Tech-Unternehmen und deren Geldgeber.

 

Wie sich mit Datenschutz-Klagen viel Geld machen lässt

Das Geschäftsmodell funktioniert ganz einfach. Seit dreieinhalb Jahren können Kläger wegen Datenschutzverstößen immateriellen Schadensersatz fordern, also Schmerzensgeld wegen – tatsächlichen oder behaupteten – Datenschutzverstößen. Im ersten Schritt suchen diese Anbieter also nach einem passenden – möglichen – Datenschutzverstoß. Handelt es sich nicht um einen Einzelfall, sondern ganz viele Betroffene – umso besser. Denn auch wenn Beträge von bis 5.000 Euro pro Fall noch nicht beeindruckend klingen, wird es hochprofitabel wenn sich der Fall für Massenklagen eignet. Denn dann kann der Klägeranwalt wegen einem einzigen Vorfall gegebenenfalls tausende identische Klagen einreichen, bei denen man nur den Namen und die Anschrift der Kläger austauschen muss.

Zumal: Die Unternehmen verarbeiten Kunden-, Geschäftspartner- und Mitarbeiterdaten oft gleich, so dass Verstöße gegen die komplizierten Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) gleich tausende oder sogar Millionen Verbraucher betreffen können.

 

Das ist für die Klägeranwälte viel schneller machbar als die Dieselklage eine Autokäufers. Denn dort muss er den einzelnen Sachverhalt in der Klageschrift schildern: Wann der Kläger den Wagen gekauft hat, wann er von Abweichungen erfahren hat, welches Modell und die Höhe der ausgestoßenen Abgase seines Autos.

 

Wo die Klägeranwälte ihre Datenschutz-Fälle finden

Wurde ein Unternehmen beispielsweise Opfer von Hackern, muss es sich auf Klagen wegen Datenschutzverstößen einstellen, wenn diese Kundendaten erbeuten.

Vor Gericht haben Klägeranwälte oder Rechtsdienstleister wie die Europäische Gesellschaft für Datenschutz mbH (EuGD), RightNow oder Kleinfee.de gute Karten: Sie tragen vor Gericht vor, der Zugriff der Hacker sei nur möglich gewesen, weil das Unternehmen zu wenig Maßnahmen zum Schutz der von ihm verarbeiteten Daten getroffen habe. Nach der EU-Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen angemessene Maßnahmen zur Gewährleistung der gebotenen Datensicherheit treffen. Und erst deren Verstoß gegen diese gesetzliche Pflichten sei der Hacker-Datenraubzug erst möglich geworden. Hat in der ganzen Tragödie ein Unternehmensmitarbeiter versagt, wird es noch leichter für Kläger: Etwa bei Ports oder Schnittstellen, die offen im Internet zugänglich waren, bei fehlerhaften Serverkonfigurationen oder fehlenden Schutzmaßnahmen.

 

 

Noch ein Beispiel gefällig? Ein anderer beliebter Angriffspunkt für Kläger ist das Auskunftsrecht der DSGVO. Danach können Verbraucher von Unternehmen Auskunft darüber verlangen, welche ihrer Daten es wie verarbeitet. Das Unternehmen muss dann in einem Monat aussagekräftige Informationen zur Verfügung stellen. Manche Gerichte gehen sogar davon aus, dass das Unternehmen – neben allgemeinen Informationen zur Datenverarbeitung – auch Kopien einzelner E-Mails, Vermerke oder sogar von Ermittlungsakten aus Whistleblowing-Systemen zur Verfügung stellen muss, bei denen Mitarbeiter intern Hinweise auf Straftaten im Unternehmen oder sonstige Regelverstöße geben können.

 

Wegen der komplexen Anforderungen, der laufenden Fristen und der widersprüchlichen Rechtsprechung können in solchen Auskunftsprozessen Fehler geschehen. Deshalb fordern Kläger oft Schmerzensgeld mit der Begründung, das beklagte Unternehmen habe gegen das Auskunftsrecht verstoßen. Der Schaden liege dabei in dem dadurch verursachten Verlust des Klägers über die Kontrolle seiner Daten. Mit diesem Argument haben bereits das Landesarbeitsgericht Hamm, das Arbeitsgericht Düsseldorf und einige andere Gerichte Klägern Schmerzensgeld zugesprochen. Allerdings hat das Bundesarbeitsgericht diesem Ansatz kürzlich einige Grenzen gesetzt.

 

Und weiter geht´s: Auch andere Fehler beim Datenschutz bieten Angriffsfläche für Klagen. Besonders einfach wird es, wenn Behörden wegen Datenschutzverstößen Verwarnungen aussprechen oder sogar Bußgelder verhängen. Dann übernehmen die Zivilgerichte anschließend oft einfach die Begründungen und Wertungen der Datenschutzbehörden – das ist effizient und erspart lästige Detailarbeit.

 

Das Geschäftsmodell Massengeschäft

Kläger können vor allem zwischen zwei Anbieter-Typen wählen. Die einen arbeiten auf Provisionsbasis: Die Kläger haben keine Kosten, der Anbieter behält bei Erfolg einen Anteil der Schadenersatzsumme – meist rund ein Viertel. Für den Anbieter rechnet sich das Geschäftsmodell über die Stückzahl: Sie spekulieren darauf, dass das verklagte Unternehmen nach einem oder mehreren Pilotfällen, die zugunsten der Kläger ausgingen, danach für möglichst viele weitere Kläger Vergleiche abschließen.

 

Die andere Variante funktioniert so: Der Anbieter kauft die Schadenersatzforderungen mehrerer Betroffener und verklagt das Unternehmen – gebündelt. Die Betroffenen erhalten ihr Geld sofort, der Anbieter trägt das Prozessrisiko, streicht aber – bei Erfolg – eine sehr attraktive Marge ein. So funktionierte es beispielsweise kürzlich vor dem Landgericht Essen. Auch das Landgericht München sprach einem Mandanten des Anbieters EuDG wegen der Veröffentlichung seiner Daten im Rahmen eines Datenlecks zu.

 

Wie die Klagen ablaufen 

Für die Anbieter beginnt das Geschäft damit, dass sie nach passenden Datenschutzverstößen suchen. Haben sie einen geeigneten Vorfall gefunden, werben sie um betroffene Verbraucher und bieten ihnen an, deren Ansprüche geltend zu machen.

Die Klägervertreter sind fix: Oft werben sie noch am selben Tag, an dem über eine Datenpanne oder sonstige mögliche DSGVO-Verstöße in der Presse berichtet wird, um betroffene Verbraucher auf eigenen Webseiten und in den sozialen Medien. Wer will, kann sich gleich online registrieren und seine möglichen Ansprüche checken lassen. Als nächstes bereiten die Anwälte des Anbieters ihre Klagen vor und schauen, bei welchen Gerichten sie damit Erfolg haben. Gewinnen sie, muss sich das unterlegene Unternehmen überlegen, ob es in die nächste Instanz geht – oder den ganzen Streit lieber imageschonend geräuscharm und unauffällig durch Vergleiche beilegt. Dabei ist es aber wichtig, mögliche Präzedenzfälle zu vermeiden, die weitere Anspruchsteller anlocken könnten.

 

Die Verteidigungsstrategien der Unternehmen

Viele Schadensersatzforderungen beruhen auf einer überzogenen Auslegung der DSGVO. Gerade weil es zu vielen Fragen kaum Rechtsprechung gibt, erzielen Unternehmen mit guten Argumenten oft Erfolge.

In der noch wichtigeren Frage, ob der Kläger den Datenverstoß beweisen muss – oder ob das Unternehmen nachweisen muss, dass es nicht gegen die DSGVO verstoßen hat, ist die Rechtsprechung zersplittert. Ein Senat des Oberlandesgerichts Stuttgart schlug sich auf die Seite der Unternehmen, ein anderer auf die der Verbraucher. Nun muss der Europäische Gerichtshof entscheiden – vermutlich wird es 2023.

 

Die andere Verteidigungstaktik der Unternehmen: Sie verlangen, dass die Verbraucher vor Gericht eine konkret eingetretene Beeinträchtigung darlegen – und zwar von einigem Gewicht. Ein bloßes Gefühl des Unwohlseins über die Offenlegung oder sonstige unzulässige Verarbeitung seiner Daten reicht manchen Gerichten nicht aus – anderen hingegen genügt ein möglicher Kontrollverlust über die eigenen Daten als Schadensposten.

 

Gute Karten für Betroffene vorm Bundesarbeitsgericht

Noch einen Schritt weiter geht nun das Bundesarbeitsgericht (BAG) in einer aktuellen Entscheidung, in der es dem EuGH wesentliche Fragen zum DSGVO-Schadensersatz zur EU-weit einheitlichen Entscheidung vorgelegt hat.

Geht es nach den höchsten Arbeitsrichtern, muss der Kläger dann gar keinen Schaden mehr darlegen. Denn schon die – unzulässige – Datenverarbeitung oder ein Verstoß gegen das Datenschutzrecht selbst stelle einen ersatzfähigen Schaden dar. Ob die Unternehmensvertreter schuldhaft handelten oder nicht sei egal und die Schadenersatzsumme soll so hoch sein, dass sie abschreckend auf andere Unternehmen wirkt. So ähnlich wie in amerikanischen Prozessen, wo der Schadenersatz auch gleichzeitig eine Strafe – und deshalb so hoch – ist.

 

Ausblick

Für Unternehmen wird es immer schwieriger, sich gegen massenhafte Schadensersatzforderungen zur Wehr zu setzen.

Womöglich stellt auch der EuGH bald strikte Anforderungen für Schadensersatzforderungen von Betroffenen auf. Doch wenn er seiner bisherigen Tendenz bleibt, wird er eher die Verbraucher schützen als die Unternehmen.

Darauf bauen auch die spezialisierten Anbieter und ihre Anwälte. Insbesondere diejenigen, die bislang Dieselkläger vertraten. Hier bildet sich gerade ein neues und lukratives Geschäftsfeld, in dem die Legal-Tech-Anbieter wie Kanzleien um jeden möglichen Kläger werben.

 

Unternehmen sollten jetzt ihre Datenverarbeitungen, Prozesse und Strukturen zur Umsetzung datenschutzrechtlicher Vorgaben gründlich daraufhin überprüfen, ob sie mögliche Angriffspunkte für Kläger liefern. Was jedenfalls dazu gehört, um Risiken von Datenschutzklagen zu minimieren: Checklisten und Ablaufpläne zur Reaktion auf Cyber-Attacken, Datenpannen und Datenschutzverstöße.

 

 

 

Lesehinweis: Die genannten Entscheidungen stehen in der Latham-DSGVO-Schadensersatztabelle (Link: https://de.lw.com/thoughtLeadership/Latham-DSGVO-Schadensersatztabelle).

 

 

 

 

 

Copyright: @Claudia Tödtmann. Alle Rechte vorbehalten.

Kontakt für Nutzungsrechte: claudia.toedtmann@wiwo.de

Alle inhaltlichen Rechte des Management-Blogs von Claudia Tödtmann liegen bei der Blog-Inhaberin. Jegliche Nutzung der Inhalte bedürfen der ausdrücklichen Genehmigung.