{"id":678441,"date":"2022-01-07T10:05:31","date_gmt":"2022-01-07T09:05:31","guid":{"rendered":"https:\/\/blog.wiwo.de\/management\/?p=678441"},"modified":"2022-01-07T10:05:31","modified_gmt":"2022-01-07T09:05:31","slug":"die-profiteure-der-datenschutzverstoesse-wie-sich-mit-datenschutzklagen-viel-geld-machen-laesst","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/management\/2022\/01\/07\/die-profiteure-der-datenschutzverstoesse-wie-sich-mit-datenschutzklagen-viel-geld-machen-laesst\/","title":{"rendered":"Die Profiteure der Datenschutzverst\u00f6\u00dfe: Wie sich mit Datenschutzklagen viel Geld machen l\u00e4sst"},"content":{"rendered":"

Geld verdienen mit Massenklagen wegen Datenschutzverst\u00f6\u00dfen<\/strong><\/p>\n

Preisfrage: Wer freut sich \u00fcber Datenschutzverst\u00f6\u00dfe? Die Opfer, die deshalb klagen und die Anw\u00e4lte auf beiden Seiten.\u00a0Denn f\u00fcr sie k\u00f6nnen Fehler beim Datenschutz sehr lukrativ sein. <\/strong>Gastbeitrag von Datenschutzanwalt<\/strong> Tim Wybitul von Latham & Watkins<\/strong><\/p>\n

\"\"

Tim Wybitul (Foto: PR)<\/p><\/div>\n

 <\/p>\n

Beispiele gef\u00e4llig? Bis zu 5.000 Euro Schadensersatz waren f\u00e4llig f\u00fcr Fehler bei Datenausk\u00fcnften. 1.000 Euro Schadenersatz f\u00fcr eine Nachricht an den falschen Empf\u00e4nger. Auch bis 5.000 Euro f\u00fcr eine falsche Meldung an eine Auskunftei.\u00a0 2.500 Euro f\u00fcr eine Datenpanne und 4.000 Euro Schadenersatz f\u00fcr die Weitergabe von Gesundheitsdaten eines Mitarbeiters an Beh\u00f6rden. Und 500 Euro, weil sich ein Kl\u00e4ger \u201emassiv genervt\u201c davon f\u00fchlte, wie ein Unternehmen ihn \u00fcber die Verarbeitung seiner Daten informierte. Alles pro Einzelfall.<\/p>\n

 <\/p>\n

Bei manchen der Summen ging es um Datenverarbeitungen, die gleich eine Vielzahl von Mitarbeitern, Kunden, oder Gesch\u00e4ftspartnern betrafen. Manchmal verarbeiten Unternehmen die Daten von Millionen einzelner Personen \u2013 und damit ebenso vieler potenzieller Kl\u00e4ger. Entstanden ist ein neues Gesch\u00e4ftsmodell f\u00fcr Massenklagen, die ersten Anbieter sind bereits gro\u00df im Gesch\u00e4ft: Verbraucheranw\u00e4lte, Prozessfinanzierer, spezialisierte Legal- Tech-Unternehmen und deren Geldgeber.<\/p>\n

 <\/p>\n

Wie sich mit Datenschutz-Klagen viel Geld machen l\u00e4sst<\/strong><\/p>\n

Das Gesch\u00e4ftsmodell funktioniert ganz einfach. Seit dreieinhalb Jahren k\u00f6nnen Kl\u00e4ger wegen Datenschutzverst\u00f6\u00dfen immateriellen Schadensersatz fordern, also Schmerzensgeld wegen – tats\u00e4chlichen oder behaupteten – Datenschutzverst\u00f6\u00dfen.\u00a0Im ersten Schritt suchen diese Anbieter also nach einem passenden – m\u00f6glichen – Datenschutzversto\u00df. Handelt es sich nicht um einen Einzelfall, sondern ganz viele Betroffene – umso besser. Denn auch wenn Betr\u00e4ge von bis 5.000 Euro pro Fall noch nicht beeindruckend klingen, wird es hochprofitabel wenn sich der Fall f\u00fcr Massenklagen eignet. Denn dann kann der Kl\u00e4geranwalt wegen einem einzigen Vorfall gegebenenfalls tausende identische Klagen einreichen, bei denen man nur den Namen und die Anschrift der Kl\u00e4ger austauschen muss.<\/p>\n

Zumal: Die Unternehmen verarbeiten Kunden-, Gesch\u00e4ftspartner- und Mitarbeiterdaten oft gleich, so dass Verst\u00f6\u00dfe gegen die komplizierten Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) gleich tausende oder sogar Millionen Verbraucher betreffen k\u00f6nnen.<\/p>\n

 <\/p>\n

Das ist f\u00fcr die Kl\u00e4geranw\u00e4lte viel schneller machbar als die Dieselklage eine Autok\u00e4ufers. Denn dort muss er den einzelnen Sachverhalt in der Klageschrift schildern: Wann der Kl\u00e4ger den Wagen gekauft hat, wann er von Abweichungen erfahren hat, welches Modell und die H\u00f6he der ausgesto\u00dfenen Abgase seines Autos.<\/p>\n

 <\/p>\n

Wo die Kl\u00e4geranw\u00e4lte ihre Datenschutz-F\u00e4lle finden<\/strong><\/p>\n

Wurde ein Unternehmen beispielsweise Opfer von Hackern, muss es sich auf Klagen wegen Datenschutzverst\u00f6\u00dfen einstellen, wenn diese Kundendaten erbeuten.<\/p>\n

Vor Gericht haben Kl\u00e4geranw\u00e4lte oder Rechtsdienstleister wie die Europ\u00e4ische Gesellschaft f\u00fcr Datenschutz mbH (EuGD), RightNow oder Kleinfee.de gute Karten: Sie tragen vor Gericht vor, der Zugriff der Hacker sei nur m\u00f6glich gewesen, weil das Unternehmen zu wenig Ma\u00dfnahmen zum Schutz der von ihm verarbeiteten Daten getroffen habe. Nach der EU-Datenschutz-Grundverordnung (DSGVO) m\u00fcssen Unternehmen angemessene Ma\u00dfnahmen zur Gew\u00e4hrleistung der gebotenen Datensicherheit treffen. Und erst deren Versto\u00df gegen diese gesetzliche Pflichten sei der Hacker-Datenraubzug erst m\u00f6glich geworden. Hat in der ganzen Trag\u00f6die ein Unternehmensmitarbeiter versagt, wird es noch leichter f\u00fcr Kl\u00e4ger: Etwa bei Ports oder Schnittstellen, die offen im Internet zug\u00e4nglich waren, bei fehlerhaften Serverkonfigurationen oder fehlenden Schutzma\u00dfnahmen.<\/p>\n

 <\/p>\n

\"\"

Hier geht\u00b4s zur Beratung www.goacademy.de @goacademy_sprachschule\u00a0 \u00a0 – Anzeige –<\/p><\/div>\n

 <\/p>\n

Noch ein Beispiel gef\u00e4llig? Ein anderer beliebter Angriffspunkt f\u00fcr Kl\u00e4ger ist das Auskunftsrecht der DSGVO. Danach k\u00f6nnen Verbraucher von Unternehmen Auskunft dar\u00fcber verlangen, welche ihrer Daten es wie verarbeitet. Das Unternehmen muss dann in einem Monat aussagekr\u00e4ftige Informationen zur Verf\u00fcgung stellen. Manche Gerichte gehen sogar davon aus, dass das Unternehmen – neben allgemeinen Informationen zur Datenverarbeitung – auch Kopien einzelner E-Mails, Vermerke oder sogar von Ermittlungsakten aus Whistleblowing-Systemen zur Verf\u00fcgung stellen muss, bei denen Mitarbeiter intern Hinweise auf Straftaten im Unternehmen oder sonstige Regelverst\u00f6\u00dfe geben k\u00f6nnen.<\/p>\n

 <\/p>\n

Wegen der komplexen Anforderungen, der laufenden Fristen und der widerspr\u00fcchlichen Rechtsprechung k\u00f6nnen in solchen Auskunftsprozessen Fehler geschehen. Deshalb fordern Kl\u00e4ger oft Schmerzensgeld mit der Begr\u00fcndung, das beklagte Unternehmen habe gegen das Auskunftsrecht versto\u00dfen. Der Schaden liege dabei in dem dadurch verursachten Verlust des Kl\u00e4gers \u00fcber die Kontrolle seiner Daten. Mit diesem Argument haben bereits das Landesarbeitsgericht Hamm, das Arbeitsgericht D\u00fcsseldorf und einige andere Gerichte Kl\u00e4gern Schmerzensgeld zugesprochen. Allerdings hat das Bundesarbeitsgericht diesem Ansatz k\u00fcrzlich einige Grenzen gesetzt.<\/p>\n

 <\/p>\n

Und weiter geht\u00b4s: Auch andere Fehler beim Datenschutz bieten Angriffsfl\u00e4che f\u00fcr Klagen. Besonders einfach wird es, wenn Beh\u00f6rden wegen Datenschutzverst\u00f6\u00dfen Verwarnungen aussprechen oder sogar Bu\u00dfgelder verh\u00e4ngen. Dann \u00fcbernehmen die Zivilgerichte anschlie\u00dfend oft einfach die Begr\u00fcndungen und Wertungen der Datenschutzbeh\u00f6rden – das ist effizient und erspart l\u00e4stige Detailarbeit.<\/p>\n

 <\/p>\n

Das Gesch\u00e4ftsmodell Massengesch\u00e4ft<\/strong><\/p>\n

Kl\u00e4ger k\u00f6nnen vor allem zwischen zwei Anbieter-Typen w\u00e4hlen. Die einen arbeiten auf Provisionsbasis: Die Kl\u00e4ger haben keine Kosten, der Anbieter beh\u00e4lt bei Erfolg einen Anteil der Schadenersatzsumme – meist rund ein Viertel. F\u00fcr den Anbieter rechnet sich das Gesch\u00e4ftsmodell \u00fcber die St\u00fcckzahl: Sie spekulieren darauf, dass das verklagte Unternehmen nach einem oder mehreren Pilotf\u00e4llen, die zugunsten der Kl\u00e4ger ausgingen, danach f\u00fcr m\u00f6glichst viele weitere Kl\u00e4ger Vergleiche abschlie\u00dfen.<\/p>\n

 <\/p>\n

Die andere Variante funktioniert so: Der Anbieter kauft die Schadenersatzforderungen mehrerer Betroffener und verklagt das Unternehmen – geb\u00fcndelt. Die Betroffenen erhalten ihr Geld sofort, der Anbieter tr\u00e4gt das Prozessrisiko, streicht aber – bei Erfolg – eine sehr attraktive Marge ein. So funktionierte es beispielsweise k\u00fcrzlich vor dem Landgericht Essen.\u00a0Auch das Landgericht M\u00fcnchen sprach einem Mandanten des Anbieters EuDG wegen der Ver\u00f6ffentlichung seiner Daten im Rahmen eines Datenlecks zu.<\/p>\n

 <\/p>\n

Wie die Klagen ablaufen\u00a0<\/strong><\/p>\n

F\u00fcr die Anbieter beginnt das Gesch\u00e4ft damit, dass sie nach passenden Datenschutzverst\u00f6\u00dfen suchen. Haben sie einen geeigneten Vorfall gefunden, werben sie um betroffene Verbraucher und bieten ihnen an, deren Anspr\u00fcche geltend zu machen.<\/p>\n

Die Kl\u00e4gervertreter sind fix: Oft werben sie noch am selben Tag, an dem \u00fcber eine Datenpanne oder sonstige m\u00f6gliche DSGVO-Verst\u00f6\u00dfe in der Presse berichtet wird, um betroffene Verbraucher auf eigenen Webseiten und in den sozialen Medien. Wer will, kann sich gleich online registrieren und seine m\u00f6glichen Anspr\u00fcche checken lassen. Als n\u00e4chstes bereiten die Anw\u00e4lte des Anbieters ihre Klagen vor und schauen, bei welchen Gerichten sie damit Erfolg haben. Gewinnen sie, muss sich das unterlegene Unternehmen \u00fcberlegen, ob es in die n\u00e4chste Instanz geht \u2013 oder den ganzen Streit lieber imageschonend ger\u00e4uscharm und unauff\u00e4llig durch Vergleiche beilegt. Dabei ist es aber wichtig, m\u00f6gliche Pr\u00e4zedenzf\u00e4lle zu vermeiden, die weitere Anspruchsteller anlocken k\u00f6nnten.<\/p>\n

 <\/p>\n

Die Verteidigungsstrategien der Unternehmen<\/strong><\/p>\n

Viele Schadensersatzforderungen beruhen auf einer \u00fcberzogenen Auslegung der DSGVO. Gerade weil es zu vielen Fragen kaum Rechtsprechung gibt, erzielen Unternehmen mit guten Argumenten oft Erfolge.<\/p>\n

In der noch wichtigeren Frage, ob der Kl\u00e4ger den Datenversto\u00df beweisen muss \u2013 oder ob das Unternehmen nachweisen muss, dass es nicht gegen die DSGVO versto\u00dfen hat, ist die Rechtsprechung zersplittert. Ein Senat des Oberlandesgerichts Stuttgart schlug sich auf die Seite der Unternehmen, ein anderer auf die der Verbraucher. Nun muss der Europ\u00e4ische Gerichtshof entscheiden – vermutlich wird es 2023.<\/p>\n

 <\/p>\n

Die andere Verteidigungstaktik der Unternehmen: Sie verlangen, dass die Verbraucher vor Gericht eine konkret eingetretene Beeintr\u00e4chtigung darlegen – und zwar von einigem Gewicht. Ein blo\u00dfes Gef\u00fchl des Unwohlseins \u00fcber die Offenlegung oder sonstige unzul\u00e4ssige Verarbeitung seiner Daten reicht manchen Gerichten nicht aus – anderen hingegen gen\u00fcgt ein m\u00f6glicher Kontrollverlust \u00fcber die eigenen Daten als Schadensposten.<\/p>\n

 <\/p>\n

Gute Karten f\u00fcr Betroffene vorm Bundesarbeitsgericht<\/strong><\/p>\n

Noch einen Schritt weiter geht nun das Bundesarbeitsgericht (BAG) in einer aktuellen Entscheidung, in der es dem EuGH wesentliche Fragen zum DSGVO-Schadensersatz zur EU-weit einheitlichen Entscheidung vorgelegt hat.<\/p>\n

Geht es nach den h\u00f6chsten Arbeitsrichtern, muss der Kl\u00e4ger dann gar keinen Schaden mehr darlegen. Denn schon die – unzul\u00e4ssige – Datenverarbeitung oder ein Versto\u00df gegen das Datenschutzrecht selbst stelle einen ersatzf\u00e4higen Schaden dar. Ob die Unternehmensvertreter schuldhaft handelten oder nicht sei egal und die Schadenersatzsumme soll so hoch sein, dass sie abschreckend auf andere Unternehmen wirkt. So \u00e4hnlich wie in amerikanischen Prozessen, wo der Schadenersatz auch gleichzeitig eine Strafe – und deshalb so hoch – ist.<\/p>\n

 <\/p>\n

Ausblick<\/strong><\/p>\n

F\u00fcr Unternehmen wird es immer schwieriger, sich gegen massenhafte Schadensersatzforderungen zur Wehr zu setzen.<\/p>\n

Wom\u00f6glich stellt auch der EuGH bald strikte Anforderungen f\u00fcr Schadensersatzforderungen von Betroffenen auf. Doch wenn er seiner bisherigen Tendenz bleibt, wird er eher die Verbraucher sch\u00fctzen als die Unternehmen.<\/p>\n

Darauf bauen auch die spezialisierten Anbieter und ihre Anw\u00e4lte. Insbesondere diejenigen, die bislang Dieselkl\u00e4ger vertraten. Hier bildet sich gerade ein neues und lukratives Gesch\u00e4ftsfeld, in dem die Legal-Tech-Anbieter wie Kanzleien um jeden m\u00f6glichen Kl\u00e4ger werben.<\/p>\n

 <\/p>\n

Unternehmen sollten jetzt ihre Datenverarbeitungen, Prozesse und Strukturen zur Umsetzung datenschutzrechtlicher Vorgaben gr\u00fcndlich daraufhin \u00fcberpr\u00fcfen, ob sie m\u00f6gliche Angriffspunkte f\u00fcr Kl\u00e4ger liefern. Was jedenfalls dazu geh\u00f6rt, um Risiken von Datenschutzklagen zu minimieren: Checklisten und Ablaufpl\u00e4ne zur Reaktion auf Cyber-Attacken, Datenpannen und Datenschutzverst\u00f6\u00dfe.<\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

Lesehinweis: Die genannten Entscheidungen stehen in der Latham-DSGVO-Schadensersatztabelle (Link: https:\/\/de.lw.com\/thoughtLeadership\/Latham-DSGVO-Schadensersatztabelle<\/a>).<\/p>\n

 <\/p>\n

 <\/p>\n

\"\"<\/p>\n

 <\/p>\n

\"\"<\/p>\n

 <\/p>\n

 <\/p>\n

Copyright: @Claudia T\u00f6dtmann. Alle Rechte vorbehalten.<\/strong><\/p>\n

Kontakt f\u00fcr Nutzungsrechte: claudia.toedtmann@wiwo.de<\/strong><\/p>\n

Alle inhaltlichen Rechte des Management-Blogs von Claudia T\u00f6dtmann liegen bei der Blog-Inhaberin. Jegliche Nutzung der Inhalte bed\u00fcrfen der ausdr\u00fccklichen Genehmigung.\u00a0<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Geld verdienen mit Massenklagen wegen Datenschutzverst\u00f6\u00dfen Preisfrage: Wer freut sich \u00fcber Datenschutzverst\u00f6\u00dfe? Die Opfer, die deshalb klagen und die Anw\u00e4lte auf beiden Seiten.\u00a0Denn f\u00fcr sie k\u00f6nnen Fehler beim Datenschutz sehr lukrativ sein. Gastbeitrag von Datenschutzanwalt Tim Wybitul von Latham & … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":19,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[10279,252,6683,7336,3689,5147,946,1676],"class_list":["post-678441","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-bundesarbeitsgericht-bag","tag-datenschutz","tag-datenschutz-grundverordnung-dsgvo","tag-dsgvo","tag-latham-watkins","tag-prozessfinanzierer","tag-schadensersatz","tag-tim-wybitul"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/678441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/comments?post=678441"}],"version-history":[{"count":4,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/678441\/revisions"}],"predecessor-version":[{"id":678746,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/678441\/revisions\/678746"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/media?parent=678441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/categories?post=678441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/tags?post=678441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}