Home / Veröffentlichungen / Ein Jahr DSGVO – kommt jetzt die private Durchs...

Ein Jahr DSGVO – kommt jetzt die private Durchsetzung?

04/12/2019

Die Durchsetzung des neuen Datenschutzrechts durch nationale Behörden hat im ersten Jahr nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) schon viel Aufmerksamkeit erregt. So hat die britische Datenschutzbehörde (vorläufige) Rekordbußgelder in Höhe von rund EUR 205 Mio. gegen British Airways und rund EUR 110 Mio. gegen Marriott International verhängt. In beiden Fällen hatten Hacker massenhaft Kundendaten gestohlen.

Die in Deutschland bisher verhängten Bußgelder sind wesentlich geringer, aber Anzahl und Höhe der Bußgelder nehmen nicht nur in Deutschland, sondern europaweit stetig zu. Einen Überblick liefert die Internetseite www.enforcementtracker.com.

Noch nicht im Blick haben viele Unternehmen dagegen, dass die DSGVO auch mittels privatrechtlicher Schadensersatzklagen und im Wege einstweiliger Verfügungen durchgesetzt werden kann. Solche gerichtlichen Schritte werden durch prozessuale und materiellrechtliche Besonderheiten der DSGVO begünstigt.

Schadensersatz der Betroffenen 

Gemäß Artikel 82 DSGVO hat jede natürliche Person, der wegen eines Datenschutzverstoßes ein Schaden entstanden ist, einen Schadensersatzanspruch gegen den Verantwortlichen und / oder gegen den Auftragsverarbeiter. Gegenstand des Anspruchs können nicht nur materielle, sondern ausdrücklich auch immaterielle Schäden sein, also z. B. auch die Zahlung von Schmerzensgeld. Die Höhe des Anspruchs soll z. B. anhand der Art, Schwere und Dauer des Verstoßes und unterschiedlicher Kategorien der betroffenen Daten bemessen werden. Nicht ersatzfähig sind jedoch lediglich individuell empfundene Unannehmlichkeiten.

Besonderheiten der DSGVO

Nach allgemeinen zivilprozessualen Grundsätzen muss jede Partei die für sie günstigen Tatsachen darlegen und beweisen. Bei datenschutzrechtlichen Ansprüchen würde diese Verteilung der Darlegungs- und Beweislast für Kläger, die oft keinerlei Einblick in die Verarbeitung ihrer Daten durch ein Unternehmen haben, eine hohe Hürde darstellen. 

Unter der DSGVO gilt dagegen das „Rechenschaftsprinzip“: Der Verwender ist für die Einhaltung der Grundsätze der Verarbeitung von personenbezogenen Daten verantwortlich und muss deren Einhaltung nachweisen. Zudem wird bei einem Datenschutzverstoß das Verschulden des Verantwortlichen vermutet.

Massenverfahren und Verbandsklage

Datenschutzverstöße führen häufig zu Streuschäden. So bezeichnet man Schäden, bei denen es viele Betroffene gibt, der Schaden jedes Einzelnen aber gering ist. Bei Streuschäden ist eine individuelle Rechtsverfolgung daher oft nicht rentabel. Das kann jedoch dann anders aussehen, wenn sich die Geschädigten zusammentun und ihre Schäden gebündelt geltend machen, z. B. in Form der zum 1. November 2018 in Deutschland eingeführten Musterfeststellungsklage. Es ist zudem damit zu rechnen, dass die gebündelte Durchsetzung datenschutzrechtlicher Streuschäden künftig weiter kommerzialisiert wird. Schon jetzt gibt es erste professionelle Dienstleister, die Klagen einzelner Betroffener bündeln oder nach dem Vorbild von Flightright & Co. ein standardisiertes Verfahren für die Geltendmachung gleichartiger Schäden anbieten.

Die DSGVO hat zudem eine eigene, datenschutzrechtliche Verbandsklage geschaffen. Datenschutzrechtliche Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht können damit subjektive Rechte natürlicher Personen zivilrechtlich geltend machen, ohne dazu von ihnen beauftragt worden zu sein.

Wettbewerbsrecht 

Ungeklärt ist noch, ob Unternehmen die Einhaltung der DSGVO gegenüber Wettbewerbern mittels des Wettbewerbsrechts durchzusetzen können, ob sie also z. B. Wettbewerber wegen Datenschutzverstößen abmahnen können. Teilweise werden die Regelungen in Kapitel VIII der DSGVO zu Rechtsbehelfen, Haftung und Sanktionen als abschließend angesehen und eine Sanktionierung von Verstößen gegen die DSGVO mittels Wettbewerbsrechts ausgeschlossen. Andere halten die Regelungen der DSGVO nicht für abschließend und sind der Auffassung, dass sie jedenfalls dann wettbewerbsrechtlich relevant sind, wenn sie eine marktregelnde Funktion erfüllen. Dieser Ansicht hat sich das OLG Hamburg in einer Entscheidung vom 25. Oktober 2018 (Az. 3 U 66/17) angeschlossen. Die Vorschriften der DSGVO hätten eine marktregelnde Funktion, wenn sie den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer bezweckten. 

Ausblick 

Weitere rechtliche Herausforderungen für Unternehmen mit Blick auf den Umgang mit persönlichen Daten werden in naher Zukunft folgen. Die EU arbeitet am finalen Entwurf der ePrivacy-Verordnung, welche die DSGVO ergänzen soll. Sie regelt die Nutzung elektronischer Kommunikationsdienste innerhalb der EU. Gemäß dem am 12. Juli 2019 vom Rat der EU vorgelegten Entwurf sollen Betroffene bei Verstößen gegen die Verordnung entsprechend der DSGVO Ersatz für materielle und immaterielle Schäden verlangen können. Auch eine Verbandsklage entsprechend Artikel 80 DSGVO ist in dem Entwurf vorgesehen.


Dieser Artikel ist Teil unserer Mandanteninformation "2020 - Themen, die Sie bewegen werden", welche Sie hier einsehen können.

Autoren

Matthias Schlingmann
Dr. Matthias Schlingmann, LL.M.
Partner
Hamburg
Dr. Malte Grützmacher, LL.M. (University of London)
Partner
Hamburg