Datenschutz-Massenklagen – aufgeschoben oder aufgehoben?

Nach der Zurücknahme der Berufung im Datenleck-Fall des digitalen Vermögensverwalters Scalable Capital drängt sich die Frage auf: Haben die Hoffnungen der Legal-Tech-Unternehmen auf die große Massenklage-Party damit einen empfindlichen Dämpfer erhalten? Nein – potenziell Beklagte müssen sich vielmehr umso aktiver darauf vorbereiten.
 
Als das Landgericht München Scalable Capital Ende 2021 zur Zahlung von 2.500 Euro Schadensersatz an einen geschädigten Kunden verurteilte, war die Aufregung groß. Denn es war neu, dass Ansprüche auf Schadensersatz zugesprochen werden, wenn gar kein konkreter wirtschaftlicher Schaden festgestellt wurde.
 
Doch das Urteil ist mittlerweile kaum noch als Ausreißer zu bezeichnen: Bis heute haben zahlreiche Gerichte in 25 Entscheidungen Ansprüche auf immateriellen Schadensersatz zuerkannt – mit Entschädigungshöhen von 100 bis zu 5.000 Euro.
 
Es braucht nicht viel Fantasie, um sich vorzustellen, dass derartige Fälle problemlos skaliert werden können und damit gerade für die Legal-Tech-Branche von großem wirtschaftlichen Interesse sind. Wenig verwunderlich also, dass die Branche gespannt auf das Berufungsverfahren schaute. Doch vergebens:  in einer unerwarteten Wendung zog Scalable Capital die Berufung  Verstoß gegen DSGVO: Scalable Capital haftet nach Datenleck (faz.net) vor dem OLG München zurück. Damit ist die ursprüngliche Entscheidung nun rechtskräftig.
 
 

Kommt jetzt die Klagewelle?

Nach dem erstinstanzlichen Urteil können von einer Datenschutzverletzung Betroffene nun also mit hoher Erfolgsaussicht einen finanziellen Anspruch gegen den für die Verarbeitung der Daten Verantwortlichen rechtlich geltend machen - ohne dass dabei tatsächlich ein Verlust oder Schaden nachgewiesen werden muss. Für seine Entscheidung bewertete das OLG in München allein das Risiko eines Datenmissbrauchs als ausreichend. Dieses Risiko allerdings war nicht rein theoretisch: denn es konnte nachgewiesen werden, dass kriminelle Akteure tatsächlich versuchten, das Datenleck auszunutzen.
 
Eine erfolgreiche Berufung wäre zwar eine gute Nachricht für Scalable Capital und andere Verantwortliche gewesen, die weiterhin die Hoffnung haben, dem wirtschaftlichen Risiko umfangreicher Massenklagen zu entkommen. Jedoch dürfte die Rücknahme der Berufung auf Seiten der Massenklageindustrie nicht viel Aufsehen erregt haben. Vielmehr können sie sich entspannt zurücklehnen und die weitere Entwicklung beobachten.
 
Einige Akteure, wie die EuGD, haben bereits einen Stapel von Forderungen gesammelt und warten nur noch auf den richtigen Zeitpunkt für die Klage. Seit dem "Dieselskandal" ist die deutsche Klageindustrie erheblich gewachsen und verfügt sowohl über die Arbeitskraft als auch über das juristische Fachwissen, um solch groß angelegte Kampagnen durchzuführen. Diese Angriffe werden gestartet, sobald ausreichend Gewissheit besteht, dass die höchsten Gerichte ihre Pläne nicht durchkreuzen werden.
 
Die für die Verarbeitung von Daten Verantwortlichen sind also zu Recht besorgt und sollten sich aktiv auf Schadenersatzklagen vorbereiten. Dass Unternehmen sich im Falle von Datenschutzverletzungen und sonstigem Missbrauch personenbezogener Daten zukünftig nicht nur mit den Datenschutzbehörden, sondern zunehmend auch mit einer spezialisierten Klägerindustrie auseinandersetzen müssen, ist wahrscheinlicher denn je. Und die Vorbereitung auf ein solches Szenario ist eine gänzlich neue Situation für sie: Die Beklagten müssen in der Lage sein, eine große Anzahl von Vorgängen schnell und mit einer kohärenten Rechtsstrategie zu bearbeiten. Legal-Tech-Lösungen und Prozessspezialisten werden eine entscheidende Rolle bei der Unterstützung klassischer Rechtsberater bei der Bewältigung dieser Herausforderungen spielen.
 
 

Viele offene Fragen

Auch abgesehen vom Scalable Capital-Urteil bleiben viele Fragen unbeantwortet. Deren Datenschutzverletzung betraf schließlich hochsensible Daten, wie z.B. Ausweisdaten und Steuernummern der betroffenen Personen. Es bleibt jedoch unklar, ob immaterieller Schadensersatz auch dann zugesprochen werden kann, wenn das Risiko bei weniger sensiblen Daten eher als gering einzustufen ist. In einem anderen Fall hat das Landgericht München einem Website-Betreiber Schadensersatz in Höhe von 100 Euro für die Verwendung von Google Fonts zugesprochen (Az. 3 O 17493/20). Es wird interessant sein zu sehen, ob diese strenge Rechtsprechung auch bei anderen Gerichten Anklang finden wird.
 
Für die Verantwortlichen gibt es im Falle eines Angriffs natürlich noch weitere Verteidigungslinien: Massenklagen beruhen oft auf einer Bündelung von Forderungen, die an ein Klagevehikel abgetreten werden. Ob dies bei persönlichen, immateriellen Schadensersatzansprüchen überhaupt möglich ist, ist nicht abschließend entschieden. Das Amtsgericht Hannover hat die Abtretbarkeit bereits im Jahr 2019 in Frage gestellt (Az. 531 C 10952/19).
 
Darüber hinaus bekräftigte das Gericht in München, dass der Kläger nicht nur die Rechtsverletzung nachweisen muss, sondern vor allem auch den (immateriellen) Schaden, d.h. Identitätsdiebstahl, Rufschädigung, Verlust der Vertraulichkeit usw. In der Rechtssache Scalable Capital gelang es dem Kläger, ausreichende Beweise hierfür zu erbringen – bei Google-Fonts hingegen könnte sich dies als schwieriger erweisen.
 
Auch gibt es zahlreiche offene Fragen an den Schnittstellen zwischen nationalem Recht und der DSGVO, die viel Raum für Argumentation bieten. Während sich der Anspruch auf Schadenersatz aus der DSGVO ergibt, können zivilrechtliche Konzepte wie Mitverschulden und andere mildernde Faktoren ggf. bei der Verteidigung nach nationalem Recht helfen. Doch welches nationale Recht dies sein wird, ist die nächste offene Frage.
 
Aufgrund des europaweiten Charakters der DSGVO werden wir wahrscheinlich Fälle erleben, in denen betroffene Personen aus einem EU-Mitgliedstaat versuchen, Ansprüche gegen einen für die Verarbeitung Verantwortlichen aus einem anderen Mitgliedstaat geltend zu machen. Diese Ansprüche können am Sitz des für die Verarbeitung Verantwortlichen gebündelt werden (Art. 79 (2) DSGVO). Die Gerichte werden sich dann nicht nur mit dem Zusammenspiel von DSGVO und nationalem Recht auseinandersetzen müssen, sondern möglicherweise auch mit Rechtswahlklauseln.


 

Über die Autoren:

Stephan Zimprich ist Partner im Hamburger Büro von Fieldfisher. Er ist spezialisiert auf die Prozessführung in Fällen mit Technologiehintergrund und berät Mandanten hauptsächlich aus dem Digitalsektor in den Bereichen Datenschutz, Wettbewerbsrecht und IT-Recht.
 
Jacob Feder ist Rechtsanwalt im Bereich des geistigen Eigentums und des Technologierechts im Hamburger Büro von Fieldfisher. Er berät technologiebasierte Unternehmen ebenso wie solche mit neuartigen Geschäftsmodellen, insbesondere in regulierten Märkten.