Data Privacy Litigation - Verteidigung gegen DSGVO-Schadensersatzklagen und Bußgelder

Data Privacy Litigation – Verteidigung gegen DSGVO-Schadensersatzklagen und Bußgelder

Deutsche Gerichte müssen sich derzeit mit einer Vielzahl von Klagen auf Schadensersatz wegen tatsächlichen oder behaupteten Datenschutzverstößen befassen. Häufig erheben Kläger Forderungen auf immateriellen Schadensersatz infolge von Presseberichten über mögliche Datenschutzverstöße oder wegen des Bekanntwerdens entsprechender DSGVO-Bußgelder. Mittlerweile verhängen Datenschutzbehörden zum Teil hohe Bußgelder gegen Unternehmen bei Verstößen gegen die DSGVO. Da viele entscheidende Fragen bislang noch nicht geklärt sind, ergehen teils erheblich voneinander abweichende Entscheidungen der Gerichte und Behörden. Das bietet breite Spielräume für eine effektive Verteidigung.

A. Verteidigung in Bußgeldverfahren

Der mögliche Bußgeldrahmen bei Verstößen gegen die DSGVO beträgt bis zu 20 Mio. EUR oder von bis zu 4% des globalen Vorjahresumsatzes. Dieser empfindlich hohe Bußgeldrahmen ermöglicht empfindliche Sanktionen. Die Erfahrung zeigt, dass die deutschen Datenschutzbehörden von ihren neuen Bußgeld-Kompetenzen durchaus Gebrauch machen. Mittlerweile haben auch deutsche Behörden eine Reihe von zweistelligen Millionenbußgeldern verhängt.

Derzeit ist heftig umstritten, ob Datenschutzbehörden Bußgelder direkt gegen das betroffene Unternehmen als Täter bzw. bußgeldrechtlich „Betroffene“ verhängen können. Eine neuere Entscheidung des LG Bonn hält dies unter Verweis auf eine direkte Anwendung der Mechanismen des EU-Kartellrechts (sog. Funktionsträgerprinzip) für möglich. Diese Rechtsauffassung hat u.a. erhebliche Auswirkungen auf der Beweisebene, denn Behörden müssen nur nachweisen, dass es „aus dem Unternehmen heraus“ zu DSGVO-Verstößen kam. Das LG Berlin hingegen hob kürzlich einen direkt gegen ein Unternehmen gerichtetes Bußgeld auf. Eine juristische Person könne nicht taugliche Täterin und damit auch nicht bußgeldrechtlich „Betroffene“ sein. Die dortige Strategie des Verteidigerteams, unter anderem gegen die Annahme eines solchen Funktionsträgerprinzips vorzugehen, kann auch in anderen Verfahren aussichtsreich sein. Denn die bloße Annahme eines Datenschutzverstoßes „aus dem Unternehmen heraus“ genügt auch den Anforderungen des deutschen Bußgeldrechts an erforderliche Tatsachenfeststellungen nicht.

B. Verteidigung gegen Schadensersatzforderungen

Nach Art. 82 I DSGVO hat jede Person, der wegen eines DSGVO-Verstoßes ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz.

Typischerweise werden betroffene Personen durch ein Bußgeldverfahren oder Berichte über tatsächliche oder vermutete Datenpannen darauf aufmerksam, dass sie einen Schadensersatzanspruch gegen ein Unternehmen haben könnten. Häufig versenden sie daraufhin ein Forderungsschreiben. Für Unternehmen empfiehlt es sich, die geltend gemachte Forderung unter Heranziehung einschlägiger Rechtsprechung gründlich zu prüfen, denn die Details und der genaue Umfang des Anspruchs aus Art. 82 DSGVO sind noch ungeklärt. Es existieren sich widersprechende Gerichtsentscheidungen etwa zur Ersatzfähigkeit von Bagatellschäden und zur Beweislastverteilung. Aus diesem Grund und um eine Präzedenzwirkung zu vermeiden, ist es ratsam, Schadensersatzansprüche zunächst zurückzuweisen. Vor Gericht ist es ratsam, dann genau hinzuschauen und Klagen auf zivilprozessuale Schwachstellen zu überprüfen. Häufig sind derartige Forderungen in Bezug auf die Darlegung eines möglichen Verstoßes des beklagten Unternehmens gegen die DSGVO unzureichend begründet, was einige Verteidigungsmöglichkeiten eröffnet. Auch bei der der Darlegung eines möglichen Schadens sollte man genau hinschauen und den eigenen Tatsachenvortrag beispielsweise an den von der Rechtsprechung entwickelten Grundsatz der sekundären Darlegungslast ausrichten.

C. Effektive Gestaltung interner Prozesse

Unternehmen sollten die Vorbereitung auf die Verteidigung schon vor möglichen behördlichen Ermittlungen oder Gerichtsverfahren in den Blick nehmen, indem sie Datenschutz-Verträge, Einwilligungserklärungen, Compliance- und Datensicherheitsmaßnahmen dokumentieren. Eine möglichst gerichtsfeste Dokumentation und leichte Exportierbarkeit erleichtert die Kommunikation mit den Datenschutzbehörden und erhöht die Chancen im Prozess seiner Darlegungs- und Beweispflicht nachzukommen.

Weiterführende Ressourcen:

Autor:

Tim WybitulTim Wybitul
Partner
Latham & Watkins LLP