Читать книгу: «Privacy Litigation»
Privacy Litigation
Datenschutzrechtliche Ansprüche
durchsetzen und verteidigen
Sebastian Laoutoumai
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN: 978-3-8005-1762-6
© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main
www.ruw.de
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Druck: WIRmachenDRUCK GmbH, Backnang
Printed in Germany
Vorwort
Der Datenschutzgrundverordung (DSGVO)1 eilte vor ihrer unmittelbaren Geltung in den Mitgliedsstaaten der zweifelhafte Ruf voraus, dass sie durch ihre exorbitant anmutenden Bußgeldandrohungen Unternehmen in die Knie zwingen würde. Und tatsächlich kam es in der Folge auch vereinzelt zu teils sehr hohen Bußgeldern.2 Dass aber ein Unternehmen wegen eines solchen Bußgeldes seinen Geschäftsbetrieb aufgeben musste, dürfte in keinem Fall vorgekommen sein. Ein solcher Fall ist mir jedenfalls seit Geltung der DSGVO nicht bekannt geworden. Der Start war für die DSGVO denkbar ungünstig. Auch hat die Akzeptanz in der Folge stark gelitten. Zum einen bedeutete dieses vermeintlich neue Datenschutzrecht für viele Unternehmen einen enormen Umsetzungsaufwand. Zum anderen ist die DSGVO in zahlreichen Fragen noch auslegungsbedürftig, was zu einer enormen Rechtsunsicherheit bei den Verantwortlichen führt. Diese Rechtsunsicherheit kann gerade bei der Einführung neuer, insbesondere digitaler Geschäftsmodelle als Innovationsbremse empfunden werden. Dabei ist die DSGVO eigentlich mit dem Ziel angetreten, die Rechte der von einer Datenverarbeitung betroffenen Personen zu stärken und dadurch ein positives Signal zu senden. Nach und nach machen auch immer mehr betroffene Personen von ihren Rechten Gebrauch, die ihnen von der DSGVO zur Verfügung gestellt werden. Die private Rechtsdurchsetzung durch die betroffenen Personen stellt Unternehmen vor neue Herausforderungen, insbesondere dann, wenn die einzelnen Sachverhalte gerichtlich durchgesetzt werden. Während sich das Unternehmen im Rahmen eines Bußgeldverfahrens lediglich mit einer Datenschutzaufsichtsbehörde auseinanderzusetzen hat, besteht bei einem Datenschutzvorfall, bei dem zahlreiche Kunden betroffen sein können, die Gefahr einer Inanspruchnahme durch mehrere tausend Einzelpersonen. Der Umgang mit solchen Sachverhalten ist für Unternehmen und deren Berater nicht nur logistisch mit einem hohen Einsatz verbunden, für das Unternehmen ist auch das finanzielle Risiko, insbesondere durch den neu geschaffenen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, kaum vorhersehbar.
Die Anzahl der datenschutzrechtlichen Sachverhalte, die vor den Zivilgerichten zwischen dem verantwortlichen Unternehmen und der betroffenen Person ausgetragen werden, wird zunehmen. Das betrifft zum einen die Durchsetzung der Betroffenenrechte nach den Art. 15ff. DSGVO, aber vor allem die Durchsetzung von Ansprüchen auf Schadensersatz nach Art. 82 DSGVO. Diesem Umstand will das vorliegende Werk Rechnung tragen und einen Überblick über die materiellen und prozessualen Fragen bei der privaten Durchsetzung von datenschutzrechtlichen Ansprüchen geben. Das Werk soll dabei insbesondere eine Lücke zu der bestehenden datenschutzrechtlichen Literatur schließen, indem es sich ausschließlich auf die privatrechtliche Beziehung der Beteiligten konzentriert.
Die Arbeit an einem Werk wie dem Vorliegenden nimmt naturgemäß Zeit in Anspruch, die an anderer Stelle fehlt. Für die damit verbundene Geduld möchte ich meiner Frau und meiner Tochter herzlich danken. Euch ist dieses Buch gewidmet. Ein weiterer Dank gilt Herrn Gereon Walter für dessen tatkräftige Unterstützung.
Sebastian Laoutoumai
1 Verordnung (EU) 2016/679 2 Auswahl: LfD Niedersachsen verhängt Bußgeld in Höhe von 10.400.000,00 EUR; Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld in Höhe von 35.258.708,00 EUR; Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg verhängt Bußgeld in Höhe von 1.240.000,00 EUR; Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld in Höhe von 14.500.000,00 EUR.
Inhaltsverzeichnis
1 Vorwort
2 Einführung
3 1. Kapitel Die materiell-rechtlichen Ansprüche A. Einleitung B. Die Ansprüche der betroffenen Person im Einzelnen I. Das Recht auf Information, Art. 13, 14 DSGVO 1. Gegenstand 2. Umfang 3. Voraussetzungen a) Der Begriff der Erhebung b) Personenbezogene Daten c) Bei der betroffenen Person bzw. nicht bei der betroffenen Person d) Verpflichtung des Verantwortlichen e) Kein Ausschluss von der Informationspflicht aa) Norminterne Ausnahmetatbestände aaa) Betroffene Person verfügt bereits über Information bbb) Unmöglichkeit oder unverhältnismäßiger Aufwand ccc) Ausdrückliche Regelung ddd) Berufsgeheimnisse und satzungsmäßige Geheimhaltungspflichten bb) Ausnahmebestände außerhalb der DSGVO 4. Erfüllung a) Inhalt aa) Name und Kontaktdaten des Verantwortlichen/Vertreters bb) Kontaktdaten des Datenschutzbeauftragten cc) Zwecke und Rechtsgrundlagen der Verarbeitung dd) Berechtigte Interessen ee) Empfänger/Kategorien von Empfängern ff) Übermittlung an Drittland oder internationale Organisationen gg) Dauer der Datenspeicherung hh) Rechte der betroffenen Personen ii) Widerruflichkeit der Einwilligung jj) Beschwerderecht bei Aufsichtsbehörde kk) Freiwilligkeit der Bereitstellung ll) Bestehen einer automatisierten Entscheidungsfindung mm) Kategorien personenbezogener Daten nn) Quelle der personenbezogenen Daten b) Art der Informationsübermittlung 5. Folgen der Nicht-Erfüllung II. Recht auf Auskunft, Art. 15 DSGVO 1. Gegenstand des Auskunftsrechtes 2. Umfang des Auskunftsrechts 3. Voraussetzungen 4. Erfüllung des Auskunftsbegehrens a) Inhalt der Auskunft aa) Verarbeitungszwecke bb) Kategorien personenbezogener Daten cc) Empfänger oder Kategorien von Empfängern dd) Speicherdauer ee) Rechtsbelehrung ff) Informationen über die Herkunft der Daten gg) Bestehen einer automatisierten Entscheidungsfindung b) Abgabe von geeigneten Garantien c) Zurverfügungstellung einer Kopie d) Ausschluss des Auskunftsrechts aa) Art. 12 V S. 2 lit. b) DSGVO bb) Art. 15 IV DSGVO cc) Sonstige Ausnahmen §§ 27ff. BDSG aaa) § 27 II BDSG bbb) § 28 II BDSG ccc) § 29 I 2 BDSG ddd) § 34 BDSG e) Form und Frist der Auskunftserteilung f) Auskunft gegenüber der richtigen Person (Identitätsprüfung) 5. Folgen der Nicht-Erfüllung III. Recht auf Berichtigung, Art. 16 DSGVO 1. Gegenstand des Rechtes auf Berichtigung 2. Umfang 3. Voraussetzungen a) Unrichtige personenbezogene Daten b) Unvollständige personenbezogene Daten 4. Erfüllung 5. Folgen der Nicht-Erfüllung IV. Recht auf Löschung, Art. 17 DSGVO 1. Gegenstand 2. Umfang 3. Voraussetzungen a) Die einzelnen Gründe zur Löschung aa) Zweckerfüllung bb) Widerruf der Einwilligung cc) Widerspruchsrecht aaa) Widerspruch wegen besonderer Situation bbb) Widerspruch gegen Verarbeitung zu Werbezwecken dd) Unrechtmäßigkeit der Verarbeitung ee) Verpflichtung zur Löschung ff) Datenerhebung bei Minderjährigen b) Gründe für den Ausschluss der Löschung aa) Freie Meinungsäußerung und Information bb) Rechtliche Verpflichtung/öffentliche Aufgaben cc) Öffentliche Gesundheit dd) Archivzwecke, statistische und Forschungszwecke ee) Rechtsansprüche ff) Weitere Ausnahmen 4. Erfüllung a) die Person betreffende Daten b) Unverzüglich c) Löschung d) Informationspflicht gem. Art. 17 II DSGVO aa) Löschungs-/Informationsverlangen bb) Informationspflicht cc) Öffentlich gemachte Daten dd) Angemessene Maßnahmen 5. Folgen der Nicht-Erfüllung V. Anspruch auf Schadensersatz 1. Gegenstand 2. Verhältnis zu anderen Vorschriften 3. Voraussetzungen a) Aktivlegitimation b) Passivlegitimation c) Kausalität d) Verstoß gegen die DSGVO e) Schaden f) Haftungsausschluss VI. Anspruch auf Unterlassung 1. Gegenstand 2. Umfang 3. Voraussetzungen a) Abschließender Charakter der DSGVO b) Regelungen der DSGVO als Schutzgesetze/absolute Rechte aa) absolute Rechte bb) Schutzgesetz c) Grundsätzliche Voraussetzungen des Anspruchs aus §§ 1004 I analog, 823 BGB d) Störer e) bevorstehende oder fortdauernde Störung f) keine Duldungspflicht 4. Erfüllung 5. Folgen der Nicht-Erfüllung
4 2. Kapitel Die Durchsetzung von Ansprüchen A. Einleitung B. Die außergerichtliche Geltendmachung von Ansprüchen I. Die einfache Geltendmachung von Betroffenenrechten II. Die förmliche Aufforderung 1. Ziele und Funktionen der außergerichtlichen Aufforderung 2. Inhalt und Form der außergerichtlichen Aufforderung 3. Die Unterlassungserklärung 4. Reaktion des Verantwortlichen 5. Kostenerstattung 6. Die Zuwiderhandlung gegen eine Unterlassungs- und Verpflichtungserklärung C. Das gerichtliche Hauptsacheverfahren I. Die erste Instanz 1. Vorüberlegungen a) Individuelle Durchsetzung durch die betroffene Person b) Individuelle Durchsetzung durch Mitbewerber aa) Keine Klagebefugnis für Mitbewerber bb) Rechtsdurchsetzung in der DSGVO nicht abschließend geregelt cc) Bisherige Rechtsprechung c) Kollektive Durchsetzung durch Verbraucherschutzverbände d) Durchsetzung durch spezialisierte Anbieter 2. Die Zulässigkeit der Klage a) Die internationale Zuständigkeit b) Örtliche Zuständigkeit c) Sachliche Zuständigkeit aa) Ordentliche Gerichtsbarkeit bb) Arbeitsgerichtsbarkeit d) Die richtige Klageart aa) Leistungsklage bb) Feststellungsklage cc) Gestaltungsklage e) Bestimmtheit der Anträge f) Einbeziehung Dritter in den Prozess aa) Zulässigkeit der Streitverkündung bb) Wirkung der Streitverkündung 3. Begründetheit der Klage a) Anforderungen an den Klägervortrag aa) Schlüssigkeit des Vortrages bb) Wahrheitsgemäßer Vortrag cc) Umfang des eigenen Vortrages dd) Allgemeine Grundsätze zur Beweislast ee) Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Ansprüche b) Anforderungen an den Beklagtenvortrag aa) Allgemeine Darlegungs- und Beweislast bb) Gegenbeweis und Beweis des Gegenteils cc) Sonstige Exkulpationsmöglichkeiten c) Die Führung des notwendigen Beweises aa) Der Beweisantritt bb) Die Beweismittel cc) Die Beweiserhebung II. Die Berufungsinstanz 1. Zulässigkeit der Berufung a) Statthaftigkeit der Berufung b) Fristen im Berufungsverfahren c) Form und Inhalt der Berufung und der Berufungsbegründung 2. Begründetheit der Berufung a) Rechtsverletzung durch das Gericht erster Instanz b) Kontrolle der Tatsachenentscheidung des Gerichts erster Instanz 3. Die Entscheidung des Berufungsgerichts III. Die Revisionsinstanz 1. Zulässigkeit der Revision a) Statthaftigkeit der Revision b) Fristen im Revisionsverfahren c) Form und Inhalt 2. Exkurs: Nichtzulassungsbeschwerde 3. Begründetheit der Revision 4. Entscheidung des Revisionsgerichts III. Die Vorlage zum EuGH D. Der zivilprozessuale Eilrechtsschutz I. Einleitung II. Zulässigkeit 1. Vorliegen eines Verfügungsgrundes 2. Keine Vorwegnahme der Hauptsache III. Begründetheit IV. Das Verfahren vor Erlass einer einstweiligen Verfügung 1. Die Entscheidung mit oder ohne vorherige mündliche Verhandlung 2. Die Hinterlegung einer Schutzschrift V. Das Verfahren nach Erlass einer einstweiligen Verfügung 1. Vollziehung im Parteibetrieb 2. Widerspruch und Berufung 3. Das Abschlussverfahren
5 3. Kapitel Interviews aus der Praxis A. Sechs Fragen an Tim Wybitul, Rechtsanwalt und Partner bei der Latham & Watkins LLP. B. Sechs Fragen an Peter Hense, Rechtsanwalt und Partner der Spirit Legal Fuhrmann Hense Partnerschaft von Rechtsanwälten
6 Literaturverzeichnis
Einführung
Die Nachrichten über Datenschutzvorfälle, bei denen auch zahlreiche personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind, mehren sich.3 Dabei können die Ursachen, die zu einem solchen Vorfall geführt haben, unterschiedlich sein. So kann der Datenschutzvorfall darauf zurückzuführen sein, dass Kriminelle von außen in Schädigungsabsicht auf die IT-Systeme des betroffenen Unternehmens zugreifen und sensible Kundendaten stehlen. Ein Datenschutzvorfall kann aber auch auf einer Nachlässigkeit im eigenen Unternehmen beruhen, weil beispielsweise ein Mitarbeiter eine Datei mit sensiblen Kundendaten aus Versehen unverschlüsselt an einen falschen Empfänger versendet. Auch die massenhafte, datenschutzwidrige Überwachung der eigenen Mitarbeiter kann einen solchen Datenschutzvorfall begründen. In all diesen Fällen können Unternehmen nach Art. 33 I DSGVO dazu verpflichtet sein, diesen Datenschutzvorfall innerhalb einer Frist von 72 Stunden nach Bekanntwerden der Verletzung, gegenüber der zuständigen Datenschutzaufsichtsbehörde, zu melden. Verhängt die zuständige Aufsichtsbehörde sodann ein Bußgeld, kommt es gerade bei sehr hohen Bußgeldern zu einer entsprechenden Pressemitteilung durch die Aufsichtsbehörde. Gemeinsam haben diese Sachverhalte auch, dass nicht nur eine einzelne Person von der Verletzung ihrer Rechte betroffen ist, sondern eine Vielzahl von Personen. Für diese ist der Umstand, wie es zu diesem Datenschutzvorfall gekommen ist, in der Regel auch zweitrangig. Maßgeblich sind für die betroffenen Personen die mit diesem Datenschutzvorfall verbundenen Folgen.
Für Unternehmen begründen solche Datenschutzvorfälle, selbst wenn sie diese nicht verschuldet haben, ein erhebliches zusätzliches Prozessrisiko. Denn durch das umfangreiche Anspruchssystem in der DSGVO tritt zunehmend neben das sog. Public Enforcement der Aufsichtsbehörden das sog. Private Enforcement durch die betroffenen Personen selbst. Der bei einem Datenschutzvorfall wichtigste Anspruch der betroffenen Personen ist der auf Ersatz immaterieller Schäden nach Art. 82 DSGVO, mit seinen vordergründig wenigen Anspruchsvoraussetzungen. Und gerade wegen dieser vergleichsweise überschaubaren Anspruchsvoraussetzungen und dem Umstand, dass bei einem Datenschutzvorfall viele Personen bei einem im wesentlichen gleichen Sachverhalt betroffen sind, formieren sich zunehmend Anbieter, die sich auf die klageweise Durchsetzung von Schadensersatzansprüchen spezialisiert haben. Selbst wenn dabei der Schadensersatzanspruch der einzelnen betroffenen Person vergleichsweise moderat ausfällt, so liegt es auf der Hand, dass das finanzielle Risiko des Unternehmens bei einer Vielzahl betroffener Personen ungleich größer ist. So haben bereits erste Gerichte den betroffenen Personen einen Anspruch auf Geldentschädigung nach Art. 82 DSGVO zugesprochen, wobei an dieser Stelle anzumerken ist, dass zahlreichen dieser Entscheidungen noch Einzelsachverhalte zugrunde lagen und selten Datenschutzvorfälle mit einer Vielzahl von betroffenen Personen. Es liegt aber auf der Hand, dass, wenn sich diese Rechtsprechung durchsetzen sollte, auch die Anzahl der Schadensersatzprozesse nach einem Datenschutzvorfall sprunghaft steigen wird. Nachstehende Tabelle soll einen Überblick bereits ergangener Entscheidungen geben, bei denen dem Kläger ein Schadensersatz zugesprochen wurde.4
| Gericht | Aktenzeichen | Höhe des Schadensersatzes |
|---|---|---|
| AG Pforzheim | 13 C 160/19 | 4.000,00 EUR |
| ArbG Dresden | 13 Ca 1046/20 | 1.5000,00 EUR |
| ArbG Neumünster | 1 Ca 247c/20 | 500,00 EUR |
| ArbG Köln bestätigt durch LAG Köln | 5 Ca 4806/19 2 Sa 358/20 | 300,00 EUR |
| ArbG Düsseldorf | 9 Ca 6557/18 | 5.000,00 EUR |
| ArbG Lübeck | 1 Ca 538/19 | 1.000,00 EUR |
| LG Darmstadt | 13 O 244/19 | 1.000,00 EUR |
Demgegenüber stehen freilich auch Entscheidungen, die dem Kläger in der ersten Instanz keinen Schaden zugesprochen haben.
| Gericht | Aktenzeichen |
|---|---|
| LG Landshut | 51 O 513/20 |
| LG Köln | 28 O 71/20 |
| LG Frankfurt am Main | 2-27 O 100/20 |
| LG Hamburg | 324 S 9/19 |
| LG Frankfurt am Main | 2-03 O 48/19 |
| AG Frankfurt am Main | 385 C 155/19 (70) |
| AG Hannover | 531 C 10952/19 |
| OLG Dresden | 4 U 1680/19 |
| OLG Dresden | 4 U 760/19 |
| LG Karlsruhe | 8 O 26/19 |
| AG Diez | 8 C 130/18 |
Die Rechtsprechung ist ersichtlich uneinheitlich. Es ist aber abzusehen, dass der EuGH zu wesentlichen Fragen hinsichtlich der richtigen Auslegung von Art. 82 DSGVO und dessen Voraussetzungen Stellung beziehen wird. Dabei ist eine für beide Seiten wesentliche Frage, die es zu beantworten gilt, die, ob es für die Geltendmachung eines Schadensersatzes eine Bagatellgrenze gibt. Die Beantwortung dieser Frage ist vor allem für Unternehmen, die eine Vielzahl von personenbezogenen Daten verarbeiten, von enormer praktischer und insbesondere wirtschaftlicher Bedeutung. Denn spricht sich der EuGH auf Vorlage eines nationalen Gerichts gegen eine Bagatellgrenze aus, befeuert das das Geschäftsmodell jener Anbieter, die nach einem bekanntgewordenen Datenschutzvorfall massenhaft Ansprüche auf Schadensersatz bündeln, um diese für die betroffenen Personen gegenüber den Unternehmen durchzusetzen. Die Anzahl der Verfahren vor den deutschen Zivilgerichten wird unabhängig hiervon zunehmen, denn die DSGVO gibt den betroffenen Personen, neben einem eigenen Schadensersatzanspruch in den Art. 15ff. DSGVO, auch weitere, umfassende Ansprüche gegen den Verantwortlichen. Diese Betroffenenrechte sollen es der betroffenen Person ermöglichen, die Verarbeitung der sie betreffenden personenbezogenen Daten kontrollieren zu können und notfalls auf die Löschung oder Berichtigung der gespeicherten personenbezogenen Daten hinwirken zu können. Wie das Beispiel des Auskunftsrechtes nach Art. 15 DSGVO zeigt, sind auch diese Rechte zwischen den Beteiligten streitanfällig.5
| Gericht | Aktenzeichen |
|---|---|
| LG München I | 3 O 909/19 |
| LG Ulm | 3 O 248/19 |
| LG Stuttgart | 18 O 333/19 |
| LG Köln | 20 O 241/19 |
| LG Heidelberg | 4 O 6/19 |
| LG Dresden | 6 O 76/20 |
| OLG Köln | 20 U 57/19 |
| OLG Köln | 20 U 75/18 |
| LG Wiesbaden | 8 O 14/19 |
| LG Berlin | 35 T 14/19 |
| ArbG Bonn | 3 Ca 2026/19 |
| ArbG Düsseldorf | 9 Ca 6557/18 |
| LAG Düsseldorf | 4 Ta 413/19 |
| LAG Nürnberg | 2 Ta 76/20 |
| LAG Nürnberg | 2 Ta 123/20 |
| ArbG Neumünster | 1 Ca 247c/20 |
Die dargestellte Übersicht ist nur ein kleiner Ausschnitt der bereits zum Auskunftsrecht nach Art. 15 DSGVO ergangenen Entscheidungen. Sie zeigt jedoch deutlich, dass auch Verfahren zur Durchsetzung der Betroffenenrechte vor den Zivilgerichten deutlich zunehmen werden.
Insgesamt wird die Bedeutung der privaten Durchsetzung von Rechten aus der DSGVO steigen und gleichbedeutend damit auch die Fallzahlen bei den Gerichten. Daher lohnt sich ein Blick auf die materiellrechtlichen Ansprüche (Kapitel 1) der betroffenen Personen sowie auf die prozessualen Aspekte (Kapitel 2), die ein solches Verfahren mit sich bringt.
3 Im Oktober 2020 wurde ein Hacker-Angriff auf Scalable Capital bekannt, bei dem auf die Kontodaten zahlreicher Kunden zugegriffen wurde (Quelle: Scalable Capital: Insider-Angriff auf Robo-Advisor – Digital – SZ.de (sueddeutsche.de)); Ebenfalls im Oktober 2020 wurde ein Datenschutzvorfall bei H&M bekannt, nachdem die zuständige Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 35 Mio. EUR gegen das Unternehmen verhängt hat (Quelle: H&M-News: Datenschutzbeauftragter verhängt Rekord-Bußgeld (handelsblatt.com)); bereits im Dezember 2019 wurde ein Datenschutzvorfall bei dem Arzneimittelgroßhändler Phoenix bekannt (Quelle: Datenpanne: Phoenix verschickt sensible Daten von 211 Apotheken | APOTHEKE ADHOC (apotheke-adhoc.de)). 4 Ausführliche Tabellen mit Kurzbegründungen der Entscheidungen finden sich bei Wybitul, DSB 2021, 42ff. und Leibold, ZD-Aktuell 2021, 05043. 5 Leibold, ZD-Aktuell 2021, 04420 liefert eine Übersicht zu den aktuell festgesetzten Streitwerten für ein Auskunftsverlangen.
