von Tim WybitulStefan Patzer Dr. Isabelle Brams und Constanze Köttgen

Das Umfeld für datenschutzrechtliche Sammelklagen wird seit Jahren immer klägerfreundlicher. Gerade die Geltendmachung von immateriellen Schadensersatzansprüchen nach Art. 82 DSGVO hat sich zu einem beliebten Geschäftsfeld entwickelt, das durch diverse Gerichtsentscheidungen und Maßnahmen des Gesetzgebers immer weiter beflügelt wurde. Die deutschen Datenschutzaufsichtsbehörden wollen die entsprechenden Klagebefugnisse von Verbraucherverbänden in Zukunft noch weiter stärken. Im Juni 2022 hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einstimmig den Beschluss gefasst, sich über weitere Klagemöglichkeiten mit der Verbraucherzentrale Bundesverband auszutauschen.

Die Schlussanträge des zuständigen Generalanwalts am EuGH Campos Sánchez-Bordona im Verfahren Rs. C-300/21 könnten insofern eine Trendwende einleiten, da sie strenge Anforderungen an die Geltendmachung von immateriellen datenschutzrechtlichen Schadensersatzansprüchen stellen.

von Tim WybitulDr. Isabelle Brams

Der Europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 Leitlinien zur Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht (Leitlinien). Die Leitlinien sollen das Bußgeldrecht in den einzelnen EU-Mitgliedstaaten vereinheitlichen. Es ist damit zu rechnen, dass die deutschen Datenschutzaufsichtsbehörden die neuen Vorgaben des EDSA zukünftig bei der Berechnung und Verhängung von Bußgeldern nach Art. 83 EU Datenschutzgrundverordnung (DSGVO) zugrunde legen werden. Der nachstehende Überblick zeigt die wesentlichen Inhalte des neuen Bußgeldkonzepts und seine möglichen Folgen für die Praxis. Weitere Informationen zu den neuen Leitlinien können Sie – mit freundlicher Unterstützung von Legal Tribune Online – auch hier abrufen.

Die wichtigsten Folgen für die Praxis auf einen Blick

von Stefan Patzer und Constanze Köttgen

Der EuGH hat Ende April die Klagebefugnisse von Verbraucherschutzverbänden gestärkt, weitere richtungsweisende Entscheidungen stehen bevor. 

Seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) haben Massenklagen wegen Datenschutzverstößen kontinuierlich zugenommen. Neben den traditionell auf diesem Gebiet tätigen Verbraucherschutzverbänden tummeln sich seit einiger Zeit auch zahlreiche Rechtsdienstleister, Legal Tech-Unternehmen und Prozessfinanzierer, die Verbrauchern gegen eine Beteiligung am Erlös die Durchsetzung ihrer Ansprüche anbieten. Viele der damit zusammenhängenden Fragen warten indes noch auf Klärung durch den Europäischen Gerichtshof (EuGH). Die zeitnah anstehenden Entscheidungen werden Aufschluss geben, wie es mit dem neuen Geschäftsfeld der datenschutzbezogenen Sammelklagen weitergeht, und ob sich die privaten Anbieter dauerhaft etablieren können.

Darüber hinaus stehen aber auch für die Verbraucherschutzverbände grundlegende Änderungen an, insbesondere durch die anstehende Umsetzung der EU-Verbandsklage in deutsches Recht. In seinem Urteil vom 28. April 2022 (C-319/20) hat der EuGH die Rolle der Verbraucherschutzverbände vorerst gestärkt. Sie können Datenschutzverstöße fortan auch ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte der betroffenen Personen geltend machen.

von Tim WybitulDr. Isabelle Brams

Latham unterstützt MediaMarktSaturn vor EuGH gegen DSGVO-Schadensersatzforderung

Das Amtsgericht Hagen hat dem Europäischen Gerichtshof („EuGH“) verschiedene Fragen zur Geltendmachung von Schadensersatzforderungen nach Art. 82 DSGVO vorgelegt (Rs. C-687/21). Ein Kläger hatte von der Saturn Electro-Handelsgesellschaft Hagen mbH, einem Unternehmen der MediaMarktSaturn-Gruppe, Schadensersatz gefordert, da ihn betreffende Vertragsunterlagen versehentlich einem anderen Kunden ausgehändigt worden waren.

Der EuGH soll unter anderem entscheiden, ob Kläger bei der Geltendmachung von immateriellem DSGVO-Schadensersatz einen konkreten Schaden darlegen müssen. Zudem soll der EuGH die für die Praxis wichtige Frage beantworten, ob bereits bloßes Unbehagen einen erstattungsfähigen Schaden im Sinne von Art. 82 DSGVO begründen kann. Die anstehende Entscheidung des EuGH wird erhebliche Folgen für die Praxis haben.

von Tim WybitulDr. Isabelle Brams

Das Oberlandesgericht Dresden (Urt. v. 30.11.2021 – 4 U 1158/21) hat eine Gesellschaft und ihren Geschäftsführer als Gesamtschuldner zur Zahlung von 5.000 Euro DSGVO-Schadensersatz verurteilt. Das Gericht ging dabei davon aus, dass neben der Gesellschaft auch der Geschäftsführer als eigener datenschutzrechtlich Verantwortlicher einzustufen sei und daher für den Datenschutzverstoß persönlich hafte. Sollten weitere Gerichte dieser Auffassung folgen, hätte dies weitreichende Folgen für die Praxis. Der vorliegende Überblick fasst die wichtigsten Aspekte des Urteils zusammen und gibt einen ersten Überblick über mögliche Verteidigungsstrategien.

By Dr. Torsten Volkholz, Otto-Philipp von Gruben, and Sven Nickel

This week, the Federal Court of Justice (BGH) issued its eagerly awaited judgment on rent payment obligations during COVID-related business closures. The judgment eases, at least in part, landlords and tenants’ uncertainty about who bears the risk of official restrictions on use — namely, not one lease party alone.

The judgment[i]  is of particular importance for all commercial leases, as the BGH sets out guidelines for COVID-related rent reductions that can be applied to all industries affected by government closures during the pandemic. The BGH determined that — consistent with legislative intent (Art. 240 § 7 of the Introductory Act to the German Civil Code (EGBGB)) — COVID-related business closures were a disruption of the business basis (Störung der Geschäftsgrundlage) pursuant to § 313 German Civil Code (BGB). This disruption could lead to a rent adjustment, but this depends on a case-by-case examination of all circumstances and facts as well as the contractual and legal distribution of risk as to whether it is reasonable (zumutbar) for the tenant to adhere to the unchanged lease payments falling due whilst the lease property is closed. In any case, the BGH states that the risk of disappointed profit expectations of the tenant based on COVID-related business closures goes beyond the tenant´s ordinary risk of use, since the pandemic has resulted in the realisation of a general risk of life that cannot be assigned to one contracting party alone.

The BGH alleviated tenants and landlords’ uncertainty about the distribution of risk from the parties to the lease. However, despite the judgment, assessing whether tenants can actually demand rent adjustments is not altogether easier, because, ultimately, each case must be examined on its own merit.

von Tim Wybitul

Kläger und spezialisierte Anbieter können mit Massenklagen wegen Datenschutzverstößen viel Geld verdienen. Die Preisfrage bei Meldungen über Datenpannen oder sonstige mögliche Datenschutzverstöße: Wer freut sich darüber? Die Opfer, die deshalb klagen und die Anwälte auf beiden Seiten. Denn für sie können Fehler beim Datenschutz sehr lukrativ sein.

Lesen Sie mehr dazu auf dem Management-Blog der WiWo. Der Gastbeitrag zeigt das Geschäftsmodell der Kläger und spezialisierten Anbieter und die aktuelle Rechtsprechung zum DSGVO-Schadensersatz. Er zeigt, welche Risiken

von Tim Wybitul

Gerade im Datenschutz war 2021 ein Jahr voller Neuigkeiten und Ereignisse. Europäische Datenschutzbehörden haben DSGVO-Bußgelder in dreistelliger Millionenhöhe verhängt. Es dürfte spannend werden, ob mit der Überprüfung dieser Bußgelder befassten Gerichte die von den Datenschutzbehörden verhängten Geldbußen bestätigen. In einem anderen Fall hat das ein deutsches Gericht eine verhängtes Millionenbußgeld bereits für unwirksam erklärt. Auch hier bleibt abzuwarten, wie die Rechtsmittelinstanz entscheiden wird.

von Tim WybitulDr. Isabelle Brams

Nach der Auffassung der Richter soll bereits ein Verstoß gegen datenschutzrechtliche Vorgaben einen zu ersetzenden Schaden nach Art. 82 Abs. 1 EU Datenschutz-Grundverordnung (DSGVO) darstellen. Die Haftung des Verantwortlichen soll zudem kein Verschulden voraussetzen.

Der 8. Senat des Bundesarbeitsgerichts (BAG) hat dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 28. August 2021 einige Rechtsfragen zur Auslegung von Art. 9 und Art. 82 DSGVO zur Vorabentscheidung vorgelegt (Beschl. v. 26.08.2021 – 8 AZR 253/20 (A), hier abrufbar). Das BAG trifft dabei bereits einige recht deutliche Aussagen zu der aus seiner Sicht maßgeblichen Auslegung von Art. 82 DSGVO. Das BAG befürwortet eine sehr weite Auslegung der Norm und stellt ungewöhnlich niedrige Anforderungen an die Geltendmachung von Schadensersatz wegen Datenschutzverstößen. Danach soll bereits der bloße Verstoß gegen die Vorgaben der DSGVO einen ersatzfähigen immateriellen Schaden begründen. Die Haftung nach Art. 82 DSGVO setzt aus Sicht des BAG auch kein schuldhaftes Handeln des Verantwortlichen voraus. Sollte der EuGH diese extensive Auslegung bestätigen, drohen Unternehmen weitreichende Haftungsrisiken bis hin zu DSGVO-Massenklagen. Aber auch für bereits jetzt schon vor deutschen Gerichten anhängige Klagen wegen DSGVO-Schmerzensgeldern hat die Entscheidung Auswirkungen. Der vorliegende Beitrag stellt den Beschluss des BAG und seine Folgen für die Praxis dar.

von Tim Wybitul, Prof. Dr. Thomas Grützner, Dr. Stefan Bartz, Dr. Isabelle Brams

Die deutschen Datenschutzbehörden verhängen derzeit Bußgelder wegen Verstößen gegen die DSGVO direkt gegen das jeweilige Unternehmen. Diese Möglichkeit ergibt sich nach Ansicht der Behörden aus dem sogenannten (kartellrechtlichen) „funktionalen Unternehmensbegriff“, der in Erwägungsgrund 150 S. 3 DSGVO angelegt sei. Art. 83 DSGVO enthalte demnach eine Funktionsträgerhaftung, die den Regelungen des deutschen Ordnungswidrigkeitengesetzes (OWiG) vorgehe. Für die Behörden würde dies in der Praxis – vereinfacht gesagt – zu faktischen Beweiserleichterungen bei der Verhängung von Bußgeldern führen.

Das Landgericht Bonn gab den Datenschutzbehörden in dieser Frage in einer Entscheidung aus dem Jahr 2020 Recht. Die nach deutschem Recht geltenden §§ 130, 30 OWiG, die eine zurechenbare Anknüpfungstat einer Leitungsperson voraussetzen, widersprächen EU-Recht. Sie seien daher bei DSGVO-Bußgeldern nicht anwendbar. Das Landgericht Berlin gelangte in einer nicht rechtskräftigen Entscheidung zum gegenteiligen Ergebnis.