Eine EU-Richtlinie ermöglicht, dass sich viele Geschädigte zu einer kollektiven Klage zusammentun. Das kann besonders bei Verletzung des Datenschutzes sinnvoll sein. Denn bei kleinen Summen tun es sich Einzelne nicht an, den Schaden in einem teuren Prozess zurückzufordern.
Wenn Sie auf eine neue Website kommen, poppt immer die Frage auf, ob Sie den „Cookies“ zustimmen. Mit jedem Klick hinterlassen wir Spuren im Internet, und manchmal entsteht gar ein Schaden durch die Verletzung des Datenschutzes. Zum Beispiel, wenn Unternehmen die Daten ohne Zustimmung der Betroffenen für personalisierte Werbung verwenden (Targeted Advertising). Derzeit sind bereits gegen einige Unternehmen Klagen wegen Targeted Advertising anhängig – etwa gegen die Videoplattform TikTok.
Karl Wörle, Fachbereichsleiter für Wirtschaftsrecht an der FH BFI Wien, und Oskar Josef Gstrein von der Universität Groningen in den Niederlanden untersuchten nun, wie in der EU der Datenschutz mit Verbandsklagen bzw. Sammelklagen zusammengeht. „Bei Datenschutz-Verstößen geht es oft nicht um große Summen für die einzelnen Geschädigten“, sagt Wörle.
Wegen 100 oder 200 Euro Schadenersatz tut man sich kaum eine Klage gegen ein Unternehmen an, die in hohen Prozesskosten enden würde. Daher sind Verbandsklagen eine gute Möglichkeit, die Ansprüche mit anderen Geschädigten zu bündeln.
Sammelklagen in den USA
„Es gibt eine neue EU-Richtlinie für diesen kollektiven Rechtsschutz. In den USA sind große Sammelklagen schon lang üblich, in der EU soll nun auch ein gemeinsamer Mindeststandard etabliert werden. Dabei bleibt es jedoch den EU-Mitgliedstaaten vorbehalten, wie die Verbandsklagen im Detail umgesetzt werden“, erklärt Wörle.
Wörle und Gstrein untersuchten genau diese nationalen Umsetzungen der Verbandsklagen-Richtlinie, und zwar aus der Sicht des Datenschutzes und des Prozessrechts. „In Österreich ist diese neue EU-Richtlinie leider noch nicht umgesetzt, obwohl das seit einem Jahr überfällig ist. Aber da fehlt anscheinend der politische Konsens“, erzählt Wörle. Daher verglichen die zwei Rechtswissenschaftler die Implementierungen aus den Niederlanden und Deutschland.
Die holländische Umsetzung schließt automatisch alle Geschädigten in eine Verbandsklage ein: „Das heißt Opt-out-Modell, also man wird als Geschädigter automatisch einbezogen. Man kann aber austreten, wenn man nicht Teil dieser Klage sein will.“ In Deutschland hingegen, beim Opt-in-Modell, muss jede und jeder Geschädigte selbst aktiv werden, um sich an einer Sammelklage zu beteiligen, wenn es zu Schäden durch Datenschutz-Verstöße kommt.
Vorbild Niederlande
„Der kollektive Rechtsschutz-Mechanismus in den Niederlanden ist sehr verbraucherfreundlich. Die niederländischen Gerichte müssen zwar noch klären, ob das Opt-out auch bei Verstößen gegen die Datenschutz-Grundverordnung DSVGO zur Anwendung kommt. Aber so ein Modell wäre grundsätzlich auch für Österreich zu empfehlen“, sagt Wörle. Denn oft wüssten die Betroffenen gar nicht, dass sie zu den Geschädigten gehören: Da zahlt sich eine automatische Beteiligung an Sammelklagen aus.
„Das Thema ist aber schwierig, weil man auch die Seite der Unternehmen beachten muss. Für sie können hohe Schadenersatzforderungen aus Sammelklagen existenzbedrohend sein“, betont Wörle. Immerhin multipliziert sich der Schadenersatz mit der Zahl der Geschädigten, wodurch auch kleine Beträge in Masse schwer wiegen. „Da muss man die Balance finden, insbesondere da die DSGVO schon so hohe Geldbußen vorsieht: Datenschutzrecht soll ja ein Ermöglichungsrecht sein und kein Verhinderungsrecht“, sagt Wörle.
Pauschalsatz wäre sinnvoll
So gut sich Sammelklagen eignen, um Schadenersatz geltend zu machen, bei dem Vermögensschäden durch Datenschutz-Verstöße entstanden sind (etwa, wenn Identitäten mit Versicherungsnummern und Kreditkarten-Infos gestohlen wurden), so schwierig ist es, Ersatz für nicht unmittelbar in Geld aufwiegbare, „immaterielle Schäden“ einzuklagen (wie zum Beispiel bei zielgerichteter Werbung).
„In dem Fall könnten Schadenersatz-Pauschalsätze eine Lösung sein“, sagt Wörle. Das habe sich bei anderen immateriellen Schäden wie Flugverspätung, Schmerzengeld oder entgangenen Urlaubsfreuden auch bewährt.
In Zahlen
725 Millionen US-Dollar an Entschädigung musste das Unternehmen Meta (Facebook) nach einer Sammelklage im Cambridge-Analytica-Datenskandal an die Geschädigten zahlen.
2018 ist in der EU die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Die neue Richtlinie für den kollektiven Rechtsschutz (Verbandsklagen-RL) war von den EU-Mitgliedstaaten bis Ende 2022 zu implementieren. Österreich hat diese aber noch nicht umgesetzt.