Neue Bestimmungen der DSGVO
Banken sehen sich Schadensersatzklagen ausgesetzt
 

Verbraucheranwälte wittern neue Geschäftschancen, in dem sie Schadensersatz infolge immaterieller Schäden nach der DSGVO erstreiten. Vor allem Banken sind in Bezug auf mögliche Klagen Risiken ausgesetzt.

die bank: Herr Wybitul, Herr Baus, Banken und Finanzdienstleister müssen nach Datenpannen mit Schadensersatzforderungen von betroffenen Personen rechnen. Woran liegt das?

Tim Wybitul: Der Grund dafür sind die neuen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zum Schadensersatz. Die DSGVO erlaubt neuerdings in Deutschland und anderen EU-Staaten einen weitreichenden Ersatz von immateriellen Schäden. Solche Schäden spiegeln nicht den Verlust von Vermögenswerten wider, sondern betreffen beim Datenschutz beispielsweise vor allem das Persönlichkeitsrecht. Gerade Banken verarbeiten sehr viele und zugleich sensitive Daten ihrer Kunden. Daher sind sie auch in Bezug auf mögliche Schadensersatzklagen besonderen Risiken ausgesetzt.

Christoph Baus: Finanzinstitute sind gebrannte Kinder, wenn es um Massenklagen ihrer Kunden geht. Die Anerkennung von immateriellen Schäden fügt nun aber eine neue Dimension hinzu. Am Beispiel der USA zeigt sich: Die Kombination aus hohen Schadensersatzleistungen für immaterielle Schäden, einem etablierten Class Action-System und auf Massenverfahren spezialisierten Klägeranwälten führt dazu, dass sich Banken und Finanzdienstleister vielen Schadensersatzprozessen mit hohen Forderungen ausgesetzt sehen. Hinzu kommt noch die Möglichkeit für Geschädigte, über die sogenannte pre-trial discovery Einblick in die Geschäftsunterlagen von Unternehmen zu erlangen. Die hohe Anzahl Betroffener und die seit 2018 geltende Regelung zu Schadensersatz der DSGVO könnte jetzt zu einer ähnlichen Situation in Deutschland und Europa führen.

die bank: Sie sagen „könnte“. Bestehen also noch Unklarheiten in der DSGVO? 

Wybitul: Ja. Denn die Regelung der Verordnung zum Schadensersatz lässt nicht eindeutig erkennen, in welchem Maß Betroffene immaterielle Schäden ersetzt verlangen können. Die DSGVO hat unterschiedliche Ziele. Sie bezweckt aus datenschutzrechtlicher Perspektive einerseits einen wirksamen, effektiven Schadensersatz. Andererseits sollen die Bestimmungen aus ökonomischer Perspektive auch nicht zu einem ausufernden Missbrauch von Schadensersatzansprüchen führen. Diese Zwecke könnten kollidieren. Sie eröffnen jedenfalls Argumentationsspielraum und wir sehen schon Anzeichen, dass findige Klägeranwälte diesen ausnutzen.

die bank: Welche Anzeichen sehen Sie?

Baus: Ein Beispiel ist etwa die in Berlin ansässige „Europäische Gesellschaft für Datenschutz mbH“ (EuGD). Sie bietet auf ihrem Online-Portal Verbrauchern an, deren Betroffenenrechte unter der DSGVO gerichtlich durchzusetzen. Verbraucher können das Unternehmen beauftragen, im Fall einer Datenpanne Schadensersatzforderungen für sie geltend zu machen. Das Geschäftsmodell des Unternehmens ist vor allem aus drei Gründen erfolgversprechend. Zuerst besteht ein erheblicher Anreiz für Verbraucher, das Angebot des Unternehmens zu nutzen, denn sie tragen weder Anwalts- noch Prozesskosten. Sie haben also weder ein finanzielles Risiko noch einen großen zeitlichen Aufwand. Zudem erhalten Verbraucher bei Erfolg der Klage drei Viertel der Schadensersatzsumme. Auch für die EuGD besteht ein ökonomischer Anreiz. Denn sie behält demnach das verbleibende Viertel des Schadensersatzes.

die bank: Hatten europäische Gerichte schon die Chance, die Reichweite des Ersatzes immaterieller Schäden durch ihre Rechtsprechung zu konkretisieren?

Wybitul: Eine einheitliche Rechtsprechung zum immateriellen Schadensersatz nach Datenschutzverstößen gibt es noch nicht. Einige deutsche Gerichte haben allerdings an den Ersatz immaterieller Schäden nicht unerhebliche Voraussetzungen gestellt. Betroffene Personen müssten danach für den Ersatz immaterieller Schäden tatsächliche, benennbare Persönlichkeitsverletzungen vorweisen. Damit wären insbesondere Bagatellschäden ausgeschlossen. Dies ist ein positives Signal für Banken. Dagegen hat ein österreichisches Gericht vor Kurzem einen immateriellen Schaden in Höhe von 800 Euro für einen einzelnen Betroffenen anerkannt. Bis sich hier eine einheitliche europäische Rechtsprechung bildet, wird es noch dauern.

die bank: Die Rechtslage ist also noch weitgehend unklar. Was folgt daraus für Finanzinstitute?

Baus: Die weitreichende Unklarheit dürfte in Zukunft zu mehr Schadensersatzklagen und einem höheren datenschutzrechtlichen Aufwand führen. Dies gilt sowohl für Banken und Finanzdienstleister, als auch für andere Unternehmen. Denn besonders für Verbraucheranwälte sind die Unklarheiten bei immateriellen Schäden sehr attraktiv. Gewinnt ein Verbraucheranwalt nun ein solches Verfahren und erstreitet immateriellen Schadensersatz von einem Unternehmen, kann er das Verfahren gut als Präzedenzfall und für Werbezwecke verwenden. Dies kann ein lukratives Geschäftsmodell sein. Denn auf Grund der Streuwirkung bei Datenschutzpannen sind oft eine Vielzahl von Personen potenziell betroffen. Banken verarbeiten beispielsweise besonders im Retail-Geschäft typischerweise personenbezogene Daten von einer Vielzahl an Privatkunden. Deshalb kann ein Verbraucheranwalt nach einem erfolgreichen Präzedenzfall die Schadensersatzforderungen der betroffenen Personen durch Abtretungen zu einer umfangreichen Gesamtsumme bündeln.

die bank: Wie können Verantwortliche auf diese neuen Möglichkeiten der Massenklagen reagieren?

Wybitul: Verantwortliche sollten daran denken, sich auf potenzielle Massenklagen zeitnah und effektiv vorzubereiten. Eine Herausforderung von Massenklagen ist es, eine hohe Menge an Klagen in dem vorgegebenen, knapp bemessenen Zeitraum zu bearbeiten. Reagieren Unternehmen etwa zu spät auf Auskunftsanfragen der Betroffenen nach Art. 15 DSGVO, drohen Bußgelder durch die Datenschutzbehörden und weitere Schadensersatzforderungen. Banken sollten deshalb die notwendigen personellen und technischen Ressourcen bereitstellen, um im Ernstfall die effektive und zügige Behandlung der Klagen zu gewährleisten.

die bank: Was bedeutet das konkret?

Wybitul: Konkret können Banken beispielsweise Ablaufpläne für die Behandlung von Klagen vorbereiten. Solche Prozesse helfen, im Ernstfall die Klagebearbeitung zu strukturieren und zu beschleunigen. Weiterhin müssen Finanzinstitute klare Verantwortlichkeiten festlegen. Denn eine Datenpanne liegt typischerweise an der Schnittstelle zwischen der betroffenen Abteilung, der IT- und der Rechtsabteilung. Zudem müssen die Institute belastbare Verteidigungsstrategien entwickeln. Für eine wirksame Verteidigung sollten Banken auch daran arbeiten, alle relevanten Datenverarbeitungen nachvollziehbar und abrufbereit zu dokumentieren. Denn im Fall eines Verfahrens trägt das beklagte Unternehmen unter der DSGVO zumindest einen erheblichen Teil der Beweislast. Unternehmen müssen die Einhaltung der Bestimmungen der DSGVO weitgehend nachweisen. Gegebenenfalls müssen auch Banken und Finanzdienstleister deshalb die entsprechenden beweiserheblichen Unterlagen in einem Gerichtsverfahren vorlegen.

Baus: Banken sollten Strategien entwickeln, um Klagen vorzeitig zu verhindern. Viel kann hier schon im Vorfeld durch frühzeitige und professionelle Kommunikation mit Verbrauchern verhindert werden. Die Institute sollten zuverlässig ihrem Auskunftsrecht nach Artikel 15 DSGVO nachkommen, indem sie Verbrauchern die notwendigen Informationen über die Datenverarbeitungen mitteilen. Auf diese Weise können sie die Risiken potenzieller Klagen zumindest eindämmen. Auch hier lässt sich ressourcensparend auf Funktionen der Künstlichen Intelligenz zurückgreifen, um automatisch erstellte Auskünfte und Informationen an Verbraucher zu senden. Zusammenfassend können Banken und Finanzdienstleister potenziellen Massenklagen effektiv begegnen, indem sie frühzeitig eine belastbare technische, logistische und rechtliche Infrastruktur entwickeln.

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
03.09.2019
Quelle(n):

Bildquelle: iStock.com/BIMKA1

Autor/in 
Redaktion die bank


Tim Wybitul ist Partner im Bereich Datenschutz bei der Anwaltskanzlei Latham & Watkins. Ein Schwerpunkt seiner Tätigkeit ist die Umsetzung der DSGVO.



Dr. Christoph A. Baus ist Chair des deutschen, und ehemaliger Vice-Chair des globalen Litigation & Trial Departments von Latham & Watkins.

Weitere Artikel 
Webkiosk 

Die Zeitschrift

Ausgabe 07/2019

Jetzt online lesen »

 

 

Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Der Newsletter erscheint mindestens einmal im Monat und informiert Sie über aktuelle Beiträge und News.

 Anmeldung

 Newsletter-Archiv