Data Protection Litigation

Die Zahl der streitigen Verwaltungs- und Gerichtsverfahren im Bereich des Datenschutzes nimmt sowohl im europäischen Ausland als auch in Deutschland stetig zu. Für Unternehmen ist es vor diesem Hintergrund essentiell, sich frühzeitig und strategisch mit den Herausforderungen, Chancen und Risiken der Data Protection Litigation auseinanderzusetzen.

LED Bildschirm Data Protection Litigation
Wir unterstützen Unternehmen in allen Feldern der Data Protection Litigation. Wir verteidigen Unternehmen gegen zivilrechtliche Schadensersatzansprüche, arbeitsrechtliche Kündigungsschutzprozesse oder Auskunftsansprüche und unterstützen sie bei der Abwehr behördlicher Maßnahmen und Bußgelder.

Full Service

Wir bieten Full Service. Unser eingespieltes interdisziplinäres „Data Protection Litigation Team“ aus am Markt anerkannten Expertinnen und Experten deckt alle relevanten rechtlichen Themen und Facetten der Data Protection Litigation umfassend ab.

Das Datenschutzrecht bildet dabei den Schwerpunkt und zugleich das inhaltliche Scharnier zu anderen Bereichen, insbesondere den maßgeblichen Verfahrens- und Prozessordnungen auf allen Ebenen der Data Protection Litigation. Essentiell für eine effektive Bewältigung der vielfältigen Themen und Facetten der Data Protection Litigation ist dabei vor allem auch ein nahtloses Ineinandergreifen der Beratung in allen tangierten Bereichen.

Als Full-Service-Kanzlei mit hochspezialisierten Expertinnen und Experten in allen wirtschaftsrelevanten Rechtsgebieten ist es eine unserer Stärken, unsere Mandanten an den Schnittstellen mehrerer Rechtsgebiete mit fachbereichsübergreifenden Teams zu unterstützen. Das unterscheidet uns von der Masse unserer Wettbewerber.

  • Die Anwältinnen und Anwälte unserer Praxisgruppe Datenschutz sind ausgewiesene Expertinnen und Experten und verfügen über umfassende Praxiserfahrung in der Begleitung von Mandanten auf allen Ebenen der Data Protection Litigation.
    Zur Praxisgruppe Datenschutz.
  • Noerr zählt im Bereich  Litigation zu den marktführenden Kanzleien in Deutschland. Wir verfügen über herausragende Expertise bei der Abwehr von Verbandsklagen und weiteren Verfahren des kollektiven Rechtsschutzes sowie der strategischen und effizienten Bewältigung von Massenverfahren. 
    Zur Praxisgruppe Kollektiver Rechtsschutz & Massenverfahren.
  • Unsere etablierte Regulierungspraxis verfügt über umfangreiche und anerkannte Erfahrung im Verwaltungs- und Verwaltungsprozessrecht. Wir haben in zahlreichen Verfahren vor nationalen und internationalen Gerichten Unternehmen und die Öffentliche Hand erfolgreich vertreten.
    Zur Praxisgruppe Regulierung & Governmental Affairs.
  • Noerr verfügt auch über eine beispiellose Erfahrung in der Verteidigung von Unternehmen und Individualpersonen in Straf- und Bußgeldverfahren gegenüber Verwaltungsbehörden, Steuer- und Zollfahndung, Polizei, Staatsanwaltschaft und vor Gericht.
    Zur Praxisgruppe Compliance & Interne Untersuchungen.
  • Im Rahmen arbeitsrechtlicher Streitigkeiten vertreten wir unsere Mandanten bei der Abwehr datenschutzrechtlicher Ansprüche von Arbeitnehmern, insbesondere im Zusammenhang mit Kündigungssachverhalten.
    Zur Praxisgruppe Arbeitsrecht.
  • Wir sind überzeugt, dass Beratung zu Haftung und Versicherung einander eng bedingen. Insoweit bildet auch die versicherungsrechtliche Beratung einen Schwerpunkt im Rahmen unseres fachbereichsübergreifenden Beratungsansatzes.
    Zur Praxisgruppe Haftung & Versicherung.

Wir setzen moderne Legal Tech-Lösungen ein. Dies ist ein Schlüsselelement effektiver und zugleich effizienter Bearbeitung.

 

  • Gerade bei Massenverfahren gewährleisten Legal Tech Lösungen eine optimale Abwicklung. Unsere Litigation Engine NOERR LEAN ist in einer Vielzahl von Fallkomplexen erprobt und die Grundlage effizienter Abläufe und für aktuelles Reporting auf Basis modernster Datenbanklösungen. Zum  Projektmanagement tritt die konkrete Abwehr von Einzelansprüchen mit Unterstützung der anwaltlichen Arbeit durch Dokumentenanalyse (Technology Assisted Review – TAR) und Dokumentenautomatisierung (Workflow Automation).
  • Mit einer kanzleiweiten Legal Tech Gruppe und dem Noerr Digital Legal Competence Center, das aus Rechtsanwältinnen und Rechtsanwälten, Legal Engineers und IT Spezialistinnen und Spezialisten besteht, entwickeln wir das Zusammenspiel von Legal Tech and anwaltlicher Beratung stetig weiter und gewährleisten, dass im Mandat die für den individuellen Fall optimalen Lösungen zum Einsatz kommen.

Noerr 360°-Ansatz

Wir unterstützen unsere Mandantendabei, behördliche Maßnahmen und zivilrechtliche Ansprüche im Idealfall bereits durch eine gezielte und rechtzeitige Vorbereitung zu vermeiden. Wichtige Themen dabei sind:

 

  • Der Aufbau einer robusten Datenschutz-Governance im Unternehmen bildet das Rückgrat effektiver Prävention. Sie setzt die Leitplanken für alle operativen, technischen und organisatorischen Themen und bildet den Rahmen für eine datenschutzkonforme Gestaltung von Geschäftsprozessen und IT-Systemen.
  • Ein wirksames Betroffenenrechtemanagement: Kläger stützen Schadensersatzforderungen zunehmend auf angebliche Verstöße gegen die datenschutzrechtliche Auskunftspflicht.
    Mit Blick auf die Prävention spielt dabei auch die sorgfältige Kommunikation mit den Betroffenen und ggf. Datenschutzbehörden eine wichtige Rolle.
  • Ein robuster Prozess zur Bewertung und Handhabung von Datenschutzvorfällen, insbesondere von Meldungen an die zuständigen Behörden und Benachrichtigungen betroffener Personen innerhalb der gesetzlichen Fristen.

Eine aufmerksame Öffentlichkeits- und Medienarbeit kann dazu beitragen, potentielle Themen frühzeitig zu erkennen und strategische Maßnahmen kommunikativ zu begleiten, etwa in Reaktion auf Presseberichterstattung oder behördliche bzw. gerichtliche Pressemitteilungen.

Soweit es dennoch dazu kommt, vertreten wir Mandanten sowohl in behördlichen Verfahren als auch außergerichtlich und gerichtlich.

 

  • Drohen behördliche Maßnahmen oder zivilrechtliche Inanspruchnahmen, beraten wir Sie bereits in den ersten Verfahrensstadien umfassend.
  • Begleitung von behördlichen Vor-Ort-Kontrollen im Unternehmen
  • Vertretung in Verwaltungs- und ggf. Bußgeldverfahren
  • Sorgsame strategische Weichenstellungen, beispielweise zu den Möglichkeiten einer außergerichtlichen Streitbeilegung zur Vermeidung gerichtlicher Auseinandersetzungen und damit einhergehender Kosten sowie negativer Präzedenzfälle
  • Dies gilt sowohl im Zusammenhang mit der Abwehr behördlicher Maßnahmen als auch bei zivilrechtlichen Ansprüchen
  • Im Fall gerichtlicher Auseinandersetzungen gewährleisten wir mit unserer umfassenden rechtlichen Expertise eine schlagkräftige Anspruchsabwehr.
  • Ein auf Ihre individuellen Bedürfnisse abgestimmtes flankierendes Reporting bietet die notwendige Grundlage für strategische Entscheidungen und kurzfristige Reaktionen auf sich verändernde Umstände.
  • Durch individuell zusammengestellte Expertenteams und den Einsatz moderner Legal Tech-Instrumente ermöglichen wir eine erfolgreiche und gleichzeitig kosteneffiziente Verfahrensführung.

Wir unterstützen bei der Regulierung von Schäden und Verfolgung von Rückgriffsansprüchen gegen Angreifer, Dienstleister, Versicherer und Organe.

 

  • Prüfung des Versicherungsschutzes:
    Es gibt eine Reihe von gewerblichen Versicherungen, die Versicherungsschutz im Fall der Abwehr behördlicher Maßnahmen und zivilrechtlicher Ansprüche bieten. Die meisten der am Markt verfügbaren Cyberversicherungen bieten etwa Versicherungsschutz auch im Fall reiner Datenschutzverletzungen. Häufig finden sich in den Verträgen zudem Regelungen zum Ersatz von Bußgeldern oder zur Übernahme von Rechtsberatungskosten bei Einleitung behördlicher Verfahren. Daneben besteht Versicherungsschutz regelmäßig im Rahmen von Haftpflicht- oder (Straf-)Rechtsschutzversicherungen. Zur Wahrung versicherungsvertraglicher Obliegenheiten ist im Schadenfall deshalb frühzeitig der Versicherungsschutz zu prüfen und auf eine rechtzeitige Einbeziehung der Versicherer in die Schadenregulierung zu achten.
  • Verfolgung von Ansprüchen gegen potentielle Schädiger und Dritte. Gegen die eigentlichen Schädiger, beispielsweise den Angreifer bei einem Cyber-Angriff, laufen bestehende Ansprüche häufig ins Leere, so dass das Unternehmen primär auf Ansprüche gegen externe Dienstleister zurückgreifen wird.
  • Datenschutz-Organisation ist eine Managementaufgabe. Neben weiteren Ansprüchen gegen den Versicherer sind für den Fall, dass nur unzureichende Organisations- oder Schutzmaßnahmen getroffen wurden, deshalb stets auch Ansprüche gegen Organe naheliegend. Die Inanspruchnahme der Geschäftsleitung und des dahinter stehenden D&O-Versicherers liegen nahe, soweit der Schadenfall – wie häufig – nicht hinreichend über andere Versicherungen abgedeckt ist. In den USA sind bereits erste Haftungsprozesse gegen Manager bekannt geworden, die in hohen Vergleichen endeten.

Wir begleiten unsere Mandanten bei der Umsetzung solcher Konzepte und beraten auf Wunsch gemeinsam mit bewährten Experten aus den Bereichen PR und Krisenkommunikation zu deren Entwicklung.

Behördliche und gerichtliche Auseinandersetzungen infolge von Datenschutzverstößen rücken immer häufiger in den Fokus der medialen Öffentlichkeit. Begünstigt wird diese Entwicklung dadurch, dass professionalisierte Klägerkanzleien zivilgerichtliche Auseinandersetzungen verstärkt mit einer gezielten Kommunikationsstrategie verbinden, um die öffentliche Meinung in ihrem Sinne zu beeinflussen und weitere Verbraucher von einer Klage zu überzeugen. Wichtiger Baustein einer erfolgreiche Verteidigung ist daher die frühzeitige Entwicklung eines auf den konkreten Einzelfall zugeschnittenen umfassenden Kommunikationskonzepts.

Herausforderungen

Die DS-GVO stellt enorme Anforderungen an die Datenschutz-Compliance für Unternehmen in Europa. Das liegt zum einen an den hohen Bußgeldern, die die DS-GVO Verantwortlichen und Auftragsverarbeitern bei Verstößen androht. Zum anderen bringt die DS-GVO als selbsternannter „Gold-Standard“ des Datenschutzes im Vergleich der weltweiten Rechtsordnungen aber auch verschärfte inhaltliche und organisatorische Anforderungen an die Verarbeitung personenbezogener Daten mit sich.

Unternehmen müssen beispielsweise

 

  • Betroffenen auf Anfrage innerhalb kurzer Fristen umfassend Auskunft über die Verarbeitung ihrer personenbezogenen Daten geben und Kopien der Daten überlassen,
  • strengen organisatorischen Anforderungen an eine Begrenzung der Speicherdauer und die Löschung von personenbezogenen Daten gerecht werden, und
  • geeignete Garantien für den Transfer von personenbezogenen Daten in Drittländer wie die USA vorsehen, die den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe gewähren.

Die Liste ließe sich beliebig fortführen. Die hohen Anforderungen gehen einher mit einer Vielzahl ungeklärter Rechtsfragen sowie einer sich ständig weiterentwickelnden Praxis der Behörden und Gerichte im europäischen Verbund. Es liegt auf der Hand, dass sich in dieser Gemengelage Datenschutzverstöße im Geschäftsbetrieb eines Unternehmens nicht immer mit absoluter Sicherheit verhindern lassen.

Die Unklarheiten in der Rechtslage betreffen auch Fragen des zivilrechtlichen Schadensersatzes wegen Datenschutzverstößen und seiner prozessualen Durchsetzung. Sie reichen von der Verteilung der Darlegungs- und Beweislast, über die Ersatzfähigkeit immaterieller Schäden bzw. das Erfordernis einer Erheblichkeitsschwelle, bis hin zu der Frage, in welchem Umfang und unter welchen Voraussetzungen eine Anspruchsbündelung durch Klagevehikel gestützt auf eine Inkassoregistrierung zulässig ist.  Noerr ist führend bei der Abwehr solcher Klagevehikel und unsere Arbeit hat die Rechtsprechung entscheidend mit geprägt.

Zudem entwickelt sich der Rechtsrahmen u.a. zur kollektiven Rechtsdurchsetzung im Datenschutzrecht stetig fort. So muss der deutsche Gesetzgeber aufgrund der Vorgaben der Richtlinie (EU) 2020/1828 über Verbandsklagen bis spätestens Mitte 2023 eine auf Schadensersatz gerichtete kollektive Leistungsklage einführen, mit der qualifizierte Einrichtungen, wie z.B. Verbraucherschutzverbände, auch bei Verstößen gegen das Datenschutzrecht für eine Vielzahl von Betroffenen direkt auf Schadensersatz klagen können.

Weitere Informationen dazu lesen Sie hier.

Ausgangspunkt für die Verfolgung von Schadensersatz ist die Kenntnis von einem möglicherweise schadensersatzpflichtigen Ereignis. Klagewilligen stehen dabei eine Reihe von Informationsquellen zur Verfügung:

 

  • Neben der allgemeinen Medienberichterstattung veröffentlicht bspw. der Europäische Datenschutzausschuss auf seiner Webseite Entscheidungen der federführenden Aufsichtsbehörden in grenzüberschreitenden Verfahren wegen Datenschutzverstößen. Auch die deutschen Behörden geben regelmäßig in Pressemitteilungen und Jahresberichten Hinweise zu Aufsichtsverfahren gegen Unternehmen.
  • Darüber hinaus können die Unternehmen selbstgesetzlich verpflichtet sein, Betroffene unverzüglich zu benachrichtigen, wenn es zu einem Datenschutzvorfall mit voraussichtlich hohem Risiko für die betroffenen Personen gekommen ist.
  • Zur Vorbereitung von Klagen nutzen Betroffene zunehmend auch proaktiv ihr Auskunftsrecht nach Art. 15 DS-GVO. Dies ist aus Klägersicht vor allem deswegen interessant, weil eine mangelhafte Auskunftserteilung ihrerseits Schadensersatzpflichten auslösen kann.

Nachdem die europäischen Aufsichtsbehörden nach Inkrafttreten der DS-GVO zunächst noch relativ zurückhaltend waren, nehmen ihre Aktivitäten im Bereich von Verwaltungs- und Bußgeldverfahren in den vergangenen Jahren stetig zu.

In Deutschland haben in der jüngeren Vergangenheit bereits Millionenbußgelder für Aufsehen gesorgt. In anderen europäischen Ländern haben Aufsichtsbehörden sogar bereits Bußgelder in dreistelliger Millionenhöhe verhängt.

Dabei koordinieren die Aufsichtsbehörden ihre Arbeit nicht nur auf föderaler Ebene innerhalb Deutschlands, sondern auch im europäischen Verbund.

In den letzten Jahren hat sich eine zunehmend professionalisierte Klägerindustrie entwickelt, die, gestützt auf Legal-Tech-Lösungen, in der Lage ist, eine große Anzahl von Rechtsstreitigkeiten zu führen. Die Erfahrungen etwa aus Kartellschadensersatzverfahren, aus der Diesel-Thematik sowie mit dem „Widerrufsjoker“ bei Verbraucherdarlehensverträgen zeigen das anschaulich. Die zunehmende Digitalisierung erleichtert die automatisierte Geltendmachung von Ansprüchen der vermeintlich Betroffenen, so dass Unternehmen mit einer großen Anzahl von parallel zu führenden Rechtsstreitigkeiten konfrontiert sind. Der damit verbundene Aufwand ist enorm und kann effizient nur durch maßgeschneiderte und IT-gestützte Lösungen bewältigt werden.

Verfahrensarten

Das Verwaltungsverfahren markiert in der Regel den ersten Kontakt eines Unternehmens mit der Aufsichtsbehörde wegen eines potentiellen Datenschutzverstoßes. Häufig nehmen die Behörden in Reaktion auf Hinweise von betroffenen Personen oder Presseberichterstattung mit Unternehmen Kontakt auf, um etwaigen Datenschutzverstößen nachzugehen. Nicht selten kündigen sie sich auch kurzfristig zu einer Vor-Ort-Kontrolle im Unternehmen an.

Eine sorgfältige Vorbereitung, Kommunikation und gezielte Kooperation mit der Behörde sind für den Fortgang des Verfahrens essentiell wichtig. Ziel ist es, die Verhängung von förmlichen Sanktionen oder Untersagungen zu vermeiden oder zumindest abzumildern, und so gar nicht erst in die Situation zu kommen, behördliche Maßnahmen vor den Verwaltungsgerichten anfechten zu müssen.

Die Aufsichtsbehörden können neben einem Verwaltungsverfahren im worst case auch ein eigenständiges Bußgeldverfahren gegen das betroffene Unternehmen oder gegen für einen Datenschutzverstoß verantwortliche Personen führen. Deutsche Aufsichtsbehörden haben bereits Millionenbußgelder verhängt.

Strategische Weichenstellungen, wie z.B. eine umfassende Kooperation mit der Behörde können einerseits eine Einfluss auf die Verhängung eines Bußgeldes und dessen Höhe haben, andererseits kann diese die Möglichkeit zu einer gerichtlichen Überprüfung schmälern. Ein anderer Weg kann daher sein, sich gezielt auf eine gerichtliche Überprüfung und die prozessuale Abwehr des Bußgeldes einzustellen.

Dass dies durchaus lohnend sein kann, zeigen jüngste Gerichtsentscheidungen.

Unternehmen sehen sich zunehmend zivilrechtlichen Schadensersatzansprüchen aus dem Bereich des Datenschutzes ausgesetzt. Häufig rügen Anspruchsteller Verstöße gegen die Sicherheit der Verarbeitung, infolge derer es beispielsweise zu Cyberattacken gekommen ist. Es kommt jedoch kommt jeder Verstoß gegen die DS-GVO als Anknüpfungspunkt in Betracht. Beispielsweise werden Schadensersatzforderungen zunehmend gestützt auf

 

  • Verstöße gegen die Auskunfts- oder Löschpflichten des Verantwortlichen,
  • Fehler bei der Gewährleistung anderer Betroffenenrechte, oder
  • rechtswidrige Verarbeitung personenbezogener Daten.

Den Klagen liegen oft ähnliche Sachverhalte zugrunde, sodass spezialisierte Verbraucheranwälte sie mit überschaubarem Aufwand führen können. Sie können zudem auf Erfahrungen aus anderen verbrauchernahen Rechtsbereichen zurückgreifen (beispielsweise dem Bereich der Fluggastrechte) und setzen vermehrt digitale Dienstleister ein, um die Schwelle für Verbraucher zu senken. Mittlerweile gibt es auch erste Prozessfinanzierer, die sich auf Schadensersatzprozesse im Datenschutzbereich spezialisiert haben. Neue kollektivrechtliche Instrumente, die der Gesetzgeber nun einführt, lassen darauf schließen, dass die Zahl und Bedeutung zivilrechtlicher Schadensersatzverfahren und Massenverfahren zukünftig weiter steigen wird.

Die gezielte Geltendmachung von datenschutzrechtlichen Auskunftsansprüchen als prozessstrategisches Mittel ist insbesondere aus arbeitsgerichtlichen Verfahren bekannt. Hier soll häufig der Druck auf den Arbeitgeber erhöht werden, um Abfindungen im Kündigungsschutzverfahren in die Höhe zu treiben.

Angesichts der Vielzahl solcher Verfahren, in denen die Geltendmachung von Betroffenenrechten zum Standardrepertoire von Klägern zählt, verwundert es nicht, dass die Rechtsprechung der Arbeitsgerichte maßgeblich zur Klärung bislang umstrittener Rechtsfragen beiträgt.

GDPR Damages Tracker

Die Frequenz neuer Gerichtsverfahren und Urteile zu immateriellen Schadensersatzansprüchen im Datenschutzrecht steigt ständig. Für Unternehmen war das Risiko, nach einem Datenschutzverstoß von Betroffenen zivilrechtlich in Anspruch genommen zu werden, daher noch nie so groß wie heute.

Mit unserem Noerr GDPR Damages Tracker geben wir einen Überblick über aktuelle Rechtsprechung deutscher Gerichte zum immateriellen Schadensersatz nach Art. 82 DS-GVO:

Teaserbild GDPR Damages Tracker

 

Bestens
informiert

Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.

Jetzt anmelden