Data Protection Litigation

Die Zahl der streitigen Verwaltungs- und Gerichtsverfahren im Bereich des Datenschutzes hat in jüngster Zeit sowohl im europäischen Ausland als auch in Deutschland sprunghaft zugenommen. Das verwundert nicht, angesichts der großen medialen Aufmerksamkeit, die das Thema erfährt.

LED Bildschirm Data Protection Litigation

Oft geht es um die Abwehr behördlicher Maßnahmen und Bußgelder, aber auch zivilrechtliche Schadensersatzansprüche oder arbeitsrechtliche Kündigungsschutzprozesse sind zunehmend zentrale Felder der Data Protection Litigation. Dabei zeigen jüngste Gerichtsentscheidungen, dass es sich durchaus lohnen kann, Maßnahmen der Datenschutzbehörden vor Gericht überprüfen zu lassen.

Für Unternehmen wird es vor diesem Hintergrund immer wichtiger, sich frühzeitig und strategisch mit den Herausforderungen, Chancen und Risiken der Data Protection Litigation auseinanderzusetzen. Mit unseren eingespielten Teams aus am Markt anerkannten Experten unterstützen wir Sie zu allen Aspekten der Data Protection Litigation:

Verfahrensarten

Das Verwaltungsverfahren markiert in der Regel den ersten Kontakt eines Unternehmens mit der Aufsichtsbehörde wegen eines potentiellen Datenschutzverstoßes. Häufig nehmen die Behörden in Reaktion auf Hinweise von betroffenen Personen oder Presseberichterstattung mit Unternehmen Kontakt auf, um etwaigen Datenschutzverstößen nachzugehen. Nicht selten kündigen sie sich auch kurzfristig zu einer Vor-Ort-Kontrolle im Unternehmen an.

Eine sorgfältige Vorbereitung, Kommunikation und gezielte Kooperation mit der Behörde sind für den Fortgang des Verfahrens essentiell wichtig. Ziel ist es, die Verhängung von förmlichen Sanktionen oder Untersagungen zu vermeiden oder zumindest abzumildern, und so gar nicht erst in die Situation zu kommen, behördliche Maßnahmen vor den Verwaltungsgerichten anfechten zu müssen.

Die Aufsichtsbehörden können neben einem Verwaltungsverfahren im worst case auch ein eigenständiges Bußgeldverfahren gegen das betroffene Unternehmen oder gegen für einen Datenschutzverstoß verantwortliche Personen führen. Deutsche Aufsichtsbehörden haben bereits Millionenbußgelder verhängt.

Strategische Weichenstellungen, wie z.B. eine umfassende Kooperation mit der Behörde können einerseits eine Einfluss auf die Verhängung eines Bußgeldes und dessen Höhe haben, andererseits kann diese die Möglichkeit zu einer gerichtlichen Überprüfung schmälern. Ein anderer Weg kann daher sein, sich gezielt auf eine gerichtliche Überprüfung und die prozessuale Abwehr des Bußgeldes einzustellen.

Dass dies durchaus lohnend sein kann, zeigen jüngste Gerichtsentscheidungen.

Unternehmen sehen sich zunehmend zivilrechtlichen Schadensersatzansprüchen aus dem Bereich des Datenschutzes ausgesetzt. Häufig rügen Anspruchsteller Verstöße gegen die Sicherheit der Verarbeitung, infolge derer es beispielsweise zu Cyberattacken gekommen ist. Es kommt jedoch kommt jeder Verstoß gegen die DS-GVO als Anknüpfungspunkt in Betracht. Beispielsweise werden Schadensersatzforderungen zunehmend gestützt auf

  • Verstöße gegen die Auskunfts- oder Löschpflichten des Verantwortlichen,
  • Fehler bei der Gewährleistung anderer Betroffenenrechte, oder
  • das Fehlen eines datenschutzrechtlichen Rechtfertigungstatbestands für eine Verarbeitung.

Den Klagen liegen oft ähnliche Sachverhalte zugrunde, sodass spezialisierte Verbraucheranwälte sie mit überschaubarem Aufwand führen können. Sie können zudem auf Erfahrungen aus anderen verbrauchernahen Rechtsbereichen zurückgreifen (beispielsweise dem Bereich der Fluggastrechte) und setzen vermehrt digitale Dienstleister ein, um die Schwelle für Verbraucher zu senken. Mittlerweile gibt es auch erste Prozessfinanzierer, die sich auf Schadensersatzprozesse im Datenschutzbereich spezialisiert haben. Neue kollektivrechtliche Instrumente, die der Gesetzgeber nun einführt, lassen darauf schließen, dass die Zahl und Bedeutung zivilrechtlicher Schadensersatzverfahren und Massenverfahren zukünftig weiter steigen wird.

Die gezielte Geltendmachung von datenschutzrechtlichen Auskunfts- und Überlassungsansprüchen als prozessstrategisches Mittel ist insbesondere aus arbeitsgerichtlichen Verfahren bekannt. Hier soll häufig der Druck auf den Arbeitgeber erhöht werden, um Abfindungen im Kündigungsschutzverfahren in die Höhe zu treiben.

Angesichts der Vielzahl solcher Verfahren, in denen die Geltendmachung von Betroffenenrechten zum Standardrepertoire von Klägern zählt, verwundert es nicht, dass die Rechtsprechung der Arbeitsgerichte maßgeblich zur Klärung bislang umstrittener Rechtsfragen beiträgt.

Herausforderungen

Rechtliche Anforderungen

Mit Einführung der DS-GVO haben sich die Anforderungen an die Datenschutz-Compliance für Unternehmen in Europa massiv erhöht. Das liegt zum einen an den hohen Bußgeldern, die die DS-GVO Verantwortlichen und Auftragsverarbeitern bei Verstößen androht. Zum anderen bringt die DS-GVO als selbsternannter „Gold-Standard“ des Datenschutzes im Vergleich der weltweiten Rechtsordnungen aber auch verschärfte inhaltliche und organisatorische Anforderungen an die Verarbeitung personenbezogener Daten mit sich.

Unternehmen müssen beispielsweise

  • Betroffenen auf Anfrage innerhalb kurzer Fristen umfassend Auskunft über die Verarbeitung ihrer personenbezogenen Daten geben und Kopien der Daten überlassen,
  • strengen organisatorischen Anforderungen an eine Begrenzung der Speicherdauer und die Löschung von personenbezogenen Daten gerecht werden, und
  • geeignete Garantien für den Transfer von personenbezogenen Daten in Drittländer wie die USA vorsehen, die den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe gewähren.

Die Liste ließe sich beliebig fortführen. Die hohen Anforderungen gehen einher mit einer Vielzahl ungeklärter Rechtsfragen sowie einer sich ständig weiterentwickelnden Praxis der Behörden und Gerichte im europäischen Verbund. Es liegt auf der Hand, dass sich in dieser Gemengelage Datenschutzverstöße im Geschäftsbetrieb eines Unternehmens nicht immer mit absoluter Sicherheit verhindern lassen.


Rechtsunklarheit und Fortentwicklung des Rechtsrahmens

Die Unklarheiten in der Rechtslage betreffen auch Fragen des zivilrechtlichen Schadensersatzes wegen Datenschutzverstößen und seiner prozessualen Durchsetzung. Sie reichen von der Verteilung der Darlegungs- und Beweislast, über die Ersatzfähigkeit immaterieller Schäden bzw. das Erfordernis einer Erheblichkeitsschwelle, bis hin zu der Frage, ob eine Anspruchsbündelung durch Klagevehikel gestützt auf eine Inkassoregistrierung zulässig ist. Höchstrichterliche Rechtsprechung gibt es in diesen Bereichen kaum, so dass die Bandbreite der vertretenen Meinungen und somit auch die prozessualen Risiken groß sind.

Zudem entwickelt sich der Rechtsrahmen u.a. zur kollektiven Rechtsdurchsetzung im Datenschutzrecht stetig fort. So muss der deutsche Gesetzgeber aufgrund der Vorgaben der Richtlinie (EU) 2020/1828 über Verbandsklagen bis spätestens Mitte 2023 eine auf Schadensersatz gerichtete kollektive Leistungsklage einführen, mit der qualifizierte Einrichtungen, wie z.B. Verbraucherschutzverbände, auch bei Verstößen gegen das Datenschutzrecht für eine Vielzahl von Betroffenen direkt auf Schadensersatz klagen können.


Transparenz

Ausgangspunkt für die Verfolgung von Schadensersatz ist die Kenntnis von einem möglicherweise schadensersatzpflichtigen Ereignis. Klagewilligen stehen dabei eine Reihe von Informationsquellen zur Verfügung:

  • Neben der allgemeinen Medienberichterstattung veröffentlicht bspw. der Europäische Datenschutzausschuss auf seiner Webseite Entscheidungen der federführenden Aufsichtsbehörden in grenzüberschreitenden Verfahren wegen Datenschutzverstößen. Auch die deutschen Behörden geben regelmäßig in Pressemitteilungen und Jahresberichten Hinweise zu Aufsichtsverfahren gegen Unternehmen.
  • Darüber hinaus können die Unternehmen selbstgesetzlich verpflichtet sein, Betroffene unverzüglich zu benachrichtigen, wenn es zu einem Datenschutzvorfall mit voraussichtlich hohem Risiko für die betroffenen Personen gekommen ist.
  • Zur Vorbereitung von Klagen nutzen Betroffene zunehmend auch proaktiv ihr Auskunftsrecht nach Art. 15 DS-GVO. Dies ist aus Klägersicht vor allem deswegen interessant, weil eine mangelhafte Auskunftserteilung ihrerseits Schadensersatzpflichten auslösen kann.

Wachsender Durchsetzungsdruck durch Aufsichtsbehörden

Nachdem die europäischen Aufsichtsbehörden in einer ersten Phase nach Inkrafttreten der DS-GVO zunächst noch relativ zurückhaltend waren, nehmen ihre Aktivitäten im Bereich von Verwaltungs- und Bußgeldverfahren stetig zu. Insbesondere die Zahl und Höhe von Bußgeldern nehmen erkennbar an Fahrt auf.

In Deutschland haben zuletzt die Millionenbußgelder für Aufsehen gesorgt. In anderen europäischen Ländern haben Aufsichtsbehörden sogar bereits Bußgelder in dreistelliger Millionenhöhe verhängt.

Dabei koordinieren die Aufsichtsbehörden ihre Arbeit nicht nur auf föderaler Ebene innerhalb Deutschlands, sondern auch im Europäischen Verbund.


Professionalisierte Klägerindustrie

In den letzten Jahren hat sich eine zunehmend professionalisierte Klägerindustrie entwickelt, die, gestützt auf Legal-Tech-Lösungen, in der Lage ist, eine große Anzahl von Rechtsstreitigkeiten zu führen. Die Erfahrungen etwa aus Kartellschadensersatzverfahren, aus der Diesel-Thematik sowie mit dem „Widerrufsjoker“ bei Verbraucherdarlehensverträgen zeigen das anschaulich. Die zunehmende Digitalisierung erleichtert die automatisierte Geltendmachung von Ansprüchen der vermeintlich Betroffenen, so dass Unternehmen mit einer großen Anzahl von parallel zu führenden Rechtsstreitigkeiten konfrontiert sind. Der damit verbundene Aufwand ist enorm und kann effizient nur durch maßgeschneiderte und IT-gestützte Lösungen bewältigt werden.

Noerr 360°-Ansatz

Wir unterstützen unsere Mandantschaft dabei, behördliche Maßnahmen und zivilrechtliche Ansprüche im Idealfall bereits durch eine gezielte und rechtzeitige Vorbereitung zu vermeiden. Wichtige Themen dabei sind:

  • Der Aufbau einer robusten Datenschutz-Governance im Unternehmen bildet das Rückgrat effektiver Prävention. Sie setzt die Leitplanken für alle operativen, technischen und organisatorischen Themen und bildet den Rahmen für eine datenschutzkonforme Gestaltung von Geschäftsprozessen und IT-Systemen.
  • Ein wirksames Betroffenenrechtemanagement: Kläger stützen Schadensersatzforderungen zunehmend auf angebliche Verstöße gegen die datenschutzrechtliche Auskunftspflicht.
    Mit Blick auf die Prävention spielt dabei auch die sorgfältige Kommunikation mit den Betroffenen und ggf. Datenschutzbehörden eine wichtige Rolle.
  • Ein robuster Prozess zur Bewertung und Handhabung von Datenschutzvorfällen, insbesondere von Meldungen an die zuständigen Behörden und Benachrichtigungen betroffener Personen innerhalb der gesetzlichen Fristen.
  • Eine aufmerksame Öffentlichkeits- und Medienarbeit kann dazu beitragen, potentielle Themen frühzeitig zu erkennen und strategische Maßnahmen kommunikativ zu begleiten, etwa in Reaktion auf Presseberichterstattung oder behördliche bzw. gerichtliche Pressemitteilungen.

Soweit es dennoch dazu kommt, vertreten wir Mandanten sowohl in behördlichen Verfahren als auch außergerichtlich und gerichtlich.

  • Drohen behördliche Maßnahmen oder zivilrechtliche Inanspruchnahmen, beraten wir Sie bereits in den ersten Verfahrensstadien umfassend.
  • Begleitung von behördlichen Vor-Ort-Kontrollen im Unternehmen
  • Vertretung in Verwaltungs- und ggf. Bußgeldverfahren
  • Sorgsame strategische Weichenstellungen, beispielweise zu den Möglichkeiten einer außergerichtlichen Streitbeilegung zur Vermeidung gerichtlicher Auseinandersetzungen und damit einhergehender Kosten sowie negativer Präzedenzfälle
  • Dies gilt sowohl im Zusammenhang mit der Abwehr behördlicher Maßnahmen als auch bei zivilrechtlichen Ansprüchen
  • Im Fall gerichtlicher Auseinandersetzungen gewährleisten wir mit unserer umfassenden rechtlichen Expertise eine schlagkräftige Anspruchsabwehr.
  • Ein auf Ihre individuellen Bedürfnisse abgestimmtes flankierendes Reporting bietet die notwendige Grundlage für strategische Entscheidungen und kurzfristige Reaktionen auf sich verändernde Umstände.
  • Durch individuell zusammengestellte Expertenteams und den Einsatz moderner Legal Tech-Instrumente ermöglichen wir eine erfolgreiche und gleichzeitig kosteneffiziente Verfahrensführung.

Wir unterstützen bei der Regulierung von Schäden und Verfolgung von Rückgriffsansprüchen gegen Angreifer, Dienstleister, Versicherer und Organe.

  • Prüfung des Versicherungsschutzes:
    Es gibt eine Reihe von gewerblichen Versicherungen, die Versicherungsschutz im Fall der Abwehr behördlicher Maßnahmen und zivilrechtlicher Ansprüche bieten. Die meisten der am Markt verfügbaren Cyberversicherungen bieten etwa Versicherungsschutz auch im Fall reiner Datenschutzverletzungen. Häufig finden sich in den Verträgen zudem Regelungen zum Ersatz von Bußgeldern oder zur Übernahme von Rechtsberatungskosten bei Einleitung behördlicher Verfahren. Daneben besteht Versicherungsschutz regelmäßig im Rahmen von Haftpflicht- oder (Straf-)Rechtsschutzversicherungen. Zur Wahrung versicherungsvertraglicher Obliegenheiten ist im Schadenfall deshalb frühzeitig der Versicherungsschutz zu prüfen und auf eine rechtzeitige Einbeziehung der Versicherer in die Schadenregulierung zu achten.
  • Verfolgung von Ansprüchen gegen potentielle Schädiger und Dritte. Gegen die eigentlichen Schädiger, beispielsweise den Angreifer bei einem Cyber-Angriff, laufen bestehende Ansprüche häufig ins Leere, so dass das Unternehmen primär auf Ansprüche gegen externe Dienstleister zurückgreifen wird.
  • Datenschutz-Organisation ist eine Managementaufgabe. Neben weiteren Ansprüchen gegen den Versicherer sind für den Fall, dass nur unzureichende Organisations- oder Schutzmaßnahmen getroffen wurden, deshalb stets auch Ansprüche gegen Organe naheliegend. Die Inanspruchnahme der Geschäftsleitung und des dahinter stehenden D&O-Versicherers liegen nahe, soweit der Schadenfall – wie häufig – nicht hinreichend über andere Versicherungen abgedeckt ist. In den USA sind bereits erste Haftungsprozesse gegen Manager bekannt geworden, die in hohen Vergleichen endeten.

Wir begleiten unsere Mandanten bei der Umsetzung solcher Konzepte und beraten auf Wunsch gemeinsam mit bewährten Experten aus den Bereichen PR und Krisenkommunikation zu deren Entwicklung.

Behördliche und gerichtliche Auseinandersetzungen infolge von Datenschutzverstößen rücken immer häufiger in den Fokus der medialen Öffentlichkeit. Begünstigt wird diese Entwicklung dadurch, dass professionalisierte Klägerkanzleien zivilgerichtliche Auseinandersetzungen verstärkt mit einer gezielten Kommunikationsstrategie verbinden, um die öffentliche Meinung in ihrem Sinne zu beeinflussen und weitere Verbraucher von einer Klage zu überzeugen. Wichtiger Baustein einer erfolgreiche Verteidigung ist daher die frühzeitige Entwicklung eines auf den konkreten Einzelfall zugeschnittenen umfassenden Kommunikationskonzepts. 

Full Service

Unser eingespieltes interdisziplinäres „Data Protection Litigation Team“ aus am Markt anerkannten Expertinnen und Experten deckt alle relevanten rechtlichen Themen und Facetten der Data Protection Litigation umfassend und für unsere Mandanten nahtlos ab.

Das Datenschutzrecht bildet dabei den Schwerpunkt und zugleich das inhaltliche Scharnier zu anderen Bereichen, insbesondere den maßgeblichen Verfahrens- und Prozessordnungen auf allen Ebenen der Data Protection Litigation. Essentiell für eine effektive Bewältigung der vielfältigen Themen und Facetten der Data Protection Litigation ist dabei vor allem auch ein nahtloses Ineinandergreifen der Beratung in allen tangierten Bereichen.

Als Full-Service-Kanzlei mit hochspezialisierten Expertinnen und Experten in allen wirtschaftsrelevanten Rechtsgebieten ist es eine unserer Stärken, unsere Mandanten an den Schnittstellen mehrerer Rechtsgebiete mit fachbereichsübergreifenden Teams zu unterstützen. Das unterscheidet uns von der Masse unserer Wettbewerber.


Unsere Kompetenzfelder

  • Die Anwältinnen und Anwälte unserer Praxisgruppe Datenschutz sind ausgewiesene Expertinnen und Experten und verfügen über umfassende Praxiserfahrung in der Begleitung von Mandanten auf allen Ebenen der Data Protection Litigation.
    Zur Praxisgruppe Datenschutz.
  • Noerr zählt im Bereich Zivilprozessrecht / Litigation zu den marktführenden Kanzleien in Deutschland. Wir verfügen über herausragende Expertise in der Bewältigung von Massenverfahren sowie in Verfahren des kollektiven Rechtsschutzes.
    Zur Praxisgruppe Kollektiver Rechtsschutz & Massenverfahren.
  • Unsere etablierte Regulierungspraxis verfügt über umfangreiche und anerkannte Erfahrung im Verwaltungs- und Verwaltungsprozessrecht. Wir haben in zahlreichen Verfahren vor nationalen und internationalen Gerichten Unternehmen und die Öffentliche Hand erfolgreich vertreten.
    Zur Praxisgruppe Regulierung & Governmental Affairs.
  • Noerr verfügt auch über eine beispiellose Erfahrung in der Verteidigung von Unternehmen und Individualpersonen in Straf- und Bußgeldverfahren gegenüber Verwaltungsbehörden, Steuer- und Zollfahndung, Polizei, Staatsanwaltschaft und vor Gericht.
    Zur Praxisgruppe Compliance & Interne Untersuchungen.
  • Im Rahmen arbeitsrechtlicher Streitigkeiten vertreten wir unsere Mandanten bei der Abwehr datenschutzrechtlicher Ansprüche von Arbeitnehmern, insbesondere im Zusammenhang mit Kündigungssachverhalten.
    Zur Praxisgruppe Arbeitsrecht.
  • Wir sind überzeugt, dass Beratung zu Haftung und Versicherung einander eng bedingen. Insoweit bildet auch die versicherungsrechtliche Beratung einen Schwerpunkt im Rahmen unseres fachbereichsübergreifenden Beratungsansatzes.
    Zur Praxisgruppe Haftung & Versicherung.

Einsatz von Legal Tech Lösungen

Der Einsatz von Legal Tech-Lösungen stellt ein Schlüsselelement effektiver und zugleich effizienter Bearbeitung dar.

  • Gerade bei Massenverfahren gewährleisten Legal Tech Lösungen eine optimale Abwicklung. Vom übergeordneten Projektmanagement über die konkrete Abwehr von Einzelansprüchen durch Dokumentenanalyse (Technology Assisted Review – TAR) und Dokumentenautomatisierung (Workflow Automation) bis hin zum Reporting auf Basis modernster Datenbanklösungen.
  • Mit einer kanzleiweiten Legal Tech Gruppe (Noerr Digital Innovation Hub), die aus Rechtsanwältinnen und Rechtsanwälten, Legal Engineers und IT Spezialistinnen und Spezialisten besteht, beobachten wir ständig die aktuellen Entwicklungen der Legal Tech Landschaft und gewährleisten, dass unsere Beratungsteams in der Mandatsbearbeitung stets auf die für den individuellen Fall optimalen Lösungen zurückgreifen können.

Bestens
informiert

Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.

Jetzt anmelden