Bündelung von Schadenersatzansprüchen durch Abtretung

HMDATA Datenschutz-Newsletter 11/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Ja, eine Datenpanne ist irgendetwas zwischen peinlich und existenzbedrohend. Sowohl über Prävention also auch über seriösen Umgang mit einem Datenschutzverstoß ist in der Vergangenheit genug berichtet worden.
Auch sollte bekannt sein, dass sich mögliche Betroffene von Datenpannen (also Kunden) mittlerweile auch an die DSGVO angepasst und "professionalisiert" haben und nicht nur mittels per einfacher Google-Suche recherchierter Vorlagen zu Betroffenenrechten an die Unternehmen herantreten und von ihren Datenschutzrechte Gebrauch machen.

"Für die entstandenen Unannehmlichkeiten bitten wir um Entschuldigung"

Nun schwappt aber auch nicht nur seit dem "Google-Fonts"-Fall das Phänomen der Massenabmahnungen auf die Unternehmen über, es gibt durchaus auch professionelle Rechtsdienstleister und Legal-Techs, die ihm Rahmen einer Sammelklage gegen Datenverstöße von Unternehmen vorgehen und durch das sog. Factoring Forderungen nach Art. 82 DSGVO aufkaufen. Es werden also – meist marginale - Ansprüche von Betroffenen erworben und bei Erfolgsaussicht gemeinschaftlich an das verursachende Unternehmen herangetragen.
Ein derartiger Fall wurde nun vom OLG Hamm (Az. 11 U69/23) verhandelt, bei dem Gesundheitsdaten von 13.000 Personen fahrlässig an einen Verteiler von 1.200 Empfänger versandt wurden.
Der einzelne Betroffene ist hier auf Grund der rechtlichen Verfahrenshürden und der geringen möglichen Höhe des Schadenersatzes meist mit seinem Ärger alleingelassen. Obwohl sowohl materielle als auch immaterielle Schäden nach Art. 82 DSGVO zu Ansprüchen gegenüber einem Unternehmen führen könnten und es keine Marginalschwelle für derartige Verstöße gibt, sind die formaljuristischen und verfahrenshürdlichen Schwellen für einen einzelnen im Vergleich mit den bescheidenen Erfolgsaussichten recht hoch.
Hier kommt das Geschäftsmodell der Legal-Techs zum Tragen, die bei entsprechend großer Anzahl marginaler Schadenersatzansprüche ein lukratives Geschäftsmodell zum Aufkauf und Bündelung entsprechender Forderungen vorfinden. Der Einzelne trägt kein Risiko und hat keinen Aufwand, die Legal-Techs nutzen den Skaleneffekt.

Abtretung und Höchstpersönlichkeit der Ansprüche

Vorab muss aber die Abtretbarkeit der Ansprüche diskutiert werden, da ein sog. "höchstpersönlicher" Anspruch gem. §399 BGB nicht abtretbar ist. Im o.a. Urteil wurde allerdings begründet, dass eine Abtretung trotz der normalerweisen höchstpersönlichen Persönlichkeitsrechte einer Datenschutzverletzung möglich wäre, da nicht eine Genugtuung sondern ein Ausgleich des immateriellen Schadens vorliegt und der Schadenersatz auch präventiven Charakter gegenüber dem Unternehmen besitzt, damit diese ihre DSGVO-Compliance auch zur Vermeidung derartiger Ansprüche entsprechend professionalisieren.
In Verbindung mit der Rechtsprechung des EuGH, das keine Erheblichkeitsschwelle von Schadenersatzansprüchen bei Datenschutzverstößen sieht, wären also auch – so die aktuelle Argumentation - marginale Forderungen an die Factoring-Dienstleister abtretbar und in der Masse ein lukratives Geschäft.

Was heißt das für mein Unternehmen?

Mit "für die entstandenen Unannehmlichkeiten bitten wir um Entschuldigung" ist es vermutlich zukünftig nicht mehr alleine getan, sollten brisante Daten vieler Kunden fahrlässigerweise durch Unternehmen auf Grund einer vermeidbaren Datenpanne exfiltriert werden.
Professionalisierte Schadenersatzansprüche von Datenpannen - auch im marginalen Bereich - können somit bei einer hohen Anzahl von Betroffenen durch Sammelklagen auf Grund von Abtretung an professionelle Dienstleister schnell empfindliche hohe Summen des Schadenersatzes erreichen.
Schutz davor bietet wie immer ein funktionierendes Risikomanagement und eine solide DSGVO-Compliance die mit geeigneten Maßnahmen präventiv vorbeugen, technische Sicherheit bieten und von sensibiliserten Mitarbeitern umgesetzt und "gelebt" werden.

Fazit

Insb. der technische Schutz, die Prinzipien der Datensparsamkeit und –minimierung, der Pseudonymisierung und Anonymisierung bei der Datenübertragung und sensibilisierte Mitarbeiter lassen das Risiko einer massiven Datenpanne erheblich reduzieren. Was von vorneherein nicht unnötigerweise verarbeitet wird (sowohl in Anzahl als auch in Sensitivität), trägt bei einer Datenpanne auch nicht zur Schadenhöhe bei.
Sollte dann immer noch bei geringem Restrisiko eine Datenpanne verursacht werden, hilft offene und transparente Kommunikation meist weiter, um verärgerte Kunden nicht in die Hände der Factoring-Dienstleister zu treiben.