Logo der activeMind AG

Verbandsklagerecht im Datenschutz: eine zunehmende Gefahr für datenverarbeitende Unternehmen

Inhalt

Gegen Datenschutzverstöße, die einen kommerziellen Bezug haben, können in Deutschland nach dem Unterlassungsklagegesetz (UKlaG) bereits seit Februar 2016 auch Verbraucherverbände juristisch vorgehen. Die EU-Datenschutz-Grundverordnung (DSGVO) sieht seit Mai 2018 vor, dass neben den einzelnen Betroffenen auch „Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht“ umfassende Befugnisse hinsichtlich der Geltendmachung von Datenschutzverstößen haben. Dieser Beitrag beleuchtet, worauf sich Unternehmen aufgrund der Möglichkeit zur Verbandsklage sowie der Regelungen der DSGVO einstellen sollten, um teure Abmahn- und Prozesskosten möglichst zu vermeiden.

Update Mai 2022: Der EuGH entschied, dass Verbraucherschutzverbände auch ohne konkrete Verletzung Betroffener gegen DSGVO-Verstöße klagen dürfen. Mehr dazu in der Urteilsbesprechung bei activeMind.legal.

Angreifbarkeit von Datenschutzverstößen durch „Einrichtungen, Organisationen oder Vereinigungen“

Lange Zeit waren für den Schutz der Rechte des Betroffenen ausschließlich dieser selbst und die jeweilige Datenschutzbehörde zuständig. Auf die Unterstützung schlagkräftiger Verbraucherverbände konnte der Betroffene in der Regel nicht setzen. Denn diese konnten ausschließlich gegen Wettbewerbsverstöße vorgehen – zum Beispiel gegen eine irreführende Werbung. Der deutsche Gesetzgeber hatte diese Durchsetzungslücke erkannt und bereits im Jahr 2016 durch eine Änderung des Unterlassungsklagegesetzes ein (begrenztes) Verbandsklagerecht eingeführt.

Auch der europäische Gesetzgeber hat im Bereich der Durchsetzung des Datenschutzrechts ein Vollzugsdefizit festgestellt, das unter anderem auf die schlechte personelle und materielle Ausstattung der Aufsichtsbehörden zurückzuführen war.

Durch die Aufnahme des Art. 80 in die DSGVO soll der kollektive Rechtsschutz im Datenschutzrecht gestärkt und ausgebaut sowie das u.a. auch von Verbraucherschutzverbänden kritisierte Vollzugsdefizit (bei den auch verbraucherschützenden Vorschriften des Datenschutzrechts) beseitigt werden.

Einführung eines Vertretungsrechts (inkl. Verbandsklagerecht bei Datenschutzverstößen) nach DSGVO

In welchen Fällen dürfen Betroffene durch eine Einrichtung, Organisation oder Vereinigung vertreten werden?

Art. 80 DSGVO sieht zwei Möglichkeiten vor, wie der Vertreter (dies kann eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht sein) „aktiv“ werden kann:

  1. Er kann entweder von dem Betroffenen explizit beauftragt werden, in dessen Namen bestimmte Rechte geltend zu machen bzw. die Rechte vom Betroffenen überlassen bekommen haben (Absatz 1).
  2. Nach Absatz 2 kann der „Vertreter“ auch ohne Beauftragung bei einer Verletzung der Rechte eines Betroffenen diese Rechte gegenüber der Aufsichtsbehörde oder vor Gericht geltend machen.

Welche Rechte können von dem Vertreter geltend gemacht werden?

Der Vertreter kann grundsätzlich bei sämtlichen Datenschutzverletzungen eine Beschwerde bei der zuständigen Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einlegen. Im Fall der Beauftragung durch den Betroffenen (Abs. 1) kann der Vertreter darüber hinaus auch Schadensersatz im Namen des Betroffenen fordern.

Können sich Einrichtungen, Organisationen oder Vereinigungen in Deutschland seit Mai 2018 auf Artikel 80 DSGVO berufen?

Nein, die DSGVO sieht vor, dass die Rechte zunächst in den Mitgliedstaaten umgesetzt werden müssen. Der deutsche Gesetzgeber hat bisher mit den seit 2016 geltenden Änderungen des Unterlassungsklagegesetzes allenfalls einen Teil hiervon umgesetzt. Das Klagerecht ist im Vergleich zu Artikel 80 DSGVO deutlich abgeschwächt, insbesondere da nach deutschem Recht

  • nur bestimmte Verbände klagen dürfen,
  • nur bestimmte Datenverarbeitungen angegriffen werden können,
  • kein umfassendes Klage- und Beschwerderecht besteht (siehe unten).

Es bleibt abzuwarten, ob der deutsche Gesetzgeber von seinem Recht Gebrauch macht, das Verbandsklagerecht auf Basis der DSGVO-Bestimmungen deutlich zu erweitern und zu stärken. Mit der Möglichkeit sollte zumindest gerechnet werden.

Verbandsklagerecht bei Datenschutzverstößen nach dem deutschen UKlaG

Welche Verarbeitungen können von Verbänden angegriffen werden?

Nicht alle! Ausgenommen sind insbesondere Datenverarbeitungen, die für den Abschluss, die Durchführung oder die Beendigung eines Vertrags mit dem Betroffenen erforderlich sind. Dies betrifft insbesondere die Verarbeitung von Arbeitnehmerdaten. Auch dann, wenn das Unternehmen mit der Datenverarbeitung einer gesetzlichen Pflicht nachkommt (z. B. einer Aufbewahrungspflicht), greift das Gesetz nicht.

Demgegenüber dürfen Verbände jedenfalls dann abmahnen und klagen, wenn die Daten in folgenden Verwendungszusammenhängen verarbeitet werden:

  • Werbung;
  • Markt- und Meinungsforschung;
  • Tätigkeit einer Auskunftei;
  • Erstellen von Persönlichkeits- und Nutzungsprofilen;
  • Adress- und sonstiger Datenhandel.

Hier wird deutlich, dass der Gesetzgeber personenbezogene Daten offenbar als Wirtschaftsgut erkannt hat und dementsprechend schützen möchte. Das Gesetz findet deshalb nur bei kommerziellen Datenverarbeitungen Anwendung.

In diesem Zusammenhang kann ein klageberechtigter Verband Ansprüche auf Unterlassung, Sperrung und Löschung personenbezogener Daten geltend machen.

Welche Verbände dürfen gegen Datenschutzverstöße vorgehen?

Nicht alle. Abmahnen und klagen darf ein Verband nur, wenn er in eine vom Bundesamt für Justiz geführte Liste aufgenommen wurde. Das Amt prüft vor Aufnahme eines Verbandes, ob dieser seiner Satzung und anderer Kriterien gemäß für die Wahrnehmung von Verbraucherrechten qualifiziert ist. Dies soll einen Missbrauch der Klagebefugnis verhindern. Neben Verbraucherverbänden können auch Wirtschaftsverbände, Industrie- und Handelskammern sowie Handwerkskammern vor den Zivilgerichten abmahnen und klagen.

Welche Rolle spielen die Aufsichtsbehörden im Verbandsklagerecht?

Vor seiner Entscheidung muss das Gericht grundsätzlich die zuständige Datenschutzbehörde anhören. Der Gesetzgeber möchte nicht auf den Sachverstand der unabhängigen Datenschutzbehörden verzichten und verdeutlichen, dass er in den Behörden nach wie vor das wichtigste Kontrollorgan im Datenschutzrecht sieht. Eine Anhörung der Datenschutzbehörde ist dann allerdings nicht erforderlich, wenn eine einstweilige Verfügung ohne mündliche Verhandlung beantragt wird.

Fazit: Datenverarbeitenden Unternehmen droht ein erhöhtes Rechts- und Reputationsrisiko

Die zusätzliche Kontrollinstanz im Datenschutzrecht – neben dem Betroffenen, der Aufsichtsbehörde und eingeschränkt den Mitbewerbern – erhöht das Risiko auf Seiten der datenverarbeitenden Unternehmen, für Datenschutzverstöße rechtlich einstehen zu müssen. Hinzu kommt die Gefahr des Imageverlusts für den Fall, dass das eigene Unternehmen zur Zielscheibe eines Verbraucherverbands wird.

Unternehmen sollten einen rechtssicheren Datenschutz daher mehr denn je mit Priorität versehen und entsprechenden Sachverstand frühzeitig hinzuziehen. Dies gilt insbesondere vor dem Hintergrund der EU-Datenschutz-Grundverordnung, die nun zum einen den Mitgliedsstaaten die Möglichkeit gibt, sehr viel weitergehende Rechte für Vertreter der Betroffenen (insbesondere auch für Verbände) festzulegen und darüber hinaus das datenschutzrechtliche Schadensersatzrecht deutlich verschärft.

Dieser aktualisierte Artikel wurde zuerst am 24. Februar 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.