Brandi mbB - Logo

Beitrag

Aktuelle ThemenIT & Datenschutz

Jetzt kommen Verbandsklagen im Datenschutzrecht

Aus der Perspektive von Unternehmen ist es spätestens seit Einführung der Datenschutz-Grundverordnung (DSGVO) ein nahezu aussichtsloses Unterfangen, alle rechtlich definierten Anforderungen umfassend einzuhalten. Aus Sicht der Unternehmen kommt erschwerend hinzu, dass zahlreiche Grundprinzipien in Art. 5 Abs. 1 DSGVO nur abstrakt definiert sind und damit ein erheblicher Interpretationsspielraum bleibt. Gleichzeitig hat aber die Einführung der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO zu einer Risikoverlagerung geführt, wenn die verantwortliche Stelle (also das Unternehmen) rückblickend nachweisen muss, alle datenschutzrechtlichen Anforderungen erfüllt zu haben. Sobald ein Datenschutzverstoß feststeht oder die verantwortliche Stelle nicht den Nachweis eines datenschutzkonformen Verhaltens führen kann, drohen Bußgelder durch die Aufsichtsbehörden in einem Umfang von bis zu 20 Mio. € oder 4 % des weltweiten Konzernumsatzes. Tatsächlich gab es in der Vergangenheit nach Einführung der DSGVO immer mal wieder Beispiele von extrem hohen Bußgeldern, zuletzt beispielsweise gegen eine regionale Wohnungsbaugesellschaft wegen der übermäßigen Speicherung von Daten über Mietinteressenten. Das Unternehmen musste hierbei nach einem Bescheid der zuständigen Landesaufsichtsbehörde einen Betrag in Höhe von fast 2 Mio. € zahlen.

Für Unternehmen bleibt immerhin die Hoffnung, dass die vom Bundesland organisierten Aufsichtsbehörden nicht die personellen Ressourcen haben, um tatsächlich flächendeckend Prüfungen vorzunehmen und Sanktionen bei Datenschutzverstößen zu verhängen. In vielen Unternehmen gilt aus diesem Grund als oberste Prämisse die Vorgabe, auf jeden Fall unterhalb des Radars der Aufsichtsbehörden zu bleiben, um auf diese Weise das Risiko zu minimieren. Von Seiten der einzelnen Betroffenen ist dagegen relativ wenig zu befürchten. Theoretisch können auch Betroffene bei Datenschutzverstößen einzeln über Art. 82 DSGVO Schadensersatzansprüche geltend machen, wobei ausdrücklich auch der immaterielle Schadensersatz im Sinne eines Schmerzensgeldes gemeint ist. Selbst wenn aber ein solcher Schaden nachgewiesen werden kann, würde sich die Erstattungspflicht auf den konkreten Einzelfall beziehen und vor diesem Hintergrund wird das Risiko allgemein als überschaubar eingestuft.

Ein größeres Risiko ergibt sich erst dann, wenn Verbraucherverbände derartige Themen aufgreifen und im eigenen Namen geltend machen. In diesem Fall beschränkt sich die Verpflichtung dann nicht auf den einzelnen Betroffenen, sondern ist von dem Unternehmen generell zu beachten. Für Verbraucherverbände kann es dabei auch interessant sein, auf grundsätzlichen Erwägungen Musterverfahren zu führen, die für den einzelnen Betroffenen uninteressant oder mit einem zu großen Aufwand verbunden wären. Entsprechende Aktivitäten der Verbraucherverbände sind auf nationaler Ebene in Deutschland ausdrücklich gewünscht, weswegen eine Klarstellung zur Klagebefugnis auf Verbraucherverbänden bei Datenschutzthemen ausdrücklich in § 2 Abs. 2 Nr. 11 UKlaG aufgenommen wurde. Trotz dieser eindeutigen gesetzlichen Vorgabe gab es bisher kaum Verfahren gegen Unternehmen wegen eines Datenschutzverstoßes, die durch die Verbraucherverbände erfolgreich geführt wurden. Dem Betreiber des sozialen Netzwerks Facebook Meta, ist es erfolgreich gelungen derartige Verfahren dadurch zu torpedieren, dass die Zulässigkeit einer Klagebefugnis von Verbraucherverbänden auf nationaler Ebene (die in § 2 Abs. 2 Nr. 11 UKlaG) angezweifelt wurde. Meta hat damit argumentiert, dass durch die DSGVO eine Vollharmonisierung im Datenschutzrecht erreicht werden sollte und dies verbietet, dass durch nationale Bestimmungen gesonderte Zuständigkeiten zur Verfolgung von Datenschutzverstößen geschaffen werden.

Mit dieser abwegigen Argumentation ist es Meta immerhin gelungen, den BGH dazu zu bewegen, die Fragestellung dem EuGH vorzulegen, der hierüber jetzt mit der gebotenen Klarheit entschieden hat (Urteil v. 28.04.2022, Aktenzeichen C-319/20). Das Ergebnis lag eigentlich auf der Hand: Eines der wesentlichen Ziele bei Einführung der DSGVO war eine bessere Durchsetzung der datenschutzrechtlichen Bestimmungen. Unter Berücksichtigung dieser Zielvorgabe drängt es sich natürlich auf, dass die Verfolgung von Datenschutzverstößen nicht alleine Aufgabe der Aufsichtsbehörden sein muss. Vor diesem Hintergrund sind beispielsweise auch die Rechte der Betroffenen explizit ausgeweitet worden. Warum dann Interessenverbände, die sich nach ihren satzungsmäßigen Aufgaben für die Interessen von Betroffenen einsetzen, nicht befugt sein sollten, für diese auch entsprechende Ansprüche geltend zu machen, erschließt sich nicht im Ansatz.

Bis zur Klärung des EuGH war es allerdings so, dass zahlreiche Verfahren, die von den Verbraucherverbänden initiiert wurden, von verschiedenen Gerichten bis zur Klärung der Klagebefugnis ausgesetzt wurden. Die Verbraucherverbände haben dann natürlich ebenfalls erst einmal den Ausgang des EuGH-Verfahrens abgewartet und dürften jetzt mit neuem Schwung wieder einige Themen aufgreifen.

Im Fokus der Verbraucherverbände dürften dabei solche Themen stehen, die ohne besondere Tendenzen und Kontrollrechte relativ einfach überprüft werden können. Hierzu gehört beispielsweise eine korrekte Information der Betroffenen über die Verarbeitung von personenbezogenen Daten, die richtige Ausgestaltung von Einwilligungserklärungen und eine transparente Darstellung bei der Analyse eines Kundenverhaltens.

Aus der unternehmerischen Sicht bietet es sich also an, vor dem Hintergrund der Möglichkeiten für Verbandsklagen noch einmal genau zu prüfen, ob die entsprechenden Informationen und Online-Angebote auf einem aktuellen Stand sind.

Mit der Klagebefugnis von Verbraucherverbänden bei Datenschutzverstößen befasst sich auch ein Beitrag von Dr. Sebastian Meyer in der NJW-Aktuell 24/2022, S. 19.

Autoren

  • Dr. Sebastian Meyer LL.M.

    Rechtsanwalt und Notar mit Amtssitz in Bielefeld

    Fachanwalt für Informationstechnologierecht (IT-Recht)

    Datenschutzauditor (TÜV)


    alle Beiträge ansehen

    über mich