Abmahnmöglichkeiten und Rechtsbehelfe bei DSGVO-Verstößen

Fachbeitrag

Mit diesem Beitrag wird die gegenwärtige Situation in Bezug auf Abmahnmöglichkeiten sowie andere Rechtsbehelfe bei Verstößen gegen die DSGVO beleuchtet, insbesondere, ob die Möglichkeit von Verbandsklagen besteht und welche Veränderungen durch die neue EU-Verbandsklage COM/2018/184 final zu erwarten sind.

Durchsetzungsdefizit im Datenschutz

Mit der DSGVO sollte das bis zur Geltung der DSRL (EU-Datenschutzrichtlinie) vorliegende Defizit in der Durchsetzung der datenschutzrechtlichen Vorgaben behoben werden. Bis dahin war der Datenschutz in der EU, noch mehr als heute unter der Geltung der DSGVO, durch ein unterschiedliches Datenschutzniveau geprägt. Dies war zum einen auf das divergierende geltende materielle Recht in den einzelnen Mitgliedstaaten zurückzuführen, aber auch auf die Unterbesetzung der Aufsichtsbehörden, die eine staatliche Kontrolle und stringente Durchsetzung des Datenschutzes nicht förderte. Die DSGVO hatte das Ziel, das Datenschutzrecht konsequent und einheitlich in allen Mitgliedstaaten durchzusetzen. Dieses Ziel sollte auf zweifache Weise erreicht werden:

  • durch die in den Artt. 77 bis 84 DSGVO enthaltenen Vorschriften zu Rechtsdurchsetzung
  • und durch die Verpflichtung der Mitgliedsstaaten, die Aufsichtsbehörden personell und materiell für eine effektive Durchsetzung der DSGVO auszustatten. Letzteres ist heute immer noch nicht in allen Mitgliedsstaaten gegeben.

Welche Möglichkeiten zur Rechtsdurchsetzung sieht die DSGVO vor?

Zur Rechtsdurchsetzung sieht die DSGVO folgende Regelungen vor:

Bezüglich Sanktionen, Geldbußen und Schadensersatz bei Datenschutzverstößen verweisen wir auf unsere bisher veröffentlichten Beiträge:

Die in Artt. 77 DSGVO geregelten Rechtsbehelfe sind Ausfluss des in Art. 8 Abs. 1 i.V.m. Abs. 3 GRCh geregelten Schutzes personenbezogener Daten. Sie ergänzen die Möglichkeiten auf anderem Wege gegen gegen den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) gerichtlich gem. Art. 79 DSGVO vorzugehen, z.B. Schadensersatz nicht nur zivilrechtlich, sondern auch nach Art. 82 DSGVO zu verlangen oder einen Strafantrag zu stellen.

Rechtsbehelfe in der DSGVO

Die DSGVO enthält keine abschließende Regelung der Rechtsbehelfe. Nationale Bestimmungen wie etwa §§ 8, 3a UWG bleiben weiterhin anwendbar, wenn der Verstoß eine Marktverhaltensregel betrifft. Ferner gelten all die nationalen Bestimmungen, die die DSGVO in Ihrer Anwendbarkeit nicht antasten oder einschränken und innerhalb des vorgegebenen Ermessensspielraumes der DSGVO die Rechtsausübung konkretisieren.

Beschwerdebefugnis der betroffenen Person

Die betroffene, natürliche Person (Art. 4 Nr. 1 DSGVO) soll sich zum Schutz Ihrer Rechte an jede beliebige staatliche Datenschutzaufsichtsbehörde wenden können. Die Beschwerdeberechtigung und in der Folge die Klageberechtigung ergibt sich aus der Definition der Identifizierbarkeit der Person. Hierfür ist der weite Begriff der betroffenen Person, wie er auch für Art. 15 Abs. 1 DSGVO verwendet wird, heranzuziehen. Für die Identifizierbarkeit reicht es demnach aus, wenn die Verarbeitung personenbezogener Daten nicht ausgeschlossen werden kann.

Nicht möglich ist jedoch eine „Popularbeschwerde“ also eine Beschwerde bei einer nur theoretischen Möglichkeit der Betroffenheit. Möglich sind aber Hinweise durch Dritte z.B. Whistleblower, die gerne untechnisch als Beschwerde bezeichnet werden.

An die form- und fristlos mögliche Beschwerde, werden auch inhaltlich nur geringe Anforderungen gestellt. Ausreichend ist eine Sachverhaltsdarstellung, die den Aufsichtsbehörden die Feststellung ermöglicht, ob ein Datenschutzverstoß vorliegt.

Beschwerde- und oder Klagebefugnis von Verbänden

Verbände, also Einrichtungen, Vereinigungen und Organisationen können im Namen der betroffenen Person gem. Art. 80 DSGVO und auch aus eigenem Recht, Beschwerde oder Klage einlegen. Bleibt zu klären, ob damit auch eine Abmahnung durch Wettbewerber möglich ist.

Welche Voraussetzungen müssten für eine Beschwerdebefugnis von Verbänden gegeben sein, wenn diese im Auftrag der betroffenen Person tätig werden:

  • formloser Auftrag der betroffenen Person
  • es müsste sich um eine Einrichtung, Organisation oder Vereinigung handeln, die in dem konkreten Mitgliedsstaat ordnungsgemäß gegründet ist
  • der Verband darf keine Gewinnerzielungsabsicht verfolgen
  • die von dem Verband verfolgten satzungsmäßigen Ziele müssten im öffentlichen Interesse liegen
  • der Verband muss im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen und deren personenbezogener Daten tätig sein

Hinsichtlich der Beschwerde ist in Art. 80 Abs. 1 DSGVO explizit darauf verwiesen, dass der Verband im Namen der betroffenen Person Beschwerde einreichen kann, mithin wird eine Beschwerdebefugnis zugestanden. Anders verhält es sich in Bezug auf die Klagebefugnis, hier verweist Art. 80 Abs. 1 DSGVO darauf, dass der Verband die Rechte aus Art. 78, 79 DSGVO im Namen der betroffenen Person wahrnehmen kann. Jedoch spricht die Logik dafür, dass man den Verbänden auch die datenschutzrechtliche Klagebefugnis zugesteht, soweit diese nach nationalen prozessualen Verfahrensgesetzen überhaupt vertretungsberechtigt wären.

Welche Voraussetzungen müssten für eine Beschwerdebefugnis von Verbänden ohne Auftrag der betroffenen Person gegeben sein (Verbandklagerecht):

Gem. Art. 80 Abs. 2 DSGVO können die Mitgliedstaaten ordnungsgemäß gegründeten Verbänden die Möglichkeit einräumen, die Rechte aus Art. 77, 78, 79 DSGVO geltend zu machen, wenn dieser Verband der Anschauung ist, dass die datenschutzrechtlichen Rechte (drittschützende Rechte) einer betroffenen, natürlichen Person verletzt wurden.

Beispiele für ein Verbandsklagerecht sind in Deutschland:

Die neue Verbandsklagerichtlinie

Betrachtet man die bisherige Umsetzung von Möglichkeiten der Verbände zu klagen, so ist datenschutzrechtlich in Deutschland noch keine eigenständige Klage eines Verbandes möglich. Fraglich ist, ob sich durch die EU-Verbandsklagerichtlinie etwas anderes ergibt. Denn die Musterfeststellungsklage nach § 606 ZPO entspricht nicht dem von der EU-Verbandsklagerichtlinie vorgegebenen Mindeststandard, weil mit ersterer nur ein nicht vollstreckungsfähiges Feststellungsurteil erreicht werden kann und der Verbraucher basierend hierauf seine Ansprüche individuell weiterverfolgen muss. Die Verbandsklagerichtlinie hingegen sieht vor, dass von dem Verband eine konkrete Leistung z.B. Schadensersatz geltend gemacht werden kann. In diesem Zusammenhang erlangt die Möglichkeit einer datenschutzrechtlichen Abmahnfähigkeit große Bedeutung.

Offene Punkte in der EU-Verbandsklagerichtlinie

Es ist damit zu rechnen, dass diese EU-Verbandsklagerichtlinie am 25.11.20 von dem Präsidenten des Europäischen Parlamentes und dem des europäischen Rates unterzeichnet wird und in Kraft tritt. Erfolgt die Umsetzung der Verbandsklagerichtlinie zum Schutz der Kollektivinteressen von Verbrauchern in nationales Recht, dann kann auch ein Verband Datenschutzrechtsverstöße geltend machen. Hierzu müsste Deutschland die bestehenden Möglichkeiten, wie diese derzeit mit der Musterfeststellungsklage oder dem UKlaG gegeben sind, nachbessern oder ganz neu tätig werden. Dies gilt insbesondere auch deshalb, weil die EU-Verbandsklagerichtlinie einige Punkte zur Verbandsklage nur ungenau löst.

Dies gilt für die:

  • Definition einer qualifizierten Einrichtung: Die Definition „Einrichtung“ ist für die innerstaatlichen Verbandsklagen noch nicht geklärt, zwischen verschiedenen Mitgliedsstaaten ist diese immerhin rudimentär vorhanden (Gemeinnützigkeit + 12 Monate Tätigkeit)
  • Ermächtigung zur Verbandsklage durch den Betroffenen mittels Opt-in oder Opt-out
  • den Schutzmechanismus gegen Missbrauch geregelt ist nur der: Strafschadensersatz (punitive damages) und Kostentragungspflicht der unterliegenden Partei (loser pays principle)

Es bleibt daher in naher Zukunft noch Raum für mitgliedsstaatliche Regelungen, um Verbandsklagen zu etablieren, um den Datenschutz auf diese Weise zu forcieren und gleichzeitig einen Mißbrauch durch Verbände zu verhindern.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.