Zum Inhalt springen Zur Navigation springen
Möglichkeiten zur Verbandsklage nach DSGVO

Möglichkeiten zur Verbandsklage nach DSGVO

Mit dem Verbandsklagerecht hat der europäische Gesetzgeber eine zusätzliche Kontrollinstanz im Datenschutzrecht eingeführt und eine zusätzliche Abmahngefahr für Verantwortliche heraufbeschworen. Wir werfen einen Blick auf die kontroverse Regelung des Art. 80 DSGVO.

Stärkung der Betroffenenrechte…

Das in Art. 80 DSGVO eingeräumte Verbandsklagerecht adressiert das Vollzugsdefizit bei der Kontrolle und Durchsetzung datenschutzrechtlicher Vorgaben. Aufsichtsbehörden arbeiten chronisch an ihrer Belastungsgrenze. Daher war es der EU ein Anliegen, die Durchsetzung von Betroffenenrechten weiter zu stärken. Hierzu wurde in Art. 80 DSGVO das Recht zur Verbandsklage verankert.

Art. 80 DSGVO kommt in 2 Ausprägungen daher:

  • Beauftragung durch den Betroffenen: Eine „Einrichtung, Organisationen oder Vereinigung“ (im Folgenden als „qualifizierte Einrichtung“ bezeichnet) nimmt nach Beauftragung des Betroffenen die Wahrnehmung seiner Rechte wahr.
  • Verbandsrechte: Soweit der nationale Gesetzgeber dies vorsieht, übt die „qualifizierte Einrichtung“ eigene Klage- und Beschwerderechte aus.

Nach dem Willen des EU-Gesetzgebers soll mit der Sicherstellung der Betroffenenrechte hier noch nicht Schluss sein. Aktuell ist eine Richtlinie über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher (im Folgenden Verbandsklage-RL) geplant, die voraussichtlich noch über die Regelung des Art. 80 DSGVO hinausgehen wird und gemäß Art. 2 der Richtlinie in Verbindung mit Anhang I auch im Geltungsbereich der Datenschutzrichtlinie (RL 2002/58/RG) und der DSGVO Anwendung finden soll.

Um gegen Datenschutzverstöße vorzugehen, bestehen für Betroffene von Datenschutzverstößen daher folgende Optionen: Der Betroffene kann

  • den Verantwortlichen selbst (z.B. klageweise) in Anspruch nehmen
  • sich gem. Art. 77 DSGVO bei einer Aufsichtsbehörde beschweren
  • sich nach Art. 80 Abs. 1 DSGVO an eine Einrichtung, Organisationen oder Vereinigung wenden, die dann im Namen der betroffenen Person deren Rechte geltend macht.

Art. 80 DSGVO stellt damit eine erhebliche Erweiterung der Rechtschutzmöglichkeiten des Betroffenen dar.

…bei gleichzeitiger Stärkung der Abmahngefahr

So glänzend die Stärkung der Betroffenenrechte im Lichte der Verbandsklage auch schimmern mag, darf nicht vergessen werden, dass durch die neuen Regelungen im Gleichen Maße die Abmahngefahr für Verantwortliche steigt.

Dies gilt insbesondere in dem Fall, in der die „qualifizierte Einrichtung“ nach Art. 80 Abs. 2 DSGVO ihre Verbandsrechte geltend macht und tätig wird, ohne von einem Betroffenen beauftragt worden zu sein.

Hier besteht die konkrete Gefahr, dass „Abmahnvereine“ beispielsweise kleine Webseiten-Betreiber für unglücklich formulierte oder unvollständige Datenschutzerklärungen abmahnen, die nicht den Vorgaben des Art. 13 DSGVO genügen.

Konkretisierung durch Unterlassungsklagegesetz

Doch bevor eine „qualifizierte Einrichtung“ im Sinne des Art. 80 Abs. 2 DSGVO zur Tat schreiten kann, um ohne Beauftragung datenschutzrechtliche Verletzungen abzumahnen, bedarf es zunächst eines mitgliedsstaatlichen Gesetzes, das ihr ein entsprechendes Recht einräumt. Dieses findet sich im Unterlassungsklagegesetz (UKlaG).

Eigenes Klagerecht der qualifizierten Einrichtung

§ 2 Abs. 1 UKlaG sieht vor, dass Verbraucherschutzverbände im Interesse des Verbraucherschutzes Verantwortliche in Anspruch nehmen können. Nach § 2 Abs. 2 Nr.11 UKlaG zählt es solche Vorschriften zu Verbraucherschutzvorschriften, welche die

  • Zulässigkeit der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer regeln oder
  • Vom Unternehmer über einen Verbraucher erhobene Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Hier dürfte gerade der Betrieb einer Internetseite regelmäßig unter einen der Fälle des „Erstellen von Nutzungsprofilen“, den „Zwecken der Werbung“ und einer Verarbeitung zu „vergleichbaren kommerziellen Zwecken“ umfassen.

Es lässt sich festhalten, dass schon zum jetzigen Zeitpunkt ein weites Anwendungsfeld für „eigene Abmahnungen“ durch „qualifizierte Einrichtungen“ im Sinne des Art. 80 Abs. 2 DSGVO besteht und damit auch ein erhöhtes missbräuchliches Abmahnrisiko.

Nationale Bemühungen zur Einzäunung missbräuchlicher Abmahngefahr

Der Gesetzgeber ist sich dieses Problems bewusst und versucht eine missbräuchliche Abmahngefahr über verschiedene Wege einzugrenzen.

§ 4 Abs. 2a UKlaG verpflichtet „qualifizierte Einrichtungen“, die Ansprüche wegen Zuwiderhandlungen gegen Verbraucherschutzgesetze nach § 2 Abs. 1 S.1 Nr.11 (dh. Datenschutzverletzungen) geltend machen, dem Bundesamt für Justiz jährlich die Anzahl dieser Abmahnungen und erhobenen Klagen mitzuteilen und über den Ausgang der Maßnahmen zu berichten. Das Bundesamt für Justiz soll aufgrund dieser Berichte beurteilen, ob bei der „qualifizierten Einrichtung“ die „sachgerechte Aufgabenerfüllung“ gesichert erscheint.

Die Regelung wirkt beinahe so, als versuche der Gesetzgeber ein Pferd einzuzäunen, von dem er fest erwartet, dass dieses bald durchgeht.

Auch der Freistaat Bayern traut dem Frieden nicht und hat erst kürzlich einen Gesetzesentwurf zur Anpassung zivilrechtlicher Vorschriften an die DSGVO veröffentlicht, der vorsieht, einem etwaigen Abmahnmissbrauch dadurch zu begegnen, dass bloße Verstöße gegen datenschutzrechtliche Unterrichtungs- und Mitteilungspflichten keine zivilrechtlichen Drittansprüche nach dem UKlaG begründen können. Mit anderen Worten: Bei Verstößen gegen die DSGVO, wie sie im Alltag schnell vorkommen, sollen die „qualifizierten Einrichtungen“ im Sinne des Art. 80 DSGVO in die Röhre schauen.

Verletzung subjektiver Rechte erforderlich

Auch die DSGVO selbst grenzt das Klagerecht der Einrichtungen im Sinne des Art. 80 Abs. 1 DSGVO ein, wie aus dem Erwägungsgrund 142 S.2 der DSGVO ersichtlich wird: Hiernach darf im Rahmen einer Verbandsklage nach Art. 80 Abs. 2 DSGVO nicht lediglich auf einen Verstoß gegen objektives Recht abgestellt werden. Das Klagerecht soll damit abhängig zur behaupteten Verletzung subjektiver Rechte sein. Der Verband soll nur ein „Kläger hinter dem Kläger“ sein.

Bei einer nicht beauftragten Klage einer „qualifizierten Einrichtung“ nach dem UKlaG wäre somit zu prüfen, ob die klagende Einrichtung lediglich die Verletzung objektiven Rechts rügt, oder ob eine tatsächliche Verletzung subjektiver Rechte hinter der Klage steht. Damit dürfte das Klagerecht nach Art. 80 Abs. 2 DSGVO deutlich eingeschränkter sein im direkten Vergleich zu § 2 Abs. 2 UKlaG, der lediglich ein Zuwiderhandeln gegen verbraucherschützende Vorschriften erfordert, daher schon einen Verstoß gegen objektives Recht genügen lässt.

Das Verbandsklagerecht ist ein zweischneidiges Schwert

Die Ermöglichung von Verbandsklagen ist im Grundsatz eine sinnvolle Maßnahme, um die Durchsetzung der Betroffenenrechte zu stärken und Vollzugsdefizite im Datenschutz zu beseitigen. Auf der anderen Seite sind grassierende Abmahnung der direkteste Weg, sinnvolle Gesetze in Verruf zu bringen und dabei gleichzeitig die Wirtschaft zu schädigen.

Die Entwicklung in diesem Bereich wird spannend. Auf der einen Seite soll mit der neuen „Richtlinie über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher“ das Verbandsklagerecht gerade auch im Datenschutzbereich ausgeweitet werden, auf der anderen Seite gibt es national immer größere Bestrebungen, Verbandsklagerechte hier einzuschränken, wie der Gesetzesentwurf aus Bayern zeigt. Österreich hat mit seinem Datenschutz-Anpassungsgesetz kurzen Prozess gemacht und erst keine Möglichkeit zur Verbandsklage bereitgestellt.

In welche Richtung der Pendel zukünftig ausschlagen wird, muss sich erst noch zeigen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.