Bei Datenschutzverletzungen drohen Händlern nun auch Verbandsklagen

Lange Zeit war unklar, ob Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) nur von den betroffenen Personen selbst, oder auch von Verbänden im Wege von Verbandsklagen geltend gemacht werden dürfen. Nun hat der EuGH in einer Entscheidung den Weg frei gemacht: Verbandsklagen sind grundsätzlich möglich. Auch auf Händler kann sich dies auswirken.

Wer kann sich gegen Datenschutzverstöße wehren?

Das Datenschutzrecht, einschließlich der Bestimmungen der DSGVO, schützt die personenbezogenen Daten der betroffenen Personen, deren Daten erhoben, gespeichert und auf sonstige Weise verarbeitet werden.

Bei Verstößen gegen die Bestimmungen der DSGVO können die betroffenen Personen, deren Rechte verletzt sind, Anspruch u.a. auf Beseitigung des Datenschutzverstoßes und auf Schadensersatz geltend machen. Zudem können sie sich auch bei Datenschutzbehörden beschweren.

Unklar war lange Zeit, ob nach den Vorgaben des europäischen Datenschutzrechts daneben auch Verbände die Möglichkeit haben können, Verbandsklagen zum Schutz der Interessen der betroffenen Personen zu erheben – auch ohne Auftrag und sonstige Beteiligung derjenigen Personen, deren personenbezogene Daten von einem Datenschutzverstoß konkret betroffen sind.

Der EuGH hat entschieden (Urteil vom 28. April 2022 – C-319/20 – Meta Platforms Ireland), dass die Bestimmungen des europäischen Datenschutzrechts, insbesondere der DSGVO, zwar keine Pflicht enthalten, eine Verbandsklagebefugnis in den mitgliedstaatlichen Gesetzen vorzusehen, diese einer Verbandsklagebefugnis aber auch nicht entgegenstehen. Grundsätzlich können Verbände daher auch bei Datenschutzverstößen Verbandsklagen erheben, wenn eine solche Klagebefugnis in den Vorschriften der Mitgliedstaaten vorgesehen ist. Auch in Deutschland sind bei Datenschutzverstößen somit Verbandsklagen denkbar.

Die Argumentation des EuGH: Eine solche Klagebefugnis stehe im Einklang mit dem übergeordneten Ziel, das die DSGVO verfolgt, nämlich die Gewährleistung eines möglichst hohen Niveaus des Schutzes personenbezogener Daten.

Unter welchen Bedingungen sind Verbandsklagen bei Datenschutzverstößen möglich?

Die Entscheidung des EuGH bedeutet jedoch nicht, dass von nun an automatisch bestimmte Verbände, wie etwa der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (VZBV), der die Klagebefugnis vor dem EuGH eingeklagt hatte, bei Verstößen gegen Bestimmungen der DSGVO vorgehen und dagegen klagen kann.

Vielmehr bedeutet es, dass dem Gesetzgeber in Deutschland die Möglichkeit offensteht, eine solche Klagebefugnis im deutschen Recht zu regeln. Bislang war umstritten, ob diese Möglichkeit besteht oder das europäische Datenschutzrecht dem entgegensteht. Nur wenn das nationale Recht eines Mitgliedstaates eine solche Klagebefugnis vorsieht, können solche und andere Verbände bei Vorliegen der entsprechenden gesetzlichen Vorgaben klagen.

Welche Auswirkungen kann dies auch auf Händler haben?

Bislang droht Händlern aus datenschutzrechtlicher Sicht Ungemach nur aus zwei Richtungen: Zum einen können die betroffenen Personen selbst ihre Betroffenenrechte nach Art. 12 ff. DSGVO, etwa auf Auskunft oder Löschung ihrer personenbezogenen Daten, oder Ansprüche auf Beseitigung von Datenschutzverstößen und Schadensersatz, auch für immaterielle Schäden, geltend machen. Zum anderen können Datenschutzbehörden aufsichtsrechtliche Maßnahmen und auch einschneidende Sanktionen, wie etwa schmerzhafte Geldbußen verhängen.

Nun könnten auch Abmahnungen, einstweiligen Verfügungen und Unterlassungsklagen von Verbraucherschutzverbänden und von anderen Verbänden kommen. Verbraucher, wie z.B. unzufriedene Kunden, könnten sich bei den Verbänden beschweren, wenn sie den Eindruck haben, dass Händler gegen datenschutzrechtliche Bestimmungen verstoßen haben. Die Verbände haben dann genügend Mittel und Motivation, sowie Durchhaltevermögen, die Datenschutzverstöße nachhaltig zu verfolgen.

Wie können sich Händler wirkungsvoll hiergegen schützen?

Wer datenschutzrechtlich hinreichend vorgesorgt hat, und keine relevanten, und vor allem keine sichtbaren Lücken beim Schutz der personenbezogenen Daten von Kunden aufweist, hat wenig zu befürchten.

Daher empfehlen wir, etwaige datenschutzrechtliche Lücken schnell zu schließen. Dies betrifft besonders die Aspekte, deren Fehlen oder Mängel für jeden von außen ohne weiteres ersichtlich sind, also insbesondere die Datenschutzhinweise des Webshops.

Die IT-Recht Kanzlei stellt hierfür die passenden Rechtstexte und Schutzpakete zur Verfügung.

Unser Fazit

Durch die Möglichkeit der Erhebung von Klagen durch Verbände bei Verstößen gegen das EU-Datenschutzrecht müssen sich vor allem Unternehmen im B2C-Bereich auf Abmahnungen und auch zivilrechtliche Gerichtsverfahren einstellen, wenn ihre Verarbeitung von personenbezogenen Daten nicht im Einklang mit den umfangreichen datenschutzrechtlichen Vorgaben steht.

Ähnlich wie im Arbeitsrecht, wo Arbeitnehmer im Streit mit ihrem Arbeitgeber bereits heute die datenschutzrechtlichen Betroffenenrechte und (vermeintliche) Datenschutzverstöße als Mittel einsetzen, ist dies auch im Online-Handel nicht ausgeschlossen, wenn Kunden sich nicht zufriedenstellend behandelt fühlen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .