Neues Klagerecht für Verbraucher- und Wettbewerbsverbände erhöht Risiko bei Datenschutzverstößen

Bisher war die Geltendmachung von Unterlassungsansprüchen nach dem UKlaG in diesem Bereich nur in sehr begrenztem Maße möglich (wie etwa im Rahmen von AGB und des Direktmarketings). Die zuständigen Zivilgerichte haben datenschutzrechtliche Vorschriften überwiegend nicht als Verbraucherschutzgesetze angesehen. Mit der Neuregelung wird sich dies weitreichend ändern. Nunmehr können die Verbände – auf eigene Initiative oder durch Verbraucher, Wettbewerber oder auch Arbeitnehmer angeregt – im Wege der Verbandsklage gegen sehr viele Datenschutzverstöße vorgehen.

Erhöhtes Risiko

Das Risiko erhöht sich damit in zweierlei Hinsicht. Zum Einen ist es das satzungsgemäße Ziel der Verbände, gegen derartigen Verstöße vorzugehen (sie verfügen auch über die nötigen Finanzmittel). Zum Anderen gelten Unterlassungstitel eines Verbandes zugunsten der Allgemeinheit: Während bisher bei einem Unterlassungstitel eines Verbrauchers oder anderen Betroffenen nur Sanktionen wie eine Vertragsstrafe drohten, wenn man das datenschutzrechtswidrige Verhalten gegenüber der jeweils tätig werdenden Person nicht abgestellt hat, müssen jetzt bei gerichtlich festgestellten Verstößen die beanstandeten Praktiken gegenüber der Allgemeinheit unterlassen werden, also komplett eingestellt werden. Anderenfalls drohen Vertragsstrafen bzw. gerichtliche Ordnungsgelder. Dazu kommt, dass Unterlassungsbegehren in Deutschland sehr einfach und kostengünstig in wenigen Tagen im Wege der einstweiligen Verfügung erlangt werden können und deshalb ein weitverbreitetes Mittel sind.

Anwendungsbereich

Nicht alle Datenschutzverstöße können im Wege der Verbandsklage geltend gemacht werden, sondern nur jene Vorschriften, die als Verbrauchergesetze gelten. Als Verbrauchergesetze sollen mit der Gesetzesänderung nun alle Vorschriften angesehen werden, welche (a) die Zulässigkeit der Erhebung personenbezogener Daten eines Verbrauchers durch ein Unternehmen oder (b) die Verarbeitung oder Nutzung personenbezogener Daten regeln, die ein Unternehmen über einen Verbraucher erhebt. Eine gewisse Einschränkung ergibt sich zudem daraus, dass nur die Erhebung, Verarbeitung und Nutzung von Daten für bestimmte Zwecke erfasst wird. Der diesbezügliche Katalog ist aber weit gefasst und beinhaltet folgende Zwecke:

• Werbung,
• Markt- und Meinungsforschung,
• Betreiben einer Auskunftei,
• Erstellen von Persönlichkeits- und Nutzungsprofilen,
• Adresshandel,
• sonstiger Datenhandel, und
• vergleichbare kommerzielle Zwecke.

Als datenschutzrechtliche Vorschriften kommen insoweit prinzipiell nicht nur Datenschutzgesetze des Bundes und der Länder in Betracht sondern auch bereichsspezifische datenschutzrechtliche Vorschriften in anderen Gesetzen und Verordnungen sowie Rechtsakte der Europäischen Union.

Die Auffangregel „zu vergleichbaren kommerziellen Zwecken“ gilt insbesondere für Fälle, in denen Verbraucherdaten zunächst ohne Angabe eines bestimmten Zwecks unzulässig auf Vorrat erhoben oder gespeichert werden, um die Daten später für eigene Erwerbszwecke zu nutzen. Unter welchen Umständen die Auffangregel genau greifen soll und von Gerichten angewendet werden wird, ist angesichts der offenen Formulierung und der mit ihr verbundenen Auslegungsmöglichkeiten im Einzelnen noch nicht klar. Sie eröffnet aber einen weiten Anwendungsspielraum für die Gerichte. Im Gesetz festgelegt wurde nur, dass keine vergleichbaren kommerziellen Zwecke vorliegen sollen, wenn personenbezogene Daten eines Verbrauchers von einem Unternehmen ausschließlich für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Verbraucher erhoben, verarbeitet oder genutzt werden. Verträge eines Unternehmers, deren Vertragsgegenstand aber die Daten eines Verbrauchers sind, die durch den Vertrag kommerzialisiert werden sollen (also z.B. im Rahmen von Nutzungsbedingungen einer Social Media-Plattform), sind laut der Gesetzesbegründung jedoch umfasst.

Ausgenommen vom Verbandsklagerecht sind schließlich noch:

• Alle datenschutzrechtliche Vorschriften, deren Einhaltung nicht Voraussetzung für die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung der Verbraucherdaten ist, wie z.B. die Vorschriften über die Bestellung von Datenschutzbeauftragten.
• Verbandsklagen, welche auf dem „Safe Harbor“-Urteil des EuGH beruhen, sind bis zum 01. Oktober 2016 ausgeschlossen. Dies betrifft aber nur Datenübermittlungen, die in der Vergangenheit durch eine Safe Harbor Zertifizierung des Datenimporteurs in den USA gerechtfertigt waren. Alle anderen nicht vollständig rechtskonformen internationalen Datentransfers (insbesondere fehlende Standardvertragsklauseln) sind erfasst.

Auswirkungen für die Praxis

Im Ergebnis erhöht sich damit für Unternehmen, die – für Wettbewerber, Verbraucher und sonstige Betroffene erkennbar – nicht im Einklang mit dem Datenschutzrecht handeln oder die sich in rechtlichen Grauzonen bewegen, das Risiko erheblich. Insbesondere unzureichende oder zu weit gehende Datenschutzerklärungen, nicht rechtskonforme Einwilligungen, unzulässige Datenerhebungen, Datennutzung zur Werbung und Profilbildung, Datennutzung im Bereich der sozialen und digitalen Medien sowie nicht rechtskonforme internationale Datentransfers werden verstärkt Gegenstand von Abmahnungen und Gerichtsverfahren werden.

Die Unternehmen, die in Deutschland ihren Sitz haben oder in Deutschland Daten erheben, sollten daher ihre Prozesse auf datenschutzrechtliche Compliance prüfen und etwaige in der Vergangenheit vorgenommene Risikoabwägungen erneuern. In Zukunft wird sich das Risiko mit der geplanten Datenschutzgrundverordnung weiter vergrößern. Das Tätigwerden der Verbände wird in einigen Fällen auch die Datenschutzbehörden alarmieren, die mit Inkrafttreten der Datenschutzgrundverordnung wesentlich höhere Bußgelder verhängen können.