you are being redirected to the website of our parent company, Schönherr Rechtsanwälte GmbH

24 May 2022
media coverage
austria

Verbandsklagen unter der DSGVO: Noch nicht, aber bald

Eine EuGH-Entscheidung in einem deutschen Fall hat wenig Auswirkungen auf Österreich. 2023 aber ist mit einer Aufwertung des kollektiven Rechtsschutzes beim Datenschutz zu rechnen

Vor kurzem hat der Europäische Gerichtshof (EuGH) entschieden, dass Verbraucherschutzverbände Klage wegen Datenschutzverletzungen erheben können, und zwar auch ohne Auftrag jener Personen, die von der Datenschutzverletzung betroffen sind (Urteil vom 28.4.2022, Rechtssache C-319/20). Ob das den Start für Abmahnwellen bedeutet, ist allerdings offen. Denn der EuGH hat zu einer Vorlagefrage des deutschen Rechts entschieden, und dieses unterscheidet sich in maßgeblichen Punkten von der österreichischen Rechtslage. Was bedeutet die Entscheidung des EuGH für österreichische Unternehmen und was nicht?

Das Urteil des EuGH erging im Rahmen eines Rechtsstreits zwischen dem deutschen Bundesverband der Verbraucherzentralen und Verbraucherverbände (im Folgenden: Bundesverband) und Meta Ireland (vormals Facebook Ireland). Der Bundesverband hielt die im App-Zentrum von Facebook verwendete Datenschutzeinwilligung und auch dessen Allgemeine Geschäftsbedingungen für rechtswidrig.

Der deutsche Bundesgerichtshof (BGH) hegte jedoch Bedenken an der Klagebefugnis des Bundesverbands. Begründend führte der BGH in seinem an den EuGH gerichteten Vorabentscheidungsersuchen aus, dass die DSGVO möglicherweise dem deutschen Recht entgegensteht, weil dieses bestimmten Verbänden eine eigenständige Verbandsklagebefugnis bei Datenschutzverstößen einräumt und damit ein Einschreiten losgelöst von den vom Datenschutzverstoß tatsächlich betroffenen Personen erlaubt.

Was der EuGH entschied

In Beantwortung der Vorlagefrage bezog der EuGH eine recht klare Position. Unter Berufung auf Art 80 Abs 2 DSGVO bestätigte er, dass die Mitgliedsstaaten Verbandsverfahren bei Datenschutzverletzungen vorsehen können. Zudem bezog er eine weite Position, denn er lässt es genügen, dass die in Rede stehende Datenschutzverletzung bloß eingetreten sein könnte. Eine konkret festgestellte Rechtsverletzung ist hingegen nicht gefordert.

Der EuGH spezifizierte auch, welche Einrichtungen zur Erhebung einer Verbandsklage befugt sind. Im Wesentlichen muss es sich dabei um eine rechtsgültig gegründete und im öffentlichen Interesse zur Wahrung des Datenschutzes agierende Organisation handeln.

Auswirkungen auf die österreichische Rechtslage

Was bedeutet dies nun für österreichische Unternehmen? Zusammengefasst sieht der EuGH in Art 80 Abs 2 DSGVO eine Öffnungsklausel, die es den Mitgliedstaaten erlaubt, Verbandsklagebefugnisse zu schaffen, die losgelöst von einem Klagsauftrag der konkret Geschädigten bestehen können. Zum anderen aber muss von dieser Öffnungsklausel Gebrauch gemacht werden, die DSGVO selbst ermöglicht dies nicht.

Und hier liegt der springende Punkt: Das deutsche Recht erlaubt die Abmahnung datenschutzrechtswidriger Geschäftsbedingungen bzw. Klauseln wie auch sonstiger Datenschutzverstöße. Das österreichische Recht geht nicht so weit. Denn das Konsumentenschutzrecht (KSchG) erlaubt zwar ein Vorgehen gegen datenschutzwidrige Geschäftsbedingungen, nicht aber gegen sonstige Datenschutzverstöße. Dies wurde zwar kritisiert, und es wurde bei der Einführung der DSGVO eine Ergänzung des § 28a KSchG gefordert; geschehen ist dies aber nicht.

Das sind keine Klauseln

Ob nun eine Klausel oder ein Verstoß vorliegt, mag auf den ersten Blick als eine spitzfindige Unterscheidung wirken. Tatsächlich ist der Unterschied enorm. Denn es besteht ein breites Portfolio an Datenschutzverletzungen, die nichts mit Geschäftsbedingungen oder Klauseln zu tun haben. Von nichtgelöschten Daten über unzulässige Auswertungen, von unverhältnismäßigem Datensammeln bis zu Nachlässigkeiten bei der Datensicherheit – all dies mögen Datenschutzverstöße sein, doch eines sind sie nicht: Klauseln.

Im Brennpunkt dieser Unterscheidung steht vor allem die Datenschutzinformation (Datenschutzerklärung). Auch sie ist weder Geschäftsbedingung noch Klausel, sondern schlicht eine Information. Ist sie fehlerhaft, so mag nach deutschem Recht die Verbandsklage möglich sein, nicht jedoch in Österreich. Liegt hingegen eine Geschäftsbedingung oder eine Klausel vor, so ist zu erwarten, dass der EuGH österreichische Verbandsklagen nicht allein wegen eines allfälligen Bezugs zur DSGVO als unzulässig ansehen wird (siehe dazu das noch anhängige EuGH-Verfahren in der Rechtssache C-701/20). Damit reduziert sich das nunmehrige Urteil des EuGH auf Unspektakuläres, denn Verbandsklagen gegen Geschäftsbedingungen und Klauseln waren in Österreich auch schon vor der Entscheidung des EuGH gang und gäbe.

Individualrechtsschutz geht vor

Interessant ist die wettbewerbsrechtliche Sicht. Denn die Vorlagefrage bezog sich auch auf das deutsche Wettbewerbsrecht. Auch hier sah der EuGH in der Klagebefugnis bestimmter Verbände keinen Widerspruch zur DSGVO. Allerdings ist es ständige Rechtsprechung des OGH, dass Datenschutzverstöße grundsätzlich keinen Fall lauterkeitsrechtlicher Verbandsklagen bilden. Verstöße gegen den Datenschutz mögen zwar im Einzelfall auch Auswirkungen auf den Wettbewerb haben, doch das Höchstgericht rückte die Natur des Datenschutzrechts als Persönlichkeitsschutz in den Vordergrund und sprach aus, dass Abhilfemaßnahmen durch die verletzte Person selbst und nicht durch Verbraucherverbände zu ergreifen seien. Kurzum: Individualrechtsschutz statt kollektivem Rechtsschutz.

Bis zu einem gewissen Grad wurde dieser Gedanke nun vom EuGH relativiert, denn er führte aus, dass sich die Verbandsklage als ein wirksames Rechtsschutzinstitut erweisen könnte. Das heißt: kollektiver Rechtsschutz statt Individualrechtsschutz. Trotz allem muss aber stets vor Augen bleiben, dass der EuGH nicht aus der DSGVO selbst eine Verbandsklagebefugnis ableitet, sondern nur festhielt, dass ein entsprechendes nationales Recht der DSGVO nicht entgegensteht. Mit Blick auf das österreichische Wettbewerbsrecht bedeutet dies, dass nur Datenschutzverstöße aufgegriffen werden könnten, die geeignet sind, einen Wettbewerbsvorsprung herbeizuführen. Ein enges Anwendungsfeld also, und angesichts der bisherigen Judikatur des OGH wohl auch ein steiniger Weg.

Alles neu ab 2023?

Schon nächstes Jahr könnte sich all dies grundlegend ändern. Grund dafür ist der "New Deal for Consumers", in dessen Zuge die europäische Verbandsklagenrichtlinie erlassen wurde. Die Mitgliedsstaaten müssen diese Richtlinie bis zum 25.12.2022 umsetzen.

Sie legt fest, dass die Mitgliedsstaaten für bestimmte Verstöße von Unternehmern eine Verbandsklagebefugnis vorsehen müssen. Als ein Fall dessen sind explizit auch Verstöße gegen die DSGVO genannt. In den Erwägungsgründen zur Richtlinie wird erläutert, dass dadurch die wirksame Durchsetzung des Datenschutzes und ein hohes Verbraucherschutzniveau gewährleisten werden soll.

Was bedeutet also das Urteil des EuGH? Für heute: wenig. Für morgen: viel. Denn am Status quo des österreichischen Rechts ändert es kaum etwas. Das Vorgehen gegen Klauseln durch Verbände war schon bisher und bleibt auch weiterhin möglich. Gleichermaßen bleibt das Vorgehen gegen sonstige Datenschutzverstöße limitiert. Ein klares Signal bedeutet das Urteil aber für die anstehende Umsetzung der Verbandsklagenrichtlinie, denn die damit verbundene Aufwertung des kollektiven Rechtsschutzes sieht der EuGH offenkundig im Einklang mit der DSGVO. (Günther Leisler, Michael Kern, 24.5.2022)

Günther Leissler ist Partner, Michael Kern ist Rechtsanwaltsanwärter bei Schönherr Rechtsanwälte. Sie sind auf öffentliches Recht mit Schwerpunkt Datenschutz und Telekommunikationsrecht spezialisiert.

This article was first published on DerStandard, 24.05.2022
author: Günther Leissler, Michael Kern

 

Günther
Leissler

Partner

austria vienna

co-authors