Die am 25.5.2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) hat es sich zum Ziel gesetzt, die Datenschutzrechte von Verbrauchern auszubauen und die Rechtsdurchsetzung zu stärken. Zwei Jahre nach ihrem Inkrafttreten fällt die Bilanz des Vereins für Konsumenteninformation (VKI) ernüchternd aus.
Er ortet eklatante Rechtsschutzdefizite und dringenden Handlungsbedarf aufseiten des Gesetzgebers.
Datenschutzrecht ist ein Kernbereich des Verbraucherrechts. Das Schutzniveau ist prinzipiell hoch, die Datenschutzrechte bestehen aber über weite Strecken nur auf dem Papier.
betont Dr. Petra Leupold, Datenschutzexpertin und Leiterin der VKI-Akademie. Der VKI fordert daher die zügige Einführung der Verbandsklage im Datenschutzrecht, um effektiv gegen Datenschutzverstöße vorgehen zu können.
Erklärtes Ziel der DSGVO: Stärkung der Rechte von Konsumenten und Verbesserung der Möglichkeiten zur Rechtsdurchsetzung in der Praxis
Zu diesem Zweck ist neben einer Erweiterung der Befugnisse der Datenschutzbehörden und einer Anhebung der Geldbußen auf bis zu 20 Millionen Euro (oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens) auch ausdrücklich die Möglichkeit einer Verbandsklage vorgesehen (Artikel 80 Absatz 2 DSGVO).
Der österreichische Gesetzgeber hatte von dieser Option bei der Umsetzung der DSGVO in österreichisches Recht jedoch keinen Gebrauch gemacht. Die Verletzung datenschutzrechtlicher Vorgaben wurde auch nicht in den Tatbestandskatalog des § 28a Konsumentenschutzgesetz aufgenommen, der es klagebefugten Einrichtungen, wie insbesondere dem VKI oder der Bundesarbeitskammer, ermöglicht, im Kollektivinteresse der Verbraucher gegen unzulässige Geschäftspraktiken vorzugehen.
Wann gibt es im Datenschutzrecht eine Klagebefugnis?
Eine Klagebefugnis im Datenschutzrecht kommt dem VKI nach derzeitiger Rechtslage nur dann zu, wenn Datenschutzverstöße zugleich rechtswidrige Klauseln in Verbraucherverträgen betreffen. So konnte der VKI beispielweise 2018 die erste höchstgerichtliche Entscheidung zur Auslegung des sogenannten „Koppelungsverbots“ nach der DSGVO erwirken. Ein Urteil, in dem der Oberste Gerichtshof (OGH) klarstellt, dass eine Einwilligung zur Datenverarbeitung nicht freiwillig erfolgt, wenn sie an einen Vertragsabschluss geknüpft ist. Die eingeschränkte Klagebefugnis erfordert jedoch eine wenig praxistaugliche Prüfung im Einzelfall und führt dazu, dass selbst gravierende Datenschutzverstöße nicht bekämpft werden können.
Die fehlende Implementierung einer Verbandsklage ist ein großes Manko der Umsetzung. Verbandsklagen haben im österreichischen Recht eine lange Tradition und haben sich in der Praxis als gleichermaßen effektives wie ökonomisches Instrument präventiver Marktkontrolle bewährt. Sie zielen darauf ab, systematische Verstöße ‚pro futuro‘ zu unterbinden und tragen damit wesentlich zum Schutz der österreichischen Konsumentinnen und Konsumenten bei.
konstatiert Petra Leupold.
Verbandsklagen als wichtige Ergänzung
Gerade im Datenschutzrecht kommt Verbandsklagen eine wichtige Ergänzungsfunktion zur behördlichen Rechtsdurchsetzung zu. Insbesondere in Hinblick auf internationale Tech-Konzerne, die weitestgehend in die Zuständigkeit ausländischer Behörden fallen, hat sich das in der DSGVO vorgesehene System grenzüberschreitender behördlicher Zusammenarbeit bislang als nicht effizient erwiesen.
Ohne Verbandsklage ist ein sinnvolles Vorgehen gegen Facebook, Google oder Amazon bei Datenschutzverletzungen in Österreich derzeit schlicht nicht möglich. Dies trifft nicht nur die österreichischen Verbraucher, sondern führt auch zu einer Verzerrung des Wettbewerbs zulasten österreichischer Unternehmer, weil ausländische Konzerne nicht mit effizienten Sanktionen rechnen müssen.
so Petra Leupold weiter. Auch eine – im Interesse aller Beteiligten nach Rechtssicherheit liegende – rasche Klärung offener Auslegungsfragen im Vorabentscheidungsverfahren durch den Europäischen Gerichtshof ist ohne Verbandsklagen nicht gewährleistet.
Ein ‚private enforcement‘ durch Verbandsklagen ist, zusammen mit einer ausreichend ausgestatteten behördlichen Aufsicht, der Schlüssel für einen starken Verbraucherschutz. Es kann nicht sein, dass die DSGVO nur ein Papiertiger ist, weil sich die großen, internationalen Player über deren Vorgaben hinwegsetzen und notorische, systematische Datenschutzverstöße in Österreich nicht wirksam bekämpft werden können.
resümiert Leupold.