HomeIco

Home

 InternIco

Intern
Deutsch|English
Weltweit
Themen Europäische Musterfeststellungsklage könnte zu Verbandsklagen bzgl. Datenschutzverstößen führen

Europäische Musterfeststellungsklage könnte zu Verbandsklagen bzgl. Datenschutzverstößen führen

PrintMailRate-it

veröffentlicht am 30. August 2021

Autoren: Christoph Naucke und Jana Wollmann

 

[Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG vom 11. April 2018 – COM/2018/184 final - 2018/0089 (COD)]

 

Der aktuell vorliegende Entwurf einer EU-Richtlinie für „Verbandsklagen europäischer Art” erhöht das Risiko für weitreichende Schadensersatzklagen auf Grund eines einzelnen Datenschutzverstoßes. Die Unternehmen trifft insoweit eine Nachweispflicht. Die abschließende Erledigung der Aufgaben, die durch die EU-DSGVO verbindlich geworden sind, ist umso dringender anzuraten.​

 

Die EU-Kommission hat den Entwurf einer Richtlinie in das europäische Parlament eingebracht, mit der „Verbandsklagen europäischer Art”, wie die Kommission es formuliert, ermöglicht werden sollen. Nach Inkrafttreten der Richtlinie haben die EU-Mitgliedsstaaten diese innerhalb von 18 Monaten durch entsprechende Rechts- und Verwaltungsvorschriften in nationales Recht umzusetzen.
Die Richtlinie zielt insbesondere darauf ab, dass eine qualifizierte Organisation wie etwa ein Verbraucherverband das Recht erhält, „im Namen einer Gruppe von Verbrauchern, die durch illegale Geschäftspraktiken Schaden erlitten haben, einen Rechtsbehelf ein[zu]legen, um z. B. eine Entschädigung […] zu erwirken” (Pressemeldung der Europäischen Kommission vom 11. April 2018). Begründet wird dies u.a. damit, dass die EU-Verbraucherschutzbehörden nicht ausreichend gerüstet seien, um rechtswidriges Verhalten von Organisationen zu ahnden, das zu Massenschadensereignissen führt, also zu Schädigungen einer großen Anzahl Betroffener.
Voraussetzungen für eine solche Klage wären nach Art. 4 des vorliegenden Entwurfs, dass der klagende Verband auf sein Ersuchen hin durch den Mitgliedsstaat benannt und in ein öffentliches Register eingetragen ist. Dieser Eintrag ist an folgende Voraussetzungen geknüpft
  1. Der Verband wurde nach dem Recht eines Mitgliedsstaats ordnungsgemäß errichtet.
  2. Der Verband hat ein berechtigtes Interesse daran, dass die unter die Richtlinie 
        fallenden Bestimmungen des Unionsrechts eingehalten werden.
  3. Der Verband verfolgt keinen Erwerbszweck.

Mit der aktuell in Kraft getretenen EU-Datenschutzgrundverordnung wurde hinsichtlich Datenschutzverstößen eine faktische Beweislastumkehr eingeführt (Art. 5 Abs. 2 DS-GVO). Das führt dazu, dass bereits dann von einem Rechtsverstoß ausgegangen werden muss, wenn der betreffende Verantwortliche nicht selbst nachweisen kann, dass er rechtskonform handelt. In Verbindung mit der anstehenden Musterfeststellungsklage ist dies deswegen bedeutsam, weil damit der klagende Verband lediglich nachweisen muss, dass eine Verarbeitungstätigkeit grundsätzlich dazu geeignet war, zu einer geltend gemachten Verletzung des Schutzes der persönlichen Rechte zu führen.


Bei der Umsetzung dieser Richtlinie ist daher damit zu rechnen, dass bereits die Benennung eines einzelnen aufgetretenen Datenschutzverstoßes durch einen Verbraucherverband dazu ausreichen wird, eine Verbandsklage zur Erwirkung eines Abhilfebeschlusses zu erheben, durch den der Unternehmer je nach Sachlage verpflichtet wird, unter anderem Entschädigungs-, oder Ersatzleistungen zu erbringen.


Anstelle eines Abhilfebeschlusses könnte ein Gericht oder eine Verwaltungsbehörde einen Feststellungsbeschluss zur Haftung des Unternehmers gegenüber den Verbrauchern erlassen, die durch einen Verstoß gegen die Unionsvorschriften – z.B. gegen die EU-Datenschutzgrundverordnung – geschädigt worden sind. Auf der Grundlage des dazu ergehenden Urteils könnten dann die betroffenen Verbraucher Schadensersatz verlangen. Im Bereich der Gesundheitswirtschaft könnten – neben den klassischen Verbraucherverbänden –  insbesondere Patienten- und Sozialverbände, aber eventuell auch Gewerkschaften (in Bezug auf den Beschäftigtendatenschutz) als Kläger auftreten, wenn sie die oben genannten Kriterien erfüllen.


Vor dem Hintergrund der sich insoweit verschärfenden Risiken ist auch für Krankenhäuser, Pflegeeinrichtungen und Sozialunternehmen die Erledigung der neuen Dokumentationspflichten im Datenschutz umso dringender angeraten. Zu nennen ist hier insbesondere das Verzeichnis der Verarbeitungstätigkeiten, die Definition von Prozessen im Fall einer Datenpanne oder eines Auskunftsersuchens, die Risikobewertung der Datenschutzrisiken und die darauf basierende Durchführung von Datenschutzfolgenabschätzungen, sowie schließlich die regelmäßige Schulung aller Mitarbeiter, einschließlich der vollständigen Dokumentation der Schulungen.
 
Der Entwurf der Richtlinie kann auf der eur-lex-Webseite aufgerufen werden.

 

Newsletter

Kompass Gesundheit und Soziales Ausgabe 09/2018

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Wir beraten Sie gern!

Gesundheits- und Sozialwirt­schaft
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu