Datenschutz: Betroffenenrechte nach der DSGVO

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Wird eine Datenschutzverletzung beim Arbeitgeber oder durch sonstige Unternehmen oder Vereine vermutet stellt sich schnell die Frage welche Rechte evetuell einschlägig sein können auch ob schon Verjährung der evetuellen Ansprüche engetreten sein könnte und durch welche Mittel und Maßnahmen die evetuellen Rechte gerichtlich und außergerichtlich durchgesetzt werden können. Nachfolgende Informationen können erste Hinweise zum möglichen Vorgehen liefern.

Beachte unsere Bußgeldtabelle zu mehr als 90 spannenden Datenschutzfällen in Deutschland unter unseren kostenfreien Downloads. 

Weiter unsere Bußgeldtabelle zu mehr als 150 spannenden Datenschutzfällen im internationalen Raum ebenfalls als kostenfreier Download.

 

Recht auf Information

Wegen des Transparenzgebots aus Art. 5 I a DS-GVO stehen Betroffenen umfassende Informations- und Auskunftsrechte zu.

Eine Verletzung dieser Rechte entsteht durch eine unterbliebene, ungenügende oder verspätete Information bzw. Auskunft.

Nach Art. 13 DS-GVO umfasst die Informationspflicht des Verantwortlichen bei jeder Datenverarbeitung, wenn die Informationen bei der betroffenen erhoben werden, grundsätzlich:

  • Wer: Name und Kontaktdaten des Verantwortlichen (Art. 13 I a DS-GVO)
  • Warum und Wozu: Zweck und Rechtsgrundlage der Verarbeitung (Art. 13 I c DS-GVO), Folgen einer Nichtbereitstellung von Daten (Art. 13 II e DS-GVO)
  • Wie lange: Dauer der Speicherung oder die Festlegung der Kriterien (Art. 13 II a DS-GVO)
  • Rechte: Hinweis auf das Auskunftsrecht (Art. 13 II b DS-GVO), Hinweis auf das Beschwerderecht (Art. 13 II d DS-GVO).

In Sonderfällen erweitert sich dies um:

  • ggfs. Kontaktdaten des Datenschutzbeauftragten (Art. 13 I b DS-GVO)
  • ggfs. berechtigtes Interesse bei einer Verarbeitung nach Art. 6 I f DS-GVO (Art. 13 I d DS-GVO)
  • ggfs. Hinweis auf Widerrufsrecht, wenn die Verarbeitung auf Einwilligung beruht (Art. 13 II c)
  • ggfs Empfänger oder Kategorien von Empfängern (Art. 13 I e DS-GVO)
  • ggfs Absicht zur Datenübermittlung an ein Drittland oder eine internationale Organisation (Art. 13 I f DS-GVO).

Nach Art. 14 DS-GVO besteht eine fast deckungsgleiche Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben werden.

Nach Art. 12 DS-GVO müssen dabei alle Informationen und Auskünfte, die dem Betroffenen zustehen, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen.

 

Recht auf Auskunft

Art. 15 I DS-GVO verleiht Betroffenen ein Auskunftsrecht darüber, ob eine Datenverarbeitung vorliegt, und, wenn dies der Fall ist, über:

  • den Zweck (Art. 15 I a DS-GVO)
  • die verarbeiteten Kategorien von Daten (Art. 15 I b DS-GVO)
  • weitere Empfänger von Daten (Art. 15 I c DS-GVO)
  • Dauer der Speicherung oder Kriterien für die Festlegung (Art. 15 I d DS-GVO)
  • bestehende Rechte zur Berichtigung, Löschung oder Beschränkung (Art. 15 I e DS-GVO)
  • bestehendes Recht zur Beschwerde bei der Aufsichtsbehörde (Art. 15 I f DS-GVO)
  • bei Erhebung nicht bei dem Betroffenen: Herkunft der Daten (Art. 15 I g DS-GVO)
  • automatisierte Entscheidungsfindung (Art. 15 I h DS-GVO).

Nach Art. 19 DS-GVO kann ein Betroffener außerdem Mitteilung darüber verlangen, welchen Empfängern mitgeteilt wurde, dass seine personenbezogenen Daten gelöscht oder berichtigt wurden oder dass die Verarbeitung eingeschränkt wurde.

Nach Art. 15 III DS-GVO besteht zudem das Recht auf den Erhalt einer Kopie der verarbeiteten Daten.

Und nach Art. 20 DS-GVO besteht das Recht, die Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ zu erhalten und an einen anderen Verantwortlichen zu vermitteln (z.B. beim Wechsel des Stromanbieters).

Voraussetzung dafür sind die Verarbeitung durch automatisierte Verfahren (Art. 20 I b DS-GVO) und eine Einwilligung als Grundlage der Verarbeitung (Art. 20 I a DS-GVO).

Damit bestehen für Betroffene umfassende Ansprüche aufgrund der DS-GVO.

Das Auskunftsrecht kann allerdings beschränkt werden, wie das LAG Baden-Württemberg feststellte:

„Nach § 34 I iVm § 29 I 2 BDSG besteht das Recht auf Auskunft der betroffenen Person gem. Art. 15 der VO (EU) 2016/679 (DS-GVO) nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Die Regelungen in § 34 I iVm § 29 I und II BDSG beruhen auf der Öffnungsklausel des Art. 23 I Buchst. i DS-GVO, wonach Informations- und Benachrichtigungspflichten des Verantwortlichen bzw. das Auskunftsrecht betroffener Personen beschränkt werden können zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen.“
(LAG Baden-Württemberg, Urt. v. 20.12.2018 – 17 Sa 11/18, Rn. 179)

Ebenso kann nach Treu und Glauben ein Recht auf Auskunft ganz verneint werden, wenn ein Rechtsmissbrauch zu befürchten ist, - dies allerdings nur unter strengen Voraussetzungen - wie das OLG München entschied:

„Unzulässige Rechtsausübung bei der Geltendmachung des Auskunftsanspruchs ist dann anzunehmen, wenn die (konkrete, nicht nur abstrakte) Gefahr des Missbrauchs der erstrittenen Daten besteht.“
(OLG München, Urt. v. 4.7.2018 – 7 U 4028/17, Rn. 30)

 

Widerrufs- und Widerspruchsrecht

Datenweitergabe, die nicht auf einer gesetzlichen Grundlage beruht, erfordert als Ausprägung der Datenfreiheit eine Einwilligung.

Mit der Einwilligung korrespondiert neben dem Widerrufsrecht nach Art. 7 III DS-GVO unter Umständen auch nach § 7 UWG oder § 203 StGB dabei jeweils ein Widerrufsrecht, d.h. Betroffene können die erteilte Einwilligung jederzeit widerrufen. Die Folge ist, dass die Fortführung der Datenverarbeitung, welche auf dieser Einwilligung beruhte, nicht fortgeführt werden darf, die Rechtmäßigkeit der vorherigen Datenverarbeitung aber unberührt bleibt.

Nach Art. 21 DS-GVO besteht bei Verarbeitungen, die auf Art. 6 I e oder f DS-GVO beruhen (nach Art.21 I DS-GVO) oder die der Direktwerbung dienen (nach Art.21 II DS-GVO) ein Widerspruchsrecht der Betroffenen, so dass die Daten dann nicht länger verarbeitet werden dürfen.

 

Recht, „vergessen zu werden“

Das Recht auf Löschung aus Art 17 DSGVO ist nach Willen des EU-Gesetzgebers weit auszulegen:

Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. (EG 66)

Art. 17 DS-GVO normiert auch einen Unterlassungsanspruch.

Dies begründete das LG Frankfurt wie folgt:

„Sein Sinn und Zweck ist es, den Zugriff auf bestimmte personenbezogene Daten für die Zukunft zu beenden. Das setzt in einem ersten Schritt zwar voraus, dass sie von dem Verantwortlichen gelöscht werden. Dabei kann der Verantwortliche aber nicht stehen bleiben, wenn das „Vergessenwerden“ tatsächlich ermöglicht werden soll. Dürfte er die personenbezogenen Daten nach der Löschung erneut verarbeiten, würde der Zugriff hierauf im Ergebnis nämlich gerade nicht beendet. Das „Recht auf Vergessenwerden“ liefe in dem Fall weitgehend leer.“
(LG Frankfurt a. M., Urteil vom 28.06.2019 - 2-03 O 315/17, BeckRS 2019, 13139, Rn. 35)

Dieser bedarf nach Ansicht des LG Frankfurt nicht der Annahme einer Wiederholungsgefahr.
(LG Frankfurt a. M., Urteil vom 28.06.2019 - 2-03 O 315/17, BeckRS 2019, 13139, Rn. 60, aaO)

Nach Art. 17 III DSGVO kann das Recht auf Löschung allerdings auch eingeschränkt werden.

Auf die Ausnahme zugunsten der Meinungsfreiheit nahm das OLG Frankfurt Bezug:

„Allerdings gilt dies nach Art. 17 I DS-GVO nicht, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist, Art. 17 III Buchst. a DS-GVO.

Mit dieser Ausnahme setzt der Gesetzgeber die allgemeine Vorgabe der Rechtsprechung des EuGH um, wonach der (Grundrechts-)Schutz von personenbezogenen Daten betroffener Personen im Sinne der DS-GVO stets in einen angemessenen Ausgleich mit den Grundrechten und Interessen des Verantwortlichen und Dritter zu bringen ist. Hierzu gehören insbesondere das Grundrecht auf Meinungsfreiheit, insbesondere auch von Journalisten, Wissenschaftlern, Künstlern und Schriftstellern, als auch das Grundrecht auf Informationszugangsfreiheit gem. Art. 11 I GrCh[…]Der Begriff der „Erforderlichkeit“ schafft Raum für eine Abwägungsentscheidung im Einzelfall […],ohne dass Art. 17 III Buchst. a DS-GVO allerdings konkrete Abwägungskriterien an die Hand gäbe […]. Insoweit bietet es sich aber (auch hier) an, die in Art. 6 I 1 Buchst. f DS-GVO normierte zentrale Abwägungsklausel heranzuziehen.“
(OLG Frankfurt a. M., Urt. v. 6.9.2018 – 16 U 193/17, Rn. 57f)

Das Recht auf Löschung gemäß Art. 17 DSGVO kann bei Weigerung oder Unterlassen des Verantwortlichen z.B. auch Ansprüche aus Art. 82 I DSGVO eröffnen.

 

Recht auf Berichtigung

Nach Art. 16 DS-GVO, der auf dem Grundsatz der Richtigkeit aus Art. 5 I d DS-GVO beruht, haben Betroffene das Recht, „unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen“.

Recht auf Einschränkung der Verarbeitung

Nach Art. 18 DS-GVO, haben Betroffene das Recht, unter bestimmten Umständen eine Einschränkung der Verarbeitung der Daten durch den Verantwortlichen zu verlangen, wenn z.B. eine Löschung trotz unrechtmäßiger Verarbeitung nicht gewünscht ist (Art. 18 I b DS-GVO).

Zudem kann nach Art. 22 DS-GVO ein Betroffener verlangen, nicht ausschließlich automatisierten Entscheidungen (insbesondere Profiling) unterworfen zu werden, die ihm gegenüber rechtliche Wirkung entfalten oder ihn in ähnlicher Weise erheblich beeinträchtigen, soweit keine Ausnahme nach Art. 22 II DS-GVO vorliegt.

 

Beschwerderecht

Nach Art. 77 I DS-GVO besteht für betroffene Personen ein Beschwerderecht bei der Aufsichtsbehörde, wenn die Verarbeitung der sie betreffenden Daten gegen die DS-GVO verstößt.

Unter dem Gesichtspunkt der Verfahrenseffizienz kann es unter Umständen allerdings auch hilfreich sein, sich mit Beschwerden zunächst an Datenschutzorganisationen oder Verbraucherschutzbehörden zu wenden, die dann gesammelt Beschwerden von vielen Betroffenen eines Verstoßes an die Behörde weitergeben.

Art. 80 DS-GVO bestätigt auch ausdrücklich die Zulässigkeit von Verbandsklagen.

 

Maßnahmen durch Bundes- und/oder Landesdatenschutzbeauftragte

Übt ein Betroffener sein Beschwerderecht aus oder untersucht die Aufsichtsbehörde von Amts wegen eine Datenschutzverletzung, stehen der Behörde Untersuchungs- und Abhilfemaßnahmen nach Art. 58 DS-GVO und die Sanktionierung mit Bußgeld nach Art. 83 DS-GVO zu.

Art. 58 DS-GVO

In Art. 58 I a-f DSGVO wird ein Katalog für Untersuchungsbefugnisse der Aufsichtsbehörden genannt,

in Art. 58 II a-j DSGVO der Katalog der Abhilfebefugnisse.

Teilweise können die Befugnisse, bestimmte Implementierungen von neuer Technik z.B. zu fordern, sogar einen größeren finanziellen Aufwand erfordern als das gleichzeitig verhängte Bußgeld, wie im Fall des Social-Media-Anbieters Knuddels (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/)

Wenn ein verantwortlicher den Maßnahmen aus Art. 58 I DSGVO keine Folge leistet, können die Behörden z.B. Informationsersuchen durch einen Verwaltungsakt durchsetzen, wie das VG Mainz feststellte und damit die Verhängung eines Zwangsgelds von 5.000 € bestätigte. Demnach steht der Aufsichtsbehörde im Rahmen ihrer Untersuchungsbefugnisse

„gemäß Art. 58 Abs. 1 lit. a DS-GVO auch ein Auskunftsanspruch zu, dem die […] datenschutzrechtlich Verantwortliche grundsätzlich nachkommen muss.[…] Dies hat der Bundesgesetzgeber auch in § 40 Abs. 4 Satz 1 BDSG […] insbesondere dahingehend konkretisiert, dass Auskunftspflichtige die Beantwortung der Fragen des Beklagten mit Rücksicht auf ein Auskunftsverweigerungsrecht ablehnen können (§ 40 Abs. 4 Satz 2 BDSG). Ihr kommt insoweit auch die Befugnis zu, durch Verwaltungsakt zu handeln (sog. VA-Befugnis), was bereits im Wortlaut der Vorschrift („anzuweisen“) zum Ausdruck kommt. Zudem steht es auch grundsätzlich im Ermessen einer Behörde, eine bestehende Handlungsverpflichtung (hier die Auskunftsverpflichtung der Klägerin) durch Verwaltungsakt zu konkretisieren und dann auch im Wege des Verwaltungszwanges durchzusetzen“.
(VG Mainz, Urteil vom 09.05.2019, 1 K 760/18.MZ, Rn. 36, Original ohne Hervorhebungen)

Art. 83 DS-GVO

Art. 83 IV a-c DSGVO enthält die tatbestandlichen Voraussetzungen für Geldbußen bis zu 10.000.000 € oder 2 % Jahresumsatz bei Unternehmen, je nachdem, welcher Betrag höher ist.

Art. 83 V a-e,VI DSGVO enthält die tatbestandlichen Voraussetzungen für Geldbußen bis zu 20.000.000 € oder 4 % Jahresumsatz bei Unternehmen, je nachdem, welcher Betrag höher ist.

Durch die hohe Strafandrohung muss nach dem Rechtsstaatlichkeitsprinzip neben Erfüllung des Tatbestandes auch eine Rechtswidrigkeit des Verhaltens gegeben sein, die die Bestrafung rechtfertigt.

Strafrechtliche Sanktionen

Strafrechtliche Sanktionen erfolgen entsprechend der Öffnungsklausel Art. 84 I DS-GVO nach deutschem StGB und BDSG n.F.

Allerdings muss der Mitgliedstaat auch dabei die Grundsätze der Wirksamkeit, Verhältnismäßigkeit und Abschreckung einhalten.

Die Sanktionen unterliegen außerdem einer Kohärenzhürde, wie aus den Erwägungsgründen der Kommission hervorgeht:

„Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.“ (EG 8)

Das StGB enthält besondere strafrechtliche Regelungen für Verstöße gegen den Datenschutz in den §§ 202 a-d. Der Höchststrafrahmen reicht dort von 2 – 3 Jahren Freiheitsstrafe.

Weiterhin ist aber auch eine Verwirklichung datenschutzrechtlicher Verstöße unter anderen Normen wie z.B. § 203 StGB (Verletzung von Privatgeheimnissen) denkbar. Dabei besteht ein Strafhöchstmaß von einem Jahr Freiheitsstrafe oder Geldstrafe.

Die Ahndung erfordert meist eine strafrechtliche Anzeige.

In Deutschland wurde außerdem zur Ergänzung nach Öffnungsklausel des Art. 84 I DSGVO das BDSG n.F. eingeführt, das Regelungen zu Sanktionen in §§ 41 -43 BDSG enthält.

In § 41 I 1 BDSG verweist es für Verstöße gegen Art. 83 IV-VI DSGVO auf die Geltung des OWiG.

§ 42 BDSG regelt die Strafvorschriften; Verstöße ziehen mögliche Freiheitsstrafen von bis zu 3 Jahren nach sich. Verfolgt werden diese Taten allerdings nach § 42 III 1 BDSG nur auf Antrag.

§ 43 BDSG regelt besondere Bußgeldvorschriften.

Schadenersatz

Nach Art. 82 DSGVO bzw. nach §§ 280 ff. BGB oder §§ 823 ff. BGB kann der durch eine Datenschutzverletzung Betroffene Schadenersatz für den durch den Verstoß erlittenen Schaden verlangen. Die verschiedenen Anspruchsgrundlagen stehen dabei in Konkurrenz zueinander.

Nach Art. 82 I DS-GVO sind auch immaterielle Schäden erfasst.

Art. 82 II, IV DSGVO regeln eine Gesamtschuldnerhaftung und mögliche Gesamthaftung aller Verarbeiter und Auftragsverarbeiter.

Grundsätzlich eröffnet damit Art. 82 DSGVO die Möglichkeit enormer Schadensersatzforderungen.

Durch die Verschuldensvermutung aus Art. 82 III DSGVO ist der Verantwortliche in der Pflicht, sich durch umfassende Nachweise zu exkulpieren.

Wie ein Mitverschulden des Betroffenen zu behandeln ist, ist derzeit noch umstritten.

Eine analoge Anwendung von § 254 BGB scheint aber denkbar, da in Art. 82 DS-GVO diesbezüglich eine Lücke existiert und es dem natürlichen Rechtsempfinden bei grob fahrlässigem Verhalten wie z.B. der Wahl eines sehr schwachen Passworts entspricht.

Spätestens bei der Berechnung des Schadensersatzes müsste ein Mitverschulden des Betroffenen allerdings zu berücksichtigen sein.

(vgl. Wybitul/Neu/Strauch: Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen - Verteidigung gegen Schadensersatzforderungen nach Art. 82 DS-GVO, ZD 2018, 202 (207))

Den Anspruch kann ein Betroffener gemäß Art. 82 VI i.V.m. 79 II DS-GVO entweder bei Gericht in seinem Mitgliedstaat oder dem des Verantwortlichen durchsetzen.

Abmahnung

Mit Einführung der DS-GVO wurde vielfach eine Abmahnwelle befürchtet, und es gab bisher auch einige Fälle.

Ob eine Abmahnung für Mitbewerber nach UWG aber überhaupt zulässig ist, ist derzeit noch umstritten.

In der Rechtsprechung wird eine Abmahnfähigkeit durch Mitbewerber nach § 8 I UWG

vielfach ausgeschlossen:

„Eine grundsätzliche wettbewerbsrechtliche Abmahnbarkeit von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) besteht nicht, weil die DSGVO in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte.“
(LG Bochum, Urteil vom 07.08.2018 – I-12 O 85/18 –, juris, LS)

Auch das LG Wiesbaden ging davon aus:

„Vor dem Hintergrund, dass keine Rechtsschutzlücke im Bereich der Datenschutzgrundverordnung besteht, muss sie auch nicht durch eine Anwendung des § 3 Buchst. a UWG geschlossen werden.“
(LG Wiesbaden, Urteil vom 05.11. 2018 – 5 O 214/18 –, juris, Rn. 39, Hervorhebungen jeweils nicht im Original)

Allerdings gibt es auch Gerichte, die Regelungen der DSGVO als Marktverhaltensregeln im Sinne des § 3a UWG ansehen, wie das LG Würzburg:

„Bei dem Betrieb einer geschäftlichen Website […] ohne eine der DSGVO genügende Datenschutzerklärung und der Verwendung eines Kontaktformulars ohne Verschlüsselung liegt ein Verstoß gegen Marktverhaltensregelungen im Sinne von § 3a UWG vor. […] geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte.“
(LG Würzburg, Beschluss vom 13. September 2018 – 11 O 1741/18 UWG –, juris, LS, Rn. 2)

Das OLG Hamburg nahm an, dass zwar keine abschließende Regelung eine Anwendung der Abmahnung nach UWG bei datenschutzrechtlichen Verstößen hindert, aber die jeweilige verletzte Norm auf ihren marktverhaltensregelnden Charakter gemäß § 3a UWG überprüft werden muss:

„Nicht jegliche datenschutzrechtliche Norm hat marktverhaltensregelnden Charakter i.S. des § 3a UWG. Vielmehr muss die jeweilige Norm konkret darauf überprüft werden, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. […]

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung - nicht Mindestharmonisierung […] - ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden“.
(OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17–, juris, LS, Rn. 51, Hervorhebungen jeweils nicht im Original)

Zur Klarstellung haben deshalb der Ausschuss für innere Angelegenheiten

und der Wirtschaftsausschuss des Bundesrates in der Sitzung des Bundesrats

zum Entwurf des 2. DSAnpUG-EU eine Ergänzung § 44a BDSG zur Einordnung der DSGVO als nicht marktverhaltensregelnde Normen i.S.d. § 3a UWG gefordert:

„Die Ergänzung stellt klar, dass auch Regelungen über die Durchsetzung von Marktverhaltensregelungen im Rahmen des UWG dem Anwendungsvorrang der Datenschutz-Grundverordnung unterliegen. Diese trifft im Interesse einheitlicher Bedingungen des Datenschutzes und des freien Datenverkehrs in der EU auch über die Abhilfemaßnahmen und Sanktionen bei Datenschutzverstößen eine abschließende Regelung. Ansprüche nach dem UWG, insbesondere von Mitwettbewerbern, sind seit Geltung der Datenschutz-Grundverordnung wegen deren grundsätzlich abschließenden Rechtsfolgenregimes von vornherein ausgeschlossen, da Artikel 77 bis 84 DSGVO die Einräumung einer entsprechenden Antragsberechtigung und Klagebefugnis im nationalen Recht nicht vorsehen […]. Angesichts der nach wie vor weit verbreiteten Unsicherheit insbesondere bei kleinen und mittelständischen Unternehmen über wettbewerbsrechtlichen Ab-mahnverfahren sollte im Zuge der Gesamtanpassung des Bundesrechts an die DSGVO eine ausdrückliche Ausschlussregelung getroffen werden. Die Geltendmachung von Datenschutzverstößen durch zugelassene Verbraucherschutzvereinigungen nach dem Unterlassungsklagegesetz bleibt durch die Ergänzung unberührt.“
(Entwurf 2. DSAnpUG-EU, Ausschussempfehlung, Nr.6, Hervorhebungen nicht im Original)

Eine Abmahnung nach § 8 I UWG i.V.m. § 3a UWG, DSGVO wird demnach langfristig wohl keine besondere Rolle spielen.

Eine Abmahnmöglichkeit nach UKlaG scheint, wenn man eine nicht abschließende Regelung der DSGVO voraussetzt, auch möglich, allerdings besteht dort für Mitbewerber und Abmahnvereine keine Aktivlegitimation nach § 3 I UKlaG.

Verjährung

Die Verjährungszeit von Bußgeldforderungen aus Art. 83 DSGVO beträgt 3 Jahre

nach Art. 83 VIII DSGVO i.V.m. § 41 BDSG, § 31 II Nr.1 OWiG, das eine regelmäßige Verjährungsfrist von 3 Jahren bei Geldbußen, die im Höchstmaß mit mehr als 15.000 € bedroht sind, vorsieht.

Die Verjährung von Schadensersatzansprüchen aus Art. 82 DS-GVO richtet sich, da es sich um einen eigenständigen zivilrechtlichen Anspruch handelt, in Deutschland nach dem deutschen Zivilrecht und beträgt daher regelmäßig 3 Jahre nach § 195 BGB.

Beachte unsere Bußgeldtabelle zu mehr als 90 spannenden Datenschutzfällen in Deutschland unter unseren kostenfreien Downloads. 

Weiter unsere Bußgeldtabelle zu mehr als 150 spannenden Datenschutzfällen im internationalen Raum ebenfalls als kostenfreier Download.

 

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Unterlassungserklärung / mod. UE was ist das und wie weit reicht ihr Wirkungsumfang?

Was versteht man eigentlich unter einer Unterlassungserklärung? Durch eine Unterlassungserklärung, auch als mod. UE abgekürzt, verpflichtet sich der... Weiterlesen

Vorbeugende Unterlassungserklärungen wirksamer Schutz?

Kann die Abgabe einer vorbeugenden Unterlassungserklärung ein wirksamer Schutz vor Folgeabmahnungen sein?... Weiterlesen

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon, ob diese... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx.

* Diese Angaben werden benötigt.

Kanzleibriefe
Datenschutzerklärung-Generator Schweiz kostenlos für Websites - inkl. DSG Schweiz 2023 und DSGVO

Startschuss für den kostenfreien Datenschutzerklärungsgenerator unter datenbuddy.de war der 01.09.2023, somit pünktlich mit Inkrafttreten des Bundesgesetz über den Datenschutz der Schweiz.... Weiterlesen

TTDSG was ist das?

Was ist das TTDSG und wo wird es relevant?... Weiterlesen

Datenschutzgesetz Schweiz auch revDSG oder DSG Schweiz?

Das neue Datenschutzgesetz der Schweiz (nDSG Schweiz) ist seit 01.09.2023 in Kraft... Weiterlesen