Zwei Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) fällt die Bilanz des Vereins für Konsumenteninformation (VKI) ernüchternd aus. Er ortet eklatante Rechtsschutzdefizite und dringenden Handlungsbedarf aufseiten des Gesetzgebers und fordert die zügige Einführung der Verbandsklage im Datenschutzrecht, um effektiv gegen Datenschutzverstöße vorgehen zu können.
Die am 25.5.2018 in Kraft getretene DSGVO hat es sich zum Ziel gesetzt, die Datenschutzrechte von Verbrauchern auszubauen und die Rechtsdurchsetzung zu stärken. Dieses Ziel sieht der VKI noch in weiter Ferne. "Datenschutzrecht ist ein Kernbereich des Verbraucherrechts", betont Petra Leupold, Datenschutzexpertin und Leiterin der VKI-Akademie. "Das Schutzniveau ist prinzipiell hoch, die Datenschutzrechte bestehen aber über weite Strecken nur auf dem Papier."
Zur Rechtsdurchsetzung ist neben einer Erweiterung der Befugnisse der Datenschutzbehörden und einer Anhebung der Geldbußen auf bis zu 20 Millionen Euro (oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens) auch ausdrücklich die Möglichkeit einer Verbandsklage vorgesehen (Artikel 80 Absatz 2 DSGVO). Der österreichische Gesetzgeber hatte von dieser Option bei der Umsetzung der DSGVO in österreichisches Recht jedoch keinen Gebrauch gemacht, so der VKI in einer Aussendung. Die Verletzung datenschutzrechtlicher Vorgaben wurde auch nicht in den Tatbestandskatalog des § 28a Konsumentenschutzgesetz aufgenommen, der es klagebefugten Einrichtungen, wie insbesondere dem VKI oder der Bundesarbeitskammer, ermöglicht, im Kollektivinteresse der Verbraucher gegen unzulässige Geschäftspraktiken vorzugehen.
Eine Klagebefugnis im Datenschutzrecht kommt nach derzeitiger Rechtslage nur dann zu, wenn Datenschutzverstöße zugleich rechtswidrige Klauseln in Verbraucherverträgen betreffen. So konnte der VKI beispielweise 2018 die erste höchstgerichtliche Entscheidung zur Auslegung des sogenannten "Koppelungsverbots" nach der DSGVO erwirken. Ein Urteil, in dem der Oberste Gerichtshof (OGH) klarstellt, dass eine Einwilligung zur Datenverarbeitung nicht freiwillig erfolgt, wenn sie an einen Vertragsabschluss geknüpft ist. Die eingeschränkte Klagebefugnis erfordert jedoch eine wenig praxistaugliche Prüfung im Einzelfall und führt dazu, dass selbst gravierende Datenschutzverstöße nicht bekämpft werden können.
Laut VKI ist eine zügige Umsetzung der Verbandsklage im Datenschutzrecht notwendig
"Die fehlende Implementierung einer Verbandsklage ist ein großes Manko der Umsetzung", konstatiert Petra Leupold. "Verbandsklagen haben im österreichischen Recht eine lange Tradition und haben sich in der Praxis als gleichermaßen effektives wie ökonomisches Instrument präventiver Marktkontrolle bewährt. Sie zielen darauf ab, systematische Verstöße ‚pro futuro‘ zu unterbinden und tragen damit wesentlich zum Schutz der österreichischen Konsumenten bei."
Gerade im Datenschutzrecht kommt Verbandsklagen eine wichtige Ergänzungsfunktion zur behördlichen Rechtsdurchsetzung zu. Insbesondere in Hinblick auf internationale Tech-Konzerne, die weitestgehend in die Zuständigkeit ausländischer Behörden fallen, hat sich das in der DSGVO vorgesehene System grenzüberschreitender behördlicher Zusammenarbeit bislang als nicht effizient erwiesen. "Ohne Verbandsklage ist ein sinnvolles Vorgehen gegen Facebook, Google oder Amazon bei Datenschutzverletzungen in Österreich derzeit schlicht nicht möglich", so Petra Leupold weiter. "Dies trifft nicht nur die österreichischen Verbraucher, sondern führt auch zu einer Verzerrung des Wettbewerbs zulasten österreichischer Unternehmer, weil ausländische Konzerne nicht mit effizienten Sanktionen rechnen müssen."
Auch eine – im Interesse aller Beteiligten nach Rechtssicherheit liegende – rasche Klärung offener Auslegungsfragen im Vorabentscheidungsverfahren durch den Europäischen Gerichtshof ist ohne Verbandsklagen nicht gewährleistet. "Ein ‚private enforcement‘ durch Verbandsklagen ist, zusammen mit einer ausreichend ausgestatteten behördlichen Aufsicht, der Schlüssel für einen starken Verbraucherschutz", so Leupold. "Es kann nicht sein, dass die DSGVO nur ein Papiertiger ist, weil sich die großen, internationalen Player über deren Vorgaben hinwegsetzen und notorische, systematische Datenschutzverstöße in Österreich nicht wirksam bekämpft werden können."
