Artikel 80 EU-DSGVO: Vertretung von betroffenen Personen

  1. Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 7778 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

  2. Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

Kommentar zu Art. 80 DSGVO

Was regelt Art. 80 DSGVO?
 

Art. 80 DSGVO beschäftigt sich mit der prozessrechtlichen Vertretung von betroffenen Personen und eröffnet den Mitgliedsstaaten die Möglichkeit eines eigenständigen Verbandsbeschwerde- und Verbandsklagerechts. Damit ergänzt er das Vollzugsdefizit der Rechtsbehelfe für individuell betroffene Personen der Art. 77-79 DSGVO.

Abs. 1 räumt die Möglichkeit einer sog. gewillkürten Prozessstandschaft ein. Dies bedeutet, dass betroffene Personen die in Abs. 1 genannten juristischen Personen beauftragen können, in ihrem Namen eine Beschwerde einzureichen, die Rechtsbehelfe der Art. 77-79 DSGVO in ihrem Namen wahrzunehmen sowie das Schadensersatzrecht des Art. 82 DSGVO in ihrem Namen geltend zu machen. Die vertretende Stelle fungiert somit als Prozessstandschafter und erhält durch eine individuelle Beauftragung oder Mandatierung die Prozessführungsbefugnis für die betroffene Person. Im Gegensatz zur gesetzlichen Prozessstandschaft bedarf es keiner Ermächtigung kraft Gesetzes oder Amtes. Die Beauftragung der Organisation o. Ä. sollte dabei jedoch, auch aus Gründen der Sicherheit für den Rechtsverkehr und des Ausschlusses eines Missbrauchs, schriftlich erfolgen. Der Prozessstandschafter muss jedoch zudem ein eigenes schutzwürdiges Interesse an der betreffenden Rechtsverfolgung haben.

Gem. Art. 80 Abs. 1 DSGVO sind nur juristische Personen in Form von Einrichtungen, Organisationen und Vereinigungen zur Geltendmachung der Rechte betroffener Personen berechtigt, sofern sie ordnungsgemäß nach dem Recht des jeweiligen Mitgliedstaats gegründet wurden. Darüber hinaus müssen die satzungsmäßigen Ziele der juristischen Personen im öffentlichen Interesse liegen. Zudem müssen sie, ohne Gewinnerzielungsabsicht, im Bereich des Schutzes der Rechte sowie Freiheiten von Betroffenen hinsichtlich des Schutzes personenbezogener Daten tätig sein. Die juristische Person, welche mit der Wahrnehmung von Betroffenenrechten beauftragt wird, muss also nicht nur allein im Bereich des Datenschutzes tätig sein. Es genügt eine Tätigkeit im Bereich allgemeingesellschaftlichen Interesses mit einem erkennbaren Bezug zum Datenschutz wie z. B. bei Verbraucherschutzvereinen, Konsumentenschutzverbänden, aber auch Gewerkschaften und Sozialverbänden. Primäre Tätigkeiten im Bereich kommerzieller Interessen genügen den Voraussetzungen hingegen nicht (z. B. kommerziell agierende Rechtsdienstleister, Stiftungen oder Organisationen, welche auf Gewinn bedacht handeln). Eine betroffene Person ist nach Art. 4 Nr. 1 DSGVO eine natürliche Person, die man anhand von personenbezogenen Daten identifizieren kann.

Gem. Art. 80 Abs. 2 DSGVO obliegt den einzelnen Mitgliedstaaten die Möglichkeit der gesetzlichen Einräumung einer eigenständigen Verbandsbeschwerde sowie eines eigenständigen Verbandsklagerechts für die in Abs. 1 genannten Einrichtungen, Organisationen oder Vereinigungen. Es handelt sich hierbei lediglich um eine Zielvorgabe, nicht jedoch um eine Regelungsverpflichtung. Nach Art. 80 Abs. 2 DSGVO können die in Absatz 1 genannten juristischen Personen auch eigenständig, d. h. unabhängig von einer Beauftragung durch eine betroffene Person, die Rechtsbehelfe der Art. 77-79 DSGVO geltend machen. Dies gilt jedoch nicht für die Geltendmachung von Schadensersatz. Gemäß Art. 82 DSGVO ist den in Abs. 1 genannten Stellen die Geltendmachung von Schadensersatz nicht ohne Beauftragung gestattet, da der in Art. 79 DSGVO geregelte Anspruch dem individuellen und nicht dem kollektiven Rechtsschutz dienen soll. Um das eigenständige Klage- und Beschwerderecht auszuüben muss die vertretende Stelle, genau wie bei der Individualklage, der Ansicht sein, dass die durch die DSGVO verliehenen Rechte einer Person durch eine Datenverarbeitung verletzt wurden und eine mögliche Rechtsverletzung der betroffenen Person durch diese Verarbeitung geltend machen. Der deutsche Gesetzgeber hat bereits ein Verbandsklagerecht durch § 2 Abs. 2 Nr. 11 UKlaG gesetzlich ausgestaltet. § 8 III Nr. 2 und 3 UWG räumt ebenfalls ein Verbandsklagerecht ein, welches sich auf die Unterlassung von nach den §§ 3, 7 UWG unzulässigen geschäftlichen Handlungen bezieht. Ob das Datenschutzrecht zumindest auch das Marktverhalten regeln soll und somit Datenschutzverstöße über das UWG abgemahnt und eingeklagt werden können, ist jedoch in der Rechtsprechung noch umstritten, da keine Regelung zum klaren Verhältnis zwischen UWG und DSGVO existiert und eine entsprechende letztverbindliche Entscheidung durch den EuGH bisher nicht erfolgt ist. Es herrscht insoweit Rechtsunsicherheit über die Anwendung des UWG i. V. m der DSGVO.

Was hat sich geändert?
 

Die alte DSRL enthielt keine vergleichbare Vorgängerregelung zur Verbandsbeschwerde sowie zum Verbandsklagerecht und hatte eine solche auch nicht vorgesehen. Art. 22 DSRL (95/46/EG) sah lediglich Individualklagerechte für betroffene Personen vor.

Welche Folgen ergeben sich aus Art. 80 DSGVO?
 

Zweck dieser Vorschrift ist es, den kollektiven Rechtsschutz im Bereich des Datenschutzes auszubauen, um das bis dahin bestehende Vollzugsdefizit auszugleichen. Infolgedessen wird ein erhöhter Druck auf Unternehmen erwartet, die datenschutzrechtlichen Vorgaben umzusetzen. Gleichzeitig werden eine erleichterte Wahrnehmung und Durchsetzung der Rechte für Betroffene erwartet. Durch die Ausgestaltungsmöglichkeit des Abs. 2 durch nationales Recht kommt den nationalen Gesetzgebern außerdem ein gesetzlicher Spielraum zu. Die Norm stellt also keine Regelungsverpflichtung, sondern eine Zielvorgabe dar. Falls Sie sich über die Rechtmäßigkeit Ihrer Verarbeitungen unsicher sind, helfen wir Ihnen auch gerne durch einen von uns eingesetzten externen Datenschutzbeauftragten weiter.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr