Betrug im Rahmen der DSGVO: Anfrage an die EU-Kommission
Die französische Abgeordnete Rachida Dati hat in einer Anfrage an die EU-Kommission auf betrügerische Machenschaften im Rahmen der DSGVO hingewiesen. Neben der Erpressung von Unternehmen, die noch Probleme mit der Umsetzung der neuen Vorschriften hätten, würden Zahlungen für vermeintliche Compliance-Maßnahmen erbeutet. Dati wolle nun wissen, ob man darüber im Bilde sei und ob Einzelpersonen bzw. Unternehmen darüber informiert würden. Die Kommission verweist in ihrer Antwort auf in der DSGVO verankerte Rechte, um gegen angebliche Verletzungen vorzugehen. Interessant könnte die Antwort auch vor dem Hintergrund der vieldiskutierten Frage sein, ob auch Wettbewerber untereinander auf Grundlage des UWG datenschutzrechtliche Verstöße geltend machen können.
Frage der französischen Abgeordneten Rachida Dati (Les Républicains)
Nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wurden Dutzende von E-Mails an jeden Internetbenutzer gesendet, um die Genehmigung zur Verarbeitung seiner persönlichen Daten anzufordern. Gleichzeitig mussten alle Organisationen des privaten Sektors die notwendigen Schritte unternehmen, um die Anforderungen der DSGVO zu erfüllen.
Betrüger und Cyberkriminelle haben diesen von der DSGVO ausgehenden Paradigmenwechsel ausgenutzt, indem sie eine neue Erpressungssoftware entwickelt haben, um Geld von der großen Anzahl von Unternehmen zu erpressen, die die DSGVO noch erfüllen müssen. Eine andere Masche spielt mit der Angst der Menschen, Bußgelder zu erhalten, indem erfundene Compliance-Vorgänge durchgeführt werden.
- Ist die Kommission über diese rechtswidrigen Praktiken im Bilde?
- Plant sie, Unternehmen und Einzelpersonen im Zusammenhang mit der DSGVO auf diese Probleme aufmerksam zu machen?
Antwort von Věra Jourová EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung im Namen der EU-Kommission
Die Datenschutzgrundverordnung (DSGVO) gewährt Einzelpersonen im Falle einer angeblichen Verletzung ihrer Rechte mehrere Rechtsmittel, z. B. das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzulegen oder vor Gericht zu klagen.
Betroffene können eine gemeinnützige Einrichtung beauftragen, ihre Rechte in ihrem Namen wahrzunehmen. Darüber hinaus können die Mitgliedstaaten vorsehen, dass eine gemeinnützige Organisation, die gemäß den nationalen Rechtsvorschriften ordnungsgemäß gegründet wurde, öffentliche Interessen wahrnimmt und im Bereich des Datenschutzes tätig ist, eine Beschwerde einlegen und ein Verfahren vor Gericht einleiten kann unabhängig vom Mandat einer betroffenen Person.
Sofern dies nicht nach Artikel 80 der DSGVO zulässig ist, haben andere Personen, die unabhängig von dem Mandat der betroffenen Person handeln möchten, nicht die Möglichkeit, die den Einzelpersonen im Rahmen der DSGVO gewährten Rechte wahrzunehmen.
Auch wenn die Antwort hier ganz konkret auf den einzelnen Betroffenen abzielt, könnte die Kommission damit zudem eine grobe Richtung hingehend einer vieldiskutierten Frage vorgegeben haben: Können sich Marktteilnehmer aus Wettbewerbsrecht untereinander aufgrund etwaiger Datenschutzverstöße abmahnen? Bisher waren sich die Gerichte hierzulande uneins: Das LG Bochum (Urteil vom 07.08.2018, Az.: I-12 O 85/18) verneinte bisher die Geltendmachung solcher Verstöße unter Mitbewerbern. Das OLG Hamburg hingegen vertrat die Ansicht, dass die DSGVO kein abschließendes Sanktionssystem enthalte und auch Abmahnungen unter Wettbewerbern vor diesem Hintergrund zulässig seien (Urteil vom 25.10.2018, Az.: 3 U 66/17). Betrachtet man nun die Aussage der EU-Kommission, dass es sich tatsächlich um reine „Betroffenenrechte“ handelt, könnte die Ansicht des OLG Hamburg irrig sein. Welche Auffassung nun jedoch dahingehend schlussendlich tatsächlich richtig ist, bleibt weiterhin offen und wird noch zu klären sein.
Die Kommission hat derzeit keinen Überblick über die genannten illegalen Praktiken. Nach Artikel 97 der Verordnung legt die Kommission bis Mai 2020 einen Bericht über die Bewertung und Überprüfung der Verordnung vor. Die Kommission wird im kommenden Jahr der Anwendung prüfen, ob in ihrem kommenden Bericht über die Anwendung der neuen Vorschriften eine Bewertung dieser Praktiken erforderlich ist.
Im Rahmen der DSGVO ist die Förderung des öffentlichen Bewusstseins in Bezug auf die Verarbeitung personenbezogener Daten in erster Linie Aufgabe der unabhängigen nationalen Aufsichtsbehörden.
Die Kommission hat mehrere Maßnahmen ergriffen, um sicherzustellen, dass in allen Mitgliedstaaten geeignete Informationen über die neuen Vorschriften verbreitet werden. Die Kommission hat außerdem einen Aufruf zur Einreichung von Vorschlägen über einen Betrag von 2 Mio. EUR zur Unterstützung der Datenschutzbehörden bei ihren Sensibilisierungsmaßnahmen veröffentlicht.
