Introduktion til databeskyttelses-advarsel
Databeskyttelses-advarslen er et centralt instrument inden for databeskyttelseslovgivningen for at håndhæve overholdelsen af databeskyttelsesforordningen (GDPR). Siden GDPR trådte i kraft i 2018, er virksomheder og organisationer forpligtet til at udvise den største omhu, når de behandler personoplysninger. Hvis der sker overtrædelser af disse regler – for eksempel ved utilstrækkelig information til brugerne eller en ulovlig databehandling – kan der udstedes en advarsel. Denne kan ikke kun initieres af databeskyttelsesmyndigheder, men også af konkurrenter, forbrugernævnet eller endda af de berørte personer selv. Målet med en databeskyttelses-advarsel er at få virksomheden til at ophøre med overtrædelsen af databeskyttelsen og overholde databeskyttelseslovgivningen. For virksomheder betyder dette, at de regelmæssigt skal gennemgå og tilpasse deres processer og håndtering af personoplysninger for at undgå advarsler og mulige efterfølgende retssager.
Juridiske grundlag
De juridiske grundlag for advarsler inden for databeskyttelse findes primært i GDPR samt i loven mod uretfærdig konkurrence (UWG). GDPR regulerer detaljeret, hvordan personoplysninger må indsamles, lagres og behandles. Overtrædelser af disse bestemmelser – f.eks. ved ulovlig behandling eller manglende gennemsigtighed – kan forfølges ikke kun af databeskyttelsesmyndigheder, men også inden for konkurrenceretten. UWG beskytter konkurrencen mod uretfærdige forretningspraksisser og foreskriver, at en overtrædelse af databeskyttelsen også kan betragtes som en overtrædelse af UWG, hvis det giver et selskab en uretfærdig fordel. Således kan advarsler for databeskyttelsesovertrædelser udstedes både på grundlag af GDPR og UWG. Derfor bør virksomhederne sikre, at de nøje overholder de lovgivningsmæssige krav til behandling af personoplysninger for at undgå advarsler og yderligere juridiske konsekvenser.
Konkurrenter må advare – Domme fra BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Konkurrenter og forbrugernævnet må advare virksomheder om databeskyttelsesovertrædelser; her spiller retten en central rolle i afgørelsen af advarsler vedrørende databeskyttelsesovertrædelser. Dette har Bundesgerichtshof besluttet i flere domme den 27. marts 2025 (sagsnr. I ZR 186/17, I ZR 222/19, I ZR 223/19). Forskellige domstole har tidligere afgjort forskelligt om kompetencen til at advare ved databeskyttelsesovertrædelser. Det høje antal tilfælde af databeskyttelsesovertrædelser viser den praktiske relevans af dette emne. Den aktuelle BGH-dom præciserer, at også konkurrenter og forbrugerorganisationer kan blive aktive. BGH-dommene fra marts 2025 har stor betydning for praksis med advarsler, da de muliggør forfølgelse af databeskyttelsesovertrædelser af forbrugerorganisationer og konkurrenter ved civilretlige domstole. En GDPR-advarsel er en særlig form for advarsel, der vedrører overtrædelser af databeskyttelsesforordningen og adskiller sig fra andre advarsler ved dens databeskyttelsesrelaterede kontekst. Forbrugernævnet spiller en vigtig rolle i håndhævelsen af databeskyttelsesrettigheder. Forbrugerorganisationer er afgørende involveret i advarsler ved databeskyttelsesovertrædelser. Også konkurrenter kan forfølge databeskyttelsesovertrædelser og dermed beskytte konkurrencen. BGH’s dom har betydelige konsekvenser for praksis og den juridiske vurdering af databeskyttelsesovertrædelser.
Databeskyttelsesovertrædelser kan ikke kun sanktioneres af tilsynsmyndigheder. Retternes beslutningskompetence ved databeskyttelsesovertrædelser er af central betydning. Som BGH-afgørelserne viser, kan også konkurrenter og forbrugerorganisationer gå efter overtrædelserne. I sådanne procedurer spiller de sagsøgte også en vigtig rolle. For virksomheder kan det især have store konsekvenser inden for onlinehandel og ved håndtering af følsomme data, ifølge advokatfirmaet MTR Legal, som bl.a. rådgiver om IT- og databeskyttelseslovgivning. GDPR-overtrædelser kan føre til betydelige juridiske konsekvenser, især hvis krav om ophør fremsættes. Ved gentagne GDPR-overtrædelser truer skærpede sanktioner og yderligere foranstaltninger. Forfølgelsen af databeskyttelsesovertrædelser sker både af domstole og organisationer. Betydningen af afsnit 1 og afsnit 1 nr. i de relevante paragraffer er afgørende for den juridiske vurdering. Sagen har stor betydning for udviklingen af databeskyttelseslovgivningen og håndhævelsen af forbrugerrettigheder.
Spil-app posterer data
I sagen med sagsnummer I ZR 186/17 drejede det sig om et såkaldt “App-Center” i et socialt netværk, hvor tredjepartsleverandører stillede spil til rådighed. App-Centeret fungerer som en central platform, hvor forskellige tredjepartsapps tilbydes. Online-spil spiller en vigtig rolle i App-Centeret, da de udgør en stor del af tilbuddet. Ved brugen af appen kan også personoplysninger såsom din e-mailadresse behandles. Før en bruger kunne starte et spil, blev det angivet, at applikationen fik visse tilladelser, f.eks. til at poste statusopdateringer. Disse oplysninger var dog vage og gav ikke klart besked om, hvilke konkrete data der blev behandlet, hvem modtagerne var, og til hvilket formål. Dette klagede paraplyorganisationen for forbrugernævnene i de føderale stater med succes over.
BGH fastslog, at en sådan uklar og generel information ikke opfylder kravene i databeskyttelsesforordningen (GDPR). Allerede ved indsamlingen af data gennem appen skal brugerne informeres fuldstændigt. Også omfanget af de indsamlede og behandlede data skal præsenteres gennemsigtigt. Den retssikre formulering af brugen i databeskyttelseserklæringen er af særlig betydning. Informationsforpligtelserne i henhold til art. 12 og 13 GDPR kræver en klar, præcis og forståelig information til de berørte personer. Da disse krav i GDPR også regulerer markedsadfærd i konkurrencehenseende (§ 3a UWG), udgør manglende overholdelse en konkurrenceovertrædelse. Konkurrenter eller kvalificerede forbrugerorganisationer må derfor civilretligt handle mod sådanne databeskyttelsesovertrædelser, ifølge BGH. Dette gælder uanset om en bruger har klaget.
Apotekere sælger medicin online
Lignende spørgsmål blev behandlet i sagerne med sagsnumrene I ZR 222/19 og I ZR 223/19. Her havde to apoteker solgt medicin via platformen Amazon. Her blev kundernes personoplysninger, herunder også sundhedsdata, behandlet, f.eks. navn, adresse eller bestilte medicin samt oplysninger om deres individualisering. Indsamlingen af disse sundhedsdata af apotekerne var et centralt emne i sagerne. Der var talrige tilfælde af databeskyttelsesovertrædelser inden for apotekssektoren, der blev relevante i denne sammenhæng. Andre apotekere havde klaget over dette. Disse klager havde også held: BGH gjorde det klart, at bestillingsdataene i henhold til art. 9, stk. 1 GDPR betragtes som sundhedsdata. Dette gælder også, selvom medicinen ikke er receptpligtig. Dataene må kun behandles, hvis der foreligger et udtrykkeligt samtykke fra kunderne, hvilket apotekerne ikke havde indhentet.
BGH bekræftede vurderingen fra den Europæiske Domstol, at sundhedsdata allerede foreligger, hvis der kan drages konklusioner om helbredstilstanden eller medicineringen ud fra bestillingen. I sagerne spillede den sagsøgte en central rolle, da vedkommende var ansvarlig for databehandlingen. Betydningen af beskyttelsen af den berørte person ved behandling af sundhedsdata blev især fremhævet. Også her så BGH en konkurrenceovertrædelse. Art. 9, stk. 1 GDPR er en markedsadfærdsregel i henhold til § 3a UWG, således at en overtrædelse af denne bestemmelse kan forfølges af en konkurrent i form af en konkurrenceklage ved civilretterne, sagde dommerne i Karlsruhe. Betydningen af afsnit 1 og afsnit 1 nr. i de relevante paragraffer blev udtrykkeligt fremhævet.
GDPR også relevant for konkurrence
Dommene viser, at bestemmelserne i GDPR – og her især informationsforpligtelserne og forskrifterne om samtykke – også er relevante for konkurrence. Under visse omstændigheder kan overskud opnået ved databeskyttelseskrænkelser annulleres; dette hænger sammen med bøder og yderligere strafmæssige tiltag, der kan pålægges i henhold til databeskyttelsesforordningen og loven. Virksomheder, der behandler personoplysninger eller følsomme data uden tilstrækkelig information eller uden et effektivt samtykke, handler konkurrencemæssigt forkert. Ikke kun databeskyttelsesmyndigheder, men også konkurrenter eller kvalificerede interesseorganisationer kan forfølge sådanne overtrædelser. Med dette har BGH væsentligt udvidet anvendelsesområdet for konkurrencelovgivningen. Virksomheder, der overtræder databeskyttelsesbestemmelserne, kan ud over bøder fra databeskyttelsesmyndigheder også mødes med kostbare advarsler og injunction suits fra konkurrenter og forbrugerorganisationer.
Virksomheder er godt rådet
Virksomheder er derfor godt rådet til nøje at gennemgå og opfylde deres informationsforpligtelser. Dette omfatter, at brugere bliver informeret på en gennemsigtig, forståelig og omfattende måde om, hvilke data der behandles til hvilket formål, på hvilket retligt grundlag dette sker, hvem modtagerne er, og hvilke rettigheder de berørte har. Ligeledes skal der før behandlingen af følsomme data – som f.eks. sundhedsdata – indhentes og dokumenteres et eksplicit samtykke. Generelle eller skjulte klausuler er ikke tilstrækkelige.
Online markedspladser og databeskyttelse
Online markedspladser som Amazon Marketplace er uundværlige i moderne e-handel. Men netop her er overholdelse af databeskyttelsen særlig vigtig. Udbydere, der er aktive på sådanne platforme, skal ved behandlingen af kundedata – såsom navne, adresser eller bestillingsdata – overholde de strenge krav i GDPR. BGH’s afgørelser i sagerne I ZR 186/17, I ZR 222/19 og I ZR 223/19 har understreget, at overtrædelser af GDPR – f.eks. ved behandling af sundhedsdata uden kundernes udtrykkelige samtykke – kan have både databeskyttelsesretlige og konkurrencepravsretlige konsekvenser. Advarsler fra konkurrenter eller forbrugerorganisationer er i sådanne tilfælde mulige og kan have betydelige konsekvenser for virksomheder. Bundesgerichtshofs domme understreger, at overholdelse af databeskyttelsen på online markedspladser ikke kun er et spørgsmålet om compliance, men også om konkurrence.
Konsekvenser af en advarsel
En databeskyttelses-advarsel kan have vidtrækkende konsekvenser for virksomheder. Udover forpligtelsen til straks at stoppe den kritiserede behandling af personoplysninger truer følsomme bøder eller straffe ved fortsat overtrædelse. GDPR rummer beløb på op til 20 millioner euro eller 4 % af den globale årsomsætning – alt efter hvilket beløb der er størst. Derudover kan en advarsel også skade en virksomheds ry alvorligt, da en overtrædelse af databeskyttelse ses som et alvorligt tillidsbrud af kunder og offentligheden. Virksomheder bør derfor ikke kun af juridiske, men også af ry-shot hensyn lægge stor vægt på overholdelse af databeskyttelsesbestemmelserne.
Forsvar mod advarsler
For effektivt at beskytte sig mod advarsler inden for databeskyttelse, bør virksomheder regelmæssigt gennemgå deres databeskyttelsespraksis og tilpasse dem til de aktuelle krav i GDPR. Det omfatter især udarbejdelse af en gennemsigtig og fuldstændig databeskyttelseserklæring, indhentning af udtrykkelig samtykke til behandling af følsomme data samt implementering af tekniske og organisatoriske foranstaltninger til beskyttelse af dataene. I tilfælde af en advarsel er det tilrådeligt at reagere hurtigt og søge juridisk rådgivning for bedst muligt at beskytte egne interesser. Ved at handle proaktivt og konsekvent efterleve databeskyttelsesreglerne kan virksomheder betydeligt reducere risikoen for advarsler og yderligere juridiske skridt.
MTR Legal Rechtsanwälte rådgiver om databeskyttelse, GDPR og andre IT-rettigheder.
Tag gerne kontakt til os!
