Introductie tot de privacy-aanmaning
De privacy-aanmaning is een centraal instrument in het privacyrecht om de naleving van de Algemene Verordening Gegevensbescherming (AVG) af te dwingen. Sinds de inwerkingtreding van de AVG in 2018 zijn bedrijven en organisaties verplicht uiterste zorgvuldigheid te betrachten bij de verwerking van persoonsgegevens. Indien er sprake is van een schending van deze voorschriften – bijvoorbeeld door onvoldoende informatie aan gebruikers of een ongeoorloofde gegevensverwerking – kan een aanmaning worden uitgevaardigd. Niet alleen gegevensbeschermingsautoriteiten, maar ook concurrenten, consumentenorganisaties of zelfs de betrokken personen zelf kunnen een aanmaning initiëren. Het doel van een privacy-aanmaning is het bedrijf te dwingen de privacyschending te staken en de privacyrechten na te leven. Voor bedrijven betekent dit dat ze hun processen en omgang met persoonsgegevens regelmatig moeten controleren en aanpassen om aanmaningen en mogelijke vervolgclames te vermijden.
Rechtliche Grundlagen
De juridische basis voor aanmaningen op het gebied van gegevensbescherming ligt voornamelijk in de AVG en de wet tegen oneerlijke concurrentie (UWG). De AVG regelt in detail hoe persoonsgegevens mogen worden verzameld, opgeslagen en verwerkt. Overtredingen van deze voorschriften – bijvoorbeeld door ongeoorloofde verwerking of gebrek aan transparantie – kunnen niet alleen door gegevensbeschermingsautoriteiten, maar ook in het kader van het mededingingsrecht worden vervolgd. De UWG beschermt de concurrentie tegen oneerlijke handelspraktijken en bepaalt dat een privacyschending ook als een schending van de UWG kan worden beschouwd wanneer een bedrijf daarmee een oneerlijk voordeel behaalt. Aanmaningen wegens privacyschendingen kunnen dus zowel op basis van de AVG als de UWG worden uitgebracht. Bedrijven dienen er daarom voor te zorgen dat zij strikt de wettelijke voorschriften voor de verwerking van persoonsgegevens naleven om aanmaningen en verdere juridische consequenties te vermijden.
Concurrenten mogen aanmanen – Beslissingen van het BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Concurrenten en consumentenorganisaties mogen privacyschendingen door bedrijven aanmanen; de rechtbank speelt daarbij een centrale rol bij het beslissen over aanmaningen wegens privacyschendingen. Dit heeft het Bundesgerichtshof in meerdere beslissingen op 27 maart 2025 (Az. I ZR 186/17, I ZR 222/19, I ZR 223/19) beslist. Verschillende rechtbanken hebben in het verleden verschillend geoordeeld over de bevoegdheid om bij privacyschendingen aan te manen. Het grote aantal gevallen van privacyschendingen toont de praktische relevantie van dit thema. De huidige BGH-uitspraak maakt duidelijk dat ook concurrenten en consumentenorganisaties actief mogen worden. De BGH-beslissingen van maart 2025 zijn van groot belang voor de aanmaningspraktijk, aangezien ze het mogelijk maken privacyschendingen door consumentenorganisaties en concurrenten voor civiele rechtbanken te vervolgen. Een AVG-aanmaning is een specifieke vorm van aanmaning die betrekking heeft op schendingen van de Algemene Verordening Gegevensbescherming en zich onderscheidt van andere aanmaningen door haar privacyrechtelijke context. De consumentenbond speelt een belangrijke rol bij de handhaving van privacyrechten. Consumentenorganisaties zijn essentieel betrokken bij de aanmaning van privacyschendingen. Ook concurrenten kunnen privacyschendingen vervolgen en zo de concurrentie beschermen. De uitspraak van het BGH heeft aanzienlijke gevolgen voor de praktijk en de juridische beoordeling van privacyschendingen.
Privacyschendingen kunnen niet alleen door toezichthoudende autoriteiten worden bestraft. De beslissingsbevoegdheid van de rechtbanken bij privacyschendingen is daarbij van centraal belang. Zoals de beslissingen van het BGH aantonen, kunnen ook concurrenten en consumentenorganisaties optreden tegen de schendingen. In het kader van dergelijke procedures speelt ook de aangeklaagde partij een belangrijke rol. Voor bedrijven kan dit met name in de onlinehandel en bij de verwerking van gevoelige gegevens aanzienlijke gevolgen hebben, aldus het advocatenkantoor MTR Legal, dat onder andere adviseert in IT-recht en gegevensbeschermingsrecht. AVG-schendingen kunnen tot aanzienlijke juridische gevolgen leiden, vooral als er aanspraken op staken worden ingediend. Bij herhaalde AVG-schending dreigen verscherpte sancties en verdere maatregelen. De vervolging van privacyschendingen vindt zowel door rechtbanken als door organisaties plaats. Het belang van zin 1 en nummer 1 in de relevante paragrafen is van essentieel belang voor de juridische kwalificatie. De zaak heeft grote betekenis voor de ontwikkeling van het gegevensbeschermingsrecht en de handhaving van consumentenrechten.
Speel-app post gegevens
In het geval met referentienummer I ZR 186/17 ging het om een zogenaamd ‘app-centrum’ in een sociaal netwerk, waar derden spelletjes aanboden. Het app-centrum dient als een centraal platform waar verschillende apps van derden worden aangeboden. In het app-centrum spelen online-spellen een belangrijke rol, omdat ze een groot deel van het aanbod uitmaken. Bij het gebruik van de app kunnen ook persoonsgegevens zoals je e-mailadres worden verwerkt. Voordat een gebruiker een spel kon starten, werd hem getoond dat de applicatie bepaalde toestemmingen kreeg, bijvoorbeeld om statusmeldingen te mogen posten. Deze meldingen waren echter vaag en informeerden niet over welke specifieke gegevens werden verwerkt, wie de ontvangers waren en met welk doel dit gebeurde. De landelijke koepel van consumentenbonden heeft met succes bezwaar gemaakt.
Het BGH stelde duidelijk dat dergelijke onduidelijke en algemene informatie niet voldoet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Al bij de verzameling van gegevens door de app moeten gebruikers uitgebreid worden geïnformeerd. Ook moet de omvang van de verzamelde en verwerkte gegevens transparant worden weergegeven. De juridisch correcte formulering van de gebruiksdoeleinden in de privacyverklaring is daarbij van bijzonder belang. De informatieplichten volgens art. 12 en 13 AVG vereisen een duidelijke, precieze en begrijpelijke voorlichting van de betrokken personen. Aangezien deze AVG-voorschriften tevens het marktgedrag in de zin van het mededingingsrecht regelen (§ 3a UWG), vormt het negeren ervan een mededingingsschending. Mededingers of gekwalificeerde consumentenorganisaties mogen daarom civielrechtelijk optreden tegen dergelijke privacyschendingen, aldus het BGH. Dit geldt ongeacht of een gebruiker een klacht heeft ingediend.
Apothekers verkopen medicijnen op internet
Vergelijkbare vragen werden behandeld in de zaken met referentienummers I ZR 222/19 en I ZR 223/19. Hierin hadden twee apotheken geneesmiddelen verkocht via het platform Amazon. Daarbij werden persoonsgegevens van de klanten, waaronder gezondheidsgegevens, verwerkt, zoals naam, adres of bestelde medicijnen, samen met informatie over hun individualisering. Het verzamelen van deze gezondheidsgegevens door de apotheken was een centraal onderwerp van de procedures. Er waren talloze gevallen van privacyschendingen in de apotheeksector die in dit verband relevant werden. Andere apothekers hadden hiertegen procedeerden. Ook deze rechtszaken waren succesvol: het BGH maakte duidelijk dat het bij de bestelgegevens in de zin van art. 9 lid 1 AVG om gezondheidsgegevens gaat. Dit geldt ook als de medicijnen niet op recept zijn. De gegevens mogen alleen worden verwerkt als de apothekers uitdrukkelijke toestemming van de klanten hebben gekregen, wat zij niet hadden gedaan.
Het BGH bevestigde de opvatting van het Europese Hof van Justitie dat gegevens al als gezondheidsgegevens gelden wanneer er conclusies over de gezondheidstoestand of medicatie uit de bestelling kunnen worden getrokken. In de procedures speelde de beklaagde een centrale rol, omdat zij verantwoordelijk was voor de gegevensverwerking. Met nadruk werd gewezen op het belang van de bescherming van de betrokken persoon bij de verwerking van gezondheidsgegevens. Ook hier zag het BGH een mededingingsschending. Art. 9 lid 1 AVG is een marktrechtelijk bepalende regel in de zin van § 3a UWG, zodat een schending van deze bepaling door een concurrent middels een concurrentieverkoopprocedure voor de civiele rechtbanken kan worden nagestreefd, aldus de Karlsruher rechters. De betekenis van zin 1 en nummer 1 in de relevante paragrafen werd daarbij expliciet benadrukt.
AVG ook marktgedrag juridisch relevant
De uitspraken tonen aan dat de bepalingen van de AVG – met name de informatieplichten en de voorschriften voor toestemming – ook juridisch relevant zijn voor marktgedrag. Onder bepaalde omstandigheden kunnen winsten die zijn behaald door privacyschendingen worden teruggevorderd; dit hangt samen met boetes en andere strafmaatregelen die volgens de Algemene Verordening Gegevensbescherming en de wet kunnen worden opgelegd. Bedrijven die persoonsgegevens of gevoelige gegevens verwerken zonder voldoende informatie of zonder geldige toestemming handelen oneerlijk. Niet alleen gegevensbeschermingsautoriteiten, maar ook concurrenten of gekwalificeerde belangenorganisaties kunnen zich tegen dergelijke schendingen verzetten. Daarmee heeft de BGH het toepassingsgebied van het mededingingsrecht aanzienlijk uitgebreid. Bedrijven die de gegevensbeschermingsvoorschriften overtreden, kunnen naast boetes door gegevensbeschermingsautoriteiten ook geconfronteerd worden met kostbare aanmaningen en gerechtelijke bevelen door concurrenten en consumentenorganisaties.
Bedrijven zijn goed geadviseerd
Bedrijven doen er goed aan hun informatieverplichtingen nauwgezet te controleren en na te komen. Dit omvat het transparant, begrijpelijk en volledig informeren van gebruikers over welke gegevens worden verwerkt, voor welk doel dit gebeurt, op welke rechtsgrondslag dit plaatsvindt, wie de ontvangers zijn en welke rechten de betrokkenen hebben. Evenzo moet voor de verwerking van gevoelige gegevens – zoals bijvoorbeeld gezondheidsgegevens – uitdrukkelijke toestemming worden verkregen en gedocumenteerd worden. Algemene of verborgen clausules zijn niet voldoende.
Online marktplaatsen en gegevensbescherming
Online marktplaatsen zoals de Amazon Marketplace zijn niet meer weg te denken uit de moderne e-commerce. Maar juist hier is de naleving van privacy van bijzonder belang. Aanbieders die op dergelijke platforms actief zijn, moeten bij de verwerking van klantgegevens – zoals namen, adressen of bestelgegevens – de strenge voorschriften van de AVG naleven. De BGH-uitspraken in de zaken I ZR 186/17, I ZR 222/19 en I ZR 223/19 hebben duidelijk gemaakt dat schendingen van de AVG – zoals het verwerken van gezondheidsgegevens zonder uitdrukkelijke toestemming van de klanten – niet alleen juridische gegevensbescherming, maar ook gevolgen voor de concurrentie kunnen hebben. Aanmaningen door concurrenten of consumentenorganisaties zijn in dergelijke gevallen mogelijk en kunnen aanzienlijke gevolgen voor bedrijven hebben. De arresten van de Bundesgerichtshof onderstrepen dat naleving van privacy op online marktplaatsen niet alleen een kwestie van naleving is, maar ook van concurrentie.
Gevolgen van een aanmaning
Een privacy-aanmaning kan voor bedrijven verstrekkende gevolgen hebben. Naast de verplichting om de bekritiseerde verwerking van persoonsgegevens onmiddellijk te stoppen, dreigen bij een voortdurende schending aanzienlijke boetes of geldboetes. De AVG voorziet in bedragen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Bovendien kan een aanmaning de reputatie van een bedrijf blijvend schaden, omdat een schending van de privacy door klanten en het publiek als een ernstige vertrouwensbreuk wordt ervaren. Bedrijven moeten dus niet alleen uit juridische, maar ook uit reputatieoverwegingen grote waarde hechten aan de naleving van de privacybepalingen.
Verweer tegen aanmaningen
Om zich effectief te verdedigen tegen aanmaningen op het gebied van privacy, dienen bedrijven hun privacypraktijken regelmatig te evalueren en aan te passen aan de huidige eisen van de AVG. Dit omvat met name het opstellen van een transparante en volledige privacyverklaring, het verkrijgen van expliciete toestemming voor de verwerking van gevoelige gegevens en de implementatie van technische en organisatorische maatregelen ter bescherming van de gegevens. In het geval van een aanmaning is het aan te raden snel te reageren en juridisch advies in te winnen om de eigen belangen zo goed mogelijk te beschermen. Door proactief te handelen en de privacyvoorschriften consequent na te leven, kunnen bedrijven het risico op aanmaningen en verdere juridische stappen aanzienlijk verminderen.
MTR Legal Rechtsanwälte adviseert over gegevensbescherming, de AVG en andere IT-rechtelijke thema’s.
Neem gerust contact met ons op!
