Consumentenbeschermingsorganisaties krijgen recht om te procederen bij schendingen van gegevensbescherming
Met het arrest van 28 maart 2024 (zaaknr. I ZR 186/17) heeft het Bundesgerichtshof (BGH) verduidelijkt dat consumentenbeschermingsorganisaties bij vermeende schendingen van het gegevensbeschermingsrecht een vordering mogen instellen. Dit principe is gebaseerd op een baanbrekende interpretatie van de wisselwerking tussen de Algemene Verordening Gegevensbescherming (AVG) en de nationale bepalingen inzake collectieve consumentenbescherming. De beslissing houdt rekening met de voortdurende ontwikkeling van het gegevensbeschermingsrecht op Europees en nationaal niveau en vergroot de mogelijkheden van maatschappelijke actoren bij de handhaving van gegevensbeschermingsbelangen.
Achtergrond van de beslissing van het BGH
Concreet hield het BGH zich bezig met de vraag of op collectieve acties tegen mogelijke schendingen van gegevensbescherming Duits recht van toepassing is en of de bevoegdheid van consumentenbeschermingsorganisaties om te procederen in overeenstemming is met de bepalingen van de AVG. In deze procedure ging het om het gebruik van internetplatforms en de verwerking van persoonsgegevens zonder uitdrukkelijke toestemming van de gebruikers. Een consumentenorganisatie had een vordering tot staken ingesteld tegen een platformaanbieder en zich daarbij beroepen op de schending van gegevensbeschermingsvoorschriften.
Europese voorschriften en nationale implementatie
AVG en collectieve rechtsbescherming
De Europese Algemene Verordening Gegevensbescherming bepaalt in art. 80 AVG dat bepaalde instellingen, organisaties en verenigingen, onafhankelijk van een individuele opdracht van betrokkenen, rechtsvorderingen kunnen instellen als hun rechten onder de AVG zijn geschonden. De Europese wetgever beoogt hiermee een effectieve handhaving van de gegevensbescherming te waarborgen, onder andere via de zogenaamde collectieve rechtsbescherming. De wijze van implementatie is aan de lidstaten voorbehouden, maar mag het beschermingsdoel van het Unierecht niet ondermijnen.
Nationale regelingen en aanvullende bepalingen
In Duitsland is deze collectieve rechtsbescherming onder andere geïmplementeerd door de Wet op de collectieve vorderingen tot staken (UKlaG) en door aanvullende bepalingen in het Burgerlijk Wetboek (BGB). Hiermee kunnen gekwalificeerde verenigingen schendingen van consumentenbeschermende voorschriften, waaronder uit het gegevensbeschermingsrecht, vervolgen. Het BGH achtte in zijn uitspraak deze bevoegdheid verenigbaar met de AVG en stelde vast dat de mogelijkheid tot het instellen van een vordering door Duitse consumentenverenigingen niet afhankelijk is van een rechtstreekse opdracht van een betrokkene.
Praktische gevolgen voor bedrijven en consumenten
Bedrijfsperspectief
Voor bedrijven brengt de uitspraak een verhoogde gevoeligheid met zich mee bij de omgang met persoonsgegevens. Naast maatregelen van toezichthoudende autoriteiten dreigen schendingen, vooral in de digitale bedrijfsvoering, steeds vaker doelwit te worden van collectieve rechtsvorderingen. Dit betreft onder andere transparantieverplichtingen, toestemmingsvereisten en de correcte vormgeving van cookie-banners en privacyverklaringen.
Betekenis voor consumenten
Consumenten profiteren van een versterkte rechtsbescherming. Collectieve rechtsvorderingen ontlasten de individueel getroffenen en bieden een extra mogelijkheid om inbreuken op de gegevensbescherming aan een rechterlijke toets te onderwerpen. Een strengere controle door verenigingen draagt bij aan meer transparantie en vertrouwen in de digitale marktomgeving.
Terugblik: Beoordeling door het Europees Hof van Justitie
Reeds voorafgaand had het Europees Hof van Justitie (HvJ-EU) in een prejudiciële procedure (Uitspr. v. 28.04.2022, zaaknr. C-319/20) vastgesteld dat verenigingen zelfstandig bevoegdheid tot het instellen van een rechtsvordering kunnen hebben, mits door een schending van de gegevensbescherming tevens de belangen van consumenten worden geraakt. De Duitse wetgever en de rechtspraak passen deze inzichten inmiddels consequent toe en breiden daarmee de instrumentele rechtsbescherming op het gebied van gegevensbescherming verder uit.
Perspectieven en verdere ontwikkelingen
De uitspraak past binnen een voortschrijdende trend naar versterking van collectieve rechtsbescherming in Duitsland en Europa. Ook voor wereldwijde aanbieders die hun diensten in de Europese ruimte aanbieden, ontstaan nieuwe uitdagingen met betrekking tot gegevensbeschermings-compliance. Gezien de voortdurende ontwikkelingen in het gegevensbeschermingsrecht en de te verwachten rechtspraak van het HvJ-EU blijft het onderwerp dynamisch.
Bron- en verwijzingsopgave
De weergegeven inhoud is gebaseerd op de uitspraak van het Bundesgerichtshof van 28 maart 2024 (zaaknr. I ZR 186/17) en op relevante Europese en Duitse wettelijke bepalingen. Er dient rekening mee gehouden te worden dat er nog verdere procedures omtrent het onderwerp aanhangig kunnen zijn en dat de rechtspraak voortdurend in ontwikkeling is. De onschuldpresumptie en de respectievelijke processuele rechten zijn te allen tijde gegarandeerd.
Voor nadere informatie over de genoemde vraagstukken en over actuele ontwikkelingen op het gebied van collectieve consumentenbescherming of gegevensbeschermingsrecht staan de Rechtsanwalt van MTR Legal u graag ter beschikking.
