Введение в иски о нарушении защиты данных
Иск о нарушении защиты данных является ключевым инструментом в праве защиты данных для обеспечения соблюдения Общего регламента о защите данных (GDPR). С момента вступления в силу GDPR в 2018 году компании и организации обязаны проявлять наивысшую осторожность при обработке персональных данных. Если происходит нарушение этих требований – например, из-за недостаточной информации для пользователей или неправомерной обработки данных – может быть подан иск. Такой иск может быть инициирован не только органами защиты данных, но и конкурентами, потребительскими ассоциациями или даже пострадавшими лицами. Цель иска о защите данных – побудить компанию прекратить нарушение и соблюдать права на защиту данных. Для компаний это означает необходимость регулярного пересмотра и корректировки своих процессов и обращения с персональными данными, чтобы избежать исков и возможных последующих судебных исков.
Правовые основы
Правовые основы для исков о нарушении защиты данных в основном содержатся в GDPR, а также в Законе против недобросовестной конкуренции (UWG). GDPR детально регулирует, как можно собирать, хранить и обрабатывать персональные данные. Нарушения этих предписаний – например, из-за неправомерной обработки или отсутствия прозрачности – могут преследоваться не только органами защиты данных, но и в рамках права конкуренции. UWG защищает конкуренцию от несправедливой хозяйственной практики и предусматривает, что нарушение защиты данных также может рассматриваться как нарушение UWG, если компания получает от этого несправедливое преимущество. Таким образом, иски о нарушении защиты данных могут быть поданы на основе как GDPR, так и UWG. Компании следует убедиться в строгом соблюдении законодательных положений по обработке персональных данных, чтобы избежать исков и дальнейших правовых последствий.
Конкуренты могут подавать иски – решения BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Конкуренты и потребительские ассоциации могут подавать иски о нарушениях защиты данных со стороны компаний; при этом решение суда играет центральную роль в решении исков о нарушении защиты данных. Об этом постановил Федеральный суд (BGH) в нескольких решениях от 27 марта 2025 года (реквизиты: I ZR 186/17, I ZR 222/19, I ZR 223/19). Разные суды ранее по-разному решали вопрос о праве на подачу иска при нарушениях защиты данных. Множество случаев нарушения защиты данных показывает практическую значимость этой темы. Последнее решение BGH четко установило, что и конкуренты, и ассоциации потребителей могут активно действовать. Решения BGH от марта 2025 года имеют большое значение для практики подачи исков, так как они позволяют преследовать нарушения защиты данных через потребительские ассоциации и конкурентов в гражданских судах. Иск по GDPR – это особая форма иска, который относится к нарушениям Общего регламента о защите данных и отличается своим правовым отношением к защите данных от других исков. Центральная ассоциация потребителей играет важную роль в обеспечении прав на защиту данных. Потребительские ассоциации значимо участвуют в подаче исков о нарушениях защиты данных. Конкуренты также могут преследовать нарушения защиты данных, чтобы защитить конкуренцию. Решение BGH оказывает значительное влияние на практику и правовую оценку нарушений защиты данных.
Нарушения защиты данных могут преследоваться не только контролирующими органами. Роль судебной компетенции в делах о нарушении защиты данных имеет центральное значение. Как показали решения BGH, и конкуренты, и потребительские ассоциации могут предпринимать действия в отношении нарушений. В рамках таких процессов также играет важную роль ответчик. Для компаний это может иметь значительные последствия, особенно в электронной коммерции и при обработке чувствительных данных, утверждает юридическая фирма MTR Legal юристы, которые консультируют в области ИТ-права и права на защиту данных. Нарушения GDPR могут иметь значительные правовые последствия, особенно если предъявляются требования о прекращении. Повторные нарушения GDPR могут привести к ужесточению санкций и дальнейшим мерам. Преследование нарушений защиты данных осуществляется как судами, так и ассоциациями. Значение первой статьи и пункта 1 в соответствующих разделах имеет решающее значение для правового анализа. Дело имеет большое значение для развития права на защиту данных и обеспечения прав потребителей.
Приложение-игра публикует данные
В деле по реквизитам I ZR 186/17 речь шла о так называемом «App-Center» в социальной сети, где сторонние поставщики предоставляли игры. Центр приложений служит центральной платформой, где предлагаются различные сторонние приложения. В центре приложений онлайн-игры играют значительную роль, поскольку составляют значительную часть предложения. При использовании приложения также могут обрабатываться такие персональные данные, как ваш адрес электронной почты. Прежде чем пользователь мог начать игру, ему сообщалось, что приложение получает определенные разрешения, например, для возможности публикации статусов. Однако эти уведомления были расплывчатыми и не информировали о том, какие конкретно данные обрабатываются, кто являются получателями и с какой целью это происходит. Против этого успешно выступила Центральная ассоциация потребительских центров федеральных земель.
BGH разъяснил, что такая нечеткая и обобщенная информация не соответствует требованиям Общего регламента о защите данных (GDPR). Уже при сборе данных через приложение пользователи должны быть полностью информированы. Также объем собираемых и обрабатываемых данных должен быть представлен прозрачно. Юридически безопасная формулировка целей использования в заявлении о защите данных при этом имеет особое значение. Обязанности по информированию согласно статьям 12 и 13 GDPR требуют четкого, точного и понятного уведомления пострадавших лиц. Поскольку эти предписания GDPR также регулируют рыночное поведение в смысле права конкуренции (§ 3a UWG), их несоблюдение является нарушением правил конкуренции. Конкуренты или квалифицированные потребительские ассоциации могут, таким образом, преследовать такие нарушения защиты данных в гражданском порядке, отметил BGH. Это относится независимо от того, поступила ли жалоба от пользователя.
Аптекари продают лекарства в интернете
Подобные вопросы рассматривались в процессах по реквизитам I ZR 222/19 и I ZR 223/19. Здесь две аптеки продавали лекарства через платформу Amazon. При этом обрабатывались персональные данные клиентов, в том числе данные о здоровье, такие как имя, адрес или заказанные лекарства с информацией об их индивидуализации. Сбор этих данных о здоровье аптеками был центральным предметом процессов. В этом контексте возникло множество случаев нарушений защиты данных в аптечной сфере. Против этого подали жалобу другие аптекари. Эти иски также были успешными: BGH подчеркивал, что заказные данные по смыслу статьи 9 абз. 1 GDPR являются данными о здоровье. Это также применимо, если лекарства не обязаны отпускаться по рецепту. Данные могут обрабатываться только с явного согласия клиентов, которое аптекари, однако, не получили.
BGH подтвердил мнение Европейского суда о том, что данные о здоровье присутствуют уже тогда, когда из заказа можно сделать выводы о состоянии здоровья или лечении. В процессах ответчик играл центральную роль, так как был ответственным за обработку данных. Особо подчеркивалась важность защиты пострадавшего лица при обработке данных о здоровье. Здесь также BGH предполагал нарушение конкуренции. Статья 9 абз. 1 GDPR является рыночной нормой поведения в смысле § 3a UWG, поэтому нарушение этого предписания может быть преследовано конкурентом путем подачи жалобы о нарушении конкурентных норм в гражданские суды, отметили судьи из Карлсруэ. Значение первой статьи и пункта 1 в соответствующих разделах было особо подчеркнуто.
GDPR также имеет значение для конкурентного права
Решения показывают, что положения GDPR — и в особенности обязанности по информированию и предписания о согласии — также имеют значение для конкурентного права. При определенных обстоятельствах могут быть отобраны прибыли, полученные за счет нарушений защиты данных; это связано с штрафами и другими наказаниями, которые могут быть наложены в соответствии с Общим регламентом о защите данных и законом. Компании, которые обрабатывают персональные или чувствительные данные без достаточной информации или без действенного согласия, действуют в нарушении конкурентного права. Не только органы защиты данных, но и конкуренты или квалифицированные ассоциации интересов могут противодействовать таким нарушениям. Таким образом, BGH значительно расширил область применения права конкуренции. Компании, которые нарушают положения о защите данных, могут столкнуться не только со штрафами от органов защиты данных, но и с платными предупреждениями и исками о прекращении со стороны конкурентов и потребительских ассоциаций.
Компании должны уделять внимание
Компании должны внимательно проверять и выполнять свои обязанности по информированию. Это включает в себя прозрачное, понятное и полное информирование пользователей о том, какие данные обрабатываются с какой целью, на какой правовой основе это происходит, кто являются получателями и какие права имеют пострадавшие. Также перед обработкой чувствительных данных — например, данных о здоровье — должно быть получено и документировано явное согласие. Обобщенные или скрытые положения недостаточны.
Онлайн-рынки и защита данных
Онлайн-рынки, такие как Amazon Marketplace, неотъемлемая часть современного электронного коммерции. Однако соблюдение защиты данных здесь имеет особое значение. Поставщики, которые работают на таких платформах, должны при обработке клиентских данных — таких как имена, адреса или данные о заказах — соблюдать строгие предписания GDPR. Решения BGH в процессах I ZR 186/17, I ZR 222/19 и I ZR 223/19 подчёркивают, что нарушения GDPR, такие как обработка данных о здоровье без явного согласия клиентов, могут иметь не только правовые, но и конкурентные последствия. Предупреждения со стороны конкурентов или потребительских ассоциаций возможны в таких случаях и могут иметь значительные последствия для компаний. Решения Федерального суда подчёркивают, что соблюдение защиты данных на онлайн-рынках является не только вопросом соблюдения законодательства, но и конкурса.
Последствия иска
Иск о нарушении защиты данных может иметь далеко идущие последствия для компаний. Помимо обязательства немедленно прекратить спорную обработку персональных данных, угроза чувствительных штрафов или штрафных санкций при продолжении нарушения является высока. GDPR предусматривает суммы до 20 миллионов евро или 4% от мирового годового дохода — в зависимости от того, какая сумма выше. Кроме того, иск может серьезно навредить репутации компании, так как нарушение защиты данных воспринимается клиентами и общественностью как серьезное нарушение доверия. Поэтому компании должны уделять огромное внимание соблюдению положений о защите данных не только по правовым, но и по репутационным причинам.
Защита от исков
Чтобы эффективно защититься от исков в области защиты данных, компании должны регулярно проверять свои практики защиты данных и адаптировать их к актуальным требованиям GDPR. Это включает в себя создание прозрачного и полного заявления о защите данных, получение явных согласий на обработку чувствительных данных, а также внедрение технических и организационных мер для защиты данных. В случае иска рекомендуется быстро реагировать и получить юридическую консультацию, чтобы максимально защитить свои интересы. Благодаря проактивным действиям и последовательному соблюдению положений о защите данных компании могут значительно снизить риск исков и других правовых мер.
MTR Legal юристы консультируют по защите данных, GDPR и другим темам в области ИТ-права.
Свяжитесь с нами !
