Introduktion till dataskyddsvarningar
Dataskyddsvarningar är ett centralt verktyg inom dataskyddsrätten för att genomdriva efterlevnaden av dataskyddsförordningen (GDPR). Sedan GDPR trädde i kraft år 2018 är företag och organisationer skyldiga att vara mycket noggranna i sin hantering av personuppgifter. Om det sker en överträdelse av dessa regler – exempelvis genom bristfällig information till användare eller otillåten databehandling – kan en varning utfärdas. Denna kan initieras inte bara av dataskyddsmyndigheter, utan även av konkurrenter, konsumentskyddsföreningar eller till och med av de berörda personerna själva. Syftet med en dataskyddsvarning är att få företaget att upphöra med överträdelsen och att efterleva dataskyddsrättigheterna. För företag innebär detta att de regelbundet måste granska och anpassa sina processer och hanteringen av personuppgifter för att undvika varningar och eventuella följande stämningar.
Rättsliga grunder
De rättsliga grunderna för varningar inom dataskyddsområdet finns huvudsakligen i GDPR samt i lagen mot illojal konkurrens (UWG). GDPR reglerar i detalj hur personuppgifter får inhämtas, lagras och behandlas. Överträdelse av dessa föreskrifter – exempelvis genom otillåten behandling eller brist på transparens – kan förföljas inte bara av dataskyddsmyndigheter utan även inom ramen för konkurrensrätt. UWG skyddar konkurrensen från otillbörliga affärsmetoder och föreskriver att en dataskyddsöverträdelse även kan betraktas som en överträdelse av UWG, om det ger ett företag en otillbörlig fördel. På så sätt kan varningar för dataskyddsöverträdelser utfärdas både enligt GDPR och UWG. Företag bör därför försäkra sig om att strikt följa de lagstadgade föreskrifterna för behandling av personuppgifter för att undvika varningar och ytterligare rättsliga konsekvenser.
Konkurrenter får utfärda varningar – Domar från BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Konkurrenter och konsumentskyddsföreningar får varna företag för dataskyddsöverträdelser; domstolen har en central roll när det gäller att besluta om varningar på grund av dataskyddsöverträdelser. Detta har Högsta domstolen i Tyskland fastställt i flera domar från den 27 mars 2025 (mål. I ZR 186/17, I ZR 222/19, I ZR 223/19). Olika domstolar har tidigare gjort olika bedömningar om varningsrätten vid dataskyddsöverträdelser. Den stora mängden fall av dataskyddsöverträdelser visar den praktiska relevansen av detta ämne. Den aktuella BGH-domen klargör att även konkurrenter och konsumentorganisationer kan agera. BGH-domen från mars 2025 är av stor betydelse för varningspraxis, eftersom den möjliggör förföljelse av dataskyddsöverträdelser av konsumentskyddsföreningar och konkurrenter vid civilrättsliga domstolar. En GDPR-varning är en specifik form av varning som avser överträdelser av dataskyddsförordningen och skiljer sig från andra varningar genom dess dataskyddsrättsliga koppling. Konsumentcentralen spelar en viktig roll vid genomförandet av dataskyddsrättigheter. Konsumentskyddsföreningar är kraftigt involverade i varningar för dataskyddsöverträdelser. Även konkurrenter kan förfölja dataskyddsöverträdelser och därigenom skydda konkurrensen. BGH-domen har betydande effekter på praxis och den rättsliga bedömningen av dataskyddsöverträdelser.
Dataskyddsöverträdelser kan inte bara straffas av tillsynsmyndigheter. Domstolarnas beslutskompetens vid dataskyddsöverträdelser är av central betydelse. Som BGH:s beslut visar kan även konkurrenter och konsumentskyddsföreningar ingripa mot överträdelserna. I sådana processer spelar även den svarande parten en viktig roll. För företag kan detta ha betydande konsekvenser, särskilt inom näthandeln och vid behandling av känsliga uppgifter, konstaterar advokatbyrån MTR Legal, som bl.a. ger rådgivning inom IT-rätt och dataskyddsrätt. GDPR-överträdelser kan leda till betydande rättsliga följder, särskilt om krav på avstående görs gällande. Vid upprepade GDPR-överträdelser hotar skärpta sanktioner och ytterligare åtgärder. Förföljelse av dataskyddsöverträdelser sker både genom domstolar och föreningar. Betydelsen av stycke 1 och stycke 1 nr. i relevanta paragrafer är avgörande för den rättsliga tolkningen. Ärendet har stor betydelse för utvecklingen av dataskyddsrätten och verkställigheten av konsumenträttigheter.
Spelapp publicerar data
I fallet med målnumret I ZR 186/17 handlade det om ett så kallat ”App-Center” i ett socialt nätverk, där tredjepartsleverantörer tillhandahöll spel. App-centret tjänar som en central plattform där olika tredjepartsappar erbjuds. I app-centret spelar onlinespel en betydande roll, eftersom de utgör en stor del av utbudet. Vid användning av appen kan även personuppgifter som din e-postadress behandlas. Innan en användare kunde starta ett spel visades en information att applikationen erhöll vissa rättigheter, t.ex. rätten att publicera statusuppdateringar. Dessa meddelanden var dock vaga och informerade inte om vilka specifika data som behandlades, vilka mottagarna var och för vilket syfte detta gjordes. Mot detta klagade konsumentskyddsorganisationen framgångsrikt.
Den Högsta domstolen (BGH) klargjorde att sådan oklar och generell information inte uppfyller kraven i dataskyddsförordningen (GDPR). Redan vid insamlingen av data genom appen måste användarna fullt ut informeras. Även omfattningen av de insamlade och behandlade uppgifterna måste tydligt framställas. Den rättssäkra formuleringen av användningssyftena i dataskyddsdeklarationen är dessutom av särskild betydelse. Informationsskyldigheterna enligt art. 12 och 13 GDPR kräver en tydlig, exakt och förståelig information för de berörda personerna. Eftersom dessa krav i GDPR också reglerar marknadens agerande i konkurrensrättslig mening (§ 3a UWG), utgör deras överträdelse en konkurrensöverträdelse. Konkurrenter eller kvalificerade konsumentskyddsföreningar får därmed enligt civilrätten agera mot sådana dataskyddsöverträdelser, enligt BGH. Detta gäller oavsett om en användare har klagat.
Apotekare säljer läkemedel på nätet
Liknande frågor behandlades i målen med nummer I ZR 222/19 och I ZR 223/19. Här hade två apotek sålt läkemedel via plattformen Amazon. Personuppgifter från kunder, inklusive hälsoinformation som namn, adress eller beställda läkemedel, inklusive deras individualisering, behandlades. Insamlingen av dessa hälsoinformation av apoteken var central i ärendena. Det fanns många fall av dataskyddsbrott inom apotekets verksamhet som blev relevanta i detta sammanhang. Andra apotek hade klagat mot detta. Även dessa klagomål hade framgång: BGH betonade att orderinformation utgör hälsodata enligt art. 9 stycke 1 GDPR. Detta gäller även när läkemedlen inte är receptbelagda. Uppgifterna får endast behandlas om det finns ett uttryckligt medgivande från kunderna, vilket apotekerna inte hade inhämtat.
BGH bekräftade Europeiska domstolens uppfattning att hälsoinformation finns redan när beställningen ger ledtrådar om hälsotillstånd eller medicinering. I ärendena spelade den tilltalade en central roll eftersom den var ansvarig för hanteringen av uppgifterna. Betoningen låg på vikten av att skydda de berörda personerna vid hantering av hälsoinformation. Här såg även BGH ett konkurrensbrott. Art. 9 stycke 1 GDPR är en marknadsbeteendeföreskrift enligt § 3a UWG, så överträdelsen av denna föreskrift kan enligt Karlsruher domstolen förföljas av en konkurrent genom en konkurrensrättslig rättegång vid civilrättsliga domstolar. Betydelsen av stycke 1 och stycke 1 nr. i de relevanta paragraferna betonades uttryckligen.
GDPR även konkurrensrättsligt relevant
Domarna visar att GDPR-reglerna – och här särskilt informationsskyldigheterna och föreskrifterna om samtycke – även är konkurrensrättsligt relevanta. Under vissa omständigheter kan vinster som uppnåtts genom dataskyddsbrott tas bort; detta är kopplat till böter och ytterligare straffåtgärder som kan påföras enligt dataskyddsförordningen och lagen. Företag som behandlar personuppgifter eller känsliga data utan tillräcklig information eller utan giltigt samtycke agerar konkurrensstridigt. Inte bara dataskyddsmyndigheter, utan även konkurrenter eller kvalificerade intresseföreningar kan agera mot sådana överträdelser. Därmed har BGH avsevärt utvidgat tillämpningsområdet för konkurrensrätten. Företag som bryter mot dataskyddsföreskrifterna kan, utöver böter från dataskyddsmyndigheter, även drabbas av kostsamma varningar och föreläggande av konkurrenter och konsumentskyddsföreningar.
Företag är välrådda
Företag är därför välrådda att noggrant kontrollera och uppfylla sina informationsskyldigheter. Det innebär att användarna ska informeras transparent, förståeligt och fullt ut om vilka data som behandlas för vilket syfte, på vilken rättslig grund detta sker, vilka mottagarna är och vilka rättigheter de berörda har. Likaså måste ett explicit medgivande inhämtas och dokumenteras innan behandling av känsliga data – såsom hälsoinformation – påbörjas. Generella eller dolda klausuler är inte tillräckliga.
Online-marknadsplatser och dataskydd
Online-marknadsplatser som Amazon Marketplace är oumbärliga i modern e-handel. Men just här är efterlevnad av dataskyddet av särskild betydelse. Leverantörer som är verksamma på sådana plattformar måste vid behandling av kunduppgifter – som namn, adresser eller orderdata – följa de strikta föreskrifterna i GDPR. BGH-domen i fallen I ZR 186/17, I ZR 222/19 och I ZR 223/19 har klargjort att överträdelser av GDPR – t.ex. behandling av hälsodata utan uttryckligt samtycke från kunderna – kan få både dataskyddsrättsliga och konkurrensrättsliga konsekvenser. Varningar från konkurrenter eller konsumentskyddsföreningar är möjliga i sådana fall och kan ha betydande konsekvenser för företag. Högsta domstolens domar betonar att efterlevnad av dataskyddet på online-marknadsplatser inte bara är en fråga om regelefterlevnad utan även om konkurrens.
Konsekvenser av en varning
En dataskyddsvarning kan få långtgående konsekvenser för företag. Förutom skyldigheten att omedelbart upphöra med den ifrågasatta behandlingen av personuppgifter hotar kännbara böter eller sanktioner vid ett fortsatt brott. GDPR föreskriver belopp på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen – beroende på vilket belopp som är högre. Dessutom kan en varning även ha en bestående skada på företagets rykte, eftersom ett överträdelse av dataskyddet uppfattas av kunder och allmänheten som ett allvarligt förtroendebrott. Företag bör därför fästa största vikt vid efterlevnad av dataskyddsbestämmelserna, inte bara av juridiska skäl utan även av rykte.
Försvar mot varningar
För att effektivt skydda sig mot varningar inom dataskyddsområdet bör företag regelbundet granska sina dataskyddspraxis och anpassa dem till aktuella krav i GDPR. Detta inkluderar särskilt att skapa en transparent och fullständig dataskyddsdeklaration, inhämta uttryckliga samtycken för behandling av känsliga data och genomföra tekniska och organisatoriska åtgärder för att skydda uppgifterna. Vid en varning är det lämpligt att snabbt agera och söka juridisk rådgivning för att bästa hålla på sina intressen. Genom proaktivt agerande och konsekvent efterlevnad av dataskyddsföreskrifter kan företag markant minska risken för varningar och ytterligare rättsliga steg.
MTR Legal Rechtsanwälte ger rådgivning om dataskydd, om GDPR och andra ämnen inom IT-rätt.
Vänligen kontakta oss!
