Dr. Friedrich Popp und Dr. Thomas SchürrleRechtsanwälte Debevoise & PlimptonAusgangspunkt des Datenschutzrechts ist die Idee informationeller Selbstbestimmung als Persönlichkeitsrecht. Moderate verwaltungsrechtliche Sanktionen, zuweilen auch gerichtliche Strafen oder Verbandsgeldbußen sicherten bislang dieses Recht ab. Eine klageweise Durchsetzung zivilrechtlicher Ansprüche aus einem Datenschutzverstoß war für den Verletzten bisher wegen der Beweislastverteilung, der Beschränkung auf den Ersatz materiellen Schadens und des Kostenrisikos kaum attraktiv. Bei wirtschaftlicher Betrachtung bedeutete die Nichtbeachtung des Datenschutzes für das Unternehmen bis vor kurzem kein ernstliches Risiko, vor allem aber kein Risiko, das im Verhältnis zu den möglichen Einnahmen steht: Denn technologischer Fortschritt lässt heute die wirtschaftliche Verwendung personenbezogener Daten in großem Stil zu, aber auch ebenso weit reichende Verletzungen des Persönlichkeitsrechts.Eine Antwort auf diese Entwicklung ist eine intensivierte Kooperation zwischen Datenschutzbehörden auf nationaler, europäischer und internationaler Ebene. Die Verfolgung zivilrechtlicher Ansprüche übernehmen mehr und mehr Interessenverbände. Die ab Mai 2018 geltende europäische Datenschutz-Grundverordnung (DSGVO) verstärkt diesen Trend zu kollektiver Rechtsverfolgung.Aus Unternehmenssicht tritt daher bei Datenschutzverstößen neben das wirtschaftliche Risiko des Reputationsschadens ein immer beachtlicheres Risiko effektiver Rechtsverfolgung. Grund genug, einen Blick auf die aktuellen Entwicklungen zu werfen.Die Reaktion von Datenschutzbehörden auf die jüngste Änderung der WhatsApp-Nutzungsbedingungen und -Datenschutzrichtlinien ist exemplarisch für die intensivierte behördliche Zusammenarbeit: WhatsApp sammelt unter anderem personenbezogene Informationen seiner Nutzer zur Erbringung von Kommunikationsdienstleistungen. Im August 2016 informierte das Unternehmen, diese Daten in Zukunft auch mit seinem Gesellschafter Facebook zu teilen. Dem Hamburgischen Datenschutzbeauftragten zufolge fehlt es bei Facebook aber an einer wirksamen Einwilligung der WhatsApp-Nutzer oder einer sonstigen gesetzlichen Grundlage für den Datenempfang. Deshalb hat diese Behörde noch im September eine an Facebook gerichtete Verwaltungsanordnung erlassen, die dem Unternehmen mit sofortiger Wirkung die Erhebung und Speicherung von Daten deutscher WhatsApp-Nutzer untersagt und die Löschung bereits übermittelter Daten aufträgt. Die auf Grundlage der (derzeit noch geltenden) europäischen Datenschutzrichtlinie eingerichtete Artikel-29-Datenschutzgruppe hat im September eine Arbeitsgruppe für Vollstreckungsmaßnahmen gegen solche Unternehmen eingerichtet, deren Tätigkeit sich auf mehrere Mitgliedstaaten der Union erstreckt. Dies ist insofern bemerkenswert, als die Rechtsdurchsetzung den nationalen Datenschutzbehörden vorbehalten ist, während der Datenschutzgruppe nach der Richtlinie nur beratende Funktion zukommt. Dennoch legte die Datenschutzgruppe WhatsApp im Oktober dringend nahe, bis zur Klärung der Rechtslage mit dem Teilen von Nutzerdaten mit Facebook nicht fortzufahren. Mag diese Aufforderung vielleicht rechtlich nicht bindend sein, kommt sie faktisch den Wirkungen einer behördlichen Anordnung sehr nahe, denn die Mitglieder der Datenschutzgruppe sind die Vertreter der nationalen Datenschutzbehörden. Die Unternehmen haben deshalb die Datenweitergabe noch im November gestoppt. Die Datenschutzgruppe hat weiter im Oktober von Yahoo umfassende Information zum Datendiebstahl 2014 sowie zur US-geheimdienstlichen Überwachung 2015 angefordert, bemerkenswerterweise aber nicht zu Händen der eigentlich zuständigen Datenschutzbehörden, sondern zu Händen der Vorsitzenden der Datenschutzgruppe. Dieses Detail unterstreicht die Entschlossenheit der Behörden zu gemeinschaftlichem Vorgehen. Für eine die Unionsgrenzen überschreitende Behördenzusammenarbeit steht weiter exemplarisch der im Juli in Kraft getretene “Privacy Shield”, eine Angemessenheitsentscheidung der Europäischen Kommission, auf deren Basis Datenübermittlungen an selbstzertifizierte US-Unternehmen in vereinfachter Form erfolgen können. Nach diesem Regelwerk assistieren nun das U.S. Department of Commerce und die U.S. Federal Trade Commission europäischen Datenschutzbehörden bei der Untersuchung möglicher Datenschutzverstöße durch US-amerikanische Datenempfänger.Eine beachtliche Neuentwicklung ist auch die zuständigkeitsübergreifende Zusammenarbeit bei Datenschutzverstößen mit Wettbewerbsbehörden. Das Bundeskartellamt hat im März gegen Facebook ein Verfahren wegen eines Anfangsverdachts auf Marktmachtmissbrauch durch Datenschutzverstoß eröffnet. Der Verstoß soll im Verlangen einer in der Reichweite für den Nutzer nur schwer nachvollziehbaren Einwilligung liegen. Das Kartellrecht verfügt über einen wesentlich glaubwürdigeren Sanktionsrahmen als das gegenwärtige Datenschutzrecht, denn bei Verstößen gegen deutsches und europäisches Kartellrecht kann die Behörde gegen Unternehmen Bußgelder in Höhe von bis zu zehn Prozent des konzernweiten weltweiten Jahresumsatzes verhängen. Das Amt handelt in diesem Verfahren nicht allein, sondern steht in engem Kontakt mit Datenschutzbehörden, der Europäischen Kommission und den Wettbewerbshütern anderer EU-Mitgliedstaaten.Kollektive Rechtsverfolgung erfolgt im deutschen Zivilrecht regelmäßig durch Verbände, die nicht nur rechtliche Expertise bündeln, sondern auch das Prozesskostenrisiko tragen können. Datenschutzrechtlich bedeutsam ist das Gesetz gegen den unlauteren Wettbewerb, das nicht nur Mitbewerbern, sondern auch Interessenverbänden die Befugnis verleiht, gegen unlautere geschäftliche Handlungen vorzugehen. Unlauter handelt bereits, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch das Marktverhalten regelt. Ob dies für die Bestimmungen des Datenschutzrechts gilt, ist strittig. Deren Marktbezug haben dieses Jahr etwa das OLG Köln (fehlende Datenschutzerklärung in Online-Kontaktformular) und das OLG Frankfurt (mangelhafte Einwilligung zu werblicher Datenverarbeitung) bejaht und damit eine kollektive Rechtsverfolgung zugelassen. Die Frage, welche Datenschutzbestimmungen jedenfalls im Verhältnis zum Verbraucher abgemahnt werden können, hat der Gesetzgeber mit einer im Februar in Kraft getretenen Änderung des Unterlassungsklagengesetzes geklärt und damit Datenschutzverstößen bei der Verwendung personenbezogener Daten zu kommerziellen Zwecken, insbesondere der Werbung oder des Adresshandels, einen weiteren Riegel vorgeschoben. Schon bisher konnten Verbände gegen Datenschutzverstöße in AGB vorgehen, die ein Unternehmer gegenüber Verbrauchern verwendet. Das Risiko einer zivilrechtlichen Sanktionierung von Datenschutzverstößen dürfte durch die erweiterte Klagebefugnis von Verbänden, insbesondere Verbraucherschutzverbänden, erheblich steigen. Die DSGVO verändert bereits die Rahmenbedingungen individueller Rechtsverfolgung fundamental. Die meisten Bestimmungen der DSGVO sind bußgeldbewehrt, und der Bußgeldrahmen beträgt für einen Teil der Verstöße bis zu 10 Mill. Euro oder 2 % des weltweit erzielten Jahresumsatzes, für einen anderen Teil bis zu 20 Mill. Euro oder 4 % des weltweit erzielten Umsatzes, wobei für die Berechnung jeweils der Umsatz der Unternehmensgruppe oder des Konzerns maßgeblich ist. Die individuelle Verfolgung von Schadensersatzansprüchen wird für den Geschädigten attraktiver, weil künftig auch der immaterielle Schaden ersatzfähig ist. Wenngleich dem Geschädigten bei der Rechtsverfolgung keine Beweislastumkehr hilft, trifft den Verantwortlichen immerhin die gerade im Schadensfall nicht leicht zu erfüllende Pflicht des Nachweises, dass die Verarbeitung verordnungskonform erfolgt ist. Die Verordnung stärkt die Rechte des Betroffenen, indem sie ihm nach Maßgabe des Rechts des jeweiligen Mitgliedstaats die Befugnis einräumt, sich bei der Einlegung von Beschwerden bei Aufsichtsbehörden, gerichtlicher Rechtsbehelfe oder der Geltendmachung von Schadensersatzansprüchen von im Datenschutzrecht tätigen Verbänden vertreten zu lassen. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen auch unabhängig vom Auftrag eines Betroffenen eine ­eigene Beschwerde oder einen gerichtlichen Rechtsbehelf einlegen. Wie der deutsche Gesetzgeber den Spielraum zur Ausführung der DSGVO nutzen wird, ist derzeit noch nicht absehbar. Die DSGVO wertet auch die behördliche Zusammenarbeit massiv auf: Während die Datenschutzrichtlinie der Kooperation europäischer Behörden lediglich einen einzigen Absatz widmete, handelt nun ein gesamtes Verordnungskapitel von Behördenzusammenarbeit und Vollzugskohärenz. Um Unternehmen die Datenverarbeitung in mehreren Mitgliedstaaten nach einheitlichen Regeln zu ermöglichen, arbeitet eine federführende Behörde der Hauptniederlassung des Datenverarbeiters mit den anderen, von der Verarbeitung betroffenen mitgliedstaatlichen Behörden zusammen (“One-Stop Shop”). Die Aufsichtsbehörden leisten einander Amtshilfe und führen gegebenenfalls gemeinsame Untersuchungs- und Durchsetzungsmaßnahmen durch. Der Verordnungsgeber fordert die Europäische Kommission und die Aufsichtsbehörden weiter auf, unionsüberschreitende Mechanismen der internationalen Zusammenarbeit zu entwickeln, die die internationale Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtern und sicherstellen, insbesondere durch Meldungen sowie Unterstützung bei Untersuchungen und Informationsaustausch.Ergebnis: Kollektive Rechtsverfolgung erhöht den Druck auf die Datenschutz-Compliance bereits jetzt und nicht erst bei Geltung der DSGVO. Anlass genug, die Belastbarkeit der eigenen Compliance zu überprüfen, denn: Zu viele Jäger sind des Hasen Tod!