Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


29.4.2022

EuGH: Klagebefugnis von Verbraucherschutzverbänden bei Datenschutzverstößen

Der EuGH hat am 28.4.2022 entschieden, dass Verbraucherschutzverbände auch ohne Auftrag von betroffenen Personen und ohne konkrete Verletzung der Rechte einer betroffenen Person gegen Datenschutzverstöße klagen können und zwar selbst dann, wenn dies im Rahmen eines Verfahrens zur Durchsetzung anderer Rechtsvorschriften zur Gewährleistung des Verbraucherschutzes erfolgt (Urt. v. 28.4.2022, Az. C-319/20, Meta Platforms Ireland Ltd., vormals Facebook Ireland Ltd. gegen Verbraucherzentrale Bundesverband e. V.).

Art. 80 Abs. 2 DSGVO steht einer nationalen Regelung nicht entgegen, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken, des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben, wenn die betreffende Verbandsklage auf die Wahrung von Rechten gerichtet ist, die den Personen, die von der beanstandeten Verarbeitung betroffen sind, unmittelbar aus dieser Verordnung erwachsen.

Die nach nationalem Recht – in diesem Fall nach dem deutschen Unterlassungsklagengesetz (UKlaG) –  zuerkannte Verbandsklagebefugnis, um Verhaltensweisen zu unterbinden, die sowohl eine Verletzung der durch die DSGVO verliehenen Rechte als auch eine Verletzung von Vorschriften zum Schutz der Verbraucherrechte und zur Bekämpfung unlauterer Geschäftspraktiken darstellen, ist europarechtskonform.

Damit schloss sich das Gericht den Schlussanträgen des Generalanwalts an, was häufig der Fall ist.

Sachverhalt und Ausgangsverfahren

Dem Ausgangsverfahren liegt folgender Sachverhalt zugrunde: Auf der von Meta Platforms Ireland Ltd. betriebenen Internetplattform Facebook gibt es ein sogenanntes „App-Zentrum“, wo Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht werden. Wenn der Nutzer bestimmte Spiele aufruft, erscheint der Hinweis, dass die Nutzung der betreffenden Anwendung es dem Drittanbieter ermögliche, eine Reihe von personenbezogenen Daten zu erheben, und ihn dazu berechtige, im Namen dieses Nutzers Informationen zu veröffentlichen. Mit der Nutzung dieser Anwendung stimmt der Nutzer den Allgemeinen Geschäftsbedingungen und der beschriebenen Verarbeitung personenbezogener Daten zu.

Der deutsche Bundesverband der Verbraucherzentralen und Verbraucherverbände (Verbraucherzentrale Bundesverband e. V.) hielt diese Datenschutzhinweise für unlauter und erhob gegen Meta Platforms Ireland Ltd. eine Unterlassungsklage. Der für das Vorlageverfahren beim EuGH und dessen Entscheidung besondere Punkt liegt darin, dass die Klage ohne konkrete Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person sowie im Rahmen eines Verfahrens zur Durchsetzung anderer Rechtsvorschriften zur Gewährleistung des Verbraucherschutzes erhoben wurde.

Nach § 3 Abs. 1 Satz 1 Nr. 1 des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) können bestimmte („qualifizierte“) Einrichtungen wie Verbraucherschutzverbände Ansprüche auf Unterlassung wegen Zuwiderhandlungen gegen Verbraucherschutzgesetze geltend machen. Zu diesen Gesetzen gehören gemäß § 2 Abs. 2 Satz 1 Nr. 11 UKIaG auch Vorschriften, die die Zulässigkeit der Verarbeitung personenbezogener Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung zum Gegenstand haben. Außerdem steht den qualifizierten Einrichtungen nach § 3 Abs. 1 Satz 1 Nr. 1 UKlaG ein Anspruch gemäß § 1 UKlaG auf Unterlassung der Verwendung von nach § 307 des Bürgerlichen Gesetzesbuchs (BGB) unwirksamen Allgemeinen Geschäftsbedingungen (AGB) zu, wenn diese AGB ihres Erachtens eine datenschutzrechtliche Bestimmung verletzen. Wettbewerbsrechtlich ist die entsprechende Klagebefugnis in § 8 Abs. 3 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) verankert.

Art. 80 Abs. 2 DSGVO regelt, dass die EU-Mitgliedstaaten die Möglichkeit einer Verbandsklage vorsehen können. Die DSGVO selbst bietet keine Verbandsklagebefugnis. Es handelt sich bei Art. 80 Abs. 2 DSGVO um eine sog. Öffnungsklausel, die den Mitgliedstaaten eine entsprechende Regelungsbefugnis einräumt. Allerdings wurden die in Frage stehenden deutschen Vorschriften bereits vor der DSGVO erlassen.

Gegen die der Klage stattgebende Entscheidung durch das LG Berlin (Urt. v. 28.10.2014, Az. 16 O 60/13) legte Meta Platforms Ireland Berufung ein, die durch das KG Berlin (Urt. v. 22.9.2017, Az. 5 U 155/14) zurückgewiesen wurde. Daraufhin legte Meta Platforms Irland Revision beim BGH ein, der dem EuGH seine Vorlagefragen zur Entscheidung vorlegte.

Entscheidung

Der EuGH hat entschieden, dass Art. 80 Abs. 2 DSGVO eine Verbandsklagebefugnis zulässt, mit der – wie im vorliegenden Fall gestützt auf § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG  – unabhängig von der Verletzung subjektiver Rechte einer konkreten betroffenen Person objektive datenschutzrechtliche Verstöße  im Rahmen eines Verfahrens zur Durchsetzung anderer Rechtsvorschriften zur Gewährleistung des Verbraucherschutzes geltend gemacht werden.

Das Gericht hatte eine solche Klagebefugnis in der Vergangenheit mit der EG-Datenschutz-Richtlinie (Richtlinie 95/46/EG) für vereinbar erklärt (EuGH, Urt. v. 29.7.2019, Az. C-40/17, „Fashion ID“).

Nunmehr hat der EuGH im Ergebnis festgestellt, dass sich die Rechtslage in diesem Punkt mit der DSGVO und konkret in Hinblick auf Art. 80 Abs. 2 DSGVO nicht geändert hat.

Die DSGVO soll zwar eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Allerdings gehört Art. 80 Abs. 2 DSGVO als sog. Öffnungsklausel zu den Bestimmungen, die den Mitgliedstaaten nicht nur eine Regelungsbefugnis einräumen und insoweit einen Ermessensspielraum hinsichtlich der Umsetzung lassen. Hierbei sind die Voraussetzungen und Grenzen der DSGVO zu beachten und einzuhalten. Das gilt hier insbesondere mit Blick auf die Vorgaben, die Art. 80 Abs. 2 DSGVO macht, die nach Ansicht des EuGH eingehalten werden.

Der Verbraucherzentrale Bundesverband e. V. kann als eine „Einrichtung, Organisation oder Vereinigung“ i.S.d. Regelung angesehen werden, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, und die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann.

Zudem verlangt Art. 80 Abs. 2 DSGVO keinen konkreten Auftrag einer betroffenen Person. Es kann nicht gefordert werden, dass der Verband die Person, die von einer mutmaßlich datenschutzrechtswidrigen Verarbeitung konkret betroffen ist, im Voraus individuell ermittelt. Vielmehr kann aufgrund der Definition einer „betroffenen Person“ nach Art. 4 Nr. 1 DSGVO die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, für die Erhebung einer Verbandsklage ausreichen. Weiterhin ist es nicht erforderlich, dass eine konkrete Verletzung von Datenschutzvorschriften vorliegt. Das ergibt sich bereits aus dem Wortlaut („ihres Erachtens“).

Eine solche Auslegung steht im Einklang mit den Anforderungen, die sich aus der Charta der Grundrechte der Europäischen Union ergeben, und damit in Einklang mit dem Ziel der DSGVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten.

Schließlich hindert Art. 80 Abs. 2 DSGVO die Mitgliedstaaten nicht daran, von der ihnen eingeräumten Befugnis in dem Sinne Gebrauch zu machen, dass die Verbände zur Wahrung von Verbraucherinteressen befugt sind, gegen Verletzungen der in der DSGVO vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorzugehen, wie sie in der Richtlinie 2005/29/EG über unlautere Geschäftspraktiken und der Richtlinie 2009/22/EG über Unterlassungsklagen zum Schutz der Verbraucherinteressen vorgesehen sind. Diese Auslegung von Art. 80 Abs. 2 DSGVO wird auch durch die Richtlinie 2020/1828 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG bestätigt. Zwar ist die Richtlinie 2020/1828 auf den Ausgangsrechtsstreit nicht anwendbar und die Frist für ihre Umsetzung noch nicht abgelaufen. Sie enthält jedoch mehrere Gesichtspunkte, die bestätigen, dass Art. 80 DSGVO komplementären Verbandsklagen im Bereich des Verbraucherschutzes nicht entgegensteht. Zwar wird es weiterhin möglich sein, komplementäre Verfahrensvorschriften für Verbandsklagen im Bereich des Verbraucherschutzes vorzusehen. Dennoch können die in der DSGVO festgelegten oder darauf beruhenden Durchsetzungsmechanismen wie in Art. 80 DSGVO ausweislich des 15. Erwägungsgrundes der Richtlinie 2020/1828 nicht ersetzt oder geändert werden. Deshalb können sie zum Schutz der Kollektivinteressen der Verbraucher eingesetzt werden.

Fazit

Die Entscheidung des EuGH auf Vorlage des BGH ist eindeutig. Art. 80 Abs. 2 DSGVO verlangt weder einen Auftrag einer betroffenen Person noch eine konkrete Verletzung, damit Verbraucherschutzverbände gegen datenschutzrechtliche Verstöße vorgehen können. Es ist auch nicht zu beanstanden, dass eine solche Verbandsklage im Rahmen eines Verfahrens zur Durchsetzung anderer Rechtsvorschriften zur Gewährleistung des Verbraucherschutzes geltend gemacht wird. Der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten kann gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen.

Damit bleibt es bei der entsprechenden Klagebefugnis für Verbraucherschutzorganisationen nach § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG auch unter der DSGVO. Der EuGH legt eine weite Auslegung zugrunde, was – soweit ersichtlich – der wohl überwiegenden Meinung in der deutschen Datenschutzrechtsliteratur entspricht.

Sollten Sie Fragen zur Vertretung nach Art. 80 DSGVO oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht