Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklage erheben, wie nun der EuGH (Urt. v. 28.4.2022 – C-319/20) entschied. Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden.
Die Beklagte, die Facebook Ireland Limited, ist die Betreiberin von Facebook. Sie bietet ein „App-Zentrum“ an, in dem sie den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button „Sofort spielen“ folgende Hinweise zu lesen waren: „Durch das Anklicken von ‚Spiel spielen‛ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“
Der Kläger ist der Bundesverband der Verbraucherzentralen (vzbv). Er vertritt die Ansicht, die Präsentation der unter dem Button „Sofort spielen“ gegebenen Hinweise im App-Zentrum genüge nicht den gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung der Nutzer und sei unlauter. Der vzbv hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.
Der BGH hatte das Verfahren ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII DSGVO vorgesehenen Regelungen, insbesondere Art. 80 Abs. 1, 2 und Art. 84 Abs. 1 DSGVO, nationalen Bestimmungen entgegenstehen, die es einerseits Mitbewerbern und andererseits berechtigten Verbänden, Einrichtungen und Kammern ermöglichen, gegen den Verletzer vorzugehen.
Der EuGH entschied nun, dass Art. 80 Abs. 2 DSGVO dahin auszulegen sei, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Teil der Vorlagefrage war ebenfalls, ob die DSGVO die Rechtsdurchsetzung abschließend regelt oder ob Raum für eine Anwendung nationaler Vorschriften besteht, die Verbänden ein Vorgehen bei Verstößen ermöglichen. Der EuGH weist darauf hin, dass die DSGVO grundsätzlich eine vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten bezwecke. Allerdings eröffnen einige Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele der DSGVO verstoßen.
Hierzu ist festzustellen, dass die DSGVO, wie sich aus ihrem Art. 1 Abs. 1 im Licht insbesondere ihrer Erwägungsgründe 9, 10 und 13 ergibt, eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Allerdings eröffnen Bestimmungen dieser Verordnung den Mitgliedstaaten die Möglichkeit, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“). […]
Dies gilt insbesondere für Art. 80 Abs. 2 DSGVO, der den Mitgliedstaaten einen Ermessensspielraum hinsichtlich seiner Umsetzung lässt. Damit die in dieser Bestimmung vorgesehene Verbandsklage ohne Beauftragung im Bereich des Schutzes personenbezogener Daten erhoben werden kann, müssen die Mitgliedstaaten daher von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nationalen Recht vorzusehen.
Der EuGH stellte damit klar, dass Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Möglichkeit eröffne, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft ist.
Was als Erstes den persönlichen Anwendungsbereich eines solchen Verfahrens betrifft, so wird die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung zuerkannt, die die in Art. 80 Abs. 1 DSGVO aufgeführten Kriterien erfüllt. Diese Bestimmung verweist insbesondere auf „eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentliche[n] Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist“.
Der Bundesverband der Verbraucherzentralen erfülle jedenfalls diese Anforderungen.
Es ist festzustellen, dass ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter diesen Begriff fallen kann, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, und die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann.
Der Verstoß gegen die Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken – den ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband insbesondere durch die in der anwendbaren nationalen Regelung vorgesehene Unterlassungsklage verhindern und ahnden möchte – kann nämlich, wie im vorliegenden Fall, mit einem Verstoß gegen die Vorschriften zum Schutz der personenbezogenen Daten dieser Verbraucher einhergehen.
In sachlicher Hinsicht sei erforderlich, dass nach Erachten des Verbands die Rechte einer betroffenen Person nach der DSGVO verletzt wurden. Es sei jedoch nicht erforderlich, dass diese Person, die konkret betroffen ist, im Voraus individuell ermittelt wird, eine identifizierbare natürliche Person genüge.
Was als Zweites den sachlichen Anwendungsbereich dieses Verfahrens betrifft, so kann eine Einrichtung, die die in Art. 80 Abs. 1 DSGVO genannten Voraussetzungen erfüllt, die in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung [der personenbezogenen Daten dieser Person] verletzt worden sind“.
Insoweit ist erstens auszuführen, dass von einer solchen Einrichtung für die Zwecke der Erhebung einer Verbandsklage im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie die Person, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der DSGVO verstößt, konkret betroffen ist, im Voraus individuell ermittelt.
Es genügt nämlich der Hinweis, dass der Begriff „betroffene Person“ im Sinne von Art. 4 Nr. 1 DSGVO nicht nur eine „identifizierte natürliche Person“, sondern auch eine „identifizierbare natürliche Person“ umfasst, also eine natürliche Person, die direkt oder indirekt, mittels Zuordnung zu einer Kennung wie insbesondere einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung identifiziert werden kann. Unter diesen Umständen kann die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, auch für die Erhebung einer solchen Verbandsklage ausreichen.
Die Erhebung der Verbandsklage sei auch nicht daran geknüpft, dass eine konkrete Verletzung von Datenschutzrechten vorliegt. Es genüge, dass die Einrichtung „ihres Erachtens“ davon ausgehe, dass Datenschutzrechte verletzt wurden.
Zweitens ist die Erhebung einer Verbandsklage nach Art. 80 Abs. 2 DSGVO auch nicht daran geknüpft, dass eine konkrete Verletzung der Rechte einer Person aus den Datenschutzvorschriften vorliegt.
Wie sich nämlich schon aus dem Wortlaut dieser Bestimmung [...] ergibt, setzt die Erhebung einer Verbandsklage lediglich voraus, dass die betroffene Einrichtung „ihres Erachtens“ davon ausgeht, dass die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung personenbezogener Daten dieser Person verletzt worden seien, und somit eine Datenverarbeitung behauptet, die gegen die Bestimmungen dieser Verordnung verstoße.
Folglich reicht es für die Anerkennung der Klagebefugnis einer solchen Einrichtung nach Art. 80 Abs. 2 DSGVO aus, geltend zu machen, dass die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen könne, ohne dass ein der betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte tatsächlich entstandener Schaden nachgewiesen werden müsste.
Diese Auslegung stehe im Einklang mit dem Ziel der DSGVO, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.
Eine solche Auslegung steht im Einklang mit den Anforderungen, die sich aus Art. 16 AEUV und Art. 8 der Charta der Grundrechte der Europäischen Union ergeben, und damit mit dem Ziel der DSGVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urteil vom 15. Juni 2021, Facebook Ireland u. a., C-645/19, EU:C:2021:483, Rn. 44, 45 und 91).
Die Tatsache, dass Verbände zur Wahrung von Verbraucherinteressen wie der Bundesverband befugt sind, unabhängig von der Verletzung der Rechte einer von diesem Verstoß individuell und konkret betroffenen Person eine Verbandsklage auf Unterlassung von gegen diese Verordnung verstoßenden Verarbeitungen zu erheben, trägt unbestreitbar dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten.
Außerdem könnte sich die Erhebung einer solchen Verbandsklage, da sie es ermöglicht, zahlreiche Verletzungen der Rechte der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen zu verhindern, als wirksamer erweisen als die Klage, die eine einzelne, von einer Verletzung ihres Rechts auf Schutz ihrer personenbezogenen Daten individuell und konkret betroffene Person gegen den Verletzer erheben kann.
Die Entscheidung des EuGH ist nicht überraschend. Bereits 2019 hatte er in seiner Fashion ID-Entscheidung zur vor der DSGVO geltenden DatenschutzRL 95/46/EG bereits angenommen, dass diese Vorschriften einer Verbandsklagebefugnis nicht entgegenstehen. Zwar ging es im vorliegenden Verfahren eigentlich um die Verbandsklagebefugnis, der BGH hatte die Vorlagefrage jedoch auch auf die umstrittene Frage der Klagebefugnis von Mitbewerbern ausgeweitet. Der EuGH hat diesen Teil in seiner Entscheidung leider jedoch ausgeklammert, da diese Frage das vorliegende Verfahren nicht betraf. Dennoch zeigt die Entscheidung, in welche Richtung es in Sachen Datenschutzrecht geht.
Marian Weyo/Shutterstock.com