Im April hatte der EuGH auf Vorlage des BGH entschieden, dass Verbraucherschutzverbände gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklage erheben können. Solche Klagen könnten unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden. Der BGH (Beschl. v. 10.11.2022 – I ZR 186/17) möchte jedoch noch eine weitere Frage geklärt haben und setzte das Verfahren erneut aus.
Die Beklagte, die Facebook Ireland Limited, ist die Betreiberin von Facebook. Sie bietet ein „App-Zentrum“ an, in dem sie den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button „Sofort spielen“ folgende Hinweise zu lesen waren: „Durch das Anklicken von ‚Spiel spielen‛ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“
Der Kläger ist der Bundesverband der Verbraucherzentralen (vzbv). Er vertritt die Ansicht, die Präsentation der unter dem Button „Sofort spielen“ gegebenen Hinweise im App-Zentrum genüge nicht den gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung der Nutzer und sei unlauter. Der vzbv hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.
Der BGH hatte das Verfahren ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII DSGVO vorgesehenen Regelungen, insbesondere Art. 80 Abs. 1, 2 und Art. 84 Abs. 1 DSGVO, nationalen Bestimmungen entgegenstehen, die es einerseits Mitbewerbern und andererseits berechtigten Verbänden, Einrichtungen und Kammern ermöglichen, gegen den Verletzer vorzugehen.
Der EuGH (Urt. v. 28.4.2022 – C-319/20) hatte entschieden, dass Art. 80 Abs. 2 DSGVO dahin auszulegen sei, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Der BGH hat das Verfahren nun erneut ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung „infolge einer Verarbeitung“ nach Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, dass lediglich Informationspflichten nach Art. 12, 13 DSGVO hinsichtlich des Zwecks der Datenverarbeitung und der Empfänger der personenbezogenen Daten nicht erfüllt wurden. Das Urteil ist noch nicht im Volltext verfügbar, das Gericht hat jedoch bereits eine Pressemitteilung veröffentlicht.
Die Notwendigkeit einer erneuten Vorlage ergebe sich aus folgenden Umständen:
Der Senat ist in seinem ersten Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens nicht den die Rechtsbehelfe, die Haftung und Sanktionen regelnden Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung und insbesondere nicht den Art. 80 Abs. 1 und 2 DSGVO oder Art. 84 Abs. 1 DSGVO entnehmen lässt. Er hat daher dem Gerichtshof der Europäischen Union mit seinem ersten Vorabentscheidungsersuchen die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Klagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG entgegensteht.
Der EuGH hatte abweichend von der vom BGH im Vorlagebeschluss vertretenen Ansicht entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben könne.
Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, besteht allerdings nur für den Fall, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist fraglich, ob diese Voraussetzung erfüllt ist, wenn - wie im Streitfall - die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden sind. Die erneute Vorlage an den Gerichtshof der Europäischen Union dient der Klärung dieser Frage.
Marian Weyo/Shutterstock.com