Bereits 2022 hatte der EuGH auf Vorlage des BGH entschieden, dass Verbraucherschutzverbände gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklage erheben können. Solche Klagen könnten unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden. Nachdem der BGH das Verfahren allerdings nochmals zur Klärung einer Frage aussetzte, entschied nun erneut der EuGH (Urt. v. 11.7.2024 – C-757/22). Verbraucherschutzverbände können auch gegen Verletzungen von DSGVO-Informationspflichten vorgehen.
Die Beklagte, die Facebook Ireland Limited, ist die Betreiberin von Facebook. Sie bietet ein „App-Zentrum“ an, in dem sie den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button „Sofort spielen“ folgende Hinweise zu lesen waren: „Durch das Anklicken von ‚Spiel spielen‛ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“
Der Kläger ist der Bundesverband der Verbraucherzentralen (vzbv). Er vertritt die Ansicht, die Präsentation der unter dem Button „Sofort spielen“ gegebenen Hinweise im App-Zentrum genüge nicht den gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung der Nutzer und sei unlauter. Der vzbv hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.
Der BGH hatte das Verfahren ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII DSGVO vorgesehenen Regelungen, insbesondere Art. 80 Abs. 1, 2 und Art. 84 Abs. 1 DSGVO, nationalen Bestimmungen entgegenstehen, die es einerseits Mitbewerbern und andererseits berechtigten Verbänden, Einrichtungen und Kammern ermöglichen, gegen den Verletzer vorzugehen.
Der EuGH (Urt. v. 28.4.2022 – C-319/20) hatte entschieden, dass Art. 80 Abs. 2 DSGVO dahin auszulegen sei, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Der BGH hatte anschließend das Verfahren erneut ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung „infolge einer Verarbeitung“ nach Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, dass lediglich Informationspflichten nach Art. 12, 13 DSGVO hinsichtlich des Zwecks der Datenverarbeitung und der Empfänger der personenbezogenen Daten nicht erfüllt wurden.
Der EuGH entschied nun, dass Art. 80 Abs. 2 DSGVO dahin auszulegen sei, dass die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12, Art. 13 DSGVO obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Zunächst fasst der EuGH noch einmal seine vorherige Entscheidung zusammen und stellt klar, dass Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Möglichkeit eröffne, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft sei. In sachlicher Hinsicht sei erforderlich, dass nach Erachten des Verbands die Rechte einer betroffenen Person nach der DSGVO verletzt wurden. Es sei jedoch nicht erforderlich, dass diese Person, die konkret betroffen ist, im Voraus individuell ermittelt wird, eine identifizierbare natürliche Person genüge. Zudem sei die Erhebung der Verbandsklage auch nicht daran geknüpft, dass eine konkrete Verletzung von Datenschutzrechten vorliegt. Es genüge, dass die Einrichtung „ihres Erachtens“ davon ausgehe, dass Datenschutzrechte verletzt wurden.
Konkret eröffnet Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne einen Auftrag der betroffenen Person vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft ist (Urteil vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 63).
Was als Erstes den persönlichen Anwendungsbereich dieses Verfahrens betrifft, wird die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung zuerkannt, die die in Art. 80 Abs. 1 DSGVO aufgeführten Kriterien erfüllt. Der Gerichtshof hat insbesondere bereits entschieden, dass ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter diesen Begriff fallen kann, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, und die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann (Urteil vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 64 und 65).
Was als Zweites den sachlichen Anwendungsbereich dieses Verfahrens betrifft, so kann eine Einrichtung, die die in Art. 80 Abs. 1 DSGVO genannten Voraussetzungen erfüllt, die in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung [ihrer personenbezogenen Daten] verletzt worden sind“ (Urteil vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 67).
Der Gerichtshof hat insoweit klargestellt, dass die Erhebung einer Verbandsklage insbesondere nicht daran geknüpft ist, dass eine „konkrete Verletzung“ der Rechte einer Person aus den Datenschutzvorschriften vorliegt, so dass es für die Anerkennung der Klagebefugnis einer solchen Einrichtung ausreicht, geltend zu machen, dass die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen könne, ohne dass ein der betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte tatsächlich entstandener Schaden nachgewiesen werden müsste (Urteil vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 70 und 72).
Die Informationspflicht nach Art. 12, 13 DSGVO, nach denen der Verantwortliche die betroffene Person über die Datenverarbeitungen informieren muss, sei Folge des Informationsrechts der betroffenen Person, und gehöre zu den Rechten, die über die in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage geschützt werden sollen. Verletze der Verantwortliche die Informationspflicht nach Art. 12, 13 DSGVO, verstoße er gleichzeitig gegen Art. 5 DSGVO. Damit sei die Verletzung dieses Rechts als ein Verstoß gegen die Rechte der betroffenen Person „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 der Verordnung anzusehen.
Aus dem Vorstehenden ergibt sich erstens, dass die Informationspflicht, die dem Verantwortlichen gegenüber den von einer Verarbeitung personenbezogener Daten betroffenen Personen obliegt, die logische Folge des Informationsrechts ist, das diesen Personen durch die Art. 12 und 13 DSGVO zuerkannt wird und das damit zu den Rechten gehört, die über die in Art. 80 Abs. 2 der Verordnung vorgesehene Verbandsklage geschützt werden sollen. Außerdem gewährleistet die Einhaltung dieser Pflicht, wie sich den Rn. 56 und 57 des vorliegenden Urteils entnehmen lässt, allgemeiner die Einhaltung der in Art. 5 Abs. 1 der Verordnung vorgesehenen Grundsätze der Transparenz und der Verarbeitung nach Treu und Glauben.
Zweitens könnte, wie der Generalanwalt in Nr. 47 seiner Schlussanträge ausgeführt hat, eine behauptete Verletzung des Rechts der betroffenen Personen, hinreichend über alle Umstände im Zusammenhang mit einer Verarbeitung personenbezogener Daten, einschließlich des Zwecks der Verarbeitung und des Empfängers der Daten, informiert zu werden, der Erteilung einer Einwilligung „in informierter Weise“ im Sinne von Art. 4 Nr. 11 DSGVO entgegenstehen, was diese Verarbeitung rechtswidrig im Sinne von Art. 5 Abs. 1 der Verordnung machen kann.
Die Gültigkeit der von der betroffenen Person erteilten Einwilligung hängt nämlich u. a. davon ab, ob diese Person zuvor die Informationen über alle Umstände im Zusammenhang mit der Verarbeitung der fraglichen Daten erhalten hat, auf die sie nach den Art. 12 und 13 DSGVO Anspruch hat und die ihr ermöglichen, die Einwilligung in voller Kenntnis der Sachlage zu geben.
Da eine Verarbeitung personenbezogener Daten unter Verletzung des Informationsrechts, das der betroffenen Person aus den Art. 12 und 13 DSGVO zusteht, gegen die in Art. 5 der Verordnung festgelegten Anforderungen verstößt, ist die Verletzung dieses Rechts als ein Verstoß gegen die Rechte der betroffenen Person „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 der Verordnung anzusehen.
Das Recht einer durch eine Verarbeitung personenbezogener Daten betroffenen Person aus Art 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO, vom Verantwortlichen Informationen über den Zweck der Datenverarbeitung und die Empfänger personenbezogener Daten spätestens bei der Erhebung dieser Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt zu bekommen, stellt folglich ein Recht dar, bei dessen Verletzung von dem in Art. 80 Abs. 2 der Verordnung vorgesehenen Verbandsklagemechanismus Gebrauch gemacht werden kann.
Die Entscheidung des EuGH ist nicht überraschend. Bereits 2019 hatte er in seiner Fashion ID-Entscheidung zur vor der DSGVO geltenden DatenschutzRL 95/46/EG bereits angenommen, dass diese Vorschriften einer Verbandsklagebefugnis nicht entgegenstehen. Er hat nun noch einmal klargestellt, dass Verbraucherschutzverbände gegen die Verletzung von Informationspflichten nach der DSGVO vorgehen können wie z.B. die Pflicht zur Information nach Art. 12, 13 DSGVO.
Seine erste Vorlagefrage hatte der BGH auch auf die umstrittene Frage der Klagebefugnis von Mitbewerbern ausgeweitet, obwohl um die Verbandsklagebefugnis ging. Der EuGH hatte diesen Teil in seiner ersten Entscheidung jedoch leider ausgeklammert, da diese Frage das vorliegende Verfahren nicht betraf. Der BGH hat jedoch in der Zwischenzeit zwei andere Verfahren ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII DSGVO vorgesehenen Regelungen nationalen Bestimmungen entgegenstehen, die es Mitbewerbern ermöglichen, gegen den Verletzer vorzugehen. Eine Entscheidung steht allerdings noch aus. Der Generalanwalt beim EuGH kommt in seinen Schlussanträgen zu diesem Verfahren jedenfalls zu dem Ergebnis, dass die Bestimmungen von Kapitel VIII der DSGVO nationalen Vorschriften nicht entgegenstehen, die Unternehmen das Recht einräumen, sich auf der Grundlage des Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, DSGVO-Verstöße ihrer Mitbewerber zu verfolgen.