EuGH: Klagebefugnis von Verbraucherverbänden bei Datenschutzverstößen
Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung vom 28. April 2022 (C-319/20) Verbraucherschutzverbänden eine selbständige Klagebefugnis zur Geltendmachung von Datenschutzverstößen zuerkannt. Damit können Verbände ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage erheben, sofern eine solche Klagebefugnis in den nationalen Vorschriften vorgesehen ist. Dem Urteil lag folgendes Ausgangsverfahren zugrunde:
Meta Platforms Ireland (Meta; vormals Facebook), machte ihren Nutzern über eine Plattform kostenlose Spiele von Drittanbietern zugänglich. Mit der Nutzung dieser Spiele stimmte der Nutzer den AGB und der Datenschutzpolitik der Spielegesellschaft zu. Außerdem wurde darauf hingewiesen, dass die Anwendung im Namen des Nutzers Statusmeldungen, Fotos und weitere Informationen veröffentlichen dürfe.
Die deutsche Verbraucherzentrale Bundesverband e.V. (Verbraucherzentrale) hielt die Hinweise im App-Zentrum für unlauter, und zwar va unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers und brachte eine Unterlassungsklage gegen Meta ein.
Das Landgericht Berlin gab der Klage statt; die anschließende Berufung von Meta wurde vom Kammergericht Berlin zurückgewiesen. Daraufhin erhob Meta Revison an den Bundesgerichtshof (BGH), welcher aufgrund des Wortlautes der DSGVO Zweifel an der Zulässigkeit der Klagebefugnis der Verbraucherzentrale hatte und den Fall dem EuGH im Rahmen eines Vorlageverfahrens vorlegte.
Zum Wortlaut der Bestimmungen der DSGVO führt das vorlegende Gericht aus, dass die Klagebefugnis von Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht nach Art 80 Abs 1 DSGVO an die Voraussetzung geknüpft sei, dass diese von der betroffenen Person beauftragt worden sei, in deren Namen die ihr zustehenden Rechte wahrzunehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen sei.
Der EuGH führte aus, dass eine betroffene Person nach Art 80 Abs 1 DSGVO somit grundsätzlich das Recht hat, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht unter bestimmten Voraussetzungen zu beauftragen, in ihrem Namen eine Beschwerde einzureichen oder ihre Rechte wahrzunehmen. Daneben können die Mitgliedstaaten jedoch nach Art 80 Abs 2 DSGVO auch vorsehen, dass eine Einrichtung, Organisation oder Vereinigung unabhängig von einem solchen Auftrag das Recht hat, bei der zuständigen Aufsichtsbehörde eine Beschwerde wegen einer Datenschutzverletzung einzulegen.
Damit die in dieser Bestimmung vorgesehene Verbandsklage ohne Beauftragung im Bereich des Schutzes personenbezogener Daten erhoben werden kann, müssen die Mitgliedstaaten allerdings von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Rechtsverfolgung in ihrem nationalen Recht vorzusehen.
Im vorliegenden Fall hat der deutsche Gesetzgeber nach dem Inkrafttreten der DSGVO keine besonderen Bestimmungen erlassen, die speziell der Umsetzung von Art 80 Abs 2 der DSGVO im deutschen Recht dienen sollten. Der EuGH hielt jedoch fest, dass ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband grundsätzlich ein im öffentlichen Interesse liegendes Ziel verfolgen kann, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, und die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann.
Daher kann von einer solchen Einrichtung für die Zwecke der Erhebung einer Verbandsklage im Sinne von Art 80 Abs 2 DSGVO nicht verlangt werden kann, dass sie die Person, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der DSGVO verstößt, konkret betroffen ist, im Voraus individuell ermittelt. Vielmehr reicht es für die Anerkennung der Klagebefugnis einer solchen Einrichtung aus, geltend zu machen, dass die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen könne, ohne dass ein der betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte tatsächlich entstandener Schaden nachgewiesen werden müsste.
Die Entscheidung hat über die deutschen Grenzen hinweg auch maßgeblichen Einfluss auf Österreich. Es ist anzunehmen, dass zukünftig österreichische Verbraucherschutzverbände (zB der VKI) etwa gestützt auf UWG oder KSchG selbständig Klage wegen Datenschutzverstößen einbringen können, ohne dass es einer Beauftragung eines konkret Betroffenen bedarf. Dazu ist anzumerken, dass der Oberste Gerichtshof (OGH) dem EuGH ebenfalls eine ähnliche Vorlagefrage vorgelegt hat (C-701/20), die voraussichtlich ähnlich entschieden wird.
DISCLAIMER
Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.