Nach einem aktuellen Urteil des Europäische Gerichtshofs (EuGH, Urteil vom 28.04.2022, Az. C-319/29, ECLI:EU:C:2022:322) können Verbraucherschutzverbände Datenschutzverstößen von Unternehmen ohne Beteiligung der Betroffenen geltend machen. Vor diesem Hintergrund ist in der nächsten Zeit mit Abmahnungen und Klagen von Verbraucherschutzverbänden in Bezug auf die Einhaltung von Datenschutzvorschriften zu rechnen. Das Urteil des EuGHs sollte daher zum Anlass genommen werden, die Einhaltung des Datenschutzes in der eigenen Organisation zu überprüfen und ggfs. vorhandene Datenschutzverstöße zu abzustellen.
Sachverhalt
Der Verbraucherzentrale Bundesverband e.V. (VZBV) beanstandete bei der Meta Platforms Ireland Ltd. („Meta“; ehemals Facebook) unlauterere Hinweise im App-Zentrum von Meta, eine nicht ordnungsgemäße datenschutzrechtliche Einwilligung sowie eine unangemessene Benachteiligung der Nutzer durch die Allgemeinen Geschäftsbedingungen von Meta. Das Landgericht Berlin gab einer entsprechenden Unterlassungsklage des VZBV statt. Die dagegen von Meta eingelegte Berufung vor dem Kammergericht Berlin blieb erfolglos. Daraufhin legte Meta Revision beim BGH gegen die Entscheidung des Kammergerichts Berlin ein.
Die Fragestellung:
Der BGH äußerte im Revisionsverfahren Zweifel an der Klagebefugnis des VZBV. Zwar sei der VZBV nach deutschem Recht gemäß § 8 Abs. 3 UWG, § 3 Abs. 1 S. 1 Nr. 1 UKlaG klagebefugt. Gleichwohl könnten der Klagebefugnis die vorrangig anzuwendenden Vorschriften des Art. 80 Abs. 1 DSGVO und Art. 80 Abs. 2 DSGVO entgegenstehen. So könnte der VZBV als Verbraucherschutzverband nicht gemäß Art. 80 Abs. 1 DSGVO klagebefugt sein, da die Unterlassungsklage nicht – wie nach dem Wortlaut des Art. 80 Abs. 1 DSGVO erforderlich – im Auftrag oder im Namen einer betroffenen Person zur Durchsetzung ihrer persönlichen Rechte erhoben wurde. Eine Klagebefugnis ergäbe sich auch nicht ausdrücklich aus Art. 80 Abs. 2 DSGVO, da hierfür eine tatsächliche Rechtsverletzung bei der betroffenen Person erforderlich sei.
Der BGH legte daher dem EuGH im Wege eines Vorabentscheidungsverfahrens die Frage vor, ob Art. 80 Abs. 1 und 2 DSGVO nationalen Vorschriften, die ein Verbandsklagerecht vorsehen, entgegenstehen.
Die Entscheidung:
Der EuGH hat entschieden, dass Art. 80 Abs. 1 und 2 DSGVO nationalen Regelungen, die ein Verbandsklagerecht für Verbraucherschutzverbänden vorsehen, nicht entgegenstehen.
Dabei hat der EuGH Bezug auf seine bisherige Rechtsprechung zur Datenschutzrichtlinie (DSLR) genommen. Danach sehe die DSLR zwar keine Verpflichtung der Mitgliedstaaten vor, ein Verbandsklagerecht für Verbraucherschutzverbände zu schaffen. Sie biete allerdings den Mitgliedstaaten bereits die Möglichkeit, eine entsprechende Klagebefugnis für Verbände zu schaffen.
An dieser Rechtsprechung hat der EuGH im Ergebnis festgehalten. Art. 80 Abs. 2 DSGVO gewähre den Mitgliedstaaten trotz des Ziels der umfassenden Harmonisierung einen Ermessensspielraum. Diesen Spielraum kann der nationale Gesetzgeber nutzen, um zum Zwecke der effektiven Durchsetzung der DSGVO ein im nationalen Recht verankertes Verbandsklagerecht durchzusetzen. Der Verband muss dabei nicht eine oder mehrere Personen im Voraus individualisieren. Die Klagebefugnis unterliegt keiner Prüfung, ob im Einzelfall die Rechte bestimmter Personen verletzt wurden. Vielmehr genügt es, dass eine Verarbeitung personenbezogener Daten gegen Bestimmungen der DSGVO verstößt, die grundsätzlich die Rechte des Einzelnen schützen sollen und somit die Möglichkeit besteht, dass die Rechte identifizierter oder identifizierbarer Personen verletzt werden können.
Im Falle der Klage des VZBV gegen Meta hat der EuGH daher die Klagebefugnis bejaht.
Praktische Relevanz und Ausblick:
Mit seiner Entscheidung hat der EuGH klargestellt, dass Verbraucherschutzverbände bei Datenschutzverstößen Unternehmen abmahnen und gerichtlich auf Unterlassung in Anspruch nehmen können. Dies betrifft beispielsweise fehlerhafte Cookie-Banner, unvollständige Datenschutzerklärungen oder Datenschutzverstöße bei der Kommunikation zu Marketingzwecken (z.B. Newsletter). Zugleich dürften Verbraucherschutzverbände daran interessiert sein, eine gerichtliche Auslegung und Klärung von verbraucherschützenden Vorschriften der DSGVO zu erwirken. Vor diesem Hintergrund ist in der nächsten Zeit mit vermehrten Abmahnungen und Klagen von Verbraucherschutzverbänden zu rechnen. Einmal mehr sollte das Urteil des EuGHs daher zum Anlass genommen werden, die Einhaltung des Datenschutzes in der eigenen Organisation zu überprüfen und ggfs. vorhandene Datenschutzverstöße zu beseitigen.
Bei Fragen wenden Sie sich gerne an uns.
Ihre Ansprechpartner: Dr. Stefan Bischoff; Markus Heinrich
