Der EuGH sorgt mit seinem Urteil vom 11.07.2024 für weitere Klarheit bezüglich der Befugnisse von Verbraucherverbänden, gegen DSGVO-Verstöße vorzugehen.
Die Befugnis von Verbraucherschutzverbänden, auch Verletzungen der DSGVO klageweise geltend zu machen, war für Verantwortliche bislang ein Schreckgespenst, dessen tatsächliche Bedeutung nicht ganz klar war. Der EuGH sorgt durch die Beantwortung verschiedener Vorlagefragen nun nach und nach für Klarheit.
1. Runde des Vorlageverfahrens bereits im Jahr 2022 entschieden
Hintergrund des Vorlageverfahrens war ein vom Bundesverband der Verbraucherzentralen und Verbraucherverbände (Verbraucherzentrale Bundesverband) angestrengtes Verfahren gegen Meta Platforms Ireland (vormals Facebook Ireland Ltd.), in dem es um den als „App-Zentrum“ bezeichneten Bereich von Facebook ging. Dieser gab Facebook-Nutzern* die Möglichkeit, kostenlos auf verschiedene Spiele von Drittanbietern zuzugreifen. Der Nutzer wurde beim Zugriff auf einige dieser Spiele darüber informiert, dass verschiedene personenbezogene Daten an den jeweiligen Anbieter weitergegeben und von diesem weiterverarbeitet und zum Teil auch veröffentlicht würden und der Nutzer den AGB sowie Datenschutzhinweisen durch die Nutzung zustimme.
Der Verbraucherzentrale Bundesverband hielt diese Hinweise unter verschiedenen Gesichtspunkten für unlauter und beklagte unter anderem das Fehlen einer wirksamen Einwilligung nach der DSGVO. Nachdem dem Bundesverband in den ersten zwei Instanzen Recht gegeben wurde, legte das Gericht im Revisionsverfahren dem EuGH zunächst Fragen nach der Klagebefugnis von Verbraucherschutzverbänden vor, konkret dazu, ob diese auch ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte einer betroffenen Person Klage erheben können, ohne sich in Widerspruch zu Art. 80 Abs. 2 DSGVO zu setzen (Pressemitteilung des Bundesgerichtshofs). Der EuGH beantwortete dies im Jahr 2022 dergestalt, dass das möglich sei, sofern die betreffende Datenverarbeitung die unter der DSGVO bestehenden Rechte identifizierter oder identifizierbarer natürlicher Personen beeinträchtigen kann (Az. C-319/20; Blogbeiträge „Verbraucherschutzverbände können wegen DSGVO-Verletzungen Verbandsklagen erheben″ sowie „Klagebefugnis von Verbraucherverbänden bei DSGVO-Verstößen – Zweite Runde beim EuGH„).
2. Runde des Vorlageverfahrens: Was bedeutet „infolge einer Verarbeitung“?
In der Folge setzte das vorlegende Gericht das Verfahren abermals aus, um vom EuGH die Frage klären zu lassen, ob die von Art. 80 Abs. 2 DSGVO vorausgesetzte Geltendmachung einer Rechtsverletzung „infolge einer Verarbeitung“ auch in der fehlenden Erfüllung von (einer Verarbeitung eigentlich vorhergehenden bzw. diese begleitenden) Informationspflichten liegen kann (Pressemitteilung des Bundesgerichtshofs). Diese Frage bejahte der EuGH nunmehr mit Entscheidung vom 11. Juli 2024 (Az. C-757/22).
Zur Begründung verwies der EuGH auf das hohe Schutzniveau für die Grundrechte und Grundfreiheiten natürlicher Personen, welches durch die DSGVO erreicht werden soll. Bei den Informationspflichten handelt es sich um Pflichten, die ein Verantwortlicher bei jeder Datenverarbeitung beachten muss und die damit eine Voraussetzung für eine rechtmäßigen Datenverarbeitung darstellt, zumal wenn die Rechtsgrundlage der Verarbeitung eine Einwilligung des Betroffenen ist. Daher seien diese durch die Verbandsklage nach Art. 80 Abs. 2 DSGVO geschützt und eine Verarbeitung personenbezogener Daten unter Verletzung der Informationsrechte des Betroffenen ist nach der Meinung des EuGH als ein Verstoß gegen die Rechte der betroffenen Person „infolge einer Verarbeitung“ i.S.v. Art. 80 Abs. 2 DSGVO anzusehen.
Klare Befugnisse bedeuten nicht zwangsläufig mehr Verfahren
Für Betroffene und Verantwortliche bedeutet dies, dass Verbraucherschutzverbände zum einen nicht nur auf Veranlassung Betroffener tätig werden können, sondern auch dann, wenn ein Datenschutzverstoß lediglich identifizierbare Personen betrifft – so weit, so bekannt bereits durch die erste Entscheidung des EuGH im Vorlageverfahren. Zum anderen bedeutet dies, dass wohl alle Arten von DSGVO-Verstößen, die eine Datenverarbeitung rechtswidrig machen können, von Verbraucherschutzverbänden verfolgt werden können, auch solche, die einer Datenverarbeitung im eigentlichen Sinne vorgehen oder diese begleiten und ihr nicht lediglich nachfolgen.
Verantwortliche sollten weiterhin ihre Datenschutz-Compliance, einschließlich der Erfüllung der Informationspflichten, im Blick zu haben. Ob das Urteil des EuGH in der Praxis Auswirkungen auf die Häufigkeit von Klagen von Verbraucherschutzverbänden in Bezug auf behauptete DSGVO-Verstöße hat, bleibt abzuwarten.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.