EuGH ebnet Verbraucherschutzverbänden den Weg auch wegen Datenschutzverstößen Unternehmen abzumahnen. Er beseitigt Auslegungsunsicherheiten bei der Anwendung der DSGVO in Deutschland.
Der EuGH hat mit seinem Urteil vom 28. April 2022 (Az. C-319/20) entschieden, dass (auch) Verbraucherschutzverbände berechtigt sind, aufgrund der Verletzung des Schutzes personenbezogener Daten gegen (mutmaßliche) Verletzer vorzugehen. Dies steht den Verbänden auch dann zu, wenn ihnen kein konkreter Auftrag von einem Verbraucher* erteilt wurde, und unabhängig davon, ob konkrete Rechte verletzt worden sind.
Genauer hat der EuGH über eine entsprechende deutsche Regelung aus dem UWG bzw. UKlaG entschieden, die es Verbraucherschutzverbänden ermöglicht, in solchen Fällen gegen unzulässige geschäftliche Handlungen vorzugehen.
Klage des Verbraucherzentrale Bundesverbands gegen soziales Netzwerk
Dem Fall des EuGH lag eine Klage des Verbraucherzentrale Bundesverbands gegen das Tool eines Betreibers eines sozialen Netzwerks zugrunde.
Das Tool ermöglicht es den Nutzern, kostenlos diverse Spiele zu spielen. Vor dem Spiel wies der Betreiber den Nutzer über ein Fenster darauf hin, dass der Spiel-Herausgeber auch berechtigt ist, gewisse personenbezogene Daten automatisch abzufragen und Daten (inklusive Fotos aus dem sozialen Netzwerk) sowie Spielergebnisse zu veröffentlichen. Mit der Teilnahme an den Spielen stimmte der Nutzer den allgemeinen Geschäftsbedingungen und der Datennutzung zu.
Mit der Klage hatte der Bundesverband gerügt, dass der Betreiber eine unzulässige geschäftliche Handlung i.S.d. UWG vornehme. Das geschilderte Vorgehen über den Hinweis stelle keine wirksame Einwilligung in die Erhebung der Daten dar. Außerdem sei die Einräumung der Möglichkeit, die Daten des Nutzers zu veröffentlichen, eine unangemessen benachteiligende allgemeine Geschäftsbedingung. Der Bundesverband sah sich als qualifizierte Einrichtung gem. § 8 Abs. 3 Nr. 3 UWG i.V.m. § 3 Abs. 1 S. 1 Nr. 1 und § 4 UKlaG zur Klage berechtigt.
Einen Auftrag eines Verbrauchers hatte der Verbraucherzentrale Bundesverband nicht erhalten und machte auch keine konkrete Verletzung eines einzelnen Verbrauchers geltend.
BGH zog abschließende Regelungen der DSGVO in Betracht
Das Landgericht Berlin verurteilte den Betreiber entsprechend der Anträge des Bundesverbands. Auch die Berufung des Betreibers beim Kammergericht Berlin war erfolglos. Zwar sah auch der BGH die Klage als begründet an, zweifelte jedoch an der Klagebefugnis des Verbraucherzentrale Bundesverbands.
Grds. kann der Bundesverband nach den zuvor genannten Vorschriften des UWG und des UKlaG klagen. Es stellte sich für den BGH jedoch die Frage, ob die DSGVO einer solchen Klage als abschließende Regelung entgegenstünde. Insbesondere könnten allein die Aufsichtsbehörden zur Geltendmachung der jeweiligen Rechte berechtigt sein. Ebenso war es für den BGH fraglich, ob die objektivrechtliche Durchsetzung, d.h. ohne einen konkreten Klageauftrag, gem. Art. 80 Abs. 2 DSGVO überhaupt zulässig sei.
Im Rahmen des Vorabentscheidungsverfahrens legte der BGH dem EuGH daher die Frage vor, ob Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO den deutschen Regelungen im UWG und UKlaG, die auch den Verbraucherverband zur Klage berechtigten, entgegenstünden. Es handelt sich hierbei um das sog. Gültigkeitsverfahren gem. Art. 267 Abs. 1b Var. 1 AEUV. Als letztinstanzliches Gericht ist der BGH zur Vorlage zum EuGH verpflichtet, soweit europäisches Recht im Rechtsstreit in Frage steht.
DSGVO eröffnet Möglichkeiten für nationale Regelungen
Der EuGH wies ausdrücklich darauf hin, dass die Regelungen der DSGVO in Bezug auf den Schutz personenbezogener Daten als vollharmonisierend anzusehen seien. Die DSGVO lässt mit Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 jedoch Spielräume für die jeweiligen Mitgliedstaaten, zusätzliche nationale Vorschriften zu erlassen. Es bestehen insoweit Ermessensspielräume für die Mitgliedstaaten, eine Regelung zu erlassen, nach der Verbände oder Organisationen wegen der Verletzung von DSGVO-Vorschriften Klage erheben könnten.
Die Tätigkeit des Verbraucherzentrale Bundesverbands ist nach Ansicht des EuGH allein nach Art. 80 Abs. 2 DSGVO zu beurteilen, da die anderweitigen Regelungen Art. 80 Abs. 1 (Beauftragung einer Organisation durch Betroffenen) und Art. 84 DSGVO (verwaltungs- und strafrechtliche Sanktionen) nicht einschlägig sind. Art. 80 Abs. 2 DSGVO lässt es jedoch zu, dass Verbände auf objektivrechtlicher Basis Verbraucherrechte, einschließlich Verletzungen des Schutzes personenbezogener Daten, durchsetzen.
Voraussetzungen, dass bestimmte Anforderungen an den persönlichen und sachlichen Anwendungsbereich eingehalten werden
Die nationalen Regelungen, die auf Basis von Art. 80 Abs. 2 DSGVO erlassen werden, so der EuGH, müssen allerdings bestimmte Anforderungen an den persönlichen sowie sachlichen Anwendungsbereich stellen.
In persönlicher Hinsicht muss die Einrichtung, Organisation oder der Verband ohne Gewinnerzielungsabsicht handeln. In sachlicher Hinsicht bedarf es keines Auftrags der betroffenen Person, jedoch muss die Organisation geltend machen, dass
ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind
(Wortlaut aus Art. 80 Abs. 2 DSGVO). Dies folgt daraus, dass eine „betroffene Person“ nach Art. 4 Nr. 1 DSGVO derart definiert ist, dass dies nicht nur identifizierte, sondern ebenso identifizierbare Personen umfasst. Ebenso wenig verlangt die Vorschrift die konkrete Verletzung, sondern lediglich die Einschätzung der Organisation („ihres Erachtens“), dass eine Rechtsverletzung vorliegt. Der EuGH sieht diese geringen Anforderungen für Organisationen dadurch gerechtfertigt, dass so ein hohes Schutzniveau für die betroffenen Personen entsteht.
Zulässigkeit der Geltendmachung von DSGVO-Verstößen bei Verbraucherschutzverfahren?
Der EuGH sieht im Urteil auch kein Problem darin, dass die Verletzung des Schutzes personenbezogener Daten in einem Verfahren gerügt wurde, das eigentlich der Geltendmachung und Durchsetzung von Verbraucherrechten diene, da es nicht auszuschließen sei, dass die Verletzung von Verbraucherrechten mit der Verletzung von DSGVO-Vorgaben einhergehe.
EuGH eröffnet Weg für Datenschutz-Klagen
Für die Verbraucherverbände ist das Urteil des EuGH sicherlich positiv, können diese doch ihrer Arbeit weiter nachgehen und nun auch Datenschutzverstöße abmahnen. Ob es künftig hierdurch vermehrt zu Datenschutz-Klagen kommen wird, bleibt abzuwarten. Grds. dürften sich hierdurch zumindest weitere Möglichkeiten zur Geltendmachung und Verfolgung von Datenschutzverstößen ergeben haben.
*Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.