Skip to content

EuGH: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit DSGVO zu vereinbaren und unionsrechtskonform

EuGH
Urteil vom 28.04.2022
C-319/20
Meta Platforms Ireland Limited, vormals Facebook Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.


Der EuGH hat entschieden, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit der DSGVO zu vereinbaren und somit unionsrechtskonform ist.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Pressemitteilung des EuGH:

Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben

Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenenPerson auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden Meta Platforms Ireland, vormals Facebook Ireland, ist die für die Verarbeitung personenbezogener Daten von Nutzern des sozialen Netzwerks Facebook in der Union Verantwortliche.

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland, im Folgenden: Bundesverband) erhob gegen Meta Platforms Ireland eine Unterlassungsklage, weil diese ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht habe und dabei gegen die Vorschriften zum Schutz personenbezogener Daten, zur Bekämpfung unlauteren Wettbewerbs und zum Schutz der Verbraucher verstoßen habe.

Der Bundesgerichtshof (Deutschland) hält die Klage des Bundesverbands für begründet, hegt aber Zweifel an ihrer Zulässigkeit.
Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Außerdem merkt er an, dass aus der DSGVO abgeleitet werden könne, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege.

In seinem heutigen Urteil stellt der Gerichtshof fest, dass die DSGVO einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Vorab weist der Gerichtshof darauf hin, dass mit der DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden ist. Allerdings eröffnen einige Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen. Insoweit haben die Mitgliedstaaten insbesondere die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen geknüpft ist.

Zunächst einmal fällt ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte der Verbraucher zu gewährleisten. Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken kann nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen.

Ferner kann eine solche Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens“ die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind, ohne dass von ihr verlangt würde, dass sie die Person, die von der Datenverarbeitung
konkret betroffen ist, im Voraus individuell ermittelt und das Vorliegen einer konkreten Verletzung der Rechte aus den Datenschutzvorschriften behauptet.

Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.

Schließlich steht die DSGVO nicht nationalen Bestimmungen entgegen, nach denen im Wege von Verbandsklagen gegen Verletzungen der in dieser Verordnung vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorgegangen werden kann.


Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen unionsrechtskonform

EuGH-Generalanwalt
Schlussanträge vom 02.12.2021
C-319/20
Facebook Ireland


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen unionsrechtskonform ist.

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Richard de la Tour können die Mitgliedstaaten Verbraucherschutzverbänden erlauben, gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen zu erheben

Diese Klagen müssen auf die Verletzung von Rechten gestützt sein, die den betroffenen Personen unmittelbar aus der Datenschutz-Grundverordnung erwachsen.

In Deutschland wirft der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (im Folgenden: Bundesverband) Facebook Ireland vor, bei der Bereitstellung kostenloser Spiele von Drittanbietern im „App-Zentrum“ der Plattform gegen Vorschriften über den Schutz personenbezogener Daten, zur Bekämpfung des unlauteren Wettbewerbs und über den Verbraucherschutz verstoßen zu haben. In diesem Zusammenhang erhob der Bundesverband vor den deutschen Gerichten Unterlassungsklage gegen Facebook Ireland.

Der Bundesgerichtshof (Deutschland) führt aus, dass Facebook Ireland den Nutzern die erforderlichen Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten nicht (in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache) übermittelt habe. Somit habe Facebook Ireland
gegen die Datenschutz-Grundverordnung verstoßen.

Der Bundesgerichtshof hat jedoch Zweifel daran, ob die Klage des Bundesverbands zulässig ist. Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen.

Aus dem Umstand, dass die Datenschutz-Grundverordnung den Aufsichtsbehörden umfangreiche Überwachungs-, Untersuchungs- und Abhilfebefugnisse einräume, könnte abgeleitet werden, dass es grundsätzlich Sache dieser Behörden sei, die Bestimmungen dieser Verordnung durchzusetzen.

Daher hat der Bundesgerichtshof den Gerichtshof um Auslegung der Datenschutz-Grundverordnung ersucht.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Jean Richard de la Tour dem Gerichtshof vor, die Datenschutz-Grundverordnung dahin auszulegen, dass sie einer nationalen Regelung nicht entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken, des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben, wenn
die betreffende Verbandsklage auf die Wahrung von Rechten gerichtet ist, die den Personen, die von der beanstandeten Verarbeitung betroffen sind, unmittelbar aus dieser Verordnung erwachsen.

Der Generalanwalt weist darauf hin, dass sich der Gerichtshof in seinem Urteil Fashion ID3 im Hinblick auf die Richtlinie 95/464
, der Vorgängervorschrift der Datenschutz-Grundverordnung, zu einer ähnlichen Frage geäußert habe. Der Gerichtshof habe für Recht erkannt, dass diese Richtlinie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegensteht.

Nach Auffassung des Generalanwalts können weder die Ersetzung der Richtlinie 95/46 durch eine Verordnung noch der Umstand, dass die Datenschutz-Grundverordnung nunmehr der Vertretung von betroffenen Personen bei Klagen einen Artikel widmet, die Feststellung des Gerichtshofs in diesem Urteil in Frage stellen.

So sei es den Mitgliedstaaten immer noch gestattet, bestimmten Einrichtungen die Möglichkeit einzuräumen, ohne Auftrag der betroffenen Personen und ohne dass vorgebracht werden müsste, dass konkrete Fälle im Hinblick auf individuell bezeichnete
Personen vorlägen, Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher zu erheben, wenn ein Verstoß gegen Bestimmungen dieser Verordnung geltend gemacht werde, mit denen den betroffenen Personen subjektive Rechte verliehen werden sollten.

Dies sei bei der Unterlassungsklage des Bundesverbands gegen Facebook Ireland der Fall. Der Generalanwalt führt ferner aus, dass die Datenschutz-Grundverordnung nationalen Bestimmungen nicht entgegenstehe, die einen Verband zur Wahrung von Verbraucherinteressen die Befugnis verliehen, über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken eine Unterlassungsklage zur Wahrung der durch diese Verordnung verliehenen Rechte zu erheben.

Solche Vorschriften können nämlich ähnliche Bestimmungen wie die der Datenschutz-Grundverordnung enthalten, insbesondere in Bezug auf die Information der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten. Folglich könne ein Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig zu einem Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken führen. Nach Auffassung des Generalanwalts kommt die Wahrung der Kollektivinteressen der Verbraucher durch Verbände dem Ziel der Datenschutz-Grundverordnung, ein hohes Schutzniveau für personenbezogene Daten zu schaffen, besonders entgegen.


Die vollständigen Schlussanträge finden Sie hier:

KG Berlin: Deutsches Datenschutzrecht für Facebook - unzureichende Einwilligungserklärung zur Weitergabe von Daten an App- und Spiele-Anbieter

KG Berlin
Urteil vom 22.09.2017
5 U 155/14


Das KG Berlin hat entschieden, dass sich Facebook an deutsches Datenschutzrecht zu halten hat und dass die streitgegenständlichen Einwilligungserklärungen zur Weitergabe von Daten an App- und Spiele-Anbieter unzureichend und damit unwirksam sind.

Siehe zur Vorinstanz: LG Berlin: Facebook - Einwilligung im App-Zentrum zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über Umfang unwirksam

Aus den Entscheidungsgründen:

"Diese Tätigkeit der Facebook Germany GmbH stellt einen hinreichenden Rahmen für die hier streitgegenständlichen Datenverarbeitungsvorgänge dar.

Insoweit müssen die Datenverarbeitungsvorgänge inhaltlich mit dieser Tätigkeit der Niederlassung verbunden sein (vergleiche EuGH Google Spain TZ 55 ff). Der vorliegend streitgegenständliche Internetauftritt der Beklagten ist - wie erörtert - auf Nutzer in Deutschland ausgerichtet und damit in einem besonderen Maß für deutsche Werbekunden sowie an einer Werbung gegenüber deutschen Verbrauchern interessierten Kunden von Bedeutung. Gerade diese Werbekunden soll die Facebook Germany GmbH einwerben und betreuen. Auch die Beklagte unterscheidet nicht Werbekunden (insbesondere auf den Nutzerseiten) und Anbieter von Apps/Anwendungen. Die Beklagte hat nicht gezielt in Abrede gestellt, dass die Facebook Germany GmbH für die Werbung und Betreuung von Anbietern von Anwendungen in Deutschland zuständig ist. Bei kostenpflichtigen Anwendungen kann davon ausgegangen werden, dass die Beklagte an dem Erlös - anteilig oder pauschal - beteiligt ist. Im Ausgangspunkt von Dritten kostenlos angebotene Anwendungen (so wie vorliegend die Spiele) dienen den Spieleranbietern in aller Regel entweder als eigene Werbeplattform für Werbungen anderer Unternehmen oder der kostenlose Teil der Anwendungen ist Werbung für entgeltliche Zusatzleistungen der Anwendungsanbieter. Der Kläger hat beispielhaft für die streitgegenständlichen Anwendungen darauf hingewiesen, dass die in Rede stehenden App-Angebote nur im Ausgangspunkt kostenlos sind und sie auch zusätzliche kostenpflichtige Leistungen beinhalten. Dies hat die Beklagte bei den Erörterungen in der mündlichen Verhandlung vor dem Senat nicht in Abrede gestellt, sondern nur etwa angebotene kostenpflichtige Bücher als
unerheblich angesehen.
[...]
Unerheblich ist vorliegend der Umstand, dass die Beklagte hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung einen engeren Bezug zu den Nutzern in Deutschland hat als die Facebook Germany GmbH. Darauf kommt es nicht entscheidend an.

(1) Grundlage eines Abstellens auf einen solchen engeren Bezug ist die Annahme, die Datenschutzrichtlinie wolle eine Konkurrenz mehrerer nationaler Datenschutzrechte innerhalb der EU vermeiden, so dass allein auf die für die Datenverarbeitung verantwortliche Stelle abzustellen sei (was vorliegend für die Beklagte und damit für irisches Datenschutzrecht sprechen könnte).

(2)
Schon der rechtliche Ausgangspunkt ist nicht überzeugend. Gerade für das Datenschutzrecht fehlt es an einer vollständigen Harmonisierung innerhalb der EU, so dass sogar die Richtlinie über den elektronischen Geschäftsverkehr — wie erörtert - vom Herkunftslandprinzip für den Bereich des Datenschutzes eine Ausnahme bestimmt.

Für ein Gebot, bei mehreren Niederlassungen in der EU nur ein nationales Datenschutzrecht anzuwenden und dabei etwa auf die Niederlassung mit der engsten Verbindung zur streitigen Datenverarbeitung abzustellen, findet sich in der Datenschutzrichtlinie weder nach ihrem Wortlaut noch nach ihrer Ratio und den hierzu getroffenen Erwägungen ein hinreichender Anhalt. Eine Konzentration auf ein nationales Datenschutzrecht kommt nur dann in Betracht, wenn das datenverarbeitende Unternehmen innerhalb der EU seinen Sitz hat und keine (im oben genannten Sinne qualifizierte) Niederlassung in anderen EU-Ländern unterhält. Besteht aber eine solche Niederlassung in einem anderen EU-Land, findet allein Art. 4 Abs. 1 lit. a der Datenschutzrichtlinie Anwendung, der schon nach seinem Wortlaut keinen Anhalt für eine Konzentration auf das Datenschutzrecht eines einzigen EU-Landes enthält. Im Gegenteil: Art. 4 Abs. 1 lit. a Satz 2 der
Datenschutzrichtlinie regelt den Fall einer Mehrzahl von Niederlassungen in verschiedenen Mitgliedstaaten dahin, dass der für die Datenverarbeitung Verantwortliche für "jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält", also das einschlägige nationale Datenschutzrecht für jedes EU-Land (mithin auch mehrere nationale Datenschutzregelungen) anwendet, in dem er eine Niederlassung unterhält. Danach soll der allein in einem einzigen EU-Land ansässige Unternehmer datenschutzrechtlich privilegiert werden, diese Privilegierung aber dann verlieren, wenn er weitergehend mit einer Niederlassung auch in einem anderen EU-Land tätig wird. Mit der Eröffnung einer solchen Niederlassung sind somit auch umfangreichere Verantwortlichkeiten verbunden.

Auch den genannten Entscheidungen des EuGH (Google Spain, Amazon und Weltimmo) ist kein Anhalt für eine Konzentration auf eine Niederlassung zu entnehmen. Dabei ging es sowohl in der Entscheidungen Weltimmo (TZ 17 und TZ 38) als auch in der Entscheidung Amazon (TZ 29 und TZ 80) um eine Mehrzahl von Niederlassungen in der EU. Insoweit verweist der EuGH zu Recht darauf, dass - wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist - er vor allem zur Vermeidung von Umgehungen höherer Datenschutzniveaus sicherstellen muss, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, dass auf ihre jeweiligen Tätigkeiten anwendbar ist (EuGH, aaO, Google Spain, TZ 48; aaO, Weltimmo, TZ 28)."

Den Volltext der Entscheidung finden Sie hier:

LG Berlin: Facebook - Einwilligung im App-Zentrum zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über Umfang unwirksam

LG Berlin
Urteil vom 28.10.2014
16 O 60/13
Facebook - Einwilligung zur Datenweitergabe


Das LG Berlin hat entschieden, dass die im App-Zentrum bei Facebook vorgesehene Lösung zur Erteilung der Einwilligung zur Datenweitergabe an App-Anbieter / Spiele-Anbieter mangels ausreichender Belehrung über die Reichweite der Einwilligung unwirksam ist.

Die Pressemitteilung des vzbv:

"Facebook App-Zentrum: Lösung zur Einwilligung in Datenweitergabe ist rechtswidrig
LG Berlin bestätigt Versäumnisurteil vom 9. September 2013

Das Landgericht Berlin hat ein im September 2013 ergangenes Versäumnisurteil gegen Facebook bestätigt. Das Gericht stützt mit dem Urteil die Rechtsauffassung des Verbraucherzentrale Bundesverbands (vzbv): Nutzer werden in Facebooks App-Zentrum nicht ausreichend über die umfassende Datenweitergabe an App-Anbieter informiert. Die Einwilligung erfolgt nicht bewusst und ist damit rechtswidrig.

Facebook bietet in seinem eigenen App-Zentrum die Möglichkeit an, zahlreiche Apps von Drittanbietern zu nutzen. Dazu gehören beliebte Spiele wie FarmVille oder Café World, Umfragen oder Ratespiele. Durch Klicken auf den Button "Spiel spielen" oder „An Handy laden“ wird die Einwilligung des Nutzers zur umfassenden Datennutzung und -weitergabe unterstellt. Eine Auflistung der Daten, die der App-Anbieter erheben und nutzen will, befindet sich unterhalb des Buttons in kleiner, hellgrauer Schrift. App-Anbieter erhalten danach beispielweise die Erlaubnis, auf den Chat, die Informationen zu Freunden und die persönlichen Kontaktdaten zuzugreifen, sowie auf der Pinnwand des Nutzers zu posten.

Umfassende Zugriffsrechte für Drittanbieter

„Drittanbieter erhalten durch die Einwilligung umfassende Zugriffsrechte auf das Profil und die Kontakte von Facebook-Nutzern, ohne dass sich die Nutzer darüber bewusst sind“, sagt Michaela Zinke, Referentin für Datenschutz im Projekt Verbraucherrechte in der digitalen Welt beim vzbv. „Der Nutzer sagt mit dem Klick auf den Button nicht nur ‚Spiel spielen‘, sondern auch ‚Hier sind alle meine Daten‘.“

Eine solche umfassende Datenweitergabe an Dritte erfordert nach deutschem Recht eine bewusste und informierte Einwilligung eines Nutzers. Nach Auffassung des vzbv ist das bei der Betätigung des Buttons „Spiel spielen“ oder „An Handy laden“ nicht gegeben. Das Landgericht Berlin hat dies mit seinem Urteil bestätigt.

Das Urteil des Landgerichts Berlin vom 28.10.2014 ist noch nicht rechtskräftig. Der vzbv geht davon aus, dass Facebook Berufung einlegen wird."