Skip to content

BGH legt EuGH vor: Sind Verbraucherschutzverbände befugt Datenschutzverstöße zu verfolgen und Unterlassungsansprüche geltend zu machen ?

BGH
Beschluss vom 28.05.2020
I ZR 186/17

Der BGH hat dem EuGH die Frage zur Entscheidung vorgelegt, ob Verbraucherschutzverbände befugt sind Datenschutzverstöße zu verfolgen und diesbezüglich Unterlassungsansprüche geltend zu machen.

Die Pressemitteilung des BGH:

BGH legt EuGH die Frage vor, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundes-gerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg. Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf Klageabweisung weiter.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen. Diese Frage ist in der Rechtsprechung der Instanzgerichte und der rechtswissenschaftlichen Literatur umstritten. Es wird die Auffassung vertreten, dass die Datenschutzgrundverordnung eine abschließende Regelung zur Durchsetzung der in dieser Verordnung getroffenen datenschutzrechtlichen Bestimmungen enthält und eine Klagebefugnis von Verbänden deshalb nur unter den - im Streitfall nicht erfüllten - Voraussetzungen des Art. 80 der Datenschutzgrundverordnung besteht. Andere halten die in der Datenschutzgrundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und Verbände daher weiterhin für befugt, Unterlassungsansprüche wegen des Verstoßes gegen datenschutzrechtliche Bestimmungen unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person im Wege der Klage vor den Zivilgerichten durchzusetzen. Der Gerichtshof der Europäischen Union hat zwar bereits entschieden, dass die Regelungen der - bis zum Inkarafttreten der Datenschutzgrundverordnung am 25. Mai 2018 geltenden - Richtlinie 95/46/EG (Datenschutzrichtlinie) einer Klagebefugnis von Verbänden nicht entgegenstehen (Urteil vom 29. Juli 2019 - C-40/17). Dieser Entscheidung ist aber nicht zu entnehmen, ob diese Klagebefugnis unter Geltung der an die Stelle der Datenschutzrichtlinie getretenen Datenschutzgrundverordnung fortbesteht.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

Die maßgebliche Vorschrift lautet:

Verordnung (EU) 2016/679 (Datenschutzgrundverordnung)

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

Artikel 84 Sanktionen

(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.





Datenschutzkonferenz zur DSGVO: Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen

Die Datenschutzkonferenz hat ihr Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht.

Verbandsklagerecht bei Datenschutzverstößen ab 24.02.2016 - Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts

Das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts wurde heute im Bundesgesetzblatt verkündet und tritt somit am 24.02.2016 in Kraft. Damit wird die Verfolgung von Datenschutzverstößen durch Verbrauchschutzverbände und Abmahnvereine erleichtert. Zahlreiche Abmahnungen auf Grundlage von Verstößen gegen das Datenschutzrecht dürften nicht lange auf sich warten lassen.


EuGH: Datenschutzrecht eines Mitgliedstaats kann auf eine ausländische Gesellschaft angewendet werden wenn diese dort mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit aus�

EuGH
Urteil vom 01.10.2015
C‑230/14
Weltimmo


Der EuGH hat entschieden, dass das Datenschutzrecht eines Mitgliedstaats auf eine ausländische Gesellschaft angewendet werden kann, wenn diese dort mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit ausübt

Die Pressemitteilung des EuGH:

"Das Datenschutzrecht eines Mitgliedstaats kann auf eine ausländische Gesellschaft angewendet werden, die in diesem Staat mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit ausübt

Die Datenschutzrichtlinie sieht vor, dass jeder Mitgliedstaat eine oder mehrere öffentliche Stellen benennt, die beauftragt werden, die Anwendung der von den Mitgliedstaaten auf der Grundlage der Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Jede Kontrollstelle ist dafür zuständig, im Hoheitsgebiet ihres Mitgliedstaats insbesondere Untersuchungs- und Einwirkungsbefugnisse auszuüben, und dies unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Zudem kann jede Kontrollstelle von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.

Weltimmo, eine in der Slowakei eingetragene Gesellschaft, betreibt eine Website zur Vermittlung von in Ungarn belegenen Immobilien. In diesem Rahmen verarbeitet sie personenbezogene Daten der Inserenten. Die Inserate sind einen Monat lang kostenlos, danach muss dafür bezahlt werden. Zahlreiche Inserenten verlangten per E-Mail die Löschung ihrer Inserate am Ende des ersten Monats und gleichzeitig die Löschung der sie betreffenden personenbezogenen Daten. Weltimmo kam dieser Löschung jedoch nicht nach und stellte den Betreffenden ihre Dienstleistungen in Rechnung. Da die in Rechnung gestellten Beträge nicht bezahlt wurden, übermittelte Weltimmo die personenbezogenen Daten der Inserenten an verschiedene Inkassounternehmen. Die Inserenten reichten bei der ungarischen Datenschutzbehörde Beschwerden ein. Diese verhängte gegen Weltimmo ein Bußgeld von 10 Mio. ungarischen Forint (HUF) (etwa 32 000 Euro) wegen Verletzung des ungarischen Gesetzes, mit dem die Richtlinie umgesetzt wird.

Weltimmo hat daraufhin die Entscheidung der Kontrollstelle bei den ungarischen Gerichten angefochten. Die Kúria (Oberster Gerichtshof, Ungarn), die zur Entscheidung über den Rechtsstreit im Kassationsverfahren berufen ist, fragt den Gerichtshof, ob im vorliegenden Fall die Richtlinie der ungarischen Kontrollstelle erlaubt, das auf der Grundlage der Richtlinie erlassene
ungarische Recht anzuwenden und das in diesem Gesetz vorgesehene Bußgeld zu verhängen.

Mit Urteil vom heutigen Tag weist der Gerichtshof darauf hin, dass nach der Richtlinie jeder Mitgliedstaat die Vorschriften anwenden muss, die er zur Umsetzung dieser Richtlinie erlassen hat, sofern die Datenverarbeitung im Rahmen der in seinem Hoheitsgebiet durchgeführten Tätigkeiten einer Niederlassung ausgeführt wird, die der für die Verarbeitung Verantwortliche besitzt. In diesem Zusammenhang stellt der Gerichtshof fest, dass das Vorhandensein eines einzigen Vertreters unter bestimmten Umständen ausreichen kann, um eine Niederlassung zu begründen, wenn dieser Vertreter mit einem ausreichenden Grad an Beständigkeit für die Erbringung der betreffenden Dienstleistungen im fraglichen Mitgliedstaat tätig ist. Zudem führt der Gerichtshof aus, dass der Begriff der Niederlassung jede tatsächliche und effektive Tätigkeit, die mittels einer festen Einrichtung ausgeübt wird, umfasst, selbst wenn sie nur geringfügig ist.

Im vorliegenden Fall stellt der Gerichtshof fest, dass Weltimmo unstreitig eine tatsächliche und effektive Tätigkeit in Ungarn ausübt. Den Erläuterungen der ungarischen Kontrollstelle zufolge verfügt Weltimmo über einen Vertreter in Ungarn, der im slowakischen Handelsregister unter einer Adresse in Ungarn aufgeführt ist und versucht hat, mit den Inserenten über die Begleichung der unbezahlten Forderungen zu verhandeln. Dieser Vertreter hat den Kontakt zwischen dieser Gesellschaft und den Inserenten hergestellt und die Gesellschaft im Verwaltungsverfahren und vor Gericht vertreten. Weltimmo hat außerdem in Ungarn ein Bankkonto zur Einziehung ihrer Forderungen eröffnet und nutzt dort zur Abwicklung ihrer laufenden Geschäfte ein Postfach.

Mit diesen Angaben, die vom vorlegenden Gericht zu prüfen sind, kann der Nachweis erbracht werden, dass in Ungarn eine „Niederlassung“ im Sinne der Richtlinie besteht. Wenn der Nachweis gelingt, unterliegt die Tätigkeit von Weltimmo dem ungarischen Datenschutzrecht.

Der Gerichtshof weist darauf hin, dass jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von allen Mitgliedstaaten zur Umsetzung der Richtlinie 95/46 erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden. Daher kann sich jede Person zum Schutz der die Person betreffenden Rechte und Freiheiten bei der
Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden, selbst wenn das auf diese Verarbeitung anwendbare Recht das eines anderen Mitgliedstaats ist. Im Falle der Anwendung des Rechts eines anderen Mitgliedstaats sind jedoch die Untersuchungsbefugnisse der Kontrollstelle unter Einhaltung insbesondere der territorialen
Souveränität der anderen Mitgliedstaaten auszuüben, so dass eine nationale Kontrollstelle keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen darf. Sollte das vorlegende Gericht feststellen, dass Weltimmo in Ungarn nicht über eine „Niederlassung“ im Sinne der Richtlinie verfügt, und dass das auf die fragliche Verarbeitung anwendbare Recht daher das eines anderen Mitgliedstaats ist, darf die ungarische Kontrollstelle folglich nicht die Sanktionsbefugnisse ausüben, die ihr durch das ungarische Recht übertragen worden sind.

Nach der in der Richtlinie vorgesehenen Verpflichtung zur Zusammenarbeit obliegt es jedoch dieser Kontrollstelle, die Kontrollstelle des betreffenden anderen Mitgliedstaats zu ersuchen, einen etwaigen Verstoß gegen das Recht dieses Staates festzustellen und die allenfalls in diesem Recht vorgesehenen Sanktionen zu verhängen."


Den Volltext der Entscheidung finden Sie hier:



Verbraucherschutzministerium plant eigene Haftung der Anzeigenkunden für Datenschutzverstöße der Betreiber von Facebook & Co.

Wie in einem Beitrag bei Spiegel Online zu lesen ist, plant das Verbraucherschutzministerium, dass nicht nur Internetseitenbetreiber, sondern auch deren Anzeigenkunden für Datenschutzverstöße haften und in Anspruch genommen werden können. Dabei sollen Verbände und Mitbewerber sogar die Möglichkeit bekommen, die Anzeigenkunden direkt abzumahnen. (Serien-)Abmahner würde dies sicher freuen, da es nahezu unmöglich ist, alle gesetzlichen Vorgaben einzuhalten. Wie es gelingen soll, eine Haftungsregelung zu finden, die nicht zu einer uferlosen und unkontrollierbaren Haftung der Internetnutzer führt, ist nicht ersichtlich. Dies gilt umso mehr, als sich diese Regelung auf alle Webseiten und nicht nur Social-Media-Angebote beziehen müsste. Zudem ist zu befürchten, dass gerade die Verbände dann – leider wie so oft – nur kleinere Anbieter abmahnen und der rechtlichen Auseinandersetzung mit den großen Portalbetreibern aus dem Weg gehen werden.

Außerdem müsste der Gesetzgeber zunächst seine Hausaufgaben machen und das deutsche Datenschutzrecht komplett entrümpeln und reformieren, um die zahlreichen Unstimmigkeiten der gesetzlichen Regelungen zu beseitigen und die vielen Streitfragen eindeutig zu klären. Wie ein Blick in die Gesetzgebung in das letzte Jahrzehnt zeigt, dürfte der Gesetzgeber bereits daran kläglich scheitern.