Skip to content

Volltext BGH liegt vor: Mitbewerber und Verbraucherschutzverbände können DSGVO-Verstöße abmahnen und als Wettbewerbsverstoß gerichtlich geltend machen

BGH
Urteil vom 27.03.2025
I ZR 186/17
App-Zentrum III
Verordnung (EU) 2016/679 Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e, Art. 80 Abs. 2;
UWG § 5a Abs. 1, § 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Nr. 13, § 3 Abs. 1 Satz 1 Nr. 1


Wir hatten bereits in dem Beitrag BGH: Mitbewerber und Verbraucherschutzverbände können Datenschutzverstöße abmahnen und als Wettbewerbsverstoß gerichtlich geltend machen über die Entscheidung berichtet.

Leitsätze des BGH:
a) Qualifizierten Einrichtungen steht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, wegen Verstößen gegen Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne Auftrag einer betroffenen Person wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb, ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Nr. 13 UKlaG, und der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen.

b) In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten gemäß Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO liegt zugleich ein Verstoß gegen Lauterkeitsrecht unter dem Gesichtspunkt des Vorenthaltens einer wesentlichen Information gemäß § 5a Abs. 1 UWG.

c) Ausgehend von der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für internetbasierte Geschäftsmodelle, deren Nutzung der Verbraucher mit der Preisgabe personenbezogener Daten vergütet, kommt den Unterrichtungspflichten gemäß Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO zentrale Bedeutung zu, um sicherzustellen, dass der Verbraucher bei seiner mit einer Nachfrageentscheidung verknüpften Einwilligung in die Verarbeitung personenbezogener Daten über Umfang und Tragweite dieser Einwilligungserklärung möglichst umfassend ins Bild gesetzt wird, um eine informierte Entscheidung treffen zu können.

BGH, Urteil vom 27. März 2025 - I ZR 186/17 - KG Berlin - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

BGH: Mitbewerber und Verbraucherschutzverbände können Datenschutzverstöße abmahnen und als Wettbewerbsverstoß gerichtlich geltend machen

BGH
Urteil vom 27.03.2025 - I ZR 186/17
Urteil vom 27.03.2025 - I ZR 222/19
Urteil vom 27.03.2025 - I ZR 223/19


Der BGH hat entschieden, dass Mitbewerber und Verbraucherschutzverbände Datenschutzverstöße abmahnen und als Wettbewerbsverstoß gerichtlich geltend machen können.

Die Pressemitteilung des BGH:
Verbraucherschutzverbände und Mitbewerber sind befugt, Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen

Der unter anderem für das Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat entschieden, dass ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden im Wege einer Klage vor den Zivilgerichten verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen (?), Deine E-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er ist der Ansicht, dass die Beklagte die Nutzer ihres Netzwerks mit den unter dem Button "Sofort spielen" gegebenen Hinweisen nicht hinreichend über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten unterrichtet und damit gegen die gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung verstößt. Er sieht darin zugleich ein wettbewerbswidriges Verhalten und hat die Beklagte auf Unterlassung in Anspruch genommen. In dem abschließenden Hinweis bei einem Spiel sieht der Kläger eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.

Bisheriger Prozessverlauf:

Das Berufungsgericht hat der Klage stattgegeben. Mit der Revision hat die Beklagte ihren Antrag auf Klageabweisung weiterverfolgt.

Der Bundesgerichtshof hat das Verfahren mit Beschlüssen vom 28. Mai 2020 und vom 10. November 2022 ausgesetzt und dem Gerichtshof der Europäischen Union jeweils Fragen zur Auslegung der Verordnung (EU) Nr. 2016/679 (Datenschutz-Grundverordnung - DSGVO) zur Vorabentscheidung vorgelegt (Beschluss vom 28. Mai 2020 - I ZR 186/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I; Beschluss vom 10. November 2022 - I ZR 186/17, GRUR 2023, 193 = WRP 2023, 189 - App-Zentrum II). Dieser hat die Fragen mit Urteilen vom 28. April 2022 und vom 11. Juli 2024 beantwortet (Urteil vom 28. April 2022, C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland I; Urteil vom 11. Juli 2024, C-757/22, GRUR 2024, 1357 = WRP 2024, 1049 - Meta Platforms Ireland II).

Entscheidung des Bundesgerichtshofs:

Die Revision der Beklagten hatte keinen Erfolg.

Art. 80 Abs. 2 DSGVO bildet eine geeignete Grundlage für die Verfolgung von Verstößen gegen die Datenschutz-Grundverordnung durch Verbände nach dem Gesetz gegen den unlauteren Wettbewerb und dem Unterlassungsklagengesetz. Den genannten Verbraucherverbänden steht daher nach § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, gegen Verletzungen von Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst.?c und e DSGVO wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb und gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 1 und 2 Satz 1 Nr. 13 UKlaG sowie der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen. Unschädlich ist insoweit, dass der Kläger seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat. Da von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der Datenschutz-Grundverordnung verstößt, konkret betroffen ist, ist die Benennung einer Kategorie oder Gruppe von identifizierbaren natürlichen Personen für die Erhebung einer solchen Verbandsklage ausreichend. Es genügt außerdem, wenn sich die Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO obliegt, weil im Streitfall nicht davon ausgegangen werden kann, dass der Kläger mit seiner Klage rein hypothetische Verstöße geltend macht.

Die Präsentation von Spielen im App-Zentrum der Beklagten verstößt gegen Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO, weil der Nutzer zu Beginn des Nutzungsvorgangs nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form sowie über die Rechtsgrundlage für die Verarbeitung und die Empfänger der persönlichen Daten unterrichtet wird.

In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten liegt zugleich ein Verstoß gegen Lauterkeitsrecht unter dem Gesichtspunkt des Vorenthaltens einer wesentlichen Information gemäß § 5a Abs. 1 UWG. Ausgehend von der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für internetbasierte Geschäftsmodelle, deren Nutzung der Verbraucher mit der Preisgabe personenbezogener Daten vergütet, kommt den datenschutzrechtlichen Unterrichtungspflichten zentrale Bedeutung zu. Sie sollen sicherstellen, dass der Verbraucher bei seiner Nachfrageentscheidung, die mit einer Einwilligung in die Verarbeitung personenbezogener Daten verknüpft ist, möglichst umfassend über Umfang und Tragweite dieser Einwilligungserklärung ins Bild gesetzt wird, um eine informierte Entscheidung treffen zu können.

Der abschließende Hinweis "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten" stellt eine den Nutzer wegen des Verstoßes gegen die datenschutzrechtlichen Informationspflichten unangemessen benachteiligende und daher unwirksame Allgemeine Geschäftsbedingung dar, deren Verwendung der Kläger nach § 3 Abs. 1 Satz 1 Nr. 1 UKlaG untersagen lassen kann.

Urteile vom 27. März 2025 - I ZR 222/19 und ZR 223/19

Der I. Zivilsenat des Bundesgerichtshofs hat in diesen beiden Revisionsverfahren entschieden, dass ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, wobei ohne ausdrückliche Einwilligung von Kunden deren Bestelldaten (Name des Kunden, Lieferadresse und Informationen zur Individualisierung des Medikaments) erhoben werden, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt, und dass ein solcher Verstoß von einem anderen Apotheker mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.

Sachverhalt:

Die Parteien in beiden Verfahren sind Apotheker. Die beklagten Apotheker vertreiben Arzneimittel über die Plattform des Anbieters Amazon.

In beiden Verfahren beanstanden die klagenden Apotheker, dass die Beklagten gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstoßen, weil die von Kunden bei der Bestellung eingegebenen Daten wie der Name des Kunden, die Lieferadresse und Informationen zur Individualisierung des Medikaments ohne ausdrückliche Einwilligung erhoben, verarbeitet und genutzt werden.

Im Verfahren I ZR 222/19 rügt der Kläger darüber hinaus, der Vertrieb apothekenpflichtiger Arzneimittel über die Plattform verstoße gegen den Vertrieb von Arzneimitteln reglementierende Vorschriften des Arzneimittelgesetzes, des Heilmittelwerbegesetzes, des Apothekengesetzes und der Apothekenbetriebsordnung sowie die Berufsordnung für Apotheker.

Die Kläger haben die Beklagten in beiden Verfahren auf Unterlassung und im Verfahren I ZR 222/19 auch auf Schadensersatz in Anspruch genommen.

Bisheriger Prozessverlauf:

In beiden Verfahren haben die Berufungsgerichte der Klage insoweit stattgegeben, als sie den jeweiligen Beklagten wegen Verstoßes gegen datenschutzrechtliche Bestimmungen zur Unterlassung verurteilt haben. Soweit der Kläger im Verfahren I ZR 222/19 auch Verstöße gegen weitere Vorschriften geltend gemacht und Schadensersatz beansprucht hat, hat das Berufungsgericht die Klage abgewiesen.

Der Bundesgerichtshof hat das Verfahren I ZR 223/19 mit Beschluss vom 12. Januar 2023 (GRUR 2023, 264 - Arzneimittelbestelldaten I) ausgesetzt und dem Gerichtshof der Europäischen Union Fragen zur Auslegung der Datenschutz-Grundverordnung zur Vorabentscheidung vorgelegt. Das Verfahren I ZR 222/19 hat der Bundesgerichtshof bis zur Entscheidung über das Vorabentscheidungsersuchen in der Sache I ZR 223/19 ausgesetzt. Der Gerichtshof der Europäischen Union hat die ihm vorgelegten Fragen mit Urteil vom 4. Oktober 2024 - C-21/23 (GRUR 2024, 1721 = GRUR 2024, 1318 - Lindenapotheke) beantwortet.

Entscheidung des Bundesgerichtshofs:

Die von den Beklagten in beiden Verfahren eingelegten Revisionen gegen ihre Verurteilung zur Unterlassung wegen Verstoßes gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen hatten keinen Erfolg. Die vom Kläger im Verfahren I ZR 222/19 eingelegte Revision hatte Erfolg, soweit der Kläger die Verurteilung des Beklagten zum Schadensersatz erstrebte, sie hatte keinen Erfolg, soweit er die Verurteilung des Beklagten wegen Verstößen gegen weitere Vorschriften begehrte.

Die Datenschutz-Grundverordnung steht einer nationalen Regelung nicht entgegen, die Mitbewerbern die Befugnis einräumt, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den mutmaßlichen Verletzer im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten vorzugehen.

Die Verarbeitung und Nutzung der von Kunden der Beklagten bei der Onlinebestellung eines Arzneimittels über den Account eines Apothekers beim Amazon-Marketplace eingegebenen Daten wie der Name des Kunden, die Lieferadresse und die für die Individualisierung des bestellten Medikaments notwendigen Informationen verstößt, wenn sie - wie im Streitfall - ohne ausdrückliche Einwilligung der Kunden erfolgt, gegen Art. 9 Abs. 1 DSGVO. Bei den Bestelldaten handelt es sich um Gesundheitsdaten im Sinne dieser Vorschrift und zwar auch dann, wenn das Arzneimittel keiner ärztlichen Verschreibung bedarf.

Art. 9 Abs. 1 DSGVO ist eine Marktverhaltensregelung im Sinne von § 3a UWG, so dass der Verstoß gegen diese Vorschrift von einem Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann. Die Bestimmungen zum Erfordernis der Einwilligung in die Verarbeitung personenbezogener Daten dienen dem Schutz der Persönlichkeitsrechtsinteressen der Verbraucher gerade auch im Zusammenhang mit ihrer Marktteilnahme. Die Verbraucher sollen frei darüber entscheiden können, ob und inwieweit sie ihre Daten preisgeben, um am Markt teilnehmen und Verträge abschließen zu können.

Vorinstanzen:

I ZR 186/17

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

und

I ZR 222/19

LG Magdeburg - Urteil vom 18. Januar 2019 - 36 O 48/18

OLG Naumburg - Urteil vom 7. November 2019 - 9 U 6/19

und

I ZR 223/19

LG Dessau-Roßlau - Urteil vom 28. März 2018 - 3 O 29/17

OLG Naumburg - Urteil vom 7. November 2019 - 9 U 39/18

Die maßgeblichen Vorschriften lauten:

§ 8 Abs. 1 Satz 1, Abs. 3 Nr. 1 und 3 UWG

(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. [...]

(3) Die Ansprüche aus Absatz 1 stehen zu:

1. jedem Mitbewerber, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt, [...]

3. den qualifizierten Verbraucherverbänden, die in der Liste nach § 4 des Unterlassungsklagengesetzes eingetragen sind, [...]

§ 3 Abs. 1 Satz 1 Nr. 1 UKlaG

(1) Die in den §§ 1 bis 2a bezeichneten Ansprüche auf Unterlassung, auf Widerruf und auf Beseitigung stehen zu:

1. den qualifizierten Verbraucherverbänden, die in der Liste nach § 4 eingetragen sind, [...]

Art. 9 Abs. 1, Abs. 2 Buchst. a DSGVO

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, [...]

Art. 12 Abs. 1 Satz 1 DSGVO

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; [...]

Art. 13 Abs. 1 Buchst. c und e DSGVO

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: [...]

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; [...]

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte [...]

Artikel 80 Abs. 1 und 2 DSGVO

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.



EuGH: Verbandsklagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen - hier: Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO

EuGH
Urteil vom 11.07.2024
C‑757/22
Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V
.

Der EuGH hat die Verbandsklagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen abermals bejaht und seine Rechtsprechung weiter präzisiert. Vorliegend ging es um Verstöße gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e der Verordnung obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstoß - Verletzung der Informationspflicht aus Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c, e DSGVO

EuGH-Generalanwalt
Schlussanträge vom 25.01.2024
C‑757/22
Meta Platforms Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen u.a. dann anzunehmen ist, wenn es um die Verletzung der Informationspflicht aus Art. 12 Abs. 1 Satz 1 DSGVO und Art. 13 Abs. 1 Buchst. c und e DSGVO geht.

Ergebnis des EuGH-Generalanwalts:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass

die Bedingung, wonach eine ermächtigte Einrichtung, um eine Verbandsklage nach dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die Rechte einer betroffenen Person aus der DSGVO infolge einer Verarbeitung verletzt worden sind, voraussetzt, dass diese Einrichtung eine Verarbeitung personenbezogener Daten sowie einen Zusammenhang zwischen der Rechtsverletzung und der Verarbeitung behauptet. Die Bedingung ist erfüllt, wenn die Klage im Zusammenhang mit einer Verarbeitung personenbezogener Daten darauf gestützt wird, dass der Verantwortliche die Informationspflicht gemäß Art. 12 Abs. 1 Satz 1 in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO verletzt hat, da eine solche Verletzung die Verarbeitung rechtswidrig machen kann.

Die vollständigen Schlussanträge finden Sie hier:


BMJ: Referentenentwurf des Verbandsklagenrichtlinienumsetzungsgesetzes – VRUG

Das BMJ hat einen Referentenentwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2020/1828 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (Verbandsklagenrichtlinienumsetzungsgesetz – VRUG) vorgelegt.

Aus dem Entwurf:
A. Problem und Ziel Durch verbraucherrechtswidrige Geschäftspraktiken von Unternehmen wird regelmäßig eine große Anzahl von Verbraucherinnen und Verbrauchern geschädigt. Zu ihrem Schutz ist es nötig, unerlaubte Praktiken flächendeckend zu beenden und Abhilfe zu schaffen. Der kollektive Rechtsschutz bei Verstößen gegen verbraucherschützende Vorschriften ist in den Mitgliedstaaten der Europäischen Union höchst unterschiedlich geregelt. Ziel der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. L 409 vom 4.12.2020, S. 1) ist es, unionsweit den Schutz der Kollektivinteressen der Verbraucherinnen und Verbraucher zu stärken. Die Richtlinie ist von den Mitgliedstaaten der EU bis zum 25. Dezember 2022 in nationales Recht umzusetzen. Die neuen Regelungen müssen ab dem 25. Juni 2023 angewendet werden. Mit dem Gesetzentwurf soll die Richtlinie umgesetzt werden. Die Richtlinie verpflichtet die Mitgliedstaaten der EU, zwei Arten von Verbandsklagen vorzusehen. Verbände müssen das Recht haben, im eigenen Namen Unterlassungsklagen, durch die Zuwiderhandlungen gegen Verbraucherrecht beendet werden können, und Abhilfeklagen, durch die Verbraucherrechte durchgesetzt werden können, zu erheben. Abhilfeklagen gibt es im deutschen Recht bislang nicht. B. Lösung Die Umsetzung der Richtlinie erfordert die Schaffung von Regelungen für Abhilfeklagen durch Verbände. Diese Regelungen sollen in einem eigenen Stammgesetz – dem Verbraucherrechtedurchsetzungsgesetz – gebündelt werden, in das auch die bestehenden Regelungen der Zivilprozessordnung (ZPO) über die Musterfeststellungsklage integriert werden. Durch Änderungen im Unterlassungsklagengesetz und im Gesetz gegen den unlauteren Wettbewerb sowie in einigen weiteren Gesetzen werden die schon bestehenden Regelungen über Unterlassungsklagen durch Verbände an die Vorgaben der Richtlinie angepasst. Zusätzlich werden ergänzende Regelungen zu Unterlassungsklagen und Abhilfeklagen in anderen Gesetzen geschaffen.

Die Pressemitteilung des BMJ:
Gesetz zur Umsetzung der Richtlinie (EU) 2020/1828 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (Verbandsklagenrichtlinienumsetzungsgesetz – VRUG)

Durch verbraucherrechtswidrige Geschäftspraktiken von Unternehmen wird regelmäßig eine große Anzahl von Verbraucherinnen und Verbrauchern geschädigt. Zu ihrem Schutz ist es nötig, unerlaubte Praktiken flächendeckend zu beenden und Abhilfe zu schaffen. Der kollektive Rechtsschutz bei Verstößen gegen verbraucherschützende Vorschriften ist in den Mitgliedstaaten der Europäischen Union höchst unterschiedlich geregelt.

Ziel der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. L 409 vom 4.12.2020, S. 1) ist es, unionsweit den Schutz der Kollektivinteressen der Verbraucherinnen und Verbraucher zu stärken. Die Richtlinie ist von den Mitgliedstaaten der EU bis zum 25. Dezember 2022 in nationales Recht umzusetzen. Die neuen Regelungen müssen ab dem 25. Juni 2023 angewendet werden.

Mit dem Gesetzentwurf soll die Richtlinie umgesetzt werden. Die Richtlinie verpflichtet die Mitgliedstaaten der EU, zwei Arten von Verbandsklagen vorzusehen. Verbände müssen das Recht haben, im eigenen Namen Unterlassungsklagen, durch die Zuwiderhandlungen gegen Verbraucherrecht beendet werden können, und Abhilfeklagen, durch die Verbraucherrechte durchgesetzt werden können, zu erheben. Abhilfeklagen gibt es im deutschen Recht bislang nicht.


BGH legt EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vor

BGH
Beschluss vom 10.11.2022
I ZR 186/17


Der BGH hat dem EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vorgelegt.

Die Pressemitteilung des BGH:
BGH legt EuGH erneut eine Frage zur Klagebefugnis von Verbraucherschutzverbänden bei Datenschutzverstößen durch Facebook vor

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Meta Platform Ireland Limited (ehemals Facebook Ireland Limited), betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen‚ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der in der Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 28. Mai 2020 (I ZR 86/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.

Der Gerichtshof der Europäischen Union hat dazu mit Urteil vom 28. April 2022
C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland) entschieden, dass Art. 80 Abs. 2 der VO (EU) 2016/679 einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat nach mündlicher Verhandlung vom 29. September 2022 das Verfahren erneut ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Die Notwendigkeit einer erneuten Vorlage ergibt sich aus folgenden Umständen: Der Senat ist in seinem ersten Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens nicht den die Rechtsbehelfe, die Haftung und Sanktionen regelnden Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung und insbesondere nicht den Art. 80 Abs. 1 und 2 DSGVO oder Art. 84 Abs. 1 DSGVO entnehmen lässt. Er hat daher dem Gerichtshof der Europäischen Union mit seinem ersten Vorabentscheidungsersuchen die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Klagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG entgegensteht.

Der Gerichtshof der Europäischen Union hat - abweichend von der vom Senat im Vorlagebeschluss vertretenen Ansicht - entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann. Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, besteht allerdings nur für den Fall, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist fraglich, ob diese Voraussetzung erfüllt ist, wenn - wie im Streitfall - die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden sind. Die erneute Vorlage an den Gerichtshof der Europäischen Union dient der Klärung dieser Frage.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13 - CR 2015, 121

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14 - GRUR-RR 2018, 115

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck: …

2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; …

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 …, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; ...

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: …

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; ...

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten ...

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.



EuGH: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit DSGVO zu vereinbaren und unionsrechtskonform

EuGH
Urteil vom 28.04.2022
C-319/20
Meta Platforms Ireland Limited, vormals Facebook Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.


Der EuGH hat entschieden, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit der DSGVO zu vereinbaren und somit unionsrechtskonform ist.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Pressemitteilung des EuGH:

Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben

Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenenPerson auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden Meta Platforms Ireland, vormals Facebook Ireland, ist die für die Verarbeitung personenbezogener Daten von Nutzern des sozialen Netzwerks Facebook in der Union Verantwortliche.

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland, im Folgenden: Bundesverband) erhob gegen Meta Platforms Ireland eine Unterlassungsklage, weil diese ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht habe und dabei gegen die Vorschriften zum Schutz personenbezogener Daten, zur Bekämpfung unlauteren Wettbewerbs und zum Schutz der Verbraucher verstoßen habe.

Der Bundesgerichtshof (Deutschland) hält die Klage des Bundesverbands für begründet, hegt aber Zweifel an ihrer Zulässigkeit.
Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Außerdem merkt er an, dass aus der DSGVO abgeleitet werden könne, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege.

In seinem heutigen Urteil stellt der Gerichtshof fest, dass die DSGVO einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Vorab weist der Gerichtshof darauf hin, dass mit der DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden ist. Allerdings eröffnen einige Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen. Insoweit haben die Mitgliedstaaten insbesondere die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen geknüpft ist.

Zunächst einmal fällt ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte der Verbraucher zu gewährleisten. Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken kann nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen.

Ferner kann eine solche Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens“ die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind, ohne dass von ihr verlangt würde, dass sie die Person, die von der Datenverarbeitung
konkret betroffen ist, im Voraus individuell ermittelt und das Vorliegen einer konkreten Verletzung der Rechte aus den Datenschutzvorschriften behauptet.

Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.

Schließlich steht die DSGVO nicht nationalen Bestimmungen entgegen, nach denen im Wege von Verbandsklagen gegen Verletzungen der in dieser Verordnung vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorgegangen werden kann.


Den Volltext der Entscheidung finden Sie hier: