Skip to content

EuGH-Generalanwalt: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstoß - Verletzung der Informationspflicht aus Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c, e DSGVO

EuGH-Generalanwalt
Schlussanträge vom 25.01.2024
C‑757/22
Meta Platforms Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen u.a. dann anzunehmen ist, wenn es um die Verletzung der Informationspflicht aus Art. 12 Abs. 1 Satz 1 DSGVO und Art. 13 Abs. 1 Buchst. c und e DSGVO geht.

Ergebnis des EuGH-Generalanwalts:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass

die Bedingung, wonach eine ermächtigte Einrichtung, um eine Verbandsklage nach dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die Rechte einer betroffenen Person aus der DSGVO infolge einer Verarbeitung verletzt worden sind, voraussetzt, dass diese Einrichtung eine Verarbeitung personenbezogener Daten sowie einen Zusammenhang zwischen der Rechtsverletzung und der Verarbeitung behauptet. Die Bedingung ist erfüllt, wenn die Klage im Zusammenhang mit einer Verarbeitung personenbezogener Daten darauf gestützt wird, dass der Verantwortliche die Informationspflicht gemäß Art. 12 Abs. 1 Satz 1 in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO verletzt hat, da eine solche Verletzung die Verarbeitung rechtswidrig machen kann.

Die vollständigen Schlussanträge finden Sie hier:


BGH legt EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vor

BGH
Beschluss vom 10.11.2022
I ZR 186/17


Der BGH hat dem EuGH weitere Fragen zur Abmahnbefugnis bzw. Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen zur Entscheidung vorgelegt.

Die Pressemitteilung des BGH:
BGH legt EuGH erneut eine Frage zur Klagebefugnis von Verbraucherschutzverbänden bei Datenschutzverstößen durch Facebook vor

Der unter anderem für Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat darüber zu entscheiden, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden verfolgt werden kann.

Sachverhalt:

Die in Irland ansässige Beklagte, die Meta Platform Ireland Limited (ehemals Facebook Ireland Limited), betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen‚ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der in der Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Dachverband der Verbraucherzentralen der Bundesländer. Er beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung. Er hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Bisheriger Prozessverlauf:

Der Bundesgerichtshof hat das Verfahren mit Beschluss vom 28. Mai 2020 (I ZR 86/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.

Der Gerichtshof der Europäischen Union hat dazu mit Urteil vom 28. April 2022
C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland) entschieden, dass Art. 80 Abs. 2 der VO (EU) 2016/679 einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat nach mündlicher Verhandlung vom 29. September 2022 das Verfahren erneut ausgesetzt und dem Gerichtshof der Europäischen Union die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Die Notwendigkeit einer erneuten Vorlage ergibt sich aus folgenden Umständen: Der Senat ist in seinem ersten Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens nicht den die Rechtsbehelfe, die Haftung und Sanktionen regelnden Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung und insbesondere nicht den Art. 80 Abs. 1 und 2 DSGVO oder Art. 84 Abs. 1 DSGVO entnehmen lässt. Er hat daher dem Gerichtshof der Europäischen Union mit seinem ersten Vorabentscheidungsersuchen die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Klagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG entgegensteht.

Der Gerichtshof der Europäischen Union hat - abweichend von der vom Senat im Vorlagebeschluss vertretenen Ansicht - entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann. Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, besteht allerdings nur für den Fall, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist fraglich, ob diese Voraussetzung erfüllt ist, wenn - wie im Streitfall - die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden sind. Die erneute Vorlage an den Gerichtshof der Europäischen Union dient der Klärung dieser Frage.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13 - CR 2015, 121

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14 - GRUR-RR 2018, 115

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck: …

2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; …

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 …, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; ...

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: …

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; ...

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten ...

Artikel 80 Vertretung von betroffenen Personen

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.



EuGH: Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit DSGVO zu vereinbaren und unionsrechtskonform

EuGH
Urteil vom 28.04.2022
C-319/20
Meta Platforms Ireland Limited, vormals Facebook Ireland Limited
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.


Der EuGH hat entschieden, dass eine Verbandsklagebefugnis für Verbraucherschutzverbände bei DSGVO-Verstößen mit der DSGVO zu vereinbaren und somit unionsrechtskonform ist.

Tenor der Entscheidung:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Die Pressemitteilung des EuGH:

Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben

Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenenPerson auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden Meta Platforms Ireland, vormals Facebook Ireland, ist die für die Verarbeitung personenbezogener Daten von Nutzern des sozialen Netzwerks Facebook in der Union Verantwortliche.

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland, im Folgenden: Bundesverband) erhob gegen Meta Platforms Ireland eine Unterlassungsklage, weil diese ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht habe und dabei gegen die Vorschriften zum Schutz personenbezogener Daten, zur Bekämpfung unlauteren Wettbewerbs und zum Schutz der Verbraucher verstoßen habe.

Der Bundesgerichtshof (Deutschland) hält die Klage des Bundesverbands für begründet, hegt aber Zweifel an ihrer Zulässigkeit.
Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Außerdem merkt er an, dass aus der DSGVO abgeleitet werden könne, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege.

In seinem heutigen Urteil stellt der Gerichtshof fest, dass die DSGVO einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Vorab weist der Gerichtshof darauf hin, dass mit der DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden ist. Allerdings eröffnen einige Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen. Insoweit haben die Mitgliedstaaten insbesondere die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen geknüpft ist.

Zunächst einmal fällt ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte der Verbraucher zu gewährleisten. Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken kann nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen.

Ferner kann eine solche Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens“ die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind, ohne dass von ihr verlangt würde, dass sie die Person, die von der Datenverarbeitung
konkret betroffen ist, im Voraus individuell ermittelt und das Vorliegen einer konkreten Verletzung der Rechte aus den Datenschutzvorschriften behauptet.

Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.

Schließlich steht die DSGVO nicht nationalen Bestimmungen entgegen, nach denen im Wege von Verbandsklagen gegen Verletzungen der in dieser Verordnung vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorgegangen werden kann.


Den Volltext der Entscheidung finden Sie hier: