Newsletter Daten, IT und Medien

Ausgangslage

Der deutsche Gesetzgeber hat bereits vor der DS‑​GVO mit § 8 Abs. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG eine Befugnis von Verbänden vorgesehen, im Falle von (Datenschutz‑)Verstößen unmittelbar gegen ein Unternehmen zu klagen – und zwar unabhängig von der Verletzung der Rechte einzelner Personen und auch ohne konkreten Auftrag durch Verbraucher. Diese Konzeption hat der EuGH nun bestätigt.

Hintergrund des Rechtsstreits

In dem Rechtsstreit ging es darum, dass Facebook seinen Nutzern den kostenlosen Zugriff auf Spiele von Drittanbietern ermöglichte. Beim Aufruf der Spiele wurden die Nutzer auf die Verarbeitung personenbezogener Daten durch die Drittanbieter hingewiesen. Die schlichte Nutzung des Angebots wurde durch die Drittanbieter bereits als Zustimmung zu ihren Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzbestimmungen behandelt.

Hierin sah die Verbraucherzentrale Bundesverband („Verbraucherzentrale“) gleich mehrere Datenschutzverstöße (u. a. das Fehlen einer wirksamen Einwilligung), unlautere Geschäftspraktiken sowie die Verwendung unwirksamer AGB. Sie erhob deshalb eine Unterlassungsklage gegen Meta Platforms Ireland (vormals Facebook). Das Landgericht Berlin verurteilte Meta Platforms Ireland entsprechend den Anträgen des Bundesverbands. Das Kammergericht bestätigte das erstinstanzliche Urteil im Berufungsverfahren.

Frage des BGH

Im Revisionsverfahren teilte der BGH die Auffassung der Verbraucherzentrale, dass Datenschutzverstöße vorliegen und insofern ein „Rechtsbruch“ gemäß § 3a UWG vorliege. Ebenso sah er eine Verwendung unwirksamer AGB (§ 1 UKlaG). Allerdings äußerte der BGH Zweifel an der Zulässigkeit der Klage der Verbraucherzentrale: Es sei nämlich fraglich, ob die DS‑​GVO überhaupt Raum für eine so weit reichende deutsche Regelung zur Klagebefugnis lasse wie § 8 Abs. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG sie zugunsten von Verbänden wie der Verbraucherzentrale vorsehe. Diese Frage legte der BGH dem EuGH vor.

Antwort des EuGH

In dem Vorlageverfahren kam es auf die Auslegung des Art. 80 Abs. 2 DS‑​GVO an: Hiernach können die Mitgliedstaaten Regelungen vorsehen, nach denen gemeinnützige Einrichtungen oder Organisationen, die sich der Förderung des Datenschutzes verschrieben haben, Beschwerden oder gerichtliche Rechtsbehelfe einlegen können. Dies kann unabhängig von dem Auftrag einer einzelnen betroffenen Person erfolgen. Der EuGH hat nun entschieden, dass eine Regelung wie die in Deutschland (§ 8 Abs. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG) mit den Vorgaben des Art. 80 Abs. 2 DS‑​GVO vereinbar ist. Der Einwand, von klagenden Verbraucherverbänden sei zu verlangen, dass konkrete Personen, die von der Datenverarbeitung betroffen sind, im Vorhinein ermittelt werden müssten, gehe fehl. Der EuGH entschied vielmehr, dass der Bezug des Datenschutzverstoßes auf eine identifizierbare natürliche Person ausreiche. Die Klagebefugnis hänge auch nicht davon ab, dass eine konkrete Rechtsverletzung eingetreten ist – eine mögliche reiche aus.

Die Befugnis von Verbraucherverbänden, eine Unterlassungsklage gegen DS‑​GVO‑​Verstöße unabhängig von einer individuell und konkret betroffenen Person zu erheben, trage dazu bei, die Rechte der betroffenen Personen zu stärken und ein hohes Schutzniveau zu gewährleisten.

Praxishinweis

Das Urteil hat enorme praktische Konsequenzen. Auch Verbraucherschutzverbände und Non‑​Profit‑​Organisationen im Bereich des Datenschutzes können in Zukunft unabhängig von einer konkreten Rechtsverletzung und ohne einzelne Aufträge von betroffenen Personen gegen Datenschutzverstöße von Unternehmen vorgehen. Prozessuale ‚Hürden‘ sind somit niedrig. In Gerichtsverfahren wird somit zukünftig die Möglichkeit nochmals erleichtert, etwaige Datenschutzverstöße auch ohne eine individuelle Betroffenheit zu prüfen. Solche Gerichtsverfahren kommen zu den auch weiterhin praktisch bedeutsamen individuellen Beschwerden bei den Datenschutz‑​Aufsichtsbehörden hinzu.

Für datenschutzrechtlich Verantwortliche – Unternehmen, Behörden, sonstige Institutionen – führt dies zu einem weiteren Compliance‑​Risiko. Es ist zu erwarten, dass die klageberechtigten Verbände und Organisationen ihr konzentriertes Know‑​How bei der konkreten Identifikation von Datenschutzverstößen, ihre Erfahrung sowie ihren finanziell langen Atem für Verfahren in die Waagschale werfen, um durch mehrere Instanzen die Verantwortlichen in die Knie zu zwingen. Zusammen mit den Individualbeschwerden, der spürbaren Zunahme von behördlichen Verfahren sowie Schadensersatz- und Schmerzensgeldklagen hat der EuGH den „Strauß“ von Litigation‑​Risiken im Datenschutzrecht vergrößert.

Das Urteil ist hier abrufbar.