16. Juni 2020
Das Verhältnis der Europäischen Datenschutz-Grundverordnung („DSGVO“) zum Deutschen Lauterkeitsrecht ist umstritten. Nun hat der Bundesgerichtshof („BGH“) am 28. Mai 2020 dem Gerichtshof der Europäischen Union („EuGH“) die Frage zur Vorabentscheidung vorgelegt, ob Verbraucherschutzverbänden aufgrund abstrakter DSGVO-Verstöße eine Klagebefugnis gegen Verantwortliche zustehen kann. In dem Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände („vzbv“) gegen Facebook, nahm der vzbz das soziale Netzwerk wegen angeblicher datenschutzrechtlicher Verstöße in Anspruch und stützte seine Klagebefugnis hierbei auf §§ 8 Abs. 1, 3 Nr. 2, 3 Abs. 1, 3a Gesetz gegen den unlauteren Wettbewerb („UWG“) und § 2 Abs. 1, 1 S. 1 Nr. 11 Unterlassungsklagegesetz („UKlaG“). Der EuGH hat in seinem Urteil vom 29.07.2019 (Az: C-40/17 (Fashion ID)) zur Datenschutz-Richtlinie 95/46/EG entschieden, dass diese einer Klagebefugnis von Verbraucherschutzverbänden nicht entgegenstand. Der BGH zieht die Übertragbarkeit dieser EuGH-Rechtsprechung auf die DSGVO zu Recht in Zweifel. Eine wettbewerbsrechtliche Klagebefugnis unter der DSGVO steht ihrer Schutzrichtung und ihrem abschließenden Charakter sowie insbesondere Art. 80 Abs. 2 DSGVO entgegen.
Die DSGVO enthält eigene, abschließende Regelungen für Verletzungshandlungen, neben denen aufgrund der Vollharmonisierung der DSGVO keine anderen Vorschriften Anwendung finden. Kapitel VIII DSGVO gibt ein ausdifferenziertes Rechtsfolgen- und Rechtsbehelfsregime vor. Diese Regelungen sind abschließend in Bezug auf den rechtmäßigen Umgang mit personenbezogenen Daten und die Sanktion etwaiger Verstöße. Gemeinnützige Einrichtungen, die datenschutzrechtliche Interessen Betroffener wahrnehmen, werden in Art. 80 DSGVO als Klagebefugte adressiert. Nach Ansicht des BGH fällt der vzbv als Verbraucherschutzverein offenbar nicht unter diese Öffnungsklausel. Anderenfalls wäre eine Vorlage an den EuGH nicht erforderlich gewesen.
Art. 80 Abs. 1 DSGVO sieht vor, dass Betroffene einer rechtswidrigen Datenverarbeitung bestimmte Einrichtungen damit beauftragen können, ihre Rechte prozessstandschaftlich durchzusetzen. Art. 80 Abs. 2 DSGVO eröffnet den Mitgliedsstaaten als sog. Öffnungsklausel ferner die Möglichkeit nationalgesetzlich zu bestimmen, dass solche Einrichtungen auch unabhängig von einem Auftrag durch Betroffene gegen Verantwortliche vorgehen können, „(…) wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind“. Art. 80 Abs. 2 DSGVO verlangt damit bereits nach seinem Wortlaut keine Verletzung rein objektiven Rechts, sondern die Rechtsverletzung „einer betroffenen Person“. Dies folgt nicht zuletzt aus dem Schutzziel der DSGVO, das Individuum als Rechtssubjekt zu schützen (Art. 1 Abs. 2 DSGVO).
Diesen Anforderungen werden die §§ 8 Abs. 3 Nr. 3 UWG i.V.m. § 3a UWG bzw. §§ 3 Abs. 1 Nr. 1, 2 Abs. 1, 2 Nr. 11 UKlaG, auf die die deutschen Verbraucherschutzverbände ihre Klagebefugnis stützen, nicht gerecht. Denn gestützt auf diese Vorschriften können nur Unterlassungsansprüche aufgrund abstrakter Wettbewerbsverstöße, also unabhängig von einer konkreten Rechtsverletzung einer Person, geltend gemacht werden.
Selbst wenn man die DSGVO nicht als sperrend erachten wollte, und das UWG und UKlaG somit Anwendung fänden, wären Verbraucherschutzverbände hiernach nicht klagebefugt:
Zwar bejahte der EuGH vom 29.07.2019 (Az: C-40/17 (Fashion ID)) unter der Datenschutz-Richtlinie die Möglichkeit der Klagebefugnis. Hiernach war eine Teilumsetzung der Durchsetzung der Betroffenenrechte in den einzelnen Mitgliedstaaten grundsätzlich möglich gewesen. Denn die Datenschutz-Richtlinie gab den Mitgliedstaaten lediglich hinsichtlich des zu erreichenden Ziels (Schutz der datenschutzbezogenen Grundrechte) verbindliche Vorgaben, nicht jedoch in Bezug auf die Wahl und Form der Mittel, dieses Ziel zu erreichen. Dieses Ergebnis kann jedoch nicht auf die DSGVO übertragen werden. Denn die DSGVO ist als Verordnung in allen ihren Teilen verbindlich (Art. 288 Abs. 2 Vertrag über die Arbeitsweise der Europäischen Union („AEUV“)). Das heißt, die Mitgliedsstaaten dürfen weder hinter den Regelungen der DSGVO zurückbleiben, noch über ihr Ziel hinausschießen. Dies wäre aber der Fall, würde man Verbraucherschutzverbänden eine Klagebefugnis aufgrund abstrakter Datenschutzverstöße zusprechen. Zu einer möglichen Klagebefugnis für Verbraucherschutzverbände auf der Grundlage von Art. 80 Abs. 2 DSGVO äußerte sich der EuGH bisher explizit nicht.
Die Frage nach der Klagebefugnis von Verbraucherschutzverbänden unter der DSGVO ist von großer praktischer Relevanz für datenverarbeitende Unternehmen und dürfte die Prozesslandschaft der nächsten Jahre in diesem Bereich nachhaltig bestimmen. Es bleibt daher mit Spannung abzuwarten, wie und ob der EuGH das Verhältnis von Wettbewerbsrecht, Verbraucherschutz und DSGVO (neu) bewertet.
von mehreren Autoren