Der Europäische Gerichtshof („EuGH“) hat heute Verbraucherschutzverbänden den Weg frei gemacht, Verstößen gegen die Datenschutz-Grundverordnung („DSGVO“) – auch ohne entsprechenden Auftrag durch Betroffene – nachzugehen (C-319/20). Verbände können demnach Verbandsklage erheben, soweit eine solche Klagebefugnis in nationalen Vorschriften der Mitgliedstaaten vorgesehen ist. Dies stehe im Einklang mit dem Ziel der DSGVO, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.

Die Klagebefugnis von Verbraucherschutzverbänden ist nach dem EuGH gegeben, wenn der Verband einen Verstoß gegen Bestimmungen der DSGVO, die subjektive Rechte der betroffenen Personen zu schützen, verfolgt. Verbände können danach die Möglichkeit haben - auch ohne Auftrag der betroffenen Person - Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher zu erheben. Hierfür müssen die Mitgliedstaaten jedoch von dem ihnen im Rahmen von Art. 80 Abs. 2 DSGVO eingeräumten Gestaltungsspielraum Gebrauch machen und die Vertretung betroffener Personen durch Verbraucherschutzverbände in ihrem nationalen Recht vorsehen.

Aufgrund dieser Entscheidung werden Verbraucherschutzverbände verstärkt Datenschutzverstöße abmahnen und gerichtlich verfolgen. Unternehmen, die personenbezogene Daten verarbeiten, werden sich daher neben Aufsichts- und Bußgeldverfahren der Datenschutzbehörden zukünftig auch mit zivilrechtlichen Abmahnungen und einstweiligen Verfügungs- und Klageverfahren auseinandersetzen müssen. Das Risiko von Abmahnungen durch Verbraucherschutzverbände wird hierbei für im B2C-Bereich tätige Unternehmen am höchsten sein. Daher sollten Unternehmen vor allem visible Lücken in der Datenschutz-Compliance, wie etwa Datenschutzerklärungen, zeitnah schließen.

Hintergrund und Details zum Verfahren

Ausgangsverfahren

Dem Vorabentscheidungsverfahren lag ein Rechtsstreit des Verbraucherzentrale Bundesverband e.V. („VZBV“) gegen die Meta Platforms Ireland Ltd. („Meta“), vormals Facebook Ireland Ltd., zu Grunde. Im Wege einer Unterlassungsklage beanstandete der VZBV vor dem Landgericht Berlin unlautere Hinweise im App-Zentrum von Meta, die Nichteinhaltung der Anforderungen an eine wirksame datenschutzrechtliche Einwilligung sowie eine unangemessene Benachteiligung der Nutzer durch die Allgemeinen Geschäftsbedingungen.

Das Landgericht Berlin gab der Klage statt. Die Berufung wurde vom Kammergericht Berlin zurückgewiesen. Im Revisionsverfahren stellte der BGH zunächst fest, dass die Anträge des VZBV begründet seien. Allerdings bezweifelte der BGH die Zulässigkeit der Klage aufgrund einer möglicherweise fehlenden Klagebefugnis des VZBV. Nach Ansicht des BGH ergebe sich eine Klagebefugnis nicht aus Art. 80 Abs. 1 DSGVO, da die Unterlassungsklage im Ausgangsverfahren nicht – wie nach dem Wortlaut erforderlich – im Auftrag oder im Namen einer betroffenen Person zur Durchsetzung ihrer persönlichen Rechte erhoben wurde. Eine Klagebefugnis folge auch nicht ausdrücklich aus Art. 80 Abs. 2 DSGVO, da hierfür eine tatsächliche Verletzung der Rechte der betroffenen Personen erforderlich sei. In Betracht komme damit nur eine Klagebefugnis des VZBV aus § 8 Abs. 3 Nr. 3 UWG, der aber durch Art. 80 DSGVO verdrängt worden sein könne.

Vorlagefrage

Der EuGH hatte zu entscheiden, ob die DSGVO nationalen Vorschriften, die ein Verbandsklagerecht vorsehen, entgegensteht, mithin ob Verbände zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage erheben können.

Entscheidung des EuGH

Nach Ansicht des EuGH zeige sich in Art. 80 DSGVO eine Tendenz zur Entwicklung von Verbandsklagen, die mit dem Ziel geführt werden, die allgemeinen und kollektiven Interessen von Verbrauchern zu verteidigen und den Zugang zur Justiz der durch die Verletzung der jeweiligen Regelungen betroffenen Personen zu verbessern. Mangels konkreter Beauftragung des VZBV im vorliegenden Fall (vgl. Art. 80 Abs. 1 DSGVO) fokussierte der EuGH seine Ausführungen auf eine mögliche Klagebefugnis aus Art. 80 Abs. 2 DSGVO.

Der EuGH nahm zunächst Bezug auf seine vorherige Rechtsprechung zur Auslegung der Art. 22 bis 24 der Richtlinie 95/46 (EU-Datenschutzrichtlinie, „DSRL“). In dem Verfahren Fashion ID (C‑40/17) hatte der EuGH entschieden, dass die vorgenannten Vorschriften einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz von personenbezogenen Daten Klage zu erheben, nicht entgegenstehe. Grundsätzlich enthalte die DSRL zwar keine Verpflichtung gegenüber Mitgliedstaaten, im nationalen Recht eine Klagebefugnis für Verbände vorzusehen. Allerdings sei vor dem Hintergrund der vollständigen Wirksamkeit der Richtlinie eine nationale Vorschrift, die eine entsprechende Klagebefugnis vorsehe, durchaus denkbar.

Unter Berücksichtigung dieser Rechtsprechung konkretisierte der EuGH die Vorlagefrage dahingehend, ob aus Art. 80 Abs. 2 DSGVO folge, dass die Klagebefugnis eines Verbands zur Wahrung von Verbraucherinteressen nunmehr entfällt. Im Ergebnis lehnte der EuGH eine solche Auslegung des Art. 80 Abs. 2 DSGVO aus den folgenden beiden Gründen ab:

Besondere Merkmale der DSGVO

Zu berücksichtigen sei, dass die DSGVO trotz umfassender Harmonisierung den Mitgliedstaaten an einigen Stellen Handlungsspielräume einräume. So gewähre auch Art. 80 Abs. 2 DSGVO einen Ermessensspielraum. Die Ausgestaltung des Art. 80 Abs. 2 DSGVO als Öffnungsklausel zeige zudem eine Nähe zu Richtlinien, welche aufgrund ihrer Rechtsnatur stets einer Umsetzung ins nationale Recht bedürfen.

Wörtliche, systematische und teleologische Auslegung von Art. 80 Abs. 2 DSGVO

Der EuGH verneint eine strenge Auslegung des Wortlauts von Art. 80 Abs. 2 DSGVO, wonach ein Verband zur Erreichung der Klagebefugnis eine oder mehrere konkret betroffene Personen im Voraus individualisieren müsse. Vielmehr unterliege die Klagebefugnis keiner Einzelfallprüfung, ob Rechte bestimmter Personen verletzt wurden. Der Verband müsse nur geltend machen, dass eine Verarbeitung personenbezogener Daten gegen die Rechte des Einzelnen schützende Bestimmungen der DSGVO verstößt und somit geeignet ist, die Rechte identifizierter oder identifizierbarer Personen zu verletzen.

Damit müsse sich die Klage lediglich auf die Verletzung von Rechten stützen, die einer natürlichen Person infolge einer Verarbeitung ihrer personenbezogenen Daten erwachsen können. Dies sei bei der Unterlassungsklage des VZBV gegen Meta der Fall, da Verstöße gegen Art. 12 Abs. 1 S. 1, Art. 13 Abs. 1 lit. c) und lit. e) DSGVO, mithin Vorschriften, die Rechte des Einzelnen schützen, vorlägen. 

Ausblick und Einschätzung

Der EuGH folgt mit seinem Urteil den Schlussanträgen des Generalanwalts vom 2. Dezember 2021. Das lang erwartete Urteil ist in seinen Auswirkungen von besonderer Bedeutung. Es stellt eine prozessuale Weichenstellung für Klageverfahren im Datenschutzbereich dar. Mit der Bejahung der Klagebefugnis von Verbraucherschutzverbänden werden sich insbesondere Unternehmen im B2C-Bereich künftig auf zahlreiche Abmahnungen und zivilrechtliche Verfahren einstellen müssen. Dies kann beispielsweise öffentlich zugängliche Datenschutzerklärungen und -informationen (einschließlich Cookie-Bannern) oder auch Kommunikation zu Marketing-Zwecken betreffen. Es könnte zu einer Abmahnwelle kommen, da Verbraucherverbände zukünftig verstärkt an der gerichtlichen Auslegung und Klärung von verbraucherschützenden Datenschutznormen interessiert sind. Das Urteil sollte daher zum Anlass genommen werden, spätestens jetzt die eigene Datenschutz-Compliance auf den Prüfstand zu stellen.