Der EuGH (Urteil v. 28.04.2022, Az. C-319/20) hatte auf Vorlage des BGH über die Frage zu entscheiden gehabt, ob Verbraucherschutzverbände befugt sind, Verstöße gegen die DSGVO geltend zu machen. Bei der Beantwortung dieser Fragestellung kommt es darauf an, ob Art. 80 DSGVO eine abschließende Regelung über die privatrechtliche Rechtsdurchsetzung von Verstößen gegen DSGVO beinhaltet oder nicht. In der Rechtsprechung und der Literatur wurde diese Fragestellung unterschiedlich beantwortet.
Im Ausgangsverfahren, das zu der eingangs genannten EuGH-Entscheidung führte, war der Verbraucherzentrale Bundesverband e. V. gegen die Firma Meta Plattform Ireland, die das Angebot der Dienste des sozialen Netzwerks Facebook in der Union betreibt, vorgegangen. Der vzbv e. V. war der Ansicht gewesen, dass die Firma Meta Plattform Ireland in einem sog. „App-Zentrum“ Hinweise zur Datenverarbeitung vorhält, die mit den datenschutzrechtlichen Vorgaben nicht konform seien. In diesem „App-Zentrum“ waren den Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht worden. Wenn der Nutzer dieses „App-Zentrums“ bestimmte Spiele aufrief, erschien der Hinweis, dass die Nutzung der betroffenen Anwendung der Spielegesellschaft ermögliche, eine Reihe von personenbezogene Daten zu erheben, und sie dazu berechtige, im Namen dieses Nutzers Informationen, wie etwa seinen Punktestand, zu veröffentlichen. Mit der Nutzung stimmte der Nutzer den Allgemeinen Geschäftsbedingungen der Anwendung und der Datenschutzpolitik der Spielegesellschaft zu. Der vzbv e. V. war der Ansicht, dass diese Hinweise u. a. wegen Rechtsbruches infolge eines Verstoßes gegen die gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers unlauter seien. Der vzbv e. V. erhob eine auf §§ 3a UWG, 2 Abs. 2 Satz 1 Nr. 11 UKlaG geschützte Klage vor dem LG Berlin, unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer betroffenen Person. Das LG Berlin entschied antragsgemäß (mit Urteil vom 28.10.2014, Az. 16 O 60/13, wurde der Versäumnisurteil vom 09.09.2013 inhaltlich bestätigt). Die Beklagte wurde mit Versäumnisurteil vom 09.09.2013 u. a. verurteilt, es zu unterlassen,
„im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern mit einem ständigen Aufenthalt in der Bundesrepublik Deutschland auf der Internetseite mit der Adresse www.f….com Spiele in einem sogenannten „App-Zentrum“ derart zu präsentieren, dass der Verbraucher mit dem Betätigen eines Buttons wie „Spiel spielen“ die Erklärung abgibt, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen des Verbrauchers zu übermitteln (posten) … :“
Die von der Beklagten dagegen eingelegte Berufung wurde von dem KG Berlin zurückgewiesen und die Revision zugelassen (Urteil v. 22.09.2017, Az. 5 U 155/14).
Der BGH (Beschluss v. 28.05.2020, Az. I ZR 186/17) war der Ansicht, dass es nicht ausgeschlossen sei, dass der vzbv e. V. seit Anwendbarkeit der DSGVO (die seit dem 25.05.2018 anwendbar war) die Klagebefugnis aufgrund der Regelungen in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO verloren habe. Sofern der vzbv e.V. seine Klagebefugnis im Laufe des Verfahrens verloren habe, müsste die Klage abgewiesen werden, da nach den einschlägigen Verfahrensvorschriften des deutschen Rechtes die Klagebefugnis bis zum Abschluss der letzten Instanz fortbestehen müsse. Da sich die Fragestellung, ob der vzbv e. V. als Verbraucherschutzverband weiterhin klagebefugt sei, nicht eindeutig aus der Beurteilung des Wortlautes, der Systematik und des Zecks der Bestimmung der DSGVO ergab, legte der BGH dem EuGH folgende Frage zur Vorabentscheidung vor:
„Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Verordnung (EU) 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?“
Der EuGH beschäftigte sich in seinem Urteil vom 28.04.2022 ausführlich mit den Regelungen der Art. 80, 84 DSGVO und entschied nachfolgend, dass Art. 80 Abs. 2 DSGVO dem nicht entgegenstehe, dass ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erhebt, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei. Eine solche Klage sei möglich, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus der DSGVO beeinträchtigen könne.
In seiner Zusammenfassung hat der EuGH zur Begründung wie folgt ausgeführt:
„Zunächst hat der Gerichtshof darauf hingewiesen, dass die DSGVO zwar eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll, Art. 80 Abs. 2 dieser Verordnung jedoch zu den Bestimmungen gehört, die den Mitgliedstaaten einen Ermessensspielraum hinsichtlich seiner Umsetzung lassen. Damit die in dieser Bestimmung vorgesehene Verbandsklage ohne Beauftragung im Bereich des Schutzes personenbezogener Daten erhoben werden kann, müssen die Mitgliedstaaten daher von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nationalen Recht vorzusehen. Wenn die Mitgliedstaaten von dieser Befugnis Gebrauch machen, müssen sie von ihrem Ermessen jedoch unter den Voraussetzungen und innerhalb der Grenzen der DSGVO Gebrauch machen und Rechtsvorschriften erlassen, die nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen.
Sodann hat der Gerichtshof darauf hingewiesen, dass Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Möglichkeit eröffnet, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, und dies an eine Reihe von Anforderungen knüpft. So wird erstens die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung zuerkannt, die die in der DSGVO aufgeführten Kriterien erfüllt. Unter diesen Begriff kann ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband fallen, der ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, da die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann. Zweitens kann eine Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind.
Daher ist es für die Erhebung einer Verbandsklage zum einen nicht erforderlich, dass die betreffende Einrichtung die Person, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der DSGVO verstößt, konkret betroffen ist, im Voraus individuell ermittelt. Hierfür kann die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, auch ausreichen.
Zum anderen ist die Erhebung einer solchen Klage nicht daran geknüpft, dass eine konkrete Verletzung der Rechte einer Person aus der DSGVO vorliegt. Für die Anerkennung der Klagebefugnis einer Einrichtung reicht es nämlich aus, geltend zu machen, dass die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen könne, ohne dass ein der betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte tatsächlich entstandener Schaden nachgewiesen werden müsste. Somit trägt angesichts des Ziels der DSGVO die Tatsache, dass Verbände zur Wahrung von Verbraucherinteressen wie der Bundesverband befugt sind, unabhängig von der Verletzung der Rechte einer von diesem Verstoß individuell und konkret betroffenen Person eine Verbandsklage auf Unterlassung von gegen die DSGVO verstoßenden Verarbeitungen zu erheben, unbestreitbar dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten.
Schließlich hat der Gerichtshof darauf hingewiesen, dass der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen kann. Die DSGVO erlaubt es den Mitgliedstaaten nämlich, den Verbänden zur Wahrung von Verbraucherinteressen die Befugnis einzuräumen, gegen Verletzungen der in der DSGVO vorgesehenen Rechte über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorzugehen.“
Es ist daher zu erwarten, dass demnächst Verbraucherschutzverbände Verstöße gegen Regelungen der DSGVO aufgreifen und geltend machen werden. Hierbei müssen sie nicht – wie in dem entschiedenen Fall – im Auftrag eines bestimmten Verbrauchers handeln.