Der EuGH hat heute entschieden, dass qualifizierte Verbraucherverbände in Deutschland auch unter Geltung der DSGVO befugt sind, unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person auf den Schutz ihrer Daten und ohne eine entsprechende Beauftragung durch eine solche Person gegen die Verletzung datenschutzrechtlicher Bestimmungen durch ein Unternehmen zu klagen (EuGH, Urteil vom 28.07.2022 – Rs. C-319/20, Meta Platforms Ireland Ltd. ./. Verbraucherzentrale Bundesverband e.V.).
Verbraucherzentrale Bundesverband gegen Meta
Gegenstand des Verfahrens war das vielbeachtete Vorabentscheidungsersuchen des BGH in einem Rechtsstreit der Meta Platforms Ireland Ltd. als Betreiberin von Facebook gegen den Verbraucherzentrale Bundesverband e.V. In diesem klagte der Verbraucherzentrale Bundesverband e.V. gegen die Betreiberin von Facebook auf Unterlassung unter anderem wegen des Verstoßes gegen datenschutzrechtliche Bestimmungen, ohne dass er hierzu von einer betroffenen Person beauftragt wurde. Der BGH bestätigte zwar das Vorliegen von Verstößen gegen datenschutzrechtliche Bestimmungen. Er hegte jedoch noch Zweifel daran, dass seit Geltung der DSGVO die Klage eines Verbraucherverbandes auch unabhängig von einer konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person, erfolgen könne. Seiner Ansicht stünde Art. 80 DSGVO einer Verbandsklagebefugnis aus eigenem Recht gemäß § 8 Abs. 3 Nr. 3 UWG (Gesetz gegen den unlauteren Wettbewerb) entgegen. Denn Art. 80 Abs. 1 DSGVO setze voraus, dass ein klagender Verband von einer betroffenen Person beauftragt sei, in ihrem Namen die nach der DSGVO bestehenden Rechte gegen Datenschutzverstöße wahrzunehmen. Eine Verbandsklagebefugnis zur objektiv-rechtlichen Durchsetzung des Datenschutzrechts sei unter Geltung der DSGVO nicht mehr gegeben. Sie könne auch aus Art. 84 Abs. 1 DSGVO nicht hergeleitet werden, da die Verbandsklagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG nicht auf eine Sanktion im Sinne der DSGVO ausgerichtet sei. Auch eine Klagebefugnis aus eigenem Recht nach den Bestimmungen des UKlaG (Unterlassungsklagegesetz) sei mit Blick auf die Vorgaben des Art. 80 Abs. 2 DSGVO Erwägungen zweifelhaft, denn insoweit müssten zumindest die Verletzung von Rechten einer betroffenen Person geltend gemacht werden.
Klagebefugnis von Verbraucherzentralen aus eigenem Recht
Der EuGH hat nunmehr klargestellt, dass die nach deutschem Recht qualifizierten Verbraucherverbände weiterhin befugt sind, aus eigenem Recht gegen Datenschutzverstöße vorzugehen. Zwar könne eine Verbandsklage unabhängig von einem erteilten Auftrag nur dann erhoben werden, wenn nach Ansicht des klagenden Verbandes die Datenschutzrechte einer betroffenen Person verletzt worden sind. Für die Zwecke einer Verbandsklage könne jedoch nicht verlangt werden, dass klagende Verband die von einer angenommenen Datenschutzverletzung konkret betroffene Person im Voraus individuell ermittelt. Da gemäß Art. 4 Nr. 1 DSGVO als betroffene Person auch identifizierbare natürliche Personen gelten und nicht nur bereits identifizierte Personen, reiche es aus, wenn eine Kategorie oder Gruppe von Personen benannt werde, die von der vermeintlich rechtswidrigen Datenverarbeitung betroffen sind. Auch der Nachweis einer konkreten Verletzung von Datenschutzrechten dieser Personen sei nicht Voraussetzung für die Erhebung einer Verbandsklage. Auch der Umstand, dass ein Verstoß gegen Datenschutzvorschriften im Rahmen eines Verfahrens zur Durchsetzung von anderen, dem Verbraucherschutz dienenden Vorschriften geltend gemacht werde, sei unschädlich. Denn Datenschutzverstöße können auch Verstöße gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen.
Erhöhte Gefahr von DSGVO-Klagen
Unternehmen müssen also wieder vermehrt damit rechnen, dass sie von Verbraucherverbänden wegen etwaiger Datenschutzverletzungen in Anspruch genommen werden. Denn nunmehr ist höchstrichterlich klargestellt, dass sie hierfür auch unter Geltung der DSGVO keinen Auftrag einer durch eine Datenschutzverletzung betroffenen Personen benötigen. Sie können von sich aus aktiv werden, wenn sie der Meinung sind, dass ein Unternehmen gegen datenschutzrechtliche Bestimmungen verstößt. Die weiteren vom EuGH benannten Voraussetzungen des Verbandsklagerechts lassen sich vergleichsweise leicht erfüllen. Es ist wenig wahrscheinlich, dass die deutschen Verbraucherverbände die Ihnen weiter zugestandenen Möglichkeiten, gegen Unternehmen vorzugehen, ungenutzt lassen. Folglich sollte verstärkt darauf geachtet werden, dass die über einen Internetauftritt oder sonst leicht zugänglichen Informationen zur Verarbeitung personenbezogener Daten keinen Rückschluss auf Datenschutzverstöße zulassen. Dies gilt insbesondere für die gemäß den Art. 13 und 14 DSGVO zu erteilenden Informationen, die Abfrage von Einwilligungen beispielsweise in die Verwendung von Cookies und sonstigen technisch nicht unbedingt notwendigen Technologien – wobei die von den deutschen Aufsichtsbehörden vertretene restriktive Ansicht zur gleichwertigen Möglichkeit der Ablehnung solcher Anwendungen zu kritisieren ist – sowie veröffentlichte vertragliche Bestimmungen mit Bezügen zur Verarbeitung personenbezogener Daten.
