DA+

Urteil : Klage eines Verbands zur Wahrung von Verbraucherinteressen ohne Auftrag und unabhängig von der Verletzung konkreter Rechte einer betroffenen Person : aus der RDV 4/2022, Seite 215 bis 217

(Europäischer Gerichtshof, Urteil vom 28. April 2022 – C-319/20 –)

Lesezeit 4 Min.

Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Anmerkung zu EuGH, Urt. v. 28.04.2022 – C-319/20 – Meta

I. Die irische Datenschutzbehörde, die für die Datenschutzaufsicht über Meta zuständig ist (federführende Aufsichtsbehörde i.S.d. Art. 56 I DS-GVO), ist nicht für eine besonders strenge Anwendung des Datenschutzrechts bekannt. Daher sucht der klagende Verbraucherzentrale Bundesverband (VZBV) nach Wegen, das Verhalten Metas durch Gerichte in Deutschland prüfen zu lassen. Das passende Instrument dafür meinte der VZBV in der Verbandsklage bei verbraucherschutzgesetzwidrigen Praktiken nach § 2 II 1 Nr. 11 UKlaG und im lauterkeitsrechtlichen Rechtsbruchtatbestand des § 3a UWG ausgemacht zu haben. Diese Vorschriften stammen jedoch aus einer Zeit, in der das Datenschutzrecht europarechtlich nur durch eine Richtlinie und nicht durch eine unmittelbar anwendbare Verordnung geregelt war. Auch seine Klage vor dem LG Berlin hatte der VZBV noch vor dem Inkrafttreten der DS-GVO erhoben. Fraglich – und Gegenstand dieses Vorabentscheidungsverfahrens – war daher, ob für eine Klage wie die des VZBV unter Geltung der Verordnung noch Raum ist. Für die Richtlinie hatte der EuGH dies bereits bejahend entschieden.[1]

II. Mit der vorliegenden Entscheidung schreibt der EuGH seine Rechtsprechung fort und erlaubt mitgliedstaatliche Instrumente des private enforcement durch (Verbraucherschutz-)Verbände auch unter Geltung der DS-GVO. Der EuGH entscheidet auf Vorlage des BGH,[2] dass die mitgliedstaatlichen Regelungen zur Verbandsklage wegen Verletzungen des Datenschutzrechts wie die Bestimmungen in § 2 II 1 Nr. 11 UKlaG und § 3a UWG mit der Öffnungsklausel des Art 80 II DS-GVO in Einklang stehen.

1. Jegliche mitgliedstaatliche Regelung der Durchsetzung des Datenschutzrechts steht dabei, wie bereits vom BGH in seiner Vorlageentscheidung angemerkt,[3] in einem Spannungsverhältnis mit dem durch die DS-GVO verfolgten Ziel der weitgehenden Harmonisierung des Datenschutzrechts (Rn. 57 f. der hier besprochenen Entscheidung; nachfolgende Randnummern ohne nähere Bezeichnung beziehen sich auf selbige). Eine unionsweit einheitliche Auslegung des materiellen Datenschutzrechts und ein einheitliches Durchsetzungsniveau sind dann jedenfalls in Frage gestellt, wenn die Mitgliedstaaten eigene Instrumente zur dezentralen Durchsetzung, beispielsweise durch Verbände, vorsehen.

2. Der EuGH führt richtigerweise aus, dass sich die Klagebefugnis des VZBV jedenfalls nicht aus Art. 80 I DS-GVO direkt ergibt, da es am Auftrag einer betroffenen Person mangelt (Rn. 49). Im Übrigen ergibt sich die Zulässigkeit der mitgliedstaatlichen Regelungen auch nicht aus Art. 84 I DS-GVO, da dies eine Öffnungsklausel allein für Sanktionen ist. Die Verbandsklage als Rechtsbehelf ist jedoch etwas kategorisch anderes (Rn. 49); siehe auch die Überschrift von Kapitel VIII der DS-GVO.

3. Die entscheidende Frage für den EuGH ist damit, ob die Regelungen in § 2 II 1 Nr. 11 UKlaG und § 3a UWG – und mittelbar die Klage des VZBV – im Rahmen des durch die Öffnungsklausel des Art. 80 II DS-GVO Zulässigen sind (Rn. 51, 60, 62). Dass es sich hierbei um eine vorweggenommene (Teil-)Umsetzung handelt, hält der EuGH für unproblematisch (Rn. 61).[4]

Der EuGH erkennt weiter auch an, dass zu den in Art. 80 II DS-GVO genannten Verbänden die klagebefugten Verbände nach § 8 III Nr. 3 UWG, § 3 I 1 Nr. 1 UKlaG jedenfalls dann zählen, wenn es sich um Verbraucherverbände handelt (Rn. 64–66).

Kontrovers diskutiert wurde vor Erlass des vorliegenden Urteils die Frage, was eine „Verletzung der Rechte einer betroffenen Person“ i.S.d. Art. 80 II DS-GVO ist. Einerseits wurde hierzu vertreten, der klagende Verband müsse die konkret-individuelle Verletzung der Rechte einer bestimmten betroffenen Person geltend machen; der vorlegende BGH schien ebenfalls dieser Ansicht nahezustehen.[5] Anderseits wurde auch vertreten, dass es ausreichen muss, die Verletzung einer generell drittschützenden Norm des materiellen Datenschutzrechts abstrakt-generell nachzuweisen. Begründet wurde letzteres mit dem Charakter der Verbandsklage sowie prozessualen Erwägungen.[6] Der EuGH schließt sich nun dieser zweitgenannten Ansicht an (Rn. 67–72), wobei er dies teils wenig überzeugend mit dem Begriff der „betroffenen Per-son“ in Art. 80 II DS-GVO begründet. Dazu verweist er auf die Legaldefinition dieses Begriffs in Art. 4 Nr. 1 DSGVO, die besagt, dass es sich dabei neben einer „identifizierten“ auch um eine „identifizierbare Person“ handeln kann. Wenn der EuGH in Bezug darauf ausführt, es könne sich daher bei einer identifizierbaren Person auch um eine „Kategorie oder Gruppe von Personen“ handeln (Rn. 69), dann verkennt dies, dass es sich auch bei (bloß) identifizierbaren Personen immer um konkret-individuelle Subjekte handeln muss.[7] Überzeugender ist es hingegen, dass der EuGH der Formulierung „ihres [scil. der klägerischen Einrichtung] Erachtens“ in Art. 80 II DS-GVO eine generell niedrigere Nachweishürde (i.S. abstrakt-genereller Verletzungen) entnimmt (Rn. 71).[8]

4. Abschließend unterzieht der EuGH diesen Befund noch der Prüfung anhand höherrangigen Rechts (Art. 16 AEUV, Art. 8 GR-Charta) und dem Regelungszweck der DS-GVO, der (u.a.) in einem hohen Datenschutzniveau besteht. Er befindet, dass beides der gefundenen Auslegung nicht entgegensteht, sie durch die Auslegung vielmehr sogar gefördert wird (R. 73–77).

III. Die ebenfalls vom BGH vorgelegte Frage nach der Klagebefugnis von Mitbewerbern war nicht entscheidungserheblich, sodass der EuGH auf ihre Beantwortung verzichtet (Rn. 50). Richtigerweise ist die Klagebefugnis der Mitbewerber ebenfalls nicht durch die DS-GVO eingeschränkt worden, sodass sie unmittelbar aus §§ 3a, 8 III Nr. 1 UWG folgt.[9]

Rechtsanwalt Dr. Fabian Uebele, London

[1] EuGH, NJW 2019, 2755, Rn. 43–63 – Fashion ID.

[2] BGH, WRP 2020, 1182 – App-Zentrum.

[3] BGH, WRP 2020, 1182, Rn. 44–46 – App-Zentrum.

[4] So bereits Uebele, WRP 2020, 1187, Rn. 9; dagegen noch Köhler, WRP 2018, 1269, Rn. 49–59.

[5] BGH, WRP 2020, 1182, Rn. 37, 40, 60, 62 – App-Zentrum.

[6] Uebele, WRP 2021, 11 Rn. 23–28.

[7] Vgl. Ernst, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, DS-GVO Art. 4 Nr. 1 Rn. 8.

[8] Dagegen wohl Lühmann/Stegemann, NJW 2022, 1715, Rn. 25.

[9] Uebele, GRUR 2019, 694, 697–699. Gegenteilige Schlüsse aus der vorliegend besprochenen Entscheidung zieht Ohly, GRUR 2022, 924, 925.