Darf ein Verbraucherschutzverband gegen Verletzungen der DSGVO auch ohne tatsächliche individuelle Rechtsverletzung eines Betroffenen klagen? Mit dieser Frage setzte sich der Europäische Gerichtshof (EuGH) in einer Vorlage des BGH auseinander (Urteil vom 28. April 2022, Az. C-319/20).
Hintergrund des Gerichtsverfahrens
Auslöser des Urteils war eine Unterlassungsklage der Verbraucherzentrale Bundesverband e.V. gegen Meta Platforms Ireland Ltd. wegen unrechtmäßiger Verarbeitung der Daten von Facebook-Nutzern im Jahr 2012. Der Entscheidung des EuGH waren Urteile des Berliner Landgerichts und zuletzt 2017 des Berliner Kammergerichts vorausgegangen. Im Mai 2020 landete der Fall beim Bundesgerichtshof (BGH), welcher die Frage der Verbandsklagebefugnis schließlich dem EuGH zur Vorabentscheidung vorlegte.
Der Vorlagefrage des BGH lag der Einwand Facebooks zugrunde, die Verbraucherzentrale hätte nach Einführung der Datenschutz-Grundverordnung (DSGVO) nur dann Klage erheben dürfen, wenn entweder ein entsprechender Auftrag eines verletzten Verbrauchers vorgelegen hätte (Art. 80 Abs. 1 DSGVO) oder der klagende Verband die Verletzung eines konkreten Verbrauchers tatsächlich hätte nachweisen können (Art. 80 Abs. 2 DSGVO). Da keine dieser beiden Voraussetzungen vorgelegen habe, hätte die Klage aus Sicht von Facebook wegen fehlender Klagebefugnis abgewiesen werden müssen.
Der EuGH hatte damit zu klären, ob mit Einführung der DSGVO ein von konkreten Fällen losgelöstes Verbandsklagerecht existiert oder ob solche Klagen stets an eine konkrete Beauftragung bzw. eine tatsächliche Verletzung eines Verbrauchers gebunden sind (siehe dazu auch der Artikel zum Verbandsklagerecht in Deutschland).
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Der EuGH erteilte der Argumentation Facebooks nun eine Absage und folgte damit dem Schlussantrag des EU-Generalanwalts. Die Klagebefugnis eines Verbands unterliegt demnach keiner Einzelfallprüfung, ob tatsächlich eine Verletzung stattgefunden hat. Vielmehr genügt bereits ein feststellbarer Verstoß gegen die DSGVO, wenn dieser grundsätzlich geeignet ist, die Rechte identifizierter und identifizierbarer Personen zu verletzen.
Nach Auffassung des Generalanwalts kommt die Wahrung der Kollektivinteressen der Verbraucher durch Verbände dem Ziel der Datenschutz-Grundverordnung, ein hohes Schutzniveau für personenbezogene Daten zu schaffen, besonders entgegen. Dies spreche für eine entsprechende Auslegung von Art. 80 Abs. 2 DSGVO.
Datenschutzrechtliche Einschätzung
Die Auslegung der Vorlagefrage des BGH durch den EuGH führt zu einer deutlichen Stärkung des Verbandsklagerechts bei Datenschutzverletzungen in Deutschland. Es ist deshalb zu erwarten, dass der BGH im Sinne der Verbraucherzentrale entscheiden wird.
Zukünftig ist vermehrt mit Klagen von Verbraucherverbänden zu rechnen, die gegen (offensichtliche) Verletzungen von Datenschutzbestimmungen (z.B. auf Websites) vorgehen werden. Neben die Aufsichtsbehörden tritt in Zukunft somit wohl noch ein weiterer großer Player, mit welchem sich Unternehmen in Bezug auf ihre Datenschutz-Compliance zukünftig vor den Zivilgerichten konfrontiert sehen könnten.
Zwar dürfte es in solchen durch Verbände initiierten Klageverfahren in der Regel zunächst nur um die Unterlassung des beanstandeten Datenschutzverstoßes gehen. Allerdings stellen sowohl der mögliche Imageschaden, der von einem entsprechenden Urteil ausgehen kann, als auch potenzielle Folgeverfahren in Form von zivilen Schadenersatzklagen einzelner Betroffener oder Ermittlungen der Datenschutzaufsichtsbehörden nicht zu unterschätzende Risiken dar.
Vor diesem Hintergrund sollten insbesondere Unternehmen, die Leistungen gegenüber Verbrauchern erbringen, zeitnah die korrekte Umsetzung der sie betreffenden Datenschutzbestimmungen sicherstellen und sich hierzu im Zweifel sachkundige Unterstützung einholen.
