Erneut vorm EuGH: Abmahn- und Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen

Aufgrund einer früheren Entscheidung des EuGH steht bereits fest, dass Verbraucherschutzverbände bei DSGVO-Verstößen grundsätzlich abmahnen und klagen dürfen. Nun steht eine weitere Entscheidung des EuGH an, die sich damit befasst, ob dies konkret auch für die Pflicht zur Information über die Datenverarbeitung (in der Datenschutzerklärung) gilt. Für Händler bedeutet dies, in jedem Fall stets eine DSGVO-konforme Datenschutzerklärung bereitzuhalten. Wir erläutern die Thematik und unterstützen Händler bei der Umsetzung ihrer DSGVO-Pflichten.

I. Die grundsätzliche Problematik

Im Kern geht es auch bei dem aktuellen Verfahren vor dem EuGH (Az. C-757/22) um die Frage, ob Verbraucherschutzverbände bzw. -vereine eine gewisse Autonomie haben und auch in Abwesenheit eines konkreten Auftrages wegen potenzieller Datenschutzverstöße abmahnen bzw. vor Gericht ziehen dürfen.

Für die Beantwortung dieser Frage spielen sowohl europarechtliche als auch nationale Regelungen eine Rolle. Im Genaueren geht es um das Verhältnis von nationalen Vorschriften zu den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und ob diese sich widersprechen. Da für die Auslegung des EU-Rechts, wie z.B. der DSGVO, letztlich der EuGH zuständig ist, hat der Bundesgerichtshof (BGH) nun einzelne Auslegungsfragen bereits zum zweiten Mal dem EuGH zur Entscheidung vorgelegt.

II. Worum geht es?

Die Verbraucherzentrale Bundesverband e. V. (VZBV) verklagte die Meta Platform Ireland Limited, den Betreiber der Social Media-Platform Facebook, auf Unterlassung.

Auf seiner Social-Media-Plattform machte dieser seinen Nutzern digitale Spiele von Drittanbietern in einem gesonderten Bereich mit der Bezeichnung „App-Zentrum“ verfügbar. Indem User den Button „Sofort spielen“ anklickten, wurden sämtliche ihrer Daten - beispielsweise ihre E-Mail-Adresse - an die Betreiber der jeweiligen Online-Spiele übermittelt.  Eine Information über diese Datenübermittlung befand sich unterhalb des Buttons. Bei einem der Spiele war zusätzlich folgender Hinweis zu lesen: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Die Verbraucherzentrale sah in den Hinweisen insbesondere einen Verstoß gegen die gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung der Nutzer. Hinsichtlich des Spiels mit dem oben erwähnten zusätzlichen Hinweis meinte die Verbraucherzentrale eine den Nutzer unangemessen benachteiligende AGB zu erkennen.

III. Abmahn- und Klagebefugnis von Verbraucherschutzverbänden auch ohne Auftrag von betroffenen Personen?

Im diesem Gerichtsverfahren spielen grundsätzlich sowohl die Bestimmungen der DSGVO als auch des nationalen Rechts in Deutschland eine Rolle.

Der BGH wandte sich zunächst hinsichtlich der Klärung der Frage, ob nationale Vorschriften nicht eventuell DSGVO-Regelungen widersprechen könnten, an den EuGH. Auf der einen Seite ging es somit um die nationalen gesetzlichen Vorschriften, welche sowohl Mitbewerbern als auch nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen DSGVO-Verstößen gegen den Verletzer im Wege einer Klage vor den Zivilgerichten auch dann vorgehen zu können, wenn kein konkretes Recht einzelner betroffener Personen verletzt worden ist, sowie hierzu auch kein Auftrag durch eine betroffene Person vorliegt.

Auf der anderen Seite ging es insbesondere um Art. 80 Abs. 1 und 2 DSGVO.
 
Nach Art. 80 Abs. 1 DSGVO haben betroffene Personen das Recht,

"eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist"

zu beauftragen und sich durch diese bei Verfahren zur Gewährleistung des Schutzes von personenbezogenen Daten rechtlich vertreten zu lassen.

Des Weiteren erlaubt Art. 80 Abs. 2 DSGVO EU-Mitgliedstaaten, den erwähnten Einrichtungen, Organisationen oder Vereinigungen das Recht einzuräumen, auch ohne einen konkreten Auftrag durch eine betroffene Person rechtlich handeln zu dürfen, wenn

"ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind."

IV. Wie hatte der EuGH im ersten Verfahren entschieden?

Der EuGH verneinte einen Widerspruch zwischen DSGVO und den nationalen Regelungen und verwies dabei auf Art. 80 Abs. 2 DSGVO (Urteil vom 28.4.2022 - C-319/20).

Eine Einrichtung, welche ein Ziel verfolge, das im öffentlichen Interesse liege – wie im Falle der Verbraucherzentrale – dürfe unabhängig vom Vorliegen eines konkreten Auftrages und der Verletzung konkreter Rechte von betroffenen Personen tätig werden, also auch eine (Verbands-)Klage erheben.

Als weitere Voraussetzung hierfür nannte der EuGH aber, dass dabei die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen können müsse.

V. Worum geht es bei der zweiten Vorlage zum EuGH?

Aktuell liegt dem EuGH eine weitere Frage zur Klärung vor.

Die erste Entscheidung betraf Art. 80 Abs. 2 DSGVO. Nach dieser Vorschrift sei jedoch ein Verbraucherschutzverein zu einer Abmahnung bzw. Klage u.a. nur dann befugt, wenn er geltend mache, die Rechte der betroffenen Person gem. DSGVO seien "infolge einer (Daten-)Verarbeitung" verletzt worden.

Der BGH möchte nun bei seiner aktuellen Vorlagefrage vom EuGH wissen, ob eine solche Rechtsverletzung "infolge einer Verarbeitung" i.S.v. Art. 80 Abs. 2 DSGVO auch dann geltend gemacht werden kann, wenn die Verbandsklage - wie im oberen Fall - auf eine Verletzung der Informationspflichten gem. Art. 12 Abs. 1 Satz 1 DSGVO i. V. m. Art. 13 Abs. 1 Buchst. c und e DSGVO beruht. Diese Bestimmungen beinhalten die Pflicht des datenschutzrechtlichen Verantwortlichen, im Rahmen etwa einer Datenschutzerklärung über die Verarbeitung von personenbezogenen Daten zu informieren.

Die Entscheidung des EuGH wird nun mit Spannung erwartet, da sie insbesondere darauf Auswirkung hat, ob Fehler in der Datenschutzerklärung grundsätzlich auch ohne Beschwerde bzw. Aufträge von einzelnen betroffenen Personen durch Verbraucherschutzverbände abgemahnt werden können.

VI. Was müssen Online-Händler nun beachten?

Verstoßen Online-Händler gegen Bestimmungen zum Schutz der personenbezogenen Daten aus der DSGVO, müssen sie mit Abmahnungen und ggf. auch Klagen durch Verbraucherschutzverbände ggf. auch dann rechnen, wenn diese hierzu nicht von konkret betroffenen Personen beauftragt, sondern von sich aus tätig werden.

Daher empfehlen wir Händlern, ihre Hausaufgaben in Sachen DSGVO zu machen und nicht nur die Datenverarbeitung DSGVO-konform zu gestalten, sondern auch die Informationen zum Datenschutz in ihrer Datenschutzerklärung vollständig im Einklang mit den Vorgaben vorzuhalten.

Die IT-Recht Kanzlei stellt ihren Mandanten nicht nur eine DSGVO-konforme Datenschutzerklärung, sondern auch viele Leitfäden zum rechtmäßigen Verkauf von Produkten im Internet zur Verfügung. Sprechen Sie uns gerne an, wenn Sie hierzu Fragen haben.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.