EuGH, Urt. 28.4.2022 - C-319/20
Abstrakte datenschutzrechtliche Klagebefugnis eines Verbraucherverbands
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 07/2022
Aus: IT-Rechtsberater, Heft 07/2022
Art. 80 Abs. 2 DSGVO steht einer nationalen Regelung, nach der ein Verbraucherverband gegen den mutmaßlichen Datenschutzverletzer ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte Betroffener Klage wegen unlauterer Geschäftspraktiken, Verstoßes gegen Verbraucherschutzgesetze oder unwirksamer AGB erheben kann, nicht entgegen, sofern die Datenverarbeitung die Rechte mindestens identifizierbarer natürlicher Personen aus der DSGVO beeinträchtigen kann.
GRC Art. 8; DSGVO Artt. 80 Abs. 1, Abs. 2, 84 Abs. 1; UWG § 8 Abs. 1, Abs. 3 Nr. 3; UKlaG § 4
Fakultative Klagebefugnis: Abweichend von der grundsätzlichen vollständigen Harmonisierung nach Art. 1 Abs. 1, Erwgrd. 9, 10, 13 DSGVO böten Öffnungsklauseln wie etwa Art. 80 Abs. 2 DSGVO einen Ermessenspielraum zu Abweichungen per Erlass bzgl. Art und Weise der Umsetzung der eigentlich unmittelbar geltenden DSGVO (vgl. EuGH v. 15.6.2021 – C-645/19 – Facebook Ireland u.a., Rz. 110 m.w.N., CR 2021, 523). Von dem Ermessen müsse jedoch innerhalb der Grenzen der DSGVO Gebrauch gemacht werden (Rz. 57–60).
Kein Erlass nach DSGVO: Im vorliegenden Fall habe der deutsche Gesetzgeber nach dem Inkrafttreten der DSGVO keine besonderen Bestimmungen zu Art. 80 Abs. 2 DSGVO erlassen. Daher komme es im Wesentlichen darauf an, ob sich die in Rede stehenden nationalen Vorschriften in den Rahmen des in Art. 80 Abs. 2 DSGVO eingeräumten Ermessensspielraums einfügten (Rz. 61 f.).
Persönlicher Anwendungsbereich: Art. 80 Abs. 2 DSGVO verweise hinsichtlich der fakultativ ohne Antrag Klagebefugten auf die Kriterien, der nach Abs. 1 zwingend zur Klage Beauftragten (Rz. 64).
Sachlicher Anwendungsbereich: Nach Art. 80 Abs. 2 DSGVO könne nicht verlangt werden, dass die konkret betroffene Person im Voraus individuell zu ermitteln sei, da gem. Art. 4 Nr. 1 DSGVO auch eine „identifizierbare natürliche Person“ umfasst sei, die also direkt oder indirekt, mittels Zuordnung zu einer Kennung wie insb. einem Namen, einer Kennnummer, Standortdaten oder einer Onlinekennung identifiziert werden könne. Unter diesen Umständen könne die Benennung einer Kategorie von Personen, die von einer solchen Verarbeitung betroffen seien, auch für die Erhebung einer Verbandsklage ausreichen (Rz. 67 ff.).
Verletzungsmöglichkeit: Ferner könne keine konkrete Rechtsverletzung verlangt werden, da bereits nach dem Wortlaut von Art. 80 Abs. 2 DSGVO die Erhebung einer Verbandsklage lediglich voraussetze, dass die betroffene Einrichtung „ihres Erachtens“ von einer Verletzung der Rechte aus der DSGVO ausgehe. Diese Auslegung stehe mit der besonderen Wirksamkeit einer Verbandklage und dem von der DSGVO intendierten hohen Schutzniveau der Grundrechte aus Art. 16 AEUV und Art. 8 GRC im Einklang (Rz. 70–76).
Inzidenter Datenschutzverstoß: Ein Datenschutzverstoß könne gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen, so dass die Mitgliedstaaten eine Verbandsklage gegen die Verletzung der Rechte aus der DSGVO ggf. über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorsehen könnten, wie sie in der UGP-RL 2005/29/EG und UKla-RL 2009/22/EG vorgesehen seien. Diese Auslegung werde von dem bis zum 25.6.2023 umzusetzenden Art. 2 Abs. 1, Anh. I Nr. 56 Verbandsklagen-RL (EU) 2020/1828 die UKla-RL ersetzend bestätigt, der ausdrücklich auf die DSGVO verweise. Entscheidend sei, dass Durchsetzungsmechanismen i.S.v. Art. 80 DSGVO nicht geändert werden könnten (Rz. 78–82; vgl. Erwgrd. 11, 15 Verbandsklagen-RL).
GRC Art. 8; DSGVO Artt. 80 Abs. 1, Abs. 2, 84 Abs. 1; UWG § 8 Abs. 1, Abs. 3 Nr. 3; UKlaG § 4
Das Problem
Der vzbv hatte Facebook Ireland Ltd. im Jahr 2014 noch auf der Grundlage des BDSG und der DSRL 95/46/EG als Marktverhaltensregelung angesichts unzureichender Hinweise zu Umfang und Zweck der Datenverarbeitung in seinem „App-Zentrum“ und damit uninformierter Einwilligung der Weitergabe von Nutzerdaten an Spieleanbieter wegen unlauterer Geschäftspraktiken, Verstoßes gegen ein Verbraucherschutzgesetz und unwirksamer AGB gem. § 3a UWG i.V.m. §§ 1, 2 Abs. 2 Satz 1 Nr. 11 UKlaG verklagt.Die Entscheidung des Gerichts
Art. 80 Abs. 2 DSGVO stehe der Klagebefugnis des vzbv gem. § 8 Abs. 3 Nr. 3 UWG und §§ 3 Abs. 1 Satz 1 Nr. 1, 4 UKlaG nicht entgegen.Fakultative Klagebefugnis: Abweichend von der grundsätzlichen vollständigen Harmonisierung nach Art. 1 Abs. 1, Erwgrd. 9, 10, 13 DSGVO böten Öffnungsklauseln wie etwa Art. 80 Abs. 2 DSGVO einen Ermessenspielraum zu Abweichungen per Erlass bzgl. Art und Weise der Umsetzung der eigentlich unmittelbar geltenden DSGVO (vgl. EuGH v. 15.6.2021 – C-645/19 – Facebook Ireland u.a., Rz. 110 m.w.N., CR 2021, 523). Von dem Ermessen müsse jedoch innerhalb der Grenzen der DSGVO Gebrauch gemacht werden (Rz. 57–60).
Kein Erlass nach DSGVO: Im vorliegenden Fall habe der deutsche Gesetzgeber nach dem Inkrafttreten der DSGVO keine besonderen Bestimmungen zu Art. 80 Abs. 2 DSGVO erlassen. Daher komme es im Wesentlichen darauf an, ob sich die in Rede stehenden nationalen Vorschriften in den Rahmen des in Art. 80 Abs. 2 DSGVO eingeräumten Ermessensspielraums einfügten (Rz. 61 f.).
Persönlicher Anwendungsbereich: Art. 80 Abs. 2 DSGVO verweise hinsichtlich der fakultativ ohne Antrag Klagebefugten auf die Kriterien, der nach Abs. 1 zwingend zur Klage Beauftragten (Rz. 64).
Sachlicher Anwendungsbereich: Nach Art. 80 Abs. 2 DSGVO könne nicht verlangt werden, dass die konkret betroffene Person im Voraus individuell zu ermitteln sei, da gem. Art. 4 Nr. 1 DSGVO auch eine „identifizierbare natürliche Person“ umfasst sei, die also direkt oder indirekt, mittels Zuordnung zu einer Kennung wie insb. einem Namen, einer Kennnummer, Standortdaten oder einer Onlinekennung identifiziert werden könne. Unter diesen Umständen könne die Benennung einer Kategorie von Personen, die von einer solchen Verarbeitung betroffen seien, auch für die Erhebung einer Verbandsklage ausreichen (Rz. 67 ff.).
Verletzungsmöglichkeit: Ferner könne keine konkrete Rechtsverletzung verlangt werden, da bereits nach dem Wortlaut von Art. 80 Abs. 2 DSGVO die Erhebung einer Verbandsklage lediglich voraussetze, dass die betroffene Einrichtung „ihres Erachtens“ von einer Verletzung der Rechte aus der DSGVO ausgehe. Diese Auslegung stehe mit der besonderen Wirksamkeit einer Verbandklage und dem von der DSGVO intendierten hohen Schutzniveau der Grundrechte aus Art. 16 AEUV und Art. 8 GRC im Einklang (Rz. 70–76).
Inzidenter Datenschutzverstoß: Ein Datenschutzverstoß könne gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen, so dass die Mitgliedstaaten eine Verbandsklage gegen die Verletzung der Rechte aus der DSGVO ggf. über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorsehen könnten, wie sie in der UGP-RL 2005/29/EG und UKla-RL 2009/22/EG vorgesehen seien. Diese Auslegung werde von dem bis zum 25.6.2023 umzusetzenden Art. 2 Abs. 1, Anh. I Nr. 56 Verbandsklagen-RL (EU) 2020/1828 die UKla-RL ersetzend bestätigt, der ausdrücklich auf die DSGVO verweise. Entscheidend sei, dass Durchsetzungsmechanismen i.S.v. Art. 80 DSGVO nicht geändert werden könnten (Rz. 78–82; vgl. Erwgrd. 11, 15 Verbandsklagen-RL).