Der Europäische Gerichtshof hat entschieden, dass Verbraucherschutzverbände bei Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben können. Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden (EuGH, Urteil vom 28.04.2022, Az. C-319/20 – Meta Platforms Ireland).

Meta Platforms Ireland, vormals Facebook Ireland, ist die für die Verarbeitung personenbezogener Daten von Nutzern des sozialen Netzwerks Facebook in der Union Verantwortliche.

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland, im Folgenden: Bundesverband) erhob gegen Meta Platforms Ireland eine Unterlassungsklage, weil diese ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht habe und dabei gegen die Vorschriften zum Schutz personenbezogener Daten, zur Bekämpfung unlauteren Wettbewerbs und zum Schutz der Verbraucher verstoßen habe.

Der Bundesgerichtshof (Deutschland) hält die Klage des Bundesverbands für begründet, hegt aber Zweifel an ihrer Zulässigkeit. Er stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Außerdem merkt er an, dass aus der DSGVO abgeleitet werden könne, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege.

In seinem heutigen Urteil stellt der Gerichtshof fest, dass die DSGVO einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Vorab weist der Gerichtshof darauf hin, dass mit der DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden ist. Allerdings eröffnen einige Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen. Insoweit haben die Mitgliedstaaten insbesondere die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen geknüpft ist.

Zunächst einmal fällt ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte der Verbraucher zu gewährleisten. Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken kann nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen.

Ferner kann eine solche Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens“ die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind, ohne dass von ihr verlangt würde, dass sie die Person, die von der Datenverarbeitung konkret betroffen ist, im Voraus individuell ermittelt und das Vorliegen einer konkreten Verletzung der Rechte aus den Datenschutzvorschriften behauptet.

Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten. Schließlich steht die DSGVO nicht nationalen Bestimmungen entgegen, nach denen im Wege von Verbandsklagen gegen Verletzungen der in dieser Verordnung vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorgegangen werden kann.

Pressemitteilung des EuGH vom 28.04.2022 (68/22)