Der deutsche vzbv (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.) hatte gegen Facebook Ireland eine Unterlassungsklage erhoben. Anlass war, dass auf Facebook-Seite Spiele derart präsentiert wurden, dass der Verbraucher mit dem Betätigen eines Buttons wie ‚Spiel spielen‘ die Erklärung abgibt, dass der Betreiber des Spiels über das von betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen des Verbrauchers zu übermitteln (posten). Weiters beanstandete der vzbv im Zusammenhang mit der Nutzung von Apps im Rahmen des sozialen Netzwerkes folgende Klausel: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten“.
Die Klage wurde unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben.
Fraglich war nun, ob Art 80 Abs 2 DSGVO der Verbandsklagebefugnis, ua gegen AGB wegen eines DSGVO-Verstoßes vorzugehen, entgegensteht.
Dazu führt der EuGH aus:
Art 80 Abs 2 DSGVO lässt den Mitgliedstaaten einen Ermessensspielraum hinsichtlich seiner Umsetzung (Öffnungsklausel). Damit die in dieser Bestimmung vorgesehene Verbandsklage ohne Beauftragung im Bereich des Schutzes personenbezogener Daten erhoben werden kann, müssen die Mitgliedstaaten daher von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nationalen Recht vorzusehen. Im vorliegenden Fall hat der deutsche Gesetzgeber nach dem Inkrafttreten der DSGVO keine besonderen Bestimmungen erlassen, die speziell der Umsetzung von Art 80 Abs 2 der DSGVO im deutschen Recht dienen sollten. Die im Ausgangsverfahren in Rede stehende nationale Regelung, die zur Umsetzung der Richtlinie 2009/22 erlassen wurde, ermöglicht es Verbänden zur Wahrung von Verbraucherinteressen nämlich bereits, gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben.
Diese deutschen Vorschriften fügen sich in den von Art 80 Abs 2 DSGVO eingeräumten Ermessenspielraum ein:
Eine Einrichtung iSv Art 80 Abs 1 DSGVO kann eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind. Ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband kann unter diesen Begriff fallen, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, und die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann.
Von einer solchen Einrichtung kann für die Zwecke der Erhebung einer Verbandsklage iSv Art 80 Abs 2 DSGVO nicht verlangt werden kann, dass sie die Person, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der DSGVO verstößt, konkret betroffen ist, im Voraus individuell ermittelt. Es genügt nämlich der Hinweis, dass der Begriff „betroffene Person“ iSv Art 4 Nr 1 DSGVO nicht nur eine „identifizierte natürliche Person“, sondern auch eine „identifizierbare natürliche Person“ umfasst. Unter diesen Umständen kann die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, auch für die Erhebung einer solchen Verbandsklage ausreichen.
Die Erhebung einer Verbandsklage nach Art 80 Abs 2 DSGVO ist nicht daran geknüpft, dass eine konkrete Verletzung der Rechte einer Person aus den Datenschutzvorschriften vorliegt.
Die Erhebung einer Verbandsklage setzt lediglich voraus, dass die betroffene Einrichtung „ihres Erachtens“ davon ausgeht, dass die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung personenbezogener Daten dieser Person verletzt worden seien, und somit eine Datenverarbeitung behauptet, die gegen die Bestimmungen dieser Verordnung verstoße.
Folglich reicht es für die Anerkennung der Klagebefugnis einer solchen Einrichtung nach Art 80 Abs 2 DSGVO aus, geltend zu machen, dass die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen könne, ohne dass ein der betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte tatsächlich entstandener Schaden nachgewiesen werden müsste.
Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.
Ein Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten kann gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen. Die Mitgliedstaaten sind nicht daran gehindert, von der ihnen eingeräumten Befugnis in dem Sinne Gebrauch zu machen, dass die Verbände zur Wahrung von Verbraucherinteressen befugt sind, gegen Verletzungen der in der DSGVO vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorzugehen, wie sie in der Richtlinie 2005/29 und der Richtlinie 2009/22 vorgesehen sind.
Zusammenfassung:
Der EuGH stellt somit fest, dass Art 80 DSGVO einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
EuGH 28.4.2022, C-319/20 (Meta Platforms Ireland/vzbv)
Anmerkung:
Der ö OGH hat in einem VKI-Verfahren eine inhaltsgleiche Vorlagefrage an den EuGH gestellt (zu 6 Ob 77/20x; C-701/20 [AVIS/vki]). Dieses Verfahren wurde bis zur Urteilsverkündigung im Verfahren facebook/vzbv unterbrochen. Auch weitere Verbandsverfahren des VKI, in denen auch Verstöße gegen die DSGVO geltend gemacht wurden, wurden daraufhin unterbrochen. Wir hoffen nun auf eine baldige Fortsetzung dieser Verfahren.
