In seinem Urteil vom 11.07.2024 entschied der EuGH bereits erstmalig über die Klagebefugnis von Verbraucherschutzverbänden bei der Verfolgung von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO).
Das Verfahren wurde vom Bundesverband der Verbraucherzentralen und Verbraucherverbände angestrengt, der gegen Meta Platforms Ireland (früher Facebook Ireland Ltd.) klagte. Der Bundesverband der Verbraucherzentralen ist in der Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Dachverband der Verbraucherzentralen der Bundesländer.
Auf der von Meta betriebenen Social Media Plattform Facebook konnte der Nutzer im „App Zentrum“ Spiele von Drittanbietern kostenfrei nutzen. Unter der Schaltfläche „Sofort Spielen“ befand sich der Hinweis: „Durch das Anklicken von ‚Spiel spielen‘ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“
Der Hinweis soll nach Ansicht der Klägerin als unlautere Praxis gegen § 3a UWG und § 2 Abs. 2 Satz 1 Nr. 11 UKlaG zu werten sein und Meta damit unwirksame Allgemeine Geschäftsbedingungen gemäß § 1 UKlaG verwendet haben. Außerdem verstoße Meta gegen datenschutzrechtliche Anforderungen zur Einholung einer wirksamen Einwilligung der Nutzer.
Das Landgericht Berlin hat die Beklagte wie beantragt zur Unterlassung verurteilt. Die Berufung der Beklagten beim Kammergericht Berlin blieb erfolglos. Mit ihrer Revision, die vom Berufungsgericht zugelassen wurde, setzt die Beklagte ihren Antrag auf Klageabweisung fort. Der Bundesgerichtshof hat das Verfahren jedoch zunächst durch Beschluss ausgesetzt und dem Gerichtshof der Europäischen Union eine Frage zur Vorabentscheidung vorgelegt (BGH, Beschluss vom 28. Mai 2020 – App-Zentrum I).
In seinem Urteil vom 28. April 2020 (Az. C-319/20) entschied der EuGH bereits, dass nach Art. 80 Abs.2 DSGVO ein Verbraucherverband auch ohne die Rechtsverletzung einer konkreten Person und ohne einen entsprechenden Auftrag aktivlegitimiert nach § 8 Abs. 3 Nr. 3 UWG sein kann, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen beeinträchtigen könne.
Eine weitere Rechtsfrage, die das Gericht dem EuGH vorlegte, lautete: Kann eine Rechtsverletzung „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht werden, wenn ein Verband zur Wahrung von Verbraucherinteressen behauptet, die Rechte einer betroffenen Person seien verletzt worden? Die Klage stützt sich darauf, dass die Informationspflichten nach Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO zum Zweck der Datenverarbeitung und den Empfängern personenbezogener Daten nicht erfüllt wurden.
Dies ist insbesondere der Fall, wenn der Verbraucherverbandargumentiert, dass die Verletzung der Rechte der betroffenen Person im Rahmen einer Datenverarbeitung erfolgt ist und auf der Nichtbeachtung der Informationspflichten des Verantwortlichen beruht. Diese Informationspflichten beinhalten gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO die Verpflichtung, der betroffenen Person spätestens bei der Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln.
Diese Frage bejahte der EuGH nunmehr mit Entscheidung vom 11. Juli 2024 (Az. C-757/22). Zentrale Argumente, die der EuGH in seiner Begründung anbringt, sind zum einen die zentralen Schutzzwecke der DSGVO, die er auch erst wieder jüngst in seiner IAB-Entscheidung (C‑604/22, Rn. 53) in den Mittelpunkt stellte, wie die aus Art. 1 und im 10. Erwägungsgrund der DSGVO, insbesondere dass die DSGVO ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten gewährleisten muss. Zum anderen brachte der EuGH erneut an, dass die Zwecke der Verarbeitung spätestens zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen und klar angegeben sein müssen (ebenfalls bereits in der Entscheidung C‑175/20, Rn. 64 und 65 zu finden). Letztlich soll Art. 12 Abs. 1 zusammen mit dem 60. Erwägungsgrund DSGVO, der Ausdruck des Transparenzgrundsatzes ist, gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (C‑487/21, Rn. 38). Eine wirksame Einwilligung konnte Meta somit mit dem oben dargestellten Hinweis nicht einholen.
Fazit
Spannend sind diese Verfahren insbesondere für die Frage, wie aktiv sich die Verbraucherschutzverbände zukünftig für die Durchsetzung von Datenschutzverstößen einsetzen werden. Für betroffene Personen und Verantwortliche bedeutet dies insbesondere, dass Verbraucherschutzverbände nun nicht nur auf Antrag der Betroffenen, sondern auch unabhängig von deren Aufforderung aktiv werden können, wenn ein Datenschutzverstoß Personen betrifft, die identifiziert werden können – ein Punkt, der bereits durch die erste Entscheidung des EuGH im Vorlageverfahren deutlich wurde. Zudem können nun sämtliche Arten von DSGVO-Verstößen verfolgt werden, die eine Datenverarbeitung rechtswidrig machen, einschließlich solcher, die im Vorfeld oder begleitend zur eigentlichen Verarbeitung stattfinden, nicht nur solche, die unmittelbar darauf folgen. Unternehmen sollten regelmäßig überprüfen, ob die Informationen, die sie im Rahmen ihrer Verpflichtungen gemäß der Artikel 12 ff. DSGVO sowie bei der Einholung von Einwilligungen den betroffenen Personen zur Verfügung stellen, den Transparenzanforderungen der DSGVO entsprechen.