Dass Facebook oder Meta Platforms, wie sie seit November 2021 heißen, und der Datenschutz keine Freunde sind und es wohl auch nicht mehr werden, ist hinlänglich bekannt. Spätestens mit der Veröffentlichung der FAQ zu Facebook-Fanpages im Juni 2022 durch die Datenschutzkonferenz, haben die Aufsichtsbehörden in Deutschland dies noch einmal unterstrichen.
Verbraucherschützer gegen Facebook wegen Drittapps und freigiebiger Datennutzung
Von Datenschutzverstößen Facebooks ging auch der Bundesverband der Verbraucherzentralen und Verbraucherverbände, kurz Bundesverband, aus. Der Bundesverband prangerte an, dass die Facebook Deutschland GmbH ein App-Zentrum betreibt, in dem Meta Platforms Ireland den Nutzern Spiele von Drittanbieten zugänglich macht und dabei dem Drittanbietern ermöglicht, personenbezogene Daten der Nutzenden zu erheben und ihn berechtigt, u. a. Namen, Foto und Punktestand des Nutzenden zu veröffentlichen. Der Nutzende stimmt durch Verwendung entsprechender Allgemeiner Geschäftsbedingungen zu. Der Bundesverband hielt diese Praxis für rechtswidrig, u. a., weil keine datenschutzrechtlich wirksame Einwilligung von den Nutzenden eingeholt wurde. Ebenso würden die Allgemeinen Geschäftsbedingungen den Nutzenden in Hinblick auf Veröffentlichung von personenbezogenen Daten unangemessen benachteiligen.
Erfolgreiche Klage der Verbraucherschützer
Der Bundesverband erhob daher erfolgreich Unterlassungsklage gegen Meta Platforms Ireland (Meta) vor dem Landgericht Berlin (Urteil vom 28.10.2014 – 16 O 60/13). Meta legte erfolglos Berufung beim Kammgericht Berlin und schließlich Revision beim Bundesgerichtshof ein. Der Bundesgerichtshof hielt die Klage des Bundesverbandes für begründet (Beschluss vom 28.05.2020 – I ZR 186/17). Allerdings war sich der BGH nicht sicher, ob der Bundesverband überhaupt klagebefugt war.
Über die Befugnis zur Klage muss der EuGH entscheiden
Da der EuGH für die Auslegung von EU-Recht, wie der DSGVO, zuständig ist, hat der BGH deswegen gefragt, ob Art. 80 und 84 DSGVO es erlauben, dass Mitbewerber und nach nationalem Recht berechtigte Verbände unabhängig von der Verletzung von Rechten betroffener Personen und ohne Auftrag einer betroffenen Person gerichtlich vorzugehen.
EuGH bestätigt Klagebefugnis für Verbraucherschützer
Der EuGH antwortete (Urteil vom 28.4.2022 – C-319/20), dass Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Möglichkeit gibt, ein Verfahren einer Verbandsklage gegen mutmaßliche Verletzer von Rechten betroffener Personen vorzusehen, dazu aber einige Voraussetzungen aus Art. 80 Abs. 1 DSGVO erfüllt sein müssen. Zu diesen Voraussetzungen gehört, dass die Einrichtung oder Organisation ohne Gewinnerzielungsabsicht handelt, nach Satzungszweck Ziele im öffentlichen Interesse verfolgt und im Bereich des Schutzes für die Rechte von betroffenen Personen in Bezug auf personenbezogene Daten tätig ist. Diese Hürden konnte der Bundesverband ohne Probleme nehmen. Ausdrücklich hängt nach dem EuGH die Klagebefugnis nicht davon ab, ob ein Auftrag von einer betroffenen Person vorliegt bzw. dass eine betroffene Person individuell ermittelt worden ist. Ebenso wenig muss laut dem EuGH eine konkrete Verletzung eines Rechts einer Person aus den Datenschutzvorschriften vorliegen.
Klagebefugnis auch von Mitbewerbern?
Ausdrücklich beantwortet der EuGH nicht die Frage, ob Mitbewerber Datenschutzverstöße abmahnen können. Ob es solch eine Befugnis geben könnte ist in der Literatur umstritten. Zum einen wird in einer Abmahnbefugnis von Mitbewerbern ein Beitrag eines effektiven Schutzes personenbezogener Daten gesehen, den der EuGH zur Gewährleistung eines hohen Datenschutzniveaus mit Bezug auf Art. 8 der Charta der Grundrechte der Europäischen Union selbst fordert (EuGH: Klagebefugnis von Verbraucherschutzverbänden – Rüge von Datenschutzverstößen (NVwZ 2022, 945,950)), zum anderen wird darauf verwiesen, dass die Öffnungsklausel aus Art. 80 Abs. 2 DSGVO weit ausgelegt wird, um ein Verbandsklagerecht zu begründen, es aber eben gerade keine Öffnungsklausel gebe, die eine Gestaltung des Klagerechts für Mitbewerber gegen Datenschutzverstöße im Rahmen der DSGVO erlaube (Goebel/Perino-Stiller: Die Klagebefugnis nach dem UKlaG und UWG bei Verstößen gegen die DS-GVO(GRUR-Prax 2022, 369,371)). Der nationale Gesetzgeber gehe nach dem Schrifttum wohl davon aus, dass Mitbewerber DSGVO-Verstöße abmahnen können, da dieser in § 13 Abs. 4 Nr. 2 UWG geregelt hat, dass Mitbewerber für die Abmahnung von DSGVO-Verstößen keinen Aufwendungsersatz erhalten. So etwas macht nur dann Sinn, wenn eine Abmahnung grundsätzlich möglich ist. Letztlich muss aber auch hier eine Entscheidung des EuGH abgewartet werden, da Europarecht dem nationalen Recht vorgeht.
Der EuGH wird wohl bald entscheiden
Vor dem BGH ist ein Verfahren anhängig (I ZR 222/19 und I ZR 223/19), bei dem es um die Befugnis von Wettbewerbern zur Verfolgung von Verstößen gegen das Datenschutzrecht geht. Die Vorinstanz (OLG Naumburg, Urteil vom 07.11.2019 – 9 U 6/19) geht davon aus, dass eine entsprechende Klagebefugnis besteht. Regeln der DSGVO seien als Marktverhaltensregeln im Sinne des § 3a UWG anzusehen, womit bei einem entsprechenden konkreten Wettbewerbsverhältnis die Voraussetzung für eine Klagebefugnis erfüllt seien. Der BGH selbst wird im September über den Fall verhandeln. Mit dem vorliegenden Urteil des EuGH und der ausdrücklichen Ausklammerung der Beantwortung der Frage, ob Mitbewerber Regeln der DSGVO abmahnen können, steigt die Wahrscheinlichkeit, dass der BGH eben diese Frage dem EuGH vorlegen wird.