Nach einer neuen Entscheidung des EuGH dürfen Verbraucherschutzverbände Unternehmen wegen DSGVO-Verstößen abmahnen und verklagen; dies unabhängig davon, ob sie von den Betroffenen beauftragt und/oder konkrete Rechte betroffener Personen verletzt wurden.
Vorgeschichte
Der Entscheidung des EuGH ging eine Klage des Verbraucherzentrale Bundesverbandes (vzbv) gegen das Unternehmen Meta Platforms Ireland voraus, welches u.a. das soziale Netzwerk Facebook betreibt. Der Verbraucherzentrale Bundesverband ist eine qualifizierte Einrichtung im Sinne des § 4 Unterlassungsklagegesetz und vertrat die Auffassung, dass auf Facebook angebotene „App-Zentrum“ verstoße u.a. gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung.
Der Verband verklagte daher Meta Platforms Ireland vor dem Landgericht Berlin auf Unterlassung, das Meta Platforms Ireland antragsgemäß verurteilte. Nach erfolgloser Berufung beim Kammergericht Berlin legte Meta Platforms Ireland Revision beim Bundesgerichtshof ein. Der Bundesgerichtshof sah die Klage zwar grundsätzlich als begründet an. Jedoch hatte das Gericht Zweifel an der Zulässigkeit der Klage. Grund hierfür war, dass der Verbraucherzentrale Bundesverband durch die mittlerweile geltende DSGVO seine Klagebefugnis verloren haben könnte.
Rechtslage gemäß DSGVO
Nach Art. 80 Abs. 1 DSGVO können bestimmte qualifizierte Einrichtungen – wie auch der Verbraucherzentrale Bundesverband – im Falle einer Verletzung konkreter datenschutzrechtlicher Rechte betroffener Personen bei einer Beauftragung in deren Namen die in den Art. 77-79 DSGVO aufgeführten Rechte wahrnehmen und das Recht auf Schadensersatz gemäß Art. 82 DSGVO in Anspruch nehmen. Eine Beauftragung durch eine betroffene Person fehlte im vorliegenden Fall jedoch. Zwar sieht Art. 80 Abs. 2 DSGVO auch vor, dass Mitgliedsstaaten Einrichtungen zur objektiv-rechtlichen Durchsetzung des Datenschutzes legitimieren können. Bislang war jedoch umstritten, ob hierfür die Verletzung konkreter Rechte einzelner betroffener Personen erforderlich ist.
Der Bundesgerichtshof legte diese umstrittene Frage daher dem EuGH zur Vorabentscheidung vor.
Entscheidung des EuGH
Der EuGH entschied nun, dass sich die DSGVO einer Aktivlegitimation des Verbraucherzentrale Bundesverbands grundsätzlich nicht verschließt. Sofern die jeweilige Einrichtung die in Art. 80 Abs. 1 DSGVO genannten Anforderungen erfülle, sei darüber hinaus nicht der Nachweis erforderlich, dass einer betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte gemäß der DSGVO tatsächlich ein Schaden entstanden sei. Art. 80 Abs. 2 DSGVO setze wegen seines Wortlautes „ihres Erachtens“ insoweit nur voraus, dass die betreffende Datenverarbeitung die Rechte identifizierter oder zumindest identifizierbarer natürlicher Personen gemäß der DSGVO beinträchtigen könne.
Der EuGH hat seine Entscheidung insbesondere mit der Zielsetzung der DSGVO begründet, ein möglichst hohes Datenschutzniveau zu gewährleisten.
Ausblick
Mit seiner Entscheidung bestätigt der EuGH, dass die Prüfung datenschutzrechtlicher Verstöße neben Aufsichtsbehörden auch klagebefugten Verbänden obliegt. Das Gericht öffnet somit Raum für weitere Verbandsklagen gegen Datenschutzverletzungen. Nicht nur Betreiber von Social-Media-Plattformen, sondern alle datenverarbeitenden Unternehmen sollten sich auf vermehrte Verbandsklagen im Zusammenhang mit DSGVO-Verstößen einstellen.