vzbv klagte gegen Meta wegen Datenschutzverstößen
Meta Platforms Ireland ist die für die Verarbeitung personenbezogener Daten von Facebook-Nutzern in der EU Verantwortliche. Der vzbv warf Meta vor, Facebook-Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht zu haben und dabei gegen die Vorschriften zum Schutz personenbezogener Daten, zur Bekämpfung unlauteren Wettbewerbs und zum Schutz der Verbraucher verstoßen zu haben. Der BGH hielt die Klage für begründet, hegte aber Zweifel an ihrer Zulässigkeit. Fraglich sei, ob einem Verband zur Wahrung von Verbraucherinteressen seit dem Inkrafttreten der DS-GVO noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Außerdem könne aus der DS-GVO abgeleitet werden, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege, so der BGH (GRUR 2020, 896).
Trotz Vollharmonisierung zusätzliche nationale (Durchführungs-)Vorschriften möglich
Der EuGH (Az.: C-319/20) zerstreut die Zweifel des BGH. Zwar sei mit der DS-GVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden. Allerdings eröffneten einige Bestimmungen der Verordnung den Mitgliedstaaten die Möglichkeit, zusätzliche nationale Vorschriften, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen, vorzusehen, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen. Insoweit könnten die Mitgliedstaaten insbesondere ein Verbandsklageverfahren gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorsehen, wobei dies jedoch an eine Reihe von Anforderungen geknüpft sei.
Verband muss verletzte Person nicht vorab individuell ermitteln
Zunächst einmal falle ein Verband zur Wahrung von Verbraucherinteressen wie der vzbv unter den Begriff einer im Sinne der DS-GVO klagebefugten Einrichtung, da er ein im öffentlichen Interesse liegendes Ziel verfolge, das darin bestehe, die Rechte der Verbraucher zu gewährleisten. Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken könne nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen. Ferner könne eine solche Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn "ihres Erachtens" die Rechte einer betroffenen Person gemäß der DS-GVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden seien, ohne dass von ihr verlangt würde, dass sie die Person, die von der Datenverarbeitung konkret betroffen sei, im Voraus individuell ermittelt und das Vorliegen einer konkreten Verletzung der Rechte aus den Datenschutzvorschriften behauptet. Eine solche Auslegung steht laut EuGH im Einklang mit dem Ziel der DS-GVO, das insbesondere darin bestehe, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten. Schließlich stehe die DS-GVO nicht nationalen Bestimmungen entgegen, nach denen im Wege von Verbandsklagen gegen Verletzungen der in dieser Verordnung vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorgegangen werden könne.