Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 28.04.2022 - C-319/20
EuGH 28.04.2022 - C-319/20 - URTEIL DES GERICHTSHOFS (Dritte Kammer) - 28. April 2022 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 80 – Vertretung betroffener Personen durch eine Vereinigung ohne Gewinnerzielungsabsicht – Klage eines Verbands zur Wahrung von Verbraucherinteressen ohne Auftrag und unabhängig von der Verletzung konkreter Rechte einer betroffenen Person – Auf das Verbot unlauterer Geschäftspraktiken, die Verletzung eines Verbraucherschutzgesetzes oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gestützte Klage“
Leitsatz
In der Rechtssache C-319/20
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (Deutschland) mit Entscheidung vom 28. Mai 2020, beim Gerichtshof eingegangen am 15. Juli 2020, in dem Verfahren
Meta Platforms Ireland Limited, vormals Facebook Ireland Limited,
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Präsidentin der Zweiten Kammer A. Prechal in Wahrnehmung der Aufgaben des Präsidenten der Dritten Kammer, der Richter J. Passer und F. Biltgen, der Richterin L. S. Rossi (Berichterstatterin) sowie des Richters N. Wahl,
Generalanwalt: J. Richard de la Tour,
Kanzler: M. Krausenböck, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 23. September 2021,
unter Berücksichtigung der Erklärungen
der Meta Platforms Ireland Limited, vertreten durch Rechtsanwälte H.-G. Kamann, M. Braun und H. Frey sowie Rechtsanwältin V. Wettner,
des Bundesverbands der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V., vertreten durch Rechtsanwalt P. Wassermann,
der deutschen Regierung, vertreten durch D. Klebs und J. Möller als Bevollmächtigte,
der österreichischen Regierung, vertreten durch A. Posch, G. Kunnert und J. Schmoll als Bevollmächtigte,
der portugiesischen Regierung, vertreten durch L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa und L. Medeiros als Bevollmächtigte,
der Europäischen Kommission, zunächst vertreten durch F. Erlbacher, H. Kranenborg und D. Nardi, dann durch F. Erlbacher und H. Kranenborg als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 2. Dezember 2021
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
Es ergeht im Rahmen eines Rechtsstreits zwischen der Meta Platforms Ireland Limited, vormals Facebook Ireland Limited, mit Sitz in Irland und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland) (im Folgenden: Bundesverband) deswegen, weil Meta Platforms Ireland gegen die deutschen Rechtsvorschriften über den Schutz personenbezogener Daten verstoßen habe und damit eine unlautere Geschäftspraxis vorgenommen sowie gegen ein Verbraucherschutzgesetz und das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen habe.
Rechtlicher Rahmen
Unionsrecht
DSGVO
In den Erwägungsgründen 9, 10, 13 und 142 DSGVO heißt es:
Die Ziele und Grundsätze der Richtlinie 95/46/EG [des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31)] besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets. Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie 95/46…
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. ...
...
Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. ...
...
Betroffene Personen, die sich in ihren Rechten gemäß dieser Verordnung verletzt sehen, sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Verbände ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentliche[n] Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen, Organisationen oder Verbände das Recht haben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf haben sollten, wenn sie Grund zu der Annahme haben, dass die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung verletzt worden sind. Diesen Einrichtungen, Organisationen oder Verbänden kann unabhängig vom Auftrag einer betroffenen Person nicht gestattet werden, im Namen einer betroffenen Person Schadenersatz zu verlangen.“
Art. 1 („Gegenstand und Ziele“) Abs. 1 DSGVO lautet:
„Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“
Art. 4 Nr. 1 DSGVO bestimmt:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
Kapitel III („Rechte der betroffenen Person“) der DSGVO umfasst die Art. 12 bis 23.
Art. 12 („Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“) Abs. 1 DSGVO lautet:
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“
Art. 13 („Informationen bei Erhebung personenbezogener Daten bei der betroffenen Person“) Abs. 1 Buchst. c und e DSGVO lautet:
„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
...
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
...
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten ...“
Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DSGVO umfasst die Art. 77 bis 84.
Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) Abs. 1 DSGVO lautet:
„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“
Art. 78 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“) Abs. 1 DSGVO bestimmt:
„Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.“
Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO sieht vor:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
Art. 80 („Vertretung von betroffenen Personen“) DSGVO bestimmt:
„(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisation… oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentliche[n] Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“
Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 DSGVO lautet:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Art. 84 („Sanktionen“) Abs. 1 DSGVO lautet:
„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“
Richtlinie 2005/29/EG
Der Zweck der Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11. Mai 2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates (Richtlinie über unlautere Geschäftspraktiken) (ABl. 2005, L 149, S. 22) besteht nach ihrem Art. 1 darin, durch Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über unlautere Geschäftspraktiken, die die wirtschaftlichen Interessen der Verbraucher beeinträchtigen, zu einem reibungslosen Funktionieren des Binnenmarkts und zum Erreichen eines hohen Verbraucherschutzniveaus beizutragen.
Art. 5 („Verbot unlauterer Geschäftspraktiken“) der Richtlinie 2005/29 bestimmt:
„(1) Unlautere Geschäftspraktiken sind verboten.
(2) Eine Geschäftspraxis ist unlauter, wenn
sie den Erfordernissen der beruflichen Sorgfaltspflicht widerspricht
und
sie in Bezug auf das jeweilige Produkt das wirtschaftliche Verhalten des Durchschnittsverbrauchers, den sie erreicht oder an den sie sich richtet[,] oder des durchschnittlichen Mitglieds einer Gruppe von Verbrauchern, wenn sich eine Geschäftspraxis an eine bestimmte Gruppe von Verbrauchern wendet, wesentlich beeinflusst oder dazu geeignet ist, es wesentlich zu beeinflussen.
...
(5) Anhang I enthält eine Liste jener Geschäftspraktiken, die unter allen Umständen als unlauter anzusehen sind. ...“
Art. 11 („Durchsetzung“) Abs. 1 der Richtlinie 2005/29 sieht vor:
„(1) Die Mitgliedstaaten stellen im Interesse der Verbraucher sicher, dass geeignete und wirksame Mittel zur Bekämpfung unlauterer Geschäftspraktiken vorhanden sind, um die Einhaltung dieser Richtlinie durchzusetzen.
Diese Mittel umfassen Rechtsvorschriften, die es Personen oder Organisationen, die nach dem nationalen Recht ein berechtigtes Interesse an der Bekämpfung unlauterer Geschäftspraktiken haben, einschließlich Mitbewerbern, gestatten,
gerichtlich gegen solche unlauteren Geschäftspraktiken vorzugehen
und/oder
gegen solche unlauteren Geschäftspraktiken ein Verfahren bei einer Verwaltungsbehörde einzuleiten, die für die Entscheidung über Beschwerden oder für die Einleitung eines geeigneten gerichtlichen Verfahrens zuständig ist.
Jedem Mitgliedstaat bleibt es vorbehalten zu entscheiden, welcher dieser Rechtsbehelfe zur Verfügung stehen wird und ob das Gericht oder die Verwaltungsbehörde ermächtigt werden soll, vorab die Durchführung eines Verfahrens vor anderen bestehenden Einrichtungen zur Regelung von Beschwerden, einschließlich der in Artikel 10 genannten Einrichtungen, zu verlangen. Diese Rechtsbehelfe stehen unabhängig davon zur Verfügung, ob die Verbraucher sich im Hoheitsgebiet des Mitgliedstaats, in dem der Gewerbetreibende niedergelassen ist, oder in einem anderen Mitgliedstaat befinden.
...“
Anhang I („Geschäftspraktiken, die unter allen Umständen als unlauter gelten“) Nr. 26 der Richtlinie 2005/29 bestimmt:
„Kunden werden durch hartnäckiges und unerwünschtes Ansprechen über Telefon, Fax, E-Mail oder sonstige für den Fernabsatz geeignete Medien geworben, außer in Fällen und in den Grenzen, in denen ein solches Verhalten nach den nationalen Rechtsvorschriften gerechtfertigt ist, um eine vertragliche Verpflichtung durchzusetzen. Dies gilt unbeschadet ... der Richtlinien 95/46/EG ...“
Richtlinie 2009/22/EG
Art. 1 („Anwendungsbereich“) der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABl. 2009, L 110, S. 30) lautet:
„(1) Ziel dieser Richtlinie ist die Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über Unterlassungsklagen im Sinne des Artikels 2 zum Schutz der Kollektivinteressen der Verbraucher, die unter die in Anhang I aufgeführten Richtlinien fallen, um so das reibungslose Funktionieren des Binnenmarkts zu gewährleisten.
(2) Ein Verstoß im Sinne dieser Richtlinie ist jede Handlung, die den in Anhang I aufgeführten Richtlinien in der in die innerstaatliche Rechtsordnung der Mitgliedstaaten umgesetzten Form zuwiderläuft und die in Absatz 1 genannten Kollektivinteressen der Verbraucher beeinträchtigt.“
Art. 7 („Weitergehende Handlungsbefugnisse“) der Richtlinie 2009/22 lautet:
„Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Bestimmungen zu erlassen oder beizubehalten, die den qualifizierten Einrichtungen sowie sonstigen betroffenen Personen auf nationaler Ebene weitergehende Rechte zur Klageerhebung einräumen.“
Anhang I der Richtlinie 2009/22 enthält eine Liste der in ihrem Art. 1 angesprochenen Unionsrichtlinien. Dort ist in Nr. 11 die Richtlinie 2005/29 aufgeführt.
Richtlinie (EU) 2020/1828
In den Erwägungsgründen 11, 13 und 15 der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22 (ABl. 2020, L 409, S. 1) heißt es:
Diese Richtlinie sollte bestehende nationale Verbandsklageverfahren zum Schutz der Kollektivinteressen oder der individuellen Interessen der Verbraucher nicht ersetzen. Unter Berücksichtigung der Rechtstraditionen der Mitgliedstaaten sollte sie es deren Ermessen überlassen, die durch diese Richtlinie vorgeschriebenen Verbandsklageverfahren als Teil eines bestehenden oder eines neuen Verbandsklageverfahrens für kollektive Unterlassungsentscheidungen oder Abhilfeentscheidungen oder als eigenständige Verfahren zu konzipieren, sofern mindestens ein nationales Verbandsklageverfahren dieser Richtlinie entspricht. ... Bestehen auf nationaler Ebene zusätzlich zu dem Verfahren gemäß dieser Richtlinie weitere Verfahren, so sollte die qualifizierte Einrichtung die Wahl treffen können, welches Verfahren sie nutzen möchte.
...
Der Anwendungsbereich dieser Richtlinie sollte den jüngsten Entwicklungen im Bereich des Verbraucherschutzes Rechnung tragen. Da Verbraucher inzwischen auf einem größeren und zunehmend digitalisierten Markt tätig sind, ist es zur Gewährleistung eines hohen Verbraucherschutzniveaus erforderlich, dass Bereiche wie Datenschutz, Finanzdienstleistungen, Reiseverkehr und Tourismus, Energie und Telekommunikation zusätzlich zum allgemeinen Verbraucherrecht in den Anwendungsbereich dieser Richtlinie fallen. ...
...
Diese Richtlinie sollte die in Anhang I genannten Rechtsakte unberührt lassen; daher sollten durch sie weder die in diesen Rechtsakten festgelegten Begriffsbestimmungen geändert oder erweitert noch ein etwa darin enthaltenes Durchsetzungsverfahren ersetzt werden. So könnten beispielsweise die in der [DSGVO] festgelegten oder darauf beruhenden Durchsetzungsmechanismen weiterhin für den Schutz der Kollektivinteressen der Verbraucher genutzt werden, sofern sie anwendbar sind.“
Art. 2 („Anwendungsbereich“) Abs. 1 der Richtlinie 2020/1828 sieht vor:
„Diese Richtlinie findet Anwendung auf Verbandsklagen gegen Verstöße durch Unternehmer gegen die in Anhang I enthaltenen Vorschriften des Unionsrechts einschließlich ihrer Umsetzung in nationales Recht, welche die Kollektivinteressen der Verbraucher beeinträchtigen oder zu beinträchtigen drohen. Diese Richtlinie berührt nicht die in Anhang I aufgeführten Vorschriften des Unionsrechts. ...“
Art. 24 („Umsetzung“) Abs. 1 der Richtlinie 2020/1828 bestimmt:
„Die Mitgliedstaaten erlassen und veröffentlichen bis zum 25. Dezember 2022 die erforderlichen Rechts- und Verwaltungsvorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.
Sie wenden diese Vorschriften ab dem 25. Juni 2023 an.
...“
Anhang I („Liste der Vorschriften des Unionsrechts nach Artikel 2 Absatz 1“) der Richtlinie 2020/1828 führt in Nr. 56 die DSGVO auf.
Deutsches Recht
Unterlassungsklagengesetz
§ 2 des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz) vom 26. November 2001 (BGBl. 2001 I, S. 3138) in der auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: UKlaG) bestimmt:
„(1) Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. ...
(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere
...
11. die Vorschriften, welche die Zulässigkeit regeln
der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,
wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.“
Nach den Angaben des Bundesgerichtshofs (Deutschland) können gemäß § 3 Abs. 1 Satz 1 Nr. 1 UKlaG qualifizierte Einrichtungen im Sinne von § 4 UKlaG zum einen gemäß § 1 UKlaG die Unterlassung der Verwendung von nach § 307 des Bürgerlichen Gesetzesbuchs (im Folgenden: BGB) unwirksamen Allgemeinen Geschäftsbedingungen und zum anderen die Unterlassung von Zuwiderhandlungen gegen Verbraucherschutzgesetze im Sinne von § 2 Abs. 2 UKlaG verlangen.
Gesetz gegen den unlauteren Wettbewerb
§ 3 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb vom 3. Juli 2004 (BGB1. 2004 I, S. 1414) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: UWG) sieht vor:
„Unlautere geschäftliche Handlungen sind unzulässig.“
§ 3a UWG lautet:
„Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“
§ 8 UWG bestimmt:
„(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. ...
...
(3) Die Ansprüche aus Absatz 1 stehen zu:
...
qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 [UKlaG] ... eingetragen sind“.
Telemediengesetz
Nach Angaben des Bundesgerichtshofs war bis zum Inkrafttreten der DSGVO § 13 Abs. 1 des Telemediengesetzes vom 26. Februar 2007 (BGBl. 2007 I, S. 179, im Folgenden: TMG) anwendbar. Mit dem Inkrafttreten der DSGVO ist diese Bestimmung durch die Art. 12 bis 14 DSGVO ersetzt worden.
§ 13 Abs. 1 Satz 1 TMG bestimmte:
„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46 ... in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.“
Ausgangsverfahren und Vorlagefrage
Meta Platforms Ireland, die das Angebot der Dienste des sozialen Netzwerks Facebook in der Union betreibt, ist die für die Verarbeitung personenbezogener Daten von Nutzern dieses sozialen Netzwerks in der Union Verantwortliche. Die Facebook Germany GmbH mit Sitz in Deutschland bewirbt unter der Adresse www.facebook.de den Verkauf von Werbeflächen. Auf der Internetplattform Facebook befindet sich, u. a. unter der Internetadresse www.facebook.de, ein sogenanntes „App-Zentrum“, in dem Meta Platforms Ireland ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich macht. Wenn der Nutzer des App-Zentrums bestimmte dieser Spiele aufruft, erscheint der Hinweis, dass die Nutzung der betreffenden Anwendung es der Spielegesellschaft ermögliche, eine Reihe von personenbezogenen Daten zu erheben, und sie dazu berechtige, im Namen dieses Nutzers Informationen, wie etwa seinen Punktestand, zu veröffentlichen. Mit der Nutzung stimmt der Nutzer den Allgemeinen Geschäftsbedingungen der Anwendung und der Datenschutzpolitik der Spielegesellschaft zu. Außerdem wird bei einem bestimmten Spiel darauf hingewiesen, dass die Anwendung im Namen des Nutzers Statusmeldungen, Fotos und weitere Informationen veröffentlichen dürfe.
Der Bundesverband, bei dem es sich um eine qualifizierte Einrichtung im Sinne von § 4 UKlaG handelt, hält die Hinweise der betreffenden Spiele im App-Zentrum für unlauter, und zwar u. a. unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Außerdem stelle der Hinweis, dass die Anwendung berechtigt sei, bestimmte personenbezogene Informationen des Nutzers in seinem Namen zu veröffentlichen, eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung dar.
In diesem Zusammenhang erhob der Bundesverband beim Landgericht Berlin (Deutschland) gegen Meta Platforms Ireland eine Unterlassungsklage, die auf § 3a UWG, § 2 Abs. 2 Satz 1 Nr. 11 UKlaG und das BGB gestützt wurde. Die Klage wurde unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben.
Das Landgericht Berlin verurteilte Meta Platforms Ireland entsprechend den Anträgen des Bundesverbands. Die von Meta Platforms Ireland beim Kammergericht Berlin (Deutschland) eingelegte Berufung wurde zurückgewiesen. Meta Platforms Ireland legte daraufhin gegen die zurückweisende Entscheidung des Berufungsgerichts beim vorlegenden Gericht Revision ein.
Das vorlegende Gericht hält die Klage des Bundesverbands für begründet, da Meta Platforms Ireland gegen § 3a UWG und § 2 Abs. 2 Satz 1 Nr. 11 UKlaG verstoßen und unwirksame Allgemeine Geschäftsbedingungen gemäß § 1 UKlaG verwendet habe.
Das vorlegende Gericht hegt jedoch Zweifel an der Zulässigkeit der Klage des Bundesverbands. Es sei nämlich nicht ausgeschlossen, dass der Bundesverband, der zum Zeitpunkt der Klageerhebung nach § 8 Abs. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG sehr wohl klagebefugt gewesen sei, die Klagebefugnis im Lauf des Verfahrens verloren habe, nachdem die DSGVO, insbesondere deren Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1, in Kraft getreten sei. Sollte dies der Fall sein, müsste das vorlegende Gericht der Revision von Meta Platforms Ireland stattgeben und die Klage des Bundesverbands abweisen, da nach den einschlägigen Verfahrensvorschriften des deutschen Rechts die Klagebefugnis bis zum Abschluss der letzten Instanz fortbestehen müsse.
Nach Ansicht des vorlegenden Gerichts ergibt sich die Antwort hierauf nicht eindeutig aus der Beurteilung des Wortlauts, der Systematik und des Zwecks der Bestimmungen der DSGVO.
Zum Wortlaut der Bestimmungen der DSGVO führt das vorlegende Gericht aus, dass die Klagebefugnis von Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet seien, nach Art. 80 Abs. 1 DSGVO an die Voraussetzung geknüpft sei, dass die Einrichtung, Organisation oder Vereinigung von der betroffenen Person beauftragt worden sei, in deren Namen die in den Art. 77 bis 79 DSGVO genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Art. 82 DSGVO in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen sei.
Um eine solche Klage im Auftrag und Namen einer betroffenen Person zur Durchsetzung ihrer persönlichen Rechte gehe es bei der Klagebefugnis nach § 8 Abs. 3 Nr. 3 UWG jedoch nicht. Hierbei handle es sich vielmehr um eine sich aus § 3 Abs. 1 und § 3a UWG ergebende Verbandsklagebefugnis aus eigenem Recht, die eine objektiv-rechtliche, von einer Verletzung konkreter Rechte einzelner betroffener Personen und deren Beauftragung unabhängige Verfolgung von Verstößen gegen die Bestimmungen der DSGVO erlaube.
Ferner sehe Art. 80 Abs. 2 DSGVO keine Verbandsklagebefugnis zur objektiv-rechtlichen Durchsetzung des Rechts auf Schutz personenbezogener Daten vor, da diese Bestimmung voraussetze, dass die Rechte einer betroffenen Person gemäß der DSGVO infolge einer bestimmten Datenverarbeitung tatsächlich verletzt worden seien.
Eine Verbandsklagebefugnis, wie sie in § 8 Abs. 3 UWG geregelt sei, dürfte sich auch nicht auf Art. 84 Abs. 1 DSGVO stützen lassen, wonach die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen die Verordnung festlegten und alle zu deren Anwendung erforderlichen Maßnahmen träfen. Eine Verbandsklagebefugnis, wie sie in § 8 Abs. 3 UWG geregelt sei, könne nämlich nicht als „Sanktion“ im Sinne dieser Bestimmung der DSGVO angesehen werden.
Zur Systematik der Bestimmungen der DSGVO führt das vorlegende Gericht aus, dass durch die DSGVO insbesondere die Befugnisse der Aufsichtsbehörden vereinheitlicht worden seien, woraus abgeleitet werden könne, dass die Prüfung der Einhaltung der Bestimmungen der DSGVO in erster Linie diesen Behörden obliege. Der Einschub „unbeschadet eines anderweitigen Rechtsbehelfs“ in Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 sowie Art. 79 Abs. 1 DSGVO könnte jedoch gegen die These sprechen, dass die Rechtsdurchsetzung durch diese Verordnung abschließend geregelt sei.
Was das Ziel der DSGVO betreffe, könnte deren praktische Wirksamkeit für das Bestehen einer wettbewerbsrechtlichen Verbandsklagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG sprechen, unabhängig von der Verletzung konkreter Rechte betroffener Personen, da damit eine zusätzliche Möglichkeit der Rechtsdurchsetzung erhalten bliebe, um gemäß dem zehnten Erwägungsgrund der DSGVO ein möglichst hohes Datenschutzniveau zu gewährleisten. Allerdings könnte es als mit dem Harmonisierungsziel der DSGVO unvereinbar angesehen werden, wenn man eine wettbewerbsrechtliche Verbandsklagebefugnis zuließe.
Der Bundesgerichtshof hat daher beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:
Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DSGVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?
Zur Vorlagefrage
Zunächst ist darauf hinzuweisen, dass sich, wie sich aus Rn. 36 sowie den Rn. 41 bis 44 des vorliegenden Urteils ergibt, im Ausgangsrechtsstreit ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband und Meta Platforms Ireland gegenüberstehen und dieser die Frage betrifft, ob ein solcher Verband gegen diese Gesellschaft ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage erheben kann.
Unter diesen Umständen hängt, wie die Kommission in ihren schriftlichen Erklärungen zutreffend ausgeführt hat, die Antwort auf die Vorlagefrage allein von der Auslegung von Art. 80 Abs. 2 DSGVO ab, da Art. 80 Abs. 1 und Art. 84 DSGVO im vorliegenden Fall nicht einschlägig sind. Zum einen setzt die Anwendung von Art. 80 Abs. 1 DSGVO nämlich voraus, dass die betroffene Person die in dieser Bestimmung genannte Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht beauftragt hat, in ihrem Namen die in den Art. 77 bis 79 DSGVO vorgesehenen rechtlichen Maßnahmen zu ergreifen. Es steht jedoch fest, dass dies im Ausgangsverfahren nicht der Fall ist, da der Bundesverband unabhängig von einem Auftrag der betroffenen Person handelt. Zum anderen steht fest, dass Art. 84 DSGVO die verwaltungsrechtlichen und strafrechtlichen Sanktionen betrifft, die bei Verstößen gegen diese Verordnung verhängt werden können, was im Ausgangsverfahren ebenfalls nicht in Rede steht.
Außerdem ist darauf hinzuweisen, dass das Ausgangsverfahren nicht die Frage der Klagebefugnis eines Mitbewerbers aufwirft. Daher ist nur der Teil der Frage zu beantworten, der sich auf die Klagebefugnis der nach dem nationalen Recht berechtigten Verbände, Einrichtungen und Kammern im Sinne von Art. 80 Abs. 2 DSGVO bezieht.
Folglich ist die Frage des vorlegenden Gerichts dahin zu verstehen, dass mit ihr im Wesentlichen geklärt werden soll, ob Art. 80 Abs. 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte einer betroffenen Person Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei.
Zur Beantwortung dieser Frage ist darauf hinzuweisen, dass mit der DSGVO ausweislich ihres zehnten Erwägungsgrundes u. a. erreicht werden soll, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten unionsweit gleichmäßig und einheitlich angewandt werden und dass die Hemmnisse für den Verkehr personenbezogener Daten in der Union beseitigt werden.
In diesem Zusammenhang regelt Kapitel VIII dieser Verordnung u. a. die Rechtsbehelfe, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt. Der Schutz dieser Rechte kann somit entweder unmittelbar von der betroffenen Person oder von einer befugten Einrichtung – mit oder ohne entsprechenden Auftrag – nach Art. 80 DSGVO beansprucht werden.
So ist zunächst die betroffene Person berechtigt, selbst Beschwerde bei einer Aufsichtsbehörde eines Mitgliedstaats einzulegen oder bei den nationalen Zivilgerichten Klage zu erheben. Genauer gesagt verfügt diese Person über das Recht auf Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde nach Art. 78 DSGVO, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter nach Art. 79 DSGVO bzw. den Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter nach Art. 82 DSGVO.
Sodann hat die betroffene Person nach Art. 80 Abs. 1 DSGVO das Recht, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht unter bestimmten Voraussetzungen zu beauftragen, in ihrem Namen eine Beschwerde einzureichen oder die in den oben erwähnten Artikeln genannten Rechte wahrzunehmen.
Schließlich können die Mitgliedstaaten nach Art. 80 Abs. 2 DSGVO vorsehen, dass jede Einrichtung, Organisation oder Vereinigung unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Art. 77 DSGVO zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Art. 78 und 79 DSGVO aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung von personenbezogenen Daten dieser Person verletzt worden sind.
Hierzu ist festzustellen, dass die DSGVO, wie sich aus ihrem Art. 1 Abs. 1 im Licht insbesondere ihrer Erwägungsgründe 9, 10 und 13 ergibt, eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Allerdings eröffnen Bestimmungen dieser Verordnung den Mitgliedstaaten die Möglichkeit, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“).
Nach gefestigter Rechtsprechung des Gerichtshofs haben nämlich Verordnungen nach Art. 288 AEUV sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären. Allerdings kann es vorkommen, dass manche Bestimmungen einer Verordnung zu ihrer Durchführung des Erlasses von Durchführungsmaßnahmen durch die Mitgliedstaaten bedürfen (Urteil vom 15. Juni 2021, Facebook Ireland u. a., C-645/19, EU:C:2021:483, Rn. 110 sowie die dort angeführte Rechtsprechung).
Dies gilt insbesondere für Art. 80 Abs. 2 DSGVO, der den Mitgliedstaaten einen Ermessensspielraum hinsichtlich seiner Umsetzung lässt. Damit die in dieser Bestimmung vorgesehene Verbandsklage ohne Beauftragung im Bereich des Schutzes personenbezogener Daten erhoben werden kann, müssen die Mitgliedstaaten daher von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nationalen Recht vorzusehen.
Wie der Generalanwalt in den Nrn. 51 und 52 seiner Schlussanträge ausgeführt hat, müssen die Mitgliedstaaten, wenn sie von der ihnen durch eine solche Öffnungsklausel eingeräumten Befugnis Gebrauch machen, von ihrem Ermessen jedoch unter den Voraussetzungen und innerhalb der Grenzen der Bestimmungen der DSGVO Gebrauch machen und müssen daher Rechtsvorschriften erlassen, die nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen.
Im vorliegenden Fall hat der deutsche Gesetzgeber – wie die deutsche Regierung in der mündlichen Verhandlung in der vorliegenden Rechtssache bestätigt hat – nach dem Inkrafttreten der DSGVO keine besonderen Bestimmungen erlassen, die speziell der Umsetzung von Art. 80 Abs. 2 der DSGVO im deutschen Recht dienen sollten. Die im Ausgangsverfahren in Rede stehende nationale Regelung, die zur Umsetzung der Richtlinie 2009/22 erlassen wurde, ermöglicht es Verbänden zur Wahrung von Verbraucherinteressen nämlich bereits, gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben. Die deutsche Regierung weist im Übrigen darauf hin, dass der Gerichtshof in seinem Urteil vom 29. Juli 2019, Fashion ID (C-40/17, EU:C:2019:629), in dem es um die Auslegung der Bestimmungen der Richtlinie 95/46 gegangen sei, entschieden habe, dass diese Bestimmungen dieser nationalen Regelung nicht entgegenstünden.
Unter diesen Umständen ist, wie der Generalanwalt in Nr. 60 seiner Schlussanträge ausgeführt hat, im Wesentlichen zu prüfen, ob sich die im Ausgangsverfahren in Rede stehenden nationalen Vorschriften in den Rahmen des jedem Mitgliedstaat in Art. 80 Abs. 2 DSGVO eingeräumten Ermessensspielraums einfügen, und daher diese Bestimmung unter Berücksichtigung ihres Wortlauts sowie der Systematik und der Ziele dieser Verordnung auszulegen.
Hierzu ist festzustellen, dass Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Möglichkeit eröffnet, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft ist.
Was als Erstes den persönlichen Anwendungsbereich eines solchen Verfahrens betrifft, so wird die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung zuerkannt, die die in Art. 80 Abs. 1 DSGVO aufgeführten Kriterien erfüllt. Diese Bestimmung verweist insbesondere auf „eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentliche[n] Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist“.
Es ist festzustellen, dass ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter diesen Begriff fallen kann, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, und die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann.
Der Verstoß gegen die Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken – den ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband insbesondere durch die in der anwendbaren nationalen Regelung vorgesehene Unterlassungsklage verhindern und ahnden möchte – kann nämlich, wie im vorliegenden Fall, mit einem Verstoß gegen die Vorschriften zum Schutz der personenbezogenen Daten dieser Verbraucher einhergehen.
Was als Zweites den sachlichen Anwendungsbereich dieses Verfahrens betrifft, so kann eine Einrichtung, die die in Art. 80 Abs. 1 DSGVO genannten Voraussetzungen erfüllt, die in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung [der personenbezogenen Daten dieser Person] verletzt worden sind“.
Insoweit ist erstens auszuführen, dass von einer solchen Einrichtung für die Zwecke der Erhebung einer Verbandsklage im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie die Person, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der DSGVO verstößt, konkret betroffen ist, im Voraus individuell ermittelt.
Es genügt nämlich der Hinweis, dass der Begriff „betroffene Person“ im Sinne von Art. 4 Nr. 1 DSGVO nicht nur eine „identifizierte natürliche Person“, sondern auch eine „identifizierbare natürliche Person“ umfasst, also eine natürliche Person, die direkt oder indirekt, mittels Zuordnung zu einer Kennung wie insbesondere einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung identifiziert werden kann. Unter diesen Umständen kann die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, auch für die Erhebung einer solchen Verbandsklage ausreichen.
Zweitens ist die Erhebung einer Verbandsklage nach Art. 80 Abs. 2 DSGVO auch nicht daran geknüpft, dass eine konkrete Verletzung der Rechte einer Person aus den Datenschutzvorschriften vorliegt.
Wie sich nämlich schon aus dem Wortlaut dieser Bestimmung – auf den in Rn. 67 des vorliegenden Urteils hingewiesen worden ist – ergibt, setzt die Erhebung einer Verbandsklage lediglich voraus, dass die betroffene Einrichtung „ihres Erachtens“ davon ausgeht, dass die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung personenbezogener Daten dieser Person verletzt worden seien, und somit eine Datenverarbeitung behauptet, die gegen die Bestimmungen dieser Verordnung verstoße.
Folglich reicht es für die Anerkennung der Klagebefugnis einer solchen Einrichtung nach Art. 80 Abs. 2 DSGVO aus, geltend zu machen, dass die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen könne, ohne dass ein der betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte tatsächlich entstandener Schaden nachgewiesen werden müsste.
Eine solche Auslegung steht im Einklang mit den Anforderungen, die sich aus Art. 16 AEUV und Art. 8 der Charta der Grundrechte der Europäischen Union ergeben, und damit mit dem Ziel der DSGVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urteil vom 15. Juni 2021, Facebook Ireland u. a., C-645/19, EU:C:2021:483, Rn. 44, 45 und 91).
Die Tatsache, dass Verbände zur Wahrung von Verbraucherinteressen wie der Bundesverband befugt sind, unabhängig von der Verletzung der Rechte einer von diesem Verstoß individuell und konkret betroffenen Person eine Verbandsklage auf Unterlassung von gegen diese Verordnung verstoßenden Verarbeitungen zu erheben, trägt unbestreitbar dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten.
Außerdem könnte sich die Erhebung einer solchen Verbandsklage, da sie es ermöglicht, zahlreiche Verletzungen der Rechte der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen zu verhindern, als wirksamer erweisen als die Klage, die eine einzelne, von einer Verletzung ihres Rechts auf Schutz ihrer personenbezogenen Daten individuell und konkret betroffene Person gegen den Verletzer erheben kann.
Wie der Generalanwalt in Nr. 76 seiner Schlussanträge ausgeführt hat, könnte die präventive Funktion der durch Verbände zur Wahrung von Verbraucherinteressen wie dem Bundesverband erhobenen Klagen nämlich nicht gewährleistet werden, wenn mit der in Art. 80 Abs. 2 DSGVO vorgesehenen Verbandsklage nur die Verletzung von Rechten einer von einem solchen Verstoß individuell und konkret betroffenen Person geltend gemacht werden könnte.
Als Drittes ist entsprechend dem Ersuchen des vorlegenden Gerichts noch zu prüfen, ob Art. 80 Abs. 2 DSGVO dem entgegensteht, dass eine Verbandsklage unabhängig von einer konkreten Verletzung eines Rechts einer betroffenen Person und von einem von dieser Person erteilten Auftrag erhoben wird, wenn der Verstoß gegen die Datenschutzvorschriften im Rahmen eines Verfahrens zur Durchsetzung anderer Rechtsvorschriften zur Gewährleistung des Verbraucherschutzes geltend gemacht worden ist.
Insoweit ist zunächst darauf hinzuweisen, dass, wie im Wesentlichen in Rn. 66 des vorliegenden Urteils ausgeführt worden ist, der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen kann.
Daher hindert diese Bestimmung, wie der Generalanwalt in Nr. 72 seiner Schlussanträge ausgeführt hat, die Mitgliedstaaten nicht daran, von der ihnen eingeräumten Befugnis in dem Sinne Gebrauch zu machen, dass die Verbände zur Wahrung von Verbraucherinteressen befugt sind, gegen Verletzungen der in der DSGVO vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorzugehen, wie sie in der Richtlinie 2005/29 und der Richtlinie 2009/22 vorgesehen sind.
Diese Auslegung von Art. 80 Abs. 2 DSGVO wird im Übrigen durch die Richtlinie 2020/1828 bestätigt, die die Richtlinie 2009/22 ab dem 25. Juni 2023 aufheben und ersetzen wird. In diesem Zusammenhang ist darauf hinzuweisen, dass die Richtlinie 2020/1828 nach ihrem Art. 2 Abs. 1 auf Verbandsklagen gegen Verstöße durch Unternehmer gegen die Vorschriften des Unionsrechts Anwendung findet, die in ihrem Anhang I enthalten sind, in dem in Nr. 56 die DSGVO genannt ist.
Zwar ist die Richtlinie 2020/1828 auf den Ausgangsrechtsstreit nicht anwendbar und die Frist für ihre Umsetzung noch nicht abgelaufen. Sie enthält jedoch mehrere Gesichtspunkte, die bestätigen, dass Art. 80 DSGVO komplementären Verbandsklagen im Bereich des Verbraucherschutzes nicht entgegensteht.
Auch wenn es nämlich, wie sich aus dem elften Erwägungsgrund dieser Richtlinie ergibt, weiterhin möglich sein wird, komplementäre Verfahrensvorschriften für Verbandsklagen im Bereich des Verbraucherschutzes vorzusehen, können die in der DSGVO festgelegten oder darauf beruhenden Durchsetzungsmechanismen wie der in Art. 80 DSGVO festgelegte ausweislich des 15. Erwägungsgrundes dieser Richtlinie nicht ersetzt oder geändert werden, und deshalb können sie zum Schutz der Kollektivinteressen der Verbraucher eingesetzt werden.
Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 80 Abs. 2 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Prechal
Passer
Biltgen
Rossi
Wahl
Verkündet in öffentlicher Sitzung in Luxemburg am 28. April 2022.
Der Kanzler
A. Calot Escobar
Der Präsident
K. Lenaerts
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Bayern
Persönlicher Ansprechpartner
E-Mail-Service
Bankdaten