Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 11.07.2024 - C-757/22
EuGH 11.07.2024 - C-757/22 - URTEIL DES GERICHTSHOFS (Vierte Kammer) - 11. Juli 2024 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 12 Abs. 1 Satz 1 – Transparente Information – Art. 13 Abs. 1 Buchst. c und e – Informationspflicht des Verantwortlichen – Art. 80 Abs. 2 – Vertretung von betroffenen Personen durch einen Verband zur Wahrung von Verbraucherinteressen – Verbandsklage ohne Auftrag und unabhängig von der Verletzung konkreter Rechte einer betroffenen Person – Auf eine Verletzung der Informationspflicht durch den Verantwortlichen gestützte Klage – Begriff ‚Verletzung der Rechte einer betroffenen Person infolge einer Verarbeitung‘“
Leitsatz
In der Rechtssache C-757/22
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Bundesgerichtshof (Deutschland) mit Entscheidung vom 10. November 2022, beim Gerichtshof eingegangen am 15. Dezember 2022, in dem Verfahren
Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd,
gegen
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.
erlässt
DER GERICHTSHOF (Vierte Kammer)
unter Mitwirkung des Kammerpräsidenten C. Lycourgos, der Richterin O. Spineanu-Matei, der Richter J.-C. Bonichot und S. Rodin sowie der Richterin L. S. Rossi (Berichterstatterin),
Generalanwalt: J. Richard de la Tour,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 23. November 2023,
unter Berücksichtigung der Erklärungen
der Meta Platforms Ireland Ltd, vertreten durch Rechtsanwälte M. Braun und H.-G. Kamann sowie Rechtsanwältin V. Wettner,
des Bundesverbands der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V., vertreten durch Rechtsanwalt P. Wassermann,
der deutschen Regierung, vertreten durch J. Möller und P.-L. Krüger als Bevollmächtigte,
der portugiesischen Regierung, vertreten durch P. Barros da Costa, J. Ramos und C. Vieira Guerra als Bevollmächtigte,
der Europäischen Kommission, vertreten durch A. Bouchagiar, F. Erlbacher und H. Kranenborg als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 25. Januar 2024
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO) in Verbindung mit deren Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e.
Es ergeht im Rahmen eines Rechtsstreits zwischen der Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd, deren Sitz sich in Irland befindet, und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (Deutschland) (im Folgenden: Bundesverband) wegen eines Verstoßes von Meta Platforms Ireland gegen die deutschen Rechtsvorschriften über den Schutz personenbezogener Daten, der zugleich eine unlautere Geschäftspraxis, einen Verstoß gegen ein Verbraucherschutzgesetz und einen Verstoß gegen das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen darstelle.
Rechtlicher Rahmen
DSGVO
In den Erwägungsgründen 10, 13, 39, 58, 60 und 142 der DSGVO heißt es:
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. …
…
Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. …
…
Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. …
…
Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. …
…
Betroffene Personen, die sich in ihren Rechten gemäß dieser Verordnung verletzt sehen, sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Verbände ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen, Organisationen oder Verbände das Recht haben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf haben sollten, wenn sie Grund zu der Annahme haben, dass die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung verletzt worden sind. Diesen Einrichtungen, Organisationen oder Verbänden kann unabhängig vom Auftrag einer betroffenen Person nicht gestattet werden, im Namen einer betroffenen Person Schadenersatz zu verlangen.“
Art. 1 („Gegenstand und Ziele“) dieser Verordnung bestimmt in Abs. 1:
„Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“
In Art. 4 Nrn. 1, 2, 9 und 11 der Verordnung heißt es:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …
‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
‚Empfänger‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. …
…
‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) der Verordnung bestimmt:
„(1) Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; …
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 Buchst. a DSGVO sieht vor:
„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“.
Kapitel III („Rechte der betroffenen Person“) der DSGVO umfasst die Art. 12 bis 23 der Verordnung.
In Art. 12 („Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“) der Verordnung heißt es in Abs. 1:
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“
Art. 13 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) der Verordnung sieht in Abs. 1 Buchst. c und e vor:
„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
…
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
…
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten …“
Das mit „Rechtsbehelfe, Haftung und Sanktionen“ überschriebene Kapitel VIII der Verordnung umfasst deren Art. 77 bis 84.
Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) DSGVO bestimmt in Abs. 1:
„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“
In Art. 78 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“) der Verordnung heißt es in Abs. 1:
„Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.“
Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) der Verordnung sieht vor:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
Art. 80 („Vertretung von betroffenen Personen“) der Verordnung lautet:
„(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“
Art. 82 („Haftung und Recht auf Schadenersatz“) DSGVO bestimmt in Abs. 1:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Art. 84 („Sanktionen“) Abs. 1 DSGVO lautet:
„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“
Deutsches Recht
Unterlassungsklagengesetz
§ 2 des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz) vom 26. November 2001 (BGBl. 2001 I S. 3138) in der auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: UKlaG) bestimmt:
„(1) Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. …
(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere
…
11. die Vorschriften, welche die Zulässigkeit regeln
der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,
wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.“
Nach den Angaben des Bundesgerichtshofs (Deutschland) können gemäß § 3 Abs. 1 Satz 1 Nr. 1 UKlaG qualifizierte Einrichtungen im Sinne von § 4 UKlaG zum einen gemäß § 1 UKlaG die Unterlassung der Verwendung von nach § 307 des Bürgerlichen Gesetzesbuchs (im Folgenden: BGB) unwirksamen Allgemeinen Geschäftsbedingungen und zum anderen die Unterlassung von Zuwiderhandlungen gegen Verbraucherschutzgesetze im Sinne von § 2 Abs. 2 UKlaG verlangen.
Gesetz gegen den unlauteren Wettbewerb
§ 3 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb vom 3. Juli 2004 (BGB1. 2004 I S. 1414) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: UWG) sieht vor:
„Unlautere geschäftliche Handlungen sind unzulässig.“
§ 3a UWG lautet:
„Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“
§ 8 UWG bestimmt:
„(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. …
…
(3) Die Ansprüche aus Absatz 1 stehen zu:
…
qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 [UKlaG] … eingetragen sind“.
Telemediengesetz
Nach Angaben des Bundesgerichtshofs war bis zum Inkrafttreten der DSGVO § 13 Abs. 1 des Telemediengesetzes vom 26. Februar 2007 (BGBl. 2007 I S. 179, im Folgenden: TMG) anwendbar. Mit dem Inkrafttreten der DSGVO ist diese Bestimmung durch die Art. 12 bis 14 DSGVO ersetzt worden.
§ 13 Abs. 1 Satz 1 TMG bestimmte:
„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [(ABl. 1995, L 281, S. 31)] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.“
Ausgangsrechtsstreit und Vorlagefrage
Meta Platforms Ireland, die das Angebot der Dienste des sozialen Netzwerks Facebook in der Union betreibt, ist die für die Verarbeitung personenbezogener Daten von Nutzern dieses sozialen Netzwerks in der Union Verantwortliche. Die Facebook Germany GmbH mit Sitz in Deutschland bewirbt unter der Adresse www.facebook.de den Verkauf von Werbeflächen. Auf der Internetplattform Facebook befand sich, u. a. unter der Internetadresse www.facebook.de, ein als „App-Zentrum“ bezeichneter Bereich, in dem Meta Platforms Ireland ihren Nutzern kostenlose Spieleanwendungen von Drittanbietern zugänglich machte. Wenn der Nutzer diesen Bereich aufrief, wurde er darüber informiert, dass er bestimmten dieser Anwendungen bei deren Nutzung das Sammeln verschiedener persönlicher Daten gestattete und sie dazu berechtige, in seinem Namen bestimmte dieser Daten zu veröffentlichen, wie seinen Punktestand sowie – für eines der in Rede stehenden Spiele – seinen Status und seine Fotos. Des Weiteren wurde er informiert, dass er mit der Nutzung der betreffenden Anwendung deren Allgemeinen Geschäftsbedingungen und Datenschutzpolitik zustimmte.
Der Bundesverband, bei dem es sich um eine qualifizierte Einrichtung im Sinne von § 4 UKlaG handelt, hielt die Hinweise der betreffenden Spiele im App-Zentrum für unlauter, und zwar u. a. unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Außerdem stelle die Information, dass die Anwendung berechtigt sei, bestimmte personenbezogene Informationen des Nutzers in seinem Namen zu veröffentlichen, eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung dar.
In diesem Zusammenhang erhob der Bundesverband beim Landgericht Berlin (Deutschland) eine Unterlassungsklage, die auf § 3a UWG, § 2 Abs. 2 Satz 1 Nr. 11 UKlaG und das BGB gestützt wurde und mit der Meta Platforms Ireland untersagt werden sollte, im App-Zentrum Spiele wie die betreffenden Anwendungen zu präsentieren. Die Klage wurde unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben.
Das Landesgericht Berlin gab den Anträgen des Bundesverbands statt. Die von Meta Platforms Ireland beim Kammergericht (Berlin, Deutschland) eingelegte Berufung wurde zurückgewiesen. Meta Platforms Ireland legte daraufhin gegen die zurückweisende Entscheidung des Berufungsgerichts beim vorlegenden Gericht Revision ein.
Das vorlegende Gericht hielt die Klage des Bundesverbands für begründet, da Meta Platforms Ireland gegen § 3a UWG und § 2 Abs. 2 Satz 1 Nr. 11 UKlaG verstoßen und unwirksame Allgemeine Geschäftsbedingungen gemäß § 1 UKlaG verwendet habe.
Das vorlegende Gericht hegte jedoch Zweifel an der Zulässigkeit der Klage des Bundesverbands. Es sei nämlich nicht ausgeschlossen, dass der Bundesverband, der zum Zeitpunkt der Klageerhebung nach § 8 Abs. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG durchaus klagebefugt gewesen sei, die Klagebefugnis im Lauf des Verfahrens verloren habe, nachdem die DSGVO, insbesondere deren Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1, in Kraft getreten sei. Sollte dies der Fall sein, müsste das vorlegende Gericht der Revision von Meta Platforms Ireland stattgeben und die Unterlassungsklage des Bundesverbands abweisen, da nach den einschlägigen Verfahrensvorschriften des deutschen Rechts die Klagebefugnis bis zum Abschluss der letzten Instanz fortbestehen müsse.
Der Bundesgerichtshof setzte daher das Verfahren mit Beschluss vom 28. Mai 2020 aus und legte dem Gerichtshof eine Frage zur Auslegung von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO zur Vorabentscheidung vor.
Mit Urteil vom 28. April 2022, Meta Platforms Ireland (C-319/20, EU:C:2022:322), hat der Gerichtshof diese Frage dahin beantwortet, dass Art. 80 Abs. 2 DSGVO so auszulegen ist, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Unter Zugrundelegung dieses Urteils geht das vorlegende Gericht davon aus, dass die Klagebefugnis einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht unter der Voraussetzung steht, dass eine solche Einrichtung die Person, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der DSGVO verstößt, betroffen ist, im Voraus individuell ermittelt. Der Begriff „betroffene Person“ im Sinne von Art. 4 Nr. 1 DSGVO umfasse somit nicht nur eine „identifizierte natürliche Person“, sondern auch eine „identifizierbare natürliche Person“, also eine natürliche Person, die direkt oder indirekt, mittels Zuordnung zu einer Kennung wie insbesondere einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung identifiziert werden könne. Unter diesen Umständen könne die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen seien, für die Erhebung einer Verbandsklage ausreichen. Im vorliegenden Fall habe der Bundesverband eine solche Gruppe oder Kategorie benannt.
In dem angeführten Urteil habe der Gerichtshof allerdings die in Art. 80 Abs. 2 DSGVO genannte Voraussetzung nicht geprüft, nach der ein Verband zur Wahrung von Verbraucherinteressen, um die in dieser Verordnung vorgesehenen Rechtsbehelfe wahrzunehmen, geltend machen müsse, dass die in dieser Verordnung vorgesehenen Rechte der betroffenen Person „infolge einer Verarbeitung“ verletzt worden seien.
Zum einen lasse sich diesem Urteil nicht eindeutig entnehmen, ob eine Verletzung der sich aus Art. 12 Abs. 1 Satz 1 sowie Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Pflicht, der betroffenen Person Informationen über den Zweck der Datenverarbeitung und die Empfänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, eine Verletzung „infolge einer Verarbeitung“ darstelle und ob eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 der Verordnung auch Sachverhalte einschließe, die der Erfassung solcher Daten vorausgingen.
Zum anderen sei nicht eindeutig geklärt, ob die Verletzung der Informationspflicht in einem Fall wie dem vorliegenden „infolge“ einer Verarbeitung personenbezogener Daten im Sinne von Art. 80 Abs. 2 DSGVO eingetreten sei. Eine solche Formulierung könne zwar darauf hindeuten, dass eine Verbandsklage nur zulässig sei, wenn die Einrichtung, die sie erhebe, eine sich aus einem Datenverarbeitungsvorgang im Sinne von Art. 4 Nr. 2 der Verordnung ergebende, d. h. einem solchen Vorgang nachfolgende Verletzung der Rechte einer betroffenen Person gemäß der Verordnung geltend mache. Allerdings dürfte das Ziel der Verordnung, u. a. ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, dafür sprechen, eine Verbandsklagebefugnis auch auf eine Verletzung der Informationspflicht zu erstrecken, obgleich diese Pflicht zu erfüllen sei, bevor eine Verarbeitung personenbezogener Daten vorgenommen werde.
Der Bundesgerichtshof hat daher beschlossen, das Verfahren erneut auszusetzen und dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:
Wird eine Verletzung der Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, diese Rechte seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien?
Zur Vorlagefrage
Mit seiner Frage möchte das vorlegende Gericht wissen, ob Art. 80 Abs. 2 DSGVO dahin auszulegen ist, dass die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer durch die Verarbeitung personenbezogener Daten betroffenen Person „infolge einer Verarbeitung“ verletzt wurden, erfüllt ist, wenn eine solche Klage auf einen Verstoß gegen die Pflicht gestützt wird, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e der Verordnung obliegt, der betroffenen Person spätestens bei der Erhebung dieser Daten Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Zur Beantwortung dieser Frage ist einleitend darauf hinzuweisen, dass die DSGVO u. a. die Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt. Der Schutz dieser Rechte kann somit entweder unmittelbar von der betroffenen Person, die nach Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde eines Mitgliedstaats oder nach den Art. 78 und 79 DSGVO das Recht auf einen gerichtlichen Rechtsbehelf bei den nationalen Gerichten hat, oder aber von einer befugten Einrichtung – mit oder ohne entsprechenden Auftrag – nach Art. 80 DSGVO beansprucht werden.
Konkret eröffnet Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne einen Auftrag der betroffenen Person vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft ist (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 63).
Was als Erstes den persönlichen Anwendungsbereich dieses Verfahrens betrifft, wird die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung zuerkannt, die die in Art. 80 Abs. 1 DSGVO aufgeführten Kriterien erfüllt. Der Gerichtshof hat insbesondere bereits entschieden, dass ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband unter diesen Begriff fallen kann, da er ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, und die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 64 und 65).
Was als Zweites den sachlichen Anwendungsbereich dieses Verfahrens betrifft, so kann eine Einrichtung, die die in Art. 80 Abs. 1 DSGVO genannten Voraussetzungen erfüllt, die in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn „ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung [ihrer personenbezogenen Daten] verletzt worden sind“ (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 67).
Der Gerichtshof hat insoweit klargestellt, dass die Erhebung einer Verbandsklage insbesondere nicht daran geknüpft ist, dass eine „konkrete Verletzung“ der Rechte einer Person aus den Datenschutzvorschriften vorliegt, so dass es für die Anerkennung der Klagebefugnis einer solchen Einrichtung ausreicht, geltend zu machen, dass die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen könne, ohne dass ein der betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte tatsächlich entstandener Schaden nachgewiesen werden müsste (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 70 und 72).
Die Erhebung einer Verbandsklage setzt allerdings, wie der Gerichtshof bereits entschieden hat, voraus, dass die betroffene Einrichtung „ihres Erachtens“ davon ausgeht, dass die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung personenbezogener Daten dieser Person verletzt worden seien, und somit eine Datenverarbeitung behauptet, von der sie meint, dass sie gegen die Bestimmungen dieser Verordnung verstoße (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 71), wobei eine solche Verarbeitung nicht rein hypothetischer Natur sein darf, wie der Generalanwalt in Nr. 48 seiner Schlussanträge ausgeführt hat.
Konkret impliziert die Erhebung einer auf Art. 80 Abs. 2 DSGVO gestützten Verbandsklage nach dieser Bestimmung, dass es anlässlich der Verarbeitung personenbezogener Daten zu einer Verletzung der Rechte einer Person aus den Datenschutzvorschriften in dieser Verordnung kommt.
Diese Auslegung wird durch einen Vergleich der verschiedenen Sprachfassungen von Art. 80 Abs. 2 DSGVO sowie durch ihren 142. Erwägungsgrund gestützt, in dem es heißt, dass Einrichtungen, die die in Art. 80 Abs. 1 der Verordnung aufgeführten Bedingungen erfüllen, Grund zu der Annahme haben müssen, dass die in der Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung“ verletzt worden sind.
Nach dieser Klarstellung ist für die Beantwortung der Vorlagefrage noch zu prüfen, ob die Verletzung der dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 sowie Art. 13 Abs. 1 Buchst. c und e DSGVO obliegenden Pflicht, der betroffenen Person Informationen über den Zweck der Datenverarbeitung und die Empfänger personenbezogener Daten spätestens bei der Erhebung dieser Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, eine Verletzung der Rechte dieser Person „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO darstellt.
Vorab ist darauf hinzuweisen, dass das Ziel der DSGVO, wie es sich aus ihrem Art. 1 und ihrem zehnten Erwägungsgrund ergibt, insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten zu gewährleisten (vgl. in diesem Sinne Urteil vom 7. März 2024, IAB Europe, C-604/22, EU:C:2024:214, Rn. 53).
Zu diesem Zweck enthalten die Kapitel II und III der Verordnung die Grundsätze für die Verarbeitung personenbezogener Daten bzw. die Rechte der betroffenen Person, die bei jeder Verarbeitung personenbezogener Daten beachtet werden müssen. Vorbehaltlich der in Art. 23 der Verordnung vorgesehenen Ausnahmen muss jede Verarbeitung personenbezogener Daten insbesondere zum einen im Einklang mit den in Art. 5 der Verordnung aufgestellten Grundsätzen zur Verarbeitung solcher Daten im Einklang stehen und die in Art. 6 der Verordnung genannten Rechtmäßigkeitsvoraussetzungen erfüllen sowie zum anderen die in den Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Person beachten (vgl. in diesem Sinne Urteile vom 6. Oktober 2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 208, und vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C-175/20, EU:C:2022:124, Rn. 50 und 61 sowie die dort angeführte Rechtsprechung).
Insoweit ist hervorzuheben, dass personenbezogene Daten nach Art. 5 Abs. 1 Buchst. a DSGVO auf rechtmäßige Weise, nach Treu und Glauben sowie in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Außerdem müssen diese Daten gemäß Art. 5 Abs. 1 Buchst. b für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Zur Auslegung von Art. 5 Abs. 1 Buchst. b DSGVO hat der Gerichtshof entschieden, dass nach dieser Bestimmung u. a. verlangt wird, dass die Zwecke der Verarbeitung spätestens zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen und klar angegeben sein müssen (Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C-175/20, EU:C:2022:124, Rn. 64 und 65).
Außerdem trägt nach Art. 5 Abs. 2 DSGVO der Verantwortliche die Beweislast dafür, dass die Daten u. a. für festgelegte, eindeutige und legitime Zwecke erhoben werden und auf rechtmäßige Weise, nach Treu und Glauben sowie in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Aus Art. 5 DSGVO ergibt sich damit, dass die Verarbeitung personenbezogener Daten in Bezug auf die von einer solchen Verarbeitung betroffenen Person u. a. konkreten Anforderungen an die Transparenz genügen muss. Hierzu sieht die DSGVO in ihrem Kapitel III zum einen für den Verantwortlichen spezifische Pflichten vor und erkennt der von einer Verarbeitung personenbezogener Daten betroffenen Person eine Reihe von Rechten zu, darunter das Recht, vom Verantwortlichen Informationen zu den Verarbeitungszwecken und über die konkreten Empfänger zu erhalten, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Urteil vom 22. Juni 2023, Pankki S, C-579/21, EU:C:2023:501, Rn. 48).
Im Einzelnen sieht Art. 13 Abs. 1 Buchst. c und e, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, für den Verantwortlichen die Pflicht vor, dieser Person jeweils die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, und die Rechtsgrundlage für die Verarbeitung sowie die Empfänger oder Kategorien von Empfängern der Daten mitzuteilen.
Art. 12 Abs. 1 der Verordnung verlangt zudem, dass der Verantwortliche geeignete Maßnahmen trifft, damit u. a. die in der vorstehenden Randnummer bezeichneten Informationen, die der betroffenen Person übermittelt werden, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden.
Wie der Gerichtshof entschieden hat, soll Art. 12 Abs. 1 DSGVO, der Ausdruck des Transparenzgrundsatzes ist, gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 38).
Die Bedeutung einer solchen Informationspflicht wird auch durch den 60. Erwägungsgrund der DSGVO bestätigt, nach dem es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird, wobei der Verantwortliche alle weiteren Informationen zur Verfügung stellen sollte, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 36).
Aus dem Vorstehenden ergibt sich erstens, dass die Informationspflicht, die dem Verantwortlichen gegenüber den von einer Verarbeitung personenbezogener Daten betroffenen Personen obliegt, die logische Folge des Informationsrechts ist, das diesen Personen durch die Art. 12 und 13 DSGVO zuerkannt wird und das damit zu den Rechten gehört, die über die in Art. 80 Abs. 2 der Verordnung vorgesehene Verbandsklage geschützt werden sollen. Außerdem gewährleistet die Einhaltung dieser Pflicht, wie sich den Rn. 56 und 57 des vorliegenden Urteils entnehmen lässt, allgemeiner die Einhaltung der in Art. 5 Abs. 1 der Verordnung vorgesehenen Grundsätze der Transparenz und der Verarbeitung nach Treu und Glauben.
Zweitens könnte, wie der Generalanwalt in Nr. 47 seiner Schlussanträge ausgeführt hat, eine behauptete Verletzung des Rechts der betroffenen Personen, hinreichend über alle Umstände im Zusammenhang mit einer Verarbeitung personenbezogener Daten, einschließlich des Zwecks der Verarbeitung und des Empfängers der Daten, informiert zu werden, der Erteilung einer Einwilligung „in informierter Weise“ im Sinne von Art. 4 Nr. 11 DSGVO entgegenstehen, was diese Verarbeitung rechtswidrig im Sinne von Art. 5 Abs. 1 der Verordnung machen kann.
Die Gültigkeit der von der betroffenen Person erteilten Einwilligung hängt nämlich u. a. davon ab, ob diese Person zuvor die Informationen über alle Umstände im Zusammenhang mit der Verarbeitung der fraglichen Daten erhalten hat, auf die sie nach den Art. 12 und 13 DSGVO Anspruch hat und die ihr ermöglichen, die Einwilligung in voller Kenntnis der Sachlage zu geben.
Da eine Verarbeitung personenbezogener Daten unter Verletzung des Informationsrechts, das der betroffenen Person aus den Art. 12 und 13 DSGVO zusteht, gegen die in Art. 5 der Verordnung festgelegten Anforderungen verstößt, ist die Verletzung dieses Rechts als ein Verstoß gegen die Rechte der betroffenen Person „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 der Verordnung anzusehen.
Das Recht einer durch eine Verarbeitung personenbezogener Daten betroffenen Person aus Art 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO, vom Verantwortlichen Informationen über den Zweck der Datenverarbeitung und die Empfänger personenbezogener Daten spätestens bei der Erhebung dieser Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt zu bekommen, stellt folglich ein Recht dar, bei dessen Verletzung von dem in Art. 80 Abs. 2 der Verordnung vorgesehenen Verbandsklagemechanismus Gebrauch gemacht werden kann.
Diese Auslegung wird zum einen durch das in Rn. 48 des vorliegenden Urteils genannte Ziel der DSGVO bestätigt, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen zu gewährleisten, und insbesondere ein hohes Schutzniveau für deren Recht auf Privatleben bei der Verarbeitung ihrer personenbezogenen Daten.
Zum anderen entspricht eine solche Auslegung auch der Präventionsfunktion der in Art. 80 Abs. 2 DSGVO vorgesehenen Verbandsklage durch Verbände zur Wahrung von Verbraucherinteressen wie im vorliegenden Fall des Bundesverbands (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 76).
Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 80 Abs. 2 DSGVO dahin auszulegen ist, dass die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e der Verordnung obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung “ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e der Verordnung obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Lycourgos
Spineanu-Matei
Bonichot
Rodin
Rossi
Verkündet in öffentlicher Sitzung in Luxemburg am 11. Juli 2024.
Der Kanzler
A. Calot Escobar
Der Kammerpräsident
C. Lycourgos
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Niedersachsen
Persönlicher Ansprechpartner
0800 0265637