Entscheidungsstichwort (Thema)
Vorabentscheidungsersuchen: Klagemöglichkeit von Mitbewerbern oder berechtigten Verbänden vor Zivilgerichten wegen Verstoßes gegen Verordnung (EU) 2016/679 ohne konkrete Verletzung der Rechte Betroffener oder ohne Beauftragung durch Betroffene. App-Zentrum
Leitsatz (amtlich)
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Kapitel VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:
Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 nationalen Regelungen entgegen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Verordnung (EU) 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?
Normenkette
EUV 2016/679 Art. 12 Abs. 1 S. 1, Art. 13 Abs. 1 Buchst. c, e, Art. 80 Abs. 1-2, Art. 84 Abs. 1; UWG § 3 Abs. 1, § 8 Abs. 1, 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 S. 1 Nr. 11, § 3 Abs. 1 S. 1 Nr. 1, § 4; BDSG § 4a Abs. 1 Sätze 1-2, § 28 Abs. 3 S. 1; TMG § 13 Abs. 1 S. 1 Hs. 1, Sätze 1-2
Verfahrensgang
Nachgehend
Tenor
I. Das Verfahren wird ausgesetzt.
II. Dem Gerichtshof der Europäischen Union wird zur Auslegung von Kapitel VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:
Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 nationalen Regelungen entgegen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Verordnung (EU) 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?
Gründe
Rz. 1
A. Der Kläger ist der in die Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Bundesverband der Verbraucherzentralen der Bundesländer. Die in Irland ansässige Beklagte betreibt unter der Adresse www.facebook.de die Internetplattform Facebook, die dem Austausch persönlicher und sonstiger Daten dient. Eine Schwestergesellschaft der Beklagten, die in Deutschland ansässige Facebook Germany GmbH, bewirbt dort die Verfügbarkeit von Werbeflächen auf der Internetplattform und unterstützt lokale Werbekunden der Beklagten. Vertragspartner für Werbekunden in Deutschland ist die Beklagte. Diese verarbeitet zudem die Daten der deutschen Kunden von Facebook. Die Muttergesellschaft der Beklagten und der Facebook Germany GmbH ist in den Vereinigten Staaten von Amerika ansässig.
Rz. 2
Auf der Internetplattform Facebook befindet sich ein sogenanntes "App-Zentrum", in dem die Beklagte ihren Nutzern unter anderem kostenlose Spiele von Drittanbietern zugänglich macht. Bei Aufruf des App-Zentrums am 26. November 2012 wurde dort das Spiel "The Ville" angeboten, wobei unter einem Button "Sofort spielen" folgende Informationen erschienen:
Durch das Anklicken von 'Spiel spielen' oben erhält diese Anwendung
- Deine allgemeinen Informationen (?)
- Deine-Mail-Adresse
- Über Dich
- Deine Statusmeldungen
Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.
Rz. 3
Ferner befand sich dort der Hinweis
Wenn du fortfährst, stimmst du The Ville Allgemeine Geschäftsbedingungen und Datenschutzrichtlinien zu.
Die Allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen waren über einen elektronischen Verweis (Link) aufrufbar. Entsprechende Hinweise erschienen bei den Spielen "Diamond Dash" und "Wetpaint Entertainment" gleichfalls unter dem Button "Sofort spielen". Beim Spiel "Scrabble" endeten die Hinweise mit dem Satz:
Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.
Rz. 4
Der Kläger beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis beim Spiel "Scrabble" eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.
Rz. 5
Der Kläger hat beantragt, der Beklagten unter Androhung von Ordnungsmitteln zu verbieten,
1. im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern mit einem ständigen Aufenthalt in der Bundesrepublik Deutschland auf der Internetseite mit der Adresse www.facebook.com Spiele in einem so genannten "App-Zentrum" derart zu präsentieren, dass der Verbraucher mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgibt, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen des Verbrauchers zu übermitteln (posten) wie in bildlich wiedergegebenen [vorliegend nicht abgedruckten] Bildschirmkopien ersichtlich;
2. nachfolgende oder mit diesen inhaltsgleiche Bestimmungen in Vereinbarungen mit Verbrauchern, die ihren gewöhnlichen Aufenthalt in der Bundesrepublik Deutschland haben, über die Nutzung von Applikationen (Apps) im Rahmen eines sozialen Netzwerkes einzubeziehen, sowie sich auf die Bestimmungen über die Übertragung von Daten an die Betreiber der Spiele zu berufen:
Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.
Rz. 6
Der Kläger hat die Beklagte ferner auf Ersatz von Abmahnkosten in Höhe von 200 € nebst Zinsen in Anspruch genommen.
Rz. 7
Der Kläger hat die vorliegende Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben.
Rz. 8
Das Landgericht hat die Beklagte antragsgemäß verurteilt (LG Berlin, ZD 2015, 133). Die Berufung der Beklagten ist ohne Erfolg geblieben (KG, GRUR-RR 2018, 115). Die Beklagte verfolgt mit ihrer vom Berufungsgericht zugelassenen Revision, deren Zurückweisung der Kläger beantragt, ihren Klageabweisungsantrag weiter.
Rz. 9
Eine vom Präsidenten des Bundeskartellamts bestellte Vertretung aus den Mitgliedern des Bundeskartellamts hat nach § 90 Abs. 6 Satz 1, Abs. 2 GWB eine schriftliche Erklärung abgegeben, der mündlichen Verhandlung am 6. Februar 2020 beigewohnt und Ausführungen gemacht.
Rz. 10
B. Der Erfolg der Revision hängt von der Auslegung des Kapitels VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ab. Vor einer Entscheidung über die Revision der Beklagten ist deshalb das Verfahren auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union einzuholen.
Rz. 11
I. Das Berufungsgericht hat angenommen, die Klageanträge seien begründet. Hierzu hat es ausgeführt:
Rz. 12
Der gegen die Gestaltung des App-Zentrums gerichtete Unterlassungsantrag zu 1 sei unter dem Gesichtspunkt des Rechtsbruchs gemäß § 8 Abs. 1 UWG begründet. Diese Gestaltung sei als unlautere geschäftliche Handlung gemäß § 3 Abs. 1 UWG anzusehen, weil sie gegen gesetzliche Vorschriften im Sinne von § 4 Nr. 11 UWG aF und § 3a UWG verstoße. Die Beklagte habe durch die angegriffene Gestaltung des "App-Zentrums" gegen § 28 Abs. 3 Satz 1, § 4a Abs. 1 Satz 1 und 2 BDSG sowie gegen § 13 Abs. 1 TMG verstoßen. Diese datenschutzrechtlichen Vorschriften dienten auch dem Verbraucherschutz und seien Marktverhaltensregelungen im Sinne von § 4 Nr. 11 UWG aF und § 3a UWG.
Rz. 13
Der Anwendbarkeit des deutschen Datenschutzrechts stehe nicht entgegen, dass die Beklagte in Irland ansässig sei. Gemäß Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sei maßgeblich, ob die Beklagte eine Niederlassung in Deutschland habe und die in Rede stehende Verarbeitung der Daten im Rahmen ihrer Tätigkeit stattfinde. Diese Voraussetzungen lägen im Hinblick auf die deutsche Schwestergesellschaft der Beklagten (Facebook Germany GmbH) vor.
Rz. 14
Die beanstandete Präsentation der Spiele im App-Zentrum entspreche nicht den Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung gemäß § 4a Abs. 2 Satz 1 und 2 BDSG. Durch die angegriffene Ausgestaltung des App-Zentrums bleibe unklar, welche Daten für den weiteren Transfer freigegeben würden und welchem Zweck die Übertragung diene. Die Weitergabe der Nutzerdaten an die jeweiligen Spielebetreiber auf der Grundlage dieser Ausgestaltung des App-Zentrums verstoße damit gegen §§ 4, 28 Abs. 3 BDSG.
Rz. 15
Der gegen die Verwendung des Hinweises "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten" bei der Präsentation des Spiels "Scrabble" gerichtete Unterlassungsantrag zu 2 sei gemäß § 1 UKlaG begründet. Dieser Hinweis sei eine Allgemeine Geschäftsbedingung, die den Nutzer gemäß § 307 BGB unangemessen benachteilige.
Rz. 16
Der auf die Erstattung der Abmahnkosten gerichtete Antrag sei gemäß § 12 Abs. 1 Satz 2 UWG begründet.
Rz. 17
II. Das Berufungsgericht hat die Klageanträge mit Recht für begründet erachtet. Für den Erfolg der Revision der Beklagten ist es deshalb maßgeblich, ob das Berufungsgericht rechtsfehlerfrei von der Zulässigkeit der Klage ausgegangen ist. Bei der Prüfung der Zulässigkeit der Klage stellt sich eine Frage zur Auslegung der Verordnung (EU) 2016/679, die nicht zweifelsfrei zu beantworten ist. Es ist fraglich, ob qualifizierten Einrichtungen wie dem im Streitfall klagenden Verbraucherverband nach Inkrafttreten der Verordnung (EU) 2016/679 gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zusteht, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne Auftrag einer betroffenen Person unter den Gesichtspunkten des Rechtsbruchs gemäß § 3a UWG, des Verstoßes gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 UKlaG oder der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen.
Rz. 18
1. Der Kläger macht die Verletzung von Informationspflichten gemäß § 13 Abs. 1 Satz 1 Halbsatz 1 TMG geltend und stützt die mit der Klage gestellten Anträge damit auf die Verletzung einer Vorschrift, die mit Inkrafttreten der Verordnung (EU) 2016/679 durch in dieser Verordnung geregelte Bestimmungen (Art. 12 und 13 der Verordnung) ersetzt worden ist. Dadurch könnte die ursprünglich bestehende Befugnis des Klägers zur Geltendmachung der Verletzung dieser Informationspflichten durch eine Klage vor den Zivilgerichten entfallen sein.
Rz. 19
a) Eine Auslegung der Klageanträge unter Berücksichtigung des dazu gehaltenen Vorbringens ergibt, dass der Kläger die Verletzung einer die Beklagte gemäß § 13 Abs. 1 TMG treffenden Informationspflicht über Zweck und Umfang einer Einwilligung des Nutzers in die Verarbeitung seiner personenbezogenen Daten geltend macht.
Rz. 20
b) Die auf die Verletzung von § 13 Abs. 1 TMG gestützten Klageanträge waren vor Inkrafttreten der Verordnung (EU) 2016/679 zulässig und begründet.
Rz. 21
aa) Gemäß § 13 Abs. 1 Satz 1 Halbsatz 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Das Berufungsgericht ist rechtsfehlerfrei davon ausgegangen, dass die mit den Klageanträgen angegriffenen Angaben im App-Zentrum diesen Anforderungen nicht genügen.
Rz. 22
bb) Danach war der Klageantrag zu 1 begründet. Durch die Verletzung der sich aus § 13 Abs. 1 Satz 1 Halbsatz 1 TMG ergebenden Informationspflichten hat die Beklagte gegen § 3a UWG und § 2 Abs. 2 Satz 1 Nr. 11 UKlaG verstoßen. Das Berufungsgericht hat zutreffend angenommen, dass die hier in Rede stehenden Bestimmungen gemäß § 13 TMG Marktverhaltensregelungen im Sinne von § 3a UWG sind. Zudem handelt es sich dabei um Vorschriften, die im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 Buchst. a UKlaG die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer regeln, die zu Zwecken der Werbung erhoben, verarbeitet oder genutzt worden sind. Das Berufungsgericht hat außerdem mit Recht angenommen, dass der Anwendbarkeit des deutschen Datenschutzrechts nicht entgegensteht, dass die Beklagte in Irland ansässig ist. Der Gerichtshof der Europäischen Union hat in seinem Urteil vom 5. Juni 2018 zu dem auch im Streitfall vorliegenden Verhältnis der in Irland ansässigen, für die Verarbeitung der im Streitfall maßgeblichen Daten verantwortlichen Beklagten zu ihrer in Deutschland ansässigen, lediglich für die Förderung des Verkaufs von Werbung in Deutschland zuständigen Schwestergesellschaft bereits entschieden, dass die deutsche Schwestergesellschaft als Niederlassung im Sinne von Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46/EG anzusehen ist (C-210/16, WRP 2018, 805 Rn. 55 - Wirtschaftsakademie Schleswig-Holstein).
Rz. 23
Die Beklagte hat außerdem eine wegen des Verstoßes gegen die im Streitfall maßgeblichen datenschutzrechtlichen Informationspflichten unwirksame Allgemeine Geschäftsbedingungen gemäß § 1 UKlaG verwendet. Daraus ergibt sich die ursprüngliche Begründetheit des Klageantrags zu 2.
Rz. 24
cc) Die Klage war ursprünglich auch zulässig. Insbesondere war der Kläger vor Inkrafttreten der Verordnung (EU) 2016/679 befugt, die Klageanträge im Wege der Klage vor den Zivilgerichten zu verfolgen.
Rz. 25
(1) Die Befugnis zur klageweisen Geltendmachung des Unterlassungsantrags zu 1 ergab sich aus § 8 Abs. 3 Nr. 3 UWG sowie aus § 3 Abs. 1 Satz 1 Nr. 1 UKlaG.
Rz. 26
Gemäß § 8 Abs. 3 Nr. 3 UWG steht ein Anspruch aus § 8 Abs. 1 UWG auf Unterlassung einer gemäß § 3 UWG unzulässigen geschäftlichen Handlung qualifizierten Einrichtungen zu, die nachweisen, dass sie in die Liste der qualifizierten Einrichtungen nach § 4 UKlaG eingetragen sind. Der klagende Verbraucherverband ist in die Liste der qualifizierten Einrichtungen nach § 4 UKlaG eingetragen. Als eine solche Einrichtung war der Kläger unter Geltung der Richtlinie 95/46/EG befugt, im Wege der Unterlassungsklage gemäß § 8 Abs. 1 und 3 Nr. 3 UWG in Verbindung mit § 3 Abs. 1, § 3a UWG Verstöße gegen das Datenschutzrecht (hier: Art. 10 Buchst. a der Richtlinie 95/46/EG, § 13 Abs. 1 Satz 1 Halbsatz 1 TMG) unter dem Gesichtspunkt des Rechtsbruchs als unzulässige geschäftliche Handlung zu verfolgen (vgl. EuGH, Urteil vom 29. Juli 2019 - C-40/17, GRUR 2019, 977 Rn. 63 = WRP 2019, 1146 - Fashion-ID).
Rz. 27
Die Befugnis des Klägers zur klageweisen Geltendmachung des Unterlassungsantrags zu 1 ergab sich zudem aus § 3 Abs. 1 Satz 1 Nr. 1 UKlaG. Danach können qualifizierte Einrichtungen im Sinne dieser Vorschrift Ansprüche auf Unterlassung wegen Zuwiderhandlungen gegen Verbraucherschutzgesetze geltend machen, zu denen gemäß § 2 Abs. 2 Satz 1 Nr. 11 UKlaG auch Vorschriften gehören, die die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung zum Gegenstand haben.
Rz. 28
(2) Die Befugnis zur klageweisen Geltendmachung des auf Unterlassung der Verwendung einer Allgemeinen Geschäftsbedingung gerichteten Klageantrags zu 2 folgte gleichfalls aus § 3 Abs. 1 Satz 1 Nr. 1 UKlaG. Danach steht qualifizierten Einrichtungen ein Anspruch gemäß § 1 UKlaG auf Unterlassung der Verwendung von nach § 307 BGB unwirksamen Allgemeinen Geschäftsbedingungen zu. Vor Inkrafttreten der Verordnung (EU) 2016/679 konnten qualifizierte Einrichtungen im Sinne von § 3 Abs. 1 Satz 1 Nr. 1 UKlaG mithin gemäß § 1 UKlaG im Wege der Unterlassungsklage gegen den Verwender einer Allgemeinen Geschäftsbedingung vorgehen, die nach § 307 BGB wegen Verletzung einer datenschutzrechtlichen Bestimmung unwirksam war (vgl. BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16, GRUR 2018, 96 Rn. 1 und Rn. 12 - Cookie-Einwilligung I).
Rz. 29
c) Diese Rechtslage könnte sich durch das Inkrafttreten der Verordnung (EU) 2016/679 in entscheidungserheblicher Weise geändert haben.
Rz. 30
aa) Allerdings sind die Klageanträge auch nach Inkrafttreten der Verordnung (EU) 2016/679 begründet. Zwar ist die Bestimmung des § 13 Abs. 1 TMG seitdem nicht mehr anwendbar (vgl. Piltz in Gola, DS-GVO, 2. Aufl., Art. 95 Rn. 19; Conrad/Hausen in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., § 36 Rn. 20 und 21; Schmitz in Spindler/Schmitz, TMG, 2. Aufl., Vor § 11 Rn. 9 f.; Keppeler, MMR 2015, 779, 781; Jandt, ZD 2018, 405, 407; vgl. auch den Regierungsentwurf eines Netzwerkdurchsetzungsgesetzes, BT-Drucks. 18/12356, S. 28; zur weiteren Anwendbarkeit der im Streitfall nicht maßgeblichen Bestimmung des § 15 Abs. 3 TMG vgl. BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II). Maßgeblich sind nunmehr die aus Art. 12 bis 14 der Verordnung (EU) 2016/669 folgenden Unterrichtungspflichten. Die Beklagte hat gegen ihre Verpflichtung aus Art. 12 Abs. 1 Satz 1 der Verordnung (EU) 2016/679 verstoßen, der betroffenen Person die sich aus Art. 13 Abs. 1 Buchst. c und e dieser Verordnung ergebenden Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Rz. 31
bb) Eine zunächst bestehende Klagebefugnis des Klägers ist aber mit dem Inkrafttreten der Verordnung (EU) 2016/679 entfallen, falls die Vorlagefrage zu bejahen ist. Das Entfallen der Klagebefugnis ist auch im Revisionsverfahren zu beachten und führt zur Unzulässigkeit der Klage.
Rz. 32
Die Bestimmung des § 8 Abs. 3 Nr. 3 UWG regelt nicht nur die sachlich-rechtliche Anspruchsberechtigung, sondern auch die prozessuale Klagebefugnis, die als Sachurteilsvoraussetzung im Revisionsverfahren fortbestehen muss. Die Frage, ob die Voraussetzungen des § 8 Abs. 3 Nr. 3 UWG erfüllt sind, ist deshalb vom Revisionsgericht ohne Bindung an die vom Berufungsgericht getroffenen tatsächlichen Feststellungen zu prüfen (vgl. BGH, Urteil vom 13. September 2018 - I ZR 26/17, GRUR 2018, 1166 Rn. 12 = WRP 2018, 1452 - Prozessfinanzierer I; Urteil vom 4. Juli 2019 - I ZR 149/18, GRUR 2019, 966 Rn. 17 = WRP 2019, 1182 - Umwelthilfe). Dies gilt entsprechend für § 3 Abs. 1 UKlaG. Diese Bestimmung regelt ebenfalls nicht nur die sachlich-rechtliche Anspruchsberechtigung, sondern auch die prozessuale Klagebefugnis und damit eine Sachurteilsvoraussetzung, die im Revisionsverfahren fortbestehen muss (vgl. Köhler in Köhler/Bornkamm/Feddersen, UWG, 38. Aufl., § 3 UKlaG Rn. 3; Palandt.Homepage.Teil III/Grüneberg, BGB, Stand: 1. September 2019, § 3 UKlaG Rn. 2).
Rz. 33
2. Es ist umstritten, ob qualifizierte Einrichtungen im Sinne von § 4 UKlaG nach Inkrafttreten der Verordnung (EU) 2016/679 befugt sind, Verstöße gegen die nach Art. 288 Abs. 2 Satz 1 AEUV unmittelbar geltenden datenschutzrechtlichen Bestimmungen dieser Verordnung gemäß § 8 Abs. 3 Nr. 3 UWG unter dem Gesichtspunkt des Rechtsbruchs gemäß § 3a UWG im Klagewege durchzusetzen.
Rz. 34
a) Eine Auffassung geht von einer abschließenden Regelung zur Durchsetzung der in der Verordnung (EU) 2016/679 enthaltenen datenschutzrechtlichen Bestimmungen in der Verordnung selbst aus; sie verneint deshalb eine wettbewerbsrechtliche Klagebefugnis von Mitbewerbern und nimmt eine Klagebefugnis von Verbänden nur unter den in Art. 80 der Verordnung geregelten Voraussetzungen an (vgl. LG Bochum, WRP 2019, 1535 [juris Rn. 15]; LG Wiesbaden, ZD 2019, 367 [juris Rn. 39]; LG Stuttgart, WRP 2019, 1089 [juris Rn. 32 bis 35]; Köhler in Köhler/Bornkamm/Feddersen aaO § 3a Rn. 1.40a ff.; ders. in WRP 2018, 1269; 1272; ders. in WRP 2018, 1517; ders. in WRP 2019, 1279, 1283 Rn. 33 bis 38 und Rn. 64; Spittka, GRUR-Prax 2019, 272, 273 f.; Werkmeister in Gola, DS-GVO aaO Art. 80 Rn. 17; Büscher/Hohlweck, UWG, § 3a Rn. 284; Ohly, GRUR 2019, 686, 688 f.; vgl. auch den vom Freistaat Bayern vorgeschlagenen Entwurf eines Gesetzes zur Anpassung zivilrechtlicher Vorschriften an die Datenschutz-Grundverordnung, BR-Drucks. 304/18). Andere halten die in der Verordnung (EU) 2016/679 zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und daher die in § 8 Abs. 3 UWG genannten Mitbewerber, Verbände und Einrichtungen auch weiterhin für befugt, Unterlassungsansprüche unter dem Gesichtspunkt des Rechtsbruchs im Sinne von § 4 Nr. 11 UWG aF, § 3a UWG im Wege der Klage durchzusetzen (vgl. OLG Hamburg, WRP 2018, 1510 [juris Rn. 54 bis 57]; OLG Stuttgart, WRP 2020, 509 [juris Rn. 40 bis 62]; Wolff, ZD 2018, 248, 251 f.; Schreiber, GRUR-Prax 2018, 371, 373; Baumgartner/Sitte, ZD 2018, 555, 559; Laoutoumai/Hoppe, K&R 2018, 533, 535; Aßhoff, CR 2018, 720, 726 Rn. 38 ff.). Wieder andere verneinen eine Klagebefugnis für Mitbewerber, bejahen aber eine Klagebefugnis für Verbände im Sinne von § 3 UKlaG zur Verfolgung von Verstößen gemäß § 2 Abs. 2 Satz 1 Nr. 11 UKlaG, sofern die Verbände die in Art. 80 Abs. 2 der Verordnung (EU) 2016/679 genannten Voraussetzungen erfüllen (vgl. MünchKomm.UWG/Schaffert, 3. Aufl., § 3a Rn. 84; Barth, WRP 2018, 790 Rn. 22 und 24). Ansprüche nach § 3a UWG könnten von diesen Verbänden dagegen nicht verfolgt werden (vgl. MünchKomm.UWG/Schaffert aaO § 3a Rn. 84). Vertreten wird schließlich, dass die Verordnung (EU) 2016/679 an der Klagebefugnis von Mitbewerbern gemäß § 8 Abs. 3 Nr. 1 UWG nichts geändert habe, während eine Klagebefugnis von Verbänden nur unter den in Art. 80 der Verordnung geregelten Voraussetzungen bestehe (Uebele, GRUR 2019, 694, 697 f.). Die Streitfrage lässt sich nicht eindeutig entscheiden.
Rz. 35
b) Dem Wortlaut der Verordnung (EU) 2016/679, namentlich der Bestimmungen ihres Kapitels VIII, in dem die Rechtsbehelfe, die Haftung und die Sanktionen bei Verstößen gegen die in der Verordnung aufgestellten Anforderungen für eine zulässige Verarbeitung personenbezogener Daten geregelt sind, lässt sich eine Klagebefugnis von qualifizierten Einrichtungen, die im Sinne von § 8 Abs. 3 Nr. 3 UWG zum Schutz von Verbraucherinteressen tätig werden, nicht entnehmen.
Rz. 36
aa) Zwar ist in Art. 80 Abs. 1 der Verordnung (EU) 2016/679 die Klagebefugnis von Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht vorgesehen, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet sind, deren satzungsmäßigen Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sind. Voraussetzung ist allerdings, dass die Einrichtung, Organisation oder Vereinigung von der betroffenen Person beauftragt wurde, in deren Namen die in den Artikeln 77, 78 und 79 der Verordnung genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Art. 82 der Verordnung in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Um eine solche Klage im Auftrag und Namen einer betroffenen Person zur Durchsetzung ihrer persönlichen Rechte geht es bei der im Streitfall in Rede stehenden Klagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG nicht. Dort ist vielmehr eine Verbandsklagebefugnis aus eigenem Recht geregelt, die im Zusammenhang mit dem Rechtsbruchtatbestand gemäß § 3a UWG eine objektiv-rechtliche, von einer Verletzung konkreter Rechte einzelner betroffener Personen und deren Beauftragung unabhängige Verfolgung von Verstößen gegen die Bestimmungen der Verordnung (EU) 2016/679 erlaubt.
Rz. 37
bb) Eine Verbandsklagebefugnis zur objektiv-rechtlichen Durchsetzung des Datenschutzrechts ist ferner nicht in Art. 80 Abs. 2 der Verordnung (EU) 2016/679 geregelt. Danach können die Mitgliedstaaten zwar vorsehen, dass jede der in Absatz 1 dieses Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Art. 77 der Verordnung zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 der Verordnung aufgeführten Rechte in Anspruch zu nehmen. Erforderlich ist jedoch außerdem, dass die Rechte einer betroffenen Person gemäß der Verordnung infolge einer Verarbeitung verletzt worden sind. Mithin lässt die Bestimmung des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 nach ihrem Wortlaut ebenfalls keine Klagebefugnis von Verbänden zu, die - wie im Streitfall gestützt auf §§ 3a, 8 Abs. 3 Nr. 3 UWG - unabhängig von der Verletzung subjektiver Rechte einer konkreten betroffenen Person objektive datenschutzrechtliche Verstöße geltend machen (Köhler, WRP 2018, 1269, 1273 Rn. 33; Bergt in Kühling/Buchner, DS-GVO, 2. Aufl., Art. 80 Rn. 14; Frenzel in Paal/Pauly, DS-GVO, 2. Aufl., Art. 80 Rn. 11). Entsprechendes ergibt sich aus Satz 2 des Erwägungsgrundes 142 der Verordnung (EU) 2016/679, der ebenfalls das Erfordernis der Verletzung der Rechte einer betroffenen Person als Voraussetzung für eine vom Auftrag der Person unabhängige Verbandsklagebefugnis nennt.
Rz. 38
cc) Die Zulässigkeit einer Verbandsklagebefugnis dürfte sich auch nicht auf Art. 84 Abs. 1 der Verordnung (EU) 2016/679 stützen lassen, wonach die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen die Verordnung festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Eine Verbandsklagebefugnis, wie sie in § 8 Abs. 3 UWG geregelt ist, kann nach der Systematik der Verordnung (EU) 2016/679 schon deshalb keine "Sanktion" sein, weil der Unionsgesetzgeber in Kapitel VIII der Verordnung ausdrücklich zwischen Rechtsbehelfen, Haftung und Sanktion unterscheidet und sich aus dem Zusammenhang zwischen Art. 84, Art. 83 und den Erwägungsgründen 148 bis 152 der Verordnung ergibt, dass es bei den Sanktionen im Sinne von Art. 84 der Verordnung um verwaltungs- und strafrechtliche Sanktionen von Verstößen geht (vgl. Köhler, WRP 2018, 1269 Rn. 41; ders. in WRP 2018, 1517 Rn. 9).
Rz. 39
c) Die Auslegung unter Berücksichtigung des systematischen Zusammenhangs der Verordnung (EU) 2016/679 lässt nicht eindeutig erkennen, ob der Unionsgesetzgeber mit dieser Verordnung - anders als noch mit der Richtlinie 95/46/EG - nicht nur die Bestimmungen zum Schutz personenbezogener Daten, sondern auch die Durchsetzung der danach bestehenden Rechte vereinheitlicht hat.
Rz. 40
aa) Die Verordnung (EU) 2016/679 räumt den Aufsichtsbehörden im Sinne von Art. 51 Abs. 1, Art. 4 Nr. 21 der Verordnung umfangreiche Überwachungspflichten sowie Untersuchungs- und Abhilfebefugnisse ein (vgl. Art. 57 bis 59 und die Erwägungsgründe 129 und 133 der Verordnung). Daraus könnte zu entnehmen sein, dass der Unionsgesetzgeber grundsätzlich von einer Durchsetzung der Bestimmungen der Verordnung durch die Aufsichtsbehörden ("public enforcement") ausgeht (vgl. Köhler, WRP 2018, 1517 Rn. 2 f.; ders. in WRP 2018, 1269 Rn. 26 bis 31). Die Öffnungsklausel zur Regelung einer Verbandsklagebefugnis gemäß Art. 80 Abs. 2 der Verordnung (EU) 2016/679 könnte mit Blick auf diese umfassenden Regelungen der Pflichten und Befugnisse der Aufsichtsbehörden eine Ausnahmevorschrift darstellen. Vor diesem Hintergrund begegnet eine extensive Auslegung der Öffnungsklausel des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 unter Außerachtlassung der in dieser Bestimmung geregelten Voraussetzung der "Rechte einer betroffenen Person" Bedenken (vgl. Köhler, WRP 2018, 1269 Rn. 36; ders. in WRP 2018, 1517 Rn. 2). Dementsprechend geht auch der Generalanwalt des Gerichtshofs der Europäischen Union davon aus, dass aufgrund des Erlasses der Verordnung (EU) 2016/679, die die den Mitgliedstaaten die freie Wahl der Mittel zur Umsetzung lassende Richtlinie Nr. 95/46/EG ersetzt, nationale Vorschriften zur Durchführung der Verordnung grundsätzlich nur dann erlassen werden dürfen, wenn hierfür eine ausdrückliche Ermächtigung vorliegt (Schlussantrag des Generalanwalts Bobek vom 19. Dezember 2018 - C-40/17, juris Rn. 47).
Rz. 41
bb) Gegen eine abschließende Regelung der Rechtsdurchsetzung könnte aber sprechen, dass in Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 sowie in Art. 79 Abs. 1 der Verordnung (EU) 2016/679 jeweils die Wendung "unbeschadet eines anderweitigen Rechtsbehelfs" enthalten ist (vgl. OLG Hamburg, WRP 2018, 1510 Rn. 30; Wolff, ZD 2018, 248, 251). Außerdem spricht Art. 82 Abs. 1 der Verordnung (EU) 2016/679 jeder Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz zu. Dem könnte zu entnehmen sein, dass die Verordnung (EU) 2016/679 die Verfolgung der Verletzung datenschutzrechtlicher Bestimmungen der Verordnung durch eine andere als die betroffene Person im Sinne von Art. 80 Abs. 2 der Verordnung nicht ausschließt (OLG Hamburg, WRP 2018, 1510 [juris Rn. 56]; OLG Stuttgart, WRP 2020, 509 [juris Rn. 52 bis 60]).
Rz. 42
d) Das neben dem Wortlaut und dem systematischen Regelungszusammenhang bei der Auslegung des Unionsrechts zu berücksichtigende Regelungsziel lässt ebenfalls keine eindeutige Antwort auf die Vorlagefrage zu.
Rz. 43
aa) Für die Annahme einer weiterhin gegebenen Zulässigkeit einer wettbewerbsrechtlichen Verbandsklagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG könnte sprechen, dass damit eine nach dem Effektivitätsgrundsatz ("effet utile") wünschenswerte zusätzliche Möglichkeit der Rechtsdurchsetzung erhalten bliebe, um gemäß dem Erwägungsgrund 10 der Verordnung (EU) 2016/679 ein möglichst hohes Datenschutzniveau zu gewährleisten (vgl. Laoutoumai/Hoppe, K&R 2018, 533, 535).
Rz. 44
bb) Andererseits könnte die Zulässigkeit einer wettbewerbsrechtlichen Verbandsklagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG mit dem vom Unionsgesetzgeber mit der Schaffung der Verordnung (EU) 2016/679 verfolgten Harmonisierungsziel unvereinbar sein.
Rz. 45
Unter der Geltung der Richtlinie 95/46/EG bestand in den Mitgliedstaaten der Europäischen Union nicht nur ein unterschiedliches Datenschutzniveau, sondern gab es auch Unterschiede in der Durchsetzung der Bestimmungen zum Datenschutz (vgl. Köhler, WRP 2018, 1269 Rn. 24). Aus den Erwägungsgründen 11 und 13 der Verordnung (EU) 2016/679 ergibt sich die Zielsetzung des Unionsgesetzgebers, im Hinblick auf beide Gesichtspunkte Abhilfe zu schaffen und damit auch das Durchsetzungsniveau innerhalb der Union zu vereinheitlichen (Köhler, WRP 2018, 1269 Rn. 24 f.). Eine über die in der Verordnung geregelten Instrumente hinausgehende Durchsetzung datenschutzrechtlicher Bestimmungen durch Private, also durch Mitbewerber, Unternehmens- und Verbraucherverbände im Sinne von § 8 Abs. 3 UWG könnte diesem Vereinheitlichungsziel entgegenstehen (Köhler, WRP 2018, 1517 Rn. 5; Spittka, GRUR-Prax 2019, 272, 274).
Rz. 46
Es ist auch nicht zweifelsfrei, dass eine Schutzlücke im Durchsetzungssystem der Verordnung vorliegt, die durch die Zulassung der wettbewerbsrechtlichen Klagebefugnis Privater im Sinne von § 8 Abs. 3 UWG geschlossen werden müsste (Köhler, WRP 2019, 1279 Rn. 38). Gemäß Art. 8 Abs. 3 EU-Grundrechtecharta wird die Einhaltung des Schutzes der personenbezogenen Daten einer Person durch eine unabhängige Stelle überwacht. Dementsprechend regelt die Verordnung (EU) 2016/679 umfassend die Aufgaben und Befugnisse der Aufsichtsbehörden. Es könnte die Gefahr bestehen, dass eine Konkurrenz der Durchsetzung des objektiven Datenschutzrechts durch die Aufsichtsbehörden einerseits und die Zivilgerichte andererseits zu einer Ausschaltung der differenzierten Befugnisse der Aufsichtsbehörden und zu Unterschieden bei der Durchsetzung des Datenschutzrechts innerhalb der Europäischen Union führt. Vor diesem Hintergrund könnte der Effektivitätsgrundsatz auch gegen die Annahme einer Verbandsklagebefugnis sprechen (Köhler, WRP 2018, 1269 Rn. 45 f.; Barth, WRP 2018, 790 Rn. 16).
Rz. 47
3. Ebenfalls umstritten und daher klärungsbedürftig ist die Frage, ob die in § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestimmten qualifizierten Einrichtungen nach Inkrafttreten der Verordnung (EU) 2016/679 befugt sind, Verstöße gegen die in der Verordnung geregelten Bestimmungen zum Schutz von Daten unter dem Gesichtspunkt der Verfolgung von Verstößen gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 UKlaG zu verfolgen.
Rz. 48
a) Teilweise wird die Ansicht vertreten, in § 2 Abs. 2 Satz 1 Nr. 11 UKlaG sei eine vorweggenommene teilweise Umsetzung der Bestimmung des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 zu sehen (vgl. MünchKomm.UWG/Schaffert aaO § 3a Rn. 84; Karg in Wolff/Brink, BeckOK/Datenschutzrecht, 30. Edition [Stand 1. November 2019], Art. 80 DS-GVO Rn. 20; Sydow/Kresse, Europäische Datenschutzgrundverordnung, 2. Aufl., Art. 80 Rn. 16; Moos/Schefzig in Taeger/Gabel, DS-GVO BDSG, 3. Aufl., Art. 80 Rn. 26; wohl auch Nemitz in Ehmann/Selmayr, DS-GVO, 2. Aufl., Art. 80 Rn. 12).
Rz. 49
b) Eine andere Auffassung lehnt eine solche Klagebefugnis generell ab (LG Stuttgart, WRP 2019, 1089 [juris Rn. 36]; Köhler, WRP 2018, 1269 Rn. 59 bis 54; ders. in WRP 2019, 1279 Rn. 53 f.; Frenzel in Paal/Pauly aaO Art. 82 Rn. 13; Werkmeister in Gola, DS-GVO aaO Art. 80 Rn. 18; Spittka, GRUR-Prax 2019, 272, 274) oder verneint sie jedenfalls in Bezug auf die im Streitfall in Rede stehende Geltendmachung der Verletzung objektiven Datenschutzrechts (vgl. Bergt in Kühling/Buchner aaO Art. 80 DS-GVO Rn. 14; Uebele, GRUR 2019, 694, 700). Es sei bereits zweifelhaft, ob die in § 2 Abs. 2 Satz 1 Nr. 11 UKlaG aufgeführten Datenschutzregelungen, die sich auf die mit Wirkung zum 25. Mai 2018 aufgehobenen Regelungen des Bundesdatenschutzgesetzes alter Fassung bezögen und keine Entsprechung in den seitdem geltenden Bestimmungen des Bundesdatenschutzgesetzes neuer Fassung hätten, den unionsrechtlichen Anforderungen an ein Verbraucherschutzgesetz genügten. Eine unionsrechtliche Rechtsgrundlage finde sich jedenfalls nicht in der Richtlinie 2009/22/EG über Unterlassungsklagen zum Schutz der Verbraucherinteressen (vgl. Köhler, WRP 2018, 1269 Rn. 51). Zumindest sei eine unionsrechtliche Grundlage für die Bestimmung des § 2 Abs. 2 Satz 1 Nr. 11 und Satz 2 UKlaG durch das Inkrafttreten der Verordnung (EU) 2016/679 entfallen und dürfe wegen des Grundsatzes des Vorrangs des Unionsrechts in Gestalt dieser Verordnung nicht mehr angewendet werden (Köhler, WRP 2018, 1269 Rn. 53; ders. in WRP 2019, 1279 Rn. 54). Gegen die Annahme einer vorweggenommen Teilumsetzung spreche zudem, dass dies zu einer (noch größeren) Rechtszersplitterung in den Mitgliedstaaten führte (Werkmeister in Gola, DS-GVO aaO Art. 80 Rn. 18).
Rz. 50
4. Für die Zulässigkeit des auf Unterlassung der Verwendung einer Allgemeinen Geschäftsbedingung gerichteten Klageantrags zu 2 stellt sich ebenfalls die Frage, ob dem klagenden Verbraucherverband nach Inkrafttreten der Verordnung (EU) 2016/679 die Befugnis zusteht, die in der Verordnung geregelten Datenschutzbestimmungen im Wege eines auf die Kontrolle einer Allgemeinen Geschäftsbedingung gerichteten Antrags durchzusetzen.
Rz. 51
a) Gemäß § 3 UKlaG steht qualifizierten Einrichtungen ein auf die Unterlassung der Verwendung von nach § 307 BGB unwirksamen Allgemeinen Geschäftsbedingungen gerichteter Anspruch gemäß § 1 UKlaG zu.
Rz. 52
b) Es ist nicht eindeutig zu beantworten, ob gemäß § 3 UKlaG anspruchsberechtigte Stellen wie der Kläger zur klageweisen Geltendmachung einer gegen die Verwendung Allgemeiner Geschäftsbedingungen gerichteten Unterlassungsklage nach § 1 UKlaG auch nach Inkrafttreten der Verordnung (EU) 2016/679 (noch) befugt sind, wenn diese Klage auf die Verletzung von in dieser Verordnung geregelten Bestimmungen zum Datenschutz gestützt ist.
Rz. 53
aa) So wird vertreten, angesichts des mit der Verordnung (EU) 2016/679 verfolgten Ziels einer vollständigen Harmonisierung sei davon auszugehen, dass die in Art. 80 Abs. 2 dieser Verordnung geregelte Durchsetzungsmöglichkeit für Verbände abschließend sei. Die Verordnung (EU) 2016/679 räume den Mitgliedstaaten in einem genau bestimmten Rahmen die Möglichkeit ein, eine eigenständige und auftragsunabhängige Durchsetzungsbefugnis für Verbände zu schaffen. Ein Rückgriff auf Institute wie die Inhaltskontrolle von Allgemeinen Geschäftsbedingen müsse deshalb ebenso wie die Anwendung einer wettbewerbsrechtlichen Kontrolle mit Blick auf die Beurteilung von Datenverarbeitungsvorgängen durch die Verordnung (EU) 2016/679 ausgeschlossen sein. Derartige Durchsetzungsmöglichkeiten für Verbände seien auch nicht mehr erforderlich, da es dem deutschen Gesetzgeber freistehe, über die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 eine umfassende Verbandsklage- bzw. Verbandsbeschwerdebefugnis einzuführen (Werkmeister in Gola, DS-GVO aaO Art. 80 Rn. 17).
Rz. 54
bb) Andere halten dagegen eine Klage zum Zwecke der Rechtmäßigkeitskontrolle von Allgemeinen Geschäftsbedingungen im Sinne von § 1 UKlaG nach wie vor für unionsrechtlich zulässig (Bergt in Kühling/Buchner aaO Art. 80 DS-GVO Rn. 13 mwN).
Rz. 55
III. Die dem Gerichtshof der Europäischen Union zur Vorabentscheidung vorgelegte Frage ist entscheidungserheblich. Wenn diese Frage zu bejahen ist, ist die zunächst gegebene Befugnis des Klägers zur klageweisen Geltendmachung der Klageanträge durch das Inkrafttreten der Verordnung (EU) 2016/669 entfallen. Eine Klagebefugnis kann dann auch nicht mit der Begründung angenommen werden, die Vorschriften des § 3 Abs. 1 Satz 1 Nr. 1 bis 3 UKlaG in Verbindung mit § 1 und § 2 Abs. 2 Satz 1 Nr. 11 UKlaG seien unionsrechtskonform als Umsetzung der Bestimmung des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 anzusehen.
Rz. 56
1. Wie dargelegt wurde, führt der Fortfall der Klagebefugnis während des Revisionsverfahrens zur Unzulässigkeit der Klage.
Rz. 57
2. Die Klagebefugnis kann nicht mit der Begründung bejaht werden, in den Bestimmungen gemäß § 3 Abs. 1 Satz 1 Nr. 1 bis 3 UKlaG in Verbindung mit § 1 und § 2 Abs. 2 Satz 1 Nr. 11 UKlaG sei bei unionsrechtskonformer Auslegung eine (vorweggenommene) Umsetzung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 zu sehen.
Rz. 58
a) Allerdings wird die Ansicht vertreten, es bestehe zwar keine Klagebefugnis des Mitbewerbers nach § 8 Abs. 3 Nr. 1 UWG und der Verbände nach § 8 Abs. 3 Nr. 2 bis 4 UWG zur Verfolgung von Verstößen gegen § 3a UWG in Verbindung mit datenschutzrechtlichen Bestimmungen der Verordnung (EU) 2016/679, wohl aber eine Klagebefugnis der Verbände nach § 3 Abs. 1 Satz 1 Nr. 1 bis 3 UKlaG zur Verfolgung von Verstößen gemäß § 2 Abs. 2 Satz 1 Nr. 11 UKlaG, sofern die Verbände die in Art. 80 Abs. 1 der Verordnung (EU) 2016/679 genannten Voraussetzungen erfüllten (vgl. Schaffert in MünchKomm.UWG aaO § 3a Rn. 84 aE; Barth, WRP 2018, 790 Rn. 22 und 24). In § 3 Abs. 1 Satz 1 Nr. 1 bis 3 UKlaG in Verbindung mit § 2 Abs. 2 Satz 1 Nr. 11 UKlaG sei eine (vorweggenommene) Umsetzung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 zu sehen (Bergt in Kühling/Buchner, DS-GVO aaO Art. 80 Rn. 13; Karg in Wolff/Brink, BeckOK/Datenschutzrecht aaO Art. 80 Rn. 20). Mit dieser Argumentation kann eine Klagebefugnis des Klägers im Streitfall allerdings nicht angenommen werden.
Rz. 59
b) Selbst wenn man mit der vorstehend wiedergegebenen Ansicht eine (vorweggenommene) Umsetzung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 grundsätzlich für möglich hielte (dagegen Köhler, WRP 2018, 1269 Rn. 49 bis 59; Frenzel in Paal/Pauly aaO Art. 82 Rn. 13; Werkmeister in Gola, DS-GVO aaO Art. 80 Rn. 18), setzte die Annahme einer Klagebefugnis gemäß § 3 Abs. 1 Satz 1 UKlaG bei der gebotenen unionsrechtskonformen Auslegung mit Blick auf Art. 80 Abs. 2 in Verbindung mit Abs. 1 der Verordnung (EU) 2016/679 voraus, dass die Anforderungen erfüllt sind, von denen der Verordnungsgeber die Schaffung einer Verbandsklagebefugnis durch die Mitgliedstaaten abhängig gemacht hat. Daran fehlt es im Streitfall.
Rz. 60
Die gemäß Art. 80 Abs. 2 der Verordnung (EU) 2016/679 den Mitgliedstaaten eröffnete Möglichkeit, für Verbände eine Rechtsschutzmöglichkeit zu schaffen, umfasst nur solche Rechtsbehelfe, mit denen eine Einrichtung, Organisation oder Vereinigung die Verletzung der Rechte einer betroffenen Person gemäß der Verordnung infolge einer Verarbeitung rügt. Diese Voraussetzung ist nicht erfüllt.
Rz. 61
Allerdings fehlt es entgegen der vom Beklagtenvertreter in der mündlichen Revisionsverhandlung vertretenen Ansicht nicht bereits an der Geltendmachung einer Rechtsverletzung bei der "Verarbeitung" von Daten. Gemäß Art. 4 Nr. 2 der Verordnung (EU) 2016/679 umfasst der Begriff der Verarbeitung auch Vorgänge im Zusammenhang mit der Erhebung und dem Abfragen von personenbezogenen Daten und damit auch die im Streitfall in Rede stehenden Informationspflichten im Zusammenhang mit der Einholung einer Einwilligung in die angestrebte spätere Datennutzung.
Rz. 62
Im Streitfall wird vom Kläger jedoch keine Verletzung der Rechte einer betroffenen Person im Sinne von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 geltend gemacht. Gegenstand des Klagebegehrens ist vielmehr die abstrakte Überprüfung der Präsentation des App-Zentrums durch die Beklagte am objektivrechtlichen Maßstab des Datenschutzrechts, ohne dass der Kläger die Verletzung von Rechten einer identifizierten oder identifizierbaren natürlichen Personen im Sinne von Art. 4 Nr. 1 der Verordnung (EU) 2016/679 vorgetragen hat.
Koch |
|
Schaffert |
|
Löffler |
|
Schwonke |
|
Odörfer |
|
Fundstellen
Dokument-Index HI15093323 |