Entscheidungsstichwort (Thema)
App-Zentrum II
Leitsatz (amtlich)
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:
Wird eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSG-VO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien?
Normenkette
EUV 2016/679 Art. 12 Abs. 1 S. 1, Art. 13 Abs. 1 Buchst. c, e, Art. 80 Abs. 2; UWG § 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 S. 1 Nr. 11, § 3 Abs. 1 S. 1 Nr. 1; EGRL 46/95
Verfahrensgang
Tenor
I. Das Verfahren wird ausgesetzt.
II. Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:
Wird eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien?
Gründe
Rz. 1
A. Der Kläger ist der in die Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Bundesverband der Verbraucherzentralen der Bundesländer. Die in Irland ansässige Beklagte, die Meta Platform Ireland Limited (vormals Facebook Ireland Limited), betreibt unter der Adresse www.facebook.de die Internetplattform Facebook, die dem Austausch persönlicher und sonstiger Daten dient. Eine Schwestergesellschaft der Beklagten, die in Deutschland ansässige Facebook Germany GmbH, bewirbt dort die Verfügbarkeit von Werbeflächen auf der Internetplattform und unterstützt lokale Werbekunden der Beklagten. Vertragspartner für Werbekunden in Deutschland ist die Beklagte. Diese verarbeitet zudem die Daten der deutschen Kunden von Facebook. Die Muttergesellschaft der Beklagten und der Facebook Germany GmbH ist in den Vereinigten Staaten von Amerika ansässig.
Rz. 2
Auf der Internetplattform Facebook befindet sich ein sogenanntes "App-Zentrum", in dem die Beklagte ihren Nutzern unter anderem kostenlose Spiele von Drittanbietern zugänglich macht. Bei Aufruf des App-Zentrums am 26. November 2012 wurde dort das Spiel "The Ville" angeboten, wobei unter einem Button "Sofort spielen" folgende Informationen erschienen:
Durch das Anklicken von 'Spiel spielen' oben erhält diese Anwendung
- Deine allgemeinen Informationen (?)
- Deine-Mail-Adresse
- Über Dich
- Deine Statusmeldungen
Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.
Rz. 3
Ferner befand sich dort der Hinweis
Wenn du fortfährst, stimmst du The Ville Allgemeine Geschäftsbedingungen und Datenschutzrichtlinien zu.
Die Allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen waren über einen elektronischen Verweis (Link) aufrufbar. Entsprechende Hinweise erschienen bei den Spielen "Diamond Dash" und "Wetpaint Entertainment" gleichfalls unter dem Button "Sofort spielen". Beim Spiel "Scrabble" endeten die Hinweise mit dem Satz:
Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.
Rz. 4
Der Kläger beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis beim Spiel "Scrabble" eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.
Rz. 5
Der Kläger hat beantragt, der Beklagten unter Androhung von Ordnungsmitteln zu verbieten,
1. im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern mit einem ständigen Aufenthalt in der Bundesrepublik Deutschland auf der Internetseite mit der Adresse www.facebook.com Spiele in einem so genannten "App-Zentrum" derart zu präsentieren, dass der Verbraucher mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgibt, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen des Verbrauchers zu übermitteln (posten) wie in bildlich wiedergegebenen [vorliegend nicht abgedruckten] Bildschirmkopien ersichtlich;
2. nachfolgende oder mit diesen inhaltsgleiche Bestimmungen in Vereinbarungen mit Verbrauchern, die ihren gewöhnlichen Aufenthalt in der Bundesrepublik Deutschland haben, über die Nutzung von Applikationen (Apps) im Rahmen eines sozialen Netzwerkes einzubeziehen, sowie sich auf die Bestimmungen über die Übertragung von Daten an die Betreiber der Spiele zu berufen:
Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.
Rz. 6
Der Kläger hat die Beklagte ferner auf Ersatz von Abmahnkosten in Höhe von 200 € nebst Zinsen in Anspruch genommen. Er hat die vorliegende Klage unabhängig von einer konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben.
Rz. 7
Das Landgericht hat die Beklagte antragsgemäß verurteilt (LG Berlin, ZD 2015, 133). Die Berufung der Beklagten ist ohne Erfolg geblieben (KG, GRUR-RR 2018, 115). Die Beklagte verfolgt mit ihrer vom Berufungsgericht zugelassenen Revision, deren Zurückweisung der Kläger beantragt, ihren Klageabweisungsantrag weiter.
Rz. 8
Mit Beschluss vom 28. Mai 2020 (I ZR 186/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) hat der Senat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union zur Klärung der Rechtslage unter Geltung der während des Revisionsverfahrens in Kraft getretenen und für die in die Zukunft wirkenden Unterlassungsanträge maßgeblichen Datenschutz-Grundverordnung folgende Frage zur Auslegung von Kapitel VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO zur Vorabentscheidung vorgelegt:
Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO nationalen Regelungen entgegen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verstoßes gegen ein Verbraucherschutzgesetz sowie des Verbots der Vornahme unlauterer Geschäftspraktiken und des Verbots der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung vorzugehen?
Rz. 9
Der Gerichtshof der Europäischen Union hat hierüber durch Urteil vom 28. April 2022 (C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland) wie folgt entschieden:
Art. 80 Abs. 2 DSGVO ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
Rz. 10
B. Aus dem Urteil des Gerichtshofs der Europäischen Union vom 28. April 2022 ergibt sich, dass die im Streitfall in Rede stehenden Bestimmungen über die Klagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG und gemäß § 3 Abs. 1 Satz 1 Nr. 1 in Verbindung mit § 2 Abs. 2 Satz 1 Nr. 11 UKlaG im Anwendungsbereich der Datenschutz-Grundverordnung unionsrechtskonform mit Blick auf die in Art. 80 Abs. 2 DSGVO geregelten Voraussetzungen auszulegen sind. Die Frage, ob der Kläger, der seine Klageanträge auf die Nichterfüllung von Informationspflichten über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten stützt, die Verletzung von Rechten "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend macht, hängt von der nicht eindeutigen Auslegung dieser Vorschrift ab. Vor einer Entscheidung über die Revision der Beklagten ist deshalb das Verfahren erneut auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union einzuholen.
Rz. 11
I. Das Berufungsgericht hat die Klageanträge mit Recht für begründet erachtet. Für den Erfolg der Revision der Beklagten ist es deshalb maßgeblich, ob das Berufungsgericht rechtsfehlerfrei von der Zulässigkeit der Klage ausgegangen ist. Dies setzt voraus, dass qualifizierten Einrichtungen wie dem im Streitfall klagenden Verbraucherverband nach Inkrafttreten der Datenschutz-Grundverordnung gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zusteht, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne Auftrag einer betroffenen Person unter den Gesichtspunkten des Rechtsbruchs gemäß § 3a UWG, des Verstoßes gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 UKlaG oder der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen (BGH, GRUR 2020, 896 [juris Rn. 17 bis 32 und Rn. 55 bis 62] - App-Zentrum I).
Rz. 12
II. Die Klagebefugnis des Klägers hängt im Streitfall davon ab, ob er im Sinne von Art. 80 Abs. 2 DSGVO mit seiner Klage geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden.
Rz. 13
1. Der Senat ist in seinem Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens den Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung nicht entnehmen lässt (vgl. BGH, GRUR 2020, 896 [juris Rn. 35] - App-Zentrum I). Er hat angenommen, dass sich eine solche Klagebefugnis weder auf Art. 80 Abs. 1 oder 2 DSGVO noch auf Art. 84 Abs. 1 DSGVO stützen lässt und es mit Blick auf Wortlaut, Regelungszusammenhang und Regelungsziel der Datenschutz-Grundverordnung fraglich ist, ob sie nicht nur die materiellen Vorschriften zum Schutz personenbezogener Daten, sondern auch die Durchsetzung der nach der Verordnung bestehenden Rechte vereinheitlicht hat. Der Senat hat vor diesem Hintergrund dem Gerichtshof der Europäischen Union im Wege des Vorabentscheidungsverfahrens die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Verbandsklagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der Bestimmungen gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG im Streitfall entgegensteht (BGH, GRUR 2020, 896 [juris Rn. 33 bis 54] - App-Zentrum I).
Rz. 14
Der Gerichtshof der Europäischen Union hat allerdings abweichend von der durch den Senat im Vorlagebeschluss vertretenen Ansicht (BGH, GRUR 2020, 896 [juris Rn. 37 sowie Rn. 60 und 62] - App-Zentrum I) entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann (EuGH, GRUR 2022, 920 [juris Rn. 49] - Meta Platforms Ireland). Er ist davon ausgegangen, dass durch diese Bestimmung den Mitgliedstaaten ein Ermessensspielraum hinsichtlich ihrer Umsetzung eröffnet worden ist. Damit die in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage erhoben werden kann, müssen die Mitgliedstaaten von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nationalen Recht vorzusehen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 59] - Meta Platforms Ireland).
Rz. 15
Auf der Grundlage der Entscheidung des Gerichtshofs der Europäischen Union ist mithin zu prüfen, ob sich die im Streitfall maßgeblichen Bestimmungen gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG in den Rahmen des jedem Mitgliedstaat in Art. 80 Abs. 2 DSGVO eingeräumten Ermessensspielraums einfügen. Dieser Spielraum ist im Wege der Auslegung unter Berücksichtigung des Wortlauts des Art. 80 Abs. 2 DSGVO sowie der Systematik und der Ziele der Datenschutz-Grundverordnung zu ermitteln (vgl. EuGH, GRUR 2022, 920 [juris Rn. 62] - Meta Platforms Ireland). Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, ist an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft (EuGH, GRUR 2022, 920 [juris Rn. 63] - Meta Platforms Ireland). Vorliegend sind zwar die Anforderungen an den persönlichen Anwendungsbereich erfüllt. Ob mit Blick auf den Inhalt der in Rede stehenden Klageanträge auch sämtliche Anforderungen an den sachlichen Anwendungsbereich des Art. 80 Abs. 2 DSGVO vollständig erfüllt sind, ist dagegen zweifelhaft.
Rz. 16
2. Die dem Kläger durch § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG eingeräumte Klagebefugnis fällt in den persönlichen Anwendungsbereich von Art. 80 Abs. 2 DSGVO. Der Kläger erfüllt als Verband zur Wahrung von Verbraucherinteressen die in Art. 80 Abs. 1 DSGVO an die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht zu stellenden Anforderungen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 65 und 79] - Meta Platforms Ireland).
Rz. 17
3. Ob die für den sachlichen Anwendungsbereich maßgeblichen Voraussetzungen des Art. 80 Abs. 2 DSGVO vollständig erfüllt sind, ist im Streitfall nicht zweifelsfrei zu beantworten.
Rz. 18
a) Allerdings steht der Klagebefugnis des Klägers nicht entgegen, dass er seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat (vgl. BGH, GRUR 2020, 896 [juris Rn. 7] - App-Zentrum I; EuGH, GRUR 2022, 920 [juris Rn. 36] - Meta Platforms Ireland). Gegenstand des Klagebegehrens ist zwar allein die abstrakte Überprüfung der Präsentation des App-Zentrums durch die Beklagte am objektivrechtlichen Maßstab des Datenschutzrechts (zum Klagebegehren im Streitfall vgl. BGH, GRUR 2020, 896 [juris Rn. 62] - AppZentrum I). Der Gerichtshof der Europäischen Union hat jedoch bereits entschieden, dass von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der Datenschutz-Grundverordnung verstößt, konkret betroffen ist. Der Begriff "betroffene Person" im Sinne von Art. 4 Nr. 1 DSGVO umfasst nicht nur eine "identifizierte natürliche Person", sondern auch eine "identifizierbare natürliche Person", also eine natürliche Person, die direkt oder indirekt, mittels Zuordnung zu einer Kennung wie insbesondere einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung identifiziert werden kann. Unter diesen Umständen kann die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, für die Erhebung einer solchen Verbandsklage ausreichen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 68 f.] - Meta Platforms Ireland). Die von der Gestaltung des App-Zentrums angesprochenen Nutzer der Internetplattform Facebook, die an der Durchführung eines dort angebotenen Spiels interessiert waren und deshalb potentiell durch Betätigung des Buttons "Sofort spielen" ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten erklären konnten, sind identifizierbare natürliche Personen im vorstehenden Sinne.
Rz. 19
b) Der Anwendung von Art. 80 Abs. 2 DSGVO steht außerdem nicht entgegen, dass der Kläger mit einem Verstoß gegen die Vorschriften zum Schutz der personenbezogenen Daten der Verbraucher zugleich einen Verstoß gegen andere Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken beanstandet (vgl. EuGH, GRUR 2022, 920 [juris Rn. 66 und Rn. 77 bis 82] - Meta Platforms Ireland).
Rz. 20
c) Art. 80 Abs. 2 DSGVO setzt außerdem voraus, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist nicht eindeutig, ob diese Voraussetzung nach den Umständen des Streitfalls erfüllt ist. Die Vorlagefrage dient der Klärung der in diesem Rahmen zu stellenden rechtlichen Anforderungen.
Rz. 21
aa) Die Vorlagefrage ist nicht bereits durch das im Rahmen des vorliegenden Rechtsstreits ergangene Urteil des Gerichtshofs der Europäischen Union vom 28. April 2022 in der Sache "Meta Platforms Ireland" geklärt. Der Gerichtshof hat in seinem Urteil keine Ausführungen dazu gemacht, welche Voraussetzungen nach den unionsrechtlichen Vorgaben erfüllt sein müssen, damit von einer Verletzung der Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung "infolge einer Verarbeitung" ausgegangen werden kann.
Rz. 22
bb) Die Auslegung des Begriffs der Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO ist nicht zweifelsfrei. Es ist bereits nicht klar, unter welchen Umständen von einer "Verarbeitung" auszugehen ist und insbesondere, ob diese bei einer im Streitfall in Rede stehenden Informationspflichtverletzung vorliegt (dazu unter Rn. 27 bis 31). Selbst wenn dies zu bejahen ist, stellt sich die Frage, ob eine Verletzung "infolge" der Verarbeitung im Sinne von Art. 80 Abs. 2 DSGVO erfolgt (dazu Rn. 32 bis 34).
Rz. 23
(1) Nach Art. 4 Nr. 2 DSGVO bezeichnet "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Aus dem Wortlaut dieser Bestimmung, insbesondere aus dem Ausdruck "jeder Vorgang", ergibt sich, dass der Unionsgesetzgeber den Begriff "Verarbeitung" weit fassen wollte. Diese Auslegung wird dadurch bestätigt, dass die Aufzählung der Vorgänge in der genannten Bestimmung nicht abschließend ist, was durch die Wendung "wie" zum Ausdruck kommt (EuGH, Urteil vom 24. Februar 2022 - C-175/20, K&R 2022, 260 [juris Rn. 35] - Valsts ieņēmumu dienests).
Rz. 24
(2) Im Streitfall ist zu berücksichtigen, dass der Kläger die Verletzung einer die Beklagte treffenden Informationspflicht über Zweck und Umfang einer Einwilligung des Nutzers in die Verarbeitung seiner personenbezogenen Daten geltend macht (BGH, GRUR 2020, 896 [juris Rn. 19] - App-Zentrum I; EuGH, GRUR 2022, 920 [juris Rn. 35] - Meta Platforms Ireland).
Rz. 25
Gegenstand der Klage ist die Präsentation von Spielen in dem auf der Internetplattform der Beklagten befindlichen "App-Zentrum" und der Hinweis, dass die Anwendung berechtigt sei, bestimmte personenbezogene Informationen des Nutzers in seinem Namen zu veröffentlichen (EuGH, GRUR 2022, 920 [juris Rn. 35] - Meta Platforms Ireland). Der Kläger hat seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben (BGH, GRUR 2020, 896 [juris Rn. 7] - App-Zentrum I); EuGH, GRUR 2022, 920 [juris Rn. 36] - Meta Platforms Ireland).
Rz. 26
Nicht Gegenstand der Klage ist damit die Frage, ob die Beklagte in dem Moment die Datenschutzrechte eines Nutzers verletzt, in dem dieser im App-Zentrum den Button "Sofort Spielen" oder "Spiele spielen" betätigt und dadurch möglicherweise eine Verarbeitung seiner personenbezogenen Daten auslöst. Ebenso ist nicht streitgegenständlich, ob die nach der Betätigung eines solchen Buttons erfolgenden automatisierten Vorgänge in Bezug auf personenbezogene Daten eines Nutzers dessen Datenschutzrechte verletzen.
Rz. 27
(3) Nach Auffassung des Senats ist nicht eindeutig zu beantworten, ob die im Streitfall vorliegende Verletzung der sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Verpflichtung, der betroffenen Person die Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (vgl. BGH, GRUR 2020, 896 [juris Rn. 30] - App-Zentrum I), unter den Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO fällt.
Rz. 28
Eine "Verarbeitung" könnte nach dem Wortsinn eine unmittelbare oder zumindest mittelbare Einwirkung auf personenbezogene Daten erfordern (vgl. BeckOK.IT-Recht/Borges, 8. Edition [Stand: 1. Juli 2021], Art. 4 DSGVO Rn. 27). Ein "Vorgang" im Sinne von Art. 4 Nr. 2 DSGVO könnte eine Handlung voraussetzen, die zur Folge hat, dass etwas mit den Daten geschieht oder ein Umgang mit ihnen erfolgt, und daher möglicherweise Informationspflichten im Zusammenhang mit der Einholung einer Einwilligung in die angestrebte spätere Datennutzung nicht einschließen (vgl. Grentzenberg/Spittka, GRUR-Prax 2020, 539, 541 mwN). Auch der Regelungszusammenhang könnte gegen eine Einbeziehung von Informationspflichten in den Begriff der Verarbeitung sprechen. Bei den Pflichten zur Information über Zweck und Umfang einer vom Verantwortlichen in Aussicht gestellten Datenverarbeitung geht es um das der eigentlichen Verarbeitung von personenbezogenen Daten vorgelagerte Stadium.
Rz. 29
Andererseits hat der Gerichtshof der Europäischen Union mit Blick auf den weit auszulegenden Begriff der Verarbeitung auch Vorgänge als erfasst angesehen, mit denen eine Erhebung von Daten und damit ein vom Verordnungsgeber ausdrücklich als Beispiel einer Verarbeitung angesehener Vorgang lediglich "eingeleitet" wird (EuGH, K&R 2022, 260 [juris Rn. 37] - Valsts ieņēmumu dienests). Der im Streitfall in Rede stehende Sachverhalt könnte dem gleichstehen, weil die mit der Klage angegriffene Präsentation des App-Zentrums dem Nutzer die Möglichkeit bot, durch einen einfachen Klick auf den Button unmittelbar einen Vorgang auszulösen, bei dem es ohne weitere Zwischenschritte zu einer Verarbeitung seiner persönlichen Daten kam.
Rz. 30
Für eine weite Auslegung dürfte außerdem das Ziel der Datenschutz-Grundverordnung sprechen, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. EuGH, GRUR 2022, 920 [juris Rn. 73] - Meta Platforms Ireland).
Rz. 31
Ebenfalls für eine weite Auslegung könnte sprechen, dass der Verantwortliche die im Streitfall in Rede stehende Informationspflicht gemäß Art. 13 Abs. 1 DSGVO "zum Zeitpunkt der Erhebung" der personenbezogenen Daten erfüllen muss. Da die mitzuteilenden Informationen der betroffenen Person als Grundlage für ihre Entscheidung dienen sollen, ob sie in die Verarbeitung ihrer Daten einwilligt oder ob sie hiergegen Einwände erhebt, und dieser Zweck verfehlt würde, wenn sie die Informationen erst nach Beginn der Datenerhebung erhielte, dürften die Informationen vor dem Beginn des Datenflusses zu erteilen sein (vgl. Franck in Gola/Heckmann, DSGVO BDSG, 3. Aufl., Art. 13 DSGVO Rn. 39; Bäcker in Kühling/Buchner, DSGVO BDSG, 3. Aufl., Art. 13 DSGVO Rn. 56). Dies legt nahe, dass der Verordnungsgeber von einem weit zu verstehenden Begriff der Erhebung ausgegangen ist, der auch die Situation vor Beginn der Datenerhebung im technischen Sinne umfasst.
Rz. 32
(4) Selbst wenn die im Streitfall in Rede stehende Informationspflicht unter den Begriff der "Verarbeitung" im Sinne von Art. 4 Nr. 2 DSGVO fällt, stellt sich die weitere Frage, ob der Kläger im Streitfall eine Verletzung "infolge" der Verarbeitung im Sinne von Art. 80 Abs. 2 DSGVO geltend macht.
Rz. 33
Die Formulierung "infolge" könnte darauf hindeuten, dass sich das den Mitgliedstaaten in Art. 80 Abs. 2 DSGVO eröffnete Ermessen nur auf die Schaffung einer Verbandsklagebefugnis erstreckt, mit der eine Verletzung von Rechten einer betroffenen Person gemäß der Datenschutz-Grundverordnung geltend gemacht werden kann, die Ergebnis eines Vorgangs der Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO ist und einem solchen Vorgang mithin nachfolgt.
Rz. 34
Demgegenüber dürfte das Ziel der Datenschutz-Grundverordnung, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. EuGH, GRUR 2022, 920 [juris Rn. 74] - Meta Platforms Ireland), dafür sprechen, eine Verbandsklagebefugnis auch auf eine Verletzung der sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Verpflichtung zu erstrecken, Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Insoweit dürfte wiederum zu berücksichtigen sein, dass mit dieser Informationspflicht auch die Einwilligung der betroffenen Person als gemäß Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO zentrales Erfordernis für die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten vorbereitet wird.
Rz. 35
III. Der Senat weist vorsorglich darauf hin, dass sich die in seinem Vorlagebeschluss vom 28. Mai 2020 formulierte Frage jedenfalls sinngemäß für den Fall erneut stellen könnte, dass der Gerichtshof der Europäischen Union die vorliegend gestellte Vorlagefrage dahingehend beantwortet, dass die Klagebefugnis im Streitfall nicht mit Erfolg auf Art. 80 Abs. 2 DSGVO gestützt werden kann.
Koch |
|
Löffler |
|
Schmaltz |
|
Odörfer |
|
Wille |
|
Fundstellen
Dokument-Index HI15498457 |