Der EuGH (Urt. v. 28.4.2022 – C-319/20) hatte auf Vorlage des BGH (Beschl. v. 28.5.2020 – I ZR 186/17) über die Frage zu entscheiden, ob Verbraucherschutzverbände befugt sind, Verstöße gegen die DSGVO geltend zu machen. Bei der Beantwortung dieser Fragestellung kommt es darauf an, ob Art. 80 DSGVO eine abschließende Regelung über die privatrechtliche Rechtsdurchsetzung von Verstößen gegen DSGVO beinhaltet oder nicht. In der Rechtsprechung und der Literatur wurde diese Fragestellung unterschiedlich beantwortet.
Im Ausgangsverfahren zu dem EuGH-Urteil war der Verbraucherzentrale Bundesverband e.V. (vzbv e.V.) gegen die Firma Meta Plattform Ireland, die das Angebot der Dienste des sozialen Netzwerks Facebook in der Union betreibt, vorgegangen. Der vzbv e.V. war der Ansicht gewesen, dass die Firma Meta Plattform Ireland in einem sog. App-Zentrum Hinweise zur Datenverarbeitung vorhält, die mit den datenschutzrechtlichen Vorgaben nicht konform seien. In diesem „App-Zentrum” waren den Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht worden. Wenn der Nutzer dieses „App-Zentrums” bestimmte Spiele aufrief, erschien der Hinweis, dass die Nutzung der betroffenen Anwendung der Spielegesellschaft ermögliche, eine Reihe von personenbezogenen Daten zu erheben, und sie dazu berechtige, im Namen dieses Nutzers Informationen, wie etwa seinen Punktestand, zu veröffentlichen. Mit der Nutzung stimmte der Nutzer den Allgemeinen Geschäftsbedingungen der Anwendung und der Datenschutzpolitik der Spielegesellschaft zu. Der vzbv e.V. war der Ansicht, dass diese Hinweise u.a. wegen Rechtsbruchs infolge eines Verstoßes gegen die gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers unlauter seien. Der vzbv e.V. erhob eine auf §§ 3a UWG, 2 Abs. 2 S. 1 Nr. 11 UKlaG gestützte Klage vor dem LG Berlin, unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer betroffenen Person. Das LG Berlin entschied antragsgemäß (das Versäumnisurteil v. 9.9.2013 – 16 O 60/13 wurde mit Urt. v. 28.10.2014 inhaltlich bestätigt). Die Beklagte wurde mit Versäumnisurteil v. 9.9.2013 u.a. verurteilt, es zu unterlassen,
Zitat
„im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern mit einem ständigen Aufenthalt in der Bundesrepublik Deutschland auf der Internetseite mit der Adresse www.f ... com Spiele in einem sogenannten "App-Zentrum" derart zu präsentieren, dass der Verbraucher mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgibt, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen des Verbrauchers zu übermitteln (posten) [...]:”
Die von der Beklagten dagegen eingelegte Berufung wurde vom KG Berlin zurückgewiesen und die Revision zugelassen (Urt. v. 22.9.2017 – 5 U 155/14).
Der BGH (Beschl. v. 28.5.2020 – I ZR 186/17) war der Ansicht, dass es nicht ausgeschlossen sei, dass der vzbv e.V. seit Anwendbarkeit der DSGVO (seit dem 25.5.2018) die Klagebefugnis aufgrund der Regelungen in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO verloren habe. Sofern der vzbv e.V. seine Klagebefugnis im Laufe des Verfahrens verloren habe, müsste die Klage abgewiesen werden, da nach den einschlägigen Verfahrensvorschriften des deutschen Rechtes die Klagebefugnis bis zum Abschluss der letzten Instanz fortbestehen müsse. Da sich die Fragestellung, ob der vzbv e.V. als Verbraucherschutzverband weiterhin klagebefugt ist, nicht eindeutig aus der Beurteilung des Wortlautes, der Systematik und des Zwecks der Bestimmung der DSGVO ergab, legte der BGH dem EuGH Fragen zur Vorabentscheidung vor, inwieweit die Regelungen in Kapitel VIII, insb. in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679, nationalen Regelungen entgegenstehen, die einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Verordnung (EU) 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.
Der EuGH beschäftigte sich in seinem Urteil ausführlich mit den Regelungen der Art. 80, 84 DSGVO und entschied nachfolgend, dass Art. 80 Abs. 2 DSGVO dem nicht entgegenstehe, dass ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erhebt, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei. Eine solche Klage sei möglich, sofern die betreffende Datenv...