Seit Anwendbarkeit der DSGVO ist unklar, ob und wann Wettbewerber und Verbraucherverbände Verantwortliche wegen DSGVO-Verstößen abmahnen können. Der EuGH hatte schon etwas Klarheit in die Sache gebracht – doch das reicht dem BGH nicht. Nun muss der EuGH erneut ran.

Der Bundesgerichtshof (BGH) hat darüber zu entscheiden, ob Verbraucherschutzbände wegen der Verletzung der Datenschutzgrundverordnung (DSGVO) durch sozialen Netzwerke – hier Facebook – wettbewerbsrechtliche Unterlassungsansprüche geltend machen können. Über diese Frage muss nun auf Vorlage des BGH hin erneut der Europäische Gerichtshof (EuGH) entscheiden (Beschl. v. 10.11.2022, Az. I ZR 186/17) Hintergrund ist ein Verstoß Facebooks gegen die datenschutzrechtliche Verpflichtung, seine Nutzer über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten.

Verbraucherzentrale verklagt Facebook wegen Datenschutzverstoß
Das soziale Netzwerk Facebook, das zum Konzern „Meta“ mit EU-Sitz in Irland gehört, hat auch ein „App-Zentrum“, in dem es seinen Nutzern kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button „Sofort spielen“ folgende Hinweise zu lesen waren:

„Durch das Anklicken von ‚Spiel spielen‚ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“  

Dagegen hatte der Dachverband der Verbraucherzentralen der Bundesländer geklagt. Er beanstandete die Präsentation der unter dem Button „Sofort spielen“ gegebenen Hinweise im App-Zentrum als unlauter wegen Rechtsbruchs. Die Ausgestaltung verstoße gegen die gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung der Nutzer. Ferner sieht er in dem abschließenden Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.

Es ist nicht das erste Mal, dass Facebook wegen eines eher laschen Umgangs mit Datenschutzrecht negative Schlagzeilen macht. In einem Fall aus dem Frühjahr 2021 waren die Daten von 533 Millionen Facebook-Usern in einem Hackerforum aufgetaucht – darunter 6 Millionen Nutzer allein in Deutschland. Bei den Daten handelt es sich um vollständige Nutzernamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und auch persönliche Angaben wie den Beziehungsstatus. Für Betroffene stellt der Leak eine besondere Gefahr dar: Durch die veröffentlichten Mail-Adressen und Telefonnummern gibt es wieder ein vermehrtes Aufkommen von betrügerischen Spam-Nachrichten. Nutzer können auf Basis von Art. 15 DSGVO Auskunft darüber verlangen, ob auch sie betroffen sind. Bereits bei einer fehlenden bzw. falschen Auskunft und darüber hinaus auch wegen des Datenschutzverstoßes durch Facebook stehen Betroffenen Schadensersatzansprüche nach Art. 82 DSGVO zu. Wir von WBS.LEGAL machen für Betroffene 1000 Euro Schadensersatz geltend.

Facebook Daten geleakt!

Checken Sie kostenlos, ob Sie betroffen sind.
Bis zu 1.000€ Schadensersat

Das rechtliche Problem in diesem aktuellen Fall war nicht, dass Facebook gegen die DSGVO verstoßen hat – das stand eh fest. Sondern die Frage, war ob der Dachverband der Verbraucherzentralen zur Geltendmachung von Unterlassungsansprüchen im Wege der Zivilklage gemäß § 8 Abs. 3 Nr. 3 Gesetz gegen den Unlauteren Wettbewerb (UWG) und § 3 Abs. 1 Satz 1 Nr. 1 Unterlassungsklagegesetz (UKlaG) für befugt ist.

Erste Vorlage an den EuGH

Der hatte das Verfahren bereits mit Beschluss vom 28. Mai 2020 (I ZR  86/17 – App-Zentrum I) ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob es nach der DSGVO erlaubt ist, dass die EU-Staaten Mitbewerbern sowie gewissen Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen DSGVO-Verstößen gegen den Verletzer zu klagen – unabhängig von der Verletzung konkreter Rechte einzelner Betroffener und ohne Auftrag eines Betroffenen Person.

Dieses Problem wird bereits seit Anwendbarkeit der DSGVO am 25. Mai 2018 in Deutschland diskutiert. Gegen eine wettbewerbsrechtliche Klagebefugnis könnte aus europarechtlicher Sicht sprechen, dass die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der DSGVO getroffenen Bestimmungen entsprechenden nationalen Regelungen entgegenstehen. Möglicherweise sind also die Eingriffsmöglichkeiten der der Datenschutzbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen in der DSGVO als abschließende Sanktionsregelung bei DSGVO-Verstößen zu verstehen.  

Der EuGH hat dazu mit Urteil vom 28. April 2022 (C-319/20 – Meta Platforms Ireland) entschieden, dass Art. 80 Abs. 2 der DSGVO einer entsprechenden nationalen Regelung nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus der DSGVO beeinträchtigen kann.

BGH legt dem EuGH nun erneut Frage vor

Der BGH hatte also erneut über den Fall zu entscheiden – war jedoch nach mündlicher Verhandlung vom 29. September 2022 der Ansicht, das Verfahren erneut aussetzen und dem EuGH erneut eine Frage vorlegen zu müssen. Dieses Mal ist unklar, ob eine Rechtsverletzung „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn Verbraucherschutzverband seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 und 13 DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.

Die Notwendigkeit einer erneuten Vorlage ergebe sich aus folgenden Umständen, so der BGH: Der Senat sei in seinem ersten Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich die Klagebefugnis des Verbraucherverbandes – wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens –
nicht Kapitel VIII der DSGVO (welches Rechtsbehelfe, Haftung und Sanktionen regelt) und insbesondere nicht Art. 80 Abs. 1 und 2 DSGVO oder Art. 84 Abs. 1 DSGVO entnehmen lasse. Er habe daher dem EuGH nur die Frage vorgelegt, ob die DSGVO in Bezug auf die Klagebefugnis eine abschließende Regelung trifft, die einer wettbewerbsrechtlichen Klagemöglichkeit entgegensteht.

Der EuGH hat aber – abweichend von der vom Senat im Vorlagebeschluss vertretenen Ansicht – entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann. Darin steht:

Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 (Rechtsbehelf gegen Verantwortliche und Auftragsverarbeiter) aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, besteht damit aber nur für den Fall, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person seien „infolge einer Verarbeitung“ verletzt worden. Es sei nun fraglich, ob diese Voraussetzung erfüllt ist, wenn – wie im Streitfall – Informationspflichten verletzt worden sind. Die erneute Vorlage an den EuGH dient der Klärung dieser Frage.  

ahe