Language of document : ECLI:EU:C:2021:979

SCHLUSSANTRÄGE DES GENERALANWALTS

JEAN RICHARD DE LA TOUR

vom 2. Dezember 2021(1)

Rechtssache C319/20

Facebook Ireland Limited

gegen

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.

(Vorabentscheidungsersuchen des Bundesgerichtshofs [Deutschland])

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 80 Abs. 2 – Recht auf wirksamen gerichtlichen Rechtsbehelf – Vertretung von betroffenen Personen durch eine Vereinigung ohne Gewinnerzielungsabsicht – Klagebefugnis eines Verbands zur Wahrung von Verbraucherinteressen“






I.      Einleitung

1.        In der modernen Wirtschaft, die durch die aufstrebende digitale Wirtschaft gekennzeichnet ist, kann die Verarbeitung personenbezogener Daten Personen nicht nur in ihrer Eigenschaft als natürliche Personen, denen durch die Verordnung (EU) 2016/679(2) Rechte verliehen werden, sondern auch in ihrer Eigenschaft als Verbraucher beeinträchtigen.

2.        Die Verbrauchereigenschaft hat zur Folge, dass Verbände zur Wahrung von Verbraucherinteressen immer häufiger Klagen erheben, die darauf gerichtet sind, Verhaltensweisen bestimmter für Datenverarbeitungsvorgänge verantwortlicher Personen zu unterbinden, durch die Rechte beeinträchtigt werden, die sowohl durch diese Verordnung als auch durch andere unionsrechtliche und nationalrechtliche Vorschriften insbesondere auf dem Gebiet des Verbraucherschutzes und der Bekämpfung unlauterer Geschäftspraktiken geschützt sind.

3.        Das vorliegende Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen dem Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (im Folgenden: Bundesverband) und der Facebook Ireland Limited, deren Sitz sich in Irland befindet. Der Bundesverband wirft diesem Unternehmen einen Verstoß gegen die deutschen Rechtsvorschriften über den Schutz personenbezogener Daten vor, der zugleich eine unlautere Geschäftspraxis, einen Verstoß gegen ein Verbraucherschutzgesetz und einen Verstoß gegen das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen darstelle.

4.        Mit diesem Ersuchen wird der Gerichtshof im Wesentlichen um Auslegung von Art. 80 Abs. 2 der Verordnung 2016/679 gebeten, um festzustellen, ob diese Bestimmung dem entgegensteht, dass Verbände zur Wahrung von Verbraucherinteressen nach dem Inkrafttreten dieser Verordnung die ihnen nach nationalem Recht zuerkannte Klagebefugnis behalten, um Verhaltensweisen zu unterbinden, die sowohl eine Verletzung der durch diese Verordnung verliehenen Rechte als auch eine Verletzung von Vorschriften zum Schutz der Verbraucherrechte und zur Bekämpfung unlauterer Geschäftspraktiken darstellen. Da der Gerichtshof eine solche Klagebefugnis für mit der Richtlinie 95/46/EG(3) vereinbar erklärt hatte(4), ist von ihm darüber zu befinden, ob die Verordnung 2016/679 die Rechtslage in diesem Punkt geändert hat oder nicht.

II.    Rechtlicher Rahmen

A.      Verordnung 2016/679

5.        Art. 80 („Vertretung von betroffenen Personen“) der Verordnung 2016/679 lautet(5):

„(1)      Die betroffene Person hat das Recht, eine Einrichtung, [Organisation] oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2)      Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“

B.      Deutsches Recht

6.        § 3 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb(6) vom 3. Juli 2004 in seiner auf das Ausgangsverfahren anwendbaren Fassung lautet:

„Unlautere geschäftliche Handlungen sind unzulässig.“

7.        § 3a UWG bestimmt:

„Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“

8.        § 8 Abs. 1 und 3 UWG sieht vor:

„(1)      Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Der Anspruch auf Unterlassung besteht bereits dann, wenn eine derartige Zuwiderhandlung gegen § 3 oder § 7 droht.

(3)       Die Ansprüche aus Absatz 1 stehen zu:

3.      qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 des [Gesetzes über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen(7) vom 26. November 2001 in seiner auf das Ausgangsverfahren anwendbaren Fassung] oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen[(8)] eingetragen sind;

…“

9.        In § 2 UKlaG heißt es:

„(1)      Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. …

(2)      Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere

11.      die Vorschriften, welche die Zulässigkeit regeln

a)      der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder

b)      der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,

wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

…“

10.      Nach den Angaben des Bundesgerichtshofs (Deutschland) können gemäß § 3 Abs. 1 Satz 1 Nr. 1 UKlaG qualifizierte Einrichtungen im Sinne dieser Vorschrift Ansprüche auf Unterlassung wegen Zuwiderhandlungen gegen Verbraucherschutzgesetze geltend machen, zu denen gemäß § 2 Abs. 2 Satz 1 Nr. 11 UKIaG auch Vorschriften gehören, die die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung zum Gegenstand haben. Außerdem steht qualifizierten Einrichtungen nach § 3 Abs. 1 Satz 1 Nr. 1 UKlaG ein Anspruch gemäß § 1 UKlaG auf Unterlassung der Verwendung von nach § 307 des Bürgerlichen Gesetzesbuchs (im Folgenden: BGB) unwirksamen Allgemeinen Geschäftsbedingungen zu, wenn diese Allgemeinen Geschäftsbedingungen ihres Erachtens eine datenschutzrechtliche Bestimmung verletzen.

11.      § 13 Abs. 1 des Telemediengesetzes(9) vom 26. Februar 2007 lautet:

„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie [95/46] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“

III. Sachverhalt des Ausgangsverfahrens und Vorlagefrage

12.      Der Bundesverband ist in Deutschland in die Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragen. Facebook Ireland betreibt unter der Adresse www.facebook.de die lnternetplattform Facebook, die dem Austausch persönlicher und sonstiger Daten dient.

13.      Auf der lnternetplattform Facebook befindet sich ein sogenanntes „App-Zentrum“, in dem Facebook Ireland ihren Nutzern u. a. kostenlose Spiele von Drittanbietern zugänglich macht. Beim Aufruf bestimmter Spiele im App-Zentrum am 26. November 2012 wurden dem Benutzer unter dem Button „Sofort spielen“ eine Reihe von Informationen angezeigt. Aus diesen Informationen ergibt sich im Wesentlichen, dass es die Nutzung der betreffenden App der Gesellschaft, die die Spiele zur Verfügung gestellt hatte, ermöglichte, eine Reihe von personenbezogenen Daten zu erhalten, und es ihr gestattete, im Namen des Nutzers bestimmte Informationen, wie etwa seinen Punktestand, zu posten. Mit der Nutzung stimmte der Nutzer den Allgemeinen Geschäftsbedingungen der Anwendung und ihrer Datenschutzpolitik zu. Beim Spiel Scrabble wurde darauf hingewiesen, dass die Anwendung im Namen des Nutzers Statusmeldungen, Fotos und weitere Angaben posten dürfe.

14.      Der Bundesverband beanstandet die Präsentation der unter dem Button „Sofort spielen“ gegebenen Hinweise im App-Zentrum als unlauter insbesondere wegen Nichteinhaltung der gesetzlichen Anforderungen für die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis beim Spiel Scrabble eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.

15.      In diesem Zusammenhang erhob der Bundesverband beim Landgericht Berlin (Deutschland) Unterlassungsklage gegen Facebook Ireland. Nach den Angaben des vorlegenden Gerichts wurde die Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben.

16.      Der Bundesverband beantragte, Facebook Ireland unter Androhung von Ordnungsmitteln zu verbieten, „im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern mit einem ständigen Aufenthalt in … Deutschland auf der Internetseite mit der Adresse www.facebook.com Spiele in einem so genannten ‚App-Zentrum‘ derart zu präsentieren, dass der Verbraucher mit dem Betätigen eines Buttons wie ‚Spiel spielen‘ die Erklärung abgibt, dass der Betreiber des Spiels über das von [Facebook Ireland] betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen des Verbrauchers zu übermitteln (posten) …“.

17.      Darüber hinaus beantragte der Bundesverband, Facebook Ireland zu verbieten, „nachfolgende oder mit diesen inhaltsgleiche Bestimmungen in Vereinbarungen mit Verbrauchern, die ihren gewöhnlichen Aufenthalt in … Deutschland haben, über die Nutzung von Applikationen (Apps) im Rahmen eines sozialen Netzwerkes einzubeziehen, sowie sich auf die Bestimmungen über die Übertragung von Daten an die Betreiber der Spiele zu berufen: ‚Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten‘“.

18.      Das Landgericht Berlin verurteilte Facebook Ireland entsprechend den Anträgen des Bundesverbands. Die von Facebook Ireland beim Kammergericht Berlin (Deutschland) eingelegte Berufung wurde zurückgewiesen.

19.      Facebook Ireland legte gegen die Entscheidung des Berufungsgerichts beim vorlegenden Gericht Revision ein.

20.      In der Sache ist das vorlegende Gericht der Ansicht, dass das Berufungsgericht die Anträge des Bundesverbands zu Recht für begründet erachtet habe. Durch die Verletzung der sich aus § 13 Abs. 1 Satz 1 Halbsatz 1 TMG ergebenden Informationspflichten habe Facebook Ireland gegen § 3a UWG und § 2 Abs. 2 Satz l Nr. 11 UKlaG verstoßen. Das Berufungsgericht habe zutreffend angenommen, dass die hier in Rede stehenden Bestimmungen gemäß § 13 TMG Marktverhaltensregelungen im Sinne von § 3a UWG seien. Zudem handele es sich dabei um Vorschriften, die im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 Buchst. a UKlaG die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer regelten, die zu Zwecken der Werbung erhoben, verarbeitet oder genutzt worden seien. Wegen des Verstoßes gegen die im vorliegenden Fall maßgeblichen datenschutzrechtlichen Informationspflichten habe Facebook Ireland zudem unwirksame Allgemeine Geschäftsbedingungen gemäß § 1 UKlaG verwendet.

21.      Gleichwohl fragt sich das vorlegende Gericht, ob das Berufungsgericht die Klage des Bundesverbands zu Recht als zulässig angesehen habe. Es stellt sich nämlich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen wie dem Bundesverband seit dem Inkrafttreten der Verordnung 2016/679 noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag unter den Gesichtspunkten des Rechtsbruchs gemäß § 3a UWG, des Verstoßes gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 UKlaG oder der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen.

22.      Vor dem Inkrafttreten der Verordnung 2016/679 sei die Klage zweifelsfrei zulässig gewesen. Die Befugnis des Bundesverbands zur Erhebung von Unterlassungsklagen bei den Zivilgerichten habe sich nämlich aus § 8 Abs. 3 Nr. 3 UWG sowie aus § 3Abs. 1 Satz 1 Nr. 1 UKlaG ergeben.

23.      Nach Auffassung des vorlegenden Gerichts könnte diese Rechtslage sich aufgrund des Inkrafttretens der Verordnung 2016/679 geändert haben.

24.      In der Sache führt das vorlegende Gericht aus, dass die Bestimmung des § 13 Abs. 1 TMG seitdem nicht mehr anwendbar sei. Maßgeblich seien nunmehr die sich aus den Art. 12 bis 14 der Verordnung 2016/679 ergebenden Unterrichtungspflichten. So habe Facebook Ireland gegen ihre Verpflichtung aus Art. 12 Abs. 1 Satz 1 dieser Verordnung verstoßen, der betroffenen Person die sich aus Art. 13 Abs. 1 Buchst. c und e dieser Verordnung ergebenden Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

25.      Hinsichtlich der Zulässigkeit der Klage sei umstritten, ob qualifizierte Einrichtungen im Sinne von § 4 UKlaG seit Inkrafttreten der Verordnung 2016/679 befugt seien, Verstöße gegen die nach Art. 288 Abs. 2 AEUV unmittelbar geltenden Bestimmungen dieser Verordnung gemäß § 8 Abs. 3 Nr. 3 UWG unter dem Gesichtspunkt des Rechtsbruchs gemäß § 3a UWG im Klagewege durchzusetzen.

26.      In diesem Zusammenhang gebe es unterschiedliche Auffassungen hinsichtlich der Frage, ob die Verordnung 2016/679 selbst die Durchsetzung ihrer Bestimmungen abschließend regele.

27.      Zum Wortlaut der Verordnung 2016/679 führt das vorlegende Gericht aus, dass die Klagebefugnis einer Einrichtung wie des Bundesverbands nach § 8 Abs. 3 Nr. 3 UWG von Art. 80 Abs. 1 der Verordnung nicht erfasst sei, da die im Ausgangsverfahren in Rede stehende Unterlassungsklage nicht im Auftrag und Namen einer betroffenen Person zur Durchsetzung ihrer persönlichen Rechte erhoben worden sei. Es handele sich vielmehr um eine Klagebefugnis des Bundesverbands aus eigenem Recht, die im Zusammenhang mit dem Rechtsbruchtatbestand gemäß § 3a UWG eine objektiv-rechtliche, von einer Verletzung konkreter Rechte einzelner betroffener Personen und deren Beauftragung unabhängige Verfolgung von Verstößen gegen die Bestimmungen der Verordnung 2016/679 erlaube.

28.      Eine Klagebefugnis des Bundesverbands zur objektiv-rechtlichen Durchsetzung des Datenschutzrechts sei jedoch in Art. 80 Abs. 2 der Verordnung 2016/679 nicht geregelt. Zwar sehe diese Bestimmung sehr wohl vor, dass ein solcher Verband unabhängig von einem Auftrag der betroffenen Person eine Klage erheben könne, jedoch sei erforderlich, dass die Rechte einer betroffenen Person gemäß der Verordnung infolge einer Verarbeitung verletzt worden seien. Folglich lasse die Bestimmung des Art. 80 Abs. 2 der Verordnung 2016/679 nach ihrem Wortlaut ebenfalls keine Klagebefugnis von Verbänden zu, die – wie im vorliegenden Fall gestützt auf § 3a und § 8 Abs. 3 Nr. 3 UWG – unabhängig von der Verletzung subjektiver Rechte einer konkreten betroffenen Person objektive datenschutzrechtliche Verstöße geltend machten. Entsprechendes ergebe sich aus Satz 2 des 142. Erwägungsgrundes der Verordnung 2016/679, der ebenfalls das Erfordernis der Verletzung der Rechte einer betroffenen Person als Voraussetzung für eine vom Auftrag der Person unabhängige Verbandsklagebefugnis nenne.

29.      Eine Verbandsklagebefugnis, wie sie in § 8 Abs. 3 UWG geregelt sei, dürfte sich auch nicht auf Art. 84 Abs. 1 der Verordnung 2016/679 stützen lassen, wonach die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen die Verordnung festlegten und alle zu deren Anwendung erforderlichen Maßnahmen träfen. Eine Verbandsklagebefugnis, wie sie in § 8 Abs. 3 UWG geregelt sei, könne nämlich nicht als „Sanktion“ im Sinne dieser Bestimmung der Verordnung angesehen werden.

30.      Darüber hinaus lasse der systematische Zusammenhang der Verordnung 2016/679 nicht eindeutig erkennen, ob die Klagebefugnis einer Einrichtung nach § 8 Abs. 3 Nr. 3 UWG, also nach einer Bestimmung zur Bekämpfung des unlauteren Wettbewerbs, seit dem Inkrafttreten dieser Verordnung noch anerkannt werden könne. Aus dem Umstand, dass diese Verordnung den Aufsichtsbehörden umfangreiche Überwachungs‑, Untersuchungs- und Abhilfebefugnisse einräume, könnte abgeleitet werden, dass es grundsätzlich Sache dieser Behörden sei, die Bestimmungen der Verordnung durchzusetzen. Dies stehe einer extensiven Auslegung von Art. 80 Abs. 2 der Verordnung 2016/679 entgegen. Nationale Vorschriften zur Durchführung einer Verordnung dürften grundsätzlich nur dann erlassen werden, wenn hierfür eine ausdrückliche Ermächtigung vorliege. Der Einschub „unbeschadet eines anderweitigen Rechtsbehelfs“ in Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 sowie Art. 79 Abs. 1 dieser Verordnung könnte jedoch gegen die These sprechen, dass die Rechtsdurchsetzung durch diese Verordnung abschließend geregelt sei.

31.      Was das Ziel der Verordnung 2016/679 betreffe, könnte deren praktische Wirksamkeit für das Bestehen einer wettbewerbsrechtlichen Verbandsklagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG sprechen, unabhängig von der konkreten Verletzung von Rechten betroffener Personen, da damit eine zusätzliche Möglichkeit der Rechtsdurchsetzung erhalten bleibe, um gemäß dem zehnten Erwägungsgrund der Verordnung 2016/679 ein möglichst hohes Datenschutzniveau zu gewährleisten. Allerdings könnte es als mit dem Harmonisierungsziel dieser Verordnung unvereinbar angesehen werden, wenn man eine wettbewerbsrechtliche Verbandsklagebefugnis zuließe.

32.      Das vorlegende Gericht bringt auch seine Zweifel darüber zum Ausdruck, ob nach dem Inkrafttreten der Verordnung 2016/679 die in § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestimmten qualifizierten Einrichtungen weiterhin befugt seien, Verstöße gegen die Bestimmungen der Verordnung unter dem Gesichtspunkt der Verfolgung von Verstößen gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 UKlaG im Klageweg zu verfolgen. Gleiches gelte hinsichtlich der Klagebefugnis eines Verbands zur Wahrung von Verbraucherinteressen nach § 1 UKlaG, um die Unterlassung der Verwendung von nach § 307 BGB unwirksamen Allgemeinen Geschäftsbedingungen zu erreichen.

33.      Wenn man davon ausgehe, dass die verschiedenen nationalen Vorschriften, auf denen die Klagebefugnis von Einrichtungen vor Inkrafttreten der Verordnung 2016/679 beruht habe, als eine vorweggenommene Umsetzung von Art. 80 Abs. 2 dieser Verordnung angesehen werden könnten, setze die Annahme einer Klagebefugnis des Bundesverbands im vorliegenden Fall voraus, dass er die Verletzung der Rechte einer betroffenen Person gemäß der Verordnung infolge einer Verarbeitung rüge. Diese Voraussetzung sei jedoch nicht erfüllt.

34.      Gegenstand des Klagebegehrens des Bundesverbands sei vielmehr die abstrakte Überprüfung der Präsentation des App-Zentrums durch Facebook Ireland am objektivrechtlichen Maßstab des Datenschutzrechts, ohne dass der Bundesverband die Verletzung von Rechten einer identifizierten oder identifizierbaren natürlichen Person im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 vorgetragen habe.

35.      Sollte festgestellt werden, dass der Bundesverband nach dem Inkrafttreten der Verordnung 2016/679 die auf den vorgenannten Bestimmungen des deutschen Rechts beruhende Klagebefugnis verloren habe, sei der von Facebook Ireland eingelegten Revision vom vorlegenden Gericht stattzugeben und die Klage des Bundesverbands abzuweisen, da nach dem deutschen Verfahrensrecht die Klagebefugnis bis zum Abschluss der letzten Instanz fortbestehen müsse.

36.      In Anbetracht dieser Erwägungen hat der Bundesgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung 2016/679 nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Verordnung 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

37.      Der Bundesverband, Facebook Ireland, die österreichische und die portugiesische Regierung sowie die Kommission haben schriftliche Erklärungen eingereicht. Mit Ausnahme der portugiesischen Regierung haben diese Beteiligten sowie die deutsche Regierung in der Sitzung vom 23. September 2021 mündliche Ausführungen gemacht.

IV.    Würdigung

38.      Mit seiner Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Verordnung 2016/679, insbesondere ihr Art. 80 Abs. 2, dahin auszulegen ist, dass sie einer nationalen Regelung entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken, des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben.

39.      Nach Art. 4 Nr. 1 der Verordnung 2016/679 ist eine „betroffene Person“ im Sinne dieser Verordnung „eine identifizierte oder identifizierbare natürliche Person“. Ist eine solche Person der Ansicht, dass ihre personenbezogenen Daten unter Verstoß gegen die Bestimmungen dieser Verordnung verarbeitet worden seien, verfügt sie über mehrere Handlungsmöglichkeiten.

40.      So hat eine betroffene Person nach Art. 77 der Verordnung 2016/679 das Recht auf Beschwerde bei einer Aufsichtsbehörde. Nach Art. 78 der Verordnung 2016/679 hat sie das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde. Darüber hinaus verleiht Art. 79 Abs. 1 der Verordnung 2016/679 jeder betroffenen Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

41.      Natürlich können betroffene Personen selbst Beschwerde bei einer Aufsichtsbehörde einlegen oder die vorstehend beschriebenen gerichtlichen Rechtsbehelfe einlegen. Allerdings sieht Art. 80 der Verordnung 2016/679 unter bestimmten Voraussetzungen vor, dass diese Personen durch eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht vertreten werden können. Neben den individuellen Rechtsbehelfen sieht das Unionsrecht mithin verschiedene Möglichkeiten von Verbandsklagen vor, die von Einrichtungen geführt werden, die mit der Vertretung der betroffenen Personen betraut sind(10). Art. 80 der Verordnung 2016/679 fügt sich daher in die Tendenz zur Entwicklung von Verbandsklagen ein, die von solchen Einrichtungen mit dem Ziel geführt werden, die allgemeinen oder kollektiven Interessen zu verteidigen, um den Zugang zur Justiz der durch die Verletzung der jeweiligen Regelungen betroffenen Personen zu verbessern(11).

42.      Art. 80 („Vertretung von betroffenen Personen“) der Verordnung 2016/679 umfasst zwei Absätze. Der erste Absatz betrifft den Fall, dass eine betroffene Person eine Einrichtung, Organisation oder Vereinigung beauftragt, sie zu vertreten. Der zweite Absatz betrifft die von einer Einrichtung unabhängig von einer Beauftragung durch eine betroffene Person erhobene Verbandsklage.

43.      Da sich die Klage des Bundesverbands nicht auf den Auftrag einer betroffenen Person stützt, ist im Rahmen des vorliegenden Vorabentscheidungsersuchens Art. 80 Abs. 2 der Verordnung 2016/679 maßgeblich.

A.      Das Urteil Fashion ID

44.      In seinem Urteil Fashion ID hat sich der Gerichtshof im Hinblick auf die Richtlinie 95/46 zu einer ähnlichen Frage wie derjenigen geäußert, die im Rahmen des vorliegenden Vorabentscheidungsersuchens gestellt wurde. Er hat für Recht erkannt, dass „die Art. 22 bis 24 [dieser Richtlinie] dahin auszulegen sind, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen“(12).

45.      Um zu diesem Ergebnis zu gelangen, ist der Gerichtshof von der Feststellung ausgegangen, dass keine Bestimmung der Richtlinie 95/46 die Mitgliedstaaten ausdrücklich dazu verpflichtete oder ermächtigte, in ihrem nationalen Recht die Möglichkeit vorzusehen, dass ein Verband eine betroffene Person vor Gericht vertritt oder aus eigener Initiative Klage gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten erheben kann(13). Nach Ansicht des Gerichtshofs bedeutete dies allerdings nicht, dass die Richtlinie 95/46 einer nationalen Regelung entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer solcher Vorschriften Klage zu erheben(14). Insoweit hat der Gerichtshof die Merkmale einer Richtlinie sowie die Verpflichtung der Mitgliedstaaten, ihrer Adressaten, hervorgehoben, alle erforderlichen Maßnahmen zu ergreifen, um die vollständige Wirksamkeit der Richtlinie entsprechend ihrer Zielsetzung zu gewährleisten(15).

46.      Dann hat der Gerichtshof darauf hingewiesen, dass die Ziele der Richtlinie 95/46 darin bestanden, „einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, bei der Verarbeitung personenbezogener Daten zu gewährleisten“ und „in der [Europäischen] Union ein hohes Schutzniveau sicherzustellen“(16). Der Umstand, dass ein Mitgliedstaat in seiner nationalen Regelung die Möglichkeit für einen Verband zur Wahrung von Verbraucherinteressen vorsieht, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, trage zur Erreichung dieser Ziele bei(17). Der Gerichtshof hat darüber hinaus ausgeführt, dass „die Mitgliedstaaten in vielerlei Hinsicht über einen Handlungsspielraum zur Umsetzung [der Richtlinie 95/46] verfügen“(18), insbesondere hinsichtlich ihrer Art. 22 bis 24, deren Wortlaut „allgemein gehalten ist und die keine umfassende Harmonisierung der nationalen Vorschriften über gerichtliche Rechtsbehelfe, die gegen den mutmaßlichen Verletzer von Vorschriften über den Schutz personenbezogener Daten eingelegt werden können, vornehmen“(19). „Vorzusehen, dass ein Verband zur Wahrung von Verbraucherinteressen einen gerichtlichen Rechtsbehelf gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten erheben kann, scheint eine geeignete Maßnahme im Sinne [von Art. 24 dieser Richtlinie] darstellen zu können, die … gemäß der Rechtsprechung des Gerichtshofs zur Erreichung der Ziele dieser Richtlinie beiträgt“(20).

47.      Mit dem vorliegenden Vorabentscheidungsersuchen wird der Gerichtshof ersucht, darüber zu entscheiden, ob das unter der Geltung der Richtlinie 95/46 Zulässige infolge des Inkrafttretens der Verordnung 2016/679 nunmehr untersagt werden muss. Mit anderen Worten: Zieht Art. 80 Abs. 2 der Verordnung 2016/679 die Rechtsfolge nach sich, dass die Klagebefugnis eines Verbands zur Wahrung von Verbraucherinteressen im Rahmen einer Klage wie der im Ausgangsverfahren in Rede stehenden entfällt?

48.      Daran kann bereits allein aufgrund der Lektüre von Rn. 62 des Urteils Fashion ID gezweifelt werden, in der der Gerichtshof darauf hingewiesen hat, dass der Umstand, dass die Verordnung 2016/679 „es Verbänden zur Wahrung von Verbraucherinteressen [in Art. 80 Abs. 2] ausdrücklich gestattet, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten gerichtlich vorzugehen, keinesfalls [bedeutet], dass die Mitgliedstaaten ihnen dieses Recht unter der Geltung der Richtlinie 95/46 nicht gewähren könnten, sondern … vielmehr [bestätigt], dass die im vorliegenden Urteil vorgenommene Auslegung der Richtlinie den Willen des Unionsgesetzgebers widerspiegelt“(21).

49.      Aus den Gründen, die ich nunmehr darlegen werde, bin ich der Ansicht, dass weder die Ersetzung der Richtlinie 95/46 durch eine Verordnung noch der Umstand, dass die Verordnung 2016/679 nunmehr der Vertretung von betroffenen Personen bei Klagen einen Artikel widmet, die Feststellung des Gerichtshofs in seinem Urteil Fashion ID in Frage stellen können, nämlich, dass die Mitgliedstaaten in ihren nationalen Rechtsvorschriften die Möglichkeit für Verbände zur Wahrung von Verbraucherinteressen vorsehen können, gegen den mutmaßlichen Verletzer personenbezogener Daten Klage zu erheben.

B.      Besondere Merkmale der Verordnung 2016/679

50.      Zur Ersetzung der Richtlinie 95/46 durch eine Vorschrift anderer Rechtsnatur, nämlich die Verordnung 2016/679, ist festzustellen, dass sich die Entscheidung des Unionsgesetzgebers, auf die Rechtsform der Verordnung zurückzugreifen, die nach Art. 288 AEUV in allen ihren Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat gilt, aus seinem im 13. Erwägungsgrund der Verordnung 2016/679 zum Ausdruck gebrachten Willen erklärt, in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen zu gewährleisten und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, zu beseitigen. Folglich scheint diese Verordnung auf den ersten Blick eine umfassende Harmonisierung anzustreben, indem sie sich mithin nicht darauf beschränkt, Mindestnormen aufzustellen, über die die Mitgliedstaaten hinausgehen könnten, und den Mitgliedstaaten keine Wahlmöglichkeit einräumt, von ihren Bestimmungen abzuweichen, sie zu ergänzen oder umzusetzen, damit die gleichzeitige und einheitliche Anwendung der Bestimmungen dieser Verordnung in der Union nicht gefährdet wird.

51.      Die Realität erweist sich als komplexer. Die Rechtsgrundlage der Verordnung 2016/679, nämlich Art. 16 AEUV(22), spricht gegen die Annahme, dass die Union durch den Erlass dieser Verordnung alle möglichen Verästelungen des Schutzes personenbezogener Daten in anderen Bereichen, insbesondere im Arbeits‑, Wettbewerbs- oder Verbraucherschutzrecht, vorweggenommen habe, indem sie den Mitgliedstaaten den Erlass spezifischer Regelungen in diesen Bereichen – mehr oder weniger eigenständig, je nachdem, ob es sich um einen dem Unionsrecht unterfallenden Bereich(23) handelt oder nicht – verwehrt. In diesem Sinne beschränkt sich, obwohl der Schutz personenbezogener Daten von Natur aus eine Querschnittsmaterie ist, die durch die Verordnung 2016/679 vorgenommene Harmonisierung auf die speziell von dieser Verordnung in diesem Bereich abgedeckten Gesichtspunkte. Darüber hinaus steht es den Mitgliedstaaten weiterhin frei, Regelungen zu erlassen, wenn sie nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen.

52.      Zudem ist, wenn man die Bestimmungen der Verordnung 2016/679 im Einzelnen betrachtet, festzustellen, dass das Ausmaß der mit dieser Verordnung vorgenommenen Harmonisierung je nach den betreffenden Vorschriften variiert. Die Bestimmung der normativen Tragweite der Verordnung 2016/679 erfordert mithin eine Einzelfallprüfung(24). Zwar kann im Einklang mit der Rechtsprechung zur Richtlinie 95/46(25) davon ausgegangen werden, dass die Verordnung 2016/679 eine „grundsätzlich umfassende“ Harmonisierung vornimmt, jedoch räumen mehrere Bestimmungen dieser Verordnung den Mitgliedstaaten einen Handlungsspielraum ein, von dem sie unter den Voraussetzungen und innerhalb der Grenzen eben dieser Bestimmungen Gebrauch machen können oder – gegebenenfalls – Gebrauch machen müssen(26).

53.      Nach gefestigter Rechtsprechung des Gerichtshofs „haben Verordnungen nach Art. 288 AEUV sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären. Allerdings kann es vorkommen, dass manche Bestimmungen einer Verordnung zu ihrer Durchführung des Erlasses von Durchführungsmaßnahmen durch die Mitgliedstaaten bedürfen“(27). Der Rückgriff auf eine Verordnung impliziert nicht zwangsläufig, dass den Rechtssubjekten durch die Bestimmungen dieser Verordnung keinerlei Handlungsspielraum eingeräumt wird(28). Zudem steht die Verbindlichkeit und unmittelbare Geltung einer Verordnung nicht dem entgegen, dass ein solcher Rechtsakt fakultative Regeln beinhalten kann(29).

54.      Art. 80 Abs. 2 der Verordnung 2016/679 ist aufgrund der Verwendung des Wortes „können“ ein Beispiel für eine fakultative Bestimmung, die den Mitgliedstaaten einen Ermessensspielraum bei ihrer Umsetzung einräumt.

55.      Diese Bestimmung zählt zu den zahlreichen „Öffnungsklauseln“ in dieser Verordnung, die ihr im Vergleich zu einer klassischen Verordnung ihren besonderen Charakter verleihen und sie in die Nähe einer Richtlinie rücken(30). Die in solchen Klauseln enthaltenen Verweise auf das nationale Recht können bindend(31) sein, stellen aber häufiger den Mitgliedstaaten eingeräumte Optionen(32) dar. Dazu konnte angemerkt werden, dass diese zahlreichen Verweise auf die nationalen Rechtsvorschriften das Risiko einer erneuten Zersplitterung der Regelungen zum Schutz personenbezogener Daten in der Union darstellten, das dem Willen des Unionsgesetzgebers, eine stärkere Vereinheitlichung dieser Regelungen zu erreichen, zuwiderlaufe und sich negativ auf die Wirksamkeit dieses Schutzes sowie auf die Verständlichkeit der Pflichten der Verantwortlichen und der Auftragsverarbeiter auswirke(33). Die Tragweite der durch die Verordnung 2016/679 vorgenommenen Harmonisierung wird mithin durch die zahlreichen, in dieser Verordnung enthaltenen „Öffnungsklauseln“ beschränkt.

56.      Es ist eindeutig, dass der Unionsgesetzgeber mit der Verordnung 2016/679 die Aspekte der Vertretung von betroffenen Personen im Hinblick auf die Einlegung einer Beschwerde bei einer Aufsichtsbehörde oder die Erhebung einer Klage vor Gericht auf Unionsebene im Vergleich zur Richtlinie 95/46 umfassender und genauer regeln wollte(34). Die Abs. 1 und 2 von Art. 80 dieser Verordnung haben jedoch nicht die gleiche normative Tragweite. Während nämlich Abs. 1 dieses Artikels für die Mitgliedstaaten verbindlich(35) ist, räumt sein Abs. 2 den Mitgliedstaaten nur eine Möglichkeit ein. Damit eine Verbandsklage ohne Beauftragung nach Art. 80 Abs. 2 der Verordnung 2016/679 erhoben werden kann, müssen die Mitgliedstaaten von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nationalen Recht vorzusehen.

57.      Bei Art. 80 Abs. 2 der Verordnung 2016/679 kann schon wegen seines fakultativen Charakters und der damit verbundenen potenziellen Unterschiede zwischen den nationalen Rechtsvorschriften nicht davon ausgegangen werden, dass er Verbandsklagen ohne Beauftragung im Bereich des Schutzes personenbezogener Daten umfassend harmonisiert habe. Bei der Umsetzung dieser Bestimmung in ihr nationales Recht müssen die Mitgliedstaaten jedoch die Bedingungen und Grenzen beachten, die der Unionsgesetzgeber als Rahmen für die Ausübung der in dieser Bestimmung vorgesehenen Möglichkeit setzen wollte.

58.      Zwar ist dieser Rahmen im Vergleich zur Richtlinie 95/46 genauer ausgestaltet, dennoch verbleibt den Mitgliedstaaten bei der Umsetzung von Art. 80 Abs. 2 der Verordnung 2016/679 ein Ermessensspielraum.

59.      Aus den dem Gerichtshof vorliegenden Informationen ergibt sich, dass der deutsche Gesetzgeber nach dem Inkrafttreten der Verordnung 2016/679 keine Vorschrift erlassen hat, die speziell Art. 80 Abs. 2 dieser Verordnung in sein nationales Recht umsetzen sollte. Vor diesem Hintergrund ist, worum das vorlegende Gericht den Gerichtshof ersucht, zu prüfen, ob die bereits bestehenden Vorschriften des deutschen Rechts, die einem Verband zur Wahrung von Verbraucherinteressen die Befugnis zu verleihen, auf Unterlassung einer Verhaltensweise zu klagen, die zugleich einen Verstoß gegen Vorschriften der Verordnung 2016/679 und gegen Bestimmungen, die insbesondere dem Verbraucherschutz dienen, darstellt, mit dieser Bestimmung vereinbar sind. Mit anderen Worten: Steht das vor Inkrafttreten dieser Verordnung bestehende nationale Recht mit dem in Einklang, was nach Art. 80 Abs. 2 der Verordnung 2016/679 zulässig ist?

60.      Wie die deutsche Regierung in der mündlichen Verhandlung ausgeführt hat, stellen die nationalen Vorschriften, die eine Vereinigung wie den Bundesverband ermächtigen, eine Verbandsklage wie die im Ausgangsverfahren in Rede stehende zu erheben, Maßnahmen zur Umsetzung der Richtlinie 2009/22 dar. Zur Beantwortung der Frage, ob Art. 80 Abs. 2 der Verordnung 2016/679 ebenfalls eine solche Klage gestattet und ob sich also diese nationalen Vorschriften in den Rahmen des jedem Mitgliedstaat(36) eingeräumten Ermessensspielraums einfügen, ist dieser Artikel unter Berücksichtigung insbesondere seines Wortlauts sowie der Systematik und der Ziele dieser Verordnung auszulegen.

C.      Wörtliche, systematische und teleologische Auslegung von Art. 80 Abs. 2 der Verordnung 2016/679

61.      Nach Art. 80 Abs. 2 der Verordnung 2016/679 können die dort vorgesehenen Verbandsklagen von „jede[r] der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen“ erhoben werden. Art. 80 Abs. 1 der Verordnung 2016/679 nennt „eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentliche[n] Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist“. Diese Definition kann meines Erachtens nicht auf die Einrichtungen beschränkt werden, deren einziges Ziel ausschließlich im Schutz personenbezogener Daten besteht, sondern erstreckt sich auf all jene Einrichtungen, die ein im öffentlichen Interesse liegendes Ziel verfolgen, das mit dem Schutz personenbezogener Daten im Zusammenhang steht. So verhält es sich bei Verbänden zur Wahrung von Verbraucherinteressen wie dem Bundesverband, die Unterlassungsklagen gegen Verhaltensweisen erheben können, die unter Verstoß gegen die Bestimmungen dieser Verordnung auch Verbraucherschutzvorschriften oder Regelungen zur Bekämpfung des unlauteren Wettbewerbs verletzen(37).

62.      Nach dem Wortlaut von Art. 80 Abs. 2 der Verordnung 2016/679 kann die Verbandsklage von einer Einrichtung erhoben werden, die die in Abs. 1 dieses Artikels genannten Voraussetzungen erfüllt, wenn „ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind“. Entgegen dem, wovon das vorlegende Gericht offenbar ausgeht, denke ich nicht, dass dieser letzte Satzteil in einem engen Sinne dahin ausgelegt werden sollte, dass eine Einrichtung eine oder mehrere konkret von der in Rede stehenden Verarbeitung betroffene Personen im Voraus individualisieren müsste, um gemäß den Vorgaben des Art. 80 Abs. 2 der Verordnung 2016/679 klagebefugt zu sein. Die vorbereitenden Arbeiten zum Erlass dieser Verordnung gehen nicht in diese Richtung. Zudem scheint mir die Definition des Begriffs „betroffene Person“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679, nämlich eine „identifizierte oder identifizierbare natürliche Person“(38), im Widerspruch zu der Forderung zu stehen, dass die Personen, deren Daten unter Verstoß gegen die Bestimmungen der Verordnung 2016/679 verarbeitet worden sind, bei der Erhebung einer Verbandsklage nach Art. 80 Abs. 2 dieser Verordnung bereits identifiziert sein müssten. Hieraus folgt denknotwendig, dass nach dieser Bestimmung nicht verlangt werden kann, dass eine Einrichtung vorbringt, dass konkrete Fälle im Hinblick auf individuell bezeichnete Personen vorlägen, um im Einklang mit den Vorgaben dieser Bestimmung klagebefugt sein zu können.

63.      Meines Erachtens setzt die Durchführung einer Verbandsklage nach Art. 80 Abs. 2 der Verordnung 2016/679 lediglich voraus, dass das Vorliegen einer Verarbeitung personenbezogener Daten geltend gemacht wird, die unter Verstoß gegen Bestimmungen dieser Verordnung erfolgte, die Rechte des Einzelnen schützen, und somit geeignet ist, die Rechte identifizierter oder identifizierbarer Personen zu verletzen; dabei unterliegt die Klagebefugnis der Einrichtung keiner Einzelfallprüfung dahin, ob die Rechte einer oder mehrerer bestimmter Personen verletzt wurden(39). Zusammengefasst muss sich eine solche Klage auf die Verletzung von Rechten stützen, die einer natürlichen Person infolge einer Verarbeitung ihrer personenbezogenen Daten aus dieser Verordnung erwachsen können. Ziel einer solchen Klage ist nicht der Schutz eines objektiven Rechts, sondern nur subjektiver Rechte, die betroffenen Personen unmittelbar aus der Verordnung 2016/679 erwachsen(40). Anders ausgedrückt soll die Öffnungsklausel in Art. 80 Abs. 2 der Verordnung 2016/679 den befugten Einrichtungen gestatten, von einer Aufsichtsbehörde oder einem Gericht prüfen zu lassen, ob die Verantwortlichen die in dieser Verordnung enthaltenen Regeln zum Schutz betroffener Personen einhalten(41). Vor diesem Hintergrund ist die Klagebefugnis einer Einrichtung nach dieser Bestimmung bereits dann gegeben, wenn sie einen Verstoß gegen Bestimmungen der Verordnung 2016/679 dartun kann, mit denen die subjektiven Rechte betroffener Personen geschützt werden sollen.

64.      Wie die Kommission im Wesentlichen vorträgt, würde eine Auslegung von Art. 80 Abs. 2 der Verordnung 2016/679, wonach eine Einrichtung für die Erhebung einer Verbandsklage ohne Beauftragung nachweisen oder vortragen müsste, dass eine bestimmte Person in einer konkreten Situation in ihren Rechten verletzt worden ist, den Anwendungsbereich dieser Bestimmung zu stark einschränken. In Übereinstimmung mit der portugiesischen Regierung und der Kommission bin ich der Auffassung, dass Art. 80 Abs. 2 der Verordnung 2016/679 so ausgelegt werden sollte, dass er seine praktische Wirksamkeit gegenüber Abs. 1 dieses Artikels behält. Folglich ist Art. 80 Abs. 2 dieser Verordnung meines Erachtens dahin zu verstehen, dass er über die Vertretung von individuellen Fällen, die Gegenstand von Abs. 1 dieses Artikels ist, hinausgeht, indem er die Möglichkeit eröffnet, auf Initiative der befugten Einrichtungen und eigenständig die Kollektivinteressen der Personen zu vertreten, deren personenbezogene Daten unter Verstoß gegen die Verordnung 2016/679 verarbeitet wurden. Die praktische Wirksamkeit von Art. 80 Abs. 2 dieser Verordnung würde weitgehend eingeschränkt, wenn, entsprechend dem Erfordernis in Abs. 1 dieses Artikels, davon auszugehen wäre, dass das Tätigwerden einer Einrichtung in beiden Fällen auf die Vertretung namentlich und individuell bezeichneter Personen beschränkt wäre.

65.      Die von mir vorgenommene Auslegung von Art. 80 Abs. 2 der Verordnung 2016/679 steht im Übrigen im Einklang mit dem präventiven Charakter und dem Abschreckungszweck von Unterlassungsklagen sowie damit, dass sie von einzelnen Streitigkeiten unabhängig sind(42).

66.      Sofern man nicht Gefahr laufen möchte, zwei verschiedene Maßstäbe für die Klagebefugnis der zur Erhebung einer Unterlassungsklage befugten Einrichtungen zu schaffen, je nachdem, ob eine solche Klage auf eine nationale Maßnahme gestützt wird, die in den Anwendungsbereich von Art. 80 Abs. 2 der Verordnung 2016/679 oder in den Anwendungsbereich der Richtlinie 2020/1828 fällt, erscheint es mir – auch wenn diese Richtlinie im Ausgangsrechtsstreit nicht anwendbar ist – angezeigt, dem Umstand Rechnung zu tragen, dass es nach dieser Richtlinie nicht erforderlich ist, dass solche Einrichtungen geltend machen, dass es namentlich genannte einzelne Verbraucher gibt, die von der betreffenden Verletzung beeinträchtigt sind(43), sondern, dass sie geltend machen, dass von Unternehmern begangene Verstöße gegen die Bestimmungen des Unionsrechts vorliegen, die in Anhang I dieser Richtlinie(44), der im Übrigen in seiner Nr. 56 die Verordnung 2016/679 anführt, genannt werden.

67.      Die eine enge Auslegung von Art. 80 Abs. 2 der Verordnung 2016/679 befürwortende Ansicht stellt – meines Erachtens unzutreffend – die Wahrung der Kollektivinteressen der Verbraucher(45) und den Schutz der Rechte jeder Person, deren Daten mutmaßlich unter Verstoß gegen diese Verordnung verarbeitet wurden, einander als Gegensätze gegenüber. Meiner Meinung nach schließt nämlich die Wahrung der Kollektivinteressen der Verbraucher den Schutz der subjektiven Rechte, die betroffenen Personen unmittelbar aus der Verordnung 2016/679 erwachsen, nicht aus; vielmehr umfasst sie einen solchen Schutz.

68.      Im Übrigen entnehme ich den Angaben im 15. Erwägungsgrund der Richtlinie 2020/1828, wonach „die in der Verordnung … 2016/679 … festgelegten oder darauf beruhenden Durchsetzungsmechanismen weiterhin für den Schutz der Kollektivinteressen der Verbraucher genutzt werden, sofern sie anwendbar sind“(46), die Bestätigung dafür, dass die in Art. 80 Abs. 2 vorgesehene Verbandsklage sehr wohl auf den Schutz dieser Interessen gerichtet sein kann.

69.      Aus den vorstehenden Überlegungen leite ich ab, dass Art. 80 Abs. 2 der Verordnung 2016/679 es den Mitgliedstaaten gestattet, befugten Einrichtungen die Möglichkeit einzuräumen, ohne Auftrag der betroffenen Personen Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher zu erheben, wenn ein Verstoß gegen Bestimmungen dieser Verordnung geltend gemacht wird, mit denen den betroffenen Personen subjektive Rechte verliehen werden sollen.

70.      Dies ist bei der Unterlassungsklage des Bundesverbands gegen Facebook Ireland der Fall.

71.      Ich weise darauf hin, dass Facebook Ireland nach den Angaben des vorlegenden Gerichts und entsprechend den Anträgen des Bundesverbands gegen ihre Verpflichtung aus Art. 12 Abs. 1 Satz 1 der Verordnung 2016/679 verstoßen hat, der betroffenen Person die sich aus Art. 13 Abs. 1 Buchst. c und e dieser Verordnung ergebenden Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Diese Bestimmungen gehören sicherlich zu der Kategorie von Bestimmungen, die den betroffenen Personen subjektive Rechte verleihen, was u. a. durch die Feststellung bestätigt wird, dass sie in Kapitel III („Rechte der betroffenen Person“) der Verordnung 2016/679 stehen. Daher kann der Schutz dieser Rechte entweder unmittelbar von den betroffenen Personen oder von einer nach Art. 80 Abs. 1 der Verordnung 2016/679 oder gemäß nationalen Vorschriften zur Durchführung von Art. 80 Abs. 2 dieser Verordnung ermächtigten Einrichtungen gerügt werden.

72.      Ich bin ferner der Ansicht, dass Art. 80 Abs. 2 der Verordnung 2016/679 nationalen Bestimmungen nicht entgegensteht, die einem Verband zur Wahrung von Verbraucherinteressen die Befugnis verleihen, über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken eine Unterlassungsklage zur Wahrung der durch diese Verordnung verliehenen Rechte zu erheben. Solche Vorschriften können nämlich ähnliche Bestimmungen wie die der Verordnung 2016/679 enthalten, insbesondere in Bezug auf die Information der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten(47); dies impliziert, dass ein Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig zu einem Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken führen kann. Im Wortlaut von Art. 80 Abs. 2 der Verordnung 2016/679 steht einer teilweisen Anwendung dieser Öffnungsklausel nichts entgegen, weil nämlich die Verbandsklage darauf abzielt, die Rechte zu schützen, die den betroffenen Personen in ihrer Eigenschaft als Verbraucher aus dieser Verordnung erwachsen(48).

73.      Diese vorgeschlagene Auslegung von Art. 80 Abs. 2 der Verordnung 2016/679 ist meines Erachtens am besten geeignet, die mit dieser Verordnung verfolgten Ziele zu erreichen.

74.      Insoweit hat der Gerichtshof ausgeführt, dass „die Verordnung 2016/679, wie sich aus ihrem Art. 1 Abs. 2 in Verbindung mit den Erwägungsgründen 10, 11 und 13 ergibt, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den zuständigen Behörden der Mitgliedstaaten die Verpflichtung [auferlegt], für die in Art. 16 AEUV und Art. 8 der Charta [der Grundrechte der Europäischen Union] garantierten Rechte ein hohes Schutzniveau zu gewährleisten“(49). Darüber hinaus verfolgt diese Verordnung das Ziel, „einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen zu gewährleisten, insbesondere des Rechts auf Achtung des Privatlebens und des Rechts auf Schutz der personenbezogenen Daten“(50).

75.      Es liefe dem Ziel, ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, zuwider, wenn die Mitgliedstaaten daran gehindert würden, Maßnahmen einzuführen, die zwar das Ziel des Verbraucherschutzes verfolgen, aber gleichfalls zur Erreichung des Ziels des Schutzes personenbezogener Daten beitragen. Wie unter der Geltung der Richtlinie 95/46 kann auch noch nach dem Inkrafttreten der Verordnung 2016/679 die Auffassung vertreten werden, dass die Befugnis von Verbänden zur Wahrung von Verbraucherinteressen, auf Unterlassung einer gegen die Bestimmungen dieser Verordnung verstoßenden Verarbeitung zu klagen, dazu beiträgt, die Rechte der betroffenen Personen durch ein Verbandsklagerecht zu stärken(51).

76.      Die Wahrung der Kollektivinteressen der Verbraucher durch Verbände kommt dem Ziel, ein hohes Schutzniveau für personenbezogene Daten zu schaffen, somit besonders entgegen. Insoweit könnte die präventive Funktion der durch diese Verbände erhobenen Klagen nicht gewährleistet werden, wenn mit der in Art. 80 Abs. 2 der Verordnung 2016/679 vorgesehenen Verbandsklage nur die Verletzung von Rechten einer von einem solchen Verstoß individuell und konkret betroffenen Person geltend gemacht werden könnte.

77.      Eine Unterlassungsklage eines Verbands zur Wahrung von Verbraucherinteressen wie des Bundesverbands trägt daher unbestreitbar dazu bei, die wirksame Durchsetzung der durch die Verordnung 2016/679 geschützten Rechte sicherzustellen(52).

78.      Im Übrigen wäre es zumindest paradox, wenn die vom Unionsgesetzgeber mit dem Erlass der Verordnung 2016/679 angestrebte Stärkung der Mittel zur Kontrolle der Vorschriften über den Schutz personenbezogener Daten letztlich zu einem Rückgang dieses Schutzniveaus im Vergleich zu dem Niveau führen würde, das die Mitgliedstaaten unter der Geltung der Richtlinie 95/46 gewährleisten konnten.

79.      Richtig ist, dass sich im Unionsrecht – anders als in den Vereinigten Staaten von Amerika – die Vorschriften über unlautere Geschäftspraktiken und über den Schutz personenbezogener Daten getrennt voneinander entwickelt haben. So sind die beiden Bereiche Gegenstand unterschiedlicher Rechtsrahmen.

80.      Allerdings bestehen zwischen diesen beiden Bereichen Wechselwirkungen, so dass Klagen im Rahmen der Regelung über den Schutz personenbezogener Daten gleichzeitig und mittelbar zur Beendigung einer unlauteren Geschäftspraxis beitragen können. Dies gilt auch umgekehrt(53). Im Übrigen kommt der Zusammenhang zwischen dem Schutz personenbezogener Daten unter dem Blickwinkel der Einwilligung in die Verarbeitung dieser Daten und dem Verbraucherschutz in der Verordnung 2016/679 selbst, insbesondere in ihrem 42. Erwägungsgrund, zum Ausdruck. Darüber hinaus hat die Kommission die Wechselwirkungen zwischen den Unionsvorschriften im Bereich des Schutzes personenbezogener Daten und der Richtlinie 2005/29/EG(54) hervorgehoben.

81.      Die Wechselwirkungen zwischen dem Recht des Schutzes personenbezogener Daten, dem Verbraucherschutzrecht und dem Wettbewerbsrecht sind häufig und zahlreich, da ein und dasselbe Verhalten gleichzeitig unter die Rechtsvorschriften dieser verschiedenen Bereiche fallen kann. Derartige Interaktionen tragen dazu bei, den Schutz personenbezogener Daten wirksamer zu machen(55).

82.      Zwar beschränken sich die durch die in der Verordnung 2016/679 vorgesehenen Rechte Begünstigten nicht auf die Gruppe der Verbraucher, da diese Verordnung nicht auf einem verbraucherbasierten Konzept des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten beruht(56), sondern auf einem Konzept, wonach dieser Schutz gemäß Art. 8 der Charta der Grundrechte und ausweislich des ersten Erwägungsgrundes der Verordnung 2016/679 sowie ihres Art. 1 Abs. 2 ein Grundrecht darstellt(57).

83.      Gleichwohl sind die betroffenen Personen in der Ära der digitalen Wirtschaft oft Verbraucher. Aus diesem Grund werden die Verbraucherschutzregeln vielfach eingesetzt, um den Verbrauchern Schutz vor einer gegen die Bestimmungen der Verordnung 2016/679 verstoßenden Verarbeitung ihrer personenbezogenen Daten zu garantieren.

84.      Als Ergebnis dieser Untersuchung ist festzustellen, dass es zwischen der Verbandsklage nach Art. 80 Abs. 2 der Verordnung 2016/679 und der Verbandsklage nach der Richtlinie 2020/1828 Überschneidungen im Hinblick auf Unterlassungsmaßnahmen geben kann, wenn die „betroffenen Personen“ im Sinne dieser Verordnung auch „Verbraucher“ im Sinne von Art. 3 Nr. 1 dieser Richtlinie sind(58). Ich sehe darin ein Zeichen für Komplementarität und Konvergenz des Rechts zum Schutz personenbezogener Daten mit anderen Rechtsgebieten, wie etwa dem Verbraucherschutzrecht und dem Wettbewerbsrecht. Mit dem Erlass dieser Richtlinie hat der Unionsgesetzgeber diese Entwicklung noch weiter vorangebracht, indem er den Schutz der Kollektivinteressen der Verbraucher ausdrücklich mit der Einhaltung der Verordnung 2016/679 verknüpft hat. Die wirksame Anwendung der in dieser Verordnung enthaltenen Vorschriften kann dadurch nur verstärkt werden.

V.      Ergebnis

85.      Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Bundesgerichtshofs (Deutschland) wie folgt zu beantworten:

Art. 80 Abs. 2 der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken, des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben, wenn die betreffende Verbandsklage auf die Wahrung von Rechten gerichtet ist, die den Personen, die von der beanstandeten Verarbeitung betroffen sind, unmittelbar aus dieser Verordnung erwachsen.


1      Originalsprache: Französisch.


2      Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).


3      Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).


4      Vgl. Urteil vom 29. Juli 2019, Fashion ID (C‑40/17, im Folgenden: Urteil Fashion ID, EU:C:2019:629).


5      Vgl. auch 142. Erwägungsgrund dieser Verordnung.


6      BGBl. 2004 I, S. 1414, im Folgenden: UWG.


7      BGBl. 2001 I, S. 3138, 3173, im Folgenden: UKlaG.


8      ABl. 2009, L 110, S. 30.


9      BGBl. 2007 I, S. 179, im Folgenden: TMG.


10      Die Vertretung betroffener Personen ist ebenfalls vorgesehen in Art. 67 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. 2018, L 295, S. 39) sowie in Art. 55 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89). In diesen beiden Fällen handelt es sich um eine beauftragte Vertretung.


11      Diese u. a. durch die Richtlinie 2009/22 konkretisierte Tendenz kam in jüngster Zeit durch den Erlass der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. 2020, L 409, S. 1) zum Ausdruck. Umsetzungsfrist für diese Richtlinie ist der 25. Dezember 2022. Vgl. hierzu Pato, A., „Collective Redress Mechanisms in the EU“, Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, London 2019, S. 45 bis 117. Vgl. auch Gsell, B., „The New European Directive on Representative Actions for the Collective Interests of consumers – A Huge, but Blurry Step Forward“, Common Market Law Review, Bd. 58, Ausgabe 5, Kluwer Law International, Alphen am Rhein, 2021, S. 1365 bis 1400.


12      Vgl. Urteil Fashion ID (Rn. 63 und Tenor).


13      Vgl. Urteil Fashion ID (Rn. 47).


14      Vgl. Urteil Fashion ID (Rn. 48).


15      Vgl. Urteil Fashion ID (Rn. 49).


16      Vgl. Urteil Fashion ID (Rn. 50).


17      Vgl. Urteil Fashion ID (Rn. 51).


18      Vgl. Urteil Fashion ID (Rn. 56 und die dort angeführte Rechtsprechung).


19      Vgl. Urteil Fashion ID (Rn. 57 und die dort angeführte Rechtsprechung).


20      Vgl. Urteil Fashion ID (Rn. 59).


21      Hervorhebung nur hier.


22      Wie der Gerichtshof in seinem Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483, Rn. 44), hervorgehoben hat.


23      Aus der Präambel der Verordnung 2016/679 ergibt sich, dass diese auf der Grundlage von Art. 16 AEUV erlassen wurde, dessen Abs. 2 u. a. vorsieht, dass das Europäische Parlament und der Rat gemäß dem ordentlichen Gesetzgebungsverfahren zum einen Vorschriften erlassen über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und zum anderen über den freien Datenverkehr.


24      Die Bestimmung des Umfangs der von einer Regelung wie der Verordnung 2016/679 vorgenommenen Harmonisierung impliziert daher die Durchführung einer „Mikro-Analyse in Bezug auf eine spezifische Vorschrift oder allenfalls [die Prüfung eines] spezifischen und gut definierten Aspekt[s] des Unionsrechts“: vgl. Schlussanträge des Generalanwalts Bobek in der Rechtssache Dzivev u. a. (C‑310/16, EU:C:2018:623, Nr. 74). Vgl. ferner Mišćenić, E., und Hoffmann, A.‑L., „The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)“, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Ausgabe 4, S. 44 bis 61, die darauf hinweisen, dass „eine Harmonisierungsmaßnahme, entweder eine EU-Richtlinie oder Verordnung, umfassende Harmonisierungswirkung im Hinblick auf eine Reihe von Vorschriften, aber nicht auf alle Vorschriften, haben kann“ (S. 49) [freie Übersetzung].


25      Vgl. Urteil vom 6. November 2003, Lindqvist (C‑101/01, EU:C:2003:596, Rn. 96).


26      Vgl. zur Richtlinie 95/46 Urteil vom 6. November 2003, Lindqvist (C‑101/01, EU:C:2003:596, Rn. 97). Entgegen einigen Meinungen führt die Entscheidung des Unionsgesetzgebers, anstatt auf eine Richtlinie auf eine Verordnung zurückzugreifen, nicht zwangsläufig zu einer vollständigen Harmonisierung des betreffenden Bereichs. Vgl. Mišćenić, E., und Hoffmann, A.‑L., a. a. O., die ausführen, dass „eine EU-Richtlinie zu einer starken Harmonisierung führen kann, wenn ihr umfassende Harmonisierungswirkung zukommt, während eine EU-Verordnung zu einem geringen Harmonisierungsgrad führen kann, wenn sie zahlreiche Optionen oder Ausnahmeregelungen enthält“ (S. 48) [freie Übersetzung].


27      Vgl. u. a. Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483, Rn. 110 und die dort angeführte Rechtsprechung). Vgl. auch zu einem Bereich, der zuvor Gegenstand einer Richtlinie war, Urteil vom 21. Dezember 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, Rn. 42), in dem der Gerichtshof ausführt, dass „der Umstand, dass die Unionsregelung im Bereich des Schutzes von Tieren beim Transport gegenwärtig in einer Verordnung enthalten ist, nicht notwendigerweise [bedeutet], dass jede nationale Maßnahme zur Durchführung dieser Regelung jetzt verboten wäre“.


28      Vgl. Urteil vom 27. Oktober 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).


29      So hat der Gerichtshof anerkannt, dass ein Mitgliedstaat, der entschieden hat, von einer durch eine Verordnung eingeräumten Möglichkeit Gebrauch zu machen, nicht gegen Art. 288 AEUV verstößt: vgl. Urteil vom 17. Dezember 2015, Imtech Marine Belgium (C‑300/14, EU:C:2015:825, Rn. 27 bis 31). Vgl. ferner zu einer Verordnung, die Ausfuhrerstattungen vorsieht, die von den Mitgliedstaaten gewährt werden können oder nicht, Urteil vom 27. Oktober 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).


30      Vgl. zu solchen „Öffnungsklauseln“ Wagner, J., und Benecke, A., „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law“, European Data Protection Law Review, Lexxion, Berlin, Bd. 2, Ausgabe 3, 2016, S. 353 bis 361.


31      Vgl. u. a. Art. 51 und 84 der Verordnung 2016/679.


32      Vgl. u. a. Art. 6 Abs. 2 und 3, Art. 8 Abs. 1 Unterabs. 2 sowie Art. 85 bis 89 der Verordnung 2016/679.


33      Vgl. hierzu Mišćenić, E., und Hoffmann, A.‑L., a. a. O, die darauf hinweisen, dass „trotz der ursprünglichen Idee, ein hohes Harmonisierungsniveau zu erreichen, indem durch eine EU-Verordnung einheitliche Regeln für die Mitgliedstaaten eingeführt werden, die DSGVO unter verschiedenen Geschichtspunkten abweichende Regelungen erlaubt. Dadurch schafft sie weitere Inkohärenzen zwischen den Regelungen auf der Ebene der Mitgliedstaaten und trägt zur Rechtsunsicherheit der durch ihre Vorschriften Betroffenen bei. Über 69 Öffnungsklauseln eröffnen Räume für verschiedene Regelungen, Auslegungen und schließlich Anwendungen in der Praxis. Öffnungsklauseln wirken sich auch auf die Rechtsnatur und das Harmonisierungsniveau der DSGVO aus, die in der Lehre sehr oft als Richtlinie im Gewande einer Verordnung beschrieben wird“ (S. 50 und 51) [freie Übersetzung].


34      Die Richtlinie 95/46 sah in ihrem Art. 28 Abs. 4 lediglich die Möglichkeit vor, dass es ein Verband übernimmt, bei einer Kontrollstelle eine Beschwerde für eine Person einzulegen, die einen Verstoß gegen ihre Rechte im Rahmen der Verarbeitung personenbezogener Daten rügte.


35      Jedoch mit Ausnahme der beauftragten Verbandsklage, um Schadensersatz im Namen der betroffenen Personen zu erlangen, die für die Mitgliedstaaten fakultativ bleibt.


36      Vgl. entsprechend Urteil vom 21. Dezember 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, Rn. 43).


37      Vgl. Pato, A., „The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights“, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburg, 2019, S. 98 bis 106. Nach Ansicht dieser Autorin ist „der Kreis der potenziell Klagebefugten … weit“ und werden „Verbraucherverbände … diese Voraussetzungen in der Regel ohne Weiteres erfüllen“ (S. 99) [freie Übersetzung].


38      Hervorhebung nur hier. Nach dieser Bestimmung „wird eine natürliche Person [als identifizierbar] angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“. Wie Martial-Braz, N., „Le champ d’application du RGPD“, in Bensamoun, A., und Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, S. 19 bis 33, ausführt, ist „die Identifizierbarkeit … in einem sehr weiten Sinne zu verstehen, da sich das Kriterium der Identifizierung einer Person auf alle Mittel bezieht, die vernünftigerweise herangezogen werden können, um die Person zu identifizieren“ (S. 24) [freie Übersetzung]. Vgl. insbesondere zum Begriff „bestimmbare Person“ im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779).


39      Vgl. Boehm, F., „Artikel 80 Vertretung von betroffenen Personen“, in Simitis, S., Hornung, G., und Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, insbesondere Rn. 13.


40      Vgl. Frenzel, E. M., „Art. 80 Vertretung von betroffenen Personen“, in Paal, B. P., und Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3. Aufl. C.H. Beck, München, 2021, insbesondere Rn. 11, sowie Kreße, B., „Artikel 80 Vertretung von betroffenen Personen“, in Sydow, G., Europäische Datenschutzverordnung, 2. Aufl., Nomos, Baden-Baden, 2018, insbesondere Rn. 13.


41      Vgl. Moos, F., und Schefzig, J., „Art. 80 Vertretung von betroffenen Personen“, in Taeger, J., sowie Gabel, D., Kommentar DSGVO – BDSG, 3.Aufl., Deutscher Fachverlag, Frankfurt am Main, 2019, insbesondere Rn. 22.


42      Vgl. u. a. betreffend missbräuchliche Klauseln in Verbraucherverträgen Urteil vom 14. April 2016, Sales Sinués und Drame Ba (C‑381/14 und C‑385/14, EU:C:2016:252, Rn. 29).


43      Vgl. 33. Erwägungsgrund sowie Art. 8 Abs. 3 Buchst. a der Richtlinie 2020/1828, wonach „[d]ie qualifizierte Einrichtung … nicht verpflichtet [ist,] Folgendes nachzuweisen: den tatsächlichen Verlust oder Schaden, der einzelnen von dem gemäß Artikel 2 Absatz 1 genannten Verstoß betroffenen Verbrauchern entstanden ist“. Darüber hinaus hat eine qualifizierte Einrichtung zwar nach Art. 7 Abs. 2 der Richtlinie 2020/1828 dem Gericht oder der Verwaltungsbehörde gegenüber „hinreichende Angaben zu den von der Verbandsklage betroffenen Verbrauchern“ zu machen, doch ergibt sich aus dem 34. Erwägungsgrund dieser Richtlinie, dass mit diesen Angaben, die je nach der von der qualifizierten Einrichtung angestrebten Entscheidung unterschiedlich genau sein können, keine von dem fraglichen Verstoß betroffenen Verbraucher benannt werden sollen, sondern damit vielmehr Angaben zum Ort des Eintritts des nachteiligen Ereignisses oder der Gruppe der von der Verbandsklage betroffenen Verbraucher gemacht werden sollen (vgl. auch 65. Erwägungsgrund der Richtlinie 2020/1828). Ich weise ferner darauf hin, dass selbst dann, wenn die Verbandsklage auf Abhilfeentscheidungen gerichtet ist, nach dem 49. Erwägungsgrund der Richtlinie 2020/1828 „[d]ie qualifizierte Einrichtung … nicht jeden von einer Verbandsklage betroffenen Verbraucher einzeln identifizieren müssen [sollte], um die Verbandsklage erheben zu können“. Vgl. hierzu Gsell, B., a. a. O., insbesondere S. 1370.


44      Vgl. Art. 2 Abs. 1 der Richtlinie 2020/1828.


45      Vgl. den dritten Erwägungsgrund der Richtlinie 2009/22, wonach die in deren Anwendungsbereich fallenden Unterlassungsklagen die „Kollektivinteressen der Verbraucher“ schützen sollen, unter denen „die Interessen zu verstehen [sind], bei denen es sich nicht um eine Kumulierung von Interessen durch einen Verstoß geschädigter Personen handelt“. In Art. 3 Nr. 3 der Richtlinie 2020/1828 wird der Begriff „Kollektivinteressen der Verbraucher“ definiert als „das allgemeine Interesse der Verbraucher und, insbesondere im Hinblick auf Abhilfeentscheidungen, die Interessen einer Gruppe von Verbrauchern“.


46      Hervorhebung nur hier.


47      Vgl. Helberger, N., Zuiderveen Borgesius, F., und Reyna, A., „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law“, Common Market Law Review, Bd. 54, Ausgabe 5, Kluwer Law International, Alphen am Rhein, 2017, S. 1427 bis 1465, die darauf hinweisen, dass „ein Merkmal, das Verbraucher- und Datenschutzrecht gemeinsam ist, in der zentralen Rolle von Information als Mittel zur Minderung von Informationsungleichgewicht und zur Stärkung des Einzelnen besteht“ (S. 1437) [freie Übersetzung].


48      Vgl. Neun, A., und Lubitzsch, K., „Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz“, Betriebs-Berater, Deutscher Fachverlag, Frankfurt am Main, 2017, S. 2563 bis 2569, insbesondere S. 2567.


49      Vgl. Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483, Rn. 45).


50      Vgl. Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483, Rn. 91).


51      Vgl. Schlussanträge des Generalanwalts Bobek in der Rechtssache Fashion ID (C‑40/17, EU:C:2018:1039, Nr. 33).


52      Zu Beispielen von Klagen, die von Verbänden zur Wahrung von Verbraucherinteressen erhoben wurden, vgl. Helberger, N., Zuiderveen Borgesius, F., und Reyna, A., a. a. O., insbesondere S. 1452 und 1453.


53      Zur Komplementarität zwischen Klagen betreffend den Schutz personenbezogener Daten und Klagen auf Unterlassung unlauterer Geschäftspraktiken siehe van Eijk, N., Hoofnagle, C. J., und Kannekens, E., „Unfair Commercial Practices: A Complementary Approach to Privacy Protection“, European Data Protection Law Review, Lexxion, Berlin, Bd. 3, Ausgabe 3, 2017, S. 325 bis 337, die ausführen, dass „die Durchsetzung von Datenschutzaspekten … durch die Anwendung der Vorschriften über unlautere Geschäftspraktiken effizienter werden [könnte]“ (S. 336) [freie Übersetzung].


54      Richtlinie des Europäischen Parlaments und des Rates vom 11. Mai 2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates (Richtlinie über unlautere Geschäftspraktiken) (ABl. 2005, L 149, S. 22). Vgl. Arbeitsunterlage der Kommissionsdienststellen – Leitlinien zur Umsetzung/Anwendung der Richtlinie 2005/29 über unlautere Geschäftspraktiken. Begleitunterlage zur Mitteilung der Kommission an das Europäische Parlament, den Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen. Ein umfassendes Konzept zur Förderung des grenzüberschreitenden elektronischen Handels für die Bürger und Unternehmen Europas (SWD[2016] 163 final), insbesondere Nr. 1.4.10, S. 26 bis 30. Die Kommission betont dort die Erforderlichkeit der Datenverarbeitung nach Treu und Glauben, die implizierte, dass die betroffene Person bestimmte maßgebliche Informationen erhält, insbesondere über die Zweckbestimmungen der betreffenden personenbezogenen Daten (S. 27 und 28) Die Kommission führt ferner aus, dass der Umstand, „[d]ass ein Gewerbetreibender gegen die [Richtlinie 95/46] oder die [Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37)] verstößt, [nicht grundsätzlich] bedeutet …, dass die betreffende Praxis auch gegen die [Richtlinie 2005/29] verstößt“. Nach Ansicht der Kommission sollte jedoch „die Möglichkeit derartiger Datenschutzverstöße … berücksichtigt werden, wenn geprüft wird, ob Geschäftspraktiken nach der [Richtlinie 2005/29] insgesamt als unlauter zu bewerten sind. Dies gilt insbesondere für Fälle, in denen ein Gewerbetreibender Verbraucherdaten unter Verstoß gegen Datenschutzvorschriften verarbeitet (beispielsweise für Zwecke der Direktwerbung oder für sonstige kommerzielle Zwecke wie etwa Profiling, personenbezogene Preisgestaltung oder Anwendungen unter Nutzung von Massendaten (Big Data)“ (S. 30).


55      Vgl. hierzu insbesondere Helberger, N., Zuiderveen Borgesius, F., und Reyna, A., a. a. O, die darauf hinweisen, dass „Datenschutz- und Verbraucherrecht parallel zur Anwendung kommen könnten und sich idealerweise gegenseitig ergänzen sowie ein hinreichend vielfältiges Repertoire an Rechten und Abhilfemaßnahmen bieten könnten, um einen hohen Verbraucherschutzstandard auf den digitalen Märkten zu bieten“ (S. 1429) [freie Übersetzung]. Vgl. auch van Eijk, N., Hoofnagle, C. J., und Kannekens, E., a. a. O., insbesondere S. 336. Zur Veranschaulichung der Komplementarität zwischen den Vorschriften zum Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation und den Vorschriften über das Verbot unlauterer Geschäftspraktiken von Unternehmern gegenüber Verbrauchern siehe meine Schlussanträge in der Rechtssache StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).


56      Vgl. Martial-Braz, N., a. a. O, insbesondere S. 23.


57      Vgl. Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483, Rn. 44).


58      Vgl. 14. Erwägungsgrund der Richtlinie 2020/1828, wonach diese „jedoch die Interessen natürlicher Personen, die durch [Verstöße gegen die in Anhang I genannten Bestimmungen des Unionsrechts] Schaden erlitten haben oder denen dies droht, nur dann schützen [sollte], wenn diese Personen Verbraucher gemäß dieser Richtlinie sind“.