Language of document : ECLI:EU:C:2022:322

Rechtssache C319/20

Meta Platforms Ireland Limited, vormals Facebook Ireland Limited,

gegen

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.

(Vorabentscheidungsersuchen des Bundesgerichtshofs)

 Urteil des Gerichtshofs (Dritte Kammer) vom 28. April 2022

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 80 – Vertretung betroffener Personen durch eine Vereinigung ohne Gewinnerzielungsabsicht – Klage eines Verbands zur Wahrung von Verbraucherinteressen ohne Auftrag und unabhängig von der Verletzung konkreter Rechte einer betroffenen Person – Auf das Verbot unlauterer Geschäftspraktiken, die Verletzung eines Verbraucherschutzgesetzes oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gestützte Klage“

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Vertretung von betroffenen Personen – Klagebefugnis – Verband zur Wahrung von Verbraucherinteressen – Klage dieses Verbands ohne Auftrag und unabhängig von der Verletzung konkreter Rechte einer betroffenen Person – Klage wegen Verstoßes gegen die Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken – Zulässigkeit – Voraussetzung

(Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 80 Abs. 2)

(vgl. Rn. 57-60, 63-79, 83 und Tenor)

Zusammenfassung

Meta Platforms Ireland betreibt das Angebot der Dienste des sozialen Netzwerks Facebook und ist die für die Verarbeitung personenbezogener Daten von Nutzern dieses Netzwerks in der Union Verantwortliche. Auf der Internetplattform Facebook befindet sich unter der Internetadresse www.facebook.de ein sogenanntes „App-Zentrum“, in dem Meta Platforms Ireland ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich macht. Wenn der Nutzer bestimmte dieser Spiele aufruft, erscheint der Hinweis, dass die Nutzung der betreffenden Anwendung es der Spielegesellschaft ermögliche, eine Reihe von personenbezogenen Daten zu erheben, und sie dazu berechtige, im Namen dieses Nutzers Informationen zu veröffentlichen. Mit der Nutzung dieser Anwendung stimmt der Nutzer den Allgemeinen Geschäftsbedingungen und der Datenschutzpolitik der Spielegesellschaft zu. Außerdem wird der Nutzer bei einem bestimmten Spiel darauf hingewiesen, dass die Anwendung in seinem Namen Fotos und weitere Informationen veröffentlichen dürfe.

Der deutsche Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.(1) hielt die Hinweise der betreffenden Spiele im App-Zentrum für unlauter. Daher erhob der Bundesverband als Einrichtung, die befugt ist, die Unterlassung von Zuwiderhandlungen gegen Verbraucherschutzgesetze(2) zu verlangen, gegen Meta Platforms Ireland eine Unterlassungsklage. Die Klage wurde ohne konkrete Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben. Gegen die der Klage stattgebende Entscheidung legte Meta Platforms Ireland Berufung ein, die zurückgewiesen wurde, woraufhin sie beim Bundesgerichtshof (Deutschland) Revision einlegte. Da dieser Zweifel an der Zulässigkeit der Klage des Bundesverbands, insbesondere an dessen Befugnis zur Erhebung einer Klage gegen Meta Platforms Ireland, hegte, wandte er sich an den Gerichtshof.

In seinem Urteil hat der Gerichtshof entschieden, dass Art. 80 Abs. 2 der Datenschutz-Grundverordnung(3) nicht dem entgegensteht, dass ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erhebt, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei. Eine solche Klage ist möglich, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus der DSGVO beeinträchtigen kann.

Würdigung durch den Gerichtshof

Zunächst hat der Gerichtshof darauf hingewiesen, dass die DSGVO(4) zwar eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll, Art. 80 Abs. 2 dieser Verordnung jedoch zu den Bestimmungen gehört, die den Mitgliedstaaten einen Ermessensspielraum hinsichtlich seiner Umsetzung lassen(5). Damit die in dieser Bestimmung vorgesehene Verbandsklage ohne Beauftragung im Bereich des Schutzes personenbezogener Daten erhoben werden kann, müssen die Mitgliedstaaten daher von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nationalen Recht vorzusehen. Wenn die Mitgliedstaaten von dieser Befugnis Gebrauch machen, müssen sie von ihrem Ermessen jedoch unter den Voraussetzungen und innerhalb der Grenzen der DSGVO Gebrauch machen und Rechtsvorschriften erlassen, die nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen.

Sodann hat der Gerichtshof darauf hingewiesen, dass Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Möglichkeit eröffnet, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, und dies an eine Reihe von Anforderungen knüpft. So wird erstens die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung zuerkannt, die die in der DSGVO(6) aufgeführten Kriterien erfüllt. Unter diesen Begriff kann ein Verband zur Wahrung von Verbraucherinteressen wie der Bundesverband fallen, der ein im öffentlichen Interesse liegendes Ziel verfolgt, das darin besteht, die Rechte und Freiheiten der betroffenen Personen in ihrer Eigenschaft als Verbraucher zu gewährleisten, da die Verwirklichung eines solchen Ziels mit dem Schutz der personenbezogenen Daten dieser Verbraucher in Zusammenhang stehen kann. Zweitens kann eine Einrichtung eine Verbandsklage unabhängig von einem ihr erteilten Auftrag nur dann erheben, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden sind.

Daher ist es für die Erhebung einer Verbandsklage(7) zum einen nicht erforderlich, dass die betreffende Einrichtung die Person, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der DSGVO verstößt, konkret betroffen ist, im Voraus individuell ermittelt. Hierfür kann die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, auch ausreichen(8).

Zum anderen ist die Erhebung einer solchen Klage nicht daran geknüpft, dass eine konkrete Verletzung der Rechte einer Person aus der DSGVO vorliegt. Für die Anerkennung der Klagebefugnis einer Einrichtung reicht es nämlich aus, geltend zu machen, dass die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen könne, ohne dass ein der betroffenen Person in einer bestimmten Situation durch die Verletzung ihrer Rechte tatsächlich entstandener Schaden nachgewiesen werden müsste. Somit trägt angesichts des Ziels der DSGVO die Tatsache, dass Verbände zur Wahrung von Verbraucherinteressen wie der Bundesverband befugt sind, unabhängig von der Verletzung der Rechte einer von diesem Verstoß individuell und konkret betroffenen Person eine Verbandsklage auf Unterlassung von gegen die DSGVO verstoßenden Verarbeitungen zu erheben, unbestreitbar dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten.

Schließlich hat der Gerichtshof darauf hingewiesen, dass der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen kann. Die DSGVO(9) erlaubt es den Mitgliedstaaten nämlich, den Verbänden zur Wahrung von Verbraucherinteressen die Befugnis einzuräumen, gegen Verletzungen der in der DSGVO vorgesehenen Rechte über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorzugehen.


1      Im Folgenden: Bundesverband.


2      Nach deutschem Recht umfassen Verbraucherschutzgesetze auch Vorschriften, die die Zulässigkeit der Erhebung, der Verarbeitung oder der Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer regeln.


3      Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO). Nach Art. 80 Abs. 2 können „[d]ie Mitgliedstaaten … vorsehen, dass jede der in Absatz 1 [dieses] Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung [von personenbezogenen Daten dieser Person] verletzt worden sind“.


4      Wie sich aus Art. 1 Abs. 1 im Licht der Erwägungsgründe 9, 10 und 13 dieser Verordnung ergibt.


5      In Anwendung der „Öffnungsklauseln“.


6      Namentlich in Art. 80 Abs. 1 DSGVO. Diese Bestimmung verweist auf „eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentliche[n] Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist“.


7      Im Sinne von Art. 80 Abs. 2 DSGVO.


8      Insbesondere in Anbetracht der Tragweite des Begriffs „betroffene Person“ in Art. 4 Nr. 1 DSGVO, der sowohl eine „identifizierte natürliche Person“ als auch eine „identifizierbare natürliche Person“ erfasst.


9      Namentlich Art. 80 Abs. 2 DSGVO.