Zum Inhalt springen Zur Navigation springen
EuGH: Wer darf gegen DSGVO-Verstöße klagen?

EuGH: Wer darf gegen DSGVO-Verstöße klagen?

Artikel von Fokko Oldewurtel·28. April 2022

Können nur Betroffene und Behörden gegen datenschutzrechtliche Verstöße vorgehen oder steht der Klageweg auch für Verbraucherschutzverbände offen? Mit dieser Frage beschäftigte sich der Europäische Gerichtshof nach einer Vorlage des BGH.

Die Sache mit der Klagebefugnis

Man könnte denken, wer in der Europäischen Union klagen kann und darf, ist rechtlich eindeutig geregelt. Doch der Europäische Gerichtshof (EuGH) hatte sich in den letzten Jahren immer wieder mit Themen zur Klagebefugnis zu beschäftigen. So bestätigte der EuGH im letzten Jahr die Zuständigkeit der belgischen Aufsichtsbehörde in einer Sache gegen Facebook, obwohl das Unternehmen seinen Sitz in Irland hat. Der EuGH definierte in dieser Entscheidung aber nur enge Bedingungen, nach welchen nationale Aufsichtsbehörden trotz des One-Stop-Shop-Mechanismus gegen Unternehmen vorgehen können, welche sich im Hoheitsgebiet einer anderen Aufsichtsbehörde befinden.

Und auch zu Verbraucherschutzverbänden äußerte sich der EuGH bereits im Jahr 2019. Im „Fashion-ID“-Urteil (EuGH C 40/17) bejahte der EuGH bereits die Klagebefugnis von Verbraucherschutzverbänden.

Vorlagefrage des BGH zum UWG und UKlaG

Dem BGH stellte sich nun in einem weiteren Verfahren die Frage, ob nationale Regelungen aus dem UWG und dem UKlaG den Verbraucherschutzverbänden bei Datenschutzverstößen zur Klage befugen. Bislang war umstritten, ob Art. 80 DSGVO abschließend die Klagebefugnis regelt. Teilweise wurde die Auffassung vertreten, dass diese nur dann einschlägig sei, sofern sämtliche Voraussetzungen des Art. 80 DSGVO erfüllt seien.

Der BGH vertrat die Auffassung, dass die DSGVO in dieser Hinsicht nicht abschließend sei, so dass Verbraucherschutzverbände auch ohne Beauftragung durch einen Betroffenen gegen DSGVO-Verstöße gerichtlich vorgehen könnten. Eine solche Auffassung entspricht auch dem Fashion-ID-Urteil, welches jedoch auf den zu entscheidenden Fall nicht anwendbar war, da dieses Urteil sich noch auf die alte Rechtslage unter der Datenschutzrichtlinie bezog. Weiter hat der BGH in seiner Vorlagefrage angemerkt, dass aus der DSGVO abgeleitet werden könne, dass die Prüfung ihrer Einhaltung in erster Linie den Aufsichtsbehörden obliege.

EuGH zur Klagebefugnis von Verbraucherverbänden

Der EuGH stellt in seinem Urteil (EuGH C 319/20) fest, dass die Regelungen der DSGVO nicht abschließend sind. Dies gelte zumindest hinsichtlich der Klagebefugnis von Verbraucherschutzverbänden. Werden diesen innerhalb nationaler Regelungen Klagebefugnisse eingeräumt, die auch personenbezogene Daten von natürlichen Personen und den Schutzbereich der DSGVO umfassen, so steht das Unionsrecht in diesen Fällen der Klagebefugnis der Verbände nicht entgegen. Dabei bezieht sich das Gericht auf die nationalen Regelungen, nach denen Verbände zur Wahrung von Verbraucherinteressen bei mutmaßlichen Verstößen gegen die DSGVO ohne spezifischen Auftrag durch einen Betroffenen vorgehen können, vgl.:

„Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben. Solche Klagen können unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden.“

Begründung für die Auslegung des EuGH

Der EuGH führt an, dass mit der DSGVO grundsätzlich eine vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten vorgenommen worden sei. Dennoch würden einige Bestimmungen der DSGVO den Mitgliedstaaten nationale Regelungen ermöglichen, die einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen zulasse, sofern diese Vorschriften nicht gegen den Inhalt und die Ziele dieser Verordnung verstoßen würden. Ein Verband zur Wahrung von Verbraucherinteressen falle unter den Begriff im Sinne der DSGVO klagebefugten Einrichtungen. Dies ist damit zu begründen, dass dieser ein im öffentlichen Interesse liegendes Ziel verfolge, welches darin bestehe, die Rechte der Verbraucher zu gewährleisten. Weiter führt das Gericht hierzu aus:

„Der Verstoß gegen Vorschriften über den Verbraucherschutz oder über unlautere Geschäftspraktiken kann nämlich mit einem Verstoß gegen eine Vorschrift über den Schutz personenbezogener Daten einhergehen.“

Darüber hinaus wird die Klagebefugnis bei einer Verbandsklage folgendermaßen begründet: Der Verband kann nur dann unabhängig von einem erteilten Auftrag klagen, wenn seines Erachtens die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung der personenbezogenen Daten dieser Person verletzt worden seien. Er müsse also vorab individuell ermitteln, ob eine Person von der Datenverarbeitung konkret betroffen ist und zudem zumindest eine konkrete Verletzung der Rechte aus den Datenschutzvorschriften behaupten.

Hierzu führt das Gericht an:

„Eine solche Auslegung steht im Einklang mit dem Ziel der DSGVO, das insbesondere darin besteht, ein hohes Niveau des Schutzes personenbezogener Daten zu gewährleisten.“

Bedeutung der Verbandsklagebefugnis für die Praxis

Sicherlich ist der Ausgang des Verfahrens nicht vollkommen überraschend, da eine solche Klagebefugnis für Verbände vom EU-Gesetzgeber in der bis zum bis Dezember 2022 umzusetzenden Verbandsklagerichtlinie vorgesehen ist. Dennoch ist es ein richtungsweisendes Urteil! Zwar klammert das Urteil die Frage nach dem Klagerecht von Mitbewerbern bzw. Konkurrenten von der Entscheidung leider aus, aber es zeigt deutlich, welche Richtung in Zukunft eingeschlagen wird: Die Gewährleistung eines hohen Niveau des Schutzes personenbezogener Daten.

Dabei könnte auch die zäh vorankommenden Aufsichtsbehörden in Irland und Luxemburg, die durch ihre zögerliche Vorgehensweise gegenüber den Big-Tech-Unternehmen die Durchsetzung der DSGVO zumindest erschweren und dadurch schon dem LIBE-Ausschuss des EU-Parlament negativ aufgefallen sind, ein Faktor für die Entscheidung der Richter gewesen sein. Denn durch die Entscheidung schreiten die bei den Verbraucherverbänden aufgelaufenen Verfahren nun deutlich schneller voran, als wenn man auf eine Umsetzung der Verbandsklagerichtlinie hätte warten müssen. Bei dem österreichischen Verein für Konsumenteninformation sind das immerhin 8 und bei der deutschen Verbraucherzentrale Bundesverband sogar über 22 Verfahren. Mehr also als so manche Aufsichtsbehörde in den letzten Jahren geführt hat.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.