Der Europäische Gerichtshof hat am 28.04.2022 entscheieden, dass Verbraucherschutzverbände Verstöße gegen die DSGVO geltend machen dürfen – und zwar ohne von einem Verbraucher beauftragt worden zu sein und ohne dass eine konkrete Rechtsverletzung nachgewiesen wird. Die Folgen dieser Entscheidung für die Praxis sind beachtlich. Auf Internetriesen wie Facebook, Google & Co., aber auch auf große E-Commerce-Akteure von Amazon bis Zalando können harte Zeiten zukommen.
Anlass des Urteils des Europäischen Gerichtshofs (EuGH, C-319/20) war ein Vorabentscheidungsersuchens des Bundesgerichtshofs (BGH). Dieser hatte Fragen in einem Verfahren des „Bundesverbands der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.“ gegen die „Meta Platforms Ireland Limited“ (zuvor Facebook Ireland Limited) zu klären. Die Verbraucherzentrale Bundesverband e. V. hatte Meta wegen der Einholung wohl unwirksamer Einwilligungen und der Verwendung wohl unangemessener AGB auf den Webseiten des Facebook-Netzwerks auf Unterlassung in Anspruch genommen, allerdings ohne von einem Verbraucher dazu beauftragt worden zu sein und ohne die Verletzung von Rechten eines konkret Betroffenen darlegen zu können. Anfangs – das Verfahren begann im Jahr 2013 – war das kein Problem. Das zu diesem Zeitpunkt anwendbare deutsche Recht sah in § 8 Abs. 3 Nr. 3 UWG und in § 3 Abs. 1 S. 1 Nr. 1 UKlaG entsprechende Verbandsklagebefugnisse vor.
Im Laufe der langen Verfahrensdauer von neun Jahren trat die DSGVO (am 25.05.2018) in Kraft. Damit stellte sich die Frage, ob Datenschutzverletzungen weiterhin von einem Verbraucherschutzverband geltend gemacht werden können. Die DSGVO sieht diese Möglichkeit in Art. 80 nur vor, wenn der Verbraucherschutzverband von einem Betroffenen beauftragt wurde oder wenn nach Auffassung des Verbraucherschutzverbands die Rechte einer ihm bekannten Person verletzt wurden. Unklar und daher unter Juristen bisher umstritten war aber, ob ein Verbraucherschutzverband auch ohne Auftrag oder zumindest Kenntnis von der Verletzung eines konkreten Betroffenen gegen ein Unternehmen vorgehen kann. Genau dies hatte die Verbraucherzentrale Bundesverband e. V. getan. Sie konnte keine Informationen zu einem konkreten Fall einer Verletzung von Datenschutzregeln benennen, sondern ging davon aus, dass die Einholung von Einwilligungen auf den Seiten von Meta unwirksam war und damit jeder Nutzer eine unwirksame Einwilligung abgeben würde.
Der EuGH hat nun im Sinne der Verbraucherschutzverbände entschieden. Für eine Klage sei nicht Voraussetzung, dass eine dem Verbraucherschutzverband bekannte Person in ihren Rechten verletzt werde. Die allgemeine Annahme des Verbandes, dass durch eine Datenverarbeitung Rechte Betroffener verletzt werden können, genüge. Damit dürfen Verbraucherschutzverbände sämtliche ihres Erachtens vorliegenden Verletzungen von Rechten Betroffener abmahnen und von den Verantwortlichen Unterlassung verlangen. Schadensersatzansprüche setzen hingegen einen Schaden voraus, den die Verbände regelmäßig wohl nicht werden darlegen können.
Mit Spannung abzuwarten bleibt, welche Folgen diese Entscheidung in der Praxis bringt. Im Datenschutzrecht schüren allzu weite Klagebefugnisse Ängste vor überspannten Anforderungen an Unternehmen, die diese kaum noch erfüllen können, und den bereits mehrfach befürchteten „Abmahnwellen“. Oft bemüht wird dabei der „Bäcker von nebenan“, der schnell überfordert sein kann, wenn er stets sämtliche Regelungen des Datenschutzrechts akribisch einhalten muss. Auf die großen datenverarbeitenden Unternehmen, insbesondere Internetriesen wie Google, Facebook etc., könnten dagegen erneute Verfahren zukommen. Verbraucherschutzverbände sind seit Jahren bemüht, hier ein besseres Datenschutzniveau durchzusetzen. Die Instrumente dafür haben sie jetzt zumindest in Deutschland in der Hand.