Relevant für Sie, wenn Sie über einen Web-Auftritt verfügen 

(TL) Im September 2021 wurden durch deutsche Verbraucherzentralen fast 100 Abmahnungen aufgrund nicht rechtskonformer Datenverarbeitung verschickt (Link zur Quelle). Die Mehrheit der Empfänger dieser Abmahnungen hat eine strafbewehrte Unterlassungserklärung unterschrieben, obgleich zu diesem Zeitpunkt die Frage, ob Verbraucherverbände auch ohne einen Auftrag eines Betroffenen gegen datenschutzrechtliche Verstöße vorgehen können, nicht abschließend geklärt war.

Mit dieser Frage hat sich, nach einer Vorlage durch den Bundesgerichtshof (BGH), der Europäische Gerichtshof (EuGH) beschäftigt (Gerichtshof der Europäischen Union
Pressemitteilung Nr. 68/22).

Zum Ursprungssachverhalt

Der Bundesverband (Einrichtung i.S.d. § 4 UKlaG) erhob beim Landgericht Berlin, gegen Meta Platforms Ireland (Meta) eine Unterlassungsklage, die auf § 3 a UWG, § 2 Abs. 2 S. 1 Nr. 11 UKlaG und das BGB gestützt wurde. So bediene sich Meta unlauterer Geschäftspraktiken und es lägen sowohl ein Verstoß gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers als auch den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung vor.

Dem BGH stellte sich die Frage, ob einem Verband zur Wahrung von Verbraucherinteressen, wie im konkreten Fall dem Bundesverband, seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) noch die Befugnis zustehe, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Klage vor den Zivilgerichten vorzugehen. Denn aus der DS-GVO könne abgeleitet werden, dass die Prüfung, ob datenschutzrechtliche Vorgaben eingehalten werden, nur den Aufsichtsbehörden zustehe.

Die Entscheidung des EuGH

Im Vorfeld kam bereits der Generalanwalt des EuGH in seinen Schlussanträgen (Rn. 69) zu der Einschätzung, dass Verbraucherverbände aktiv werden können.

Mit Urteil vom 28.04.22 schloss sich der EuGH dieser Auffassung an.

(Im Folgenden genannte Randnummern beziehen sich auf das Urteil des EuGH)

Es käme hier auf den Art. 80 Abs. 2 DS-GVO an. Dieser eröffne den Mitgliedstaaten die Möglichkeit,

„[…] ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, wobei dies jedoch an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft ist.“ (Rn. 63)

Klagebefugt ist (persönlicher Anwendungsbereich) (Rn. 64):

  • Eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht,
    • die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet wurde,
    • deren satzungsmäßige Ziele im öffentlichen Interesse liegen und
    • die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist.

Darüber hinaus sei die Klagebefugnis nicht an das Vorliegen einer konkreten Verletzung der Rechte einer Person aus den Datenschutzvorschriften geknüpft. Es sei ausreichend, wenn die entsprechende Einrichtung (wie der Bundesverband) „ihres Erachtens“ davon ausgeht, dass die Rechte betroffener Personen gemäß der DS-GVO verletzt worden seien (Rn. 70-71). Auch werde von den Einrichtungen nicht verlangt, eine konkret betroffene Person im Vorfeld zur Klageerhebung zu ermitteln (Rn. 68).

Somit steht, bei Erfüllen der beschriebenen Voraussetzungen, den Verbraucherverbänden der Klageweg offen. Dies nun auch zweifelsfrei bei einem datenschutzrechtlichen Bezug des Klagegegenstandes und ohne konkreten Antrag eines Betroffenen.

Fazit

Insbesondere der Online-Auftritt vieler Unternehmen bietet viele Angriffspunkte. Sei es durch nicht ordnungsgemäß ausgeführte Dienste, falsch konfigurierte Cookie Banner oder Fehler in der Datenschutzerklärung.

Spätestens jetzt, nach dem Urteil des EuGH, ist mit einer deutlichen Zunahme der Abmahnungen durch Verbraucherzentralen zu rechnen. Damit geht eine nicht zu vernachlässigende Risikoerhöhung für Unternehmen einher.

So sollten die benannten Angriffspunkte tunlichst vermieden werden. Hier sei auf unsere Artikelserie „Die Einwilligung – Cookie Consent Banner (Teil 1 bis 6)“ verwiesen.

Handlungsdringlichkeit: Zeitnahe Überprüfung der Online Präsenzen empfohlen (in den nächsten Wochen)