EuGH-Urteil vom 11.7.2024, Rechtssache C‑757/22
Sachverhalt:
Auf Facebook (in der EU betrieben von Meta Platforms Ireland Ltd) befand sich ein „App-Zentrum“, in dem Nutzern kostenlose Spieleanwendungen von Drittanbietern zugänglich gemacht wurden. Wenn der Nutzer diesen Bereich aufrief, wurde er darüber informiert, dass er manchen dieser Anwendungen bei deren Nutzung das Sammeln verschiedener persönlicher Daten gestattete und sie dazu berechtige, in seinem Namen bestimmte dieser Daten zu veröffentlichen. Des Weiteren wurde er informiert, dass er mit der Nutzung der betreffenden Anwendung deren Allgemeinen Geschäftsbedingungen und Datenschutzpolitik zustimmte.
Der deutsche Bundesverband der Verbraucherzentralen und Verbraucherverbände– Verbraucherzentrale Bundesverband e. V. hielt die Hinweise der betreffenden Spiele im App-Zentrum für unlauter, und zwar u.a. unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. In diesem Zusammenhang erhob der Bundesverband beim Landgericht Berlin (Deutschland) eine Unterlassungsklage.
Das Landgericht Berlin gab der Klage statt, woraufhin Meta Platforms Ireland (erfolglos) Berufung beim Kammergericht Berlin einlegte. Der danach damit befasste BGH hatte Zweifel an der Klagebefugnis. Denn Art 80 Abs 2 DSGVO setzt voraus, dass eine Verbandsklage nur dann zulässig ist, wenn die Rechte des Betroffenen „infolge einer Verarbeitung“ verletzt wurden. Der BGH legte dem EuGH daher die Frage zur Vorabentscheidung vor, ob ein Verstoß gegen die Informationspflichten nach Art 13 DSGVO in den Anwendungsbereich des Art 80 Abs 2 DSGVO fällt.
Entscheidung:
Der EuGH hielt zunächst fest, dass Art 80 Abs 2 DSGVO den Mitgliedstaaten die Möglichkeit eröffnet, eine Verbandsklage gegen Verletzer des Schutzes personenbezogener Daten vorzusehen (EuGH Rechtssache C‑319/20). Die Erhebung einer Verbandsklage setzt allerdings voraus, dass die Einrichtung davon ausgeht, dass die Rechte einer betroffenen Person gemäß der DSGVO infolge einer Verarbeitung personenbezogener Daten dieser Person verletzt worden sind, wobei eine solche Verarbeitung nicht rein hypothetischer Natur sein darf. Konkret impliziert die Erhebung einer auf Art 80 Abs 2 DSGVO gestützten Verbandsklage, dass es anlässlich der Verarbeitung personenbezogener Daten zu einer Verletzung der Rechte einer Person aus der DSGVO kommt.
Aus Art 5 DSGVO ergibt sich, dass die Verarbeitung personenbezogener Daten in Bezug auf die betroffene Person konkreten Anforderungen an die Transparenz genügen muss. Wenn personenbezogene Daten bei der betroffenen Person erhoben werden, sieht Art 13 Abs 1 lit c und e für den Verantwortlichen die Pflicht vor, dieser Person jeweils die Zwecke und die Rechtsgrundlage für die Verarbeitung sowie die Empfänger oder Kategorien von Empfängern der Daten mitzuteilen. Art 12 Abs 1 verlangt zudem, dass der Verantwortliche geeignete Maßnahmen trifft, damit diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden.
Da eine Verarbeitung personenbezogener Daten unter Verletzung des Informationsrechts gegen die in Art 5 festgelegten Anforderungen verstößt, ist die Verletzung dieses Rechts als ein Verstoß gegen die Rechte der betroffenen Person „infolge einer Verarbeitung“ im Sinne von Art 80 Abs 2 der Verordnung anzusehen.
Das Recht die Informationen über den Zweck der Datenverarbeitung und die Empfänger personenbezogener Daten spätestens bei der Erhebung dieser Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt zu bekommen, stellt folglich ein Recht dar, bei dessen Verletzung von dem in Art 80 Abs 2 vorgesehenen Verbandsklagemechanismus Gebrauch gemacht werden kann.
Weitere Blog-Beiträge zum Thema DSGVO:
DSGVO-Verbandsklage des VKI gegen Autovermietung erfolgreich
DSGVO gewährt Patienten das Recht auf eine kostenlose Erstkopie ihrer Krankengeschichte