juris Nachrichten

Autor:Christoph Halder, Dipl.-Jurist, Wissenschaftlicher Mitarbeiter
Erscheinungsdatum:07.01.2022
Quelle:juris Logo
Normen:§ 13 TMG, § 3 UWG 2004, § 2 UKlaG, § 249 BGB, § 1004 BGB, § 823 BGB, § 3 UKlaG, § 8 UWG 2004, § 3a UWG 2004, § 7 UWG 2004, § 3 BSIG, § 44 BDSG 2018, EGRL 29/2005, EGRL 139/2009, EGRL 46/95, EUV 2016/679
Fundstelle:jurisPR-ITR 1/2022 Anm. 2
Herausgeber:Prof. Dr. Dirk Heckmann, Technische Universität München
Zitiervorschlag:Halder, jurisPR-ITR 1/2022 Anm. 2 Zitiervorschlag

Zur Klagebefugnis von Verbänden nach Geltung der DSGVO - zugleich Anm. zu Schlussanträgen v. 02.12.2021 - C-319/20

A. Problembeschreibung

Die Möglichkeiten von Mitbewerbern und Verbänden, Datenschutzverstöße über UWG und UKlaG zu verfolgen, waren unter der Datenschutzrichtlinie (DSRL) prinzipiell sehr vielfältig (vgl. ausführlich Halder, Private Enforcement und Datenschutzrecht, 2022 (in Vorbereitung), Kap. 2 und 3). Art. 80 Abs. 2 DSGVO sieht – weiter gehend als in der DSRL – nunmehr eine fakultative Öffnungsklausel vor, die es im Falle der mitgliedstaatlichen Umsetzung bestimmten Einrichtungen, Organisationen oder Vereinigungen (im Folgenden schlicht „Verbände“ genannt) ermöglicht, die Rechte der Betroffenen aus den Art. 77 bis 79 DSGVO wahrzunehmen.

Nachdem Verbandsbeschwerde und -verfahren nun in einer Verordnung und nicht mehr in einer Richtlinie geregelt wurden, erkennt der lauterkeitsrechtliche Teil der einschlägigen Literatur größtenteils eine Sperrwirkung des Durchsetzungskapitels der DSGVO, so dass Verbands- und Mitbewerberklagen unter dem Damoklesschwert des Art. 80 Abs. 2 DSGVO stünden, welcher abschließend eine Rechtsdurchsetzung durch „Dritte“ vorsehe.

Letztlich geht es bei der Frage der Sperrwirkung um das vertrackte Verhältnis von DSGVO, UGP-RL, Klausel-RL und Unterlassungsklagen-RL, gemischt mit den Eigenheiten der nationalen Umsetzungsvorschriften und sonstigem nicht (vollständig) unionsrechtlich determiniertem nationalem Recht. Generalanwalt Richard de la Tour erteilte der vor allem von der lauterkeitsrechtlichen Literatur vertretenen Sperrwirkungstheorie der DSGVO in den hier näher zu betrachtenden Schlussanträgen zur C-319/201 größtenteils eine Absage.

B. Gegenstand und Inhalt der Schlussanträge

Hintergrund der Schlussanträge war eine Vorlage des BGH vom 28.05.20202: Der vzbv e.V. klagte gegen Facebook aufgrund vermeintlicher Verstöße gegen Informationspflichten aus § 13 Abs. 1 TMG a.F. (zwischenzeitlich Art. 12 f. DSGVO). Hieraus resultierten nach Ansicht des BGH Unterlassungsansprüche des vzbv e.V. aus den §§ 3a, 3, 8 Abs. 1 UWG sowie § 2 Abs. 2 Satz 1 Nr. 11 UKlaG und § 1 UKlaG, deren Anwendbarkeit vor dem Hintergrund des Art. 80 Abs. 2 DSGVO jedoch fraglich sei. Der BGH legte dem EuGH deshalb folgende Frage vor:

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DSGVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

Der Generalanwalt beurteilt die Frage des BGH maßgeblich anhand von Art. 80 Abs. 2 DSGVO3. Entsprechend der Fashion-ID-Entscheidung des EuGH4, in welcher der EuGH die deutsche Verbandsklage für in Einklang mit der DSRL befunden hatte, könne Verbänden auch unter der DSGVO zur Wahrung von Verbraucherinteressen eine Klagebefugnis durch mitgliedstaatliches Recht eingeräumt werden.

Dagegen spreche nicht die Teilung der Rechtsakte in die Kategorien Verbraucher- und Datenschutzrecht, denn es handle sich beim Datenschutzrecht um eine Querschnittsmaterie. Eine Sperrwirkung bestünde nur in den von der DSGVO geregelten Sachverhalten, wobei dennoch zu beachten sei, dass die nationalen Rechtsvorschriften nicht mit Inhalt und Zielen der DSGVO kollidieren.5 Es sei hierzu der jeweilige Einzelfall zu betrachten. Art. 80 Abs. 2 DSGVO eröffne insoweit einen Ermessensspielraum bei seiner Umsetzung.6

Inhaltlich verlange Art. 80 Abs. 2 DSGVO nicht, dass das Ziel des Verbands ausschließlich im Schutz personenbezogener Daten steht, sondern es reiche aus, dass die Tätigkeit im Zusammenhang hierzu stehe.7 Daneben sei nicht erforderlich, wie der BGH annehme, dass der Verband im Prozess eine konkrete betroffene Person anführt, die in ihren subjektiven Rechten aus der DSGVO verletzt sei.8 Es reiche die Darlegung, dass die Verarbeitung personenbezogener Daten vorliege, die erstens unter Verstoß gegen die DSGVO erfolgte9 und zweitens geeignet sei, subjektive Rechte zu verletzen.

Unproblematisch ist nach Ansicht des Generalanwalts ferner, dass die Verbände deshalb gegen den Rechtsverletzer vorgehen können, weil der Datenschutzverstoß zugleich eine unlautere Geschäftspraxis darstellt.10 Insoweit würden die Betroffenen in ihrer Rolle als Verbraucher geschützt. Zielkonflikte der nationalen Regelungen mit der DSGVO bestünden aufgrund der Wechselwirkungen von Daten- und Verbraucherschutz nicht.11

C. Kontext der Schlussanträge

Die Schlussanträge behandeln bzw. streifen zahlreiche in Literatur und Rechtsprechung umstrittene Fragen. Auffällig ist jedoch, dass der Generalanwalt nicht vollständig auf die Vorlagefrage eingeht, so dass ein weiter gehender Klärungsbedarf bestehen bleibt.

I. Anforderungen an das Ziel der Verbände

Der Verband muss nicht ausschließlich im Bereich des Datenschutzrechts tätig sein.12 Wie der Generalanwalt überzeugend ausführt, reicht es für Art. 80 DSGVO aus, dass der Verband im Bereich des Datenschutzrechts tätig und nicht notwendigerweise hierauf spezialisiert ist. Neben noyb und Co. fallen damit zahlreiche andere Verbände unter den persönlichen Anwendungsbereich von Art. 80 DSGVO.

II. Keine Einzelfallprüfung der Verletzungshandlung

Überraschenderweise widmet sich ein erheblicher Teil der Ausführungen der zweifelhaften Auslegung, der Verband müsse im Rahmen von Art. 80 Abs. 2 DSGVO eine bestimmte konkrete verletzte Person nennen13, obwohl dies nicht ausdrücklich Teil der Vorlagefrage war. Gestützt wird diese Auslegung auf den vermeintlich klaren Wortlaut („die Rechte einer betroffenen Person“).

Dass eine entsprechende Auslegung dem Zweck der Vorschrift zuwiderläuft und die Norm im Vergleich zu Art. 80 Abs. 1 DSGVO denaturieren würde, hat Generalanwalt Richard der la Tour überzeugend herausgearbeitet und beendet seine Auslegung dabei nicht bei der Prüfung des Wortlauts, sondern betrachtet Zweck und Systematik der Norm. Ergänzend lässt sich ferner anführen, dass die Norm gesetzeshistorisch der Erhaltung der deutschen Verbandsklagemöglichkeit diente, die einen solchen Prüfungsmaßstab nicht kennt.14 Eine teleologische Reduktion zur Erreichung dieses Auslegungsergebnisses ist nicht erforderlich15, da das Merkmal „die Rechte einer betroffenen Person“ einfach als „Rechte betroffener Personen“ zu lesen ist16. Die Formulierung diente nämlich nur der Klarstellung, dass eine Kontrolle objektiven Rechts ausgeschlossen sein soll, weshalb Art. 80 Abs. 2 DSGVO an den auf eine bestimmte Person abstellenden Art. 80 Abs. 1 DSGVO angelehnt wurde.

Der Verband kann sich also damit begnügen, vorzutragen, dass das inkriminierte Verhalten abstrakt geeignet ist, subjektive Rechte (dazu sogleich) zu verletzen, und muss nicht einen Betroffenen in den Prozess drängen. Der Generalanwalt stellt zwar insoweit auf eine Verarbeitung ab17, diese Ausführungen dürften aber dem vorgelegten Fall geschuldet sein. Insoweit wird man eine Verarbeitung nicht als notwendig ansehen müssen, wenn subjektive Rechte nicht von einer Verarbeitung abhängen. Das ist bei einer unterbliebenen Negativauskunft nach Art. 15 DSGVO der Fall.

III. Subjektive Rechte als Anknüpfungspunkt

Überzeugend kommt der Generalanwalt zu der Einschätzung, dass die Verbandsklagemöglichkeit des Art. 80 Abs. 2 DSGVO akzessorisch zu subjektiven Rechtspositionen der Betroffenen ist. Mit anderen Worten können Verbände nicht objektiv-rechtliche Bestimmungen der DSGVO gerichtlich durchsetzen. Diese Auslegung ist – soweit ersichtlich – unstrittig, auch wenn zum Teil auf Art. 84 DSGVO rekurriert wird, um einen objektiven Prüfungsmaßstab zu rechtfertigen18. Der Generalanwalt geht offenbar davon aus, dass stets subjektive Rechte Anknüpfungspunkt sein müssen19, ohne aber auf den vom BGH angesprochenen Art. 84 DSGVO einzugehen. Nachdem Art. 84 DSGVO jedoch nach umstrittener Auslegung nicht privatrechtliche, sondern straf- und verwaltungsrechtliche Sanktionen mit Ausnahme von Geldbußen betrifft20, dürfte es ohnehin bei den Einschränkungen des Art. 80 Abs. 2 DSGVO bleiben und eine mitgliedstaatliche Erweiterung des Prüfungsmaßstabs auf objektives Recht wäre unionswidrig.

Gleichwohl bleibt festzustellen, dass große Teile der DSGVO subjektive Rechte verbürgen. Hierzu zählen selbstredend zunächst die Rechte der Betroffenen aus den Art. 12 ff. DSGVO. Gegenständlich war etwa ein Verstoß gegen Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c) DSGVO21. Eine Begrenzung auf dieses Kapitel der DSGVO („Rechte der betroffenen Person“) findet aber nicht statt22. Zu fragen ist danach, ob eine Norm dem Schutz der Grundrechte und Grundfreiheiten der Betroffenen zu dienen bestimmt ist23. Subjektive Rechte verbürgen darüber hinaus mindestens noch Art. 6, 11 Abs. 2, 24, 25, 26 Abs. 2, 34 sowie 82 DSGVO. Nachdem es sich hierbei um Ausprägungen von Art. 5 Abs. 1 DSGVO handelt, kann dieser sehr allgemein gehaltenen Norm auch eine subjektive Stoßrichtung zukommen. Ein engerer Filter ist demgegenüber das nationale Recht.

IV. Zulässige vorweggenommene Teilumsetzung

Der Generalanwalt kommt ferner überzeugend zum Ergebnis, dass der durch Art. 80 Abs. 2 DSGVO eröffnete Spielraum vor Geltung der DSGVO und auch nur teilweise ausgenutzt werden durfte24. Das wurde bisweilen bestritten25, überzeugt aber angesichts der schieren Anzahl der Öffnungsklauseln und dem Zweck des Art. 80 Abs. 2 DSGVO nicht, welcher die Rechtsdurchsetzung verbessern soll. Insoweit kann nicht pauschal aus dem abstrakten Ziel der Rechtsvereinheitlichung ein Erkenntnisgewinn für die Auslegung von Öffnungsklauseln gezogen werden.

V. Unterlassungsanspruch/Unterlassungsrechtsbehelf

Generalanwalt Richard de la Tour geht ferner davon aus, dass der Verband wegen eines Verstoßes gegen Datenschutzbestimmungen auf Unterlassung klagen kann26. Bedeutsam ist das vor allem deshalb, weil Art. 80 Abs. 2 DSGVO akzessorisch an die Rechte betroffener Personen anknüpft, es aber umstritten ist, woraus sich für den einzelnen Betroffenen ein Unterlassungsanspruch aus der DSGVO bei einer nach Art. 6 Abs. 1 DSGVO rechtswidrigen Verarbeitung ergibt. Zwar waren vorliegend Verstöße gegen Art. 12 f. DSGVO gegenständlich, für Betroffene und Verbände dürfte es aber ebenso relevant sein, eine (weitere) rechtswidrige Verarbeitung zu verhindern.

Für die Annahme eines Unterlassungsanspruchs bei einem Verstoß gegen Art. 6 Abs. 1 DSGVO wird das Löschungsrecht nach Art. 17 DSGVO27, das Widerspruchsrecht nach Art. 21 DSGVO28 oder der Schadensersatzanspruch aus Art. 82 DSGVO bei entsprechender Auslegung der Rechtsfolgen nach den §§ 249 ff. BGB29 bemüht. Häufig erfolgt auch ohne nähere Ausführungen ein Rückgriff auf den quasi-negatorischen Unterlassungsanspruch aus § 1004 BGB analog, § 823 BGB30. Teilweise wird gar vertreten, dass Betroffene keinen Unterlassungsanspruch haben und deshalb nach „dulde und liquidiere“ auf Schadensersatz verwiesen seien31. M.E. können Betroffene nach Art. 79 DSGVO wegen eines Verstoßes gegen Art. 6 DSGVO (Anspruch auf Unterlassung einer Verarbeitung ohne Rechtsgrundlage) den Verantwortlichen auf Unterlassung in Anspruch nehmen32. Verbände können sich folgerichtig im Rahmen des Art. 80 DSGVO hierauf stützen. Der Generalanwalt sieht die Unterlassung offenbar prozessual als Rechtsbehelf i.S.d. Art. 79 Abs. 1 DSGVO. Jedenfalls können Betroffene insoweit nicht schlechterstehen als ein Verband33.

VI. Stellung von Mitbewerber- und Fachverbänden sowie Kammern und Gewerkschaften

Keine Aussage hat der Generalanwalt über die Stellung von Mitbewerber- und Fachverbänden (§ 8 Abs. 3 Nr. 2 UWG, § 3 Abs. 1 Nr. 2 UKlaG) oder Kammern und Gewerkschaften (§ 8 Abs. 3 Nr. 4 UWG, § 3 Abs. 1 Nr. 3 UKlaG) getroffen. Es spricht grundsätzlich nach hier vertretener Auffassung nichts dagegen, diese als taugliche Einrichtung, Organisation oder Vereinigung i.S.d. Art. 80 Abs. 2 DSGVO einzustufen. Anders als Verbraucherschutzeinrichtungen verfolgen diese zwar nicht immer den Zweck des Verbraucherschutzes, Art. 80 Abs. 2 DSGVO setzt das aber auch nicht voraus. Es geht vielmehr allgemein um den Schutz sämtlicher natürlicher Personen, so dass Gewerkschaften etwa im Bereich des Arbeitnehmerdatenschutzes tätig werden können. Eine andere Frage ist freilich, inwieweit die verbraucherschutzzentrierten UWG und UKlaG hier Grenzen setzen.

Teilweise wird vertreten, dass Kammern a priori nicht unter Art. 80 DSGVO fallen würden, da diese öffentlich-rechtlich verfasst seien und damit in eine unzulässige Konkurrenz zu Aufsichtsbehörden treten würden34. Hiergegen spricht erstens, dass Art. 80 DSGVO überhaupt nicht auf öffentliches oder Privatrecht abstellt, zweitens, dass eine entsprechende Aufgabenzuweisung an die Kammern fehlt, und drittens, dass allein Aufsichtsbehörden objektives Recht durchsetzen können. Wo hier eine –von der DSGVO vorgesehene – Konkurrenz der Rechtsdurchsetzung zu sehen sein soll, erschließt sich nicht.

VII. Stellung von Mitbewerbern (§ 8 Abs. 3 Nr. 1 UWG)

Der BGH hatte zwar im Rahmen der Vorlagefrage auch nach der Rechtsstellung von Mitbewerbern im Bereich der Durchsetzung des Datenschutzrechts gefragt, hierauf wurde jedoch in den Schlussanträgen nicht mehr eingegangen. Das ist nicht verwunderlich, denn entscheidungserheblich war dieser Aspekt für das Verfahren vor dem BGH nicht; geklagt hatte der vzbv e.V. als Verbraucherschutzverband und kein Mitbewerber. Auch in der bereits genannten Fashion-ID-Entscheidung musste der EuGH35 nur auf Verbände eingehen. Wie der Generalanwalt aber an mehreren Stellen36 hervorhob, können Datenschutzverstöße auch unlautere Geschäftspraktiken darstellen („Wechselwirkung“). Eine strikte inhaltliche Trennung der Materien existiert nicht, auch wenn sie in verschiedenen Rechtsakten aufgrund unterschiedlicher Kompetenzen erlassen wurden. Von daher ist durchaus die Frage relevant, wie sich die Rolle der Mitbewerber (§ 8 Abs. 3 Nr. 1 UWG) bei der Durchsetzung des Datenschutzrechts gestaltet.

Entsprechend der Auslegung des Generalanwalts dürfte eine Sperrwirkung der DSGVO zulasten von Mitbewerberklagen ausscheiden. Wie in Rn. 51 ausgeführt wird, bezieht sich die Sperrwirkung nur auf die in der DSGVO geregelten Aspekte. Harmonisiert ist insoweit nur die Durchsetzung datenschutzrechtlicher Bestimmungen im Interesse der Betroffenen durch Verbände (Art. 80 Abs. 2 DSGVO), nicht aber durch Mitbewerber. M.E. darf man Art. 80 Abs. 2 DSGVO also hinsichtlich der Durchsetzung durch jegliche Dritte als nicht abschließend betrachten, sondern nur hinsichtlich der Durchsetzung durch Verbände (als verlängerter Arm der Betroffenen). Das lässt sich mit den verschiedenartigen Interessen rechtfertigen: Mitbewerber verfolgen im Vergleich zu den sonstigen Verbänden „egoistische“ Ziele, nämlich die Schaffung fairer Wettbewerbsbedingungen im eigenen Interesse, während sich die Art. 77 ff. DSGVO allein um den Schutz der Betroffenen drehen37. Dieser Gedanke rechtfertigt die Beschränkung der Sperrwirkung auf Verbände. Es ist deshalb unschädlich, Mitbewerbern direkt (§ 3a UWG) oder indirekt (originäres Lauterkeitsrecht) gestützt auf Datenschutzverstöße Ansprüche einzuräumen. Dies steht nicht in Widerspruch mit Inhalt und Zielen der DSGVO – genauso wenig wie bei Verbänden38.

Hinzu kommt jedenfalls: Soweit unlautere Geschäftspraktiken durch Datenschutzverstöße nach der UGP-RL betroffen sind, sieht Art. 11 Abs. 1 UAbs. 2 UGP-RL ausdrücklich ein Vorgehen durch Mitbewerber vor. Wie der Generalanwalt selbst anmerkt, „wäre es zumindest paradox, wenn die vom Unionsgesetzgeber mit dem Erlass der [DSGVO] angestrebten Stärkung der Mittel zur Kontrolle der Vorschriften über den Schutz personenbezogener Daten letztlich zu einem Rückgang dieses Schutzniveaus im Vergleich zu dem Niveau führen würde, das die Mitgliedstaaten unter der Geltung der [DSRL] gewährleisten konnten.“ Entsprechend paradox wäre es, wenn die DSGVO im Anwendungsbereich der UGP-RL die Durchsetzung des Verbraucherschutzrechts durch Mitbewerber begrenzen würde. Insbesondere ist kein Vorrang der DSGVO nach Art. 3 Abs. 4 UGP-RL anzunehmen, da diese nicht besondere Aspekte unlauterer Geschäftspraktiken regelt39.

Ein Rückgriff auf Art. 8240 und Art. 84 DSGVO41 zur Begründung von Ansprüchen von Mitbewerbern muss nach dieser Betrachtungsweise mangels Sperrwirkung nicht erfolgen.

Auch der OGH hat die Frage nach der Rolle der Mitbewerber dem EuGH vorgelegt42. Aber auch in diesem Verfahren ging es um einen Verband (vgl. § 29 KonsumentenschutzG) und nicht um einen Mitbewerber, so dass mangels Entscheidungserheblichkeit damit zu rechnen ist, dass nicht auf die Stellung von Mitbewerbern eingegangen werden wird.

VIII. Auswirkungen auf die Auslegung der ePrivacy-RL

Die Schlussanträge haben nicht nur Auswirkungen auf die DSGVO, sondern mittelbar auch auf die ePrivacy-RL: Art. 15 Abs. 2 ePrivacy-RL verweist für die Rechtsdurchsetzung noch auf die Art. 22 ff. DSRL, was nach Art. 94 Abs. 2 Satz 1 DSGVO nunmehr als Verweis auf die Art. 77 ff. DSGVO zu verstehen ist43. Entsprechend müssen die Verbände die Voraussetzungen des Art. 80 Abs. 2 DSGVO auch bei Verstößen gegen das TTDSG und § 7 Abs. 2 Nr. 2 bis 4, Abs. 3 UWG erfüllen. Das ist vor allem deshalb relevant, weil die ePrivacy-RL einen Privatsphärenschutz bezweckt und dessen Verletzung nicht zwingend mit einem Datenschutzverstoß einhergeht.

D. Fazit

Es erstaunt immer wieder, mit welcher Vehemenz das Datenschutzrecht aus dem UKlaG und dem UWG ferngehalten werden soll. Die für die Sperrwirkung der DSGVO herangezogenen Argumente wurden im Wesentlichen bereits für die Annahme einer Sperrwirkung der DSRL und ePrivacy-RL herangezogen und für die DSGVO nochmals „aufgewärmt“. Auch für die ePrivacy-VO wird eine Sperrwirkung bereits in Stellung gebracht44. Hier wie dort ist deren argumentative Untermauerung nicht überzeugend. Wie die Verbandsklagen-RL nunmehr zeigt, ist das Datenschutzrecht ein integraler Bestandteil des Verbraucherschutzrechts45. Das hatte bereits die Vorlage des BGH deutlich gemacht, denn der BGH ging von einer verbraucherschützenden Zielsetzung der Art. 12 f. DSGVO und damit von einer Marktverhaltensregelung aus46.

Generalanwalt Richard de la Tour lässt entsprechend keine Zweifel an der Konformität der deutschen Regelungen im UWG und UKlaG mit der DSGVO, unabhängig davon, ob ein Datenschutzverstoß nun zugleich einen Verstoß gegen AGB-Recht (Klausel-RL), Verbraucherschutzgesetze (Unterlassungsklagen-RL) oder als unlautere Geschäftspraktik (UGP-RL) einzustufen ist. Für die Verbände bleibt jedoch zu beachten, dass die Vorgaben des Art. 80 Abs. 2 DSGVO eingehalten werden müssen. Sie können also insbesondere nicht – wie die Aufsichtsbehörden – auch Verstöße gegen objektives Recht gerichtlich rügen. Die hierdurch erfolgte Einschränkung dürfte jedenfalls für Verbraucherschutzverbände wenig ins Gewicht fallen: Sie können bei Verstößen gegen objektives Recht mit einem Auftrag der Betroffenen Beschwerden einreichen (Art. 80 Abs. 1), Betroffene zu Beschwerden auffordern und ggf. vorformulieren oder abseits von Art. 77 DSGVO ein Prüfverfahren anregen. Daneben ist auch denkbar, dass die Verbände mit den Aufsichtsbehörden zusammenarbeiten. Ähnliches ist etwa mit dem BSI und der Verbraucherzentrale NRW zu beobachten47. Nach hier vertretener Auffassung folgt aus der DSGVO auch keine Sperrwirkung für ein Vorgehen durch Mitbewerber.

E. Reformüberlegung

Ungeachtet der nach hier vertretener Auffassung größtenteils wie gehabt möglichen Durchsetzung „des Datenschutzrechts“ mittels UWG und UKlaG lässt sich kaum abstreiten, dass diese Anknüpfungspunkte dogmatisch verworren und aufgrund der vorgesehenen Einschränkungen rechtspolitisch mindestens fragwürdig sind. Köhler hatte in seiner Stellungnahme48 zur Anhörung über das 2. DSAnpUG-EU den höchst sinnvollen Vorschlag gemacht, § 44 BDSG zu ergänzen, um die Öffnungsklausel des Art. 80 Abs. 2 DSGVO weiter gehend auszunutzen: So soll § 44 Abs. 4 BDSG lauten: „Klagen nach Absatz 1 Satz 1 können auch von einer Einrichtung i.S.d. Absatzes 5 sowohl im Namen und Auftrag von betroffenen Personen, die in ihren Rechten verletzt wurden, als auch im eigenen Namen ohne deren Auftrag erhoben werden“. Absatz 5 sollte in Anlehnung an Art. 80 Abs. 1 DSGVO lauten: „Einrichtung i.S.d. Absatzes 4 ist jede juristische Person ohne Gewinnerzielungsabsicht, deren satzungsmäßiges Ziel im öffentlichen Interesse liegt und die im Bereich des Schutzes und der Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist“. Es bleibt zu hoffen, dass der Gesetzgeber im Rahmen der aufgrund der Verbandsklagen-RL ohnehin notwendigen Reform des UKlaG eine entsprechende Ergänzung einführt und dabei noch um eine Verbandsbeschwerde ergänzt. Für Mitbewerber bliebe es hingegen bei den engeren Durchsetzungsmöglichkeiten über das UWG.


Fußnoten


1)

Schlussanträge v. 02.12.2021 - C-319/20.

2)

BGH, Beschl. v. 28.05.2020 - I ZR 186/17 m. Anm. Wenn, jurisPR-ITR 17/2020 Anm. 3.

3)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 43.

4)

EuGH, Urt. v. 29.07.2019 - C-40/17 m. Anm. Schmidt, jurisPR-ITR 22/2019 Anm. 5.

5)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 51 f.

6)

Rn. 58.

7)

Rn. 61.

8)

Rn. 62 f.

9)

Rn. 63 ff.

10)

Rn. 71 ff.

11)

Rn. 73 ff.

12)

Rn. 61.

13)

BGH, Beschl. v. 28.05.2020 - I ZR 186/17 Rn. 37, 40, 59 f., 62 m. Anm. Wenn, jurisPR-ITR 17/2020 Anm. 3; verfehlt Köhler, WRP 2018, 1269 Rn. 33, der sogar davon ausgeht, dass gegen den Willen der Betroffenen kein Vorgehen der Verbände möglich sein soll.

14)

Dünkel, DuD 2019, 483, 487.

15)

A.A. Frenzel in: Paal/Pauly, DSGVO BDSG, 3. Aufl. 2021, Art. 80 DSGVO Rn. 12.

16)

Boehm in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 80 DSGVO Rn. 13.

17)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 63.

18)

Dünkel, DuD 2019, 483, 487; Dünkel in: Brönneke/Willburger/Bietz, Verbraucherrechtsvollzug, 2020, S. 347, 354; Weichert in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 2. Aufl. 2020, Art. 80 DSGVO Rn. 13.

19)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 63.

20)

OLG Stuttgart, Urt. v. 27.02.2020 - 2 U 257/19 Rn. 60.

21)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 71.

22)

Zutreffend VG Wiesbaden, Beschl. v. 01.12.2021 - 6 L 738/21.WI.

23)

Martini in: Paal/Pauly, DSGVO BDSG, Art. 79 DSGVO Rn. 22.

24)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 58.

25)

LG Stuttgart, Urt. v. 20.05.2019 - 35 O 68/18 KfH Rn. 36.

26)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 61, 65 f., 72, 75.

27)

Meents/Hinzpeter in: Taeger/Gabel, DSGVO BDSG, 3. Aufl. 2019, Art. 17 DSGVO Rn. 26.

28)

Caspar in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 21 DSGVO Rn. 7.

29)

Schwartmann/Keppeler/Jacquemain in: Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO BDSG, 2. Aufl. 2020, Art. 82 DSGVO Rn. 21, 44; Frenzel in: Paal/Pauly, DSGVO BDSG, Art. 82 DSGVO Rn. 10, 20; Franck, ZD 2021, 680, 683.

30)

OLG Stuttgart, Urt. v. 18.05.2021 - 12 U 296/20 Rn. 4 ff.

31)

Reimer, Verwaltungsdatenschutzrecht, 2019, Rn. 294.

32)

LG Erfurt, Urt. v. 19.11.2020 - 8 O 559/20 Rn. 117, 122; Moos/Schefzig in: Taeger/Gabel, DSGVO BDSG, Art. 79 DSGVO Rn. 9; Halder, jurisPR-ITR 4/2021 Anm. 5; Halder/Walker, ZD 2020, 605, 606.

33)

Zutreffend Leibold/Laoutoumai, ZD-Aktuell 2021, 05583.

34)

Uebele, GRUR 2019, 694, 699 f.; Uebele, WRP 2020, 1182 Rn. 10; Uebele, WRP 2021, 11 Rn. 22.

35)

EuGH, Urt. v. 29.07.2019 - C-40/17 m. Anm. Schmidt, jurisPR-ITR 22/2019 Anm. 5.

36)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 72, 80.

37)

Laoutoumai/Hoppe, K&R 2018, 533, 535; Aßhoff, CR 2018, 720 Rn. 38, 41, 43; Wolff, ZD 2018, 248, 251; Diercks, CR 2019, 95 Rn. 28 ff.; Diercks, CR 2018, S001 Rn. 10 ff.

38)

Schlussanträge v. 02.12.2021 - C-319/20 Rn. 51, 72 ff.

39)

Diercks, CR 2018, S001 Rn. 32 ff.; a. A. Ohly, GRUR 2019, 686, 691 f.

40)

So Wolff, ZD 2018, 248, 252; Walree/Wolters, IDPL 2020, 346, 354 f.

41)

So Lurtz/Schindler, VuR 2019, 471, 473; Wolff, ZD 2018, 248, 252; v. Lewinski in: Eßer/Kramer/v. Lewinski, DSGVO BDSG, 7. Aufl. 2020, Art. 77 DSGVO Rn. 22; Hasselblatt/Gregor in: Gloy/Loschelder/Danckwerts, Handbuch des Wettbewerbsrechts, 5. Aufl. 2019, § 48 Rn. 96.

42)

Oberster Gerichtshof Wien, EuGH-Vorlage v. 25.11.2020 - 6 Ob 77/20x - WRP 2021, 775; anhängig unter C-701/20.

43)

EDSA, Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO, insbesondere in Bezug auf die Zuständigkeiten, Aufgaben und Befugnisse von Datenschutzbehörden, 12.03.2019, Rn. 62.

44)

Köhler in: Köhler/Bornkamm/Feddersen, UWG, 39. Aufl. 2021, § 7 Rn. 9g; unter Verweis auf Köhler, WRP 2018, 1269.

45)

Köhler, WRP 2018, 1269 Rn. 60 f., welcher insoweit lediglich von einem „Paradigmenwechsel“ spricht.

46)

BGH, Beschl. v. 28.05.2020 - I ZR 186/17 Rn. 22 m. Anm. Wenn, jurisPR-ITR 17/2020 Anm. 3.

47)

§ 3 Abs. 1 Satz 1 Nr. 14a BSIG.

48)

Köhler, Ausschussdrucksache 19(4)187 C, S. 12 f.


Bleiben Sie auf dem Laufenden

Testen Sie das juris Portal für 30 Tage kostenfrei.

Newsletter, die für Sie in diesem Zeitraum im Portal abonnieren, erhalten Sie auch nach Ende des Testzeitraums.

Testen Sie das juris Portal 30 Tage lang kostenfrei