Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » DSGVO-Verstöße auf Facebook: Verbraucherschutzverbände dürfen klagen
DSGVO-Verstöße auf Facebook :

Verbraucherschutzverbände dürfen klagen

Nach jahrelangem Rechtsstreit des Bundesverbands der Verbraucherzentralen gegen Meta (ehemals Facebook) hat der EuGH nun endlich sein langersehntes Urteil gesprochen und entschieden, dass Verbraucherschutzverbände gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben dürfen.

Der Bundesverband der Verbraucherzentralen (vzbv) geht bereits seit Jahren gegen das soziale Netzwerk Facebook vor. Der Verband vertritt die Auffassung, dass Facebook nicht ausreichend darüber informiere, welche Daten von Nutzern weitergegeben würden und was damit passiere.

Der Bundesgerichtshof (BGH) legte dem Europäischen Gerichtshof (EuGH) im Mai 2020 die Frage vor, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und ob Verstöße gegen die Datenschutzgrundverordnung (DSGVO) überhaupt von einem Verbraucherschutzverband geltend gemacht werden dürfen (Beschl. v. 28.05.2020, Az. I ZR 186/17).

Der EuGH bejahte mit seinem Urteil nun diese Frage. Solche Klagen könnten unabhängig von der konkreten Verletzung des Recht einer betroffenen Person auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden (Urteil v. 28. April 2022, Az. C-319/20).

Damit schloss sich der EuGH dem Schlussantrag des EuGH-Generalanwalts Richard de la Tour an, nach dessen Ansicht die Mitgliedsstaaten Verbraucherschutzverbänden erlauben können, gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen zu erheben, wenn sich die Klagen auf Verletzungen von Rechten stützen, die den betroffenen Personen unmittelbar aus der DSGVO erwachsen.

Das Facebook-Datenleck – Sind Sie betroffen? Fordern Sie jetzt Schadensersatz!

Im Zusammenhang mit dem Facebook-Datenleck könnten Nutzer Schadensersatzansprüche geltend machen. Die genaue Höhe hängt vom Einzelfall ab. Unsere Erstberatung ist kostenfrei!

Wir helfen Ihnen, die Schadensersatzansprüche gegen Facebook zu prüfen!

  1. Prüfen Sie mit Ihrer Handynummer, ob Sie betroffen sind. Bitte mit +49 beginnen.
  2. Ja? Dann füllen Sie das Formular mit den nötigen Daten aus.
  3. Wir schauen uns Ihren Einzelfall an und prüfen Schadensersatzansprüche.
  4. Die Erstberatung ist für Sie natürlich kostenfrei.

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

 

„App-Zentrum“ von Facebook als Streitgegenstand

Die Frage des BGH resultierte aus einem jahrelangen Rechtsstreit zwischen dem Bundesverband und Meta Platforms Ireland (ehemals Facebook Ireland). Auf der Internetplattform von Facebook befindet sich ein „App-Zentrum“, in dem die Nutzer der Plattform kostenlos Zugang zu Online-Spielen anderer Anbieter erhalten. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button „Sofort spielen“ folgende Hinweise zu lesen waren:

„Durch das Anklicken von ‚Spiel spielen‘ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“

Mit einem Klick stimmten die Nutzer also automatisch der Übermittlung verschiedener Daten an den Spielebetreiber zu. Dies bewertete der Verband als unlauter wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers.

Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“ Diesen Hinweis sah der Verband als eine unangemessene benachteiligende Allgemeine Geschäftsbedingung. Der Streit landete daher vor dem Landgericht (LG) Berlin (Urt. v. 28.10.2014, Az. 16 O 60/13).

LG Berlin urteilte im Sinne des Verbandes

Die Richter teilten die Auffassung des Verbandes. Das LG Berlin verurteilte Meta daher in erster Instanz, es zu unterlassen, Informationen über die hinterlegten personenbezogenen Daten an die Spielebetreiber zu teilen und Informationen im Namen der Nutzer zu posten. Das Unternehmen wehrte sich gegen die Entscheidung und legte erfolglos Berufung beim Kammergericht (KG) Berlin ein (KG Berlin, Urt. v. 22.09.2017, Az. 5 U 155/14). Das ließ Meta nicht auf sich sitzen und verfolgte seinen Antrag auf Klageabweisung weiter, sodass der Rechtsstreit in der Revisionsinstanz beim BGH landete.

BGH legte EuGH die Frage nach der Klagebefugnis vor

Der BGH hat das Verfahren im Mai 2020 ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigte Verbände, Einrichtungen und Kammern die Befugnis haben, wegen Verstößen gegen die DSGVO im Wege einer zivilrechtlichen Klage vorzugehen, also diese wettbewerbsrechtlich zu verfolgen. Unstreitig zur Verfolgung von Verstößen berechtigt sind die zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und natürlich die betroffenen Personen.

Klagebefugnis für den Geltungszeitraum der Datenschutzrichtlinie bejaht

Der EuGH hatte im Juli 2019 bereits entschieden, dass die Regelungen der – bis zum Inkarafttreten der DSGVO am 25. Mai 2018 geltenden – Richtlinie 95/46/EG (Datenschutzrichtlinie) einer Klagebefugnis von Verbänden nicht entgegenstehen (Urt. v. 29.07.2019, Rs. C-40/17). In diesem Verfahren hatte der EuGH über die Frage entschieden, ob Webseitenbetreiber, die einen „Gefällt-mir“-Button von Facebook (ein sogenanntes „Social Media Plugin“) auf ihrer Webseite einbinden, gemeinsam mit Facebook für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich ist. Dies bejahte der EuGH seinerzeit. Die Webseitenbetreiber müssten selbst über die Verarbeitung der Daten informieren. Damals hatte die Verbraucherzentrale Nordrhein-Westfalen gegen den Betreiber der Internetseite des Düsseldorfer Modehauses Peek & Cloppenburg, Fashion ID, geklagt. „FashionID.de“ hat den „Gefällt-mir“-Button von Facebook als Plug-In in die Webseite integriert.

Schlussanträge des Generalanwalts

Nach Ansicht des Generalanwalts können die Mitgliedstaaten Verbraucherschutzverbänden erlauben, gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen zu erheben. Dies habe der EuGH bereits in seinem Urteil Fashion ID zur alten Datenschutzrichtlinie – dem Vorgänger der DSGVO – festgestellt. An dieser Rechtsauffassung habe sich auch mit der DSGVO nichts geändert, auch wenn die DSGVO teilweise andere Regelungen trifft. So sei es den Mitgliedstaaten immer noch gestattet, bestimmten Einrichtungen die Möglichkeit einzuräumen, ohne Auftrag und ohne individuelle Betroffenheit konkreter Personen Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher zu erheben. Voraussetzung sei lediglich, dass gegen DSGVO-Vorschriften verstoßen werde, die den betroffenen Personen subjektive Rechte verleihen. Dies sei bei der Unterlassungsklage des Bundesverbands gegen Meta Platforms Ireland der Fall.

Der Generalanwalt führt ferner aus, dass die DSGVO nationalen Bestimmungen nicht entgegenstehe, die einem Verbraucherverband die Befugnis verliehen, über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken eine Unterlassungsklage zur Wahrung der DSGVO-Rechte zu erheben. Solche Vorschriften können nämlich ähnliche Bestimmungen wie die der DSGVO enthalten, insbesondere in Bezug auf die Information der betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten. Folglich könne ein Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig zu einem Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken führen.

Bestätigendes Urteil durch EuGH

Der EuGH schloss sich im Ergebnis den Schlussanträgen des Generalanwaltes Richard de la Tour an.

Verbandsklagen seien unabhängig von der Verletzung konkreter Rechte betroffener Personen zulässig. Verbände – wie der hier klagende – könnten auch ohne vorherigen Auftrag tätig werden, so der EuGH. Die Einrichtung müsse aber „ihres Erachtens“ davon ausgehen, dass Rechte einer betroffenen Person nach der DSGVO verletzt worden sind. Eine individuelle Ermittlung der konkret betroffenen Person im Vorfeld bedürfe es jedoch nicht.

Ferner bestätigt der EuGH, dass die DSGVO den nationalen Regelungen nicht entgegensteht. Das eingeräumte Ermessen bei der Umsetzung sei ordnungsgemäß ausgeübt worden.

Darüber hinaus falle der Verband unter den Begriff einer nach der DSGVO klagebefugten Einrichtung. Der Verband verfolge ein im öffentlichen Interesse liegendes Ziel. Das Ziel des Verbandes sei es, die Rechte der Verbraucher öffentlich zu gewährleisten. Daraus resultiere seine Klagebefugnis.

lrö/eer