Datenschutz: Dürfen Verbraucherschutzverbände unbeauftragt klagen?

Verstöße in Social-Media machen neues Urteil erforderlich

Der EuGH gab bereits grünes Licht für eine Klagebefugnis der Verbraucherverbände im Datenschutzrecht - selbst dann, wenn sie ohne Auftrag eines Betroffnen tätig werden. In Deutschland wird nun noch das Urteil des BGH erwartet. Warum dieses so wichtig ist, dazu mehr im Folgenden.

Veröffentlicht am: 07.10.2022
Qualifikation: Fachanwalt für IT-Recht in Hamburg
Lesedauer:

Derzeit sieht man dem Urteil des BGH optimistisch entgegen. Aber erst am 10. November wird es verkündet. Ab dann soll es möglich sein, dass Verbraucherschutzverbände wegen möglicher Datenschutzverstöße von Unternehmen vor Gericht ziehen dürfen, sogar dann, wenn sie keinen konkret Betroffenen nennen können und somit unbeauftragt tätig wurden.

Bei einer Verhandlung zwischen Verbraucherzentralem Bundesverband (vzbv) und Facebook ließ sich erahnen, dass es dafür jedoch möglicherweise bestimmte Bedingungen geben werde. So könnte verlangt werden, dass mutmaßlich geschädigte Verbraucher zumindest identifizierbar sein müssen.

„Sofort spielen“ = Ja, ich möchte alle meine Daten übermitteln?

Verbraucherschützer sind sich der Bedeutung des Urteils für eine „Fülle von Verfahren“, die an Gerichten anhängig sind, sicher. Anlass zu diesem Urteil hatte das App-Zentrum von Facebook (Teil des Meta-Konzerns) gegeben. Dort wurden den Nutzern der Social-Media-Plattform kostenlose Spiele von Drittanbietern vorgestellt und zur Nutzung angeboten.

Ein Verstoß gegen Datenschutzrecht wurde dort beklagt, wo Nutzerinnen und Nutzer zumindest in der Version von 2012 durch einen Klick auf „Sofort spielen“ der Übermittlung verschiedener Daten an den Spielebetreiber zugestimmt hätten.

Wo landen die Daten, die Facebook verarbeitet?

Eines der Spiele ging sogar so weit, dass in den Hinweisen zur Datenverarbeitung folgender Satz zu finden war:

„Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“

Berliner Gerichte urteilten in diesem Fall zugunsten der Verbraucherschützer, da Facebook bei der Einwilligung zur Datenverarbeitung nicht ausreichend darüber informiere, welche Daten weitergegeben werden und wo sie dann schlussendlich landen.

Kein Verstoß gegen DSGVO: Klagebefugnis von Verbraucherschutzverbänden

Der Anwalt, der den Social-Media-Konzern vor dem BGH vertreten hat, versicherte zuletzt, dass Facebook diese Handhabe von vor zehn Jahren inzwischen natürlich geändert habe. Die Verhandlung wurde jedoch weitergeführt, um im Ergebnis ein abschließendes Urteil über Klagerechte von Verbraucherschutzverbänden in Deutschland zu haben – auch unabhängig von betroffenen Nutzern. Facebook war der Ansicht, dass die DSGVO allein die Datenschutzbeauftragten berechtige, Verstöße zu ahnden.

Der EuGH sollte daher auf Anfrage des BGH beantworten, ob eine Klagebefugnis des Verbraucherverbandes gegen die europäische Datenschutzgrundverordnung verstoße. Das Ergebnis bekamen wir im April, als der EuGH entschied, dass nach nationalem Recht berechtigte Verbände bei Datenschutzverstößen von Internet-Plattformen auch anstelle der Nutzer vor Gericht ziehen dürfen – unabhängig von einem konkreten Auftrag durch Betroffene.

Von europäischer Seite kam insofern also schon grünes Licht für die auftragslose Klage durch Verbraucherschutzverbände. Bleibt abzuwarten, ob der BGH den Forderungen von Facebook & Co folgt und die Erfüllung zusätzlicher Bedingungen für eine Klagebefugnis voraussetzt.

Welche Daten besitzt ein Unternehmen von mir?

Wer ganz genau wissen möchte, welche personenbezogenen Daten ein Unternehmen im Laufe der Zeit so über einen sammelt, der hat nach europäischem Datenschutzrecht die Möglichkeit, Auskunft über die Verarbeitung dieser Daten zu verlangen. Auf Wunsch muss das betroffene Unternehmen dann in verständlicher, transparenter und leicht zugänglicher Form zum Beispiel darüber informieren, wie lange Daten gespeichert werden, zu welchem Zweck, woher diese Daten kommen und wer sie empfängt.

Neben diesem Auskunftsrecht haben Verbraucher außerdem das Recht auf Löschung oder Berichtigung der Daten sowie das Recht auf Einschränkung der Verarbeitung (Sperrung) der Daten.