Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Anzeigen:
PatForce

Girokonto Vergleich kostenlos

HaftpflichtversicherungVergleich.info

Ein Projekt von:
Dr. Martin Meggle-Freund

internetrecht:datenschutz-grundverordnung

finanzcheck24.de

Datenschutz-Grundverordnung (DSVGO)

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.1)

Die Verordnung (EU) 2016/679 schützt nach ihrem Art. 1 Abs. 2 und ihren Erwägungsgründen 1 und 2 die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren in Art. 8 Abs. 1 der EU-Grundrechtecharta gewährleistetes Recht auf Schutz personenbezogener Daten.2)

Gemäß Art. 8 Abs. 3 EU-Grundrechtecharta [→ EU-Grundrechtecharta] wird die Einhaltung des Schutzes der personenbezogenen Daten einer Person durch eine unabhängige Stelle überwacht. Dementsprechend regelt die Verordnung (EU) 2016/679 umfassend die Aufgaben und Befugnisse der Aufsichtsbehörden.3)

Unter der Geltung der Richtlinie 95/46/EG bestand in den Mitgliedstaaten der Europäischen Union nicht nur ein unterschiedliches Datenschutzniveau, sondern gab es auch Unterschiede in der Durchsetzung der Bestimmungen zum Datenschutz.4)

Aus den Erwägungsgründen 11 und 13 der Verordnung (EU) 2016/679 ergibt sich die Zielsetzung des Unionsgesetzgebers, im Hinblick auf beide Gesichtspunkte Abhilfe zu schaffen und damit auch das Durchsetzungsniveau innerhalb der Union zu vereinheitlichen (Köhler, WRP 2018, 1269 Rn. 24 f.).

Die Auslegung unter Berücksichtigung des systematischen Zusammenhangs der Verordnung (EU) 2016/679 lässt nicht eindeutig erkennen, ob der Unionsgesetzgeber mit dieser Verordnung - anders als noch mit der Richtlinie 95/46/EG - nicht nur die Bestimmungen zum Schutz personenbezogener Daten, sondern auch die Durchsetzung der danach bestehenden Rechte vereinheitlicht hat.5)

BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum

Dem Gerichtshof der Europäischen Union wird zur Auslegung von Kapitel VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 nationalen Regelungen entgegen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Verordnung (EU) 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

Eine Auffassung geht von einer abschließenden Regelung zur Durchsetzung der in der Verordnung (EU) 2016/679 enthaltenen datenschutzrechtlichen Bestimmungen in der Verordnung selbst aus; sie verneint deshalb eine wettbewerbsrechtliche Klagebefugnis von Mitbewerbern und nimmt eine Klagebefugnis von Verbänden nur unter den in Art. 80 der Verordnung geregelten Voraussetzungen an6)

Andere halten die in der Verordnung (EU) 2016/679 zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und daher die in § 8 Abs. 3 UWG genannten Mitbewerber, Verbände und Einrichtungen auch weiterhin für befugt, Unterlassungsansprüche unter dem Gesichtspunkt des Rechtsbruchs im Sinne von § 4 Nr. 11 UWG aF, § 3a UWG im Wege der Klage durchzusetzen.7)

Wieder andere verneinen eine Klagebefugnis für Mitbewerber, bejahen aber eine Klagebefugnis für Verbände im Sinne von § 3 UKlaG zur Verfolgung von Verstößen gemäß § 2 Abs. 2 Satz 1 Nr. 11 UKlaG, sofern die Verbände die in Art. 80 Abs. 2 der Verordnung (EU) 2016/679 genannten Voraussetzungen erfüllen.8) Ansprüche nach § 3a UWG könnten von diesen Verbänden dagegen nicht verfolgt werden.9)

Vertreten wird schließlich, dass die Verordnung (EU) 2016/679 an der Klagebefugnis von Mitbewerbern gemäß § 8 Abs. 3 Nr. 1 UWG nichts geändert habe, während eine Klagebefugnis von Verbänden nur unter den in Art. 80 der Verordnung geregelten Voraussetzungen bestehe.10)

Art. 2 Abs. 1 DSGVO

Nach ihrem Art. 2 Abs. 1 gilt die Datenschutz-Grundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Art. 4 Nr. 1 DSGVO (Personenbezogene Daten)

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.11)

Art. 4 Nr. 2 DSGVO (Verarbeitung personenbezogener Daten)

Die Verarbeitung personenbezogener Daten umfasst nach Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.12)

Art. 6 DSGVO

Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.13)

Im Rahmen einer Abwägung am Maßstab des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO wären nicht die Grundrechte des Grundgesetzes, sondern die der Charta der Grundrechte der Europäischen Union zu berücksichtigen. Bei der Anwendung unionsrechtlich vollständig vereinheitlichter Regelungen sind diese aufgrund des grundsätzlichen Anwendungsvorrangs des Unionsrechts vorrangig, soweit der durch sie gewährleistete Grundrechtsschutz - wie nach ständiger Rechtsprechung auch des Bundesverfassungsgerichts anzunehmen ist - hinreichend wirksam ist.14)

Von einer vollständigen Vereinheitlichung ist bei den von der DatenschutzGrundverordnung erfassten Materien auszugehen.15)

Eine am Maßstab des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorzunehmende Interessenabwägung muss zum gleichen Ergebnis führen wie eine solche am Maßstab der §§ 22, 23 KUG. Der Gerichtshof der Europäischen Union hat bereits zur Prüfung der Rechtmäßigkeit einer Datenverarbeitung nach der Richtlinie 95/46/EG ausgeführt, dass diese eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen erfordert, bei der die Bedeutung der Rechte der betroffenen Person aus den Art. 7 und 8 EU-Grundrechtecharta zu berücksichtigen ist.16) Es ist nichts dafür ersichtlich, dass diese Grundsätze bei der Anwendung der Datenschutz-Grundverordnung nicht mehr gelten sollten. Auch für einen grundsätzlichen Vor- oder Nachrang eines der auf einer Seite betroffenen Grundrechte gegenüber den auf der anderen Seite einzustellenden Grundrechten gibt es weder in der Charta der Grundrechte der Europäischen Union selbst noch in der Rechtsprechung des Gerichtshofs der Europäischen Union Anhaltspunkte.17)

Art. 51 Abs. 1, Art. 4 Nr. 21 DSGVO

Die Verordnung (EU) 2016/679 räumt den Aufsichtsbehörden im Sinne von Art. 51 Abs. 1, Art. 4 Nr. 21 der Verordnung umfangreiche Überwachungs pflichten sowie Untersuchungs- und Abhilfebefugnisse ein (vgl. Art. 57 bis 59 und die Erwägungsgründe 129 und 133 der Verordnung). Daraus könnte zu entnehmen sein, dass der Unionsgesetzgeber grundsätzlich von einer Durchsetzung der Bestimmungen der Verordnung durch die Aufsichtsbehörden („public enforcement“) ausgeht.18)

Art. 77 Abs. 1, Art. 78 Abs. 1 und 2, Art. 79 Abs. 1 DSGVO

Gegen eine abschließende Regelung der Rechtsdurchsetzung könnte sprechen, dass in Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 sowie in Art. 79 Abs. 1 der Verordnung (EU) 2016/679 jeweils die Wendung „unbeschadet eines anderweitigen Rechtsbehelfs“ enthalten ist.19)

Art. 80 Abs. 1 DSGVO

Zwar ist in Art. 80 Abs. 1 der Verordnung (EU) 2016/679 die Klagebefugnis von Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht vorgesehen, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet sind, deren satzungsmäßigen Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sind. Voraussetzung ist allerdings, dass die Einrichtung, Organisation oder Vereinigung von der betroffenen Person beauftragt wurde, in deren Namen die in den Artikeln 77, 78 und 79 der Verordnung genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Art. 82 der Verordnung in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Um eine solche Klage im Auftrag und Namen einer betroffenen Person zur Durchsetzung ihrer persönlichen Rechte geht es bei der im Streitfall in Rede stehenden Klagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG nicht. Dort ist vielmehr eine Verbandsklagebefugnis aus eigenem Recht geregelt, die im Zusammenhang mit dem Rechtsbruchtatbestand gemäß § 3a UWG eine objektivrechtliche, von einer Verletzung konkreter Rechte einzelner betroffener Personen und deren Beauftragung unabhängige Verfolgung von Verstößen gegen die Bestimmungen der Verordnung (EU) 2016/679 erlaubt.20)

Art. 80 Abs. 1 DSGVO

Eine Verbandsklagebefugnis zur objektiv-rechtlichen Durchsetzung des Datenschutzrechts ist ferner nicht in Art. 80 Abs. 2 der Verordnung (EU) 2016/679 geregelt. Danach können die Mitgliedstaaten zwar vorsehen, dass jede der in Absatz 1 dieses Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Art. 77 der Verordnung zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 der Verordnung aufgeführten Rechte in Anspruch zu nehmen. Erforderlich ist jedoch außerdem, dass die Rechte einer betroffenen Person gemäß der Verordnung infolge einer Verarbeitung verletzt worden sind. Mithin lässt die Bestimmung des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 nach ihrem Wortlaut ebenfalls keine Klagebefugnis von Verbänden zu, die - wie im Streitfall gestützt auf §§ 3a, 8 Abs. 3 Nr. 3 UWG - unabhängig von der Verletzung subjektiver Rechte einer konkreten betroffenen Person objektive datenschutzrechtliche Verstöße geltend machen.21)

Entsprechendes ergibt sich aus Satz 2 des Erwägungsgrundes 142 der Verordnung (EU) 2016/679, der ebenfalls das Erfordernis der Verletzung der Rechte einer betroffenen Person als Voraussetzung für eine vom Auftrag der Person unabhängige Verbandsklagebefugnis nennt.22)

Art. 80 Abs. 2 DSGVO

Die Öffnungsklausel zur Regelung einer Verbandsklagebefugnis gemäß Art. 80 Abs. 2 der Verordnung (EU) 2016/679 könnte mit Blick auf diese umfassenden Regelungen der Pflichten und Befugnisse der Aufsichtsbehörden eine Ausnahmevorschrift darstellen. Vor diesem Hintergrund begegnet eine extensive Auslegung der Öffnungsklausel des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 unter Außerachtlassung der in dieser Bestimmung geregelten Voraussetzung der „Rechte einer betroffenen Person“ Bedenken.23)

Dementsprechend geht auch der Generalanwalt des Gerichtshofs der Europäischen Union davon aus, dass aufgrund des Erlasses der Verordnung (EU) 2016/679, die die den Mitgliedstaaten die freie Wahl der Mittel zur Umsetzung lassende Richtlinie Nr. 95/46/EG ersetzt, nationale Vorschriften zur Durchführung der Verordnung grundsätzlich nur dann erlassen werden dürfen, wenn hierfür eine ausdrückliche Ermächtigung vorliegt.24)

Art. 82 Abs. 1 DSVGO

Art. 82 Abs. 1 der Verordnung (EU) 2016/679 spricht jeder Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz zu. Dem könnte zu entnehmen sein, dass die Verordnung (EU) 2016/679 die Verfolgung der Verletzung datenschutzrechtlicher Bestimmungen der Verordnung durch eine andere als die betroffene Person im Sinne von Art. 80 Abs. 2 der Verordnung nicht ausschließt.25)

Art. 84 Abs. 1 DSGVO

Die Zulässigkeit einer Verbandsklagebefugnis dürfte sich auch nicht auf Art. 84 Abs. 1 der Verordnung (EU) 2016/679 stützen lassen, wonach die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen die Verordnung festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Eine Verbandsklagebefugnis, wie sie in § 8 Abs. 3 UWG geregelt ist, kann nach der Systematik der Verordnung (EU) 2016/679 schon deshalb keine „Sanktion“ sein, weil der Unionsgesetzgeber in Kapitel VIII der Verordnung ausdrücklich zwischen Rechtsbehelfen, Haftung und Sanktion unterscheidet und sich aus dem Zusammenhang zwischen Art. 84, Art. 83 und den Erwägungsgründen 148 bis 152 der Verordnung ergibt, dass es bei den Sanktionen im Sinne von Art. 84 der Verordnung um verwaltungs- und strafrechtliche Sanktionen von Verstößen geht.26)

Art. 85 Abs. 1 DSGVO

Art. 85 Abs. 1 DSGVO bestimmt, dass die Mitgliedsstaaten das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, durch Rechtsvorschriften in Einklang bringen. Wenn es hierzu erforderlich ist, sehen sie nach Art. 85 Abs. 2 DSGVO Ausnahmen unter anderem von Kapitel II vor, zu dem auch Art. 6 DSGVO gehört. Nach Art. 85 Abs. 3 DSGVO teilt jeder Mitgliedstaat der Kommission die aufgrund von Art. 85 Abs. 2 DSGVO erlassenen Rechtsvorschriften einschließlich aller späteren Änderungen unverzüglich mit.27)

siehe auch

Datenschutz (Internetrecht)

1)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1
2)
BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II
3) , 5) , 20) , 22)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum
4)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1269 Rn. 24
6)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. vgl. LG Bochum, WRP 2019, 1535 [juris Rn. 15]; LG Wiesbaden, ZD 2019, 367 [juris Rn. 39]; LG Stuttgart, WRP 2019, 1089 [juris Rn. 32 bis 35]; Köhler in Köhler/Bornkamm/Feddersen aaO § 3a Rn. 1.40a ff.; ders. in WRP 2018, 1269; 1272; ders. in WRP 2018, 1517; ders. in WRP 2019, 1279, 1283 Rn. 33 bis 38 und Rn. 64; Spittka, GRUR-Prax 2019, 272, 273 f.; Werkmeister in Gola, DS-GVO aaO Art. 80 Rn. 17; Büscher/Hohlweck, UWG, § 3a Rn. 284; Ohly, GRUR 2019, 686, 688 f.; vgl. auch den vom Freistaat Bayern vorgeschlagenen Entwurf eines Gesetzes zur Anpassung zivilrechtlicher Vorschriften an die Datenschutz-Grundverordnung, BR-Drucks. 304/18
7)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. OLG Hamburg, WRP 2018, 1510 [juris Rn. 54 bis 57]; OLG Stuttgart, WRP 2020, 509 [juris Rn. 40 bis 62]; Wolff, ZD 2018, 248, 251 f.; Schreiber, GRURPrax 2018, 371, 373; Baumgartner/Sitte, ZD 2018, 555, 559; Laoutoumai/Hoppe, K&R 2018, 533, 535; Aßhoff, CR 2018, 720, 726 Rn. 38 ff.
8)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. MünchKomm.UWG/Schaffert, 3. Aufl., § 3a Rn. 84; Barth, WRP 2018, 790 Rn. 22 und 24
9)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. MünchKomm.UWG/Schaffert aaO § 3a Rn. 84
10)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Uebele, GRUR 2019, 694, 697 f.
11) , 12) , 13) , 27)
BGH, Urteil vom 21. Januar 2021 - I ZR 207/19 - Urlaubslotto
14)
BGH, Urteil vom 21. Januar 2021 - I ZR 207/19 - Urlaubslotto; m.V.a. vgl. BVerfGE 152, 216 Rn. 42 bis 49 - Recht auf Vergessen II
15)
BGH, Urteil vom 21. Januar 2021 - I ZR 207/19 - Urlaubslotto; m.V.a. BVerfGE 152, 216 Rn. 41 - Recht auf Vergessen II
16)
BGH, Urteil vom 21. Januar 2021 - I ZR 207/19 - Urlaubslotto; m.V.a. EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 74 = WRP 2014, 805 - Google Spain und Google
17)
BGH, Urteil vom 21. Januar 2021 - I ZR 207/19 - Urlaubslotto; zum Verhältnis von Art. 7 und 8 EU-Grundrechtecharta zu Art. 11 EU-Grundrechtecharta vgl. BVerfGE 152, 216 Rn. 141 - Recht auf Vergessen II
18)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1517 Rn. 2 f.; ders. in WRP 2018, 1269 Rn. 26 bis 31
19)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. vgl. OLG Hamburg, WRP 2018, 1510 Rn. 30; Wolff, ZD 2018, 248, 251
21)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1269, 1273 Rn. 33; Bergt in Kühling/Buchner, DS-GVO, 2. Aufl., Art. 80 Rn. 14; Frenzel in Paal/Pauly, DS-GVO, 2. Aufl., Art. 80 Rn. 11
23)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1269 Rn. 36; ders. in WRP 2018, 1517 Rn. 2
24)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. auf den Schlussantrag des Generalanwalts Bobek vom 19. Dezember 2018 - C-40/17, juris Rn. 47
25)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. OLG Hamburg, WRP 2018, 1510 [juris Rn. 56]; OLG Stuttgart, WRP 2020, 509 [juris Rn. 52 bis 60]
26)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1269 Rn. 41; ders. in WRP 2018, 1517 Rn. 9
internetrecht/datenschutz-grundverordnung.txt · Zuletzt geändert: 2021/02/17 10:07 von mfreund