Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Anzeigen:
PatForce

Girokonto Vergleich kostenlos

HaftpflichtversicherungVergleich.info

Stellenanzeigen:

MFG Stellenanzeigen

Ein Projekt von:
Dr. Martin Meggle-Freund

internetrecht:datenschutz-grundverordnung

finanzcheck24.de

Datenschutz-Grundverordnung (DSVGO)

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.1)

Die Verordnung (EU) 2016/679 schützt nach ihrem Art. 1 Abs. 2 und ihren Erwägungsgründen 1 und 2 die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren in Art. 8 Abs. 1 der EU-Grundrechtecharta gewährleistetes Recht auf Schutz personenbezogener Daten.2)

Gemäß Art. 8 Abs. 3 EU-Grundrechtecharta [→ EU-Grundrechtecharta] wird die Einhaltung des Schutzes der personenbezogenen Daten einer Person durch eine unabhängige Stelle überwacht. Dementsprechend regelt die Verordnung (EU) 2016/679 umfassend die Aufgaben und Befugnisse der Aufsichtsbehörden.3)

Unter der Geltung der Richtlinie 95/46/EG bestand in den Mitgliedstaaten der Europäischen Union nicht nur ein unterschiedliches Datenschutzniveau, sondern gab es auch Unterschiede in der Durchsetzung der Bestimmungen zum Datenschutz.4)

Aus den Erwägungsgründen 11 und 13 der Verordnung (EU) 2016/679 ergibt sich die Zielsetzung des Unionsgesetzgebers, im Hinblick auf beide Gesichtspunkte Abhilfe zu schaffen und damit auch das Durchsetzungsniveau innerhalb der Union zu vereinheitlichen (Köhler, WRP 2018, 1269 Rn. 24 f.).

Die Auslegung unter Berücksichtigung des systematischen Zusammenhangs der Verordnung (EU) 2016/679 lässt nicht eindeutig erkennen, ob der Unionsgesetzgeber mit dieser Verordnung - anders als noch mit der Richtlinie 95/46/EG - nicht nur die Bestimmungen zum Schutz personenbezogener Daten, sondern auch die Durchsetzung der danach bestehenden Rechte vereinheitlicht hat.5)

BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum

Dem Gerichtshof der Europäischen Union wird zur Auslegung von Kapitel VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:

Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 nationalen Regelungen entgegen, die - neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Verordnung (EU) 2016/679 unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?

Eine Auffassung geht von einer abschließenden Regelung zur Durchsetzung der in der Verordnung (EU) 2016/679 enthaltenen datenschutzrechtlichen Bestimmungen in der Verordnung selbst aus; sie verneint deshalb eine wettbewerbsrechtliche Klagebefugnis von Mitbewerbern und nimmt eine Klagebefugnis von Verbänden nur unter den in Art. 80 der Verordnung geregelten Voraussetzungen an6)

Andere halten die in der Verordnung (EU) 2016/679 zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend und daher die in § 8 Abs. 3 UWG genannten Mitbewerber, Verbände und Einrichtungen auch weiterhin für befugt, Unterlassungsansprüche unter dem Gesichtspunkt des Rechtsbruchs im Sinne von § 4 Nr. 11 UWG aF, § 3a UWG im Wege der Klage durchzusetzen.7)

Wieder andere verneinen eine Klagebefugnis für Mitbewerber, bejahen aber eine Klagebefugnis für Verbände im Sinne von § 3 UKlaG zur Verfolgung von Verstößen gemäß § 2 Abs. 2 Satz 1 Nr. 11 UKlaG, sofern die Verbände die in Art. 80 Abs. 2 der Verordnung (EU) 2016/679 genannten Voraussetzungen erfüllen.8) Ansprüche nach § 3a UWG könnten von diesen Verbänden dagegen nicht verfolgt werden.9)

Vertreten wird schließlich, dass die Verordnung (EU) 2016/679 an der Klagebefugnis von Mitbewerbern gemäß § 8 Abs. 3 Nr. 1 UWG nichts geändert habe, während eine Klagebefugnis von Verbänden nur unter den in Art. 80 der Verordnung geregelten Voraussetzungen bestehe.10)

Art. 51 Abs. 1, Art. 4 Nr. 21 der Verordnung (EU) 2016/679

Die Verordnung (EU) 2016/679 räumt den Aufsichtsbehörden im Sinne von Art. 51 Abs. 1, Art. 4 Nr. 21 der Verordnung umfangreiche Überwachungs pflichten sowie Untersuchungs- und Abhilfebefugnisse ein (vgl. Art. 57 bis 59 und die Erwägungsgründe 129 und 133 der Verordnung). Daraus könnte zu entnehmen sein, dass der Unionsgesetzgeber grundsätzlich von einer Durchsetzung der Bestimmungen der Verordnung durch die Aufsichtsbehörden („public enforcement“) ausgeht.11)

Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 sowie in Art. 79 Abs. 1 der Verordnung (EU) 2016/679

Gegen eine abschließende Regelung der Rechtsdurchsetzung könnte sprechen, dass in Art. 77 Abs. 1, Art. 78 Abs. 1 und 2 sowie in Art. 79 Abs. 1 der Verordnung (EU) 2016/679 jeweils die Wendung „unbeschadet eines anderweitigen Rechtsbehelfs“ enthalten ist.12)

Art. 80 Abs. 1 der Verordnung (EU) 2016/679

Zwar ist in Art. 80 Abs. 1 der Verordnung (EU) 2016/679 die Klagebefugnis von Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht vorgesehen, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet sind, deren satzungsmäßigen Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sind. Voraussetzung ist allerdings, dass die Einrichtung, Organisation oder Vereinigung von der betroffenen Person beauftragt wurde, in deren Namen die in den Artikeln 77, 78 und 79 der Verordnung genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Art. 82 der Verordnung in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Um eine solche Klage im Auftrag und Namen einer betroffenen Person zur Durchsetzung ihrer persönlichen Rechte geht es bei der im Streitfall in Rede stehenden Klagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG nicht. Dort ist vielmehr eine Verbandsklagebefugnis aus eigenem Recht geregelt, die im Zusammenhang mit dem Rechtsbruchtatbestand gemäß § 3a UWG eine objektivrechtliche, von einer Verletzung konkreter Rechte einzelner betroffener Personen und deren Beauftragung unabhängige Verfolgung von Verstößen gegen die Bestimmungen der Verordnung (EU) 2016/679 erlaubt.13)

Art. 80 Abs. 1 der Verordnung (EU) 2016/679

Eine Verbandsklagebefugnis zur objektiv-rechtlichen Durchsetzung des Datenschutzrechts ist ferner nicht in Art. 80 Abs. 2 der Verordnung (EU) 2016/679 geregelt. Danach können die Mitgliedstaaten zwar vorsehen, dass jede der in Absatz 1 dieses Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Art. 77 der Verordnung zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 der Verordnung aufgeführten Rechte in Anspruch zu nehmen. Erforderlich ist jedoch außerdem, dass die Rechte einer betroffenen Person gemäß der Verordnung infolge einer Verarbeitung verletzt worden sind. Mithin lässt die Bestimmung des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 nach ihrem Wortlaut ebenfalls keine Klagebefugnis von Verbänden zu, die - wie im Streitfall gestützt auf §§ 3a, 8 Abs. 3 Nr. 3 UWG - unabhängig von der Verletzung subjektiver Rechte einer konkreten betroffenen Person objektive datenschutzrechtliche Verstöße geltend machen.14)

Entsprechendes ergibt sich aus Satz 2 des Erwägungsgrundes 142 der Verordnung (EU) 2016/679, der ebenfalls das Erfordernis der Verletzung der Rechte einer betroffenen Person als Voraussetzung für eine vom Auftrag der Person unabhängige Verbandsklagebefugnis nennt.15)

Art. 80 Abs. 2 der Verordnung (EU) 2016/679

Die Öffnungsklausel zur Regelung einer Verbandsklagebefugnis gemäß Art. 80 Abs. 2 der Verordnung (EU) 2016/679 könnte mit Blick auf diese umfassenden Regelungen der Pflichten und Befugnisse der Aufsichtsbehörden eine Ausnahmevorschrift darstellen. Vor diesem Hintergrund begegnet eine extensive Auslegung der Öffnungsklausel des Art. 80 Abs. 2 der Verordnung (EU) 2016/679 unter Außerachtlassung der in dieser Bestimmung geregelten Voraussetzung der „Rechte einer betroffenen Person“ Bedenken.16)

Dementsprechend geht auch der Generalanwalt des Gerichtshofs der Europäischen Union davon aus, dass aufgrund des Erlasses der Verordnung (EU) 2016/679, die die den Mitgliedstaaten die freie Wahl der Mittel zur Umsetzung lassende Richtlinie Nr. 95/46/EG ersetzt, nationale Vorschriften zur Durchführung der Verordnung grundsätzlich nur dann erlassen werden dürfen, wenn hierfür eine ausdrückliche Ermächtigung vorliegt.17)

Art. 82 Abs. 1 der Verordnung (EU) 2016/679

Art. 82 Abs. 1 der Verordnung (EU) 2016/679 spricht jeder Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz zu. Dem könnte zu entnehmen sein, dass die Verordnung (EU) 2016/679 die Verfolgung der Verletzung datenschutzrechtlicher Bestimmungen der Verordnung durch eine andere als die betroffene Person im Sinne von Art. 80 Abs. 2 der Verordnung nicht ausschließt.18)

Art. 84 Abs. 1 der Verordnung (EU) 2016/679

Die Zulässigkeit einer Verbandsklagebefugnis dürfte sich auch nicht auf Art. 84 Abs. 1 der Verordnung (EU) 2016/679 stützen lassen, wonach die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen die Verordnung festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Eine Verbandsklagebefugnis, wie sie in § 8 Abs. 3 UWG geregelt ist, kann nach der Systematik der Verordnung (EU) 2016/679 schon deshalb keine „Sanktion“ sein, weil der Unionsgesetzgeber in Kapitel VIII der Verordnung ausdrücklich zwischen Rechtsbehelfen, Haftung und Sanktion unterscheidet und sich aus dem Zusammenhang zwischen Art. 84, Art. 83 und den Erwägungsgründen 148 bis 152 der Verordnung ergibt, dass es bei den Sanktionen im Sinne von Art. 84 der Verordnung um verwaltungs- und strafrechtliche Sanktionen von Verstößen geht.19)

siehe auch

Datenschutz (Internetrecht)

1)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1
2)
BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II
3) , 5) , 13) , 15)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum
4)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1269 Rn. 24
6)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. vgl. LG Bochum, WRP 2019, 1535 [juris Rn. 15]; LG Wiesbaden, ZD 2019, 367 [juris Rn. 39]; LG Stuttgart, WRP 2019, 1089 [juris Rn. 32 bis 35]; Köhler in Köhler/Bornkamm/Feddersen aaO § 3a Rn. 1.40a ff.; ders. in WRP 2018, 1269; 1272; ders. in WRP 2018, 1517; ders. in WRP 2019, 1279, 1283 Rn. 33 bis 38 und Rn. 64; Spittka, GRUR-Prax 2019, 272, 273 f.; Werkmeister in Gola, DS-GVO aaO Art. 80 Rn. 17; Büscher/Hohlweck, UWG, § 3a Rn. 284; Ohly, GRUR 2019, 686, 688 f.; vgl. auch den vom Freistaat Bayern vorgeschlagenen Entwurf eines Gesetzes zur Anpassung zivilrechtlicher Vorschriften an die Datenschutz-Grundverordnung, BR-Drucks. 304/18
7)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. OLG Hamburg, WRP 2018, 1510 [juris Rn. 54 bis 57]; OLG Stuttgart, WRP 2020, 509 [juris Rn. 40 bis 62]; Wolff, ZD 2018, 248, 251 f.; Schreiber, GRURPrax 2018, 371, 373; Baumgartner/Sitte, ZD 2018, 555, 559; Laoutoumai/Hoppe, K&R 2018, 533, 535; Aßhoff, CR 2018, 720, 726 Rn. 38 ff.
8)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. MünchKomm.UWG/Schaffert, 3. Aufl., § 3a Rn. 84; Barth, WRP 2018, 790 Rn. 22 und 24
9)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. MünchKomm.UWG/Schaffert aaO § 3a Rn. 84
10)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Uebele, GRUR 2019, 694, 697 f.
11)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1517 Rn. 2 f.; ders. in WRP 2018, 1269 Rn. 26 bis 31
12)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. vgl. OLG Hamburg, WRP 2018, 1510 Rn. 30; Wolff, ZD 2018, 248, 251
14)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1269, 1273 Rn. 33; Bergt in Kühling/Buchner, DS-GVO, 2. Aufl., Art. 80 Rn. 14; Frenzel in Paal/Pauly, DS-GVO, 2. Aufl., Art. 80 Rn. 11
16)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1269 Rn. 36; ders. in WRP 2018, 1517 Rn. 2
17)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. auf den Schlussantrag des Generalanwalts Bobek vom 19. Dezember 2018 - C-40/17, juris Rn. 47
18)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. OLG Hamburg, WRP 2018, 1510 [juris Rn. 56]; OLG Stuttgart, WRP 2020, 509 [juris Rn. 52 bis 60]
19)
BGH, Beschluss vom 28. Mai 2020 - I ZR 186/17 - App-Zentrum; m.V.a. Köhler, WRP 2018, 1269 Rn. 41; ders. in WRP 2018, 1517 Rn. 9
internetrecht/datenschutz-grundverordnung.txt · Zuletzt geändert: 2020/09/08 12:27 von mfreund