Am 11. Juli 2024 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-757/22 ein bedeutendes Urteil gefällt, das sich mit den Rechten natürlicher Personen bei der Verarbeitung personenbezogener Daten und den entsprechenden Informationspflichten der Verantwortlichen gemäß der Datenschutz-Grundverordnung (DSGVO) befasst.
Dieses Urteil klärt insbesondere die Voraussetzungen für Verbandsklagen und die Informationspflichten der Verantwortlichen bei der Datenverarbeitung.
Sachverhalt
Die Rechtssache entstand aus einem Vorabentscheidungsersuchen des Bundesgerichtshofs (Deutschland) im Kontext eines Rechtsstreites zwischen Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd, und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. (im Folgenden: Bundesverband). Der Bundesverband hatte Meta Platforms Ireland wegen Verstößen gegen die deutschen Rechtsvorschriften über den Schutz personenbezogener Daten, die zugleich eine unlautere Geschäftspraxis darstellten, verklagt.
Rechtliche Analyse
1. Verbandsklagen gemäß Art. 80 Abs. 2 DSGVO
Der EuGH stellte klar, dass Art. 80 Abs. 2 DSGVO es den Mitgliedstaaten ermöglicht, Einrichtungen zur Wahrung von Verbraucherinteressen das Recht einzuräumen, gegen mutmaßliche Verstöße der DSGVO ohne Auftrag einer betroffenen Person zu klagen.
Dies gilt speziell, wenn die betroffene Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen beeinträchtigen kann. Der EuGH betonte, dass die Verletzung der in Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO genannten Informationspflichten eine solche Beeinträchtigung darstellt.
2. Transparenz und Informationspflichten
Art. 12 Abs. 1 DSGVO verlangt, dass der Verantwortliche geeignete Maßnahmen trifft, um der betroffenen Person alle Informationen zur Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache zur Verfügung zu stellen. Art. 13 DSGVO spezifiziert, dass der Verantwortliche die betroffene Person zum Zeitpunkt der Datenerhebung über die Zwecke der Verarbeitung und die Empfänger der Daten informieren muss. Diese Pflichten sollen sicherstellen, dass die betroffene Person in der Lage ist, die an sie gerichteten Informationen vollständig zu verstehen und somit eine informierte Einwilligung zur Datenverarbeitung geben kann.
3. Verletzung der Informationspflichten
Der EuGH entschied, dass die Verletzung der Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO eine Verletzung der Rechte der betroffenen Person „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO darstellt. Dies bedeutet, dass eine Verbandsklage auf diese Verletzung gestützt werden kann, da eine nicht ausreichende Information der betroffenen Person die Verarbeitung ihrer personenbezogenen Daten rechtswidrig macht und somit ihre Rechte beeinträchtigt.
Fazit
Dieses Urteil des EuGH stärkt die Rechte der Verbraucher und die Bedeutung von Transparenz bei der Verarbeitung personenbezogener Daten. Es verdeutlicht, dass Verbände im Interesse der Verbraucher klagen können, um Verstöße gegen die DSGVO zu ahnden, selbst wenn keine konkrete betroffene Person identifiziert wurde. Für Unternehmen wie Meta Platforms Ireland bedeutet dies, dass sie ihre Informationspflichten streng einhalten müssen, um rechtlichen Konsequenzen zu entgehen. Die Entscheidung trägt dazu bei, ein hohes Schutzniveau für personenbezogene Daten in der Europäischen Union zu gewährleisten und die Rechte der betroffenen Personen zu stärken.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!