Urteil : DS-GVO steht wettbewerbsrechtlicher Verfolgung von Datenschutzverstößen nach nationalem Recht nicht entgegen : aus der RDV 1/2025, Seite 54 bis 57

Zum einen sieht Art.  77 Abs.  1 DS-GVO nämlich vor, dass jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde hat. Nach Art. 78 Abs. 1 DS-GVO hat jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde, und zwar unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs. Art. 79 Abs. 1 DS-GVO garantiert jeder betroffenen Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DS-GVO.

Zum anderen hat die betroffene Person nach Art. 80 Abs. 1 DS-GVO das Recht, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht unter bestimmten Voraussetzungen zu beauftragen, in ihrem Namen eine Beschwerde einzureichen oder die in den Art. 77 bis 79 DS-GVO genannten Rechte wahrzunehmen. Außerdem können die Mitgliedstaaten nach Art.  80 Abs.  2 DS-GVO vorsehen, dass jede Einrichtung, Organisation oder Vereinigung unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der Aufsichtsbehörde eine solche Beschwerde einzulegen und diese Rechte in Anspruch zu nehmen, wenn ihres Erachtens die nach dieser Verordnung bestehenden Rechte einer betroffenen Person infolge einer Verarbeitung sie betreffender personenbezogener Daten verletzt worden sind.

Im vorliegenden Fall ergibt sich aus den dem Gerichtshof vorliegenden Akten, dass ND, der eine Apotheke betreibt, über Amazon apothekenpflichtige Arzneimittel vertreibt und dass die Kunden bei der Onlinebestellung dieser Arzneimittel Daten wie ihren Namen, ihre Lieferadresse und die für die Individualisierung der Arzneimittel notwendigen Informationen eingeben müssen. Im Ausgangsverfahren wurde die Klage bei einem Zivilgericht jedoch weder nach Art.  79 DS-GVO von diesen Kunden, bei denen es sich um betroffene Personen im Sinne von Art. 4 Nr. 1 DS-GVO handelt, noch gemäß Art. 80 DS-GVO von einer Einrichtung, Organisation oder Vereinigung – mit oder ohne entsprechenden Auftrag einer betroffenen Person – erhoben, sondern von einem Wettbewerber dieses Apothekers unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken aufgrund der Verstöße, die dieser Apotheker gegen die Bestimmungen der DS-GVO begangen haben soll.

Das Ausgangsverfahren wirft also die Frage auf, ob die DS-GVO dem entgegensteht, dass ein Mitbewerber wie DR, der keine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung ist, befugt ist, bei den nationalen Zivilgerichten eine solche Klage zu erheben.

Hierzu ist darauf hinzuweisen, dass bei der Auslegung einer unionsrechtlichen Vorschrift nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden (Urt. v. 12.01.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 32).

Zum Wortlaut der Bestimmungen des Kapitels VIII DS-GVO ist festzustellen, dass in keiner dieser Bestimmungen ausdrücklich ausgeschlossen wird, dass ein Mitbewerber eines Unternehmens unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines angeblichen Verstoßes dieses Unternehmens gegen die in der DS-GVO vorgesehenen Pflichten bei den Zivilgerichten Klage gegen dieses Unternehmen erheben kann. Aus Art. 77 Abs. 1, Art. 78 Abs. 1 und Art. 79 Abs. 1 DS-GVO, die in Rn. 48 des vorliegenden Urteils angeführt wurden, ergibt sich vielmehr, dass das Recht auf Beschwerde bei einer Aufsichtsbehörde sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde und gegen einen Verantwortlichen oder Auftragsverarbeiter gemäß diesen Bestimmungen „unbeschadet“ jegliches anderen verwaltungsrechtlichen, gerichtlichen oder außergerichtlichen Rechtsbehelfs besteht.

Zum Regelungszusammenhang von Kapitel VIII DS-GVO ist darauf hinzuweisen, dass diese Verordnung in ihrem Kapitel II materielle Bestimmungen enthält, die u.a. die Grundsätze für die Verarbeitung personenbezogener Daten (Art.  5) und die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung (Art.  6) umfassen und die uneingeschränkte Achtung insbesondere des in Art. 16 Abs. 1 AEUV und Art. 8 der Charta verankerten Grundrechts der betroffenen Personen auf Schutz personenbezogener Daten sicherstellen sollen. Dass Kapitel VIII DS-GVO keine Bestimmungen enthält, die vorsehen, dass Mitbewerber eines Unternehmens, das gegen diese materiellen Bestimmungen verstoßen haben soll, Klage auf Unterlassung dieser Verstöße erheben können, geht darauf zurück, dass – wie vom Generalanwalt in Nr. 80 seiner Schlussanträge ausgeführt – nur betroffene Personen, nicht aber diese Mitbewerber Adressaten des durch diese Verordnung gewährleisteten Schutzes personenbezogener Daten sind.

Ist der Verstoß gegen diese materiellen Bestimmungen jedoch geeignet, sich vorrangig auf die von den fraglichen Daten betroffenen Personen auszuwirken, kann er auch Dritte beeinträchtigen. Dies wird dadurch verdeutlicht, dass Art. 82 Abs. 1 DS-GVO für „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, ein Recht auf Schadenersatz vorsieht. Der Gerichtshof hat auch bereits festgestellt, dass der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen kann (Urt. v. 28.04.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn.  78) und ein wichtiges Indiz für die Beurteilung der Frage, ob ein Missbrauch einer beherrschenden Stellung im Sinne von Art. 102 AEUV vorliegt, darstellen kann (vgl. in diesem Sinne Urt. v. 04.07.2023, Meta Platforms u.a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 47 und 62).

In diesem Zusammenhang ist darauf hinzuweisen, dass der Zugang zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft von erheblicher Bedeutung sind. Der Zugang zu personenbezogenen Daten und die Möglichkeit ihrer Verarbeitung sind nämlich zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft geworden. Um der tatsächlichen wirtschaftlichen Entwicklung Rechnung zu tragen und einen lauteren Wettbewerb zu wahren, kann es also erforderlich sein, bei der Durchsetzung des Wettbewerbsrechts und der Regeln über unlautere Geschäftspraktiken die Vorschriften zum Schutz personenbezogener Daten zu berücksichtigen (vgl. in diesem Sinne Urt. v. 04.07.2023, Meta Platforms u.a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 50 und 51).

Außerdem ergibt sich zwar aus Art.  1 Abs.  1 DS-GVO im Licht insbesondere der ErwG 9 und 13 der Verordnung, dass diese eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Mehrere ihrer Bestimmungen eröffnen den Mitgliedstaaten aber ausdrücklich die Möglichkeit, zusätzliche – strengere oder einschränkende – nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise ihrer Durchführung lassen („Öffnungsklauseln“) (Urt. v. 28.04.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 57).

Der Gerichtshof hat bereits festgestellt, dass dies für Art. 80 Abs. 2 DS-GVO gilt, der den Mitgliedstaaten einen Ermessensspielraum hinsichtlich seiner Umsetzung lässt und der einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage insbesondere mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann (Urt. v. 28.04.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 59 und 83).

Zwar enthalten die Bestimmungen des Kapitels VIII DS-GVO keine solche spezielle Öffnungsklausel, die es den Mitgliedstaaten ausdrücklich erlaubt, den Mitbewerbern eines Unternehmens, das angeblich gegen die materiellen Bestimmungen dieser Verordnung verstößt, die Möglichkeit einzuräumen, auf Unterlassung dieses Verstoßes zu klagen.

Aus dem Wortlaut und dem Kontext der Bestimmungen dieses Kapitels VIII, die in den Rn. 53 bis 58 des vorliegenden Urteils erläutert wurden, ergibt sich jedoch, dass der Unionsgesetzgeber mit dem Erlass dieser Verordnung keine umfassende Harmonisierung der Rechtsbehelfe, die bei einem Verstoß gegen die Bestimmungen der DS-GVO zur Verfügung stehen, vornehmen und insbesondere nicht ausschließen wollte, dass Mitbewerber eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten auf der Grundlage des nationalen Rechts unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken Klage erheben können.

Diese Auslegung wird durch die mit der DS-GVO verfolgten Ziele bestätigt. Insbesondere aus dem 10. ErwG dieser Verordnung geht nämlich hervor, dass bei der Verarbeitung personenbezogener Daten ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen gewährleistet und die Hemmnisse für den Verkehr personenbezogener Daten in der Union beseitigt werden sollen. Im 11. ErwG der Verordnung heißt es außerdem, dass ein wirksamer Schutz dieser Daten die Stärkung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen erfordert, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Fall ihrer Verletzung. Dem 13. ErwG der Verordnung zufolge ist, damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten gewährleistet.

Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DS-GVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern.

Denn zum einen hat eine Unterlassungsklage, die von einem Mitbewerber gegen ein Unternehmen unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines behaupteten Verstoßes gegen die materiellen Bestimmungen der DS-GVO erhoben wird, keinerlei Einfluss auf das in Kapitel VIII dieser Verordnung vorgesehene Rechtsbehelfssystem oder auf das Ziel, in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen zu gewährleisten und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, zu beseitigen.

Zwar kann eine solche Klage, wenn auch inzident, auf dem Verstoß gegen die gleichen Bestimmungen der DS-GVO beruhen wie jene, auf die betroffene Personen oder eine Einrichtung, Organisation oder Vereinigung im Sinne von Art. 80 dieser Verordnung gemäß deren Art. 77 bis 79 eine Beschwerde oder einen Rechtsbehelf stützen können.

Doch dient erstens eine von einem Mitbewerber erhobene Unterlassungsklage – im Unterschied zu den Art. 77 bis 80 DS-GVO – nicht dem Ziel, die Grundrechte und Grundfreiheiten der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu schützen; vielmehr soll, im Interesse insbesondere dieses Mitbewerbers, ein lauterer Wettbewerb sichergestellt werden.

Zweitens besteht die Möglichkeit eines Mitbewerbers, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten eine solche Klage zu erheben, zusätzlich zu den Rechtsbehelfen gemäß den Art. 77 bis 79 DS-GVO, die uneingeschränkt erhalten bleiben und von den betroffenen Personen sowie gegebenenfalls von den Einrichtungen, Organisationen oder Vereinigungen im Sinne von Art. 80 DS-GVO jederzeit ergriffen werden können.

Insbesondere ist, wie von der deutschen Regierung ausgeführt, durch eine Koexistenz von datenschutzrechtlichen und wettbewerbsrechtlichen Rechtsbehelfen keine Gefahr für die einheitliche Durchsetzung der DS-GVO zu befürchten. Aus den Art.  77 bis 80 DS-GVO ergibt sich, dass diese Verordnung weder eine vorrangige oder ausschließliche Zuständigkeit vorsieht noch einen Vorrang der Beurteilung der genannten Behörde oder des genannten Gerichts zum Vorliegen einer Verletzung der durch die Verordnung verliehenen Rechte (vgl. in diesem Sinne Urt. v. 12.01.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn.  35). Folglich wirkt sich die Erhebung einer Unterlassungsklage durch einen Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten bei den Zivilgerichten nicht auf das durch Kapitel VIII DS-GVO geschaffene Rechtsbehelfssystem aus. Außerdem wird, wie ebenfalls von der deutschen Regierung dargelegt, durch das in Art. 267 AEUV vorgesehene Vorabentscheidungsverfahren gewährleistet, dass die materiellen Bestimmungen der DS-GVO, die die Aufsichtsbehörde und die auf der Grundlage der Art. 77 bis 80 DS-GVO angerufenen Gerichte auf der einen Seite und die von einem solchen Mitbewerber unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken angerufenen Gerichte auf der anderen Seite möglicherweise auf den gleichen Verstoß anwenden, einheitlich ausgelegt werden.

Drittens wird, wie vom Generalanwalt im Wesentlichen in Nr.  104 seiner Schlussanträge ausgeführt, die Verwirklichung des Ziels, in der Union ein gleichmäßiges Datenschutzniveau für die betroffenen Personen zu gewährleisten und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, zu beseitigen, nicht dadurch gefährdet, dass auch anderen als den betroffenen Personen und den Einrichtungen, Organisationen und Vereinigungen gemäß Art.  80 DS-GVO die Möglichkeit eingeräumt wird, sich auf die materiellen Bestimmungen der DS-GVO zu berufen. Selbst wenn einzelne Mitgliedstaaten diese Möglichkeit nicht vorsähen, würde dies nämlich nicht zu einer Fragmentierung der Umsetzung des Datenschutzes in der Union führen, weil die materiellen Bestimmungen der DS-GVO für alle Verantwortlichen im Sinne von Art.  4 Nr.  7 DS-GVO gleichermaßen verbindlich sind und ihre Einhaltung durch die in dieser Verordnung vorgesehenen Rechtsbehelfe sichergestellt wird.

Zum anderen ist zum Ziel der Gewährleistung eines wirksamen Schutzes der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und zur praktischen Wirksamkeit der materiellen Bestimmungen der DS-GVO festzustellen, dass – wie in Rn. 65 des vorliegenden Urteils ausgeführt – eine von einem Mitbewerber des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten erhobene Unterlassungsklage zwar nicht diesem Ziel dient, sondern einen lauteren Wettbewerb sicherstellen soll; sie trägt jedoch unbestreitbar zur Einhaltung dieser Bestimmungen und damit dazu bei, die Rechte der betroffenen Personen zu stärken und ihnen ein hohes Schutzniveau zu gewährleisten (vgl. in diesem Sinne Urt. v. 28.04.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 74).

Im Übrigen könnte sich eine solche Unterlassungsklage eines Mitbewerbers, ähnlich wie Klagen von Verbänden zur Wahrung von Verbraucherinteressen, für die Gewährleistung dieses Schutzes als besonders wirksam erweisen, da sie es ermöglicht, zahlreiche Verletzungen der Rechte der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen zu verhindern (vgl. in diesem Sinne Urt. v. 28.04.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 75).

Daraus folgt, dass die in Rn. 60 des vorliegenden Urteils vorgenommene Auslegung im Einklang mit den Anforderungen steht, die sich aus Art. 16 Abs. 1 AEUV und Art. 8 der Charta ergeben, und damit mit dem Ziel der DS-GVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urt. v. 28.04.2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 73).

Im vorliegenden Fall ist es Sache des vorlegenden Gerichts, zu prüfen, ob der mutmaßliche Verstoß gegen die im Ausgangsverfahren in Rede stehenden materiellen Bestimmungen der DS-GVO, sofern er erwiesen ist, auch einen Verstoß gegen das Verbot der Vornahme unlauterer Geschäftspraktiken gemäß den einschlägigen nationalen Regelungen darstellt.

Nach alledem ist auf die erste Frage zu antworten, dass die Bestimmungen des Kapitels VIII DS-GVO dahin auszulegen sind, dass sie einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DS-GVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.