I ZR 186/17

ECLI:DE:BGH:2022:101122BIZR186.17.0 BUNDESGERICHTSHOF BESCHLUSS I ZR 186/17 Verkündet am: 10. November 2022 Hemminger Justizangestellte als Urkundsbeamtin der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR: ja App-Zentrum II Verordnung (EU) 2016/679 Art. 80 Abs. 2; UWG § 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Satz 1 Nr. 11, § 3 Abs. 1 Satz 1 Nr. 1 Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt: Wird eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbrau- cherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht er- füllt worden seien? BGH, Beschluss vom 10. November 2022 - I ZR 186/17 - Kammergericht LG Berlin - 2 - Der I. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhand- lung vom 29. September 2022 durch den Vorsitzenden Richter Prof. Dr. Koch, den Richter Dr. Löffler, die Richterin Dr. Schmaltz, den Richter Odörfer und die Richterin Wille beschlossen: I. Das Verfahren wird ausgesetzt. II. Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Euro- päischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbe- zogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt: Wird eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien ver- letzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Emp- fänger der personenbezogenen Daten nicht erfüllt worden seien? - 3 - Gründe: A. Der Kläger ist der in die Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Bundesverband der Verbraucherzentralen der Bundesländer. Die in Irland ansässige Beklagte, die Meta Platform Ireland Limited (vormals Face- book Ireland Limited), betreibt unter der Adresse www.facebook.de die Internet- plattform Facebook, die dem Austausch persönlicher und sonstiger Daten dient. Eine Schwestergesellschaft der Beklagten, die in Deutschland ansässige Face- book Germany GmbH, bewirbt dort die Verfügbarkeit von Werbeflächen auf der Internetplattform und unterstützt lokale Werbekunden der Beklagten. Vertrags- partner für Werbekunden in Deutschland ist die Beklagte. Diese verarbeitet zu- dem die Daten der deutschen Kunden von Facebook. Die Muttergesellschaft der Beklagten und der Facebook Germany GmbH ist in den Vereinigten Staaten von Amerika ansässig. Auf der Internetplattform Facebook befindet sich ein sogenanntes "App- Zentrum", in dem die Beklagte ihren Nutzern unter anderem kostenlose Spiele von Drittanbietern zugänglich macht. Bei Aufruf des App-Zentrums am 26. No- vember 2012 wurde dort das Spiel "The Ville" angeboten, wobei unter einem But- ton "Sofort spielen" folgende Informationen erschienen: Durch das Anklicken von 'Spiel spielen' oben erhält diese Anwendung - Deine allgemeinen Informationen (?) - Deine-Mail-Adresse - Über Dich - Deine Statusmeldungen Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr. Ferner befand sich dort der Hinweis 1 2 3 - 4 - Wenn du fortfährst, stimmst du The Ville Allgemeine Geschäftsbedingungen und Da- tenschutzrichtlinien zu. Die Allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen waren über einen elektronischen Verweis (Link) aufrufbar. Entsprechende Hinweise er- schienen bei den Spielen "Diamond Dash" und "Wetpaint Entertainment" gleich- falls unter dem Button "Sofort spielen". Beim Spiel "Scrabble" endeten die Hin- weise mit dem Satz: Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten. Der Kläger beanstandet die Präsentation der unter dem Button "Sofort spie- len" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des Rechtsbruchs wegen Verstoßes gegen gesetzliche Anforde- rungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis beim Spiel "Scrabble" eine den Nutzer unangemessen benachteiligende Allgemeine Ge- schäftsbedingung. Der Kläger hat beantragt, der Beklagten unter Androhung von Ordnungs- mitteln zu verbieten, 1. im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern mit einem stän- digen Aufenthalt in der Bundesrepublik Deutschland auf der Internetseite mit der Adresse www.facebook.com Spiele in einem so genannten "App-Zentrum" derart zu präsentieren, dass der Verbraucher mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgibt, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterleg- ten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Na- men des Verbrauchers zu übermitteln (posten) wie in bildlich wiedergegebenen [vorliegend nicht abgedruckten] Bildschirmkopien ersichtlich; 2. nachfolgende oder mit diesen inhaltsgleiche Bestimmungen in Vereinbarungen mit Verbrauchern, die ihren gewöhnlichen Aufenthalt in der Bundesrepublik Deutschland haben, über die Nutzung von Applikationen (Apps) im Rahmen eines sozialen Netzwerkes einzubeziehen, sowie sich auf die Bestimmungen über die Übertragung von Daten an die Betreiber der Spiele zu berufen: Diese Anwendung darf Statusmeldungen, Fotos und mehr in dei- nem Namen posten. 4 5 6 - 5 - Der Kläger hat die Beklagte ferner auf Ersatz von Abmahnkosten in Höhe von 200 € nebst Zinsen in Anspruch genommen. Er hat die vorliegende Klage unabhängig von einer konkreten Verletzung von Datenschutzrechten einer be- troffenen Person und ohne Auftrag einer solchen Person erhoben. Das Landgericht hat die Beklagte antragsgemäß verurteilt (LG Berlin, ZD 2015, 133). Die Berufung der Beklagten ist ohne Erfolg geblieben (KG, GRUR-RR 2018, 115). Die Beklagte verfolgt mit ihrer vom Berufungsgericht zu- gelassenen Revision, deren Zurückweisung der Kläger beantragt, ihren Klageab- weisungsantrag weiter. Mit Beschluss vom 28. Mai 2020 (I ZR 186/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) hat der Senat das Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union zur Klärung der Rechtslage unter Geltung der während des Revisionsverfahrens in Kraft getretenen und für die in die Zu- kunft wirkenden Unterlassungsanträge maßgeblichen Datenschutz-Grundver- ordnung folgende Frage zur Auslegung von Kapitel VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO zur Vorabentscheidung vorgelegt: Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO nationalen Regelungen entgegen, die - neben den Eingriffs- befugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen - einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutz-Grundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichts- punkten des Verstoßes gegen ein Verbraucherschutzgesetz sowie des Verbots der Vornahme unlauterer Geschäftspraktiken und des Verbots der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung vorzugehen? Der Gerichtshof der Europäischen Union hat hierüber durch Urteil vom 28. April 2022 (C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland) wie folgt entschieden: 7 8 9 - 6 - Art. 80 Abs. 2 DSGVO ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaß- lichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auf- trag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte iden- tifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beein- trächtigen kann. B. Aus dem Urteil des Gerichtshofs der Europäischen Union vom 28. April 2022 ergibt sich, dass die im Streitfall in Rede stehenden Bestimmungen über die Klagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG und gemäß § 3 Abs. 1 Satz 1 Nr. 1 in Verbindung mit § 2 Abs. 2 Satz 1 Nr. 11 UKlaG im Anwendungsbereich der Datenschutz-Grundverordnung unionsrechtskonform mit Blick auf die in Art. 80 Abs. 2 DSGVO geregelten Voraussetzungen auszulegen sind. Die Frage, ob der Kläger, der seine Klageanträge auf die Nichterfüllung von Informations- pflichten über den Zweck der Datenverarbeitung und den Empfänger der perso- nenbezogenen Daten stützt, die Verletzung von Rechten "infolge einer Verarbei- tung" im Sinne von Art. 80 Abs. 2 DSGVO geltend macht, hängt von der nicht eindeutigen Auslegung dieser Vorschrift ab. Vor einer Entscheidung über die Re- vision der Beklagten ist deshalb das Verfahren erneut auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Ge- richtshofs der Europäischen Union einzuholen. I. Das Berufungsgericht hat die Klageanträge mit Recht für begründet er- achtet. Für den Erfolg der Revision der Beklagten ist es deshalb maßgeblich, ob das Berufungsgericht rechtsfehlerfrei von der Zulässigkeit der Klage ausgegan- gen ist. Dies setzt voraus, dass qualifizierten Einrichtungen wie dem im Streitfall klagenden Verbraucherverband nach Inkrafttreten der Datenschutz-Grundver- ordnung gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zusteht, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne Auftrag einer betroffenen Person unter den Gesichtspunkten des Rechtsbruchs 10 11 - 7 - gemäß § 3a UWG, des Verstoßes gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 UKlaG oder der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen (BGH, GRUR 2020, 896 [juris Rn. 17 bis 32 und Rn. 55 bis 62] - App-Zentrum I). II. Die Klagebefugnis des Klägers hängt im Streitfall davon ab, ob er im Sinne von Art. 80 Abs. 2 DSGVO mit seiner Klage geltend macht, die Rechte einer betroffenen Person gemäß der Datenschutz-Grundverordnung seien "in- folge einer Verarbeitung" verletzt worden. 1. Der Senat ist in seinem Vorlagebeschluss vom 28. Mai 2020 davon aus- gegangen, dass sich eine nach deutschem Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des Klägers wegen seines im Streitfall allein auf die objektiv-rechtliche Durchsetzung des Daten- schutzrechts gerichteten Klagebegehrens den Bestimmungen des Kapitels VIII der Datenschutz-Grundverordnung nicht entnehmen lässt (vgl. BGH, GRUR 2020, 896 [juris Rn. 35] - App-Zentrum I). Er hat angenommen, dass sich eine solche Klagebefugnis weder auf Art. 80 Abs. 1 oder 2 DSGVO noch auf Art. 84 Abs. 1 DSGVO stützen lässt und es mit Blick auf Wortlaut, Regelungszu- sammenhang und Regelungsziel der Datenschutz-Grundverordnung fraglich ist, ob sie nicht nur die materiellen Vorschriften zum Schutz personenbezogener Da- ten, sondern auch die Durchsetzung der nach der Verordnung bestehenden Rechte vereinheitlicht hat. Der Senat hat vor diesem Hintergrund dem Gerichts- hof der Europäischen Union im Wege des Vorabentscheidungsverfahrens die Frage vorgelegt, ob die Datenschutz-Grundverordnung in Bezug auf die Ver- bandsklagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der Bestimmungen gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG im Streitfall entgegensteht (BGH, GRUR 2020, 896 [juris Rn. 33 bis 54] - App-Zentrum I). 12 13 - 8 - Der Gerichtshof der Europäischen Union hat allerdings abweichend von der durch den Senat im Vorlagebeschluss vertretenen Ansicht (BGH, GRUR 2020, 896 [juris Rn. 37 sowie Rn. 60 und 62] - App-Zentrum I) entschieden, dass sich die Klagebefugnis des Klägers aus Art. 80 Abs. 2 DSGVO ergeben kann (EuGH, GRUR 2022, 920 [juris Rn. 49] - Meta Platforms Ireland). Er ist davon ausgegan- gen, dass durch diese Bestimmung den Mitgliedstaaten ein Ermessensspielraum hinsichtlich ihrer Umsetzung eröffnet worden ist. Damit die in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage erhoben werden kann, müssen die Mit- gliedstaaten von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nati- onalen Recht vorzusehen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 59] - Meta Plat- forms Ireland). Auf der Grundlage der Entscheidung des Gerichtshofs der Europäischen Union ist mithin zu prüfen, ob sich die im Streitfall maßgeblichen Bestimmungen gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG in den Rahmen des jedem Mitgliedstaat in Art. 80 Abs. 2 DSGVO eingeräumten Ermessensspiel- raums einfügen. Dieser Spielraum ist im Wege der Auslegung unter Berücksich- tigung des Wortlauts des Art. 80 Abs. 2 DSGVO sowie der Systematik und der Ziele der Datenschutz-Grundverordnung zu ermitteln (vgl. EuGH, GRUR 2022, 920 [juris Rn. 62] - Meta Platforms Ireland). Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzuse- hen, ist an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft (EuGH, GRUR 2022, 920 [juris Rn. 63] - Meta Plat- forms Ireland). Vorliegend sind zwar die Anforderungen an den persönlichen An- wendungsbereich erfüllt. Ob mit Blick auf den Inhalt der in Rede stehenden Kla- geanträge auch sämtliche Anforderungen an den sachlichen Anwendungsbe- reich des Art. 80 Abs. 2 DSGVO vollständig erfüllt sind, ist dagegen zweifelhaft. 14 15 16 - 9 - 2. Die dem Kläger durch § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG eingeräumte Klagebefugnis fällt in den persönlichen Anwendungsbereich von Art. 80 Abs. 2 DSGVO. Der Kläger erfüllt als Verband zur Wahrung von Ver- braucherinteressen die in Art. 80 Abs. 1 DSGVO an die Klagebefugnis einer Ein- richtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht zu stel- lenden Anforderungen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 65 und 79] - Meta Platforms Ireland). 3. Ob die für den sachlichen Anwendungsbereich maßgeblichen Vorausset- zungen des Art. 80 Abs. 2 DSGVO vollständig erfüllt sind, ist im Streitfall nicht zweifelsfrei zu beantworten. a) Allerdings steht der Klagebefugnis des Klägers nicht entgegen, dass er seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat (vgl. BGH, GRUR 2020, 896 [juris Rn. 7] - App-Zentrum I; EuGH, GRUR 2022, 920 [juris Rn. 36] - Meta Platforms Ireland). Gegenstand des Klagebegehrens ist zwar allein die abstrakte Überprüfung der Präsentation des App-Zentrums durch die Beklagte am objektivrechtlichen Maßstab des Datenschutzrechts (zum Kla- gebegehren im Streitfall vgl. BGH, GRUR 2020, 896 [juris Rn. 62] - App- Zentrum I). Der Gerichtshof der Europäischen Union hat jedoch bereits entschie- den, dass von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht ver- langt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der Datenschutz-Grundverordnung verstößt, konkret betroffen ist. Der Begriff "be- troffene Person" im Sinne von Art. 4 Nr. 1 DSGVO umfasst nicht nur eine "iden- tifizierte natürliche Person", sondern auch eine "identifizierbare natürliche Per- son", also eine natürliche Person, die direkt oder indirekt, mittels Zuordnung zu einer Kennung wie insbesondere einem Namen, einer Kennnummer, Standort- 17 18 - 10 - daten oder einer Online-Kennung identifiziert werden kann. Unter diesen Um- ständen kann die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, für die Erhebung einer solchen Verbandsklage ausreichen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 68 f.] - Meta Platforms Ireland). Die von der Gestaltung des App-Zentrums angesprochenen Nutzer der Internetplattform Facebook, die an der Durchführung eines dort ange- botenen Spiels interessiert waren und deshalb potentiell durch Betätigung des Buttons "Sofort spielen" ihre Einwilligung in die Verarbeitung ihrer personenbe- zogenen Daten erklären konnten, sind identifizierbare natürliche Personen im vorstehenden Sinne. b) Der Anwendung von Art. 80 Abs. 2 DSGVO steht außerdem nicht entge- gen, dass der Kläger mit einem Verstoß gegen die Vorschriften zum Schutz der personenbezogenen Daten der Verbraucher zugleich einen Verstoß gegen an- dere Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken beanstandet (vgl. EuGH, GRUR 2022, 920 [juris Rn. 66 und Rn. 77 bis 82] - Meta Platforms Ireland). c) Art. 80 Abs. 2 DSGVO setzt außerdem voraus, dass der klagende Ver- band geltend macht, die Rechte einer betroffenen Person gemäß der Daten- schutz-Grundverordnung seien "infolge einer Verarbeitung" verletzt worden. Es ist nicht eindeutig, ob diese Voraussetzung nach den Umständen des Streitfalls erfüllt ist. Die Vorlagefrage dient der Klärung der in diesem Rahmen zu stellenden rechtlichen Anforderungen. aa) Die Vorlagefrage ist nicht bereits durch das im Rahmen des vorliegen- den Rechtsstreits ergangene Urteil des Gerichtshofs der Europäischen Union vom 28. April 2022 in der Sache "Meta Platforms Ireland" geklärt. Der Gerichtshof hat in seinem Urteil keine Ausführungen dazu gemacht, welche Voraussetzungen 19 20 21 - 11 - nach den unionsrechtlichen Vorgaben erfüllt sein müssen, damit von einer Ver- letzung der Rechte einer betroffenen Person gemäß der Datenschutz-Grundver- ordnung "infolge einer Verarbeitung" ausgegangen werden kann. - 12 - bb) Die Auslegung des Begriffs der Rechtsverletzung "infolge einer Verar- beitung" im Sinne von Art. 80 Abs. 2 DSGVO ist nicht zweifelsfrei. Es ist bereits nicht klar, unter welchen Umständen von einer "Verarbeitung" auszugehen ist und insbesondere, ob diese bei einer im Streitfall in Rede stehenden Informati- onspflichtverletzung vorliegt (dazu unter Rn. 27 bis 31). Selbst wenn dies zu be- jahen ist, stellt sich die Frage, ob eine Verletzung "infolge" der Verarbeitung im Sinne von Art. 80 Abs. 2 DSGVO erfolgt (dazu Rn. 32 bis 34). (1) Nach Art. 4 Nr. 2 DSGVO bezeichnet "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vor- gangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenle- gung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Aus dem Wortlaut dieser Bestimmung, insbesondere aus dem Aus- druck "jeder Vorgang", ergibt sich, dass der Unionsgesetzgeber den Begriff "Ver- arbeitung" weit fassen wollte. Diese Auslegung wird dadurch bestätigt, dass die Aufzählung der Vorgänge in der genannten Bestimmung nicht abschließend ist, was durch die Wendung "wie" zum Ausdruck kommt (EuGH, Urteil vom 24. Fe- bruar 2022 - C-175/20, K&R 2022, 260 [juris Rn. 35] - Valsts ieņēmumu dienests). (2) Im Streitfall ist zu berücksichtigen, dass der Kläger die Verletzung einer die Beklagte treffenden Informationspflicht über Zweck und Umfang einer Einwil- ligung des Nutzers in die Verarbeitung seiner personenbezogenen Daten geltend macht (BGH, GRUR 2020, 896 [juris Rn. 19] - App-Zentrum I; EuGH, GRUR 2022, 920 [juris Rn. 35] - Meta Platforms Ireland). Gegenstand der Klage ist die Präsentation von Spielen in dem auf der In- ternetplattform der Beklagten befindlichen "App-Zentrum" und der Hinweis, dass 22 23 24 25 - 13 - die Anwendung berechtigt sei, bestimmte personenbezogene Informationen des Nutzers in seinem Namen zu veröffentlichen (EuGH, GRUR 2022, 920 [juris Rn. 35] - Meta Platforms Ireland). Der Kläger hat seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben (BGH, GRUR 2020, 896 [juris Rn. 7] - App-Zentrum I); EuGH, GRUR 2022, 920 [juris Rn. 36] - Meta Platforms Ireland). Nicht Gegenstand der Klage ist damit die Frage, ob die Beklagte in dem Moment die Datenschutzrechte eines Nutzers verletzt, in dem dieser im App- Zentrum den Button "Sofort Spielen" oder "Spiele spielen" betätigt und dadurch möglicherweise eine Verarbeitung seiner personenbezogenen Daten auslöst. Ebenso ist nicht streitgegenständlich, ob die nach der Betätigung eines solchen Buttons erfolgenden automatisierten Vorgänge in Bezug auf personenbezogene Daten eines Nutzers dessen Datenschutzrechte verletzen. (3) Nach Auffassung des Senats ist nicht eindeutig zu beantworten, ob die im Streitfall vorliegende Verletzung der sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Verpflichtung, der betroffenen Per- son die Informationen über den Zweck der Datenverarbeitung und den Empfän- ger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (vgl. BGH, GRUR 2020, 896 [juris Rn. 30] - App-Zentrum I), unter den Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO fällt. Eine "Verarbeitung" könnte nach dem Wortsinn eine unmittelbare oder zu- mindest mittelbare Einwirkung auf personenbezogene Daten erfordern (vgl. BeckOK.IT-Recht/Borges, 8. Edition [Stand: 1. Juli 2021], Art. 4 DSGVO Rn. 27). Ein "Vorgang" im Sinne von Art. 4 Nr. 2 DSGVO könnte eine Handlung voraus- setzen, die zur Folge hat, dass etwas mit den Daten geschieht oder ein Umgang 26 27 28 - 14 - mit ihnen erfolgt, und daher möglicherweise Informationspflichten im Zusammen- hang mit der Einholung einer Einwilligung in die angestrebte spätere Datennut- zung nicht einschließen (vgl. Grentzenberg/Spittka, GRUR-Prax 2020, 539, 541 mwN). Auch der Regelungszusammenhang könnte gegen eine Einbeziehung von Informationspflichten in den Begriff der Verarbeitung sprechen. Bei den Pflichten zur Information über Zweck und Umfang einer vom Verantwortlichen in Aussicht gestellten Datenverarbeitung geht es um das der eigentlichen Verarbei- tung von personenbezogenen Daten vorgelagerte Stadium. Andererseits hat der Gerichtshof der Europäischen Union mit Blick auf den weit auszulegenden Begriff der Verarbeitung auch Vorgänge als erfasst angese- hen, mit denen eine Erhebung von Daten und damit ein vom Verordnungsgeber ausdrücklich als Beispiel einer Verarbeitung angesehener Vorgang lediglich "ein- geleitet" wird (EuGH, K&R 2022, 260 [juris Rn. 37] - Valsts ieņēmumu dienests). Der im Streitfall in Rede stehende Sachverhalt könnte dem gleichstehen, weil die mit der Klage angegriffene Präsentation des App-Zentrums dem Nutzer die Mög- lichkeit bot, durch einen einfachen Klick auf den Button unmittelbar einen Vor- gang auszulösen, bei dem es ohne weitere Zwischenschritte zu einer Verarbei- tung seiner persönlichen Daten kam. Für eine weite Auslegung dürfte außerdem das Ziel der Datenschutz- Grundverordnung sprechen, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Da- ten zu gewährleisten (vgl. EuGH, GRUR 2022, 920 [juris Rn. 73] - Meta Platforms Ireland). Ebenfalls für eine weite Auslegung könnte sprechen, dass der Verantwort- liche die im Streitfall in Rede stehende Informationspflicht gemäß Art. 13 Abs. 1 DSGVO "zum Zeitpunkt der Erhebung" der personenbezogenen Daten erfüllen 29 30 31 - 15 - muss. Da die mitzuteilenden Informationen der betroffenen Person als Grundlage für ihre Entscheidung dienen sollen, ob sie in die Verarbeitung ihrer Daten ein- willigt oder ob sie hiergegen Einwände erhebt, und dieser Zweck verfehlt würde, wenn sie die Informationen erst nach Beginn der Datenerhebung erhielte, dürften die Informationen vor dem Beginn des Datenflusses zu erteilen sein (vgl. Franck in Gola/Heckmann, DSGVO BDSG, 3. Aufl., Art. 13 DSGVO Rn. 39; Bäcker in Kühling/Buchner, DSGVO BDSG, 3. Aufl., Art. 13 DSGVO Rn. 56). Dies legt nahe, dass der Verordnungsgeber von einem weit zu verstehenden Begriff der Erhebung ausgegangen ist, der auch die Situation vor Beginn der Datenerhe- bung im technischen Sinne umfasst. (4) Selbst wenn die im Streitfall in Rede stehende Informationspflicht unter den Begriff der "Verarbeitung" im Sinne von Art. 4 Nr. 2 DSGVO fällt, stellt sich die weitere Frage, ob der Kläger im Streitfall eine Verletzung "infolge" der Verar- beitung im Sinne von Art. 80 Abs. 2 DSGVO geltend macht. Die Formulierung "infolge" könnte darauf hindeuten, dass sich das den Mit- gliedstaaten in Art. 80 Abs. 2 DSGVO eröffnete Ermessen nur auf die Schaffung einer Verbandsklagebefugnis erstreckt, mit der eine Verletzung von Rechten ei- ner betroffenen Person gemäß der Datenschutz-Grundverordnung geltend ge- macht werden kann, die Ergebnis eines Vorgangs der Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO ist und einem solchen Vorgang mithin nachfolgt. Demgegenüber dürfte das Ziel der Datenschutz-Grundverordnung, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. EuGH, GRUR 2022, 920 [juris Rn. 74] - Meta Platforms Ireland), dafür sprechen, eine Verbandsklagebefugnis auch auf eine Verletzung der sich aus Art. 12 Abs. 1 32 33 34 - 16 - Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Verpflichtung zu er- strecken, Informationen über den Zweck der Datenverarbeitung und den Emp- fänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Insoweit dürfte wiederum zu berücksichtigen sein, dass mit dieser Informations- pflicht auch die Einwilligung der betroffenen Person als gemäß Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO zentrales Erfordernis für die Rechtmäßigkeit einer Ver- arbeitung personenbezogener Daten vorbereitet wird. III. Der Senat weist vorsorglich darauf hin, dass sich die in seinem Vorlage- beschluss vom 28. Mai 2020 formulierte Frage jedenfalls sinngemäß für den Fall erneut stellen könnte, dass der Gerichtshof der Europäischen Union die vorlie- gend gestellte Vorlagefrage dahingehend beantwortet, dass die Klagebefugnis im Streitfall nicht mit Erfolg auf Art. 80 Abs. 2 DSGVO gestützt werden kann. Koch Löffler Schmaltz Odörfer Wille Vorinstanzen: LG Berlin, Entscheidung vom 28.10.2014 - 16 O 60/13 - KG Berlin, Entscheidung vom 22.09.2017 - 5 U 155/14 - 35