Bundesgerichtshof, EuGH-Vorlage vom 10.11.2022, Az. I ZR 186/17

A. Der Kläger ist der in die Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragene Bundesverband der Verbraucherzentralen der Bundesländer. Die in [X.]ansässige Beklagte, die [X.](vormals [X.]Ireland Limited), betreibt unter der Adresse www.facebook.de die Internetplattform Facebook, die dem Austausch persönlicher und sonstiger Daten dient. Eine Schwestergesellschaft der Beklagten, die in [X.]ansässige [X.]Germany GmbH, bewirbt dort die Verfügbarkeit von Werbeflächen auf der Internetplattform und unterstützt lokale Werbekunden der Beklagten. Vertragspartner für Werbekunden in [X.]ist die Beklagte. Diese verarbeitet zudem die Daten der [X.]Kunden von Facebook. Die Muttergesellschaft der [X.]und der [X.]Germany GmbH ist in den [X.]ansässig.

Auf der Internetplattform [X.]befindet sich ein sogenanntes "App-Zentrum", in dem die Beklagte ihren Nutzern unter anderem kostenlose [X.]von Drittanbietern zugänglich macht. Bei Aufruf des [X.]am 26. November 2012 wurde dort das Spiel "The Ville" angeboten, wobei unter einem Button "Sofort spielen" folgende Informationen erschienen:

Ferner befand sich dort der Hinweis

Der Kläger beanstandet die Präsentation der unter dem Button "Sofort spielen" gegebenen Hinweise im App-Zentrum als unlauter unter anderem unter dem Gesichtspunkt des [X.]wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung des Nutzers. Ferner sieht er in dem abschließenden Hinweis beim Spiel "Scrabble" eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.

Der Kläger hat beantragt, der [X.]unter Androhung von [X.]zu verbieten,

Der Kläger hat die Beklagte ferner auf Ersatz von Abmahnkosten in Höhe von 200 € nebst Zinsen in Anspruch genommen. Er hat die vorliegende Klage unabhängig von einer konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben.

Das [X.]hat die Beklagte antragsgemäß verurteilt (LG Berlin, ZD 2015, 133). Die Berufung der [X.]ist ohne Erfolg geblieben (KG, GRUR-RR 2018, 115). Die Beklagte verfolgt mit ihrer vom Berufungsgericht zugelassenen Revision, deren Zurückweisung der Kläger beantragt, ihren Klageabweisungsantrag weiter.

Mit Beschluss vom 28. Mai 2020 (I ZR 186/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I) hat der Senat das Verfahren ausgesetzt und dem [X.]zur Klärung der Rechtslage unter Geltung der während des Revisionsverfahrens in [X.]getretenen und für die in die Zukunft wirkenden Unterlassungsanträge maßgeblichen [X.]folgende Frage zur Auslegung von Kapitel VIII, insbesondere von Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 DSGVO zur Vorabentscheidung vorgelegt:

Der [X.]hat hierüber durch Urteil vom 28. April 2022 (C-319/20, GRUR 2022, 920 = WRP 2022, 684 - [X.]Ireland) wie folgt entschieden:

B. Aus dem Urteil des Gerichtshofs der [X.]vom 28. April 2022 ergibt sich, dass die im Streitfall in Rede stehenden Bestimmungen über die Klagebefugnis gemäß § 8 Abs. 3 Nr. 3 UWG und gemäß § 3 Abs. 1 Satz 1 Nr. 1 in Verbindung mit § 2 Abs. 2 Satz 1 Nr. 11 UKlaG im Anwendungsbereich der [X.]unionsrechtskonform mit Blick auf die in Art. 80 Abs. 2 DSGVO geregelten Voraussetzungen auszulegen sind. Die Frage, ob der Kläger, der seine Klageanträge auf die Nichterfüllung von Informationspflichten über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten stützt, die Verletzung von Rechten "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend macht, hängt von der nicht eindeutigen Auslegung dieser Vorschrift ab. Vor einer Entscheidung über die Revision der [X.]ist deshalb das Verfahren erneut auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der [X.]einzuholen.

I. Das Berufungsgericht hat die Klageanträge mit Recht für begründet erachtet. Für den Erfolg der Revision der [X.]ist es deshalb maßgeblich, ob das Berufungsgericht rechtsfehlerfrei von der Zulässigkeit der Klage ausgegangen ist. Dies setzt voraus, dass qualifizierten Einrichtungen wie dem im Streitfall klagenden [X.]nach Inkrafttreten der [X.]gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zusteht, wegen Verstößen gegen diese Verordnung unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne Auftrag einer betroffenen Person unter den Gesichtspunkten des [X.]gemäß § 3a UWG, des Verstoßes gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 2 Satz 1 Nr. 11 UKlaG oder der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen (BGH, GRUR 2020, 896 [juris Rn. 17 bis 32 und Rn. 55 bis 62] - App-Zentrum I).

II. Die Klagebefugnis des [X.]hängt im Streitfall davon ab, ob er im Sinne von Art. 80 Abs. 2 DSGVO mit seiner Klage geltend macht, die Rechte einer betroffenen Person gemäß der [X.]seien "infolge einer Verarbeitung" verletzt worden.

1. Der Senat ist in seinem Vorlagebeschluss vom 28. Mai 2020 davon ausgegangen, dass sich eine nach [X.]Recht gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG bestehende Klagebefugnis des [X.]wegen seines im Streitfall allein auf die [X.]Durchsetzung des Datenschutzrechts gerichteten Klagebegehrens den Bestimmungen des Kapitels VIII der [X.]nicht entnehmen lässt (vgl. BGH, GRUR 2020, 896 [juris Rn. 35] - App-Zentrum I). Er hat angenommen, dass sich eine solche Klagebefugnis weder auf Art. 80 Abs. 1 oder 2 DSGVO noch auf Art. 84 Abs. 1 DSGVO stützen lässt und es mit Blick auf Wortlaut, [X.]und [X.]der [X.]fraglich ist, ob sie nicht nur die materiellen Vorschriften zum Schutz personenbezogener Daten, sondern auch die Durchsetzung der nach der Verordnung bestehenden Rechte vereinheitlicht hat. Der Senat hat vor diesem Hintergrund dem [X.]im Wege des [X.]die Frage vorgelegt, ob die [X.]in Bezug auf die Verbandsklagebefugnis eine abschließende Regelung trifft, die der Anwendbarkeit der Bestimmungen gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG im Streitfall entgegensteht (BGH, GRUR 2020, 896 [juris Rn. 33 bis 54] - App-Zentrum I).

Der [X.]hat allerdings abweichend von der durch den Senat im Vorlagebeschluss vertretenen Ansicht (BGH, GRUR 2020, 896 [juris Rn. 37 sowie Rn. 60 und 62] - App-Zentrum I) entschieden, dass sich die Klagebefugnis des [X.]aus Art. 80 Abs. 2 DSGVO ergeben kann (EuGH, GRUR 2022, 920 [juris Rn. 49] - [X.]Ireland). Er ist davon ausgegangen, dass durch diese Bestimmung den Mitgliedstaaten ein Ermessensspielraum hinsichtlich ihrer Umsetzung eröffnet worden ist. Damit die in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage erhoben werden kann, müssen die Mitgliedstaaten von der ihnen durch diese Bestimmung eingeräumten Möglichkeit Gebrauch machen, diese Art der Vertretung betroffener Personen in ihrem nationalen Recht vorzusehen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 59] - [X.]Ireland).

Auf der Grundlage der Entscheidung des Gerichtshofs der [X.]ist mithin zu prüfen, ob sich die im Streitfall maßgeblichen Bestimmungen gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG in den Rahmen des jedem Mitgliedstaat in Art. 80 Abs. 2 DSGVO eingeräumten Ermessensspielraums einfügen. Dieser Spielraum ist im Wege der Auslegung unter Berücksichtigung des Wortlauts des Art. 80 Abs. 2 DSGVO sowie der Systematik und der Ziele der [X.]zu ermitteln (vgl. EuGH, GRUR 2022, 920 [juris Rn. 62] - [X.]Ireland). Die in Art. 80 Abs. 2 DSGVO den Mitgliedstaaten eröffnete Möglichkeit, ein Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen, ist an eine Reihe von Anforderungen an den persönlichen und sachlichen Anwendungsbereich geknüpft (EuGH, GRUR 2022, 920 [juris Rn. 63] - [X.]Ireland). Vorliegend sind zwar die Anforderungen an den persönlichen Anwendungsbereich erfüllt. Ob mit Blick auf den Inhalt der in Rede stehenden Klageanträge auch sämtliche Anforderungen an den sachlichen Anwendungsbereich des Art. 80 Abs. 2 DSGVO vollständig erfüllt sind, ist dagegen zweifelhaft.

2. Die dem Kläger durch § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG eingeräumte Klagebefugnis fällt in den persönlichen Anwendungsbereich von Art. 80 Abs. 2 DSGVO. Der Kläger erfüllt als Verband zur Wahrung von Verbraucherinteressen die in Art. 80 Abs. 1 DSGVO an die Klagebefugnis einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht zu stellenden Anforderungen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 65 und 79] - [X.]Ireland).

3. Ob die für den sachlichen Anwendungsbereich maßgeblichen Voraussetzungen des Art. 80 Abs. 2 DSGVO vollständig erfüllt sind, ist im Streitfall nicht zweifelsfrei zu beantworten.

a) Allerdings steht der Klagebefugnis des [X.]nicht entgegen, dass er seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat (vgl. BGH, GRUR 2020, 896 [juris Rn. 7] - App-Zentrum I; EuGH, GRUR 2022, 920 [juris Rn. 36] - [X.]Ireland). Gegenstand des Klagebegehrens ist zwar allein die abstrakte Überprüfung der Präsentation des [X.]durch die Beklagte am objektivrechtlichen Maßstab des Datenschutzrechts (zum Klagebegehren im Streitfall vgl. BGH, GRUR 2020, 896 [juris Rn. 62] - AppZentrum I). Der [X.]hat jedoch bereits entschieden, dass von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der [X.]verstößt, konkret betroffen ist. Der Begriff "betroffene Person" im Sinne von Art. 4 Nr. 1 DSGVO umfasst nicht nur eine "identifizierte natürliche Person", sondern auch eine "identifizierbare natürliche Person", also eine natürliche Person, die direkt oder indirekt, mittels Zuordnung zu einer Kennung wie insbesondere einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung identifiziert werden kann. Unter diesen Umständen kann die Benennung einer Kategorie oder Gruppe von Personen, die von einer solchen Verarbeitung betroffen sind, für die Erhebung einer solchen Verbandsklage ausreichen (vgl. EuGH, GRUR 2022, 920 [juris Rn. 68 f.] - [X.]Ireland). Die von der Gestaltung des [X.]angesprochenen Nutzer der Internetplattform Facebook, die an der Durchführung eines dort angebotenen Spiels interessiert waren und deshalb potentiell durch Betätigung des Buttons "Sofort spielen" ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten erklären konnten, sind identifizierbare natürliche Personen im vorstehenden Sinne.

b) Der Anwendung von Art. 80 Abs. 2 DSGVO steht außerdem nicht entgegen, dass der Kläger mit einem Verstoß gegen die Vorschriften zum Schutz der personenbezogenen Daten der Verbraucher zugleich einen Verstoß gegen andere Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken beanstandet (vgl. EuGH, GRUR 2022, 920 [juris Rn. 66 und Rn. 77 bis 82] - [X.]Ireland).

c) Art. 80 Abs. 2 DSGVO setzt außerdem voraus, dass der klagende Verband geltend macht, die Rechte einer betroffenen Person gemäß der [X.]seien "infolge einer Verarbeitung" verletzt worden. Es ist nicht eindeutig, ob diese Voraussetzung nach den Umständen des Streitfalls erfüllt ist. Die Vorlagefrage dient der Klärung der in diesem Rahmen zu stellenden rechtlichen Anforderungen.

aa) Die Vorlagefrage ist nicht bereits durch das im Rahmen des vorliegenden Rechtsstreits ergangene Urteil des Gerichtshofs der [X.]vom 28. April 2022 in der Sache "[X.]Ireland" geklärt. Der Gerichtshof hat in seinem Urteil keine Ausführungen dazu gemacht, welche Voraussetzungen nach den unionsrechtlichen Vorgaben erfüllt sein müssen, damit von einer Verletzung der Rechte einer betroffenen Person gemäß der [X.]"infolge einer Verarbeitung" ausgegangen werden kann.

bb) Die Auslegung des Begriffs der Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO ist nicht zweifelsfrei. Es ist bereits nicht klar, unter welchen Umständen von einer "Verarbeitung" auszugehen ist und insbesondere, ob diese bei einer im Streitfall in Rede stehenden Informationspflichtverletzung vorliegt (dazu unter Rn. 27 bis 31). Selbst wenn dies zu bejahen ist, stellt sich die Frage, ob eine Verletzung "infolge" der Verarbeitung im Sinne von Art. 80 Abs. 2 DSGVO erfolgt (dazu Rn. 32 bis 34).

(1) Nach Art. 4 Nr. 2 DSGVO bezeichnet "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Aus dem Wortlaut dieser Bestimmung, insbesondere aus dem Ausdruck "jeder Vorgang", ergibt sich, dass der [X.]den Begriff "Verarbeitung" weit fassen wollte. Diese Auslegung wird dadurch bestätigt, dass die Aufzählung der Vorgänge in der genannten Bestimmung nicht abschließend ist, was durch die Wendung "wie" zum Ausdruck kommt (EuGH, Urteil vom 24. Februar 2022 - C-175/20, K&R 2022, 260 [juris Rn. 35] - Valsts ieņēmumu dienests).

(2) Im Streitfall ist zu berücksichtigen, dass der Kläger die Verletzung einer die Beklagte treffenden Informationspflicht über Zweck und Umfang einer Einwilligung des Nutzers in die Verarbeitung seiner personenbezogenen Daten geltend macht (BGH, GRUR 2020, 896 [juris Rn. 19] - App-Zentrum I; EuGH, GRUR 2022, 920 [juris Rn. 35] - [X.]Ireland).

Gegenstand der Klage ist die Präsentation von Spielen in dem auf der Internetplattform der [X.]befindlichen "App-Zentrum" und der Hinweis, dass die Anwendung berechtigt sei, bestimmte personenbezogene Informationen des Nutzers in seinem Namen zu veröffentlichen (EuGH, GRUR 2022, 920 [juris Rn. 35] - [X.]Ireland). Der Kläger hat seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben (BGH, GRUR 2020, 896 [juris Rn. 7] - App-Zentrum I); EuGH, GRUR 2022, 920 [juris Rn. 36] - [X.]Ireland).

Nicht Gegenstand der Klage ist damit die Frage, ob die Beklagte in dem Moment die Datenschutzrechte eines Nutzers verletzt, in dem dieser im App-Zentrum den Button "Sofort Spielen" oder "[X.]spielen" betätigt und dadurch möglicherweise eine Verarbeitung seiner personenbezogenen Daten auslöst. Ebenso ist nicht streitgegenständlich, ob die nach der Betätigung eines solchen Buttons erfolgenden automatisierten Vorgänge in Bezug auf personenbezogene Daten eines Nutzers dessen Datenschutzrechte verletzen.

(3) Nach Auffassung des Senats ist nicht eindeutig zu beantworten, ob die im Streitfall vorliegende Verletzung der sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. [X.]und e [X.]ergebenden Verpflichtung, der betroffenen Person die Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (vgl. BGH, GRUR 2020, 896 [juris Rn. 30] - App-Zentrum I), unter den Begriff der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO fällt.

Eine "Verarbeitung" könnte nach dem Wortsinn eine unmittelbare oder zumindest mittelbare Einwirkung auf personenbezogene Daten erfordern (vgl. BeckOK.IT-Recht/Borges, 8. Edition [Stand: 1. Juli 2021], Art. 4 DSGVO Rn. 27). Ein "Vorgang" im Sinne von Art. 4 Nr. 2 DSGVO könnte eine Handlung voraussetzen, die zur Folge hat, dass etwas mit den Daten geschieht oder ein Umgang mit ihnen erfolgt, und daher möglicherweise Informationspflichten im Zusammenhang mit der Einholung einer Einwilligung in die angestrebte spätere Datennutzung nicht einschließen (vgl. Grentzenberg/Spittka, [X.]2020, 539, 541 mwN). Auch der [X.]könnte gegen eine Einbeziehung von Informationspflichten in den Begriff der Verarbeitung sprechen. Bei den Pflichten zur Information über Zweck und Umfang einer vom Verantwortlichen in Aussicht gestellten Datenverarbeitung geht es um das der eigentlichen Verarbeitung von personenbezogenen Daten vorgelagerte Stadium.

Andererseits hat der [X.]mit Blick auf den weit auszulegenden Begriff der Verarbeitung auch Vorgänge als erfasst angesehen, mit denen eine Erhebung von Daten und damit ein vom Verordnungsgeber ausdrücklich als Beispiel einer Verarbeitung angesehener Vorgang lediglich "eingeleitet" wird (EuGH, K&R 2022, 260 [juris Rn. 37] - Valsts ieņēmumu dienests). Der im Streitfall in Rede stehende Sachverhalt könnte dem gleichstehen, weil die mit der Klage angegriffene Präsentation des [X.]dem Nutzer die Möglichkeit bot, durch einen einfachen Klick auf den Button unmittelbar einen Vorgang auszulösen, bei dem es ohne weitere Zwischenschritte zu einer Verarbeitung seiner persönlichen Daten kam.

Für eine weite Auslegung dürfte außerdem das Ziel der [X.]sprechen, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. EuGH, GRUR 2022, 920 [juris Rn. 73] - [X.]Ireland).

Ebenfalls für eine weite Auslegung könnte sprechen, dass der Verantwortliche die im Streitfall in Rede stehende Informationspflicht gemäß Art. 13 Abs. 1 DSGVO "zum Zeitpunkt der Erhebung" der personenbezogenen Daten erfüllen muss. Da die mitzuteilenden Informationen der betroffenen Person als Grundlage für ihre Entscheidung dienen sollen, ob sie in die Verarbeitung ihrer Daten einwilligt oder ob sie hiergegen Einwände erhebt, und dieser Zweck verfehlt würde, wenn sie die Informationen erst nach Beginn der Datenerhebung erhielte, dürften die Informationen vor dem Beginn des Datenflusses zu erteilen sein [X.]in Gola/Heckmann, [X.]BDSG, 3. Aufl., Art. 13 DSGVO Rn. 39; Bäcker in Kühling/Buchner, [X.]BDSG, 3. Aufl., Art. 13 DSGVO Rn. 56). Dies legt nahe, dass der Verordnungsgeber von einem weit zu verstehenden Begriff der Erhebung ausgegangen ist, der auch die Situation vor Beginn der Datenerhebung im technischen Sinne umfasst.

(4) Selbst wenn die im Streitfall in Rede stehende Informationspflicht unter den Begriff der "Verarbeitung" im Sinne von Art. 4 Nr. 2 DSGVO fällt, stellt sich die weitere Frage, ob der Kläger im Streitfall eine Verletzung "infolge" der Verarbeitung im Sinne von Art. 80 Abs. 2 DSGVO geltend macht.

Die Formulierung "infolge" könnte darauf hindeuten, dass sich das den Mitgliedstaaten in Art. 80 Abs. 2 DSGVO eröffnete Ermessen nur auf die Schaffung einer Verbandsklagebefugnis erstreckt, mit der eine Verletzung von Rechten einer betroffenen Person gemäß der [X.]geltend gemacht werden kann, die Ergebnis eines Vorgangs der Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO ist und einem solchen Vorgang mithin nachfolgt.

Demgegenüber dürfte das Ziel der Datenschutz-Grundverordnung, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. EuGH, GRUR 2022, 920 [juris Rn. 74] - [X.]Ireland), dafür sprechen, eine Verbandsklagebefugnis auch auf eine Verletzung der sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. [X.]und e [X.]ergebenden Verpflichtung zu erstrecken, Informationen über den Zweck der Datenverarbeitung und den Empfänger personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Insoweit dürfte wiederum zu berücksichtigen sein, dass mit dieser Informationspflicht auch die Einwilligung der betroffenen Person als gemäß Art. 6 Abs. 1 Satz 1 Buchst. a [X.]zentrales Erfordernis für die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten vorbereitet wird.

III. Der Senat weist vorsorglich darauf hin, dass sich die in seinem Vorlagebeschluss vom 28. Mai 2020 formulierte Frage jedenfalls sinngemäß für den Fall erneut stellen könnte, dass der [X.]die vorliegend gestellte Vorlagefrage dahingehend beantwortet, dass die Klagebefugnis im Streitfall nicht mit Erfolg auf Art. 80 Abs. 2 DSGVO gestützt werden kann.