Der unter anderem für das Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat klargestellt, dass Verstöße gegen die datenschutzrechtlichen Informationspflichten der Datenschutz-Grundverordnung (DSGVO) zugleich einen Wettbewerbsverstoß darstellen können. Damit kann eine qualifizierte Einrichtung wie die Verbraucherzentrale oder sonstige Verbraucherschutzverbände zivilrechtlich gegen Datenschutzverstöße vorgehen.
Datenschutzdefizite im „App-Zentrum“ von Facebook
Die Beklagte, Meta Platforms Ireland Ltd., betreibt das soziale Netzwerk „Facebook“. In einem Bereich der Plattform, dem sogenannten „App-Zentrum“, stellt die Beklagte ihren Nutzern Drittanbieter-Spiele zur Verfügung. Im November 2012 wurden dort mehrere Spiele angeboten, die mit einem Button „Sofort spielen“ versehen waren. Direkt unter diesem Button befanden sich Hinweise wie: „Durch das Anklicken von ‚Spiel spielen‘ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine E-Mail-Adresse, Über Dich, Deine Statusmeldungen.“ Zudem wurde erklärt, dass die Anwendung „in deinem Namen posten“ dürfe – einschließlich Punktestände, Statusmeldungen, Fotos und mehr.
Diese Hinweise wurden vom klagenden Verbraucherzentrale Bundesverband (vzbv) als unzureichend kritisiert. Insbesondere seien die Nutzer nicht klar und verständlich über Art, Umfang und Zweck der Verarbeitung ihrer personenbezogenen Daten informiert worden. Zudem stelle der pauschale Hinweis auf die Möglichkeit, Inhalte im Namen der Nutzer zu veröffentlichen, eine unangemessene Benachteiligung dar und sei daher als unwirksame Allgemeine Geschäftsbedingung zu qualifizieren. Der vzbv erhob daraufhin Unterlassungsklage.
Klagebefugnis für Verbraucherschutzverbände?
Nachdem das Berufungsgericht der Klage stattgegeben hatte, setzte der BGH das Verfahren aus und legte dem Gerichtshof der Europäischen Union (EuGH) mehrere Fragen zur Auslegung von Art. 80 Abs. 2 DSGVO zur Vorabentscheidung vor. Hintergrund war insbesondere die Frage, ob Verbraucherschutzverbände berechtigt sind, Datenschutzverstöße gerichtlich geltend zu machen, ohne dass sie von Betroffenen beauftragt oder im Einzelfall konkretisiert werden müssen. Der EuGH wurde um Klärung gebeten, ob eine solche Klagebefugnis mit der DSGVO vereinbar ist, insbesondere im Hinblick auf den kollektiven Rechtsschutz im Datenschutzrecht.
Der EuGH hat diese Fragen in zwei Urteilen beantwortet: Am 28. April 2022 in der Rechtssache C-319/20 (Meta Platforms Ireland I) und am 11. Juli 2024 in der Rechtssache C-757/22 (Meta Platforms Ireland II). In beiden Entscheidungen hat der EuGH bestätigt, dass qualifizierte Einrichtungen – wie etwa Verbraucherverbände – nach Art. 80 Abs. 2 DSGVO unabhängig von einem individuellen Auftrag betroffener Personen berechtigt sind, Verstöße gegen die Datenschutz-Grundverordnung gerichtlich zu verfolgen. Ausreichend sei, dass die Klage im Interesse des Schutzes der Rechte und Freiheiten natürlicher Personen erhoben werde und sich auf eine hinreichend konkretisierte Datenverarbeitung beziehe. Eine konkrete Betroffenheit einzelner Personen sei nicht erforderlich. Damit wurde der Weg für eine effektive kollektive Rechtsdurchsetzung im Datenschutzrecht auf europäischer Ebene gestärkt.
Verbraucherschutzverbände als qualifizierte Einrichtungen
Der Bundesgerichtshof wies die Revision der Beklagten in vollem Umfang zurück und stellte in seiner Entscheidung mehrere für die datenschutz- und wettbewerbsrechtliche Beurteilung zentrale Grundsätze heraus:
Zum einen bestätigte der Bundesgerichtshof ausdrücklich die Klagebefugnis des Verbraucherzentrale Bundesverbands nach Art. 80 Abs. 2 DSGVO in Verbindung mit § 8 Abs. 3 Nr. 3 UWG, § 3 Abs. 1 Satz 1 Nr. 1 UKlaG sowie § 1 UKlaG. Demnach können qualifizierte Einrichtungen auch ohne individuelles Mandat von Betroffenen gegen Datenschutzverstöße vorgehen, sofern diese hinreichend konkret und geeignet sind, Verbraucherinteressen zu beeinträchtigen. Die Verbandsklage ist bereits dann zulässig, wenn eine Personengruppe – etwa die Nutzer einer Plattform – abstrakt bestimmbar ist und ein systematischer Verstoß gegen die DSGVO zu vermuten ist.
Zweitens stellte das Gericht klar, dass die datenschutzrechtlichen Informationspflichten aus Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 lit. c und e DSGVO nicht nur für die Wirksamkeit einer Einwilligung maßgeblich sind, sondern auch eine lauterkeitsrechtlich relevante Marktverhaltensregelung darstellen. Ein Verstoß gegen diese Pflichten kann zugleich ein unlauteres Verhalten im Sinne des § 3a UWG oder einen Verstoß gegen § 5a UWG (Vorenthalten wesentlicher Informationen) darstellen.
Drittens betonte der BGH die besondere Bedeutung dieser Informationspflichten in datengetriebenen Geschäftsmodellen. Da die Nutzer häufig nicht mit Geld, sondern mit ihren personenbezogenen Daten „bezahlen“, komme der Transparenz der Datenverarbeitung eine entscheidende Rolle für die Entscheidungsfreiheit der Verbraucher zu. Fehlten diese Informationen, sei die Einwilligung in die Datenverarbeitung nicht nur unwirksam, sondern auch wettbewerbsrechtlich angreifbar.
Viertens bestätigte das Gericht, dass die pauschale Erlaubnis, eine App könne im Namen des Nutzers „Statusmeldungen, Fotos und mehr“ posten, eine unangemessene Benachteiligung im Sinne von § 307 BGB darstelle. Die Klausel sei aufgrund des unzureichenden Informationsgehalts intransparent und überraschend. Ihre Verwendung könne daher auch nach § 1 UKlaG untersagt werden.
Praktische Auswirkungen des BGH-Urteils
Eine der zentralen Auswirkungen des Urteils liegt in der Bestätigung der aktiven Klagebefugnis von Verbraucherverbänden nach Art. 80 Abs. 2 DSGVO: Diese können jetzt ohne konkreten Einzelfall und ohne individuelles Mandat tätig werden: Sofern ein struktureller Verstoß gegen die DSGVO vorliegt, der potenziell eine große Gruppe von Nutzern betrifft. Dies ermöglicht den Verbänden, gegen datenschutzwidriges Verhalten vorzugehen. Insbesondere in Fällen, in denen die Betroffenen selbst die Rechtsverletzung nicht erkennen oder aufgrund asymmetrischer Informationsverhältnisse nicht geltend machen können. Damit wird die kollektive Rechtsdurchsetzung im Datenschutzrecht gestärkt.
Für Unternehmen – insbesondere solche mit datenbasierten Geschäftsmodellen – ergibt sich aus dem Urteil Handlungsbedarf. Die Anforderungen an Transparenz, Verständlichkeit und Vollständigkeit der Datenschutzhinweise steigen weiter. Unternehmen müssen sicherstellen, dass Nutzerinnen und Nutzer über die Erhebung, Verarbeitung, Übermittlung und den Zweck ihrer personenbezogenen Daten in verständlicher Sprache, zum frühestmöglichen Zeitpunkt und umfassend informiert werden. Dabei sind sowohl die Rechtsgrundlagen als auch die Empfänger und die Dauer der Speicherung transparent darzustellen.
Verstöße gegen diese Pflichten haben nicht nur datenschutzrechtliche Konsequenzen, etwa durch Maßnahmen der Aufsichtsbehörden nach Art. 58 DSGVO und Bußgelder nach Art. 83 DSGVO. Sie können nun auch wettbewerbsrechtlich geahndet werden. Das Risiko zivilrechtlicher Unterlassungsklagen durch Verbände steigt erheblich. Gleichzeitig werden auch unwirksame Klauseln in Nutzungsbedingungen oder Allgemeinen Geschäftsbedingungen leichter angreifbar, wenn sie datenschutzrechtliche Defizite aufweisen oder Verbraucher unangemessen benachteiligen.
Nicht zuletzt rückt das Urteil auch die Wirksamkeit von Einwilligungen stärker in den Fokus. Eine Einwilligung ist nur dann wirksam, wenn sie auf einer vorherigen, umfassenden und transparenten Information beruht. Andernfalls ist sie nicht nur datenschutzrechtlich unwirksam, sondern kann auch als wettbewerbsrechtlicher Verstoß sanktioniert werden.
Datenschutz ist nicht nur ein ordnungsrechtliches, sondern zunehmend auch ein zivilrechtliches und marktwirtschaftliches Compliance-Gebot. Unternehmen sollten ihre Informations- und Einwilligungsprozesse vor dem Hintergrund dieser Entscheidung kritisch überprüfen und anpassen.
Quelle: Pressemitteilung zum BGH-Urteil I ZR 186/17 vom 27. März 2025
German 
English 
Italian 
French