Verbraucherschutzverbände dürfen auch ohne einen konkreten Auftrag Datenschutzverstöße von Unternehmen zivilrechtlich verfolgen lassen. Dies hat der BGH in einem Verfahren der Verbraucherzentrale gegen Facebook entschieden. Und auch Wettbewerber dürfen gegen Datenschutzverletzungen ihrer Konkurrenten vorgehen. Dies entschied er in zwei Parallelverfahren eines Mitbewerbers gegen zwei Apotheker, die Medikamente über den Amazon Marketplace verkauften.
Der Bundesgerichtshof (BGH) hat am 27. März 2025 eine weitreichende Entscheidung getroffen und jahrelange Rechtsstreitigkeiten beendet. Sowohl Verbraucherschutzverbände als auch Mitbewerber dürfen Datenschutzverstöße vor Zivilgerichten einklagen. Im Fall des Verbraucherzentrale Bundesverbands (vzbv) gegen Facebook (heute Meta) ging es um intransparente Datenverarbeitung im sogenannten App-Zentrum. In zwei weiteren Verfahren standen Apotheken in Sachsen-Anhalt im Fokus, die Medikamente über den Amazon Marketplace ohne ausdrückliche Einwilligung der Kunden vertrieben hatten. Der BGH hat in beiden Konstellationen die Klagebefugnis der Verbände und Mitbewerber bestätigt und zugleich Datenschutzverstöße klar benannt (BGH, Urteile vom 27.03.2025, Az. I ZR 186/17, I ZR 222/19 und I ZR 223/19).
Verfahren gegen Facebooks „App-Zentrum“ (BGH, Az. I ZR 186/17)
Bereits im Jahr 2012 hatte Facebook ein „App-Zentrum“ auf seiner Plattform betrieben, über das Nutzer kostenlose Online-Spiele von Drittanbietern nutzen konnten. Wer auf den Button „Sofort spielen“ klickte, stimmte automatisch zu, dass bestimmte personenbezogene Daten wie Name, E-Mail-Adresse, Statusmeldungen und weitere Informationen an die jeweiligen Spielanbieter weitergegeben wurden. Zudem konnten diese Anwendungen im Namen des Nutzers posten.
Diese Hinweise wurden lediglich in einem kurzen Text unterhalb des Buttons angezeigt. So hieß es: „Durch das Anklicken von ‚Spiel spielen“ oben erhält diese Anwendung: Deine allgemeinen Informationen (?), Deine E-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.„
Tipp: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Mit dem Abmahnschutz unserer Datenschutzpakete bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind. Hier klicken & mehr erfahren.
Neu für Unternehmen 🔥
Rundum-Datenschutz im Abo
Vermeiden Sie hohe Datenschutz-Bußgelder & Abmahnungen.
Mit unseren Datenschutz-Paketen ab 711 € mtl.
✓ Rechtssicherheit
✓ Abmahnschutz
✓ Persönliche Betreuung im Ernstfall
Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.
Der Verbraucherzentrale Bundesverband (vzbv) sah darin eine Verletzung der datenschutzrechtlichen Informationspflichten. Die Nutzer seien nicht hinreichend darüber informiert worden, welche Daten konkret weitergegeben und zu welchem Zweck sie verwendet würden. Die Einwilligung sei daher nicht wirksam. Außerdem sei dies ein wettbewerbswidriges Verhalten. Daher nahm der vzbv Facebook auf Unterlassung in Anspruch. In dem abschließenden Hinweis bei einem Spiel sah die Verbraucherzentrale zudem eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.
BGH-Urteil gegen Facebook (Meta)
Das Landgericht (LG) Berlin verurteilte Facebook bereits 2014 zur Unterlassung (LG Berlin, Urteil vom 28. Oktober 2014, Az. 16 O 60/13). Auch das Kammergericht (KG) Berlin sah die Klage als begründet an KG Berlin, Urteil vom 22. September 2017, Az. 5 U 155/14). Facebook verfolgte die Sache mit der Revision weiter. Der BGH setzte das Verfahren jedoch zweimal aus, um die Auslegung von Art. 80 Abs. 2 DSGVO durch den Europäischen Gerichtshof (EuGH) zu klären. Schon 2019 hatte der EuGH in einem anderen Verfahren (auf Vorlage des OLG Düsseldorf) entschieden, dass Betreiber von Webseiten, die den „Gefällt mir“-Button von Facebook eingebunden hatten, gemeinsam mit Facebook für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich seien. Dies bilde eine wichtige Grundlage für das Verständnis gemeinsamer Verantwortlichkeit.
In der hier relevanten Sache entschied der EuGH 2022 (C-319/20) sodann, dass Verbraucherschutzverbände auch dann gegen Datenschutzverstöße klagen dürfen, wenn sie keine ausdrückliche Beauftragung durch betroffene Nutzer haben. Im Juli 2024 (C-757/22) stellte der EuGH zudem klar, dass dieses Verbandsklagerecht auch dann besteht, wenn es „nur“ um Verstöße gegen Informationspflichten aus Art. 12 DSGVO geht.
Auf dieser Grundlage entschied der BGH nun. Facebook hat gegen Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchstaben c und e DSGVO verstoßen. Die Nutzer seien nicht in allgemein verständlicher Weise über Art, Umfang, Zweck und Empfänger der Datenerhebung informiert worden. Die Datenschutzhinweise seien unzureichend und die Einwilligung somit unwirksam.
Zugleich sah der BGH darin einen Verstoß gegen § 5a Abs. 1 UWG. Das Vorenthalten dieser Informationen sei auch wettbewerbsrechtlich relevant, weil sie für die Entscheidung des Verbrauchers wesentlich seien. Der wirtschaftliche Wert personenbezogener Daten für digitale Geschäftsmodelle begründe ein erhebliches Informationsinteresse. Hinzu kam ein Verstoß gegen das AGB-Recht: Die Formulierung zur Berechtigung, im Namen der Nutzer zu posten, sei eine unangemessene Benachteiligung und somit unwirksam nach § 307 BGB.
Der vzbv durfte daher auf Unterlassung klagen, gestützt auf Art. 80 Abs. 2 DSGVO, § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG. Verbraucherschutzverbände sind damit nach Auffassung des BGH berechtigt, Verstöße gegen die DSGVO geltend zu machen. Ihnen ist es damit möglich, Rechtsverstöße im kollektiven Interesse z.B. im Wege der Verbandsklage zu verfolgen.
Verfahren gegen zwei Apotheken (BGH, Az. I ZR 222/19 und Az. I ZR 223/19)
In den beiden weiteren parallelen Verfahren standen zwei Apotheken aus Sachsen-Anhalt im Fokus, die über Amazon Marketplace apothekenpflichtige Medikamente verkauft hatten. Die Kunden gaben bei der Bestellung personenbezogene Daten wie ihren Namen, ihre Lieferadresse sowie Informationen zur Individualisierung der Medikamente ein.
Diese Daten wurden verarbeitet, ohne dass eine ausdrückliche Einwilligung der Kunden eingeholt wurde. Ein Mitbewerber sah darin einen Verstoß gegen die besonderen Vorgaben der DSGVO für Gesundheitsdaten. Im Verfahren I ZR 222/19 wurden zusätzlich Verstöße gegen das Arzneimittelgesetz, die Apothekenbetriebsordnung sowie die Berufsordnung für Apotheker geltend gemacht.
Urteile gegen Apotheker in den Amazon-Marketplace-Fällen
Die Klagen des Mitbewerbers hatten zunächst in beiden Verfahren in den Vorinstanzen teilweise Erfolg. Im Verfahren I ZR 222/19 wurde die Klage auf Unterlassung wegen Datenschutzverstoßes bestätigt, Ansprüche aus anderen Gesetzen sowie der Schadensersatzantrag wurden jedoch abgewiesen. Das Parallelverfahren I ZR 223/19 wurde ausgesetzt und dem EuGH zur Vorabentscheidung vorgelegt (C-21/23 „Lindenapotheke“).
Der EuGH stellte im Oktober 2024 fest, dass auch bei nicht verschreibungspflichtigen Arzneimitteln Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO vorlägen. Er bestätigte das Recht von Wettbewerbern, Verstöße gegen die DSGVO zu verfolgen. Dies gelte insbesondere dann, wenn der Verstoß auch eine unlautere Geschäftspraxis darstelle: Wenn der Wettbewerber durch den Verstoß benachteiligt werde, könne er rechtliche Schritte gegen den mutmaßlichen Täter einleiten. Neben den Rechten der betroffenen Personen und der Aufsichtsbehörden könnten Wettbewerber daher auch zivilrechtliche Verfahren wegen Datenschutzverletzungen nach nationalem Recht einleiten, so der EuGH.
Auf dieser Grundlage entschied nun der BGH. Nach BGH-Überzeugung sei die Erhebung, Verarbeitung und Nutzung von Bestelldaten ohne ausdrückliche Einwilligung der Kunden rechtswidrig. Gesundheitsdaten unterlägen einem besonderen Schutz. Der BGH stellte klar, dass auch Daten wie Name, Adresse und Medikation in diesem Kontext unter den Gesundheitsdatenschutz fallen würden. Art. 9 DSGVO sei eine Marktverhaltensregel im Sinne des § 3a UWG, weshalb es auch Mitbewerbern erlaubt sei, solche Datenschutzverstöße wettbewerbsrechtlich vor Zivilgerichten zu verfolgen (§ 8 Abs. 3 Nr. 1 UWG).
Fragen zum Datenschutz? WBS.LEGAL hilft Ihnen
Haben Sie eine Abmahnung erhalten, Fragen im Datenschutzrecht oder benötigen Sie eine dauerhafte Betreuung? Unsere Experten im Datenschutzrecht beraten Sie gerne zu allen Fragen des Datenschutzrechts.
Schreiben Sie uns Ihr Anliegen direkt persönlich!
Kontaktieren Sie uns gerne direkt für ein kostenloses Erstgespräch, in dem wir gemeinsam herausfinden, ob und wie wir Sie optimal unterstützen können.
