BGH bestätigt: Datenschutzverstöße können durch Wettbewerber und Verbraucherverbände verfolgt werden

Mit Urteil vom 27. März 2025 hat der Bundesgerichtshof (BGH) eine wichtige Entscheidung zur zivilrechtlichen Verfolgbarkeit von Datenschutzverstößen getroffen. Konkret ging es um die Frage, ob Verbraucherschutzverbände und Mitbewerber befugt sind, Verstöße gegen die DSGVO im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten geltend zu machen.

Bisher war diese Frage in Literatur und Rechtsprechung umstritten. Während einige Gerichte und Stimmen im Schrifttum annahmen, dass die DSGVO abschließend regele, wer zur Durchsetzung datenschutzrechtlicher Pflichten berechtigt ist, sahen andere – insbesondere mit Blick auf die Öffnungsklausel in Art. 80 Abs. 2 DSGVO – Raum für nationale Regelungen zur Verbandsklage. Der BGH hatte diese Rechtsfrage dem Gerichtshof der Europäischen Union (EuGH) zur Klärung vorgelegt.

EuGH stärkt Verbands- und Mitbewerberklagen

Der EuGH stellte in diesen Vorabentscheidungsverfahren zentrale Weichen:

In der Entscheidung Meta Platforms Ireland I (C-319/20) vom 28. April 2022 stellte der EuGH klar, dass Art. 80 Abs. 2 DSGVO es den Mitgliedstaaten ermöglicht, eine Klagebefugnis für qualifizierte Einrichtungen wie Verbraucherschutzverbände auch ohne konkreten Auftrag betroffener Personen vorzusehen. Entscheidend sei, dass die Klage auf den Schutz der Rechte von Personen im Zusammenhang mit der Verarbeitung ihrer Daten abziele. Eine konkrete Identifizierung einzelner Betroffener sei hierfür nicht erforderlich, sofern eine identifizierbare Kategorie oder Gruppe von Personen betroffen ist.

Mit dem nachfolgenden Urteil Meta Platforms Ireland II (C-757/22) vom 11. Juli 2024 bestätigte der EuGH diese Linie und präzisierte, dass die DSGVO einer nationalen Klagebefugnis für Mitbewerber nicht entgegensteht, wenn diese Datenschutzverstöße geltend machen, die zugleich Marktverhaltensregeln verletzen. Datenschutzrechtliche Vorschriften können demnach – je nach nationaler Ausgestaltung – auch wettbewerbsrechtlich relevant sein, insbesondere wenn sie Verbraucher bei Marktentscheidungen schützen sollen.

Entscheidung des BGH: Wettbewerbsrecht und DSGVO greifen ineinander

Der BGH hat in seinem Urteil vom 27. März 2025 diesen europarechtlichen Vorgaben entsprechend festgestellt, dass sowohl Verbraucherschutzverbände (§ 8 Abs. 3 Nr. 3 UWG, § 3 UKlaG) als auch Mitbewerber (§ 8 Abs. 3 Nr. 1 UWG) berechtigt sind, Datenschutzverstöße im Zivilrechtsweg zu verfolgen. Verstöße gegen zentrale Informationspflichten nach Art. 12 und 13 DSGVO sowie gegen das Verbot der Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO stellen Marktverhaltensregelungen im Sinne von § 3a UWG dar und begründen wettbewerbsrechtliche Unterlassungsansprüche.

Die Entscheidung betraf drei Verfahren: Im Verfahren I ZR 186/17 ging es um die Darstellung von Spielen im sogenannten „App-Zentrum“ des sozialen Netzwerks Facebook. Dort wurden den Nutzern vor Beginn des Spiels Informationen bereitgestellt, aus denen nicht hinreichend deutlich wurde, welche personenbezogenen Daten in welchem Umfang zu welchem Zweck verarbeitet und an wen diese weitergegeben werden. Der BGH stellte fest, dass die Informationen den Anforderungen der DSGVO nicht genügen und dass darin ein wettbewerbsrechtlich relevanter Verstoß gegen die sich aus der DSGVO ergebenden Informationspflichten liegt. Besonders betonte der BGH die wirtschaftliche Bedeutung personenbezogener Daten als „Währung“ bei internetbasierten Geschäftsmodellen. Die datenschutzrechtlichen Informationspflichten seien deshalb für eine informierte Verbraucherentscheidung essenziell und stellten eine wesentliche Marktverhaltensregel dar. Zudem wurde eine pauschale Klausel, wonach eine Anwendung etwa „Statusmeldungen, Fotos und mehr“ im Namen des Nutzers posten dürfe, als unangemessene Benachteiligung und damit als unwirksame Allgemeine Geschäftsbedingung eingestuft.

In den ebenfalls entschiedenen Verfahren I ZR 222/19 und I ZR 223/19 stand der Onlinevertrieb von Arzneimitteln über die Plattform Amazon durch Apotheker im Fokus. Die klagenden Apotheker beanstandeten, dass beim Bestellvorgang Gesundheitsdaten wie Name, Lieferadresse und Medikationsangaben ohne ausdrückliche Einwilligung der Kunden verarbeitet wurden. Der BGH bestätigte, dass es sich bei diesen Daten um Gesundheitsdaten im Sinne von Art. 9 DSGVO handelt und dass deren Verarbeitung ohne Einwilligung rechtswidrig ist. Auch hier erkannte der BGH einen wettbewerbsrechtlich relevanten Verstoß. Art. 9 DSGVO sei eine Marktverhaltensregel, da die Vorschrift die informationelle Selbstbestimmung der Verbraucher im Rahmen ihrer Marktteilnahme schütze.

Konsequenzen und Empfehlung

Die Entscheidung des BGH hat weitreichende Folgen für Unternehmen. Datenschutzverstöße sind künftig wesentlich „angreifbarer“, da nicht nur Aufsichtsbehörden und betroffene Nutzer aktiv werden können, sondern auch Abmahnungen durch Wettbewerber und Verbände drohen.

Das betrifft insbesondere unklare oder lückenhafte Datenschutzerklärungen, die Verwendung unzulässiger AGB-Klauseln oder die Verarbeitung sensibler Daten – etwa im Gesundheitsbereich – ohne wirksame Einwilligung. Unternehmen sollten daher ihre Einwilligungstexte und AGB-Klauseln sorgfältig prüfen und insbesondere sicherstellen, dass die datenschutzrechtlichen Informationspflichten vollständig, verständlich und transparent umgesetzt werden.