In Zusammenarbeit mit Kanzlei Föhlisch

BGH: Verbraucherschutzverbände können gegen DSGVO-Verstöße klagen

Bereits 2022 hatte der EuGH auf Vorlage des BGH entschieden, dass Verbraucherschutzverbände gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklage erheben können. Solche Klagen könnten unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person auf den Schutz ihrer Daten und ohne entsprechenden Auftrag erhoben werden. Allerdings setzte der BGH das Verfahren im Anschluss erneut aus und der EuGH entschied, dass Verbraucherschutzverbände auch gegen Verletzungen von DSGVO-Informationspflichten vorgehen können. Heute hat der BGH (Urt. v. 27.3.2025 – I ZR 186/17) in dieser Frage entschieden.

Worum ging es in dem Verfahren?

Die Beklagte, die Facebook Ireland Limited, ist die Betreiberin von Facebook. Sie bietet ein „App-Zentrum“ an, in dem sie den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button „Sofort spielen“ folgende Hinweise zu lesen waren: „Durch das Anklicken von ‚Spiel spielen‛ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“

Der Kläger ist der Bundesverband der Verbraucherzentralen (vzbv). Er vertritt die Ansicht, die Präsentation der unter dem Button „Sofort spielen“ gegebenen Hinweise im App-Zentrum genüge nicht den gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung der Nutzer und sei unlauter. Der vzbv hält sich zur Geltendmachung von Unterlassungsansprüchen im Wege der Klage vor den Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG für befugt.

Der BGH hatte das Verfahren ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob die in Kapitel VIII DSGVO vorgesehenen Regelungen, insbesondere Art. 80 Abs. 1, 2 und Art. 84 Abs. 1 DSGVO, nationalen Bestimmungen entgegenstehen, die es einerseits Mitbewerbern und andererseits berechtigten Verbänden, Einrichtungen und Kammern ermöglichen, gegen den Verletzer vorzugehen.

Der EuGH (Urt. v. 28.4.2022 – C-319/20) hatte entschieden, dass Art. 80 Abs. 2 DSGVO dahin auszulegen sei, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.

Der BGH hatte anschließend das Verfahren erneut ausgesetzt und dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob eine Rechtsverletzung „infolge einer Verarbeitung“ nach Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, dass lediglich Informationspflichten nach Art. 12, 13 DSGVO hinsichtlich des Zwecks der Datenverarbeitung und der Empfänger der personenbezogenen Daten nicht erfüllt wurden.

EuGH: Verletzungen von DSGVO-Informationspflichten genügen

Der EuGH entschied daraufhin, dass Art. 80 Abs. 2 DSGVO dahin auszulegen sei, dass die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12, Art. 13 DSGVO obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Die Entscheidung des BGH

Die Revision der Beklagten hatte keinen Erfolg. Verbraucherschutzverbände können unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person auf den Schutz ihrer Daten und ohne entsprechenden Auftrag klagen. Dies gelte auch bei Verletzungen von DSGVO-Informationspflichten. Der BGH schließt sich damit der Entscheidung des EuGH an. Das Urteil ist noch nicht im Volltext verfügbar, das Gericht hat jedoch bereits eine Pressemitteilung veröffentlicht.

Informationsrecht soll geschützt werden

Art. 80 Abs. 2 DSGVO eröffne den Mitgliedstaaten die Möglichkeit, das Verfahren einer Verbandsklage gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten vorzusehen. Auf dieser Grundlage können Verbraucherverbände gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei. Verbraucherschutzverbände können auch gegen Verletzungen von DSGVO-Informationspflichten vorgehen.

Art. 80 Abs. 2 DSGVO bildet eine geeignete Grundlage für die Verfolgung von Verstößen gegen die Datenschutz-Grundverordnung durch Verbände nach dem Gesetz gegen den unlauteren Wettbewerb und dem Unterlassungsklagengesetz. Den genannten Verbraucherverbänden steht daher nach § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, gegen Verletzungen von Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb und gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 1 und 2 Satz 1 Nr. 13 UKlaG sowie der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen. Unschädlich ist insoweit, dass der Kläger seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat. Da von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der Datenschutz-Grundverordnung verstößt, konkret betroffen ist, ist die Benennung einer Kategorie oder Gruppe von identifizierbaren natürlichen Personen für die Erhebung einer solchen Verbandsklage ausreichend. Es genügt außerdem, wenn sich die Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO obliegt, weil im Streitfall nicht davon ausgegangen werden kann, dass der Kläger mit seiner Klage rein hypothetische Verstöße geltend macht.

Verstoß gegen datenschutzrechtliche Informationspflichten

Vorliegend habe die Beklagte gegen datenschutzrechtliche Informationspflichten nach Art. 12, 13 DSGVO verstoßen und die Nutzer zu Beginn des Nutzungsvorgangs nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form sowie über die Rechtsgrundlage für die Verarbeitung und die Empfänger der persönlichen Daten unterrichtet. Hierin liege zugleich ein Verstoß gegen § 5a Abs. 1 UWG.

In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten liegt zugleich ein Verstoß gegen Lauterkeitsrecht unter dem Gesichtspunkt des Vorenthaltens einer wesentlichen Information gemäß § 5a Abs. 1 UWG. Ausgehend von der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für internetbasierte Geschäftsmodelle, deren Nutzung der Verbraucher mit der Preisgabe personenbezogener Daten vergütet, kommt den datenschutzrechtlichen Unterrichtungspflichten zentrale Bedeutung zu. Sie sollen sicherstellen, dass der Verbraucher bei seiner Nachfrageentscheidung, die mit einer Einwilligung in die Verarbeitung personenbezogener Daten verknüpft ist, möglichst umfassend über Umfang und Tragweite dieser Einwilligungserklärung ins Bild gesetzt wird, um eine informierte Entscheidung treffen zu können.

Der abschließende Hinweis "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten" stellt eine den Nutzer wegen des Verstoßes gegen die datenschutzrechtlichen Informationspflichten unangemessen benachteiligende und daher unwirksame Allgemeine Geschäftsbedingung dar, deren Verwendung der Kläger nach § 3 Abs. 1 Satz 1 Nr. 1 UKlaG untersagen lassen kann.
27.03.25

Weitere relevante Artikel

BGH: Mitbewerber können DSGVO-Verstöße verfolgen

OLG Stuttgart: Werbung mit nicht ernsthaft geforderter UVP irreführend

OLG Bamberg: Werbung mit „Fatburner“ ist unzulässiger Health Claim

© 2024 Trusted Shops SE Impressum Datenschutz Cookies