Der Bundesgerichtshof (BGH) hat am 27. März 2025 entschieden, dass Verbraucherschutzverbände zivilrechtlich gegen Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) vorgehen dürfen. Mit diesem Urteil entschied der BGH in einem Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und der Meta Platforms Ireland Limited (vormals Facebook) wegen der Präsentation des „App-Zentrums“ für Online-Spiele auf Facebook (Aktenzeichen I ZR 186/17). Der BGH hat damit die vorinstanzlichen Entscheidungen des Landgerichts Berlin und des Kammergerichts Berlin vollumfänglich bestätigt.

Ungewollte Spielewerbung mit den eigenen Daten

Im Mittelpunkt des Verfahrens stand das „App-Zentrum“, in dem Meta kostenlose Spiele von Drittanbietern präsentierte. Nutzer:innen die den Button „Sofort spielen“ anklickten, stimmten automatisch der Übermittlung verschiedener (personenbezogener) Daten an Drittanbieter zu und erlaubten diesen obendrein, „Statusmeldungen, Fotos und mehr“ in ihrem Namen zu posten. 

Nach Auffassung des vzbv war dieses Vorgehen nicht mit den Anforderungen an eine transparente Information der Nutzer:innen über Art, Umfang und Zwecke der Datenverarbeitung vereinbar und stellte damit zugleich einen Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) und AGB-Recht dar.

Mangelnde Transparenz auf ganzer Linie

Der BGH hat die Revision von Meta zurückgewiesen. Er erklärte damit die Klage des vzbv für zulässig und begründet. Die wichtigsten Punkte im Überblick:

Verbände dürfen auch ohne konkreten Auftrag klagen

Zunächst musste geklärt werden, ob Verbraucherschutzverbände (wie der vzbv) ohne einen Auftrag der betroffenen Personen (also der Nutzer:innen) überhaupt gegen Datenschutzverstöße gerichtlich vorgehen können. Der BGH hat das Verfahren zweimal ausgesetzt und wandte sich mit entsprechenden Fragen zur Auslegung der DSGVO an den Europäischen Gerichtshof.

Mit dem Rückenwind aus Luxemburg entschied der BGH dann: 
Verbraucherverbände dürften gegen die streitgegenständliche Verletzung von Datenschutzverstößen gerichtlich vorgehen.

Der BGH stützt seine Entscheidung maßgeblich auf Art. 80 Abs. 2 DSGVO, wonach die Mitgliedstaaten Organisationen wie Verbraucherschutzverbänden das Recht einräumen können, bei Verstößen gegen die DSGVO unabhängig von einem konkreten Auftrag vorzugehen. 

Verstoß gegen Informationspflichten

In der Sache stellte der BGH fest, dass Meta gegen seine Informationspflichten aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO verstoßen hatte, weil die Nutzer:innen vor der Nutzung der kostenlosen Spiele nicht verständlich und hinreichend über Art und Zweck der Verarbeitung ihrer personenbezogenen Daten aufgeklärt wurden. Aufgrund dieser Intransparenz sind die Einwilligungen der Nutzer:innen in ebenjene Verarbeitung der Daten durch Meta und die Drittanbieter unwirksam.

Der Fehler: Meta hätte in einfacher Sprache darlegen müssen, welche Daten von der Nutzer:innen abgefragt werden (was), an wen diese Daten übermittelt werden (wer) und zu welchen Zwecken die Daten verwendet werden (warum). 

Irreführung durch Unterlassen

Die mangelnde Transparenz bei der Datenverarbeitung stellte zudem einen Verstoß gegen § 5a UWG dar. 
§5a UWG verpflichtet Unternehmen, der andere Partei alle wesentlichen Informationen bereitzustellen, die für eine informierte geschäftliche Entscheidung notwendig sind. Zu diesen Informationen gehören insbesondere solche, die den Umfang und Zweck der Datenverarbeitung betreffen. Andernfalls bleiben die Nutzer:innen über die Tragweite ihrer Entscheidung im Unklaren. 
Die Nutzer:innen konnten in Metas App-Zentrum also keine informierte Wahl treffen, ob sie das Spielangebot – gegebenenfalls gegen „Zahlung“ mittels ihrer Daten – überhaupt nutzen wollen.

Unwirksamkeit der AGB

Schließlich sah der BGH in der Formulierung „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ noch eine Allgemeine Geschäftsbedingung. Aus den bekannten Gründen wurde auch diese Klausel den gesetzlichen Anforderungen an die Transparenz nicht gerecht. Der BGH entschied daher, dass die Regelung Nutzer:innen unangemessen benachteiligt und somit unwirksam ist (§ 307 Abs. 2 Nr. 1 BGB). 

Übrigens: Die intransparente Regelung konnte auch nicht durch eine pauschale Verlinkung auf die entsprechenden AGB und Datenschutzhinweise ausgeglichen werden. Erforderlich ist zumindest eine inhaltliche Bezugnahme, die den Nutzer:innen den Zusammenhang und die Tragweite ihrer Entscheidung vor Augen führt. 

Was Unternehmen jetzt beachten müssen

Für Unternehmen bedeutet das Urteil ein erhöhtes Abmahnrisiko. Datenschutzverstöße können künftig nicht nur von Datenschutzbehörden, sondern auch von Verbraucherschutzverbänden gerichtlich verfolgt werden. 

Datenschutzhinweise aktualisieren! 

Gerade an den Schnittstellen von Datenschutz und Wettbewerbsrecht (Werbung, Newsletter und kostenlose Apps) müssen die Datenschutzhinweise vollständig und transparent sein. Unzureichende Angaben können nicht nur Sanktionen von Aufsichtsbehörden nach sich ziehen, sondern auch wettbewerbsrechtlich verfolgt werden.

AGB prüfen!

Klauseln in AGB, die nicht klar erkennen lassen, welche Rechte sich ein Unternehmen einräumen lässt und wie personenbezogene Daten genutzt werden, können die andere Partei unangemessen benachteiligen und zur Unwirksamkeit der AGB führen.

(BGH, Urt. v. 27.03.2025 – I ZR 186/17)
(EuGH, Urt. v. 11.07.2024 - C-757/22)
(EuGH, Urt. v. 28.04.2022 - C-319/20)