BGH: Mitbewerber dürfen Verstöße gegen die DSGVO abmahnen

Seit die DSGVO 2018 in Kraft getreten ist, wird darüber gestritten, ob Mitbewerber und Verbraucherverbände Verstöße gegen die DSGVO abmahnen können. Nun hat der Bundesgerichtshof (BGH) diese Frage abschließend geklärt.

Der BGH (Urt. v. 27.03.2025, I ZR 186/17, I ZR 222/19 und ZR 223/19) hat entschieden, dass sowohl Verbraucherschutzverbände (wie z.B. die Verbraucherzentralen) als auch Mitbewerber Verstöße gegen die DSGVO abmahnen können. Damit steigt das Risiko für Unternehmen, die sich (bewusst oder unbewusst) nicht an die Vorschriften zum Datenschutz halten.

Verbraucherzentrale gegen Facebook

In dem einen Verfahren klagte der vzbv gegen die Meta Platform Ireland Limited, die das soziale Netzwerk Facebook betreibt. Inhaltlich ging es darum, dass Facebook seine Nutzer nicht ausreichend über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten unterrichtet hatte.

Nachdem der EuGH bereits entschieden hatte, dass Verbraucherschutzverbände DSGVO-Verstöße auch im Wege von Unterlassungsklagen verfolgen können, folgte der BGH nun dieser Einschätzung.

In der Pressemitteilung des BGH heißt es dazu:

„Art. 80 Abs. 2 DSGVO bildet eine geeignete Grundlage für die Verfolgung von Verstößen gegen die Datenschutz-Grundverordnung durch Verbände nach dem Gesetz gegen den unlauteren Wettbewerb und dem Unterlassungsklagengesetz.

Den genannten Verbraucherverbänden steht daher nach § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, gegen Verletzungen von Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb und gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 1 und 2 Satz 1 Nr. 13 UKlaG sowie der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen.

Unschädlich ist insoweit, dass der Kläger seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat. Da von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der Datenschutz-Grundverordnung verstößt, konkret betroffen ist, ist die Benennung einer Kategorie oder Gruppe von identifizierbaren natürlichen Personen für die Erhebung einer solchen Verbandsklage ausreichend.

Es genügt außerdem, wenn sich die Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO obliegt, weil im Streitfall nicht davon ausgegangen werden kann, dass der Kläger mit seiner Klage rein hypothetische Verstöße geltend macht.“

Werden die Informationen gemäß Art. 13 DSGVO dem Nutzer nicht mitgeteilt, liegt darin ein Verstoß gegen § 5a Abs. 1 UWG, da eine wesentliche Information vorenthalten wird.

Arzneimittelversand über Amazon

In den zwei anderen Verfahren stritten sich konkurrierende Apotheke über die Zulässigkeit des Vertriebs von Arzneimitteln über die Plattform Amazon.

Hier ging es zum einen um die Frage, ob Mitbewerber sich gegenseitig wegen DSGVO-Verstößen abmahnen können. Und zum anderen ging es um die Frage, ob die Daten, die ein Kunde bei der Bestellung von Arzneimitteln bei Amazon eingibt, Gesundheitsdaten i.S.d. Art. 9 DSGVO darstellen.

Beide Fragen hat der BGH in seiner Entscheidung bejaht. In der Pressemitteilung dazu heißt es:

„Die Verarbeitung und Nutzung der von Kunden der Beklagten bei der Onlinebestellung eines Arzneimittels über den Account eines Apothekers beim Amazon-Marketplace eingegebenen Daten wie der Name des Kunden, die Lieferadresse und die für die Individualisierung des bestellten Medikaments notwendigen Informationen verstößt, wenn sie – wie im Streitfall – ohne ausdrückliche Einwilligung der Kunden erfolgt, gegen Art. 9 Abs. 1 DSGVO. Bei den Bestelldaten handelt es sich um Gesundheitsdaten im Sinne dieser Vorschrift und zwar auch dann, wenn das Arzneimittel keiner ärztlichen Verschreibung bedarf.

Art. 9 Abs. 1 DSGVO ist eine Marktverhaltensregelung im Sinne von § 3a UWG, so dass der Verstoß gegen diese Vorschrift von einem Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann. Die Bestimmungen zum Erfordernis der Einwilligung in die Verarbeitung personenbezogener Daten dienen dem Schutz der Persönlichkeitsrechtsinteressen der Verbraucher gerade auch im Zusammenhang mit ihrer Marktteilnahme. Die Verbraucher sollen frei darüber entscheiden können, ob und inwieweit sie ihre Daten preisgeben, um am Markt teilnehmen und Verträge abschließen zu können.„

Auch in diesen Verfahren hatte der BGH zuvor den EuGH eingeschaltet.

Fazit

Bisher liegt nur die Pressemitteilung des BGH vor, die Veröffentlichung der Entscheidungen im Volltext mit ausführlicher Begründung dürfte in den nächsten Tagen erfolgen.

Aber schon jetzt lässt sich sagen, dass das Thema Datenschutz noch mehr Gewicht bekommt. Das Risiko, wegen Verstößen gegen die DSGVO in Anspruch genommen zu werden, steigt durch diese Entscheidungen des BGH.

Und es besteht die Gefahr, dass das Risiko noch weiter steigt: Der Generalanwalt beim EuGH hat in seinen Schlussanträgen im Verfahren C-655/23 die Auffassung geäußert, dass auch betroffenen Personen gegen ein Unternehmen Unterlassungsansprüche zustehen, wenn dieses gegen die DSGVO verstoßen hat.

Bei allen Fragen rund um das Thema Datenschutz und Datensicherheit unterstützen wir Sie gerne.