Der Beitrag behandelt eine Vorlage des Bundesgerichtshofs zum Zusammenspiel von DSGVO, UKlaG und UWG. Für die heutige Einordnung ist wichtig: Die damals offene Frage ist inzwischen durch EuGH und BGH weitgehend geklärt.
Worum es hier geht
Der Beitrag betrifft die Frage, ob qualifizierte Verbraucherverbände Datenschutzverstöße auch ohne Auftrag einer einzelnen betroffenen Person vor den Zivilgerichten verfolgen können.
Für die fachliche Einordnung führt die Vertiefung bei ITMR über das Datenschutzrecht. Die hier behandelte Konstellation liegt an der Schnittstelle von Informationspflichten, Einwilligung und zivilrechtlicher Durchsetzung.
Der Streitstoff ist für Unternehmen vor allem dann relevant, wenn Datenschutzhinweise, Einwilligungsprozesse oder App-, Plattform- und Website-Oberflächen nicht sauber erklären, welche Daten zu welchem Zweck verarbeitet und an wen sie weitergegeben werden.
Das Wichtigste in Kürze
- Die im Ausgangsbeitrag offene Vorlagefrage ist heute nicht mehr offen: Verbraucherverbände können Datenschutzverstöße unter bestimmten Voraussetzungen zivilrechtlich verfolgen.
- Für die Verbandsklage kommt es nicht darauf an, dass ein konkreter Auftrag einer betroffenen Person vorliegt.
- Im Mittelpunkt des Verfahrens standen Informationspflichten, Einwilligung und die Reichweite nationaler Klagebefugnisse neben der DSGVO.
- Für die Praxis zählt nicht nur der materielle Datenschutzverstoß, sondern auch die rechtssichere Gestaltung der Nutzerinformation im Frontend.
Stand April 2026
Die im Jahr 2020 vorgelegte Rechtsfrage ist inzwischen in der Sache entschieden. Der EuGH hat 2022 bestätigt, dass Art. 80 Abs. 2 DSGVO nationalen Regelungen nicht entgegensteht, die qualifizierten Verbraucherverbänden eine Klage ohne Auftrag einzelner Betroffener ermöglichen, wenn ein mutmaßlicher Verstoß Rechte identifizierter oder identifizierbarer Personen betrifft.
Mit weiterem Urteil vom 11. Juli 2024 hat der EuGH die Linie für den konkreten Facebook-App-Zentrum-Komplex fortgeführt und die Verbandsklage auch im Zusammenhang mit Informationspflichten nach der DSGVO weiter präzisiert. Der BGH hat daraufhin am 27. März 2025 im Verfahren I ZR 186/17 entschieden, dass der Verbraucherzentrale Bundesverband klagebefugt ist und die beanstandete Gestaltung datenschutzrechtlich unzureichend war.
Der historische Kern dieses Beitrags bleibt damit relevant. Offen ist heute nicht mehr das Ob der Verbandsklage in dieser Konstellation, sondern vor allem die praktische Folgerung: Datenschutzverstöße können zusätzlich zu behördlichen Verfahren auch zivilrechtliche Unterlassungsrisiken auslösen.
Der Beitrag bleibt ein älterer Ausgangsartikel. Die vorstehenden Sätze ordnen den heutigen Stand ergänzend ein, ohne den damaligen Text zu ersetzen.
Wer darf wegen Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) klagen?
Mit Beschluss vom 28. Mai 2020 – I ZR 186/17 hat der Bundesgerichtshof (BGH) dem Gerichtshof der Europäischen Union (EuGH) unterschiedliche Fragen vorgelegt. Dabei geht es hauptsächlich darum, wer wegen Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) klagen darf. Es soll geklärt werden, ob wettbewerbsrechtliche Unterlassungsansprüche begründet werden, wenn ein Betreiber eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, Nutzer eines solchen Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, verstößt und ob ein solcher Verstoß durch Klage vor den Zivilgerichten von Verbraucherschutzverbänden verfolgt werden kann.
Hintergrund:
Vorliegend klagt der Kläger, der Dachverband der Verbraucherzentralen der Bundesländer, gegen die Beklagte, die in Irland ansässige Facebook Ireland Limited, um die Gestaltung und Rechtmäßigkeit des „App-Zentrums“ der Beklagten.
Die Beklagte betreibt das soziale Netzwerk „Facebook“. Auf dieser Plattform bietet sie das sog. „App-Zentrum“ an. In diesem finden Nutzer der Plattform alle mobilen und Web-Applikationen, die mit Facebook verbunden und langfristig genutzt werden können. In der Version von November 2012 konnten verschiedene Spiele mit dem Button „Sofort Spielen“ geöffnet werden. Unter diesem Button war folgender Hinweis zu lesen:
„Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr."
Bei einem der angebotenen Spiele endeten die Hinweise mit folgendem Satz:
"Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."
Die Nutzer der Spiele stimmten so mit einem Klick der Übermittlung verschiedener Daten an den Betreiber der Spiele zu und berechtigten die Anwendungen, im eigenen Namen Informationen zu veröffentlichen.
Der Kläger bemängelte dies als unlauter. Zur Begründung stützt er sich darauf, dass die Voraussetzungen an die gesetzlichen Anforderungen an der Einholung einer wirksamen datenschutzrechtlichen Einwilligung der Nutzer missachten werden würden. Darüber hinaus sei der abschließende Hinweis des einen Spieles eine Allgemeine Geschäftsbedingung, die den Nutzer unangemessen benachteiligen würde. Der Kläger hält sich für klagebefugt Unterlassungsanspruch gegen die Beklagten im Wege der Klage vor Zivilgerichten gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend zu machen.
Das Landgericht Berlin sah die Klagebefugnis des Klägers als gegeben an. Sie verurteilte die Beklagte, es zu unterlassen, in ihrem App-Zentrum Spiele so anzubieten, dass Nutzer mit einem Klick auf den Button „Sofort Spielen“ eine Erklärung zur Übermittlung ihrer Daten an die Anbieter abgeben und zum Posten im eigenen Namen ermächtigen. Die eingelegte Berufung der Beklagten beim Kammergericht Berlin hatte keinen Erfolg. Die Beklagte legte daraufhin Revision vor dem BGH ein.
Entscheidung des BGH:
Der BGH hat die Entscheidung ausgesetzt und zunächst dem EuGH vorgelegt. Insbesondere geht es um die Fragen, ob die getroffenen Bestimmungen in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs 1 der Verordnung (EU) 2016/679 (Datenschutzverordnung) nationalen Regelungen entgegenstehen. Die nationalen Regelungen räumen Mitbewerbern und nach nationalem Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis ein, unabhängig von der Verletzung konkreter Rechte einzelner betroffenen Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.
Meinungsstand:
Ob Art. 80 Abs. 1 und 2 und Art. 84 Abs. 1 der Verordnung 2016/679 den nationalen Regelungen entgegenstehen, ist umstritten. Einerseits wird vertreten, dass die DSGVO zur Durchsetzung der datenschutzrechtlichen Bestimmungen der Verordnung 2016/679 eine abschließende Regelung enthält. Danach besteht eine Klagebefugnis von Verbänden nur unter den Voraussetzungen des Art. 80 DSGVO. Nach dieser Norm dürfen Personen, deren Dateschutzrechte verletzt wurden, eine Einrichtung, deren satzungsmäßiges Ziel im Schutz personenbezogener Daten liegt, beauftragen, gewisse Rechte wahrzunehmen, sofern dies im Recht der Mitgliedstaaten vorgesehen ist.
Andere vertreten die Ansicht, dass die Regelungen der DSGVO zur Rechtsdurchsetzung nicht abschließend sind. Verbände sind danach befugt, Unterlassungsansprüche wegen Verstoß gegen datenschutzrechtlichen Bestimmungen unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person im Wege der Klage vor den Zivilgerichten geltend zu machen.
In seinem Urteil vom 29.07.2019, Az- C-40/17 hat der EuGH bereits bestätigt, dass Verbände gemäß § 8 Abs. 3 Nr. 3 UWG zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten klagebefugt sind. Dies wurde jedoch nur für den Zeitraum der Geltung der Datenschutzrichtlinie 95/46/EG, vom 13. Dezember 1995 bis zum 24. Mai 2018, entschieden. Ob die Klagebefungis von Verbänden auch seit dem 25. Mai 2018 gilt unter Geltung der DSGVO, die an Stelle der Datenschutzrichtlinie getreten ist, gilt, wurde offen gelassen.
Fazit:
Die Antwort des EuGH darauf, ob Verbraucherverbände aktivlegitimiert sind, um Datenschutzverstöße im Wege der Klage vor Zivilgerichten geltend zu machen, bleibt mit Spannung zu erwarten. Aus Sicht des Vorsitzenden Richter des I. Zivilsenats Thomas Koch sei es jedenfalls relativ eindeutig, dass das soziale Netzwerk zumindest in der Version von 2012 mit kostenlosen Spielen anderer Anbieter gegen Datenschutzvorgaben verstoßen habe.
Worauf es heute praktisch ankommt
Die Entscheidungslinie macht deutlich: Datenschutzverstöße können nicht nur Aufsichtsbehörden beschäftigen. Je nach Konstellation drohen zusätzlich Unterlassungsansprüche durch qualifizierte Verbände; in benachbarten Fallgruppen hat der BGH 2025 zudem die wettbewerbsrechtliche Relevanz einzelner DSGVO-Verstöße bestätigt.
| Konstellation | Praktische Folge |
|---|---|
| Unklare oder verkürzte Nutzerinformation vor Datenerhebung | Erhöhtes Risiko einer zivilrechtlichen Beanstandung zusätzlich zu aufsichtsrechtlichen Maßnahmen. |
| Einwilligung wird mit unklarer Datenweitergabe oder Posting-Befugnis verknüpft | Die Wirksamkeit der Einwilligung steht unter Druck; zugleich wächst das Unterlassungsrisiko. |
| Datenschutzpflichten berühren Marktverhalten oder Verbraucherschutz | Die Schnittstelle zum Wettbewerbsrecht wird bedeutsam, insbesondere bei Unterlassungsansprüchen. |
| Historischer Altfall mit heutiger Produkt- oder Plattformpraxis | Alte Frontend-Muster sollten nicht ungeprüft fortgeführt werden; entscheidend sind aktuelle Informations- und Einwilligungsstandards. |
Für die rechtliche Vertiefung der datenschutzrechtlichen Pflichtenlage ist bei ITMR die Seite zum Datenschutzrecht die passende Anschlussstelle. Für die übergreifende Einordnung digitaler Pflichtenprogramme und Plattformfragen führt die thematische Orientierung außerdem über IT-Recht & Digitalisierung.
Zuständige Rechtsanwälte bei ITMR
Die hier behandelte Konstellation verbindet Datenschutzrecht, Plattformgestaltung und zivilgerichtliche Durchsetzung. Dafür sprechen bei ITMR insbesondere fachliche Zuständigkeiten im Datenschutzrecht, IT-Recht und im streitigen UWG-Umfeld.
Jean Paul Bohne, LL.M., MM, CIPP/E, CIPM
Fachanwalt für IT-Recht sowie Fachanwalt für Urheber- und Medienrecht, mit ausgewiesener Tätigkeit im Datenschutzrecht und Wettbewerbsrecht.
Andreas Buchholz
Fachanwalt für IT-Recht mit Schwerpunkt im Datenschutzrecht, E-Commerce und Prozessrecht.
Offizielle Quellen und Vertiefung
- Art. 80 DSGVO: Verordnung (EU) 2016/679 in amtlicher Fassung
- EuGH, 28.04.2022, C-319/20: Meta Platforms Ireland
- EuGH, 11.07.2024, C-757/22: Meta Platforms Ireland
- BGH, 27.03.2025, I ZR 186/17: Pressemitteilung des Bundesgerichtshofs
Weiterführend
- Verbände und Wettbewerber können DSGVO-Verstöße abmahnen ordnet die spätere BGH-Linie für die heutige Praxis ein.
- Bei Plattformen, Apps und Websites sollte die Nutzerführung nicht isoliert gestalterisch, sondern immer auch informations- und einwilligungsrechtlich geprüft werden.
- Die Aussage des Ausgangsbeitrags ist deshalb nicht überholt, sondern durch die spätere Rechtsprechung in wesentlichen Punkten bestätigt worden.
BGH legt EuGH Frage zur Klagebefugnis von Verbänden bei Datenschutzverstößen vor