Klagebefugnis von Verbänden bei DSGVO-Verstößen

Datenschutzrecht als Wettbewerbsfaktor: Mit Urteil vom 27. März 2025 (Az. I ZR 186/17 – „App-Zentrum III“) hat der eine wegweisende Entscheidung zum Zusammenspiel von -Grundverordnung (), Lauterkeitsrecht und zivilprozessualer Verbandsklagekompetenz gefällt. Im Zentrum steht die Frage, ob Verbraucherschutzverbände bei datenschutzrechtlichen Verstößen erheben können – auch ohne konkreten Auftrag oder die Geltendmachung individueller Rechte betroffener Personen. Der BGH sagt: Ja – und bezieht sich dabei auf eine klare Linie des Europäischen Gerichtshofs.

Die Entscheidung schärft die rechtliche Stellung qualifizierter Verbände und unterstreicht zugleich die Funktion datenschutzrechtlicher Transparenzpflichten als wettbewerbsrelevante Marktverhaltensregeln.

Sachverhalt: Datenschutz im App-Zentrum von Facebook

Auslöser war eine Klage des Verbraucherzentrale Bundesverbands (vzbv) gegen die irische Facebook-Muttergesellschaft (Meta Platforms Ireland). war das sog. App-Zentrum der Plattform: Dort wurden Spiele Dritter angeboten, deren Nutzung mit umfangreichen Datentransfers und der Möglichkeit zum automatisierten Posten im Namen des Nutzers verbunden war – ohne ausreichende Information über Zweck und Empfänger dieser Datenübermittlung. Der vzbv sah darin einen Verstoß gegen datenschutzrechtliche Informationspflichten nach der DSGVO sowie gegen das UWG und das UKlaG.

Die Klage wurde ohne individuelle Betroffenheit erhoben – als sogenannte abstrakte Kontrolle des Marktverhaltens. Die Vorinstanzen gaben dem Verband Recht, der BGH bestätigte das nun endgültig.

Die rechtliche Bewertung des Bundesgerichtshofs

Der BGH stellt zunächst klar, dass qualifizierte Einrichtungen im Sinne des § 8 Abs. 3 Nr. 3 UWG sowie des § 3 Abs. 1 Satz 1 Nr. 1 UKlaG auch bei DSGVO-Verstößen klagebefugt sind. Dies gelte unabhängig davon, ob ein konkreter Betroffener benannt werde oder ein individueller Schaden vorliege. Entscheidend sei, ob die beanstandete Datenverarbeitung die Rechte identifizierbarer natürlicher Personen berührt – eine Voraussetzung, die laut EuGH auch erfüllt ist, wenn sich die Verbandsklage auf eine Gruppe oder Kategorie Betroffener bezieht.

Zentraler rechtlicher Ankerpunkt ist Art. 80 Abs. 2 DSGVO. Diese Norm erlaubt es den Mitgliedstaaten, Vertreterorganisationen die Klagebefugnis zur Wahrung kollektiver Interessen zu eröffnen. Der deutsche Gesetzgeber hat hiervon Gebrauch gemacht, und der EuGH bestätigte die Vereinbarkeit dieser Regelung mit dem Unionsrecht. Der BGH zieht hieraus die dogmatisch stringente Konsequenz: Datenschutzrecht ist nicht nur Individualrechtsschutz, sondern auch Teil der Marktordnung.

Zugleich erkennt der Senat im Informationsverstoß einen unlauteren Wettbewerbstatbestand. Wer wesentliche Informationen über Art, Umfang und Zweck der Datenverarbeitung verschweigt, beeinträchtigt die wirtschaftliche Entscheidungsfreiheit des Verbrauchers und verletzt somit § 5a UWG. Die Einwilligung zur Datenverarbeitung sei untrennbar mit einer geschäftlichen Entscheidung des Nutzers verknüpft – auch wenn keine monetäre Gegenleistung erfolgt. Daten sind in der digitalen Ökonomie selbst zur Währung geworden.

BGH zur wettbewerbsrechtlichen Verantwortung bei Datenschutzverstößen

Bedeutung für die Praxis

Die Entscheidung hat weitreichende Auswirkungen: Verbraucherschutzverbände sind auch im Bereich des Datenschutzes aktive Marktakteure und können rechtlich gegen Defizite bei der Nutzeraufklärung vorgehen – ohne dabei auf die Mitwirkung einzelner Betroffener angewiesen zu sein. Dies stärkt die kollektive Rechtsdurchsetzung und erhöht zugleich den Druck auf Unternehmen, ihre Datenpraxis transparent und gesetzeskonform zu gestalten.

Gleichzeitig bekräftigt der BGH die enge Verzahnung von Datenschutzrecht und Wettbewerbsrecht. Die Einhaltung der DSGVO ist nicht bloß ein verwaltungsrechtliches Gebot, sondern eine wettbewerbliche Pflicht, deren Verletzung zu marktverzerrenden Effekten führen kann. Wer hier Informationspflichten missachtet, handelt unlauter – auch dann, wenn die Nutzer scheinbar „freiwillig“ zustimmen.

Fazit

Die Quintessenz dieser Entscheidung liegt in der konsequenten Verrechtlichung des Datenschutzes als Wettbewerbsfaktor. Der BGH erkennt darin nicht nur ein individuelles Abwehrrecht, sondern ein kollektives Verbraucherschutzinstrument. Qualifizierte Verbände können Verstöße sanktionieren, ohne Beauftragung durch Einzelne – und sie dürfen dabei sowohl datenschutzrechtliche als auch lauterkeitsrechtliche Maßstäbe geltend machen. Für die Plattformwirtschaft und datengetriebene Geschäftsmodelle ist dies ein klarer Hinweis: Wer mit personenbezogenen Daten wirtschaftet, steht nicht nur unter der Beobachtung der Aufsichtsbehörden – sondern auch im Fokus der zivilgesellschaftlichen Kontrolle. Ein Urteil mit Signalwirkung für digitale Transparenz und die Durchsetzbarkeit kollektiver Verbraucherinteressen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.