Urteil vom 27. März 2025 - I ZR 186/17 - Der unter anderem für das Wettbewerbsrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat entschieden, dass ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Verpflichtung, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründet und von Verbraucherschutzbänden im Wege einer Klage vor den Zivilgerichten verfolgt werden kann. 

Sachverhalt: 

Die in Irland ansässige Beklagte betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen (?), Deine E-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr." Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er ist der Ansicht, dass die Beklagte die Nutzer ihres Netzwerks mit den unter dem Button "Sofort spielen" gegebenen Hinweisen nicht hinreichend über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten unterrichtet und damit gegen die gesetzlichen Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung verstößt. Er sieht darin zugleich ein wettbewerbswidriges Verhalten und hat die Beklagte auf Unterlassung in Anspruch genommen. In dem abschließenden Hinweis bei einem Spiel sieht der Kläger eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung.

Bisheriger Prozessverlauf:  

Das Berufungsgericht hat der Klage stattgegeben. Mit der Revision hat die Beklagte ihren Antrag auf Klageabweisung weiterverfolgt.

Der Bundesgerichtshof hat das Verfahren mit Beschlüssen vom 28. Mai 2020 und vom 10. November 2022 ausgesetzt und dem Gerichtshof der Europäischen Union jeweils Fragen zur Auslegung der Verordnung (EU) Nr. 2016/679 (Datenschutz-Grundverordnung - DSGVO) zur Vorabentscheidung vorgelegt (Beschluss vom 28. Mai 2020 - I ZR 186/17, GRUR 2020, 896 = WRP 2020, 1182 - App-Zentrum I; Beschluss vom 10. November 2022 - I ZR 186/17, GRUR 2023, 193 = WRP 2023, 189 - App-Zentrum II). Dieser hat die Fragen mit Urteilen vom 28. April 2022 und vom 11. Juli 2024 beantwortet (Urteil vom 28. April 2022, C-319/20, GRUR 2022, 920 = WRP 2022, 684 - Meta Platforms Ireland I; Urteil vom 11. Juli 2024, C-757/22, GRUR 2024, 1357 = WRP 2024, 1049 - Meta Platforms Ireland II).

Entscheidung des Bundesgerichtshofs: 

Die Revision der Beklagten hatte keinen Erfolg.

Art. 80 Abs. 2 DSGVO bildet eine geeignete Grundlage für die Verfolgung von Verstößen gegen die Datenschutz-Grundverordnung durch Verbände nach dem Gesetz gegen den unlauteren Wettbewerb und dem Unterlassungsklagengesetz. Den genannten Verbraucherverbänden steht daher nach § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, gegen Verletzungen von Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO wegen Verstößen gegen das Gesetz gegen den unlauteren Wettbewerb und gegen ein Verbraucherschutzgesetz im Sinne von § 2 Abs. 1 und 2 Satz 1 Nr. 13 UKlaG sowie der Verwendung einer unwirksamen Allgemeinen Geschäftsbedingung gemäß § 1 UKlaG im Wege einer Klage vor den Zivilgerichten vorzugehen. Unschädlich ist insoweit, dass der Kläger seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat.

Da von einer Einrichtung im Sinne von Art. 80 Abs. 2 DSGVO nicht verlangt werden kann, dass sie diejenige Person im Voraus individuell ermittelt, die von einer Verarbeitung von Daten, die mutmaßlich gegen die Bestimmungen der Datenschutz-Grundverordnung verstößt, konkret betroffen ist, ist die Benennung einer Kategorie oder Gruppe von identifizierbaren natürlichen Personen für die Erhebung einer solchen Verbandsklage ausreichend. Es genügt außerdem, wenn sich die Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO obliegt, weil im Streitfall nicht davon ausgegangen werden kann, dass der Kläger mit seiner Klage rein hypothetische Verstöße geltend macht.

Die Präsentation von Spielen im App-Zentrum der Beklagten verstößt gegen Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO, weil der Nutzer zu Beginn des Nutzungsvorgangs nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form sowie über die Rechtsgrundlage für die Verarbeitung und die Empfänger der persönlichen Daten unterrichtet wird. 

In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten liegt zugleich ein Verstoß gegen Lauterkeitsrecht unter dem Gesichtspunkt des Vorenthaltens einer wesentlichen Information gemäß § 5a Abs. 1 UWG. Ausgehend von der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für internetbasierte Geschäftsmodelle, deren Nutzung der Verbraucher mit der Preisgabe personenbezogener Daten vergütet, kommt den datenschutzrechtlichen Unterrichtungspflichten zentrale Bedeutung zu. Sie sollen sicherstellen, dass der Verbraucher bei seiner Nachfrageentscheidung, die mit einer Einwilligung in die Verarbeitung personenbezogener Daten verknüpft ist, möglichst umfassend über Umfang und Tragweite dieser Einwilligungserklärung ins Bild gesetzt wird, um eine informierte Entscheidung treffen zu können.

Der abschließende Hinweis "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten" stellt eine den Nutzer wegen des Verstoßes gegen die datenschutzrechtlichen Informationspflichten unangemessen benachteiligende und daher unwirksame Allgemeine Geschäftsbedingung dar, deren Verwendung der Kläger nach § 3 Abs. 1 Satz 1 Nr. 1 UKlaG untersagen lassen kann.

Urteile vom 27. März 2025 - I ZR 222/19 und ZR 223/19 

Der I. Zivilsenat des Bundesgerichtshofs hat in diesen beiden Revisionsverfahren entschieden, dass ein Apotheker, der auf einer Internet-Verkaufsplattform Arzneimittel vertreibt, wobei ohne ausdrückliche Einwilligung von Kunden deren Bestelldaten (Name des Kunden, Lieferadresse und Informationen zur Individualisierung des Medikaments) erhoben werden, gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstößt, und dass ein solcher Verstoß von einem anderen Apotheker mit einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann.

Sachverhalt: 

Die Parteien in beiden Verfahren sind Apotheker. Die beklagten Apotheker vertreiben Arzneimittel über die Plattform des Anbieters Amazon.

In beiden Verfahren beanstanden die klagenden Apotheker, dass die Beklagten gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen verstoßen, weil die von Kunden bei der Bestellung eingegebenen Daten wie der Name des Kunden, die Lieferadresse und Informationen zur Individualisierung des Medikaments ohne ausdrückliche Einwilligung erhoben, verarbeitet und genutzt werden. 

Im Verfahren I ZR 222/19 rügt der Kläger darüber hinaus, der Vertrieb apothekenpflichtiger Arzneimittel über die Plattform verstoße gegen den Vertrieb von Arzneimitteln reglementierende Vorschriften des Arzneimittelgesetzes, des Heilmittelwerbegesetzes, des Apothekengesetzes und der Apothekenbetriebsordnung sowie die Berufsordnung für Apotheker. 

Die Kläger haben die Beklagten in beiden Verfahren auf Unterlassung und im Verfahren I ZR 222/19 auch auf Schadensersatz in Anspruch genommen.

Bisheriger Prozessverlauf:  

In beiden Verfahren haben die Berufungsgerichte der Klage insoweit stattgegeben, als sie den jeweiligen Beklagten wegen Verstoßes gegen datenschutzrechtliche Bestimmungen zur Unterlassung verurteilt haben. Soweit der Kläger im Verfahren I ZR 222/19 auch Verstöße gegen weitere Vorschriften geltend gemacht und Schadensersatz beansprucht hat, hat das Berufungsgericht die Klage abgewiesen.

Der Bundesgerichtshof hat das Verfahren I ZR 223/19 mit Beschluss vom 12. Januar 2023 (GRUR 2023, 264 - Arzneimittelbestelldaten I) ausgesetzt und dem Gerichtshof der Europäischen Union Fragen zur Auslegung der Datenschutz-Grundverordnung zur Vorabentscheidung vorgelegt. Das Verfahren I ZR 222/19 hat der Bundesgerichtshof bis zur Entscheidung über das Vorabentscheidungsersuchen in der Sache I ZR 223/19 ausgesetzt. Der Gerichtshof der Europäischen Union hat die ihm vorgelegten Fragen mit Urteil vom 4. Oktober 2024 - C-21/23 (GRUR 2024, 1721 = GRUR 2024, 1318 - Lindenapotheke) beantwortet. 

Entscheidung des Bundesgerichtshofs: 

Die von den Beklagten in beiden Verfahren eingelegten Revisionen gegen ihre Verurteilung zur Unterlassung wegen Verstoßes gegen die für Gesundheitsdaten geltenden datenschutzrechtlichen Bestimmungen hatten keinen Erfolg. Die vom Kläger im Verfahren I ZR 222/19 eingelegte Revision hatte Erfolg, soweit der Kläger die Verurteilung des Beklagten zum Schadensersatz erstrebte, sie hatte keinen Erfolg, soweit er die Verurteilung des Beklagten wegen Verstößen gegen weitere Vorschriften begehrte.

Die Datenschutz-Grundverordnung steht einer nationalen Regelung nicht entgegen, die Mitbewerbern die Befugnis einräumt, wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den mutmaßlichen Verletzer im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten vorzugehen.

Die Verarbeitung und Nutzung der von Kunden der Beklagten bei der Onlinebestellung eines Arzneimittels über den Account eines Apothekers beim Amazon-Marketplace eingegebenen Daten wie der Name des Kunden, die Lieferadresse und die für die Individualisierung des bestellten Medikaments notwendigen Informationen verstößt, wenn sie - wie im Streitfall - ohne ausdrückliche Einwilligung der Kunden erfolgt, gegen Art. 9 Abs. 1 DSGVO. Bei den Bestelldaten handelt es sich um Gesundheitsdaten im Sinne dieser Vorschrift und zwar auch dann, wenn das Arzneimittel keiner ärztlichen Verschreibung bedarf.

Art. 9 Abs. 1 DSGVO ist eine Marktverhaltensregelung im Sinne von § 3a UWG, so dass der Verstoß gegen diese Vorschrift von einem Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann. Die Bestimmungen zum Erfordernis der Einwilligung in die Verarbeitung personenbezogener Daten dienen dem Schutz der Persönlichkeitsrechtsinteressen der Verbraucher gerade auch im Zusammenhang mit ihrer Marktteilnahme. Die Verbraucher sollen frei darüber entscheiden können, ob und inwieweit sie ihre Daten preisgeben, um am Markt teilnehmen und Verträge abschließen zu können. 

Vorinstanzen: 

I ZR 186/17 

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

und 

I ZR 222/19 

LG Magdeburg - Urteil vom 18. Januar 2019 - 36 O 48/18

OLG Naumburg - Urteil vom 7. November 2019 - 9 U 6/19

und 

I ZR 223/19 

LG Dessau-Roßlau - Urteil vom 28. März 2018 - 3 O 29/17

OLG Naumburg - Urteil vom 7. November 2019 - 9 U 39/18

Die maßgeblichen Vorschriften lauten: 

§ 8 Abs. 1 Satz 1, Abs. 3 Nr. 1 und 3 UWG 

(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. [...] 

(3) Die Ansprüche aus Absatz 1 stehen zu:

1. jedem Mitbewerber, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt, [...]

3. den qualifizierten Verbraucherverbänden, die in der Liste nach § 4 des Unterlassungsklagengesetzes eingetragen sind, [...]

§ 3 Abs. 1 Satz 1 Nr. 1 UKlaG  

(1) Die in den §§ 1 bis 2a bezeichneten Ansprüche auf Unterlassung, auf Widerruf und auf Beseitigung stehen zu:

1. den qualifizierten Verbraucherverbänden, die in der Liste nach § 4 eingetragen sind, [...]

Art. 9 Abs. 1, Abs. 2 Buchst. a DSGVO 

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, [...]

Art. 12 Abs. 1 Satz 1 DSGVO 

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; [...]

Art. 13 Abs. 1 Buchst. c und e DSGVO 

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: [...]

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; [...]

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte [...]

Artikel 80 Abs. 1 und 2 DSGVO  

(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.