BGH, Urt. 27.3.2025 - I ZR 186/17
Verbandsklage wegen datenschutzrechtlicher Informationspflichten – App-Zentrum III
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 06/2025
Aus: IT-Rechtsberater, Heft 06/2025
Qualifizierten Einrichtungen steht gem. § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG die Befugnis zu, wegen Informationspflichtverstößen i.S.d. Artt. 12 Abs. 1 Satz 1, 13 Abs. 1 lit. c und e DSGVO, die zugleich ein Vorenthalten einer wesentlichen Information gem. § 5a UWG darstellen, unabhängig von konkreter Rechtsverletzung oder Betroffenenauftrag zu klagen.
VO (EU) 2016/679 Artt. 12 Abs. 1 Satz 1, 13 Abs. 1 lit. c und e, 80 Abs. 2; UWG §§ 5a Abs. 1, 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Nr. 13, 3 Abs. 1 Satz 1 Nr. 1
Fortbestehen der Klagebefugnis:Die Klagebefugnis aus § 8 Abs. 3 Nr. 3 UWG, § 3 Abs. 1 Satz 1 Nr. 1 UKlaG des vzbv, der als qualifizierte Einrichtung eine Verletzung datenschutzrechtlicher Informationspflichten mit Lauterkeitsrecht, Verbraucherschutzgesetzen (§ 2 Abs. 2 Nr. 13 UKlaG) oder unwirksamen AGB (§ 1 UKlaG) rüge, sei nicht mit dem ab 25.5.2018 geltenden Art. 80 Abs. 2 DSGVO entfallen, da dieser erlaube, Verbandsklagen vorzusehen (Rz. 26–33; Ls. a]).
Sachlicher Anwendungsbereich:Die Klagebefugnis setzte weder konkrete Verletzung noch Betroffenenauftrag voraus. Betroffene i.S.d. Art. 4 Nr. 1 DSGVO könnten auch über etwa Onlinedaten identifizierbare Personen sein. Daher könne zur Klageerhebung bereits die Benennung betroffener Personengruppen genügen (z.B. Interessenten für Spiele im App-Zentrum). Eine Verletzung „infolge einer Verarbeitung“ könne auch beim Verstoß gegen Informationspflichten gem. Artt. 12 Abs. 1 Satz 1, 13 Abs. 1 lit. c und e DSGVO vorliegen. Ferner stehe bzgl. des betätigten Buttons „Sofort spielen“ nicht in Zweifel, dass der vzbv in der erforderlichen Weise tatsächliche – nicht nur hypothetische – Informationspflichtverstöße rüge. Schließlich sei der vzbv nicht gehindert, zugleich auch Verstöße gegen Verbraucherschutzvorschriften und wegen unlauterer Geschäftspraktiken zu rügen (Rz. 34–42).
Unzureichende Einwilligungsgrundlage:Nach § 12 Abs. 1 TMG dürften Telemediendiensteanbieter personenbezogene Daten nur bei gesetzlicher Erlaubnis für Telemedien oder Nutzereinwilligung erheben und verwenden. Die Angaben im App-Zentrum hätten gegen § 13 Abs. 1 Satz 1 Halbs. 1 TMG verstoßen, wonach spätestens zu Beginn des Nutzungsvorgangs allgemein verständlich über Datenerhebung und -verwendung zu unterrichten sei. Die Formulierungen im App-Zentrum ermöglichten Meta die Übermittlung vielfältiger Nutzerdaten (etwa E‑Mail-Adresse, Statusmeldungen und „Über Dich“) an Dritte, ohne dass Datenarten, Übermittlungszweck und Drittnutzung konkretisiert würden (Rz. 48, 52).
Unzureichende Verlinkung auf Drittinformationen:Die zweckunabhängige Ermächtigung zum stellvertretenden Posten durch den Spieleanbieter führe zum Kontrollverlust, auch bzgl. bereits auf Facebook veröffentlichter Daten. Sie sei nicht nach Anzahl, Inhalt und Nutzungsbeschränkung hinreichend klar konkretisiert. Zudem würden die Einwilligungsfolgen vom Referenzverbraucher aufgrund impulsiven Spieltriebs und ablenkender Gestaltung der Benutzeroberfläche nicht sorgfältig abgewogen (Rz. 53 ff.).
Unerfüllte Anforderungen bei Revisionsentscheidung:Analog seien alle Informationen i.S.d. Artt. 13, 14–22, 34 DSGVO nach Art. 12 Abs. 1 Satz 1 DSGVO transparent zu übermitteln. Gemäß Art. 13 Abs. 1 lit. c und e DSGVO müsse zum Zeitpunkt einer Direkterhebung über Verarbeitungszweck, Rechtsgrundlage sowie Empfängerkategorien informiert werden (Rz. 58).
Kein Rechtsbruch:Die Senatsauffassung zum erfüllten Rechtsbruch i.S.v. § 3a UWG werde aufgegeben. Denn die Verletzung der datenschutzrechtlichen Informationspflichten könne allein ein Vorenthalten wesentlicher Informationen gem. § 5a UWG a.F./n.F. darstellen (Rz. 60 ff.; Ls. b).
Wesentlichkeit nach allgemeinen Grundsätzen:Eine Information sei nur wesentlich, wenn sie nach beiderseitigen Interessen vom Unternehmer erwartet werden könne und für die Entscheidung des Verbrauchers erhebliches Gewicht habe. Dessen geschäftliche Entscheidung i.S.d. § 2 Abs. 1 Nr. 1 UWG umfasse auch vorgelagerte Handlungen (z.B. Informationsbeschaffung auf Website). Die Datenschutzeinwilligung beim „Sofort spielen“ sei keine rein private Entscheidung. Insb. bei internetbasierten Geschäftsmodellen ersetze die Datenpreisgabe oft ein monetäres Entgelt. Die Informationspflichten dienten bei einer Nachfrageentscheidung i.S.v. § 5a Abs. 1 Nr. 1 UWG n.F. der umfassenden Unterrichtung über Umfang und Tragweite der Einwilligung. Der Pflichtverstoß könne auch gem. Nr. 2 der Vorschrift zur sonst nicht getroffenen geschäftlichen Entscheidung führen (Rz. 70–76; Ls. c).
Unzulässigkeit der Klausel:§§ 305 ff. BGB schützten auch vor vorformulierten einseitigen rechtsgeschäftlichen Erklärungen, sofern diese objektiv den Eindruck vermittelten, den Inhalt eines vertraglichen oder vorvertraglichen Rechtsverhältnisses zu bestimmen. Die Wendung „darf [...] posten“ spreche für eine Rechteeinräumung, die hier i.R.d. Vertragsbeziehung zur Spiele-Apps vermittelnden Meta erfolge. Auch Ermächtigungen zugunsten Dritter könnten AGB sein, wenn der Verwender daran ein Interesse habe oder dies naheliege (Rz. 87, 89).
Intransparenz der Ermächtigungsklausel:Die Klausel sei intransparent, da für den Verbraucher Anzahl und Inhalt stellvertretender Posts nicht konkret absehbar seien. Sie diene allein wirtschaftlichen Interessen von Meta und den Spieleanbietern. Der Einwilligungstext erfasse auch Werbung für Produkte Dritter (z.B. Kraftfahrzeuge oder sexuell anzügliche Produkte). Dies unterlaufe offensichtlich datenschutzrechtliche Mindeststandards als wesentlichen gesetzlichen Grundgedanken i.S.d. § 307 Abs. 2 Nr. 1 BGB und sei auch mit irischem Datenschutzrecht unvereinbar (Rz. 90, 93 f.).
VO (EU) 2016/679 Artt. 12 Abs. 1 Satz 1, 13 Abs. 1 lit. c und e, 80 Abs. 2; UWG §§ 5a Abs. 1, 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Nr. 13, 3 Abs. 1 Satz 1 Nr. 1
Das Problem
Erreichbar über den Button „Sofort spielen“ wurde im App-Zentrum von Facebook am 26.11.2012 bei vier kostenlosen Spielen von Dritten z.B. formuliert: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten“.Die Entscheidung des Gerichts
Nach §§ 3 Abs. 1, 8 Abs. 1 Satz 1 UWG stehe dem vzbv gegen Meta ein Unterlassungsanspruch wegen Datenschutzverstößen zu und ein zweiter wegen der o.g. Formulierung als unangemessen benachteiligender AGB.Fortbestehen der Klagebefugnis:Die Klagebefugnis aus § 8 Abs. 3 Nr. 3 UWG, § 3 Abs. 1 Satz 1 Nr. 1 UKlaG des vzbv, der als qualifizierte Einrichtung eine Verletzung datenschutzrechtlicher Informationspflichten mit Lauterkeitsrecht, Verbraucherschutzgesetzen (§ 2 Abs. 2 Nr. 13 UKlaG) oder unwirksamen AGB (§ 1 UKlaG) rüge, sei nicht mit dem ab 25.5.2018 geltenden Art. 80 Abs. 2 DSGVO entfallen, da dieser erlaube, Verbandsklagen vorzusehen (Rz. 26–33; Ls. a]).
Sachlicher Anwendungsbereich:Die Klagebefugnis setzte weder konkrete Verletzung noch Betroffenenauftrag voraus. Betroffene i.S.d. Art. 4 Nr. 1 DSGVO könnten auch über etwa Onlinedaten identifizierbare Personen sein. Daher könne zur Klageerhebung bereits die Benennung betroffener Personengruppen genügen (z.B. Interessenten für Spiele im App-Zentrum). Eine Verletzung „infolge einer Verarbeitung“ könne auch beim Verstoß gegen Informationspflichten gem. Artt. 12 Abs. 1 Satz 1, 13 Abs. 1 lit. c und e DSGVO vorliegen. Ferner stehe bzgl. des betätigten Buttons „Sofort spielen“ nicht in Zweifel, dass der vzbv in der erforderlichen Weise tatsächliche – nicht nur hypothetische – Informationspflichtverstöße rüge. Schließlich sei der vzbv nicht gehindert, zugleich auch Verstöße gegen Verbraucherschutzvorschriften und wegen unlauterer Geschäftspraktiken zu rügen (Rz. 34–42).
Unzureichende Einwilligungsgrundlage:Nach § 12 Abs. 1 TMG dürften Telemediendiensteanbieter personenbezogene Daten nur bei gesetzlicher Erlaubnis für Telemedien oder Nutzereinwilligung erheben und verwenden. Die Angaben im App-Zentrum hätten gegen § 13 Abs. 1 Satz 1 Halbs. 1 TMG verstoßen, wonach spätestens zu Beginn des Nutzungsvorgangs allgemein verständlich über Datenerhebung und -verwendung zu unterrichten sei. Die Formulierungen im App-Zentrum ermöglichten Meta die Übermittlung vielfältiger Nutzerdaten (etwa E‑Mail-Adresse, Statusmeldungen und „Über Dich“) an Dritte, ohne dass Datenarten, Übermittlungszweck und Drittnutzung konkretisiert würden (Rz. 48, 52).
Unzureichende Verlinkung auf Drittinformationen:Die zweckunabhängige Ermächtigung zum stellvertretenden Posten durch den Spieleanbieter führe zum Kontrollverlust, auch bzgl. bereits auf Facebook veröffentlichter Daten. Sie sei nicht nach Anzahl, Inhalt und Nutzungsbeschränkung hinreichend klar konkretisiert. Zudem würden die Einwilligungsfolgen vom Referenzverbraucher aufgrund impulsiven Spieltriebs und ablenkender Gestaltung der Benutzeroberfläche nicht sorgfältig abgewogen (Rz. 53 ff.).
Unerfüllte Anforderungen bei Revisionsentscheidung:Analog seien alle Informationen i.S.d. Artt. 13, 14–22, 34 DSGVO nach Art. 12 Abs. 1 Satz 1 DSGVO transparent zu übermitteln. Gemäß Art. 13 Abs. 1 lit. c und e DSGVO müsse zum Zeitpunkt einer Direkterhebung über Verarbeitungszweck, Rechtsgrundlage sowie Empfängerkategorien informiert werden (Rz. 58).
Kein Rechtsbruch:Die Senatsauffassung zum erfüllten Rechtsbruch i.S.v. § 3a UWG werde aufgegeben. Denn die Verletzung der datenschutzrechtlichen Informationspflichten könne allein ein Vorenthalten wesentlicher Informationen gem. § 5a UWG a.F./n.F. darstellen (Rz. 60 ff.; Ls. b).
Wesentlichkeit nach allgemeinen Grundsätzen:Eine Information sei nur wesentlich, wenn sie nach beiderseitigen Interessen vom Unternehmer erwartet werden könne und für die Entscheidung des Verbrauchers erhebliches Gewicht habe. Dessen geschäftliche Entscheidung i.S.d. § 2 Abs. 1 Nr. 1 UWG umfasse auch vorgelagerte Handlungen (z.B. Informationsbeschaffung auf Website). Die Datenschutzeinwilligung beim „Sofort spielen“ sei keine rein private Entscheidung. Insb. bei internetbasierten Geschäftsmodellen ersetze die Datenpreisgabe oft ein monetäres Entgelt. Die Informationspflichten dienten bei einer Nachfrageentscheidung i.S.v. § 5a Abs. 1 Nr. 1 UWG n.F. der umfassenden Unterrichtung über Umfang und Tragweite der Einwilligung. Der Pflichtverstoß könne auch gem. Nr. 2 der Vorschrift zur sonst nicht getroffenen geschäftlichen Entscheidung führen (Rz. 70–76; Ls. c).
Unzulässigkeit der Klausel:§§ 305 ff. BGB schützten auch vor vorformulierten einseitigen rechtsgeschäftlichen Erklärungen, sofern diese objektiv den Eindruck vermittelten, den Inhalt eines vertraglichen oder vorvertraglichen Rechtsverhältnisses zu bestimmen. Die Wendung „darf [...] posten“ spreche für eine Rechteeinräumung, die hier i.R.d. Vertragsbeziehung zur Spiele-Apps vermittelnden Meta erfolge. Auch Ermächtigungen zugunsten Dritter könnten AGB sein, wenn der Verwender daran ein Interesse habe oder dies naheliege (Rz. 87, 89).
Intransparenz der Ermächtigungsklausel:Die Klausel sei intransparent, da für den Verbraucher Anzahl und Inhalt stellvertretender Posts nicht konkret absehbar seien. Sie diene allein wirtschaftlichen Interessen von Meta und den Spieleanbietern. Der Einwilligungstext erfasse auch Werbung für Produkte Dritter (z.B. Kraftfahrzeuge oder sexuell anzügliche Produkte). Dies unterlaufe offensichtlich datenschutzrechtliche Mindeststandards als wesentlichen gesetzlichen Grundgedanken i.S.d. § 307 Abs. 2 Nr. 1 BGB und sei auch mit irischem Datenschutzrecht unvereinbar (Rz. 90, 93 f.).