Mit Urteil vom 27. März 2025 (I ZR 186/17 – „App‑Zentrum III“) hat der Bundesgerichtshof (BGH) ein für die Praxis wegweisendes Datenschutz‑ und Wettbewerbsrechtspaket geschnürt:
Erstmals bestätigt der BGH ausdrücklich, dass qualifizierte Verbraucherverbände Datenschutzverstöße auch ohne Mandat betroffener Personen gerichtlich verfolgen dürfen. Zugleich erklärt er das Vorenthalten von Pflichtinformationen nach Art. 12 f. DSGVO zur unlauteren geschäftlichen Handlung (§ 5a UWG) und stützt damit Abmahn‑ und Unterlassungsrisiken auf eine zweite Säule. Darüber hinaus kassiert der Senat eine „Posten‑Klausel“ in App‑AGB als unangemessene Benachteiligung (§ 307 BGB). Das Urteil schärft die Anforderungen an Einwilligungs‑Flows und AGB‑Gestaltung – nicht nur für Social‑Media‑Plattformen, sondern für alle datenbasierten Geschäftsmodelle.
Sachverhalt
Die Meta Platforms Ireland Ltd. (vormals Facebook Ireland) betreibt das soziale Netzwerk facebook.com. In dessen „App‑Zentrum“ bot sie kostenlose Spiele Dritter an. Beim Aufruf des Buttons „Sofort spielen“ erschien unter anderem folgender Hinweis:
„Durch das Anklicken von ‚Spiel spielen‘ erhält diese Anwendung:
– Deine allgemeinen Informationen
– Deine E‑Mail‑Adresse
– Über dich
– Deine Statusmeldungen.
Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“
Per Link waren AGB und Datenschutzrichtlinien des Spiele‑Anbieters erreichbar. Der Bundesverband der Verbraucherzentralen klagte – ohne konkretes Mandat betroffener Nutzer – auf Unterlassung dieser Darstellung sowie auf das Verbot der Klausel „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten“.
Landgericht Berlin und Kammergericht gaben der Klage statt. Die Beklagte legte Revision ein. Der BGH setzte das Verfahren zweimal aus und legte dem EuGH Fragen zur Auslegung von Art. 80 Abs. 2 DSGVO vor. Nach den EuGH‑Urteilen „Meta Platforms Ireland“ (C‑319/20) und „Verbandsklage“ (C‑757/22) verwarf der BGH nun die Revision vollumfänglich.
Entscheidung
1. Verbandsklagebefugnis nach Art. 80 Abs. 2 DSGVO
Leitsatz a): Qualifizierte Einrichtungen (§ 8 Abs. 3 Nr. 3 UWG, § 3 Abs. 1 S. 1 Nr. 1 UKlaG) können Datenschutzverstöße wegen fehlender Art. 12/13‑Informationen gerichtlich geltend machen, auch ohne individuelle Rechteverletzung oder Auftrag.
Der BGH folgt damit dem EuGH: Eine namentliche Benennung betroffener Personen ist entbehrlich, sofern die Datenverarbeitung Rechte „identifizierbarer“ Personen beeinträchtigen kann . Das deutsche Verbandsklagesystem fügt sich in den Ermessensspielraum des Art. 80 Abs. 2 DSGVO ein .
2. Verletzung der DSGVO‑Informationspflicht und UWG‑Verstoß
Leitsatz b): Das Unterlassen präziser, transparenter und verständlicher Informationen (Art. 12 Abs. 1, Art. 13 Abs. 1 c, e DSGVO) ist zugleich ein Verstoß gegen § 5a UWG (Vorenthalten wesentlicher Informationen).
Der Senat hebt hervor, dass Daten in vielen Geschäftsmodellen die „Gegenleistung“ des Verbrauchers darstellen; deshalb hat die Information über Zweck und Empfänger zentrale Bedeutung für dessen Marktverhalten . Fehlende oder verschleierte Hinweise sind geeignet, die Entscheidungsfreiheit des Nutzers zu beeinträchtigen und erfüllen die Tatbestände nach alter (§ 5a Abs. 2 UWG a.F.) und neuer Rechtslage (§ 5a Abs. 1 UWG n.F.) .
3. Weitergeltung älterer Normen
Weil das App‑Zentrum bereits 2012 online war, prüft der BGH parallel das damalige Telemedienrecht (§ 13 TMG a.F.). Auch hier sieht er einen Verstoß: Die Einwilligung sei weder bestimmt noch transparent . Damit ist das Verhalten sowohl zur Zeit der Verletzung als auch zur Zeit des Urteils rechtswidrig; die Wiederholungsgefahr besteht fort.
4. Klauselkontrolle
Die Formel „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ ist AGB. Sie benachteilige Nutzer unangemessen, weil sie weder Reichweite noch Zweck des Postings eingrenzt und deshalb gegen § 307 BGB verstößt; das Verbot stützt sich auf § 1 UKlaG .
Praxishinweise
1. Transparente Einwilligungs‑Prozesse
| Pflicht | Umsetzungsempfehlung |
|---|---|
| Art. 13 DSGVO‑Information | Einblenden vor dem Zustimmungs‑Button, in klarer Alltagssprache; keine Scroll‑ oder Link‑Hürden. |
| Granularität | Separate Opt‑ins nach Zweck (z. B. Highscore‑Posting, Werbe‑Newsletter). |
| Double‑Layer‑Design | Kurzinfo im Banner („Wir verarbeiten Deine E‑Mail-Adresse für…“), Volltext per Modal – aber nicht nur via Footer‑Link. |
| Dokumentation | Consent‑ID, Timestamp, Textversion archivieren; Nachweislast liegt beim Verantwortlichen. |
2. AGB‑Gestaltung
Keine Blanko‑Vollmachten: Formulierungen wie „…und mehr“ oder unbegrenzte „Post‑Erlaubnisse“ sind risikobehaftet.
Zweckbindung & Datenminimierung: Beschreiben, welche Inhalte in welchem Umfang veröffentlicht werden dürfen.
Update‑Mechanismus: Änderungen nur nach ausdrücklicher Zustimmung; Verweis auf künftige Versionen genügt nicht.
3. Risikomanagement für Betreiber
Interdisziplinäres AuditDSGVO‑, UWG‑ und Zivilrechtsexperten prüfen Einwilligungs‑Flows ganzheitlich.
Monitoring von Verbandsklagen
Nach Art. 84 DSGVO drohen Bußgelder zusätzlich zu Unterlassungs‑ und Kostenerstattungsansprüchen.Abschichtungs‑Strategie
Technische Trennung von Basis‑Funktionen und optionalen Datennutzungen senkt Druck, vollständige Einwilligungen sofort einzuholen.Kostenfaktor AGB
UKlaG‑Klagen koppeln sich oft an DSGVO‑Verstöße – jede intransparente Klausel kann zum zweiten Haftungsanker werden.
4. Auswirkungen für Verbraucherverbände
Bestätigung ihres Klagerechts stärkt ihre Verhandlungsposition in Vergleichsgesprächen.
Parallelverfahren (Aufsichtsbehörde, Zivilgericht) bleiben zulässig; Koordinierung wird zum Erfolgsfaktor.
Die niedrige Abmahnkostenquote von 200 € im Streitfall zeigt: Auch kleine Budgets können große Plattformen binden.
5. Fazit und Ausblick
Das Urteil verknüpft Datenschutz‑Compliance, AGB‑Kontrolle und Lauterkeitsrecht enger denn je. Wer personenbezogene Daten als „Währung“ nutzt, muss vor jeder Verarbeitung ein konsistentes Informations‑ und Opt‑in‑Konzept nachweisen. Spätestens seit „App‑Zentrum III“ ist klar:
Fehlende Transparenz kostet – einmal in der DSGVO, doppelt im UWG und UKlaG, dreifach in der öffentlichen Wahrnehmung.
Im Vorfeld des künftigen EU‑Data‑Act und der Digital Markets Regulation sollten Plattformen und App‑Stores ihre Prozesse jetzt harmonisieren. Die Messlatte des BGH wird zum Branchenstandard.
