Mit Urteil des Bundesgerichtshofs vom 27. März 2025 (Az.: I ZR 186/17) wurde entschieden, dass Verbraucherschutzverbände und Mitbewerber bei Verstößen gegen datenschutzrechtliche Informationspflichten wettbewerbsrechtliche Unterlassungsansprüche geltend machen können. Der Entscheidung des BGH liegt ein Sachverhalt zugrunde, bei dem ein Betreiber eines sozialen Netzwerks, in diesem Fall Facebook, seine Nutzer nicht ausreichend über Umfang und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten informierte.
Hintergrund und Details zur Entscheidung
Im App-Zentrum von Facebook wurden Spiele angeboten, bei denen die Nutzer ihre Daten preisgeben mussten, ohne umfassend über deren Verwendung und Zweck informiert zu sein. Der Kläger, der Dachverband der Verbraucherzentralen, argumentierte, dass die Einholung der Einwilligung nicht den gesetzlichen Anforderungen entsprach und sowohl gegen Datenschutz- als auch gegen Wettbewerbsrecht verstieß. Der BGH bestätigte diese Auffassung und stellte fest, dass der Kläger berechtigt war, unabhängig von der Verletzung konkreter Datenschutzrechte einer betroffenen Person Klage zu erheben. Artikel 80 Abs. 2 DSGVO bildet die rechtliche Grundlage hierfür, die durch das Gesetz gegen den unlauteren Wettbewerb (UWG) und das Unterlassungsklagengesetz ergänzt wird.
Auswirkungen und Chancen für Unternehmen
Diese Entscheidung eröffnet Verbraucherschutzverbänden und Mitbewerbern neue Möglichkeiten, Datenschutzverstöße auch ohne direkte Betroffenheit einzelner Personen zu verfolgen. Insbesondere in der digitalen Wirtschaft, in der personenbezogene Daten von herausgehobener Bedeutung sind, müssen Unternehmen darauf achten, die datenschutzrechtlichen Informationspflichten umfassend zu erfüllen. Die Nichteinhaltung dieser Pflichten kann nicht nur zu kostenintensiven Gerichtsverfahren, sondern auch zu einem Schaden des Unternehmensrufs führen.
Relevanz für die Gesundheitsdaten
In zwei weiteren Verfahren (Az.: I ZR 222/19 und I ZR 223/19) entschied der BGH, dass Apotheker, die ohne Einwilligung der Kunden deren Bestelldaten auf einer Online-Verkaufsplattform verarbeiten, gegen Art. 9 Abs. 1 DSGVO verstoßen. Auch hier ist eine wettbewerbsrechtliche Unterlassungsklage durch Mitbewerber möglich, da Gesundheitsdaten durch die DSGVO besonders geschützt sind.
Best-Practice-Leitfaden zur Vermeidung von Datenschutzrisiken
Um den Risiken, die sich auch aus dem aktuellen BGH-Urteil hinsichtlich Datenschutzverstößen ergeben, effektiv begegnen zu können, sollten Unternehmen proaktiv Maßnahmen ergreifen, um Compliance sicherzustellen und das Vertrauen der Verbraucher zu stärken. Hier sind einige Best-Practice-Empfehlungen:
1. Transparente Informationspolitik:
- Sorgen Sie dafür, dass alle Informationen über die Erhebung und Verarbeitung personenbezogener Daten präzise, transparent und in leicht verständlicher Sprache bereitgestellt werden. Nutzen Sie klare und einfache Formulierungen und vermeiden Sie juristische Fachbegriffe.
- Informieren Sie Nutzer über Art, Umfang, Zweck und die Rechtsgrundlage der Datenverarbeitung sowie über die Empfänger der Daten.
2. Einwilligungsmanagement:
- Implementieren Sie ein effektives Einwilligungsmanagement, das sicherstellt, dass alle notwendigen Einwilligungen nachweislich und freiwillig von den Nutzern eingeholt werden.
- Verwenden Sie ein zweistufiges Bestätigungssystem (z. B. Double-Opt-In), um die Gültigkeit der Einwilligungen sicherzustellen.
3. Regelmäßige Schulungen und Audits:
- Schulen Sie Ihre Mitarbeiter kontinuierlich in datenschutzrechtlichen Belangen und halten Sie sie über aktuelle Rechtsentwicklungen und Best Practices auf dem Laufenden.
- Führen Sie regelmäßige Audits durch, um die Einhaltung der Datenschutzregeln und internen Richtlinien zu überprüfen.
4. Datenschutzfreundliche Voreinstellungen (Privacy by Default):
- Gewährleisten Sie, dass alle digitalen Angebote standardmäßig auf die datenschutzfreundlichste Einstellung voreingestellt sind. Nutzer sollten selbst entscheiden können, ob sie darüberhinausgehende Datenverarbeitungen erlauben.
5. Erstellung und Pflege eines Datenschutzregisters:
- Führen Sie ein umfassendes Verarbeitungsverzeichnis, das alle Datenverarbeitungsvorgänge innerhalb des Unternehmens dokumentiert. Halten Sie es stets aktuell und zugänglich für Prüfungen.
6. Regelmäßige Aktualisierung von Datenschutzrichtlinien:
- Überprüfen und aktualisieren Sie Ihre Datenschutzrichtlinien regelmäßig, um sie an aktuelle rechtliche Anforderungen und technische Entwicklungen anzupassen.
7. Implementierung eines Datenschutzbeauftragten:
- Ernennen Sie einen internen oder externen Datenschutzbeauftragten, der die Einhaltung datenschutzrechtlicher Vorschriften überwacht und als Ansprechpartner für Datenschutzfragen dient.
8. Vorkehrungen für den Fall eines Datenschutzvorfalls:
- Entwickeln Sie einen detaillierten Notfallplan für den Umgang mit Datenschutzvorfällen, einschließlich einer klaren Kommunikationsstrategie, um betroffene Personen und Aufsichtsbehörden schnell und effizient zu informieren.
Fazit
Für Unternehmen, die personenbezogene Daten verarbeiten, ist es wichtiger denn je, Transparenz im Umgang mit diesen Daten zu schaffen. Eine umfassende datenschutzrechtliche Unterrichtung stärkt das Vertrauen der Kunden und kann rechtliche Konsequenzen verhindern. Die aktuelle Rechtsprechung unterstreicht die zunehmende Bedeutung des Datenschutzes im Wettbewerb und erfordern von Unternehmen eine proaktive Haltung. Unsere Kanzlei steht Ihnen mit Expertise im Datenschutz- und Wettbewerbsrecht zur Seite und unterstützt Sie umfassend bei der Umsetzung gesetzlicher Anforderungen.
