Datenschutz und Facebook
BGH und EuGH stärken Verbraucher
Mit diesem Urteil beendet der BGH einen jahrelangen Rechtsstreit über einen Datenschutzverstoß von Facebook. Verbraucherschutzverbände können unabhängig von einer individuellen Beauftragung Verstöße gegen die DSGVO zivilrechtlich verfolgen.
Dass Meta (ehemals Facebook) nicht immer im Einklang mit geltendem Datenschutzrecht steht, dürfte hinlänglich bekannt sein. Ein Gerichtsverfahren gegen den Konzern kann sich jedoch aufgrund seiner finanziellen Ressourcen erheblich in die Länge ziehen und für Einzelpersonen mit hohen Kosten verbunden sein. Umso größer ist das Interesse der Verbraucher daran, dass auch Verbraucherschutzverbände Datenschutzverstöße von Meta zivilrechtlich verfolgen können. Davon ist der Netzwerkbetreiber allerdings nicht ganz überzeugt. Nach mehreren Instanzen und einer Vorlage beim Europäischen Gerichtshof entschied nun der Bundesgerichtshof über die Klagebefugnis von Verbraucherschutzverbänden (BGH, Urteil vom 27.03.2025, Az. I ZR 186/17).
Auch für Online-Spiele gilt die DSGVO
Das Verfahren fand seinen Ursprung bereits im Jahr 2012. Das damalige Facebook betrieb auf seiner Plattform ein „App-Zentrum“, über das Nutzer kostenlose Online-Spiele von Drittanbietern spielen konnten. Mit einem Klick auf „Sofort spielen“ erklärten sich die Nutzer nicht nur mit der Weitergabe ihrer personenbezogenen Daten an die Drittanbieter einverstanden, sondern erlaubten Facebook unter anderem, Statusmeldungen in ihrem Namen zu posten. Wörtlich lautete der eingeblendete Hinweis:
"Durch das Anklicken von ‚Spiel spielen‘ oben erhält diese Anwendung: Deine allgemeinen Informationen (?), Deine E-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr."
Bei einem Spiel endeten die Hinweise mit dem Satz: "Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten."
Dies sei unzureichend, so die Verbraucherzentrale. Sie machte geltend, dass der eingeblendete Hinweis die Nutzer nicht hinreichend über den Umfang und Zweck der Datenerhebung und -verarbeitung informiere und somit nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspreche.
Nicht-Beauftrage Verbraucherzentrale als Kläger?
Im Rahmen eines der Verfahren zu diesem Fall stellte das damalige Facebook die Klagebefugnis der Verbraucherschutzverbände bei Verstößen gegen die DSGVO infrage. Zwar bestehe grundsätzlich eine Klagebefugnis nach nationalem Recht, diese könne jedoch nicht auf die DSGVO angewendet werden. Ihr Zweck sei es unter anderem, Rechtssicherheit für Unternehmen zu schaffen – eine Klagebefugnis von Verbraucherschutzverbänden stehe dem entgegen.
Nach Vorlage dieser Zweifel beim EuGH bestätigte sich, was angesichts früherer EuGH-Entscheidungen bereits nahelag: Der Vortrag von Facebook ist nicht überzeugend. Die DSGVO dient unzweifelhaft dem Verbraucherschutz. Um dieses Ziel zu erreichen, ist es essenziell, dass auch Verbände als klagebefugte Einrichtungen im Sinne der DSGVO gelten. Dies gilt selbst dann, wenn sie weder von einem Betroffenen beauftragt wurden noch bereits einen konkreten Datenschutzverstoß ermittelt haben.
Verbraucherschutz als legitimes Ziel
In den vergangenen Jahren lässt sich eine deutliche Entwicklung zugunsten von Verbraucherschutzvorschriften beobachten. Einen besonderen Höhepunkt erreichte diese Rechtsentwicklung mit der Einführung der DSGVO. Obwohl die Entscheidung des EuGH nicht allzu überraschend war, soll an dieser Stelle dennoch die Bedeutung des Datenschutzrechts hervorgehoben werden. Die Thematik ist jedoch nicht frei von Herausforderungen, da die Grenze zu einem Verstoß häufig nicht auf den ersten Blick erkennbar ist.