Einführung in die Datenschutz-Abmahnung
Die Datenschutz-Abmahnung ist ein zentrales Instrument im Datenschutzrecht, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) durchzusetzen. Seit Inkrafttreten der DSGVO im Jahr 2018 sind Unternehmen und Organisationen verpflichtet, bei der Verarbeitung personenbezogener Daten höchste Sorgfalt walten zu lassen. Kommt es zu einem Verstoß gegen diese Vorgaben – etwa durch unzureichende Information der Nutzer oder eine unzulässige Datenverarbeitung – kann eine Abmahnung ausgesprochen werden. Diese kann nicht nur von Datenschutzbehörden, sondern auch von Mitbewerbern, Verbraucherschutzverbänden oder sogar von den betroffenen Personen selbst initiiert werden. Ziel einer Datenschutz-Abmahnung ist es, das Unternehmen zur Unterlassung des Datenschutzverstoßes und zur Einhaltung der Datenschutzrechte zu bewegen. Für Unternehmen bedeutet dies, dass sie ihre Prozesse und den Umgang mit personenbezogenen Daten regelmäßig überprüfen und anpassen müssen, um Abmahnungen und mögliche Folgeklagen zu vermeiden.
Rechtliche Grundlagen
Die rechtlichen Grundlagen für Abmahnungen im Bereich Datenschutz finden sich vor allem in der DSGVO sowie im Gesetz gegen den unlauteren Wettbewerb (UWG). Die DSGVO regelt detailliert, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen. Verstöße gegen diese Vorschriften – etwa durch eine unzulässige Verarbeitung oder fehlende Transparenz – können nicht nur von Datenschutzbehörden, sondern auch im Rahmen des Wettbewerbsrechts verfolgt werden. Das UWG schützt den Wettbewerb vor unlauteren Geschäftspraktiken und sieht vor, dass ein Datenschutzverstoß auch als Verstoß gegen das UWG gewertet werden kann, wenn dadurch ein Unternehmen einen unlauteren Vorteil erlangt. So können Abmahnungen wegen Datenschutzverstößen sowohl auf Grundlage der DSGVO als auch des UWG ausgesprochen werden. Unternehmen sollten daher sicherstellen, dass sie die gesetzlichen Vorgaben zur Verarbeitung personenbezogener Daten strikt einhalten, um Abmahnungen und weitere rechtliche Konsequenzen zu vermeiden.
Wettbewerber dürfen abmahnen – Urteile des BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Wettbewerber und Verbraucherschutzverbände dürfen Datenschutzverstöße von Unternehmen abmahnen; dabei kommt dem Gericht eine zentrale Rolle bei der Entscheidung über Abmahnungen wegen Datenschutzverstößen zu. Das hat der Bundesgerichtshof in mehreren Urteilen vom 27. März 2025 (Az. I ZR 186/17, I ZR 222/19, I ZR 223/19) entschieden. Verschiedene Gerichte haben in der Vergangenheit unterschiedlich über die Abmahnbefugnis bei Datenschutzverstößen entschieden. Die Vielzahl der Fälle von Datenschutzverstößen zeigt die praktische Relevanz dieses Themas. Das aktuelle BGH-Urteil stellt klar, dass auch Konkurrenten und Verbraucherverbände aktiv werden können. Die BGH-Urteile vom März 2025 sind für die Abmahnpraxis von großer Bedeutung, da sie die Verfolgung von Datenschutzverstößen durch Verbraucherverbände und Mitbewerber vor Zivilgerichten ermöglichen. Eine DSGVO-Abmahnung ist eine spezielle Form der Abmahnung, die sich auf Verstöße gegen die Datenschutz-Grundverordnung bezieht und sich von anderen Abmahnungen durch ihren datenschutzrechtlichen Bezug unterscheidet. Die Verbraucherzentrale spielt eine wichtige Rolle bei der Durchsetzung von Datenschutzrechten. Verbraucherverbände sind maßgeblich an der Abmahnung von Datenschutzverstößen beteiligt. Auch Konkurrenten können Datenschutzverstöße verfolgen und so den Wettbewerb schützen. Das Urteil des BGH hat erhebliche Auswirkungen auf die Praxis und die rechtliche Bewertung von Datenschutzverstößen.
Datenschutzverstöße können nicht nur von Aufsichtsbehörden geahndet werden. Die Entscheidungskompetenz der Gerichte bei Datenschutzverstößen ist dabei von zentraler Bedeutung. Wie die Entscheidungen des BGH zeigen, können auch Wettbewerber und Verbraucherverbände gegen die Verstöße vorgehen. Im Rahmen solcher Verfahren spielt auch die beklagte Partei eine wichtige Rolle. Für Unternehmen kann das insbesondere im Onlinehandel und bei der Verarbeitung sensibler Daten erhebliche Konsequenzen haben, so die Wirtschaftskanzlei MTR Legal Rechtsanwälte, die u. a. im IT-Recht und Datenschutzrecht berät. DSGVO-Verstöße können zu erheblichen rechtlichen Folgen führen, insbesondere wenn Unterlassungsansprüche geltend gemacht werden. Bei wiederholtem DSGVO-Verstoß drohen verschärfte Sanktionen und weitere Maßnahmen. Die Verfolgung von Datenschutzverstößen erfolgt sowohl durch Gerichte als auch durch Verbände. Die Bedeutung von Satz 1 und Satz 1 Nr. in den einschlägigen Paragraphen ist für die rechtliche Einordnung entscheidend. Die Sache hat große Bedeutung für die Entwicklung des Datenschutzrechts und die Durchsetzung von Verbraucherrechten.
Spiele-App postet Daten
Im Fall zum Aktenzeichen I ZR 186/17 ging es um ein sogenanntes „App-Center“ in einem sozialen Netzwerk, in dem Drittanbieter Spiele bereitstellten. Das App-Zentrum dient als zentrale Plattform, auf der verschiedene Drittanbieter-Apps angeboten werden. Im App-Zentrum spielen Online-Spiele eine bedeutende Rolle, da sie einen Großteil des Angebots ausmachen. Bei der Nutzung der App können auch personenbezogene Daten wie deine E-Mail-Adresse verarbeitet werden. Bevor ein Nutzer ein Spiel starten konnte, wurde ihm angezeigt, dass die Anwendung bestimmte Berechtigungen erhalte, z. B. um Statusmeldungen posten zu dürfen. Diese Hinweise waren jedoch vage und informierten nicht darüber, welche konkreten Daten verarbeitet wurden, wer die Empfänger waren und zu welchem Zweck dies geschah. Dagegen klagte der Dachverband der Verbraucherzentralen der Bundesländer mit Erfolg.
Der BGH stellte klar, dass eine solche unklare und pauschale Information nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genüge. Bereits bei der Erhebung der Daten durch die App müssen die Nutzer umfassend informiert werden. Auch der Umfang der erhobenen und verarbeiteten Daten muss transparent dargestellt werden. Die rechtssichere Formulierung der Verwendungszwecke in der Datenschutzerklärung ist dabei von besonderer Bedeutung. Die Informationspflichten nach Art. 12 und 13 DSGVO verlangen eine klare, präzise und verständliche Unterrichtung der betroffenen Personen. Da diese Vorgaben der DSGVO gleichzeitig auch das Marktverhalten im Sinne des Wettbewerbsrechts regeln (§ 3a UWG), stellt die Missachtung einen Wettbewerbsverstoß dar. Mitbewerber oder qualifizierte Verbraucherschutzverbände dürfen daher zivilrechtlich gegen solche Datenschutzverstöße vorgehen, so der BGH. Das gilt unabhängig davon, ob sich ein Nutzer beschwert hat.
Apotheker verkaufen Medikamente im Internet
Ähnliche Fragen wurden in den Verfahren zu den Aktenzeichen I ZR 222/19 und I ZR 223/19 behandelt. Hier hatten zwei Apotheken Arzneimittel über die Plattform Amazon verkauft. Dabei wurden personenbezogene Daten der Kunden, darunter auch Gesundheitsdaten, verarbeitet, z. B. Name, Adresse oder bestellte Medikamente samt Informationen zu ihrer Individualisierung. Die Erhebung dieser Gesundheitsdaten durch die Apotheken war zentraler Gegenstand der Verfahren. Es gab zahlreiche Fälle von Datenschutzverstößen im Apothekenbereich, die in diesem Zusammenhang relevant wurden. Dagegen hatten andere Apotheker geklagt. Auch diese Klagen hatten Erfolg: Der BGH machte deutlich, dass es sich bei den Bestelldaten im Sinne des Art. 9 Abs. 1 DSGVO um Gesundheitsdaten handelt. Dies gelte auch dann, wenn die Medikamente nicht verschreibungspflichtig sind. Die Daten dürfen nur verarbeitet werden, wenn eine ausdrückliche Einwilligung der Kunden vorliegt, die die Apotheker jedoch nicht eingeholt hatten.
Der BGH bestätigte die Einschätzung des Europäischen Gerichtshofs, dass Gesundheitsdaten bereits dann vorliegen, wenn sich aus der Bestellung Rückschlüsse auf den Gesundheitszustand oder die Medikation ergeben. In den Verfahren spielte die Beklagte eine zentrale Rolle, da sie für die Verarbeitung der Daten verantwortlich war. Besonders betont wurde die Bedeutung des Schutzes der betroffenen Person bei der Verarbeitung von Gesundheitsdaten. Auch hier sah der BGH einen Wettbewerbsverstoß. Art. 9 Abs. 1 DSGVO sei eine Marktverhaltensregelung im Sinne von § 3a UWG, sodass der Verstoß gegen diese Vorschrift von einem Mitbewerber im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten verfolgt werden kann, so die Karlsruher Richter. Die Bedeutung von Satz 1 und Satz 1 Nr. in den einschlägigen Paragraphen wurde dabei ausdrücklich hervorgehoben.
DSGVO auch wettbewerbsrechtlich relevant
Die Urteile zeigen, dass die Regelungen der DSGVO – und hier besonders die Informationspflichten und die Vorschriften zur Einwilligung – auch wettbewerbsrechtlich relevant sind. Unter bestimmten Umständen können Gewinne, die durch Datenschutzverletzungen erzielt wurden, aberkannt werden; dies steht im Zusammenhang mit Bußgeldern und weiteren Strafmaßnahmen, die nach Maßgabe der Datenschutz-Grundverordnung und des Gesetzes verhängt werden können. Unternehmen, die personenbezogene oder sensible Daten ohne ausreichende Information oder ohne wirksame Einwilligung verarbeiten, handeln wettbewerbswidrig. Nicht nur Datenschutzbehörden, sondern auch Wettbewerber oder qualifizierte Interessenverbände können gegen solche Verstöße vorgehen. Damit hat der BGH den Anwendungsbereich des Wettbewerbsrechts erheblich erweitert. Unternehmen, die gegen die Datenschutzbestimmungen verstoßen, können neben Bußgeldern durch Datenschutzbehörden auch kostenpflichtige Abmahnungen und Unterlassungsklagen durch Wettbewerber und Verbraucherschutzverbände treffen.
Unternehmen sind gut beraten
Unternehmen sind daher gut beraten, ihre Informationspflichten genau zu prüfen und zu erfüllen. Dazu gehört, dass Nutzer transparent, verständlich und umfassend darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht, wer die Empfänger sind und welche Rechte den Betroffenen zustehen. Ebenso muss vor der Verarbeitung sensibler Daten – wie z. B. Gesundheitsdaten – eine explizite Einwilligung eingeholt und dokumentiert werden. Pauschale oder versteckte Klauseln sind nicht ausreichend.
Online-Marktplätze und Datenschutz
Online-Marktplätze wie der Amazon Marketplace sind aus dem modernen E-Commerce nicht mehr wegzudenken. Doch gerade hier ist die Einhaltung des Datenschutzes von besonderer Bedeutung. Anbieter, die auf solchen Plattformen tätig sind, müssen bei der Verarbeitung von Kundendaten – etwa Namen, Adressen oder Bestelldaten – die strengen Vorgaben der DSGVO beachten. Die BGH-Entscheidungen in den Verfahren I ZR 186/17, I ZR 222/19 und I ZR 223/19 haben verdeutlicht, dass Verstöße gegen die DSGVO – wie etwa die Verarbeitung von Gesundheitsdaten ohne ausdrückliche Einwilligung der Kunden – nicht nur datenschutzrechtliche, sondern auch wettbewerbsrechtliche Folgen haben können. Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände sind in solchen Fällen möglich und können für Unternehmen erhebliche Konsequenzen nach sich ziehen. Die Bundesgerichtshofs-Urteile unterstreichen, dass die Einhaltung des Datenschutzes auf Online-Marktplätzen nicht nur eine Frage der Compliance, sondern auch des Wettbewerbs ist.
Folgen einer Abmahnung
Eine Datenschutz-Abmahnung kann für Unternehmen weitreichende Folgen haben. Neben der Verpflichtung, die beanstandete Verarbeitung personenbezogener Daten umgehend einzustellen, drohen im Falle eines fortgesetzten Verstoßes empfindliche Geldstrafen oder Bußgelder. Die DSGVO sieht hierfür Beträge von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Darüber hinaus kann eine Abmahnung auch den Ruf eines Unternehmens nachhaltig schädigen, da ein Verstoß gegen den Datenschutz von Kunden und Öffentlichkeit als schwerwiegender Vertrauensbruch wahrgenommen wird. Unternehmen sollten daher nicht nur aus rechtlichen, sondern auch aus Reputationsgründen größten Wert auf die Einhaltung der Datenschutzbestimmungen legen.
Verteidigung gegen Abmahnungen
Um sich wirksam gegen Abmahnungen im Bereich Datenschutz zu schützen, sollten Unternehmen ihre Datenschutzpraktiken regelmäßig überprüfen und an die aktuellen Anforderungen der DSGVO anpassen. Dazu gehört insbesondere die Erstellung einer transparenten und vollständigen Datenschutzerklärung, die Einholung ausdrücklicher Einwilligungen für die Verarbeitung sensibler Daten sowie die Umsetzung technischer und organisatorischer Maßnahmen zum Schutz der Daten. Im Falle einer Abmahnung ist es ratsam, schnell zu reagieren und rechtlichen Rat einzuholen, um die eigenen Interessen bestmöglich zu wahren. Durch proaktives Handeln und die konsequente Einhaltung der Datenschutzvorgaben können Unternehmen das Risiko von Abmahnungen und weiteren rechtlichen Schritten deutlich reduzieren.
MTR Legal Rechtsanwälte berät zum Datenschutz, zur DSGVO und weiteren Themen des IT-Rechts.
Nehmen Sie gerne Kontakt zu uns auf!
