BGH bestätigt Abmahnung bei Datenschutzverstößen – Was bedeutet das für KMU?

In den Urteilen vom 27. März 2025 (Az. I ZR 186/17, I ZR 222/19 und I ZR 223/19) hat der Bundesgerichtshof (BGH) eine wegweisende Entscheidung getroffen: Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) können wettbewerbsrechtlich abgemahnt werden. 

Damit ist nun höchstrichterlich bestätigt, dass Datenschutzverstöße – etwa unvollständige Datenschutzerklärungen oder fehlende Einwilligungen – durch Mitbewerber oder Verbraucherschutzverbände verfolgt werden dürfen. Diese Klarstellung der Abmahnfähigkeit von Datenschutzverstößen nach der DSGVO schafft Rechtssicherheit in einer zuvor lange umstrittenen Frage.

Für kleine und mittlere Unternehmen (KMU), insbesondere im digitalen Umfeld, bedeutet dieses BGH-Urteil eine neue Dringlichkeit, Datenschutz ernst zu nehmen. Ab sofort drohen nicht mehr nur Bußgelder von Aufsichtsbehörden, sondern auch Abmahnungen durch Wettbewerber oder Verbände. Im Folgenden erklären wir die aktuelle Rechtslage, zeigen anhand der BGH-Fälle (u.a. Meta und Apotheker) die konkreten Auswirkungen für Unternehmen auf und geben praxisnahe Tipps, wie Sie Ihre Datenschutz-Compliance jetzt rechtssicher umsetzen können.

Fallbeispiel 1: Verbraucherschützer vs. Meta (Facebook-App-Zentrum)

Ein erstes Verfahren betraf die Plattform Facebook (heute Meta) und ihr sogenanntes „App-Zentrum“. Dort konnten Nutzer 2012 kostenlose Spiele von Drittanbietern nutzen. Wer auf den Button „Sofort spielen“ klickte, erlaubte der jeweiligen Anwendung damit, Inhalte im Namen des Nutzers zu posten und Zugriff auf persönliche Daten wie E-Mail-Adresse und Statusmeldungen zu erhalten.

Diese Hinweise waren für Nutzer leicht zu übersehen und erklärten nicht klar, zu welchem Zweck, in welchem Umfang und an wen die Daten weitergegeben wurden. Der Verbraucherzentrale Bundesverband (vzbv) sah darin einen DSGVO-Verstoß, da die Nutzer nicht hinreichend informiert wurden und somit keine informierte Einwilligung erteilen konnten.

Nach jahrelangem Rechtsstreit – inklusive eines wegweisenden Urteils des Europäischen Gerichtshofs (EuGH) – stellte sich der BGH schließlich auf die Seite der Verbraucherschützer. Er entschied, dass Facebooks unklare Information über die Datenweitergabe gegen die datenschutzrechtlichen Informationspflichten der DSGVO verstößt und zugleich ein wettbewerbswidriges Verhalten darstellt

Fallbeispiel 2: Online-Apotheker auf Amazon

Zwei weitere Verfahren betrafen Apotheker, die apothekenpflichtige Medikamente über die Plattform Amazon verkauften. Im Bestellprozess wurden Kundendaten erhoben, darunter Name, Lieferadresse und Angaben zum bestellten Medikament – Informationen, die Rückschlüsse auf die Gesundheit der Kunden zulassen. Die beklagten Online-Apotheker holten keine ausdrückliche Einwilligung der Kunden für die Verarbeitung dieser sensiblen Gesundheitsdaten ein. Konkurrenten, ebenfalls Apotheker, klagten daraufhin auf Unterlassung (in einem Fall zusätzlich auf Schadensersatz), da sie hierin sowohl einen DSGVO-Verstoß als auch einen Wettbewerbsverstoß sahen.

Auch hier gab der BGH den Klägern Recht. Er stellte klar, dass es sich bei den erfassten Bestelldaten um Gesundheitsdaten im Sinne von Art. 9 DSGVO handelt und dass deren Verarbeitung ohne ausdrückliche Einwilligung der Kunden rechtswidrig ist

Ein solcher Verstoß gegen die DSGVO sei wettbewerbsrechtlich relevant, denn Art. 9 DSGVO ist eine Marktverhaltensregel im Sinne des § 3a UWG – die Vorschrift schützt die informationelle Selbstbestimmung der Verbraucher im Rahmen ihrer Kaufentscheidungen. Mit anderen Worten: Wenn ein Unternehmen sensible Gesundheitsdaten ohne Erlaubnis verarbeitet, verschafft es sich einen unlauteren Vorteil im Markt. Ein Mitbewerber kann dies nun abmahnen und gerichtlich untersagen lassen. Die BGH-Entscheidung in den Amazon-Apotheken-Fällen zeigt exemplarisch, dass selbst formale Datenschutzverstöße (hier: fehlende Einwilligung) im Online-Handel zu erfolgreichen Wettbewerberklagen führen können.

Rechtliche Einordnung: BGH-Urteile bestätigen Abmahnungen im Datenschutz

Die BGH-Urteile vom 27.03.2025 haben einen jahrelangen Streit entschieden. Bisher war umstritten, ob Datenschutzverstöße von Unternehmen ausschließlich von Datenschutzbehörden geahndet werden dürfen oder ob auch Dritte zivilrechtlich dagegen vorgehen können. Der EuGH hatte 2022 und 2024 vorgegeben, dass nationale Regelungen solche Klagen zulassen dürfen

Der BGH hat diese Linie nun übernommen und klargestellt: Verbraucherschutzverbände (z.B. der vzbv) sind befugt, Datenschutzverstöße auf Grundlage des Unterlassungsklagengesetzes abzumahnen und Mitbewerber können DSGVO-Verstöße als Wettbewerbsverstöße abmahnen. Konkret führte der BGH aus, dass sowohl Verbände (§ 8 Abs. 3 Nr. 3 UWG, § 3 Abs. 1 UKlaG) als auch Konkurrenten (§ 8 Abs. 3 Nr. 1 UWG) berechtigt sind, Datenschutzverstöße abzumahnen und vor Zivilgerichten zu verfolgen.

Unternehmen können sich nicht mehr darauf verlassen, dass bei Datenschutzlücken nur die Aufsichtsbehörde (oder gar niemand) einschreitet. DSGVO-Verstöße können jetzt von Konkurrenten und Verbänden abgemahnt und vor Gericht gebracht werden.

Auswirkungen auf KMU: Datenschutzverstöße als neues Abmahnrisiko

Für Unternehmen – insbesondere KMU – bedeutet diese Rechtslage ein deutlich erhöhtes Risiko. Datenschutzverstöße sind künftig wesentlich einfacher „angreifbar“, denn es können nun nicht mehr nur Behörden oder direkt betroffene Personen aktiv werden, sondern es drohen auch Abmahnungen durch Mitbewerber und Verbände

Datenschutzrecht wird damit faktisch zum Wettbewerbsfaktor. Kleine und mittlere Unternehmen, die oft knappere Ressourcen für Compliance haben, stehen vor der Aufgabe, ihre Datenschutzpraxis zu überprüfen. Gerade Datenschutzverstöße von Unternehmen, die bisher vielleicht mangels behördlicher Kontrolle folgenlos blieben, können jetzt schnell zu einer kostenpflichtigen Abmahnung führen.

Besonders kritisch sind dabei einige typische Schwachstellen, die in vielen KMU anzutreffen sind. Dazu zählen z.B. unklare oder lückenhafte Datenschutzerklärungen, die nicht alle vorgeschriebenen Informationen enthalten, pauschale oder unwirksame AGB-Klauseln zur Datenverwendung sowie die Verarbeitung sensibler Daten (etwa Gesundheitsdaten) ohne gültige Einwilligung.

Solche Versäumnisse können Konkurrenten nun gezielt aufs Korn nehmen. Zwar existiert ein Gesetz gegen Abmahnmissbrauch, um unseriöse Massenabmahnungen einzudämmen, doch in berechtigten Fällen ist eher mit vermehrten DSGVO-Abmahnungen zu rechnen, da die Rechtslage nun auf Seiten der Abmahner eindeutig ist. Unternehmen sollten dies als Weckruf verstehen, ihre Datenschutz-Compliance auf den Prüfstand zu stellen, um kostspielige Streitigkeiten zu vermeiden.

Praxistipps: Wie Sie DSGVO-Abmahnungen vermeiden können

Angesichts der neuen Entwicklung sollten gerade KMU jetzt proaktiv werden, um Datenschutzverstöße zu verhindern. Die folgenden Maßnahmen helfen, Ihr Unternehmen datenschutzrechtlich abzusichern und Abmahnungen vorzubeugen:

• Datenschutzerklärung aktualisieren: Überprüfen Sie Ihre Datenschutzerklärung auf Vollständigkeit und Verständlichkeit. Stellen Sie sicher, dass alle Informationen gemäß Art. 12, 13 DSGVO angegeben sind – also welche personenbezogenen Daten Sie erheben, zu welchen Zwecken und auf welcher Rechtsgrundlage, wie lange Sie sie speichern und an wen Sie sie ggf. weitergeben. Die Hinweise müssen für einen Laien nachvollziehbar und leicht auffindbar sein (z.B. auf Ihrer Website). Eine transparente und vollständige Datenschutzerklärung reduziert das Abmahnrisiko erheblich.

• Einwilligungen korrekt einholen: Wo immer eine Einwilligung erforderlich ist (z.B. für Newsletter, Tracking-Cookies oder die Verarbeitung besonderer Daten), holen Sie diese ausdrücklich und nachweisbar ein. Die Einwilligungstexte sollten klar formuliert sein und den DSGVO-Anforderungen entsprechen. Kunden müssen genau wissen, worin sie einwilligen. Dokumentieren Sie die erteilten Einwilligungen, um im Streitfall gewappnet zu sein. Ohne gültige Einwilligung dürfen sensible Daten nicht verarbeitet werden – hier verstehen Gerichte keinen Spaß.

• AGB und Vertragsklauseln prüfen: Nehmen Sie Ihre Allgemeinen Geschäftsbedingungen unter die Lupe, insbesondere Klauseln zur Nutzung von Kundendaten. Entfernen oder ändern Sie Bestimmungen, die Nutzern eine pauschale Zustimmung zu weitreichender Datenverarbeitung abverlangen oder sie unangemessen benachteiligen. Solche Klauseln sind nicht nur unwirksam, sondern können jetzt auch Abmahnungen nach sich ziehen (siehe das Facebook-App-Zentrum-Beispiel). 

• Umgang mit sensiblen Daten einschränken: Prüfen Sie, ob und welche besonders sensiblen Daten (z.B. Gesundheitsdaten, Daten zu ethnischer Herkunft, politischen Meinungen usw.) Sie wirklich benötigen. Verzichten Sie auf die Erhebung solcher Daten, wenn sie für Ihr Angebot nicht zwingend erforderlich ist. Wo sie unvermeidbar sind (etwa im Gesundheits- oder Versicherungssektor), stellen Sie sicher, dass strenge Datenschutzmaßnahmen greifen: Holen Sie eine ausdrückliche Einwilligung ein und verwenden Sie die Daten nur für den Zweck, dem der Kunde zugestimmt hat. So minimieren Sie das Risiko, gegen Art. 9 DSGVO zu verstoßen.

• Mitarbeiter sensibilisieren: Sorgen Sie dafür, dass Ihre Mitarbeiter die Bedeutung des Datenschutzes kennen. Schulen Sie insbesondere diejenigen, die mit Kundendaten arbeiten (Vertrieb, Marketing, Support etc.), in den relevanten DSGVO-Vorgaben. Oft passieren Verstöße aus Unwissenheit – etwa wenn Daten zu lange aufbewahrt oder ungeschützt weitergeleitet werden. Eine datenschutzbewusste Unternehmenskultur ist der beste Schutz vor unbeabsichtigten Verstößen.

• Expertenrat einholen: Wenn Sie unsicher sind, wo potentielle Datenschutzlücken bestehen, scheuen Sie sich nicht, fachkundigen Rat einzuholen. Eine externe Datenschutzberatung oder ein Rechtscheck kann Schwachstellen aufdecken, an die man intern vielleicht gar nicht gedacht hat. Insbesondere ein Datenschutzrecht-Check für KMU hilft, Ihre Prozesse und Unterlagen (Websites, Formulare, Verträge) systematisch auf DSGVO-Konformität zu prüfen. Die Investition in Compliance ist deutlich geringer als die Kosten einer Abmahnung oder eines Gerichtsverfahrens.

Fazit

Die BGH-Entscheidungen vom März 2025 markieren einen Wendepunkt: Datenschutzverstöße sind ab sofort "offiziell" abmahnfähig und damit ein reales rechtliches Risiko im Tagesgeschäft von Unternehmen. Für KMU heißt das, Datenschutz nicht länger als rein formale Pflicht zu betrachten, sondern als integralen Bestandteil ihrer Rechts- und Risiko-Strategie. Die aktuelle Rechtslage mag auf den ersten Blick strenger wirken, bietet aber auch eine Chance: Wer jetzt konsequent für Datenschutz-Compliance sorgt, schützt sich nicht nur vor Abmahnungen und Bußgeldern, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern.

Im Ergebnis zahlt sich Datenschutz für Unternehmen doppelt aus – durch Rechtsicherheit und als Qualitätsmerkmal gegenüber dem Wettbewerb. Nutzen Sie die Gelegenheit, Ihre Datenschutzmaßnahmen zu optimieren, und zögern Sie bei Unklarheiten nicht, professionellen Rat einzuholen. So sind Sie bestens gewappnet, um auch in Zukunft rechtssicher und vertrauenswürdig im Markt aufzutreten.

Lesen Sie hier weiter.

Wichtige Schlüsselbegriffe: DSGVO-Abmahnung, Abmahnfähigkeit Datenschutz, Datenschutzverstöße Unternehmen, Datenschutzrecht KMU, BGH DSGVO Urteil, Datenschutz Onlinehandel, Einwilligung Gesundheitsdaten, Datenschutzverstoß abmahnen.