Die Digitalisierung im Versicherungsvertrieb bringt enorme Chancen – aber auch rechtliche Fallstricke. Insbesondere der Umgang mit Kundendaten ist ein sensibles Thema. Drei aktuelle Urteile des Bundesgerichtshofs (BGH) vom 27. März 2025 – bekannt unter den Schlagworten „Arzneimittelbestelldaten II“ (Az. I ZR 223/19), „Arzneimittelbestelldaten III“ (Az. I ZR 222/19) und „App-Zentrum III“ (Az. I ZR 186/17) – sorgen nun für mehr Klarheit. Sie verknüpfen Datenschutzrecht, insbesondere Artikel 9 DSGVO (besondere Kategorien personenbezogener Daten, z. B. Gesundheitsdaten), mit dem Wettbewerbsrecht, hier vor allem § 3a UWG (Verstoß gegen gesetzliche Marktverhaltensregelungen).
Wirth Rechtsanwälte unterstützen Sie als Fachanwälte für das Handelsvertreter- und Vertriebsrecht bei der Durchsetzung Ihrer Versicherungsansprüche. Nehmen Sie Kontakt auf!
Warum sind die Urteile zum Datenschutz für Versicherungsvermittler relevant?
Weil Versicherungsvermittler ähnlich wie die in den Urteilen behandelten Unternehmen (Apotheker auf Online-Plattformen, Tech-Plattformen mit Apps) täglich personenbezogene – teils hochsensible – Daten verarbeiten. Die BGH-Entscheidungen zeigen: Datenschutzverstöße sind nicht mehr „nur“ ein Thema für Aufsichtsbehörden, sondern können auch von Mitbewerbern und Verbraucherschützern wettbewerbsrechtlich verfolgt werden. Im Folgenden geben wir einen Überblick über die Rechtslage, analysieren die Urteile und erläutern ganz praktisch, welche Auswirkungen sich für den Versicherungsvertrieb ergeben. Abschließend geben wir praxisnahe Tipps, wie Vermittler ihre Vertriebsaktivitäten datenschutzkonform und rechtssicher gestalten können.
Rechtlicher Überblick
Datenschutzrecht (DSGVO) – Art. 9 und Informationspflichten:
Die DSGVO schützt personenbezogene Daten und stellt bei besonders sensiblen Daten (Art. 9 DSGVO) strenge Anforderungen. Zu diesen besonderen Kategorien zählen u.a. Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen oder genetische und biometrische Daten.
Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es greift eine Ausnahmeregelung des Art. 9 Abs. 2 DSGVO – in der Praxis meist eine ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 Buchst. a DSGVO). „Ausdrücklich“ bedeutet, dass die Einwilligung klar, spezifisch und bewusst für diese Daten erteilt werden muss (z. B. durch eine separate Zustimmungserklärung).
Zudem schreibt die DSGVO umfangreiche Informationspflichten vor (Art. 12, 13 DSGVO): Verbraucher müssen transparent darüber aufgeklärt werden, welche Daten wofür und auf welcher Grundlage erhoben und verwendet werden. Diese Transparenz soll gewährleisten, dass Kunden informierte Entscheidungen treffen – gerade wenn die Datennutzung sozusagen Teil des „Deals“ ist (man denke an kostenlose Angebote, die mit persönlichen Daten „bezahlt“ werden).
Wettbewerbsrecht (UWG) – § 3a UWG als Brücke zum Datenschutz:
Das Gesetz gegen den unlauteren Wettbewerb (UWG) schützt fairen Wettbewerb und Verbraucher vor unlauteren Geschäftspraktiken. § 3a UWG erklärt ein geschäftliches Handeln für unlauter, wenn gesetzliche Vorschriften, die auch dem Schutz von Marktteilnehmern dienen, verletzt werden.
Lange war umstritten, ob Datenschutzvorschriften solche Marktverhaltensregeln im Sinne des UWG sind. Wenn ja, könnten Wettbewerber oder qualifizierte Verbände bei Datenschutzverstößen auf Unterlassung klagen. Die BGH-Urteile von 2025 haben diese Frage nun höchstrichterlich beantwortet. Kurz gesagt: Ja, bestimmte Datenschutzverstöße können zugleich Wettbewerbsverstöße sein. Insbesondere die Verletzung von Art. 9 DSGVO (Schutz sensibler Daten) stellt eine solche unlautere Handlung dar. Auch die Missachtung von Informationspflichten nach der DSGVO kann wettbewerbsrechtlich relevant sein – etwa als Vorenthalten wesentlicher Informationen nach § 5a UWG.
Durchsetzung durch Mitbewerber und Verbände
Normalerweise überwachen Datenschutzaufsichtsbehörden die DSGVO-Compliance, und Betroffene können Schadensersatz geltend machen oder Beschwerde über Datenverstöße bei den Landesbehörden einreichen.
Jetzt ist klar: Zusätzlich dürfen Mitbewerber nach § 8 UWG und Verbraucherschutzverbände (qualifizierte Einrichtungen) nach dem Unterlassungsklagengesetz (UKlaG) Verstöße abmahnen und vor Gericht bringen. Möglich macht das auch Art. 80 Abs. 2 DSGVO, der es den Mitgliedstaaten erlaubt, Verbänden Klagerechte einzuräumen. Deutschland hat hiervon Gebrauch gemacht. Der BGH bestätigt, dass Verbraucherschutzverbände ohne konkreten Auftrag Einzelner Unterlassungsansprüche wegen DSGVO-Verstößen geltend machen können. Ebenso können Wettbewerber einschreiten, wenn der Konkurrent sich durch einen Datenschutzverstoß einen unerlaubten Vorteil verschafft – etwa indem er gesetzliche Pflichten ignoriert und dadurch Kosten spart oder schneller an Daten gelangt.
Diese neue Gemengelage bedeutet für Vermittler: Datenschutz ist auch Wettbewerbssache. Ein Verstoß kann Abmahnungen nach sich ziehen – von Konkurrenten oder etwa dem Verbraucherzentrale Bundesverband (vzbv).
Wir stehen Ihnen mit maßgeschneiderter Rechtsberatung zur Seite
Anlayse der Urteile
Schauen wir uns die drei BGH-Urteile genauer an und was sie entschieden haben:
BGH „Arzneimittelbestelldaten II“ (I ZR 223/19)
In diesem Fall bot eine Apotheke apothekenpflichtige Medikamente über Amazon Marketplace an. Kunden konnten also über Amazon bei der Apotheke Arzneimittel bestellen. Dabei mussten sie ihren Namen, die Lieferanschrift und Angaben zum gewünschten Medikament eingeben – Daten, die Rückschlüsse auf ihre Gesundheit zulassen (z. B. welches Medikament benötigt wird). Die zentrale Frage: Handelt es sich dabei um Gesundheitsdaten im Sinne des Datenschutzes? Und falls ja, durfte die Apotheke diese Daten ohne ausdrückliche Einwilligung der Kunden verarbeiten und an Amazon zur Bestellabwicklung übermitteln?
Der BGH sagt deutlich: Ja, Bestelldaten für Medikamente sind Gesundheitsdaten. Schon der Europäische Gerichtshof (EuGH) hatte in diesem Verfahren klargestellt, dass Angaben, die im Rahmen einer Medikamentenbestellung gemacht werden (Name, Adresse, konkretes Arzneimittel), Informationen über die Gesundheit darstellen. Der BGH folgert daraus: Sobald ein Kunde online apothekenpflichtige Medikamente bestellt, werden besondere Kategorien personenbezogener Daten erhoben und verarbeitet. Für eine solche Verarbeitung braucht es nach Art. 9 DSGVO eine ausdrückliche Einwilligung der betroffenen Person – andernfalls liegt ein Datenschutzverstoß vor.
Genau das war hier geschehen: Die Apotheke hatte keine ausdrückliche Einwilligung der Kunden eingeholt. Damit – und das ist der Knackpunkt für das Wettbewerbsrecht – verstieß sie zugleich gegen eine Marktverhaltensregel im Sinne von § 3a UWG. Diese Norm (Art. 9 DSGVO) dient nämlich auch dem Schutz der Verbraucher, da Gesundheitsdaten besonders schützenswert sind.
Die Konsequenz: Ein Mitbewerber (in diesem Fall vermutlich eine andere Apotheke oder ein Verband) kann den Apotheker zivilrechtlich auf Unterlassung in Anspruch nehmen. Der BGH stellte klar, dass der Apotheker für diesen Verstoß wettbewerbsrechtlich verantwortlich ist – er kann sich also nicht damit herausreden, Amazon würde ja die Plattform stellen. Im Ergebnis musste die Apotheke sicherstellen, dass fortan keine Bestellungen ohne vorherige Einwilligung in die Datenverarbeitung mehr erfolgen. Andernfalls droht ihr ein gerichtliches Verbot, solche Bestellmöglichkeiten anzubieten (bis die Rechtsverletzung abgestellt ist).
BGH „Arzneimittelbestelldaten III“ (I ZR 222/19)
Dieses Verfahren hing eng mit dem obigen zusammen und betraf ebenfalls den Versand von Medikamenten über Amazon. Ein Aspekt war hier die Frage, wer rechtlich als Vertreiber der Medikamente anzusehen ist – Amazon oder die Apotheke? Der BGH stellte klar, dass in der geschilderten Konstellation der Apotheker und nicht Amazon das Arzneimittel in den Verkehr bringt. Amazon trat also nur als Vermittlungsplattform auf, während die Apotheke die Bestellung prüfte, freigab, verpackte und versandte. Warum ist das erwähnenswert? Weil es zeigt, dass der Händler (hier die Apotheke) die Verantwortung für die Einhaltung aller einschlägigen Vorschriften trägt – von arzneimittelrechtlichen Vorgaben bis hin zum Datenschutz.
Übertragen auf Versicherungsvermittler bedeutet das: Wenn Sie externe Plattformen oder Marktplätze nutzen, bleiben Sie der Verantwortliche für die Einhaltung von Datenschutzregeln. Man kann sich nicht darauf berufen, der Plattformbetreiber müsse sich kümmern – zumindest nicht, solange man selbst Vertragspartner des Kunden ist und die Leistung erbringt.
Darüber hinaus bestätigte der BGH in „Arzneimittelbestelldaten III“ im Wesentlichen die Rechtsauffassung aus Fall II. Auch hier ging es um die unzureichende Einwilligungseinholung für Gesundheitsdaten. Letztlich ziehen beide Urteile zusammen die Grenze: Ohne ausdrückliche Einwilligung keine Verarbeitung sensibler Kundendaten im Vertriebskontext. Und: Wer dennoch solche Daten verarbeitet, handelt unlauter und kann von Mitbewerbern gestoppt werden.
Wir stehen Ihnen mit maßgeschneiderter Rechtsberatung zur Seite
BGH „App-Zentrum III“ (I ZR 186/17)
Während die ersten beiden Urteile einen Mitbewerberstreit betrafen, ging es im „App-Zentrum III“–Urteil um eine Klage des Verbraucherzentrale Bundesverbands (vzbv) gegen Meta (Facebook).
Der Sachverhalt: In Facebooks „App-Zentrum“ konnten Nutzer kostenlose Spiele von Drittanbietern spielen. Beim Klick auf „Sofort spielen“ wurde jedoch – so die Kritik des vzbv – nicht ausreichend klar, welche Daten Facebook bzw. die Spiele-Anbieter erhalten und wozu. Tatsächlich bedeutete der Klick, dass der Nutzer der Übermittlung diverser persönlicher Daten an den Spielebetreiber zustimmte und der App weitreichende Berechtigungen einräumte (etwa um Statusmeldungen oder Fotos zu posten).
Das Problem: Die Nutzer wurden nicht transparent über den Umfang und Zweck der Datenverarbeitung informiert; eine informierte Einwilligung lag also nicht vor. Zudem sah der vzbv in der vorgestellten Einwilligungspraxis eine unzulässige Klausel in den Geschäftsbedingungen.
Der BGH beurteilte dieses Vorgehen eindeutig als Verstoß gegen das Datenschutzrecht und Wettbewerbsrecht. Konkret wurden hier keine Gesundheitsdaten verarbeitet, sondern „normale“ personenbezogene Daten (Profilinformationen etc.). Doch auch deren Verarbeitung erfordert nach DSGVO eine gültige Einwilligung, wenn sie nicht auf anderer Rechtsgrundlage erfolgt – und diese Einwilligung muss informiert und freiwillig sein.
Die Richter sahen in Facebooks App-Zentrum einen doppelten Rechtsverstoß: Zum einen die Verletzung der DSGVO-Informationspflichten (Art. 12, 13 DSGVO), zum anderen einen Verstoß gegen das Lauterkeitsrecht, nämlich Vorenthalten wesentlicher Informationen nach § 5a UWG. Denn aus Verbrauchersicht ist es eine wesentliche Info, was mit den eigenen Daten geschieht, gerade wenn die Nutzung des Angebots an die Preisgabe von Daten geknüpft ist. Wird diese Information unterschlagen oder verschleiert, kann der Verbraucher keine informierte Entscheidung treffen – das Angebot wird dadurch intransparenter und aus wettbewerblicher Sicht unfair.
Der Clou des Urteils lag jedoch in der Frage der Klagebefugnis: Darf ein Verbraucherverband einen solchen Verstoß einklagen, ohne dass ein individuelles Opfer (ein konkreter Facebook-Nutzer) bevollmächtigt hat oder selbst klagt? Nach langem Hin und Her – der Fall war zweimal beim EuGH zur Vorabentscheidung – lautet die Antwort nun eindeutig: Ja, Verbände dürfen klagen.
Der BGH stützt sich auf Art. 80 Abs. 2 DSGVO und die deutschen Umsetzungsgesetze (UWG, UKlaG) und stellt klar, dass qualifizierte Einrichtungen wie der vzbv bei Verstößen gegen bestimmte DSGVO-Pflichten Unterlassungsklagen erheben dürfen, ohne dass es eines konkreten betroffenen Verbrauchers bedarf. Es reicht aus, wenn eine Gruppe von Verbrauchern potentiell betroffen ist, etwa die Nutzer einer bestimmten Plattform. Im Ergebnis hat der BGH die Revision von Meta zurückgewiesen – Meta unterliegt also der Unterlassungsklage und muss sein App-Zentrum entsprechend datenschutzkonform gestalten.
Für die Praxis des Versicherungsvertriebs bedeutet das Urteil: Auch Verbraucherschützer schauen genau hin, ob Vermittler die Datenschutzregeln einhalten – insbesondere bei der Gestaltung von Einwilligungen und Informationen auf Websites, Apps oder Online-Plattformen. Und sie können notfalls klagen, wenn z.B. eine Online-Antragsstrecke wichtige Hinweise zum Datenschutz vermissen lässt oder Einwilligungen „im Kleingedruckten“ versteckt werden. Der BGH hat unmissverständlich betont, dass solche Verbandsklagen zulässig sind und dass in fehlenden Datenschutzinformationen zugleich ein wettbewerbsrechtlicher Verstoß liegt. Vermittler sollten das ernst nehmen, um nicht ins Visier zu geraten.
Fazit Datenschutz und Wettbewerbsrecht
Die BGH-Urteile vom März 2025 zeigen klar: Datenschutzverstöße können zum Wettbewerbsverstoß mit echten Konsequenzen werden – Abmahnungen durch Mitbewerber und Klagen von Verbraucherschützern inklusive. Für Versicherungsvermittler bedeutet das: Wer sensible Kundendaten verarbeitet, muss höchste datenschutzrechtliche Standards einhalten – insbesondere bei Einwilligungen und Informationspflichten. Unwissenheit schützt nicht vor Haftung.
In Teil 2 unserer Serie erläutern wir die konkreten Auswirkungen auf den Versicherungsvertrieb.
