Ein sehr offenes Thema ist aktuell noch, ob Verstöße gegen die Datenschutzgrundverordnung (DSGVO) die seit Mai letzten Jahres in Kraft getreten ist, abgemahnt werden können, oder ob hier nur die Aufsichtsbehörden sanktionieren dürfen.
Dies hat eine große praktische Relevanz, denn während die Aufsichtsbehörden schon personell nicht in der Lage sind, großflächige Sanktionen auszusprechen wäre die Gefahr durch einen Konkurrenten entsprechend abgemahnt werden erheblich höher.
In letzter Zeit ergingen mehrere Urteile von verschiedenen deutschen Gerichten, die sich mit dieser Frage auseinandersetzen und zu teils sehr unterschiedlichen Ergebnissen kamen. Worin das Problem liegt, und wie die aktuelle rechtliche Lage ist erfahren Sie im folgenden Beitrag.

 

Hintergrund:

Ob Datenschutzverstöße abmahnfähig sind, wurde in Deutschland bereits vor Einführen der Datenschutzgrundverordnung kontrovers diskutiert.

Mit Abmahnungen kann gegen wettbewerbsrechtswidriges Verhalten vorgegangen werden. Dadurch soll der faire Wettbewerb sichergestellt werden und die Gerichte entlastet werden.
Gegen den unlauteren Wettbewerb verstößt, wer einer gesetzlichen Vorschrift zuwiderhandelt, welche auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Darüber hinaus muss der Verstoß geeignet sein, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerber spürbar zu beinträchtigen.

Hieran knüpft der erste strittige Punkt, denn es ist zum aktuellen Zeitpunkt noch nicht geklärt, ob die Artikel der DSGVO als Marktverhaltensregeln gelten. Die DSGVO selbst enthält dazu keine klare Aussage. Die juristische Literatur war bereits nach alten Recht mehrheitlich der Ansicht, dass datenschutzrechtliche Normen im Einzelfall als Marktverhaltensregeln gelten können, hieran hat sich durch die DSGVO nichts geändert.

Der zweite Streitpunkt ist, ob die DSGVO-Regelung, nach der die Sanktionsmöglichkeiten der Aufsichtsbehörden vorbehalten sind, diese nicht so abschließend regelt, so dass eine andere Art der Rechtsdurchsetzung wie etwa durch Abmahnungen ausgeschlossen wäre.
Hier gibt es aktuell in der Literatur zwei Lager, welche diese Meinung entweder teilen oder ablehnen.

Inzwischen ergingen mehrere Urteile in dieser Sache, auf die im Weiteren eingegangen werden soll.

 

Gerichtliche Entscheidungen

  1. LG Würzburg: Beschluss vom 13.09.2018 – 11 O 1741/18 UWG

    Abmahnfähigkeit bejaht

Abgemahnt wurde hier eine Rechtsanwältin, welche eine Homepage betrieb, offensichtlich ohne eine ausreichende Datenschutzerklärung vorzuweisen. Dies wurde vom Gericht ebenso moniert wie die Tatsache, dass die Homepage ein Kontaktformular vorwies, ohne dass die Webseite verschlüsselt gewesen wäre.

Das Gericht nahm hier unter Bezugnahme auf Urteile des OLG Hamburg und OLG Köln, welche sich noch auf die Rechtslage vor DSGVO bezogen an, dass diese Verstöße auch wettbewerbsrechtliche Verstöße sind und daher von Wettbewerbern abgemahnt werden können.

Allerdings ist das Gericht sehr dürftig in seiner Begründung, auch daher weil es als reiner Beschluss daherkommt und keine mündliche Verhandlung erfolgte. Auf die Frage, warum DSGVO-Verstöße Marktverhaltensregeln darstellen sollen wird vom Gericht in keiner Weise eingegangen.

 

  1. LG Bochum – Urteil vom 7.8.2018 – AZ I-12 O 85/18

    Abmahnfähigkeit verneint

Zugrunde lag hier eine Abmahnung gegen einen Onlineshopbetreiber im Bereich von Druckerzeugnissen und Werbemitteln durch einen Mitbewerber.
Neben einer Reihe von fehlerhaften oder fehlenden Klauseln in der AGB wurde vom Abmahner auch das Fehlen von Pflichtinformationen aus Art. 13 DSGVO angegriffen, etwa die Kontaktdaten des Verantwortlichen oder die Information über das Bestehen der Betroffenenrechte.
Während die Richter die Rechtswidrigkeit der AGB-Klauseln bestätigte, lehnten sie dies für die Datenschutzbestimmungen ab.

Das Bochumer Gericht folgte hier der Begründung, dass die DSGVO in ihren Sanktionsmöglichkeiten der Aufsichtsbehörde bzw. der Möglichkeit des Betroffenen sich zu wehren abschließend ist, und daher ein Vorgehen durch Mitbewerber ausgeschlossen ist.

 

  1. OLG Hamburg – Urteil vom 24.10.2018 – 3 U 66/17

    Abmahnfähigkeit bejaht

Im hier zu entscheidenden Fall wehrte sich eine Pharmafirma gegen die Praxis eines Mitbewerbes, auf den Bestellbögen von Therapieallergenen keine Einwilligung der Patienten in die Datenverarbeitung der Gesundheitsdaten einzuholen.

In der ersten Instanz des Landgerichts Hamburg hatte die Klage Erfolg, die Richter hatten die entsprechenden Regelungen im alten Bundesdatenschutzgesetz als Marktverhaltensregelungen eingestuft.
In der Berufung  vor dem OLG Hamburg machte das beklagte Pharmaunternehmen unter anderen geltend, dass die nun in Kraft getretene DSGVO Verstöße abschließend regelt, und daher die Klage des Mitbewerbers ausgeschlossen wäre.

Die Hamburger Richter lehnten diese Ansicht jedoch ab. Die DSGVO-Regeln zu Sanktionen habe keinen abschließenden Charakter der Abmahnungen verhindert.
Interessanter Weise lehnte der Senat jedoch die Ansprüche des Klägers ab, da es zwar ein Datenschutzverstoß annahm, im konkreten Fall sei jedoch keine marktverletzende Regelung betroffen. Denn weder würden Patienten hier als Verbraucher und Marktteilnehmer angesprochen, noch würde mit der Regelung zur Einwilligung in die Verarbeitung von Gesundheitsdaten bezweckt, dass Marktteilnehmer unter gleichen Marktbedingungen agieren.

 

  1. LG Wiesbaden – 05.11.2018, Az. 5 O 214/18

    Abmahnfähigkeit verneint

Hier waren die Streitparteien zwei Auskunfteien – die Klägerin wollte die Beklagte daran hindern, unzureichende Auskünfte an Betroffene zu erteilen.

Das Landgericht Wiesbaden sah die Klägerin jedoch nicht als klageberechtigt an, da es, dem Landgericht Bochum folgend und sich auch auf dieses explizit beziehend, die DSGVO-Sanktionsmöglichkeiten als abschließend wertet, eine Abmahn- bzw. Klagefähigkeit eines Mitbewerbers sei daher ausgeschlossen.

 

  1. LG Magdeburg – Urteil vom 18.Januar 2019

    Abmahnfähigkeit verneint

Hier wehrten sich Apotheker gegen eine Internetapotheke, welche über Amazon apothekenpflichtige Medikamente verkauft. Neben Verstößen gegen apothekenspezifische Gesetze und Verordnungen rügten die Kläger in deren Abmahnung auch Verstöße gegen den Datenschutz.

Das Landgericht Magdeburg erklärte die Apotheker bezüglich des Datenschutzes für nicht klagebefugt, und stellte ebenfalls auf den abschließenden Charakter der Sanktionsmöglichkeiten Datenschutzgrundverordnung ab.

 

Zwischenfazit:

Aktuell steht es vor deutschen Gerichten also 2:3
Während das LG Würzburg und das OLG Hamburg zu dem Schluss kommen, dass die Sanktionsregeln der DSGVO nicht abschließend sind und daher eine Abmahnfähigkeit von Datenschutzverstößen grundsätzlich bejahen, lehnen die Landgerichte aus Bochum, Wiesbaden und Magdeburg dies ab.
Bezüglich der Frage ob ein Datenschutzverstoß marktverhaltensregelnd sein kann, wird im Wesentlichen davon ausgegangen, dass dies sein kann, jedoch vom konkreten Fall abhängt.

Zum aktuellen Zeitpunkt ist die Frage der Abmahnfähigkeit von Datenschutzverstößen gerichtlich also noch völlig ungeklärt, auch das mit dem OLG Hamburg eine höhere Instanz dies bejaht hat, muss hier noch nichts heißen. Da es sich hier um eine europarechtliche Frage handelt, kann sie letztendlich nur der EUGH abschließend beantworten. Möglicher Weise findet das Gericht dazu schon bald Gelegenheit. Mehr dazu und Initiativen auf gesetzlicher Ebene im Folgenden:

 

Vorstehende EUGH-Entscheidung:

Aktuell ist beim EUGH ein Verfahren anhängig, bei dem es zwar nicht sicher aber doch wahrscheinlich ist, dass er auch zur Abmahnfähigkeit von Datenschutzverstößen Stellung nimmt.
Zugrunde liegt hier die Klage einer Verbraucherzentrale gegen über einen Onlineshop, da dieser den Facebook-Like-Button einsetzte, und damit Daten an Facebook übertragen wurden, auch ohne das der Besucher mit dem Button interagierte. (Näheres zu dieser Problematik hier)
Hier war eine der Fragen, welche dem EUGH vorgelegt wurde, auch, ob es europarechtlich zulässig ist, dass gegen Datenschutzstöße nicht nur durch Sanktionsmöglichkeiten der Aufsichtsbehörden und die Betroffenenrechte sondern auch durch gemeinnützige Verbände vorgegangen werden kann.

Es gilt abzuwarten wie das oberste europäische Gericht hier entscheidet, jedoch hat der EUGH in der Vergangenheit meist die Auslegung gewählt, bei welcher die Rechtsdurchsetzung des Unionsrechts am wirkungsvollsten scheint, was für ein Bejahen der Abmahnfähigkeit sprechen würde

 

Politische Gesetzesinitiativen

Schon früh gab es aus der großen Koalition Bestrebungen den Befürchtungen von DSGVO-Abmahnungen den Wind aus den Segeln zu nehmen. Von Unionsseite gab es Bestrebungen deklatorisch DSGVO-Abmahnungen auszuschließen, die SPD wollte jedoch lieber missbräuchliche Abmahnungen im Ganzen eindämmen.
Hierzu gibt es einen aktuellen Gesetzesentwurf des Bundesjustizministeriums, dieser befasst sich nicht mit DSGVO-Abmahnungen, soll jedoch mit verschiedenen Maßnahmen die Hürden für Abmahnungen zu erhöhen.
Vom Freistaat Bayern wurde ein Gesetzentwurf in den Bundesrat eingebracht, der u.a. das UWG um eine Klausel ergänzt hätte, dass DSGVO-Verstöße hiervon nicht betroffen wären, konnte sich jedoch damit nicht durchsetzen.

 

Fazit:

Ob Datenschutzverstöße abgemahnt werden können, ist aktuell weiterhin nicht vollständig geklärt. Die deutschen Gerichte sind sich uneinig, eine anstehendes Urteil des EUGH könnte hier möglicherweise mehr Klarheit bringen, jedoch ist aktuell noch unklar, wann dieses ergeht und wie deutlich die europäischen Richter hier werden.
Auch auf deutscher Gesetzesebene gibt es Versuche, DSGVO-Abmahnern oder auch missbräuchlichen Abmahnern den Wind aus den Segel zu nehmen, auch hier kann zum aktuellen Zeitpunkt jedoch noch nicht sicher gesagt werden, wo die Reise hingeht.
Bis jetzt ist auch die große DSGVO-Abmahnwelle ausgeblieben, wohl auch wegen der Unklarheit gab es zwar vereinzelte Abmahnungen in diesen Bereich aber eben nicht in höherer Zahl.
Gleichwohl sollte man dies nicht zum Anlass nehmen, Datenschutz auf die leichte Schulter zu nehmen. Denn in jeden Fall bleibt die Möglichkeit einer Datenschutzbehörde, ein Unternehmen bei signifikanten Datenschutzverstößen mit einem Bußgeld zu versehen. Und dieses kann mit einer maximalen Höhe von 20 Millionen bzw. 4% des weltweiten Umsatzes deutlich höher ausfallen als eine Abmahnung kosten würde.