Können DSGVO-Verstöße überhaupt abgemahnt werden und wenn ja von wem?

Seit 25.5.2018 geht die Angst vor neuen Abmahnungen wegen der DSGVO um. Es drohen Bußgelder in Millionenhöhe, doch "Abmahnungen" sind etwas anderes. Die Frage, ob neben Bußgeldern auch Abmahnungen drohen, ist derzeit ebensowenig geklärt wie die Frage, wer solche Abmahnungen aussprechen dürfte. Wir bringen Sie im Beitrag auf den aktuellen Stand der Diskussion.

Nach Art. 83 Abs. 5 DSGVO sind bei bestimmten Verstößen Bußgelder bis zu 20 Mio Euro bzw. 4% des globalen Jahresumsatzes möglich. Doch solche Geldbußen können ausschließlich von Behörden verhängt werden, in Deutschland von den Datenschutzaufsichtsbehörden. Bis es zu einem Bußgeld kommt, muss schon Einiges passieren, zuvor gibt es Anhörungen und weitere Diskussionen.

Zudem begeht ein Onlinehändler der 100.000 € Jahresumsatz macht und einmal einen Newsletter ohne Opt-In verschickt natürlich einen sehr viel leichteren Verstoß als wenn Facebook Millionen Datensätze heimlich an Dritte veräußert.

Die Abmahnung hingegen ist gar nicht im Datenschutzrecht verankert, sondern ein Instrument des Wettbewerbsrechts. Voraussetzung ist also nicht ein Datenschutzverstoß, sondern unlauteres Handeln (weitere Details in unserem Whitepaper). Doch sind Datenschutzverstöße immer zugleich unlauter? Und selbst wenn: ist die DSGVO nicht bezüglich der Sanktionen abschließend?

Voraussetzungen für eine Abmahnung

Unlauteres Handeln gemäß § 3 UWG kann unter anderem Unterlassungsansprüche von Mitbewerbern auslösen (§ 8 UWG). Zudem sind auch die Abmahnkosten zu zahlen, wenn die Abmahnung berechtigt war (§ 12 Abs. 1 S. 2 UWG). Verstöße gegen Datenschutzrecht könnten unlauteres Handeln im Sinne des § 3a UWG darstellen.

§ 3a UWG - Rechtsbruch

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Damit also eine Abmahnung von Mitbewerbern oder Verbänden im Sinne von § 8 Abs. 3 Nr. 2 UWG möglich ist, müsste zunächst ein Verstoß gegen eine Norm des Datenschutzrechts vorliegen, die gleichzeitig auch als sog. Marktverhaltensregelung qualifiziert werden kann.

Der BGH (Urt. v. 2.3.2017, Az. I ZR 194/15) definierte Marktverhaltensregelungen kürzlich so:

"Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt."

Bisherige Rechtslage

Vor Geltung der DSGVO wurden zum "alten" BDSG und TMG unterschiedliche Meinungen vertreten. Neben den beiden Extremen - alles Datenschutzrecht ist Marktverhaltensregelung oder eben keins - wurde überwiegend eine differenzierte Auffassung vertreten.

Danach sollte jeweils nach einer Einzelfallbetrachtung der wettbewerbsrechtliche Gehalt der jeweiligen Norm bestimmt werden. Die Gerichte haben in bestimmten Fällen einen Wettbewerbsverstoß angenommen, z.B. wenn

  • ein Kontaktformular ohne Datenschutzerklärung verwendet wird (LG Köln)
  • Webtracking ohne IP-Adressen Anonymisierung eingesetzt wird (LG Frankfurt)
  • Facebook Like-Buttons verwendet werden, ohne dass hierüber informiert wird (OLG Hamburg)

Der BGH hat in einer einschlägigen Entscheidung (Az. I ZR 65/14 - "Freunde finden") ausdrücklich offen gelassen, ob Datenschutzgesetze auch Marktverhaltensregelungen sein können.

DSGVO-Normen = Marktverhaltensregeln?

Mit Inkrafttreten der europäischen DSGVO muss die Frage, ob ein wettbewerbsrechtliches Vorgehen von Mitbewerbern und Verbänden bei Datenschutzverstößen möglich ist, neu gestellt werden.

Zunächst wird bestritten, dass die DSGVO überhaupt Marktverhaltensregeln enthält. Dies wird vielfach damit verneint, dass die DSGVO den Markt - wenn überhaupt - nicht im Interesse von Wettbewerbern als Marktteilnehmer regele. Ihr Gegenstand sei vielmehr der Schutz von Grundrechten und Grundfreiheiten natürlicher Personen "als Menschen".

Insofern schützte sie weder die Freiheit der wettbewerblichen Entfaltung von Wettbewerbern - also nicht das Interesse der Mitbewerber - noch die Interessen der Verbraucher und sonstigen Marktteilnehmer. Zwar werden auch die personenbezogenen Daten der Verbraucher geschützt. Damit aber die Voraussetzung des § 3a UWG erfüllt ist, müssen die Interessen der Verbraucher gerade durch die Marktteilnahme berührt sein.

Dies sei hier aber gerade nicht der Fall, da der Schutz personenbezogener Daten ein Menschenrecht ist (so Prof. Dr. Paal und Dr. Pauly in einem Kommentar zur Datenschutz-Grundverordnung).

DSGVO abschließend geregelt

Prof. Dr. Köhler, Mitherausgeber des Standardkommentars zum UWG "Köhler/Bornkamm/Feddersen", ist außerdem der Ansicht, dass die DSGVO in den Art. 77-84 DSGVO eine grundsätzlich abschließende Regelung über die Rechtsdurchsetzung enthält. Die Frage nach der Anwendbarkeit des UWG wäre somit zu verneinen und wettbewerbsrechtliche Ansprüche Dritter bei Datenschutzverstößen wären über diesen Weg ausgeschlossen.

Dieser Ansicht schließt sich auch Marit Hansen, die Datenschutzbeauftragte des Landes Schleswig-Holstein, an.

In ihrem Interview mit dem "Handelsblatt" am 24.5.2018 sagte sie:

"Wir interpretieren die Vorschrift in der DSGVO als abschließend. Das heißt: Daneben kann es keine anderen Abmahnungen geben."

Die Beurteilung Köhlers und Hansens teilt unter anderen auch Rechtsanwalt Dr. Carsten Ulbricht. Diese Argumentation stützt sich darauf, dass die Datenschutzgrundverordnung mit Ausnahme nationaler Regelungen gem. Art. 80 Abs. 2 DSGVO die Rechtsfolgen von Verstößen gegen die Verordnung abschließend regeln soll.

Weiterhin ist auch der Düsseldorfer Rechtsanwalt Günter Barth der Ansicht, dass Mitbewerber Datenschutzverstöße im eigenen Interesse nicht verfolgen dürfen (WRP 2018, 790, 792). Ebenso sei nicht von massenhaften Abmahnungen durch Verbrauchervereine oder Wettbewerbsverbände zu rechnen, da auch diese nur einen eingeschränkten Rahmen zur Geltendmachung von Unterlassungsansprüchen haben. Allerdings ändere sich dies mit Inkrafttreten der E-Privacy-Verordnung.

"Effet utile"

Ulf Buermeyer, Richter am LG Berlin, zeigt sich in einem Interview mit netzpolitik.org skeptischer:

"Dagegen steht der europarechtliche Grundsatz des effet utile, also der möglichst wirksamen Umsetzung des Europarechts:

Dass sich die Durchsetzung der DSGVO durch Mitbewerber generell positiv auf deren Wirksamkeit auswirken kann, lässt sich kaum bestreiten.

Denn die Datenschutzbehörden sind alleine nicht im Ansatz in der Lage, alle Verstöße auch nur zu erkennen, geschweige denn zu monieren oder gar zu sanktionieren."

Auch diese Meinung trifft auf Zustimmung.

Prof. Dr. Heinrich Amadeus Wolff der Universität Bayreuth vertritt in der "Zeitschrift für Datenschutz" (ZD 2018, 248) die Auffassung, dass die DSGVO lediglich eine Art Mindeststandard für das Datenschutzniveau bieten soll. Die DSGVO wolle hingegen nicht andere Durchsetzungsmechanismen, wie wettbewerbsrechtliche Unterlassungs- und Schadensersatzansprüche, auszuschließen.

Abmahnung nach dem UKlaG

Ein weiteres Abmahnrisiko bleibt jedoch nach dem Unterlassungsklagegesetz in jedem Fall bestehen. Die gem. § 3a UKlaG anspruchsberechtigten Verbände und sog. qualifizierte Einrichtungen nach § 4 UKlaG haben bei Datenschutzverstößen gem. § 2 Abs. 2 Nr. 11 UKlaG ein eigenes Klagerecht, d.h. bei

...Vorschriften, welche die Zulässigkeit regeln

a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,

wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden...

Legitimiert sind z.B. Verbraucherzentralen, aber auch die in letzter Zeit in Verruf gekommenen "Abmahnvereine".

Fazit

Wir sehen gute Chancen, dass nicht jede Abmahnung gegen DSGVO-Verstöße erfolgreich ist, insbesondere dann nicht, wenn sie von Konkurrenten ausgesprochen wird. Auch wenn ein vermeintlich gemeinnütziger Verein abmahnt, muss genau geprüft werden, um was für einen Verein es sich handelt. Der Unternehmer selbst ist mit einer solchen Prüfung überfordert, d.h. muss in jedem Fall einen Anwalt beauftragen, der so etwas auch nicht zu ersten mal macht.

Abmahnungen werden also vielfach abgewehrt werden können. Die uns bislang vorliegenden "Abmahnungen" einer Dortmunder Anwaltskanzlei waren zudem amateurhaft und wurden nach einem deutlichen Schriftsatz zurückgezogen. Es spricht sogar vieles für Rechtsmissbrauch. Stress, Aufwand, Ärger und Kosten machen Abmahnungen aber in jedem Fall.

 

21.06.18