OLG Hamburg: Bestimmte DSGVO-Verstöße sind durch Mitbewerber abmahnbar

Die Frage, ob Verstöße gegen die DSGVO durch Konkurrenten abmahnbar sind, ist nach wie vor umstritten. Nachdem das LG Würzburg diese Frage bejaht und sie das LG Bochum kurz darauf verneint hatte, entschied nun das OLG Hamburg darüber. Das Ergebnis: Es kommt darauf an.

Die beiden beteiligten Parteien stellen Therapieallergene für die spezifische Immuntherapie (SIT) her und vertreiben diese auch. Gegenstand des Verfahrens war ein Bestellbogen der Beklagten, der nicht die Einholung der Einwilligung des Patienten zur Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Gesundheitsdaten vorsah.

Fehlende Einwilligung

Mit diesem Bestellbogen werden durch den Arzt die passenden Allergene für den jeweiligen Patienten bestellt. Dabei werden neben dem Namen und Geburtsdatum des Patienten auch die Kassen-Nr., die Versicherten-Nr., der Status des Versicherten, die Vertragsarzt-Nr., die Kunden-Nr., die Informationen über die jeweiligen Allergien des Patienten und der Name sowie die Anschrift des behandelnden Arztes nebst dessen Kunden-Nr. erhoben.

Der Bogen selbst wies keinen Bereich auf, in welchem der Patient selbst eine Erklärung über die Einwilligung zur Nutzung seiner Daten abgeben konnte. Die Klägerin hielt dies für einen wettbewerbswidrigen Verstoß gegen das Datenschutzrecht und mahnte ab.

Das LG Hamburg hatte der Klägerin in der ersten Instanz Recht gegeben und die Beklagte antragsgemäß verurteilt. Mit ihrer Berufung vor dem OLG Hamburg konnte die Beklagte dann aber die vollumfängliche Abweisung erreichen.

Abmahnung auch bei DSGVO-Verstoß zulässig

Das Gericht widersprach der Ansicht der Beklagten, dass die DSGVO abschließende Regelungen zur Anspruchsdurchsetzung enthalte.

“Diese, insbesondere auch von Köhler vertretene Auffassung, ist auf Kritik gestoßen.

Sie basiert vor allem darauf, dass die Art. 77-79 DSGVO der ‘betroffenen Person’, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Recht wahrnimmt.

Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. […]

Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat.

Dafür spricht auch, dass zwar in den Artt. 77-79 DSGVO Rechtsbehelfe betroffener Personen oder jeder anderen Person geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 77 Abs. 1 DSGVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Artt. 78 Abs. 1 und 2, 79 Abs. 1 DSGVO) Rechtsbehelfs.

Und Art. 82 DSGVO spricht wiederum ‘jeder Person’, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu.

Auch das lässt klar erkennen, dass die DSGVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die ‘betroffenen Personen’, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DSGVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DSGVO, dass die Mitgliedsstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen.

Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht.

Der Umstand, dass die Vorschrift mit ‘Sanktionen’ überschrieben ist, spricht entgegen Köhler nicht schon gegen diese Feststellung.

Gerade im Kontext der Vorschrift des Art. 77 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DSGVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DSGVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.”

Kein Wettbewerbsverstoß

Dennoch gewährte das OLG der Klägerin nicht den verfolgten Anspruch. Zwar verstoße die Beklagte mit ihren Bestellbögen gegen § 28 Abs. 7 BDSG a.F., weil es an der Erforderlichkeit i.S.d. Vorschrift fehle. Allerdings handele es sich bei den gegenständlichen Normen nicht um Marktverhaltensregelungen i.S.d. § 3a UWG.

Daher sei der – zwar vorliegende – Datenschutzrechtsverstoß nicht wettbewerbswidrig und der Klägerin stehe als Mitbewerberin der geltend gemachte Anspruch nicht zu.

“Nach § 3a UWG handelt – wenn der Verstoß zu einer spürbaren Beeinträchtigung führen kann – unlauter, wer einer gesetzlichen Vorschrift zuwider handelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.

Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt.

Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistungen berührt wird.”

Die Klägerin fühlte sich in ihrer Marktstellung betroffen, weil es die Beklagte durch den Verzicht auf die Einwilligung leichter habe, an Bestellungen zu kommen. Dieser Ansicht folgte das Gericht nicht. Es handele sich dabei allenfalls um einen Nebeneffekt.

Die betroffene Person werde nicht in ihrer Eigenschaft als Verbraucher und Marktteilnehmer angesprochen, sondern in ihrer Position als Patient und Träger von Persönlichkeitsrechten. Es gehe für sie nicht um das Angebot oder die Nachfrage nach Waren oder Dienstleistungen.

Dabei verfolge § 28 Abs. 7 BDSG a.F. nicht das Ziel, gleiche Marktbedingungen für alle zu schaffen. Insofern fehle es an der Anspruchsgrundlage für den Unterlassungsanspruch der Klägerin.

Fazit

Die Frage, ob Mitbewerber Datenschutzverstöße angreifen können, ist nun in kurzer Zeit von drei Gerichten unterschiedlich entschiden worden: “ja”, “nein” und “es kommt darauf” an. Allerdings ist die vorliegende Entscheidung des OLG Hamburg, das nicht nur höherinstanzlich ist, sondern auch häufig bei Wettbewerbsstreitigkeiten angerufen wird, die relevanteste.

Demnach muss im Einzelfall geprüft werden, ob die DSGVO-Norm, gegen die verstoßen wird, als sog. Marktverhaltensregel einzustufen ist. Ist dies der Fall, steht einer Abmahnung auch durch Konkurrenten nichts im Weg, so das OLG. Die DSGVO sei hinsichtlich der dort geregelten Sanktionen (Bußgelder und Verbandsklagen) nicht abschließend.

Zumindest bis ein anderes OLG anders entscheidet, wird dies der Maßsstab für die nächste Zeit sein. Denn aufgrund des fliegenden Gerichtsstandes kann jeder Konkurrent nach Hamburg gehen. Damit drohen nicht nur Bußgelder von Behörden und Abmahnungen von Verbraucherzentralen & Co., sondern eben auch Abmahungen durch Mitbewerber – je nach verletzter Vorschrift.

In der Vergangenheit (vor der DSGVO) wurden insbesondere Verstöße gegen Informationspflichten (Lücken in der Datenschutzerklärung) als Marktverhaltensregeln eingestuft. Diese Entscheidungen lassen sich durchaus auf die aktuelle Rechtslage übertragen.

Die zunächst etwas übertrieben dargestellte Gefahr einer DSGVO-Abmahnwelle ist nun also Realität geworden. Es ist zu erwarten, dass in Kürze vermehrt Konkurrenten unzureichende Datenschutz-Gestaltungen angreifen werden.