Am 7.11.2019 hat das OLG Naumburg geurteilt, dass Art. 9 DSGVO, eine Vorschrift des Datenschutzrechts also, eine Marktverhaltensregelung sei, also eine Regelung, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Der Verstoß gegen eine Marktverhaltensregelung kann zur Folge haben, dass ein Marktteilnehmer einen Marktbegleiter (Wettbewerber) wegen dieses Verstoßes abmahnt. Ob das Datenschutzrecht, insbesondere also die DSGVO und das BDSG, den Charakter von Marktverhaltensregelungen haben, ist umstritten. Die Frage hat erhebliche praktische Relevanz: Regelt das Datenschutzrecht das Marktverhalten nicht, muss ein Marktteilnehmer nicht befürchten, von einem Marktbegleiter wegen eines Datenschutzrechtsverstoßes abgemahnt zu werden. Umgekehrt kann abgemahnt werden, wer gegen eine Rechtsvorschrift des Datenschutzrechts verstößt, soweit sich die Rechtsauffassung durchsetzt, das Datenschutzrecht insgesamt bzw. bestimmte Datenschutzvorschriften seien Marktverhaltensregelungen. Der folgende Text dient einer knappen Einordnung für die Praxis. Sektorenspezifisches Datenschutzrecht wie etwa das TKG bleiben außer Betracht.
1. Was kann einem Unternehmer passieren, wenn er gegen Datenschutzrecht verstößt?
Beschwerde bei einer Aufsichtsbehörde – jeder Betroffene kann sich an eine der Datenschutzaufsichtsbehörden wenden, wenn er der Ansicht ist, die Verarbeitung ihn betreffender personenbezogener Daten verstoße gegen die DSGVO, Art 77 Abs. (1) DSGVO.
Befugnisse der Aufsichtsbehörden – die Aufsichtsbehörden werden mit oder ohne Beschwerden Betroffener tätig. Sie handeln von Amts wegen und setzen die Anwendung der DSGVO durch. Ihre Befugnisse sind weitreichend, Art 58 DSGVO. Sie ermitteln, bewerten, sanktionieren, auch mit den Hebeln des Verwaltungszwangs, und erteilen Bußgeldbescheide aus einer Hand.
Gerichtlicher Rechtsbehelf – die DSGVO selbst garantiert in Art. 79 jedem Betroffenen einen wirksamen gerichtlichen Rechtsbehelf gegen ihn betreffende Datenschutzverletzungen. Auf diese Weise solle jeder Betroffene gegen den Datenverarbeiter und seinen Auftragsverarbeiter insbesondere Unterlassungs-, Auskunfts- und Informationsansprüche geltend machen können. Ansprüche, die der Betroffene – notfalls mittels gerichtlichen Rechtsbehelfs – durchsetzen kann, gibt es viele. Einen Schadenersatzanspruch regelt die DSGVO in Art. 82: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der umfangreiche Katalog der Betroffenenrechte in Art. 12 ff DSGVO erteilt dem Betroffenen außerdem Informations-, Auskunfts- und Löschungsrechte. Einen Unterlassungsanspruch des Betroffenen selbst, also einen Anspruch, der in der Regel darauf gerichtet ist, dass ein rechtswidriger Zustand (z.B. die rechtswidrige Speicherung personenbezogener Daten) beendet wird, und der üblicherweise mit Abmahnung und Unterlassungserklärung durchgesetzt wird, kennt die DSGVO allerdings nicht. Und da die DSGVO den nationalen Gesetzgeber nicht dazu ermächtigt hat, in diesem Punkt eigene Vorstellungen in ein Gesetz zu formen (wie die DSGVO das an Dutzenden anderer Stellen den nationalen Gesetzgebern der EU vorbehält), wird die Auffassung vertreten, dass auf Unterlassungsansprüche aus dem deutschen Zivilrecht inkl. des Wettbewerbsrechts nicht zurückgegriffen werden könne. Die DSGVO regele den Anspruchskatalog insoweit abschließend. Dem Betroffenen bleibe in diesem Punkt damit nur der Umweg zu den Aufsichtsbehörden. Zu deren Befugnissen zählt unter anderem, gegenüber der rechtsverletzenden Partei die Einhaltung der DSGVO durchzusetzen, Art 79 Abs. (2) Buchstabe d) DSGVO, und damit auch: Die Unterlassung eines datenschutzrechtswidrigen Zustands zu erzwingen.
Verbände – jeder Betroffene kann eine Einrichtung, Organisation oder Vereinigung, die bestimmten Kriterien genügen muss, beauftragen, in seinem Namen die o.g. Rechte wahrzunehmen, Art 80 Abs. (1) DSGVO. In Deutschland sind dies u.a. die Verbraucherverbände. Auch ohne entsprechenden Auftrag des Betroffenen können Verbände Unternehmen auf Beseitigung und Unterlassung bei rechtswidriger Verarbeitung von Verbraucherdaten in Anspruch nehmen, Art 80 Abs. (2) DSGVO iVm § 2 Abs. (2) Nr.11 Unterlassungsklagengesetz (UKlaG).
2. Muss ein Unternehmer nach dem Urteil des OLG Naumburg befürchten, von Wettbewerbern abgemahnt zu werden, wenn er gegen Datenschutzrecht verstoßen hat?
Ob der Katalog an Mitteln gegen Datenschutzverletzungen und ob der Kreis der Akteure, die legitimiert sind, gegen Datenschutzverstöße vorzugehen, durch das deutsche Wettbewerbsrecht erweitert werden, steht nicht fest. Ob ein Verstoß gegen Datenschutzrecht mit den Mitteln des Wettbewerbsrechts (gemäß §§ 3 Abs. (1), § 3a und § 8 Abs. (1) UWG) abgemahnt und verfolgt werden kann, ist bei den Gerichten umstritten. Dagegen haben sich die Landgerichte Bochum, Magdeburg, Wiesbaden und Stuttgart entschieden. Dafür entschieden sich das Landgericht Würzburg und das Landgericht Berlin. Mit dem Oberlandesgericht Naumburg hat nunmehr – nach den Oberlandesgerichten Hamburg und München – ein weiteres Oberlandesgericht die Möglichkeit bejaht.
Drei Obergerichte also, die entschieden, dass a) (einzelne) Rechtsvorschriften des Datenschutzrechts Marktverhaltensregelungen sind, b) die Anspruchsgrundlagen der DSGVO gegen Datenschutzrechtsverletzungen nicht abschließend sind und Datenschutzverletzungen daher mit den Mitteln des Wettbewerbsrechts verfolgt werden können. Beschränkt das Datenschutzrecht sich darauf, Betroffenen, Aufsichtsbehörden und Verbänden Rechte zur Verfolgung von Verstößen gegen den Datenschutz einzuräumen, tritt mit dem Wettbewerbsrecht ein Vierter auf den Plan: Der Wettbewerber. Das Risiko für Unternehmer, wegen Datenschutzverstößen abgemahnt zu werden, ist durch die OLG-Urteile deutlich gestiegen.
3. Und was ist in Zukunft zu erwarten?
a) Klarheit wird vermutlich eine Entscheidung des Europäischen Gerichtshofs (EuGH) bringen. Er ist berufen, zu Fragen der DSGVO und ihrer Vorgängerin, der Datenschutzrichtlinie 95/46/EG (DS-RL) abschließend zu urteilen. Denn beide, die DSGVO und die DS-RL, sind europäisches Recht. Das OLG Düsseldorf hat eine Sache dem EuGH vorgelegt, in der dieser unter anderem entscheiden soll, ob das Wettbewerbsrecht des UWG überhaupt angewendet werden kann, wenn eine Vorschrift der DS-RL verletzt ist (konkreter: Ob die Regelungen in Art. 22 – 24 der Datenschutz-Richtlinie einer nationalen Regelung entgegenstehen, die – wie § 8 III Nr. 3 UWG – gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle einer Verletzung von Datenschutzvorschriften gegen den Verletzer vorzugehen.). Der Bundesgerichtshof (BGH) hat ein Verfahren (vzbv ./. Facebook) ausgesetzt, bis der EuGH über die vom OLG Düsseldorf vorgelegte Rechtsfrage entschieden hat.
Zwar betrifft die dem EuGH vorgelegte Rechtsfrage die DS-RL, die von der DSGVO am 25. Mai 2018 abgelöst wurde – es geht also um einen Altfall. Die Fachwelt geht aber zu Recht davon aus, dass wenn die DS-RL die Anwendung des UWG verdrängt, dies erst recht für die DSGVO gelten muss.
b) Spätestens ab dem 01. Januar 2021 bedeutet die Missachtung der Anordnungen der DSGVO in Bezug auf Datenminimierung, den Datenschutz durch Technik und datenschutzrechtliche Voreinstellungen einen Verstoß gegen die Vertragsgemäßheit digitaler Inhalte und Dienstleistungen im Sinne der Richtlinie 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (Digitale Inhalte Richtlinie – DIRL) (Erwägungsgrund 48). Die Richtlinie ist bis zum 01. Juli 2021 in nationales Recht umzusetzen, das wiederum ab dem 01.01.2022 anzuwenden sein wird. Aus dem Verstoß des Unternehmers folgen Gewährleistungsrechte des Verbrauchers, die wiederum durch Art 11-14 der DIRL geregelt sind. Auf einen Beitrag hierzu wird verwiesen.
4. Anti- Abmahngesetz
Eine weitere Entwicklung wird Auswirkungen auf Abmahnrisiken mit den Mitteln des Wettbewerbsrechts haben: Die Bundesregierung hat im Mai 2019 den Entwurf eines Gesetzes „zur Stärkung des fairen Wettbewerbs“ veröffentlicht, mit dem sie einen neuen § 13 Abs. (4) Ziffer 2 UWG zu schaffen beabsichtigt. Es bezweckt, Abmahnungen von Verstößen gegen die DSGVO und das deutsche BDSG wirtschaftlich unattraktiver zu machen und auf diese Weise Aktivitäten einer Abmahnindustrie einzuschränken. Im Gesetzesentwurf heißt es, dass Aufwendungsersatzanspruch ausgeschlossen ist für Verstöße gegen die DSGVO und das BDSG durch Kleinstunternehmen und kleine Unternehmen. Ein Lichtblick für die betroffenen Unternehmen, so scheint es, denn vom Aufwendungsersatzanspruch eingeschlossen sind (auch) die Anwaltsgebühren, die ein Unternehmer vom abgemahnten Wettbewerber verlangen kann, wenn er diesen zu Recht abgemahnt hat. Diesen Aufwendungsersatzanspruch soll die abmahnende Partei in Zukunft nicht mehr haben.
Irritierend ist aber, dass der Gesetzesentwurf ohne Begründung davon ausgeht, dass Verstöße gegen die DSGVO und das BDSG mit den Waffen des deutschen Wettbewerbsrechts angegriffen werden können. Das ist aber, wie oben unter Ziffer 2. ausgeführt, umstritten. Wenn das UWG nicht gegen Datenschutzrechtsverstöße angewendet werden könnte (in der Praxis durch Abmahnungen mit Unterlassungserklärungen), gäbe es auch keinen Aufwendungsersatzanspruch gemäß § 13 Abs. (3) UWG zugunsten der abmahnenden Partei. Dann wäre ein Gesetz zur Einschränkung eben dieses Aufwendungsersatzanspruchs nicht notwendig und gegenstandslos.
(Berufs-)Verbände und Interessenvertretungen haben den Gesetzesentwurf kommentiert, der Bundesrat hat in seiner Stellungnahme vom Juni 2016 die Ausnahmeregelung § 13 Abs. (4) Ziffer 2 UWG für das Datenschutzrecht abgelehnt und am 23.Oktober 2019 fand eine Sachverständigenanhörung im Bundestag statt. Aktuell kann nicht vorausgesagt werden, ob und ggf. zu welchem Zeitpunkt das Gesetz verabschiedet wird.
Datenschutzrecht (DSGVO) | Wettbewerbsrecht (UWG)
Artt. 12 ff DSGVO, § 3 a UWG, Entwurf § 13 Abs. (4) Ziffer 2 UWG