• Blog

Sind Verstöße gegen die Datenschutz-Grundverordnung wettbewerbswidrig?

„Jan Albrecht und Co. hatten gute Absichten, aber statt intelligenten nur bürokratisch-altbackene Lösungen. Prädestiniert für Abmahner und engstirnige Prinzipienreiter. Hauptprofiteure sind wir Anwälte.“. Das sagte der Rechtsanwalt und Datenschutzexperte Prof. Niko Härting kürzlich zur Datenschutz-Grundverordnung (DSGVO), welche seit Ende Mai 2018 Anwendung findet. Aber zählen zu diesen „Abmahnern“, vor denen nun überall gewarnt wird, auch Konkurrenten? Können etwa Konkurrenten eines Unternehmens Verstöße dieses Unternehmens gegen die DSGVO abmahnen und hierzu mit Erfolg geltend machen, Datenschutzverstöße seien Verstöße gegen das Gesetz gegen den unlauteren Wettbewerb (UWG)?

1. Alter Wein in neuen Schläuchen?

Nach der Rechtsprechung einiger Land- und Oberlandesgerichte galt vor Anwendung der DSGVO im Mai 2018: Verstöße gegen einzelne datenschutzrechtliche Vorschriften (zum Beispiel des BDSG) können wettbewerbsrechtlich relevant sein (hierzu Schaffert in Festschrift Bornkamm, 2014, 463, 467 ff.; Asshoff, IPRB 2013, 233). Nach der – höchstrichterlich nicht bestätigten – Rechtsprechung dieser Gerichte sind einzelne Datenschutzvorschriften zugleich Marktverhaltensregeln im Sinne des § 3 a UWG (KG, Urteil vom 22. September 2017 – 5 U 155/14 mwN). Dieses „Einfallstors“ des Datenschutzes in das Wettbewerbsrecht und die Rechtsprechung eröffneten Mitbewerbern und sog. „Abmahnanwälten“ vor Anwendung der DSGVO die Möglichkeit zur Abmahnung von Datenschutzverstößen (hierzu und zu der aktuellen Rechtsprechung Härting/Dag, IPRB 2018, 253 sowie unten unter 3.).  Ist die Diskussion, ob ein DSGVO-Verstoß wettbewerbswidrig ist, also nur alter Wein in neuen Schläuchen (so Asshoff, CR 2018, 720 ff, Rn. 37)?

2. Abmahnwelle?

Die DSGVO wird nun fast sechs Monate angewendet. Von einer „Abmahnwelle“ (Wybitul, Start­schuss für Abmahn­an­wälte? Legal Tribune Online, 5. Oktober 2018) kann keine Rede sein (Asshoff CR 2018, 720 ff, Rn. 1 und Härting/Dag) und es ist weit und breit auch keine solche Welle in Sicht. Das liegt freilich auch daran, dass Angreifer im Bereich des Datenschutzes stets einen Gegenangriff befürchten müssen und daher – die Kollegin Diercks bringt es auf den Punkt – den eigenen Hof schon sehr sauber halten müssen, bevor sie den (datenschutzrechtlichen) Schmutz beim Mitbewerber angprangern.

Unterhält man sich als Wettbewerbsrechtler mit Datenschutzexperten und Unternehmensjuristen stellt man fest, dass viel Unsicherheit im Hinblick auf die Tragweite der DSGVO zu herrschen scheint. Diese Unsicherheit wird aktuell noch verstärkt durch

 

3. Abschließende Regelung der DSGVO?

Mit Blick auf diese Unsicherheiten und die Warnungen vor Abmahnungen durch „Abmahnanwälte“ bzw. Mitbewerber/Konkurrenten wird es höchste Zeit, einmal kritisch zu fragen, ob auf das UWG gestützte Abmahnungen vor Gericht überhaupt haltbar sind, wenn die Abmahnung durch einen Konkurrenten erfolgt.

Der einleitend genannte Politiker Jan Philipp Albrecht behauptete in der Frankfurter Rundschau, 28. Februar 2018:

„Zudem kann […] auch jeder Wettbewerber vor Gericht gegen die Verletzung von Datenschutzregeln klagen.“

Mittlerweile scheint Herr Albrecht seine Meinung geändert zu haben und verweist auf Twitter auf einen Beitrag in dem steht: „Dürfen Mitbewerber/Konkurrenten überhaupt abmahnen? Nein. Verstöße gegen die DSGVO berechtigten Mitbewerber weder zur Abmahnung…

So sieht das auch einer der bekanntesten Wettbewerbsrechtler Deutschlands, Prof. Dr. Helmut Köhler. In dem Standardkommentar zum UWG – „Köhler/Bornkamm/Feddersen“ – schreibt er (36. Auflage 2018, § 3a Rn. 1.40a und 1.74b; ausführlich Köhler, WRP 2018, 1269 ff.):

Die […] Datenschutz-Grundverordnung, VO (EU) 2016/679) enthält in den Art. 77 – 84 DSGVO (Kap. VIII Rechtsbehelfe, Haftung und Sanktionen) eine grds. abschließende Regelung (Ausnahme. Art. 80 II DSGVO). Verstöße gegen die DS-GVO können daher nicht nach § 3a verfolgt werden.

Auch und gerade unter Geltung der DS-GVO ist es daher ausgeschlossen, mittels einer Anwendung des § 3a [UWG] auch Mitbewerbern iSd 8 III Nr. 1 [UWG] eine Anspruchsberechtigung und Klagebefugnis nach § 8 I [UWG] zuzusprechen

        (Hervorhebung hinzugefügt)

Seit dem 25. Mai 2018 können Unternehmen und Unternehmer, die eine auf UWG/DSGVO gestützte Abmahnung von einem Mitbewerber erhalten, unter Hinweis auf die oben zitierte Ansicht von Köhler  jedenfalls versuchen, dem abmahnenden Konkurrenten den Wind aus den Segeln zu nehmen.

Mittlerweile wird auch die Auffassung vertreten, die DSGVO habe keine verdrängende Wirkung gegenüber wettbewerbsrechtlichen Ansprüchen von Mittbewerbern (Asshoff CR 2018, 720 ff; Wolff, ZD 2018, 248). Ebenso vertreten Laoutoumai, Hoppe in einem lesenswerten Beitrag die Ansicht, Datenschutzverstöße könnten wettbewerbsrechtlich relevant sein (K&R 2018, 533 ff.). Skeptisch äußerte sich auch Buermeyer gegenüber Netzpolitik.org:

„Das ist eine Frage, die man für jede Verhaltensregel nach der DSGVO getrennt betrachten muss. Ich wäre jedenfalls skeptisch, die DSGVO prinzipiell für abschließend zu halten. Dagegen steht der europarechtliche Grundsatz des effet utile, also der möglichst wirksamen Umsetzung des Europarechts: Dass sich die Durchsetzung der DSGVO durch Mitbewerber generell positiv auf deren Wirksamkeit auswirken kann, lässt sich kaum bestreiten. Denn die Datenschutzbehörden sind alleine nicht im Ansatz in der Lage, alle Verstöße auch nur zu erkennen, geschweige denn zu monieren oder gar zu sanktionieren.“

Auch der baden-württembergischen Landesdatenschutzbeauftragte Stefan Brink vertritt in einem hörenswerten Interview im F.A.Z. Einspruch Podcast die Auffassung, Verstöße gegen die DSGVO seien aufgrund des UWG abmahnfähig (achtunddreißigste Folge des F.A.Z. Einspruch Podcast, ab Minute 59:35).

Dagegen erklärte die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen, am 24. Mai 2018 im Handelsblatt:

„Wir interpretieren die Vorschrift in der DSGVO als abschließend. Das heißt: Daneben kann es keine anderen Abmahnungen geben.“

Die DSGVO schützt die Grundrechte und Grundfreiheiten natürlicher Personen. Es geht um den Schutz natürlicher Personen „als Menschen“. Der Schutz personenbezogener Daten ist Menschenrecht (Paal/Pauly, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 1 Rn. 7 ff); vgl. zum BDSG bereits OLG München, Urteil vom 12. Januar 2012 – 29 U 3926/11, rechtskräftig; v Walter in Festschrift  Köhler, 2014, 771, 778 ff; Zech WRP 13, 1434, 1435). In der Literatur zur DSGVO wird allerdings auch darauf verwiesen, das Schutzgut sei eines der großen Mysterien des Datenschutzrechts. Weder definiere noch benenne die DSGVO ein konkretes Schutzgut, so Veil (NVwZ 2018, 686, beck-online).

Gegen die zu erwartende Argumentation in Abmahnungen (zu den ersten fraglichen Abmahnungen lesens- und hörenswert Hansen-Oest) kann man jedenfalls mit guten Gründen argumentieren, dass die DSGVO für die betroffenen Personen in Art. 79 und Art. 82 DSGVO bestimmte Ansprüche vorsieht (so auch Ulbricht, Beitrag vom 24. Mai 2018). Selbst wenn die Betroffenen ihren Anspruch nicht vor Gericht durchsetzen wollen, können sie einen angeblichen Verstoß gegen die DSGVO den zuständigen Aufsichtsbehörden anzeigen. Oder sie können einen Verband einschalten, der in Vertretung der betroffenen Personen deren Rechte wahrnehmen kann. Hierzu hat der Gesetzgeber in Deutschland durch eine Erweiterung der Verbandsklagebefugnis nach dem UKlaG die Effektivität des Datenschutzrechts bereits verstärkt (vgl. zur DSGVO Hansen-Oest, Abmahngefahren durch die DSGVO?; zum BDSG Ohly/Sosnitza/Ohly, UWG, 7. Auflage 2016, § 3a Rn. 79). Die in § 3 UKlaG genannten anspruchsberechtigten Stellen können Ansprüche nach den §§ 1 und 2 UklaG wegen Verstößen gegen die DSGVO geltend machen, wenn sie die in Art. 80 Abs. 1 DSGVO genannten Voraussetzungen erfüllen, also unter anderem ohne Gewinnerzielungsabsicht handeln (hierzu Köhler/Bornkamm/Feddersen/Köhler, UWG 36. Auflage 2018, UKlaG § 2 Rn. 29-29a).

Mitbewerber, etwa von Internetshops, sind keine solchen Verbände im Sinne des Art. 80 Abs. 1 DSGVO. Und die Formulierung in Art. 79 DSGVO („aufgrund dieser Verordnung zustehenden Rechte“) bringt deutlich zum Ausdruck, dass bei Verstößen gegen die DSGVO nicht jedermann Rechtsschutz gewährt werden soll, der sich als Sachwalter des Datenschutzrechts in der Union versteht (vgl. Paal/Pauly/Martini, 2. Auflage 2018, Art. 79 Rn. 18).

Möglicherweise wird der EUGH schon bald Gelegenheit haben, etwas zur “Abmahnfähigkeit” von DSGVO-Verstößen zu sagen, genauer: zur Frage der „Sperrwirkung“ der Art. 22 bis 24 DSRL gegenüber § 3a UWG, und zwar in dem Düsseldorfer „Fashion ID“-Fall (Härting, Weshalb der EuGH die “Abmahnfähigkeit” von DSGVO-Verstößen schon bald klären dürfte, CR-online.de Blog, 18. Oktober 2018). In dem Verfahren geht es um den Facebook Like-Button (hierzu Leyke, Legal Tribune Online, 6. September 2018). Stadler prognostiziert (nicht auf das Fashion ID-Verfahren bezogen) in seinem neuen Beitrag zur Frage, ob Datenschutzverstöße als Wettbewerbsverstöße geahndet werden können, dass der EUGH sich schwerlich einer Auslegung anschließen werde, die den Datenschutz im Ergebnis schwächt. Der EUGH präferiere vielmehr eine Auslegung, bei der sich das Unionsrecht am wirkungsvollsten durchsetzt (Internet-Law, 18. Oktober 2018).

4. Sind Vorschriften der DSGVO Marktverhaltensregelungen im Sinne des § 3a UWG?

Vertritt man die Ansicht, dass die Regelungen der DSGVO nicht abschließend sind, heißt das noch nicht, dass ein DSGVO-Verstoß auch auf Grundlage des UWG abgemahnt und gerichtlich angegriffen werden kann. Dass DSGVO-Verletzungen „automatisch“ wettbewerbsrechtliche Unterlassungsansprüche auslösen, wie vielfach in den Medien suggeriert und befürchtet, stimmt nicht (Remmertz, GRUR-Prax 2018, 254, 256; vorsichtig in der Prognose Stadler, Beitrag vom 24. Mai 2018).

Abmahnungen von Mitbewerbern wegen Datenschutzverletzungen werden meist auf § 3a UWG gestützt. Die Richtlinie 2005/29/EG über unlautere Geschäftspraktiken aus dem Jahr 2005, die nach ihrem Artikel 4 in ihrem Anwendungsbereich (Art. 3) zu einer vollständigen Harmonisierung des Lauterkeitsrechts geführt hat, kennt keinen der Bestimmung des § 3a UWG (§ 4 Nr. 11 UWG aF) entsprechenden Unlauterkeitstatbestand. Dieser Umstand steht der Anwendung des § 3a UWG in Fällen von Verstößen gegen die DSGVO freilich nicht per se entgegen, zumal bestimmte Rechtsvorschriften der Europäischen Union und der Mitgliedstaaten nach Art. 3 Abs. 3 und Erwägungsgrund 9 der Richtlinie 2005/29/EG von dieser unberührt bleiben (vgl. BGH, Urteil vom 17. Mai 2018, I ZR 252/16, Rn. 15 – Bekömmliches Bier).

Gerichte, die sich ebenfalls in einer auf DSGVO/UWG gestützten Abmahnung durch Mitbewerber beschäftigen müssen, werden gegebenenfalls im Rahmen des § 3a UWG prüfen, (i) ob die angeblich verletzte Norm das Auftreten auf einem Markt regelt und (ii) ob diese Norm zumindest auch die Interessen von Wettbewerbern als Marktteilnehmer schützt. Hierzu heißt es in einem neuen Urteil des Oberlandesgericht Hamburg vom 25. Oktober 2018, 3 U 66/17 (Hervorhebung hinzugefügt):

„Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird. Nicht erforderlich ist eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt. Die Vorschrift muss jedoch – zumindest auch – den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken; lediglich reflexartige Auswirkungen zu deren Gunsten genügen daher nicht (BGH, GRUR 2017, 819, Rn. 20 – Aufzeichnungspflicht). Dem Interesse der Mitbewerber dient eine Norm dann, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt; es genügt nicht, dass sie ein wichtiges Gemeinschaftsgut oder die Interessen Dritter schützt, sofern damit nicht gleichzeitig auch die Interessen von Marktteilnehmern geschützt werden sollen.

Kurzum, selbst wenn datenschutzrechtliche Regelungen der DSGVO auch das Marktverhalten regeln, muss für jede einzelne Norm geprüft werden, ob dies im Interesse von Wettbewerbern als Marktteilnehmern geschieht. Ein Mitbewerberschutzzweck lässt sich den Erwägungsgründen der DSGVO u.E. jedenfalls nicht entnehmen. Insgesamt geht es um 68 Pflichten in der DSGVO, wie eine anschauliche Übersicht von Winfried Veil zeigt. Einigkeit dürfte insoweit bestehen, dass nicht jeder Verstoß gegen datenschutzrechtliche Bestimmungen zugleich einen Wettbewerbsverstoß darstellt (Rath/Laoutoumai, 20. April 2018, Computerwoche).

5. Aktuelle Rechtsprechung zu der Frage, ob DSGVO-Verstöße von Wettbewerbern nach UWG abmahnbar sind

Das Landgericht Würzburg hat am 13. September 2018 (Az. 11 O 1741/18 UWG) entschieden, dass ein Verstoß gegen eine Norm der DSGVO aufgrund des UWG verfolgt werden kann (ebenso wohl LG Hamburg, 327 O 332/18 und LG Frankfurt 2-06 O 349/18).

„Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist, verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, […].

Mit OLG Hamburg (3 U 26/12 und dem OLG Köln (8 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3a UWG darstellt und somit vom Antragstelleer abgemahnt werden konnte.[…] Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.“

Das LG Würzburg geht weder auf eine mögliche abschließende Regelung des Art. 80 DSGVO noch auf den aktuellen Meinungsstreit ein. Das ist auch deshalb bemerkenswert ist, weil die Entscheidung ohne mündliche Verhandlung erging. Gerade in einem solchen Fall wäre eine mündliche Verhandlung, die das Gesetz grundsätzlich auch für das einstweilige Verfügungsverfahren fordert, nach unserer Ansicht sinnvoll. Nach dem Gesetz soll die Beschlussverfügung nämlich die Ausnahme sein. Dass die gerichtliche Praxis diesen Grundsatz weitgehend negiert und im Regelfall im Wettbewerbsrecht ohne mündliche Verhandlung entscheidet, nennt der ehemalige Richter am BGH und Papst des Wettbewerbsprozessrechts Prof. Dr. Teplitzky übrigens „Gewohnheitsunrecht“ (in Festschrift für Bornkamm, S. 1073, 1086 und Fn. 71; siehe auch Löffel, NJW-aktuell, 47/2017). Es bleibt zu hoffen, dass Gerichte dem Gebot des rechtlichen Gehörs gerade bei dieser wichtigen und völlig ungeklärten Frage mehr Beachtung schenken. Deutliche Worte findet hierzu Dr. Volkan Güngör, Justiziar beim BDVM e. V., Hamburg:

„Keinesfalls befriedigend ist aber das mangelnde Gespür des LG – womöglich der Tatsache geschuldet, dass keine mündliche Verhandlung stattfand –, zu grundlegenden Fragen Stellung zu beziehen und somit eine gewisse Klarheit zu der derzeit vorherrschenden Unsicherheit zu schaffen. So versäumt das LG zu begründen, warum DSGVO-Verstöße Marktverhaltensregeln nach dem UWG darstellen und somit abmahnfähig sind. Das LG müht sich nicht einmal die verletzten Normen nach der DSGVO konkret zu nennen“ (GWR 2018, 417)

In einer (am 18. Oktober 2018 bekannt geworden) Entscheidung hat das Landgericht Bochum dagegen entschieden, dass Verstöße gegen Art. 13 DSGVO keine abmahnfähigen Wettbewerbsverstöße sind. Das Landgericht Bochum ist damit nach unserer Kenntnis als erstes Gericht in Deutschland der Ansicht des Wettbewerbsrechtlers Prof. Dr. Köhler aus München gefolgt. In ihrem Urteil vom 7. August 2018, Aktenzeichen I-12 O 85/18, sagen die Richter aus Bochum dazu (Unterstreichung von uns hinzugefügt):

„Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338).

Nun liegt die erste Entscheidung eines Oberlandesgerichts vor. Das Oberlandesgericht Hamburg schreibt in einem Urteil vom 25. Oktober 2018, 3 U 66/17 (am 6. November 2018 noch nicht veröffentlicht):

„Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3 a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung, ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77-79 DS-GVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DS-GVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.

Dagegen wird zur Recht eingewendet, dass Art. 80 Abs. 2 DS-GVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Artt. 77-79 DS-GVO Rechtsbehelfe betroffener Personen (Artt. 77, 78 Abs. 2, 79 DS-GVO) oder jeder anderen Person (Art. 78 Abs. 1 DS-GVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DS-GVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Artt. 78 Abs. 1 und 2, 79 Abs. 1 DS-GVO) Rechtsbehelfs. Und Art. 82 DS-GVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DS-GVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DS-GVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DS-GVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).

Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DS-GVO, die für jede betroffene Person auch anderweitige – also nicht in der DS-GVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DS-GVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DS-GVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.

Die geltend gemachten Ansprüche stehen der Klägerin indes in der Sache nicht zu.[…]“

Zu § 3a UWG heißt es:

Der Senat hat unter der Geltung des § 4 Nr. 11 UWG (jetzt § 3 a UWG) einen solchen marktverhaltensregelnden Charakter in Bezug auf die Vorschrift des 13 Abs. 1 TMG unter Hinweis auf die Erwägungsgründe 6 bis 8 der DS-RL bejaht (Senat, Urt. v. 27.06.2013, 3 U 26/12, WRP 2013, 1203, Rn. 39 f.; a.A. KG, GRUR-RR 2012, 19). Dem hat sich ein Teil der Literatur (vgl. Köhler/Bornkamm/Feddersen, UWG, 36. Aufl., Rn. 1.310 b zu § 3 a UWG) und der Rechtsprechung (OLG Köln, WRP 2016, 885, Rn. 22 ff.) angeschlossen. Ein anderer Teil der Rechtsprechung geht demgegenüber davon aus, dass Datenschutznormen generell keine marktverhaltensregelnden Normen seien (OLG München, ZD 2012, 330; OLG Düsseldorf, DUD 2004, 631; OLG Frankfurt, NJW-RR 2005, 839). Dem vermag der Senat zwar nicht zu folgen. Mit der Entscheidung des Senats vom 27.06.2013 ist indes – anders als offenbar vom Landgericht angenommen – nicht schon zum Ausdruck gebracht, dass jegliche datenschutzrechtliche Norm marktverhaltensregelnden Charakter hat. In Rechtsprechung und Literatur wird inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.

Das ist in der Rechtsprechung bezogen auf die Nutzung von Daten zu Werbezwecken nach § 28 Abs. 3 BDSG a.F. bejaht worden (OLG Stuttgart, MMR 2007, 437, Rn. 27; OLG Köln, MMR 2009, 845; CR 2011, 680; ZD 2012, 421; OLG Karlsruhe, ZD 2012, 432, Rn. 34; OLG Dresden, BeckRS 2014, 15220, insoweit unklar, ob nur die dort ebenfalls allein streitige Regelung des § 28 Abs. 3 BDSG a.F. oder § 28 BDSG a.F. generell als marktverhaltensregelnd angesehen worden ist). Für § 28 Abs. 7 BDSG a.F. kann ein marktverhaltensregelnder Charakter indes nicht angenommen werden.

Zuletzt hat nach unserer Kenntnis das Landgericht Wiesbaden mit Urteil vom 05.11.2018, Az. 5 O 214/18, entschieden, dass ein Verstoß gegen die DSGVO nicht als Verstoß gegen eine Marktverhaltensregelung mit Hilfe des UWG verfolgt werden kann:

„Die aufgeworfenen Fragen können deshalb offenbleiben, weil der Verfügungsklägerin als Mitbewerberin nach den §§ 3 Abs. 1, 3a i.V.m. § 8 Abs. 3 Nr. 1 UWG weder anspruchsberechtigt noch klagebefugt ist.

Der Gesetzgeber hat in Kap. 8 (Rechtsbehelfe, Haftung und Sanktionen) der Datenschutzgrundverordnung eingehend geregelt, wie die Datenschutzbestimmungen durchzusetzen sind. Im Mittelpunkt steht dabei die von einem Verstoß „betroffene Person“. Sie kann sich mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden (Art. 74, 78 DSG VO), die dann ihrerseits tätig wird. Die betroffene Person hat aber auch nach Art. 79 DSG VO selbst das „Recht auf einen wirksamen gerichtlichen Rechtsbehelf“, wenn sie der Ansicht ist, dass ihre Rechte aus der Datenschutzgrundverordnung verletzt worden sind. Die betroffene Person kann nach Art. 82 DSG VO Ersatz ihres materiellen und immateriellen Schadens verlangen. Nach Art. 80 Abs. 1 DSG VO ist die betroffene Person ferner berechtigt, „Organisationen“ und „ähnlichen Einrichtungen, die bestimmte Anforderungen erfüllen“ zu beauftragen, in ihrem Namen ihre Rechte unter anderem aus Art. 79 DSG VO wahrzunehmen.

6. Politische Initiativen

Mittlerweile plant die Politik, Abmahnern schnell das Handwerk zu legen. Die CDU/CSU-Fraktion im Bundestag strebte noch vor der Sommerpause eine entsprechende Gesetzesänderung an (FAZ, 6. Juni 2018). Bis zu einem solchen Gesetz hat die Justiz auch andere Möglichkeiten, um die aufkeimende Abmahnlust im Datenschutz zu dämpfen, wenn sie dies will (hierzu lesenswert Wieduwilt, Abmahnwelle oder nicht? Datenschutzrecht mit unklaren Auswirkungen, FAZ, 6. Juni 2018).

Und nun soll gesetzlich klargestellt werden, dass Verstöße gegen die DSGVO nicht auch aufgrund des UWG verfolgt werden können. Bayern hatte hierzu eine Initiative gestartet:

„Um den Vorgaben der DS-GVO Rechnung zu tragen, wird das Datenschutzrecht ausdrücklich und generell aus dem Anwendungsbereich des UWG herausgenommen.“

Am 19. Oktober 2018 fand die 971. Sitzung des Bundesrates statt. Der Ausschuss für innere Angelegenheiten und der Wirtschaftsausschuss des Bundesrates empfahlen mit Blick auf den Entwurf eines Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG-EU) die Klarstellung, dass Vorschriften der DSGVO keine Vorschriften im Sinne von § 3a UWG darstellen (Empfehlungen, 430/1/18, S. 6). Zur Begründung heißt es:

„Die Ergänzung stellt klar, dass auch Regelungen über die Durchsetzung von Marktverhaltensregelungen im Rahmen des UWG dem Anwendungsvorrang der Datenschutz-Grundverordnung unterliegen. Diese trifft im Interesse einheitlicher Bedingungen des Datenschutzes und des freien Datenverkehrs in der EU auch über die Abhilfemaßnahmen und Sanktionen bei Datenschutzverstößen eine abschließende Regelung.“

Der Bundesrat griff die Initiative aus Bayern nicht auf.

7. Irreführung nach § 5 UWG

Und dann ist da noch die Regelung des § 5a UWG. Auf § 5a Abs. 2 UWG werden Unterlassungsansprüche gestützt, wenn es um datenschutzrechtliche Informationspflichten geht, die nicht oder nicht richtig erfüllt werden (vgl. OLG Frankfurt am Main, 05.10.2017 – 6 U 141/16).

Kann man das Datenschutzrecht mit Blick auf diese Vorschrift überhaupt – so wie es Bayern wollte – vollständig aus dem Anwendungsbereich des UWG herausnehmen? Laoutoumai und Hoppe (aaO) haben Bedenken und verweisen auf § 5a Abs. 2 UWG, der auf der europäischen UGP Richtlinie beruht. § 5a UWG regelt Tatbestände der Irreführung durch Unterlassen. Wenn es jemand unterlässt, eine Pflicht der DSGVO zu erfüllen, und es dadurch zu einer Irreführung kommt, könne das – so Laoutoumai und Hoppe – ein Fall für § 5a Abs. 2 UWG sein. Der Gesetzgeber in Deutschland könne – da § 5a Abs. 2 UWG auf europäischen Vorgaben beruhe – daran nichts ändern (K&R 2018, 533, 537). Diese Argumentation ist an sich richtig.

Die entscheidende Frage ist aber, ebenso wie bei § 3a UWG, ob deutsche Gerichte § 5a Abs. 2 UWG im Falle eines DSGVO-Verstoßes überhaupt anwenden dürfen. Dazu hat sich, soweit ersichtlich, noch kein Gericht geäußert und auch Köhler erwähnt § 5a Abs. 2 UWG in seinen Beiträgen zu der Frage, ob das UWG im Falle eines DSGVO-Verstoßes Anwendung findet, nicht (zuletzt ZD 8/2018).

Allgemein gilt: Die DSGVO verdrängt in ihrem Anwendungsbereich das nationale Recht, soweit keine Öffnungsklausel einschlägig ist (Lauber-Rönsberg, ZUM-RD 2018, 550, 552). Verdrängt die DSGVO in ihrem Anwendungsbereich auch § 5a Abs. 2 UWG, weil hier keine Öffnungsklausel einschlägig ist? Dagegen wird eingewandt, in § 5a UWG gehe es – anders als in der DSGVO – nicht um Betroffenenrechte, sondern um Irreführung (vgl. Assion auf Twitter). Der EuGH hat in einem neuen Urteil (vom 25.7.2018 – C-632/16, Dyson) zu einem Zusammenspiel der UGP-Richtlinie zu wettbewerbsrelevanten Spezialvorschriften gesagt: Wenn das Unionsrecht die Wiedergabe bestimmter Informationen positiv vorschreibe gingen diese Bestimmungen der UGP-RL vor und eine irreführende Unterlassung nach Art. 7 UGP-RL komme nicht in Betracht (hierzu Kianfar, GRUR-Prax 2018, 447). Auf die DSGVO und das UWG übertragen:

Wenn die DSGVO die Wiedergabe bestimmter Informationen auch als wettbewerbsrelevante Vorschrift positiv vorschreibt, also zum Beispiel eine Datenschutzerklärung nach Art. 13 DSGVO, gehen diese Bestimmungen der UGP-Richtlinie und damit § 5a Abs. 2 UWG vor. Eine irreführende Unterlassung nach § 5a Abs. 2 UWG käme dann nicht in Betracht (kritisch und mit guten Gegenargumenten Assion, Twitter). Apropos wettbewerbsrelevante Vorschrift: Juristen, die eine Anwendung des UWG neben der DSGVO befürworten, argumentieren im Rahmen des §3a UWG oft, die DSGVO enthalte wettbewerbsrelevante Vorschriften.

Auch diese Frage wird letztlich der EUGH entscheiden.

Wenn man aber einmal unterstellt, dass die DSGVO der Regelung des §5a Abs. 2 UWG nicht vorgeht, wenn es jemand unterlassen hat, eine Pflicht der DSGVO umzusetzen, heißt das noch lange nicht, dass im Einzelfall nach § 5a Abs. 2 UWG vorgegangen werden kann. Erst einmal müssen die tatbestandlichen Voraussetzungen des §5 a Abs. 2 UWG erfüllt sein und in der Praxis zeigt es sich häufig, dass es sich sowohl Angreifer als auch Gerichte mit den Vorgaben der sog. Relevanzklausel des § 5a II, 1 Nr. 2 UWG zu leicht machen. Nach § 5a Abs. 2 UWG muss das Vorenthalten einer benötigten, weil i.S. des § 5a II, 1 Nr. 1 UWG wesentlichen Information, nämlich zugleich geeignet sein, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Fehlende Informationen in einer Datenschutzerklärung auf einer Webseite könnten also nur dann nach § 5a Abs. 2 UWG abgemahnt werden, wenn die Voraussetzungen des §5a Abs. 2 UWG vorliegen und das Fehlen gerade dieser Informationen geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Man darf gespannt sein, wie Angreifer und Gerichte diese Relevanz im Einzelfall begründen. Floskeln und Phrasen, die man in der Praxis häufig liest, reichen insoweit jedenfalls nicht. Das OLG Bamberg hat das wie folgt auf den Punkt gebracht (Beschluss vom 9. April 2018 – 3 W 11/18, Rn. 29):

„Abweichend von der Vorgängervorschrift des § 5a II UWG aF beinhaltet nunmehr auch das Relevanzerfordernis ein eigenständiges Tatbestandsmerkmal, das selbstständig zu prüfen und sonach mit konkreten Feststellungen zum individuellen Sachverhalt auszufüllen ist (BGH NJW-RR 2017, 1081, Rn. 31ff. – Komplettküchen – sowie BGH WRP 2018, 324 – Kraftfahrzeugwerbung – jeweils in Fortführung von BGH WRP 2016, 450, Rn. 25 -F.; ausführlich K/B/F a.a.O., Rn. 3.40a und 3.42ff zu § 12 UWG). Mit floskelhaften oder lediglich das Vorbringen zum Wesentlichkeitserfordernis des § 5a II, 1 Nr. 1 UWG n.F. (tautologisch) bekräftigenden Ausführungen ist deshalb nicht mehr getan (in diesem Sinne offenbar auch K/B/F a.a.O.).“

Löffel Abrar (2. Mai 2018, zuletzt bearbeitet am 18. November 2018)

Tags:
,