Meilicke Hoffmann und Partner - Anwaltskanzlei Bonn

    Newsletter

    Wettbewerbsrechtliche Risiken von Datenschutzverstößen

    Am 25. Mai 2018 tritt die Europäische Datenschutz-Grundverordnung – VO (EU) 2016/679 –(die sogenannte „DS-GVO“ in Kraft. In immer kürzeren Abständen werden hierzu Meldungen zu den notwendigen Umsetzungsmaßnahmen für Datenverarbeiter auf allen Informationskanälen gesendet. Diese Meldungen werden verbunden mit einem Hinweis auf die kräftige Erhöhung des Bußgeldrahmens bei Nichteinhaltung dieser Pflichten auf bis zu 4 % des jährlichen Konzernumsatzes bzw. bis zu 20 Million €. Aus dem Kreis der Mandanten wird hierzu die Befürchtung geäußert, dass professionelle Abmahnkanzleien schon in den Startlöchern für eine wettbewerbsrechtliche Abmahnwelle sitzen. Wer aber die Richtung erkannt hat, aus der die Gefahr kommt, kann gezielt Gegenmaßnahmen ergreifen.

    Art. 80 Abs. 2 DSG-VO eröffnet Verbänden die Möglichkeit, unabhängig von einem Auftrag gegenüber Verantwortlichen oder Auftragsverarbeitern Ansprüche wegen einer nicht mit der DSG-VO in Einklang stehenden Verarbeitung personenbezogener Daten geltend zu machen. In Deutschland stellt das Gesetz hierzu drei Wege zur Verfügung:

    (1) Wettbewerbsrechtliche Ansprüche (insbesondere § 3a UWG wegen Verletzung einer Marktverhaltensvorschrift)

    So hat z. B. das OLG Köln in einer entgegen § 13 Telemediengesetz (TMG) fehlenden Datenschutzerklärung für ein Online-Kontaktformular einer Steuerberaterkanzlei einen Wettbewerbsverstoß i. S. v. § 3a UWG gesehen (OLG Köln, Urteil vom 11.03.2016; Az.: I-6 U 121/15). Nach der herrschenden Meinung dient diese Vorschrift dem Schutz der Interessen der Mitbewerber. Diese datenschutzrechtliche Regelung ist dazu bestimmt, das Marktverhalten im Interesse der Marktteilnehmer zu regeln, indem sie den Anbieter verpflichtet, die Verbraucher über die Datenverwendung aufklären und diese Information die Entscheidungs- und Verhaltensfreiheit des Verbrauchers beeinflusst.

    Der erste Blick verleitet zu der Annahme, Datenschutzverstöße könnten allgemein Verstöße gegen Marktverhaltensvorschriften sein. Dies wird vielfach übereilt sein. Zur Begründung der Annahme wird meist der veraltete Gedanke „Vorsprung durch Rechtsbruch“ genannt und argumentiert, der die datenschutzrechtlichen Bestimmungen nicht beachtende Marktteilnehmer erspare sich so erhebliche Aufwendungen und erlange so einen unzulässigen Vorsprung vor der rechtstreuen Konkurrenz. Diese Sichtweise hat der Bundesgerichtshof aber schon längst aufgegeben (Urteil vom 11.05.2000, Az.: I ZR 28/98 -„Abgasemmissionen“). Demgemäß ist ein Marktverhalten nicht schon dann wettbewerbsrechtlich unlauter, wenn es Vorteile aus einem Verstoß gegen ein Gesetz ausnutzt, das – selbst wenn es wertbezogen ist – keinen auch nur sekundären Marktbezug aufweist. Dieser Marktbezug ist mittlerweile gesetzlich geregelt (§ 3a UWG). Er erfordert eine differenzierte Betrachtung des Rechtsverstoßes. Die frühere Rechtsprechung zu der Fallgruppe Rechtsbruch ist heute nicht mehr verwertbar.

    Im Hinblick auf diese Rechtsprechung wird man davon ausgehen können, dass z. B. die Informationspflichten der Art. 13 und 14 DSG-VO (vgl. dazu unseren Newsletter 6/17) als Marktverhaltensvorschriften im Sinne von § 3a UWG angesehen werden. Daher können dem Grunde nach Wettbewerber oder Verbände bei Nichterfüllung dieser Informationspflichten abmahnen.

    Es sind aber auch viele – schon nach dem bisherigen BSDG geltende – datenschutzrechtliche Pflichten ohne einen Marktbezug i. S. v. § 3a UWG, auch wenn die Nichtbeachtung dieser Pflichten zu erheblichen Einsparungen gegenüber der rechtstreuen Konkurrenz führt. Zu nennen sind hier beispielsweise die Benennung eines Datenschutzbeauftragten (Art. 37 DS-GVO), die Erstellung eines Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) oder die Vereinbarung der Auftragsverarbeitung (Art. 28 DS-GVO). In diesen Fällen sind wettbewerbsrechtliche Abmahnungen nicht zu erwarten. Noch nicht geklärt ist der Marktbezug bei den Betroffenenrechten gemäß Art. 15 ff. DS-GVO, z. B. die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder das neue Recht auf Datenübertragbarkeit. Ob in der Erfüllung dieser individuellen Rechte ein Marktverhalten gesehen werden kann, erscheint zweifelhaft.

    (2) Unterlassungs- und Widerrufsanspruch bei Allgemeinen Geschäftsbedingungen

    Verbände können Datenschutzbestimmungen von Unternehmengemäß § 1 Unterlassungsklagengesetz (UKlaG) angreifen, wenn diese in Allgemeinen Geschäftsbedingungen enthalten sind. Voraussetzung für eine erfolgreiche Klage ist, dass Datenschutzbestimmungen vom wesentlichen Grundgedanken einer gesetzlichen Regelung abweichen (vgl. OLG Koblenz Urteil vom 26.03.2014, Az.: 9 U 116/13, zu einer Einwilligung in die Datennutzung in Allgemeinen Geschäftsbedingungen, die u. a. wegen fehlender Hervorhebung gem. § 4a Abs. 1 Satz 4 BDSG unwirksam war). In der Regel werden Datenschutzbestimmungen aber nicht als Allgemeine Geschäftsbedingungen ausgestaltet, so dass der Anwendungsbereich dieser Vorschrift im Hinblick auf den Datenschutz begrenzt ist.

    (3) Ansprüche bei verbraucherschutzwidrigen Praktiken

    Zur Verbesserung der zivilrechtlichen Durchsetzung verbraucherschützender Vorschriften des Datenschutzrechts wurden 2016 mit § 2 Abs. 2 Nr. 11 UKlaG bestimmte datenschutzrechtliche Vorschriften zu den Verbraucherschutzgesetzen im Sinne von § 2 Abs. 2 UKlaG hinzugefügt. Gemäß § 3 UKlaG können qualifizierten Einrichtungen und Verbände Ansprüche wegen Verletzung verbraucherschützender Vorschriften geltend machen. Gemäß der neuen Regelung des § 2 Abs. 2 Nr. 11 UKlaG sind das Vorschriften, welche die Zulässigkeit der Erhebung und Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer betreffen. Dies gilt aber nur, wenn die Daten insbesondere zu Zwecken der Werbung, der Markt- und Meinungsforschung, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben und verarbeitet oder genutzt werden. Hierbei muss sorgfältig geprüft werden, ob der Anwendungsbereich von § 2 Abs. 2 Nr. 11 UKlaG tatsächlich eröffnet ist.

    Zahlreiche Bestimmungen des Datenschutzes weisen dagegen keinen unmittelbaren Verbraucherbezug auf und fallen nicht in den Anwendungsbereich dieser Vorschrift. Zu nennen sind z. B. die o. g. Pflichten der Art. 37 DS-GVO (Datenschutzbeauftragter), Art. 28 DS-GVO (Auftragsdatenverarbeitung) oder Art. 30 DS-GVO (Verzeichnis der Verarbeitungstätigkeit). Auch ist es fraglich, ob die neuen Betroffenenrechte der Art. 15 ff. DS-GVO als Datenschutzbestimmungen im Sinne von § 2 Abs. 2 Nr. 11 UKlaG angesehen werden können. Denn insoweit handelt es sich bei der möglichen Nichterfüllung dieser Rechte nicht um die Erhebung, Verarbeitung oder Nutzung von Daten im Sinne von § 2 Abs. 2 Nr. 11 UKlaG.

    Zusammenfassend lässt sich feststellen, dass das Datenschutzrecht nicht nur von den Aufsichtsbehörden, sondern punktuell auch von Verbänden und Wettbewerbern durchgesetzt werden kann. Flächendeckende Abmahnungen werden sich auf von außerhalb leicht erkennbare Rechtsverstöße konzentrieren wie z.B. fehlerhafte Datenschutzerklärungen auf der Webseite. Die Verteidigungsmöglichkeit gegen solche Abmahnungen wird zusätzlich dadurch erschwert, dass Anzeigen bei der Aufsichtsbehörde und somit Bußgelder drohen. Bei der Planung der Maßnahmen für die Umsetzung des Neuen Datenschutzrechts sollten daher deren Außenwirkung und Verbraucherrelevanz besonders berücksichtigt werden.

    Dr. Wolfgang Walchner

    In folgendem Newsletter erschienen : Newsletter 3/18

    Drucken | Teilen