DSGVO-Update: Bußgelder und Abmahnungen

Durchsetzung des Datenschutzrechts in Deutschland

Ein gutes halbes Jahr nach dem Inkrafttreten der DSGVO haben die europäischen Aufsichtsbehörden erste Bußgelder verhängt. Die Spanne reicht dabei von knapp 5000 Euro (Rechtswidrige Videoüberwachung eines Wettbüros – Österreich) bis 400.000 Euro (Unzureichende Zugriffsbeschränkungen bei Patientendaten im Computersystem eines Krankenhauses – Portugal).

Kooperation mit Aufsichtsbehörden als Bußgeldbremse

Das erste deutsche DSGVO-Bußgeld beträgt „nur“ 20.000 Euro und wurde gegen eine Onlineplattform verhängt, die Nutzerpasswörter unverschlüsselt gespeichert hatte. Aufgefallen war dies wegen eines Datenlecks, das zwei Millionen Accounts betraf. Angesichts der Auswirkungen auf so viele Nutzer erscheint das Bußgeld relativ gering. Öffentliche Äußerungen der Datenschutzbehörden deuten dann auch darauf hin, dass es sich im konkreten Fall um die absolute Untergrenze für vergleichbare Fälle handeln dürfte. Im konkreten Fall hatte das betroffene Unternehmen aber umfassend mit den Behörden kooperiert und sofort nach dem Datenleck auch mit erheblichen finanziellen Investitionen die eigenen Datensicherheitsstandards verbessert.

Private Durchsetzung des Datenschutzrechts

Eine breite Klagewelle individueller Betroffener wegen (vermeintlicher) Datenschutzverstöße ist bislang ausgeblieben. Hoch umstritten ist aber zur Zeit die Frage, ob Unternehmen wegen Verstößen gegen das Datenschutzrecht von Wettbewerbern oder Verbraucherschützern abgemahnt werden können. Besonders relevant ist das für Datenschutzerklärungen, die so gut wie jedes Unternehmen online veröffentlichen muss, so dass Verstöße leicht aufzuspüren sind. Betroffen sind also nicht nur die „üblichen Verdächtigen“ wie Soziale Netzwerke und eCommerce-Plattformen, sondern auch sonstige Unternehmen, die sich im Internet präsentieren.
Grundsätzlich ist jeder Verstoß gegen eine so genannte Marktverhaltensregel zugleich ein abmahnfähiger Wettbewerbsverstoß (sog. Vorsprung durch Rechtsbruch, verankert in § 3a UWG). Ob aber die Vorschriften der DSGVO solche Marktverhaltensregeln darstellen (dürfen) ist unklar, da sie dem nationalen Recht vorgehen und somit, wenn sie abschließende Regelungen über Sanktionen treffen, möglicherweise auch die Abmahnung nach § 3a UWG ausschließen. Die Gerichte sind sich in der Frage derzeit nicht einig.

Uneinigkeit unter den Gerichten

So hat das LG Würzburg am 13. September 2018 (Az.: 11 O 1741/18 UWG) “pro Abmahnung” entschieden und festgestellt, dass dem Antragssteller ein Verfügungsanspruch auf Unterlassung zustehe, da die Antragsgegnerin über ein Kontaktformular Daten erheben konnte, die auf ihre Website zu findende Datenschutzerklärung der DSGVO jedoch nicht genüge. Das Gericht erläuterte jedoch in der sehr knapp formulierten Entscheidung nicht weiter, wie es gerade auf Grundlage der – möglicherweise abschließenden – DSGVO zu diesem Ergebnis gekommen ist.
Im Gegensatz dazu hatte das LG Bochum bereits am 07. August 2018 (Az.: I-12 O 85/18) “contra Abmahnung” festgestellt, dass „die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält“. Die selbstverständliche Folge ist somit, dass eine Abmahnung wegen Verstoßes gegen § 3a UWG ausscheidet. Das Gericht erkennt, dass diese Frage besonders umstritten ist, und führt Argumente zur Untermauerung seiner Ansicht aus. Die DSGVO enthalte eine detaillierte Regelung des anspruchsberechtigten Personenkreises. Ähnlich hat auch das LG Wiesbaden entschieden.
Noch ganz frisch ist eine Entscheidung des OLG Hamburg (25. Oktober 2018, Az.: 3 U 66/17 – Entscheidungsgründe noch nicht veröffentlicht), die eine vermittelnde Ansicht ausführlich begründet. Danach können Verstöße gegen die DSGVO durch Mitbewerber abmahnfähig sein. Zwar seien die Sanktionen der Art. 77 ff DSGVO nicht abschließend, für die Abmahnung komme es aber immer noch darauf an, ob die in Betracht gezogene Norm auch tatsächlich ein Marktverhalten reguliert – dies könne man nicht pauschal für alle DSGVO-Vorschriften annehmen. Im konkreten Fall, bei dem es um die Gestaltung von Bestellbögen für Arzneimittel und die damit zusammenhängende Verarbeitung von Patientendaten ging, hat das OLG die Klage jedoch mangels Wettbewerbsverstoß abgewiesen.

 “Abmahnmissbrauch” und die Lösung des Gesetzgebers

Rechtsunsicherheit allenthalben also. Selbst wenn man sich an die obergerichtliche Rechtsprechung aus Hamburg hält, kann man in vielen Fällen trefflich streiten, ob denn nun eine Marktverhaltensregel vorliegt oder nicht.
Normalerweise würde man jetzt die Blicke gespannt auf die nächsten Instanzen richten. Eine Auflösung des Streits kommt aber möglicherweise aus einer anderen Richtung, nämlich durch Intervention des Gesetzgebers. Derzeit diskutiert die Regierungskoalition einen Gesetzesentwurf zur „Stärkung des fairen Wettbewerbs“ des Bundesjustizministeriums, der grundsätzlich missbräuchliche Abmahnungen eindämmen will und dabei auch die Anforderungen an Abmahnungen im Bereich der DSGVO konkretisieren könnte. Gerade in diesem Punkt herrscht allerdings auch im Kabinett noch Uneinigkeit.
Die Wettbewerbszentrale hat in ihrer Stellungnahme zu dem Entwurf vom 1. Oktober 2018 die Sorge geäußert, dass dieser nicht weit genug geht, um Abmahnmissbrauch nachhaltig einzudämmen. Sie schlägt insbesondere vor, für Sachverhalte aus dem Bereich Onlinehandel/Internet die Abmahnungs- und Klagebefugnis für Mitbewerber ausgeschlossen wird, soweit es sich um Verstöße gegen bestimmte formale Kennzeichnungs- und Informationspflichten geht. Dies könnte wiederum auch Datenschutzerklärungen erfassen.

Fazit

Im Ergebnis kann nicht ausgeschlossen werden, dass Mitbewerber wegen Datenschutzverstößen, insbesondere mangelhaften Datenschutzerklärungen abmahnen. Wer daher im Zuge des Inkrafttretens der DSGVO seine Informationsdokumente noch nicht angepasst hat, ist gut beraten, dies schnell nachzuholen. Auch wenn künftig möglicherweise keine Gefahr durch Abmahnungen von Wettbewerbern mehr droht, darf nicht vergessen werden, dass auch die Aufsichtsbehörden Datenschutzverstöße verfolgen und ahnden können.

 

Felix Hilgert
Counsel, Deutschland
Email Felix