Seit dem 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) nun rechtsverbindlich. Da die DSGVO noch sehr jung ist, überrascht es nicht, dass es auf viele Rechtsfragen noch keine eindeutige gerichtliche Klärung gibt. Eine dieser Rechtsfragen betrifft die Abmahnfähigkeit von Datenschutzverstößen nach dem Gesetz gegen unlauteren Wettbewerb (UWG). Bislang ist die große Abmahnwelle ausgeblieben, obgleich es schon einzelne Verfahren gab (dazu sogleich). Dies wird sich womöglich ändern, sobald mehr Rechtsklarheit darüber besteht, dass Datenschutzverstöße lauterkeitsrechtlich abmahnfähig sind. Hier zeichnet sich eine Tendenz ab.
Warum ist das wichtig?
Die Frage nach der Abmahnfähigkeit von Datenschutzverstößen nach dem UWG hat hohe praktische Bedeutung für Unternehmen und deren wirtschaftliche Entscheidungen. Wenn Datenschutzverstöße nur von betroffenen Personen oder Aufsichtsbehörden gerügt werden können, dann ist das Angriffsrisiko sehr gering. Betroffene verfolgen ihre Rechte häufig nicht oder nur halbherzig. Aufsichtsbehörden sind aufgrund ihrer dünnen Personaldecke gar nicht in der Lage, sämtliche Unternehmen wirksam zu beaufsichtigen.
Wenn hingegen Datenschutzverstöße zugleich einen UWG-Verstoß bedeuten, dann können auch Mitwerber, Verbraucherschutzverbände und Wettbewerbsverbände einen Datenschutzverstoß bei einem Unternehmen ahnden. Der Kreis potentieller Angreifer wird damit um ein Vielfaches größer. Allein dadurch steigt die tatsächliche Wahrscheinlichkeit, als Unternehmen für Datenschutzverstöße belangt zu werden.
Die Kernfrage ist, ob die DSGVO ein „abgeschlossenes Sanktionssystem“ für Datenschutzverstöße regelt. Wenn dies der Fall ist, dann können Verletzungen der DSGVO nur mit den in Kapitel 8 der DSGVO vorgesehenen Rechtsbehelfen angegriffen werden. Eine Ahndung von DSGVO-Verstößen mit den Rechtsbehelfen des UWG wäre nicht möglich. Dabei sieht § 3a UWG ausdrücklich vor, dass die Verletzung gesetzlicher Vorschriften (außerhalb des UWG) auch mit den Mitteln des UWG angegriffen werden kann, sofern es sich bei den gesetzlichen Bestimmungen um sog. „Marktverhaltensregelungen“ handelt.
Wie ist der bisherige Meinungsstand zu dieser Frage?
Unter Geltung des alten Rechts haben sich verschiedene Gerichte bereits für die Abmahnfähigkeit ausgesprochen. Dies begründeten sie mit den Erwägungsgründen der alten EU-Datenschutzrichtlinie. Diese strebe nicht nur den Schutz der Entscheidungs- und Verhaltensfreiheit der Verbraucher an, sondern auch die wettbewerbliche Entfaltung der Mitbewerber.
Inzwischen mehren sich auch unter Geltung des neuen Rechts die erstinstanzlichen Gerichtsentscheidungen in Bezug auf die Abmahnfähigkeit von Verstößen gegen die DSGVO. So untersagte das Landgericht Würzburg einer Rechtsanwältin durch Beschluss vom 13.9.2018 (Az. 11 O 1741/18 UWG) das Betreiben ihrer Website, die sie ohne der nach der DSGVO erforderlichen Datenschutzerklärung betrieb. Ein erstes Oberlandesgericht geht ebenfalls davon aus, dass Datenschutzverstöße nach der DSGVO zugleich auch über das UWG geahndet werden können (OLG Hamburg, Urteil vom 25.10.2018 – 3 U 66/17). Ob das gerügte Verhalten eine Marktverhaltensregel nach § 3 a UWG ist, müsse jedoch im Einzelfall geprüft werden. Es ist durchaus realistisch, dass diese oberlandesgerichtliche Entscheidung eine „Signalwirkung“ für andere Instanzgerichte in Deutschland haben wird. Das bleibt jedoch abzuwarten.
Es gibt auch Entscheidungen, die eine wettbewerbsrechtliche Abmahnfähigkeit von DSGVO-Verstößen verneinen. So geht das Landgerichts Bochum in seinem Urteil vom 7.8.2018 (Az. I-12 O 85/18) davon aus, dass die DSGVO abschließende Regelungen zu Ansprüchen von Mitbewerbern enthalte, die wettbewerbsrechtliche Unterlassungs- und Beseitigungsansprüche ausschließe. Dieser Ansicht ist auch das Landgericht Wiesbaden (Urt. v. 05.11.2018, Az. 5 O 214/18).
Die Ansicht, dass die Rechtsinstrumente der DSGVO abschließend sind, vertritt zudem auch die EU-Kommission, die den Gesetzesentwurf der DSGVO verfasst hatte. Auf eine schriftliche Anfrage einer konservativen Abgeordneten des Europäischen Parlamentes und ehemaligen Justizministerin Frankreichs (Rachida Dati, EVP) vom 23. Juli 2018 äußerte sich die Justiz-Kommissarin Vera Jourová am 3. Oktober 2018 dahingehend, dass nur die in Artikel 80 DSGVO genannten Personen das Recht haben, die unter der DSGVO geregelten Rechte geltend zu machen. Dritte wie Abmahnvereine sollen dieses Recht also gerade nicht haben. Der politische Wille der Konservativen des Europäischen Parlamentes und der EU-Justiz-Kommissarin sind somit eindeutig.
Allerdings fehlen bislang höchstrichterliche Entscheidungen vom Bundesgerichtshof (BGH) oder vom Europäischen Gerichtshof (EuGH), die für hinreichende Klarheit sorgen können. Solange es diese noch nicht gibt, werden sich auch auf Massenabmahnungen spezialisierte Organisationen zurückhalten. Zu hoch ist die Gefahr, dass eine große Abmahnwelle „zusammenbricht“, weil ihr vom BGH oder EuGH die Grundlage entzogen wird.
Praxisempfehlung
Das Pendel schlägt derzeit leicht in die Richtung aus, dass die deutschen Instanzgerichte eine wettbewerbsrechtliche Abmahnfähigkeit von DSGVO-Verstößen wohl überwiegend bejahen werden. Sollte sich diese Annahme bestätigen, erscheinen mittelfristig auch die ersten größeren Abmahnwellen von Organisationen realistisch, die auf Massenabmahnungen spezialisiert sind (z.B. „Abmahnvereine“).
Allerdings werden solche Organisationen sich auf Datenschutzverstöße konzentrieren, die schnell und leicht aufzuspüren sind und eine vermeintliche Vielzahl von Unternehmen betreffen. Onlineaktivitäten von Unternehmen sind damit erhöht angriffsgefährdet. Demgegenüber werden Datenschutzverstöße, die „lediglich“ die interne Unternehmensorganisation betreffen, kaum Gegenstand einer Abmahnung werden (sie können aber von einer Aufsichtsbehörde geahndet werden). Die Wahrscheinlichkeit einer Abmahnung können Unternehmen daher erheblich reduzieren, wenn sie bei Datenschutzerklärungen für ihre Website, Cookies und Tracking-Tools zumindest die „Minimalanforderungen“ nach der DSGVO einhalten. Zwar ist hier noch vieles ungeklärt. Aber bestimmte Anforderungen für Datenschutzerklärungen, Cookies und Tracking-Tools stehen bereits jetzt „unumstößlich“ fest. Zumindest diese sind zu beachten.