Die bisweilen befürchtete Abmahnwelle nach Anwendbarwerden der Regelungen der europäischen Datenschutz-Grundverordnung (DS-GVO) ist bislang ausgeblieben. Der Grund dafür wurde vor allem darin gesehen, dass völlig unklar ist, ob ein Verstoß gegen die Bestimmungen der DS-GVO überhaupt abgemahnt werden kann. Juristen sind sich uneins, ob die Verordnung ein in sich abgeschlossenes Sanktionensystem beinhaltet oder nicht. Das Hanseatische Oberlandesgericht Hamburg hat in einer kürzlich veröffentlichten Entscheidung (Urt. v. 25.10.2018 – 3 U 66/17) seine Sicht kundgetan, wonach ein solches abschließendes Sanktionensystem nicht zu erkennen sei. Es gab dem Abmahner damit Recht. Dies nährt die Hoffnung aller, die in Abmahnungen ein Geschäftsmodell erkennen.
Datenschutz – ein neues Arbeitsfeld?
Seit dem 25. Mai 2018 sind die Regeln der europäischen Datenschutz-Grundverordnung anzuwenden. Die Regeln sind bereits zwei Jahre zuvor in Kraft getreten. Die Übergangsfrist sollte vor allem Unternehmen und öffentlicher Verwaltung, die für die Anpassung ihrer Geschäftsvorgänge erforderliche Zeit gewähren. Dabei ist der Datenschutz kein so ganz junges Thema mehr. Das erste Datenschutzgesetz wurde in Hessen bereits im Jahr 1970 verabschiedet. Ihm folgte 1977 das erste deutsche Bundesdatenschutzgesetz, die übrigen Bundeslänger zogen bis 1981 nach. Der gesetzlich geregelte Datenschutz wird also demnächst 50 Jahre alt. Gleichwohl konnte man im Frühjahr 2018 den Eindruck gewinnen, dass man erst jetzt und völlig überraschend vom Gesetzgeber aufgefordert worden sei, sich mit dem Thema Datenschutz zu befassen.
Worum ging es vor dem Oberlandesgericht?
Das Hanseatische Oberlandesgericht Hamburg hatte sich in der ihm zur Entscheidung vorgelegten Sache – stark verkürzt gesprochen – mit der Gestaltung und Weitergabe von Bestellbögen zu befassen. Diese waren durch einen deutschen Vertrieb eines spanischen Unternehmens an Mittelspersonen ausgegeben, die für ihre Kunden unter Preisgabe bestimmter Informationen zur Person des Kunden mittels der Bögen Bestellungen beim spanischen Anbieter auslösten. Der Anbieter schickte nach einer Plausibilitätsprüfung der Bestellung das individuell für den einzelnen Kunden hergestellte Produkt an den deutschen Vertrieb, der sie zur Auslieferung an den Endkunden weiterreichte.
Ein Konkurrent monierte, dass die Kunden nicht in die Verarbeitung der sie betreffenden personenbezogenen Daten eingewilligt hätten und verlangte, dass die weitere Verwendung der Bestellbögen unterbleibt. Der Konkurrent war der Auffassung, gegen den deutschen Vertrieb einen Unterlassungsanspruch zu haben und mahnte daher diesen zunächst erfolglos ab. Aus Sicht des Konkurrenten verschaffte sich der deutsche Vertrieb einen Wettbewerbsvorteil, da er anders der Konkurrent selbst, auf die Einholung einer Einwilligung verzichte und sich damit nicht nur Aufwände erspare, sondern auch Kunden sichere, die eine Einwilligung – hätte man sie gefragt – nicht erteilt hätten.
Rechtlicher Hintergrund
Das OLG Hamburg gelangte zu dem Schluss, dass Unternehmen, die in einem direkten Wettbewerbsverhältnis zueinander stehen – die also vereinfacht gesprochen um dieselben Kunden werben –, dazu berechtigt sind, Abmahnungen wegen Verstößen gegen datenschutzrechtliche Bestimmungen auszusprechen und Ansprüche auf Beseitigung und Unterlassung sowie Aufwendungs- und Schadensersatz geltend zu machen. In der Entscheidung treffen also datenschutzrechtliche und wettbewerbsrechtliche Belange aufeinander. Die Aufgabe des Oberlandesgerichts bestand folglich vor allem darin, die erkennbar verschiedenen Schutzrichtungen zielführend miteinander in Einklang zu bringen. Dies ist nicht so einfach, wie es auf den ersten Blick scheinen mag. Damit kann dieses Urteil sowohl wettbewerbs- als auch datenschutzrechtlich betrachtet werden.
Datenschutz als öffentliche Aufgabe
Unter Juristen ist die Auffassung, Datenschutzverstöße könnten von Mitbewerbern abgemahnt werden, umstritten. Namhafte Vertreter aus den Teildisziplinen des Datenschutzrechts und des Wettbewerbsrechts nehmen nämlich an, dass die DS-GVO ein in sich geschlossenes Sanktionensystem beinhaltet. Hauptargument dieser Vertreter ist, dass die DS-GVO die Mitgliedstaaten verpflichtet, unabhängige Stellen für die Datenschutzkontrolle einzurichten. Diese unabhängigen Stellen sind in Deutschland die Datenschutzaufsichtsbehörden des Bundes und der Länder. Sie bilden das System staatlicher Datenschutzkontrolle und sind dazu berufen, wie die Polizei eine Anlaufstelle für betroffene Bürger zu sein. Die Bürger können sich mit ihren Anliegen den Schutz ihrer Daten betreffend an die Behörde wenden, die danach die Compliance einer Verarbeitung personenbezogener Daten prüfen und Falle des Datenschutzverstoßes sanktionieren kann.
Die Vertreter dieser Ansicht können damit nur zu dem Schluss gelangen, dass für eine private Rechtsdurchsetzung kein Raum verbleibt. Lässt man zu, dass ein Mitbewerber datenschutzrechtliche Verstöße abmahnt, entlässt man die gesetzlich dazu berufenen unabhängigen Stellen insoweit aus ihrer Verantwortung. Anders ausgedrückt: die Rechtsdurchsetzung wird privatisiert. Die staatliche Aufgabe reduziert sich in diesen Fällen auf die Gewährleistung des Rechtsweges, also einer gerichtlichen Kontrolle privaten Handelns. Damit einher geht eine Veränderung des Rechtscharakters. Vor Gericht begegnen sich Gleiche, also auf beiden Seiten stehen sich Unternehmer gegenüber. Dies ist für das Privatrecht prägend. Das Datenschutzrecht gilt aber allgemein als Teil des öffentlichen Rechts, das durch das Merkmal der Subordination, also der Unterordnung des Einzelnen und die Überordnung der staatlichen Stellen gekennzeichnet ist.
Wettbewerbsrecht als private Aufgabe
Demgegenüber gibt es eine Reihe von Juristen, die die Auffassung vertreten, die Regelungen der europäischen Datenschutz-Grundverordnung beinhalteten gerade kein in sich geschlossenes Sanktionensystem. Sie argumentieren, dass die Verordnung in Gestalt der Öffnungsklauseln den Mitgliedstaaten einen Spielraum gewähre. Dieser Spielraum besteht nach ihrem Dafürhalten auch im Bereich der Regelung der Durchsetzung des Datenschutzrechts. Auf diese Weise sei es möglich, dem Datenschutz auch mit den Mitteln des Wettbewerbsrechts zur Geltung zu verhelfen. Das Wettbewerbsrecht ist darauf angelegt, im Bereich der Wirtschaft eine regulierte Selbstregulierung zu ermöglichen. Dies bedeutet konkret, dass die am Markt agierenden Wirtschaftsteilnehmer in die Lage versetzt werden, die Gesetze, die das Verhalten auf dem betreffenden Markt regeln, mit einem eigenen Rechtsinstrument durchzusetzen. Der Staat beschränkt sich auf die Bereitstellung des Instrumentariums und die Gewährleistung des Rechtsweges.
Für die Vertreter dieser Ansicht entscheidend ist, dass die staatlichen Stellen zu einem effektiven Einschreiten gar nicht in der Lage sind. Wollte man sie hierzu befähigen, verbrauchte dies Ressourcen, die anderweitig dringender benötigt werden. Die Datenschutz-Aufsichtsbehörden sind bekanntermaßen personell nicht in einer Größe aufgestellt, dass ihnen alle denkbaren Datenschutzverstöße auch nur zur Kenntnis gebracht werden und erst recht nicht einer behördlichen Überprüfung zugeführt werden könnten. Damit ist es aus ihrer Sicht unvereinbar, wenn jedem Einzelnen auch ohne eigene Betroffenheit von dem konkret rechtswidrigen Datenverarbeitungsvorgang Schadensersatzansprüche gewährt werden, die anderenfalls gar nicht durchsetzbar wären.
Damit ist aber auch klar: Wird eine gesetzliche Regel gebrochen, kann eine private Rechtsdurchsetzung nur in Betracht kommen, wenn der Private durch den Rechtsbruch beeinträchtigt wird und sich der Rechtsbrecher einen Vorteil verschafft, der von der Rechtsordnung nicht gebilligt wird. Dies ist unter zwei Voraussetzungen der Fall:
- Bei der gebrochenen Regel handelt es sich um eine Norm, die das Marktverhalten regelt. Eine Norm, die nicht dazu bestimmt ist, das Auftreten am Markt in Sinne eines Schutzes der übrigen Marktteilnehmer zu regeln, kann nicht zur Grundlage einer Abmahnung gemacht werden. Das bedeutet, die Norm, auf die eine Abmahnung gestützt wird, muss den Schutz von Mitbewerbern, Verbrauchern und sonstigen Marktteilnehmern vor einer unerwünschten Form des Marktauftretens des abzumahnenden Wettbewerbers bezwecken.
- Darüber hinaus kennt das Wettbewerbsrecht eine so genannte „Spürbarkeitsschwelle“. Diese hat zur Konsequenz, dass auch in den Fällen, in denen ein Rechtsbruch wie er zuvor beschrieben wurde vorliegt, dieser nur dann zur Abmahnung berechtigt, wenn der Rechtsbruch nicht so unwesentlich ist, dass er eine Marktentscheidung nicht beeinflusst. Anders ausgedrückt: Ein Rechtsbruch ist nur wesentlich, wenn ein regelkonformes Verhalten zu einer anderen Reaktion des Marktes auf das unlautere Marktauftreten führt.
Das Hanseatische Oberlandesgericht hat in der von dem beklagten Vertrieb konkret verletzten datenschutzrechtlichen Norm keine Marktverhaltensregel erkannt und nur deshalb die Klage abgewiesen. Allerdings wurde wegen der grundsätzlichen Bedeutung der Rechtssache und einer bislang nicht erfolgten Befassung des Bundesgerichtshofes mit den hier aufgeworfenen Rechtsfragen die Revision zugelassen.
Unser Tipp:
Auch wenn die Juristen streiten, ob Datenschutzverletzungen von Mitbewerbern abgemahnt werden können, sollten Unternehmer sich nicht angreifbar machen. Vor allem darf nicht aus den Augen verloren werden, dass jüngst erst in Baden-Württemberg gegen ein Unternehmen, auf dessen unverschlüsselt abgespeicherte Kundendaten von einem Dritten zugegriffen werden konnte, ein Bußgeld in Höhe von 20.000 Euro verhängt wurde. Dabei wurde das Bußgeld nur deshalb nicht höher bemessen, weil das Unternehmen konstruktiv mit der Datenschutz-Aufsichtsbehörde zusammengearbeitet und massiv in die eigene IT-Sicherheit investiert hat.
Unsere IT-Compliance-Workshops können Ihnen nicht nur gängige Maßnahmen zu Datenschutz und Datensicherheit aufzeigen. Sie können sie auch mit auf den Weg nehmen, eine Zertifizierung Ihres Unternehmens in puncto Datensicherheit zielführend vorzubereiten!
Quellen:
OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17 – http://www.landesrecht-hamburg.de/jportal/portal/page/bsharprod.psml?showdoccase=1&doc.id=KORE227602018&st=ent (abgerufen am 10.12.2018).
PM des LfDI Baden-Württemberg vom 22.11.2018: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf (abgerufen am 10.12.2018).
