Drohen wettbewerbsrechtliche Abmahnungen wegen Verstössen gegen die Datenschutzgrundverordnung (DSGVO)?

Waren die Berichte über die angeblich rollende Abmahnwelle – wenn nicht gar eine Abmahnflut – des vergangenen Monats nur Panikmache oder muss man als Unternehmer seit dem 25.5.2018 tatsächlich befürchten, jederzeit wegen auch nur des kleinsten Verstoßes gegen das neue Datenschutzrecht abgemahnt zu werden? Angesichts der um sich zu greifen scheinenden Panik ist sogar die Politik bereits auf den Plan gerufen, um kleine und mittelständische Unternehmen vor den drohenden Massenabmahnungen zu schützen. Aber ist das überhaupt nötig? Können Wettbewerber sich mit Geltungsbeginn der DSGVO nun tatsächlich auch dann gegenseitig das Leben schwer machen, wenn gegen die DSGVO verstoßen wird?

I. Erste Abmahnungen: ja - Massenabmahnungen: bisher nein

Auch unsere Kanzlei haben einige wenige datenschutzrechtliche Abmahnungen erreicht und auch Kollegen anderer Kanzleien wissen von ersten einzelnen Fällen zu berichten. Insgesamt ist die Anzahl aber eher gering und die Qualität der Abmahnungen überschaubar bis hin zu unseriös. So verlangt ein Abmahner die Zahlung der stolzen „Schmerzensgeld“-Summe i.H.v. von 12.500 EUR, weil er „personal distress“ durch das Fehlen einer SSL-Verschlüsselung seiner über ein Online-Kontaktformular des Mandanten versendeten Anfrage erlitten habe. Abgesehen davon, dass eine solche Verschlüsselung inzwischen tatsächlich zum Stand der Technik gehört und ihr Einsatz jedem Online-Anbieter dringend anzuraten ist – nicht mal eine im Wettbewerbsrecht obligatorische strafbewehrte Unterlassungserklärung zu fordern, sondern stattdessen ohne Darlegung einer belastbaren Rechtsgrundlage direkt ein Schmerzensgeld geltend zu machen, von dem ein nach einem Unfall erheblich Körperverletzter nur träumen kann – das muss man sich auch als Rechtsanwalt erstmal trauen.

Ohne Zweifel herrscht eine gewisse Verunsicherung über das Risiko wettbewerbsrechtlicher Abmahnungen. Dabei soll auch nicht unerwähnt bleiben, dass die wettbewerbsrechtliche Abmahnung grundsätzlich ein sinnvolles und effektives Instrument zum Erhalt eines fairen Wettbewerbs sein kann. Der folgende Beitrag soll dabei helfen, sich einen Überblick über die Rechtslage unter der DSGVO zu verschaffen – können Wettbewerber sich gegenseitig wegen Verstößen gegen Vorschriften der DSGVO abmahnen?

II. Kein Abmahnanspruch direkt aus der DSGVO

Die DSGVO selbst sieht keinen direkten Abmahnanspruch für Unternehmer vor. Dies entspricht auch dem Schutzzweck der DSGVO: diese schützt vorrangig natürliche Personen bei der Verarbeitung personenbezogener Daten. Dementsprechend räumt die Verordnung allein den Betroffenen Rechte gegen den oder die Datenverarbeiter ein und lässt Verstöße gegen das Datenschutzrecht durch die Aufsichtsbehörden ahnden.

III. Abmahnungen aus dem Unterlassungsklagengesetz

Auch das UKlaG hilft Wettbewerbern nicht wirklich weiter. Zwar kann gem. § 2 Abs. 2 Nr. 11 UKlagG auf Unterlassung und Beseitigung in Anspruch genommen werden, wer Vorschriften verletzt, die die Zulässigkeit der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder die Verarbeitung personenbezogener Daten regeln, die über einen Verbraucher erhoben wurden, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Auch dieser Anspruch steht aber gerade nicht Wettbewerbern, sondern gem. § 3 UKlaG vor allem Verbraucherschutzverbänden und ähnlichen qualifizierten Einrichtungen § 4 UKlaG, rechtsfähigen Verbänden zur Förderung gewerblicher oder selbständiger beruflicher Interessen sowie Industrie- und Handels- oder Handwerkskammern zu. Zudem bestand dieser Anspruch bereits vor Geltungsbeginn der DSGVO für Verstöße gegen das davor geltende BDSG, ohne dass die Anspruchsberechtigten hiervon in bemerkenswerter Weise Gebrauch gemacht hätten.

IV. Abmahnungen auf Grundlage des Gesetzes gegen den unlauteren Wettbewerb (UWG)

Ob Unternehmen unter Berufung auf § 8 bzw. § 9 UWG wegen Verstößen gegen das neue Datenschutzrecht Mitbewerber auf Unterlassung, Beseitigung und ggf. Schadensersatz in Anspruch nehmen können, ist auch unter Juristen hoch umstritten. Vollständige Klarheit wird hier nur die (EuGH-)Rechtsprechung schaffen können.

Als anspruchsbegründender Verstoß kommt eine Verletzung datenschutzrechtlicher Vorschriften allenfalls in Betracht, wenn diese als sog. Marktverhaltensregel i.S.d. § 3a UWG einzuordnen ist. Demzufolge handelt derjenige unlauter, der einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.

1. Bereits nach alter Rechtslage umstritten: Datenschutzbestimmungen als Marktverhaltensregel?

§ 3a UWG setzt für das Vorliegen einer Marktverhaltensregel voraus, dass diese zumindest auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Ein abmahnfähiger Verstoß muss zudem geeignet sein, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Eine Marktverhalten zielt mithin ab auf die Regelung eines Tätigwerdens auf einem Markt, das objektiv der Absatzförderung oder -bezugs dient und durch das der Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt (also z.B. Angebot und Nachfrage von Waren oder Dienstleistungen sowie Werbung oder der Abschluss und die Durchführung von Verträgen).

Ob und wenn ja welche Datenschutzbestimmungen als Marktverhaltensregelungen i.S.d. UWG anzusehen und ein Verstoß daher abmahnfähig ist, war bereits vor Geltungsbeginn der DSGVO, also nach dem alten BDSG, höchst umstritten:

-          DAGEGEN: Nach einer Ansicht könne das Datenschutzrecht in keinem Fall eine Marktverhaltensregel darstellen, weil es eben allein der Durchsetzung des Persönlichkeitsrechts als Ausdruck der informationellen Selbstbestimmung diene und eben gerade nicht der Regelung von Märkten.

-          DAFÜR: Einer anderen Meinung nach regele das Datenschutzrecht immer zumindest auch das Marktverhalten. Personenbezogene Daten würden durch Unternehmen stets im Zusammenhang mit wettbewerbsrechtlichen Interessen verarbeitet und Datenschutzvorschriften hätten wegen ihrer verbraucherschützenden Wirkung dementsprechend stets einen Wettbewerbsbezug.

-          EINZELFALLBETRACHTUNG: vermittelnd wurde der Ansatz vertreten, dass immer im Einzelfall entschieden werden müsse, ob die dem Verstoß zugrunde liegende konkrete Datenschutznorm als Marktverhaltensregel anzusehen sei. Maßgebliches Kriterium sei, ob die betroffenen personenbezogenen Daten als wirtschaftliches Gut verarbeitet werden, ob also aufgrund der Kommerzialisierbarkeit der Daten ein Marktbezug bestehe, wie er sich beispielsweise regelmäßig aus einer Nutzung zu Werbezwecken ergebe.
Nach altem Recht wurden demnach insbesondere folgende Regelungen als Marktverhaltensregeln angesehen:

  • Verwendung personenbezogener Daten zu Werbezwecken/ zum Adresshandel ohne ausreichende datenschutzrechtliche Einwilligung (§ 23 Abs. 3 BDSG-alt, § 28 Abs. 4 BDSG-alt)
  • Unvollständige Datenschutzinformationen (13 Abs. 1 TMG), wobei auch nach altem Recht nicht bei jeder Unvollständigkeit auch ein Wettbewerbsverstoß angenommen wurde, sondern dies insbesondere dann anzunehmen war, wenn über wesentliche Datenverarbeitungsvorgänge gar nicht oder gar irreführend informiert wurde.

2. Und nun? DSGVO als Marktverhaltensregel?

Das Datenschutzrecht mag mit der DSGVO eine erhebliche Anpassung erfahren haben, das UWG blieb von der Verordnung aber unberührt. Daher stellen sich auch nach der DSGVO überwiegend dieselben Fragen, die schon nach dem alten BDSG umstritten waren.

Voraussetzung für wettbewerbsrechtliche Abmahnungen wegen datenschutzrechtlicher Verstöße ist demnach nach wie vor, ob die konkrete Norm objektiv zumindest auch das Marktverhalten regeln soll. Dies ist bei datenschutzrechtlichen Regelungen wegen ihres Charakters als das Persönlichkeitsrecht schützende Normen auch nach neuem Recht nach wie vor umstritten. Als neue Frage stellt sich zusätzlich nun, ob die Rechtsdurchsetzung bei Datenschutzverstößen nicht durch die DSGVO bereits abschließend geregelt ist und deshalb Ansprüche aus dem UWG ausgeschlossen sind.

Es scheint weder sinnvoll, die Regelungen der DSGVO per se als Marktverhaltensregeln anzusehen noch dies generell abzulehnen. Das Wettbewerbsrecht soll Mitbewerber, die Verbraucher und sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen und zugleich das Interesse der Allgemeinheit an einem unverfälschten Wettbewerb schützen. Natürlich lässt sich vertreten, dass die DSGVO in erster Linie der Durchsetzung des Grundrechts auf Datenschutz (vgl. ErwG. 1 der DSGVO), also der Verwirklichung von Persönlichkeitsrechten natürlicher Personen gegenüber Unternehmen, dient. Es ist aber ebenso wenig zu leugnen, dass Daten inzwischen auch im Wettbewerb zwischen Unternehmen eine erhebliche Rolle spielen und auch datenschutzkonformes oder eben nonkonformes Verhalten geeignet sein kann, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Datenschutz wird vermehrt auch von Verbrauchern als Wettbewerbsfaktor wahrgenommen. Dies gilt umso mehr, als die DSGVO eben auch den freien Verkehr personenbezogener Daten regeln soll. Auch ein Blick in die Erwägungsgründe lässt zumindest ein generelles Ausscheiden der DSGVO-Normen als auch marktverhaltensregelnde Vorschriften nur schwerlich zu. So stellt ErwG 9 i.V.m. 10 der DSGVO klar, dass mit der DSGVO auch die bislang innerhalb der EU geltenden unterschiedlichen Schutzstandards behoben werden sollen, da diese Unterschiede im Schutzniveau „ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern“ können.

Ein abschließender Charakter der DSGVO für die Ahndung von Verstößen, wie er zum Teil mit Verweis auf Art. 80 Abs. 2 DSGVO angenommen wird, weil dieser hinsichtlich der Geltendmachung von Datenschutzverstößen durch andere, als die betroffene Person, abschließend sei, kann ebenfalls nicht mit ausreichender Sicherheit angenommen werden. Zumindest lässt sich dies dem Gesetz so nicht eindeutig entnehmen und es ist nur schwer nachvollziehbar, warum ein Datenschutzverstoß aus dem Anwendungsbereich des UWG herausfallen sollte, wenn darin tatsächlich ein wettbewerbswidriges Marktverhalten liegt.

Es ist daher davon auszugehen, dass wettbewerbsrechtliche Abmahnungen wegen Verstößen gegen die DSGVO grundsätzlich möglich sind. Die Wirksamkeit einer solchen Abmahnung setzt allerdings voraus, dass der Verstoß gegen eine Norm vorliegt, die zumindest auch das Marktverhalten regeln soll. Es muss also dargelegt werden, dass durch die konkrete Datenverarbeitung eine gewisse Kommerzialisierbarkeit der Daten vorliegt, die zu einem Marktbezug führt.

V. Die Abmahnung ist da - was nun?

Sollten Sie doch von einer Abmahnung wegen eines angeblichen Datenschutzverstoßes betroffen sein, gilt es folgendes zu beachten:

-          keine Panik und den Vorwurf sorgfältig prüfen

-          gar nicht zu reagieren, ist in der Regel nicht zu empfehlen. Unberechtigte Abmahnungen sollten zurückgewiesen werden. Auf der anderen Seite genügt es bei berechtigten Abmahnungen nicht, das angegriffene Verhalten einzustellen.

-          auch bei berechtigten Abmahnungen sollten Sie aber die vorformulierte Unterlassungserklärung nicht ohne kritische Durchsicht und ggf. Anpassung unterschreiben.

                Von der Gegenseite vorformulierte Unterlassungserklärungen sind in der Regel weiter             gefasst, als dies nötig wäre.

Beachten Sie: Strafbewehrte Unterlassungserklärungen sind Verträge, bei einem Verstoß dagegen überprüfen Gerichte nicht mehr, ob wirklich ein Datenschutzverstoß vorliegt, sondern nur, ob gegen die Vereinbarungen in der Unterlassungserklärung verstoßen wurde.

VI. Fazit

Von einer Abmahnwelle, der man als Unternehmer schier schutzlos ausgeliefert ist, kann keine Rede sein. Vollständig ausräumen lassen sich die Sorge vor wettbewerbsrechtlichen Abmahnungen wegen datenschutzrechtlicher Verstöße und die Unsicherheit über deren Zulässigkeit zwar nicht – Panik ist aber auch nicht angebracht.

Es kann aber mit guten Argumenten davon ausgegangen werden, dass nicht per se jeder Verstoß gegen die DSGVO auch ein nach dem Wettbewerbsrecht abmahnfähiger Verstoß ist, sondern dass stets im Einzelfall zu beurteilen ist, ob die konkrete Norm objektiv zumindest auch das Marktverhalten regeln soll und ob die sonstigen wettbewerbsrechtlichen Voraussetzungen, insbesondere die spürbare Beeinträchtigung von Verbrauchern und Mitbewerbern, gegeben sind.

Hilfreicher Ansatzpunkt sind die bereits nach dem BDSG erarbeiteten Fallgruppen. Der abmahnfähige Verstoß gegen eine Marktverhaltensregel ist also insbesondere dann wahrscheinlich, wenn

  • personenbezogene Daten zu Werbezwecken/ zum Adresshandel verwendet werden, ohne das eine den Anforderungen der Art. 7 (ggf. auch Art. 8) DSGVO entsprechende Einwilligung eingeholt wird;
  • Datenschutzinformationen gem. Art. 13, 14 DSGVO nicht vorhanden oder derart unvollständig sind, dass über wesentliche, marktrelevante Datenverarbeitungsvorgänge gar nicht oder gar irreführend informiert wird.

Hinzukommen muss in jedem Fall, dass der konkrete Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

4. Juli 2018