Oberlandesgerichte erachten Verstöße gegen die DSGVO überwiegend für wettbewerbswidrig – Eine BGH-Entscheidung steht noch aus
Wer gegen „Marktverhaltensregeln“ verstößt, der geht das Risiko kostenpflichtiger Abmahnungen mit der Folge der Abgabe strafbewehrter Unterlassungs-/Verpflichtungserklärungen und bei Weigerungen auch des Empfang einstweiliger Verfügungen ein. Bisher sind Abmahnungen im Bereich der Datenschutz-Grundverordnung (DSGVO) eher selten. Das kann sich bald ändern.
Die Oberlandesgerichte die sich bislang mit der Frage der Verfolgbarkeit von DSGVO-Verstößen mit den Werkzeugen des UWG befassen mussten, vertreten die Auffassung, dass Verstöße gegen die DSGVO abgemahnt werden können. Zuletzt hat sich dieser Haltung auch das OLG Stuttgart angeschlossen. Mittlerweile sieht sich auch der Bundesgerichtshof mit dieser Frage konfrontiert.
Sollte der Bundesgerichtshof ebenfalls die Auffassung vertreten, dass ein Datenschutzverstoß nach dem Wettbewerbsrecht abmahnbar ist, dürften Abmahnungen durch Mitbewerber, insbesondere aber durch Wettbewerbsverbände und Verbraucherschutzvereine in ihrer Zahl stark ansteigen. Insbesondere veröffentlichte Datenschutzerklärungen bieten dann eine Angriffsfläche.
Die Urteile der Oberlandesgerichte zu der Frage, ob ein Verstoß gegen eine Pflicht aus dem Datenschutzrecht eine abmahnfähige Wettbewerbsverletzung darstellt, häufen sich. Auffällig ist dabei, dass die Senate bislang unisono die Auffassung vertreten, Verstöße gegen Pflichten aus der DSGVO seien nach dem Wettbewerbsrecht abmahnfähig.
Auf der Ebene der Landgerichte gehen die Auffassung über die Frage der Abmahnbarkeit von Datenschutzverstößen dagegen auseinander (Auswahl bekannter Entscheidungen).
Die Oberlandesgerichte aus Stuttgart, Naumburg und Hamburg haben die Revision wegen der grundsätzlichen Bedeutung der streitigen Fragen zugelassen. Gegen das Urteil des OLG Naumburg ist die Revision bereits beim BGH anhängig. Insofern kann damit gerechnet werden, dass eine Entscheidung des BGH in Zukunft Klarheit in dieser Frage bringen wird. Wann mit dieser Entscheidung zu rechnen ist, ist allerdings unklar. Dies gilt insbesondere, da davon auszugehen ist, dass der BGH die Fragen, ob das Sanktionssystem der DSGVO abschließend ist und ob die Regelungen der DSGVO auch das Marktverhalten regeln sollen, dem Europäischen Gerichtshof vorlegen wird. In diesem Fall würde eine höchstrichterliche Entscheidung noch weiter auf sich warten lassen.
Gewichtige Stimmen sprechen sich dafür aus, dass die DSGVO ein abschließendes Rechtsdurchsetzungssystem enthält und lehnen eine parallele Anwendbarkeit der wettbewerbsrechtlichen Regelungen daher ab. In diesem Fall käme es erst gar nicht darauf an, ob die Regelungen der DSGVO als Marktverhaltensregelungen i.S.d. Wettbewerbsrechtes zu qualifizieren sind. Von den Befürwortern einer abschließenden Gestalt des DSGVO-Sanktionsregimes wird angeführt, dass die DSGVO eine vollständige Angleichung nicht nur der Voraussetzungen des Datenschutzes, sondern auch der Rechtsfolgen anstrebt und eine nationale Abweichung oder Erweiterung nur dort zulasse, wo dies durch Öffnungsklauseln ausdrücklich erlaubt sei. Dem wird entgegengehalten, dass die DSGVO hinsichtlich ihrer Rechtsdurchsetzung keine Vollharmonisierung mit Blick auf die Aktivlegitimation anstrebe, sondern lediglich Mindeststandards setzen wolle. Überdies sei das Datenschutzrecht traditionell „zweigleisig“ und verfolge daher nicht nur das Ziel des Grundrechtschutzes durch den Schutz personenbezogener Daten, sondern eben auch den Markt zu regeln (etwa durch Regelungen zur Datenportabilität).
Abmahnungen zielen auf Verstöße gegen rechtliche Pflichten, z.B. über die Erbringung bestimmter Informationen, ab. Die DSGVO verlangt von einem für die Datenverarbeitung Verantwortlichen die Erfüllung diverser Pflichten. Ob ein Verantwortlicher diese Pflichten erfüllt kann teilweise ohne besonderen Aufwand überprüft werden kann. Dazu gehören insbesondere die nachfolgenden Pflichten.
Bereits Gegenstand gerichtlicher Entscheidungen war eine fehlerhafte Datenschutzerklärung. Da diese – etwa für eine Webseite – öffentlich abrufbar bereitgehalten werden muss, kann sie von Mitbewerbern und Verbraucherschutzverbänden oder Wettbewerbsvereinen darauf hin überprüft werden, ob sie die gesetzlichen Anforderungen erfüllt.
Die Anforderungen an den Einsatz von Cookies sind u.a. durch ein Urteil des EuGH weitestgehend geklärt. Werden Cookies eingesetzt, so ist darauf bei Beginn der Datenverarbeitung hinzuweisen. Sofern eine die damit erhobenen Daten nicht nur bei Webseitenbetreiber verbleiben, sind ausdrückliche Einwilligungen einzuholen. Dies ist regelmäßig bei der Verwendung von Drittanbietertools der Fall. Ob sich der Betreiber einer Webseite daran hält, lässt sich durch einen Besuch der Webseite und einen Blick in den Programm-Code einfach nachprüfen.
Die DSGVO erlaubt die Datenverarbeitung auch ohne Einwilligung im Falle eines berechtigten, überwiegenden Interesses. Stützt sich ein Verantwortlicher auf diese Rechtsgrundlage, so hat er dem Betroffenen mitzuteilen, worin dieses berechtigte, überwiegende Interesse besteht. Diese Mitteilung erfolgt regelmäßig im Rahmen der Information über die konkrete Datenverarbeitung.
Ebenfalls vergleichsweise nachvollziehbar und für eine Abmahnung einfach dokumentierbar ist eine fehlerhafte Einwilligungserklärung. Diese wird bei vielen Gelegenheiten, z.B. im Rahmen der Bestellung von Newslettern – online abgefragt. Entspricht diese nicht den gesetzlichen Anforderungen, ist eine daraufhin erfolgende Datenverarbeitung in der Regel unzulässig. Die Aufbrauchfrist für Einwilligungserklärungen nach der EU-Datenschutzrichtlinie läuft am 25. Mai 2020 ab. Alte Erklärungen müssen dann vollständig den Maßstäben der DSGVO entsprechen.
Eingaben von Betroffenen zur Geltendmachung ihrer Rechte (z.B. Auskunft, Löschung etc.) müssen von dem Verantwortlichen innerhalb einer bestimmten Frist und in einem bestimmten Umfang bearbeitet werden. Erfolgt die Erfüllung dieser Rechte nicht binnen der gesetzlichen Frist oder im gesetzlichen Umfang, liegt ein Verstoß gegen die DSGVO vor., da der Verantwortliche zur Reaktion auf eine Betroffenenanfrage zur Geltendmachung der Rechte verpflichtet ist. Er kann sich dieser Situation also nicht entziehen.
Die Geltendmachung von Betroffenenrechten und ein Auskunftsersuchen genügt: Schon ist unter anderem bekannt, wie der internationale Datenaustausch organisiert ist. Dies betrifft den Datenaustausch in Ländern außerhalb des Europäischen Wirtschaftsraumes (EWR). Die Europäische Kommission hat nur bei einigen wenigen Ländern die Gleichwertigkeit des Datenschutzes anerkannt. Daher muss geprüft werden, ob EU-Standardvertragsklauseln korrekt vereinbart und auch implementiert wurden. Sind US-Datenempfänger nach dem Privacy Shield zertifiziert? Dies gilt für den Datenaustausch gegenüber Geschäftspartnern, aber auch im Konzern.
Prüfen Sie öffentlich einsehbare Datenschutzhinweise und damit zusammenhängende Erklärungen:
Prüfen Sie die von Ihnen verwendeten Einwilligungserklärungen:
Prüfen Sie die Struktur des internationalen Datenaustausches:
Prüfen Sie die Datenmanagement-Struktur in Ihrem Unternehmen:
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.