Neues zur Abmahnfähigkeit von DSGVO-Verstößen

Die immer höher werdende Informationsdichte im Datenschutzrecht und insbesondere bezüglich der DSGVO lässt nicht nur Laien verzweifeln. Nun ist ein Urteil gefällt worden, welches Licht ins Dunkel bringen kann. Das Oberlandesgericht Hamburg hat entschieden und bestätigt, dass Datenschutzverstöße gegen die DSGVO Wettbewerbsverletzungen sein können und daher gerichtlich durch Mitbewerber verfolgbar sind (OLG Hamburg, Urt. v. 25.10.2018 – Az.: 3 U 66/17).

Entscheidung zur Abmahnfähigkeit von DSGVO-Verstößen

Seit dem Inkrafttreten der DSGVO ist umstritten, ob die Nichteinhaltung von DSGVO-Vorgaben wettbewerbsrechtlich verfolgt werden kann. Die Verfolgung rechtswidrigen Verhaltens ist möglich, wenn es sich bei dem genannten Verhalten um einen Rechtsbruch im Sinne des § 3 a UWG handeln. Sinn dieser Regelung ist es, marktschädigendes Verhalten von Wirtschaftsakteuren unterbinden zu können. Da rechtswidrig handelnde Unternehmen sich durch ihr Verhalten einen unzulässigen Vorteil gegenüber Konkurrenten verschaffen, ist es den benachteiligten rechtstreuen Mitbewerbern über § 3 a UWG möglich, den Rechtbrechenden im Wege einer Abmahnung zur Rechtstreue zu bewegen. Aber nicht jede Vorschrift soll die Möglichkeit einer Abmahnung eröffnen. Für den Rechtsbruchtatbestand muss es sich bei der verletzten Norm um eine sogenannte  Marktverhaltensregel handeln, also eine Regel, welche die Akteure zu bestimmten Verhaltensweisen auf dem Markt zwingt. Welche Verstöße abmahnfähig sind, ist das Ergebnis einer Vielzahl von Gerichtsurteilen. Ein Beispiel für eine abmahnfähige Vorschrift ist die Impressumspflicht auf Internetseiten. Nicht dazu zählt die Pflicht, Steuern abzuführen, obwohl natürlich ein Steuerbetrüger immer einen Vorteil gegenüber seinen Konkurrenten hat. Ob es sich nun bei den Regelungen in der DSGVO um solche Marktverhaltensregeln handelt, weckt erhebliche Zweifel. Denn die DSGVO dient in erster Linie dem Schutz von personenbezogenen Daten natürlicher Personen und gerade hierfür hält die DSGVO ein eigenes Sanktionssystem bereit. Im August 2018 hat das Landgericht Bochum sich noch gegen eine marktregelnde Funktion der DSGVO ausgesprochen (Urt. v. 07.08.2018 – Az.: I-12 O 85/18), während das Landgericht Würzburg im September 2018 jene bejahte (Beschl. v. 13.09.2018 – Az.: 11 O 1741/18 UWG).

Nun hat am 25. Oktober 2018 das OLG Hamburg als erstes Oberlandesgericht entschieden, dass Verstöße gegen die DSGVO wettbewerbsrechtlich verfolgbar sind.

„Die Klägerin ist […] unter der Geltung der DS-GVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.“

Im zu entscheidenden Sachverhalt stritten zwei Pharma-Unternehmen über eine unzulässige Verarbeitung von Patientendaten.

Besteht nun eine erhöhte Gefahr der Abmahnung?

Auch die Entscheidung des Oberlandesgerichts hat nichts an der Uneinigkeit zwischen Rechtsprechung und juristischer Literatur über die Abmahnfähigkeit von Verstößen gegen die DSGVO geändert. Von Seiten des Gesetzgebers sind allerdings Maßnahmen angekündigt worden, welche missbräuchlichen Abmahnungen entgegenwirken sollen.

Es darf jedoch nicht vergessen werden, dass bei Verstößen im Rahmen von Internetpräsenzen der fliegende Gerichtsstand Anwendung findet. Das bedeutet, dass der jeweilige Abmahner seine Unterlassungsklage dort einreichen kann, wo die Rechtsprechung eine Abmahnbarkeit von DSGVO-Verstößen ermöglicht. Solange es keine klare gesetzliche Regelung gibt, wird die Wahl wohl vorerst auf Hamburg fallen.

Die Entscheidung dürfte neben regulären Internetpräsenzen wie Webseiten und Onlineshops ebenso auf Plattformangebote wie eBay, Amazon und Social-Media Profile übertragbar sein.

Sie sollten daher alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, auf Datenschutzkonformität überprüfen lassen. Hierbei empfiehlt es sich, mit den nach außen sichtbaren Verarbeitungsprozessen wie etwa Internetpräsenzen zu beginnen. Hierbei bedarf es nicht nur einer entsprechenden Datenschutzerklärung, sondern gerade auch der Prüfung auf zulässige Daten- und Weiterverarbeitung.