Datenschutzgrundverordnung

Wo die Abmahnung droht

28.05.2018 von Michael Rath und Sebastian Laoutoumai  
Die Nichterfüllung der DSGVO kann für Unternehmen schwerwiegende, finanzielle Folgen haben. Unannehmlichkeiten drohen dabei allerdings nicht nur von behördlicher Seite.

Die Umsetzung der datenschutzrechtlich relevanten Prozesse auf die neuen Anforderungen der Datenschutzgrundverordnung (DSGVO) stellt für viele Unternehmen aktuell einen Wettlauf mit der Zeit dar, denn mit dem 25. Mai 2018 müssen diese Vorgaben von allen Unternehmen eingehalten werden. Befeuert wird die Hysterie oftmals durch die drohenden Bußgelder, die bei einem Verstoß gegen die Vorgaben der DSGVO von den Aufsichtsbehörden verhängt werden können.

Neben den Aufsichtsbehörden kann Ungemach von einer weiteren Seite drohen, nämlich von direkten Mitbewerbern oder von Wettbewerbs- und Verbraucherschutzverbänden. Diese können nach § 8 UWG wettbewerbsrechtlich relevante Datenschutzverstöße ahnden und Unterlassungs- und Beseitigungsansprüche gegen das betreffende Unternehmen geltend machen. Grundsätzlich besteht auch die Möglichkeit, über § 9 UWG einen Schadensersatz geltend zu machen. Da dieser allerdings in der Regel nicht oder nur schwer beziffert werden kann, spielt der Schadensersatzanspruch in der wettbewerbsrechtlichen Praxis kaum eine Rolle.

Die Nichtbeachtung der Regelungen der Datenschutzgrundverordnung kann nicht nur hohe Bußgelder von behördlicher Seite zur Folge haben.
Foto: Billion Photos - shutterstock.com

Risiko Gewinnabschöpfung

Wesentlich gravierender als der Schadensersatzanspruch kann sich allerdings ein Anspruch auf Gewinnabschöpfung nach § 10 UWG für das in Anspruch genommene Unternehmen auswirken. Danach muss derjenige, der vorsätzlich einen wettbewerbsrechtlich relevanten Datenschutzverstoß begangen hat und hierdurch zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt hat, diesen herausgeben. Hintergrund dieser Regelung ist der Gedanke, dass demjenigen, der sich wettbewerbswidrig im Markt verhält, nicht auch noch die Früchte seines Rechtsverstoßes zu Gute kommen sollten.

Anders als die Ansprüche auf Unterlassung und Beseitigung können den Anspruch auf Gewinnabschöpfung allerdings nicht auch Mitbewerber geltend machen, sondern nur Wettbewerbs- und Verbraucherschutzverbände. Zudem erfolgt die Herausgabe des zu Unrecht erzielten Gewinns nicht an den jeweiligen Wettbewerbs- oder Verbraucherschutzverband, sondern an die Staatskasse. Je nach Geschäftsmodell, Umfang und Dauer des Verstoßes kann der herauszugebende Betrag jedoch eine nicht unbeachtliche Größenordnung annehmen.

Dabei ist auch zu berücksichtigen, dass (anders als bei den Bußgeldvorschriften aus der DSGVO) § 10 UWG keine Deckelung des herauszugebenden Betrages vorsieht. Vielmehr ist der gesamte Gewinn, der durch den wettbewerbsrechtlich relevanten Datenschutzverstoß erzielt wurde, an die Staatskasse abzuführen. Unternehmenskritisch wird ein solches Herausgabeverlangen immer dann, wenn der Datenschutzverstoß über einen längeren Zeitraum erfolgte, substanzielle Gewinne hierdurch erzielt wurden und diese bereits investiert wurden - sich also nicht mehr im Barvermögen des Unternehmens befinden.

Wann ist ein Verstoß wettbewerbsrechtlich relevant?

Ein Datenschutzverstoß kann immer dann über das Wettbewerbsrecht verfolgt werden, wenn die verletzte Datenschutzvorschrift eine sogenannte Marktverhaltensregelung im Sinne von § 3a UWG darstellt. Nach dem derzeit geltenden Datenschutzrecht ist es zwar innerhalb der Rechtsprechung strittig, ob Datenschutznormen eben solche Marktverhaltensregelungen darstellen. Tatsächlich stellt auch nicht jeder Verstoß gegen datenschutzrechtliche Bestimmungen zugleich einen Wettbewerbsverstoß dar.

Vielmehr muss mit der betreffenden datenschutzrechtlichen Vorschrift auch ein wettbewerbsrechtlich relevantes Thema betroffen sein. Vor dem Hintergrund, dass das Datenschutzrecht nach dem Volkszählurteil des Bundesverfassungsgericht eine besondere Ausprägung des Persönlichkeitsrecht darstellt, werden mit dem Datenschutzrecht primär persönlichkeitsrechtliche und nicht wettbewerbsrechtliche Belange berührt.

Allerdings hat sich seit der Entscheidung des Bundesverfassungsgerichts der Blick auf das Datenschutzrecht gewandelt. Zunehmend treten die persönlichkeitsrechtlichen Aspekte zugunsten wirtschaftlicher Aspekte in den Hintergrund. Der wirtschaftliche Wert personenbezogener Daten kann nicht ernsthaft in Zweifel gezogen werden. Ganze Geschäftsmodelle, insbesondere im Internet, basieren auf dem Austausch personenbezogener Daten. Zunehmend berührt das Datenschutzrecht damit nicht mehr nur persönlichkeitsrechtliche Aspekte, sondern zumindest auch wettbewerbsrechtliche Belange.

§ 3a UWG transferiert datenschutzrechtliche Vorgaben in das Wettbewerbsrecht. Die Vorschrift ist getragen von dem Gedanken, dass sich kein Akteur im Markt dadurch einen Vorsprung erschleicht, dass er eine für alle geltende Vorschrift missachtet. Voraussetzung ist das Vorliegen einer Marktverhaltensregelung, also einer Vorschrift, die zumindest auch dazu dient, das Verhalten der einzelnen Marktteilnehmer bezüglich Angebot, Nachfrage und Vertragsanbahnung zu steuern.

Aufgrund des persönlichkeitsrechtlichen Ursprungs stehen Teile der Rechtsprechung auf dem Standpunkt, dass datenschutzrechtliche Vorschriften in keinem Fall Marktverhaltensregelungen darstellen können. Das hat zur Folge, dass eine Durchsetzung datenschutzrechtlicher Verstöße über das Wettbewerbsrecht per se ausgeschlossen ist. Das andere Extrem nimmt an, dass Datenschutzvorschriften immer auch Marktverhaltensregelungen darstellen, so dass jeder Verstoß gegen eine Bestimmung aus dem Datenschutzrecht zugleich einen Wettbewerbsverstoß darstelle.

Durchgesetzt hat sich allerdings die Auffassung, dass zu differenzieren ist, welchen Zweck eine konkrete datenschutzrechtliche Vorschrift verfolgt. Erfüllt die betreffende Vorschrift im Einzelfall die Voraussetzungen einer Marktverhaltensregelung, stellt deren Verletzung auch einen Wettbewerbsverstoß dar.

Der überwiegende Teil der Rechtsprechung neigt dazu, dieser vermittelnden Ansicht zu folgen und fragt bei der Prüfung, ob die betroffenen Daten als wirtschaftliches Gut verarbeitet werden. In diesem Fall folgt der Marktbezug aus der Kommerzialisierbarkeit der Daten. Dies trifft freilich nicht auf alle Datenverarbeitungsvorgänge zu, die im Datenschutzrecht geregelt werden. Werden die Daten allerdings zu Werbezwecken verarbeitet, besteht eine solche Kommerzialisierung, sodass die datenschutzrechtlichen Bestimmungen, die mit der Verarbeitung von personenbezogenen Daten zu Zwecken der Werbung greifen, von der überwiegenden Rechtsprechung als Marktverhaltensregelungen angesehen werden.

Wo Datenschutzverstöße lauern

Viele von der Rechtsprechung bereits entschiedene Fälle bezogen sich auf Online-Sachverhalte, also die unzureichende Information im Rahmen der Datenschutzerklärung, die fehlende oder fehlerhafte Einholung von Einwilligungserklärung oder der Einsatz von technischen Tools, die zu einer Verarbeitung personenbezogener Daten verwendet werden, ohne die entsprechende Einwilligung des Betroffenen eingeholt zu haben.

Abmahnfähige Fälle:

Durchsetzung mittels Abmahnung

Wird ein Mitbewerber oder ein Wettbewerbs- oder Verbraucherschutzverband auf den Datenschutzverstoß aufmerksam, folgt in der Regel zunächst die außergerichtliche Abmahnung des Unternehmens. Die Abmahnung dient dabei dazu, das Unternehmen auf den Verstoß aufmerksam zu machen und diesen künftig zu unterlassen. Da allerdings bereits der erstmalige Verstoß für den Abmahnenden zugleich die Gefahr einer Wiederholung des Verstoßes begründet, wird das Unternehmen zugleich aufgefordert, eine sogenannte Unterlassungserklärung abzugeben.

Mit einer solchen Erklärung verpflichtet sich das Unternehmen - unter Androhung einer angemessenen Vertragsstrafe - den gerügten Verstoß nicht erneut zu begehen. Wird die geforderte Unterlassungserklärung abgegeben, kommt zwischen den Parteien ein Unterlassungsvertrag zustande. Wiederholt das Unternehmen gleichwohl den abgemahnten Verstoß, liegt hierin nicht nur ein erneuter wettbewerbsrechtlich relevanter Datenschutzverstoß vor, sondern zugleich auch eine Verletzung des zwischen den Parteien geschlossenen Vertrages der die Zahlung der versprochenen Vertragsstrafe zur Folge hat.

Gibt das Unternehmen die geforderte Unterlassungserklärung nicht ab, ist der Mitbewerber bzw. der Wettbewerbs- oder Verbraucherschutzverband gezwungen, seine Rechte gerichtlich geltend zu machen. Dabei ist es im Wettbewerbsrecht üblich, dies im Rahmen eines sogenannten einstweiligen Verfügungsverfahrens zu machen, um in vergleichsweise kurzer Zeit einen gerichtlichen Titel zu erlangen.

Erlässt das Gericht auf den Antrag hin die entsprechende einstweilige Verfügung, wird das Unterlassungsgebot nunmehr gerichtlich angeordnet. Wiederholt das Unternehmen gleichwohl den beanstandeten Verstoß, kann ein Ordnungsmittel verhängt werden. Hierbei handelt es sich in der Regel um ein Ordnungsgeld, welches an die Staatskasse zu zahlen ist.

Das sind die Folgen für die Praxis

Eine Reihe von Vorschriften der DSGVO, die einen konkreten Marktbezug aufweisen, sind als Marktverhaltensregelungen im Sinne von § 3a UWG anzusehen und können daher bei Nichteinhaltung zu einer Abmahnung führen.

Unternehmen, die in die Umsetzung ihrer datenschutzrechtlich relevanten Prozesse viel Geld investiert haben und entsprechend compliant sind, haben so die Möglichkeit direkte Konkurrenten, die diesen Aufwand aus Nachlässigkeit oder Kalkül nicht betrieben haben und sich dadurch einen Vorteil erschleichen, über das Wettbewerbsrecht zur Umsetzung ihrer datenschutzrechtlich relevanten Prozesse anzuhalten. Unternehmen, die ebenfalls ihre Prozesse aufwendig an die Vorschriften der DSGVO angepasst haben, aber gleichwohl von einem Mitbewerber oder einem Wettbewerbs- oder Verbraucherschutzverband abgemahnt worden sind, sollten sorgfältig die Berechtigung dieser Abmahnung prüfen.

Aufgrund drohender Vertragsstrafen sollte jedenfalls nicht vorschnell die eingeforderte Unterlassungserklärung abgegeben werden. Vielmehr sollte geprüft werden, auf welchen Sachverhalt sich der Vorwurf stützt und ob dieser zutreffend ist. Da die DSGVO für viele Neuland ist und es hierzu naturgemäß noch keine Rechtsprechung gibt, muss ebenfalls sorgfältig geprüft werden, ob der vorgeworfene Sachverhalt eine Vorschrift berührt, bei der es sich auch tatsächlich um eine Marktverhaltensregelung im Sinne von § 3a UWG handelt. Ist das nicht der Fall, weil diese entgegen der Ansicht des Abmahnenden überhaupt keinen Marktbezug aufweist, besteht bereits kein Anspruch auf Unterlassung der vorgeworfenen Handlung.