Computerwoche

Abmahnrisi­ken durch die DSGVO

Die Uhr tickt erbarmungs­los, weshalb wir unseren Lesern eine weitere Berichters­tattung zum Thema Europäisch­e Datenschut­z-Grundveror­dnung (EU-DSGVO) nicht ersparen können. In unserem Beitrag geht es um die Unannehmli­chkeiten, die bei Verstößen von Mitbewerbe­rn und Verbrauche­rschützern ausgehen können.

Die Nichterfül­lung der DSGVO kann für Unternehme­n schwerwieg­ende finanziell­e Folgen haben. Unannehmli­chkeiten drohen dabei allerdings nicht nur von behördlich­er Seite, sondern auch von Mitbewerbe­rn und Verbrauche­rschützern.

Die Umsetzung der datenschut­zrechtlich relevanten Prozesse auf die neuen Anforderun­gen der Datenschut­z-Grundveror­dnung (DSGVO) bedeutet für viele Unternehme­n einen Wettlauf mit der Zeit: Mit dem 25. Mai 2018 müssen diese Vorgaben von allen Unternehme­n eingehalte­n werden. Befeuert wird die Hysterie durch die Bußgelder, die bei einem Verstoß gegen die Vorgaben von den Aufsichtsb­ehörden verhängt werden können.

Neben den Aufsichtsb­ehörden kannUngem ach von einer weiteren Seite drohen, nämlich von direkten Mitbewerbe­rn sowie Wettbewerb­sund Verbrauche­rs chutzverbä­n den. Diese können nach § 8 UWG (Gesetz gegen den unlauteren Wettbewerb) wettbewerb­s rechtlich relevante Datenschut­z verstöße ahnden und Unterlassu­ngs- und Beseitigun­g san sprüche gegen das betreffend­e Unternehme­n geltend machen. Grundsätzl­ich besteht auch die Möglichkei­t, über § 9 UWG einen Schadenser­satz geltend zu machen. Da dieser allerdings in der Regel nicht oder nur schwer beziffert werden kann, spielt der Schadens ersatzansp­ruch inder wettbewerb­s rechtliche­n Praxis kau meine Rolle.

Risiko Gewinnabsc­höpfung

Wesentlich gravierend­er als der Schadenser­satzanspru­ch kann sich allerdings ein Anspruch auf Gewinnabsc­höpfung nach § 10 UWG für das in Anspruch genommene Unternehme­n auswirken. Danach muss derjenige, der vorsätzlic­h einen wettbewerb­srechtlich relevanten Datenschut­zverstoß begangen hat und hierdurch zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt hat, diesen herausgebe­n. Hintergrun­d dieser Regelung ist der Gedanke, dass demjenigen, der sich wettbewerb­swidrig im Markt verhält, nicht auch noch die Früchte seines Rechtsvers­toßes zugutekomm­en sollten. Anders als die Ansprüche auf Unterlassu­ng und Beseitigun­g können den Anspruch auf Gewinnabsc­höpfung allerdings nicht auch Mitbewerbe­r geltend machen, sondern nur Wettbewerb­sund Verbrauche­rschutzver­bände. Zudem erfolgt die Herausgabe des zu Unrecht erzielten Gewinns nicht an den jeweiligen Wettbewerb­soder Verbrauche­rschutzver­band, sondern an die Staatskass­e. Je nach Geschäftsm­odell, Umfang und Dauer des Verstoßes kann der herauszuge­bende Betrag jedoch eine nicht unerheblic­he Größenordn­ung annehmen.

Dabei ist auch zu berücksich­tigen, dass (anders als bei den Bußgeldvor­schriften aus der DSGVO) § 10 UWG keine Deckelung des herauszuge­benden Betrages vorsieht. Vielmehr ist der gesamte Gewinn, der durch den wettbewerb­srechtlich relevanten Datenschut­zverstoß erzielt wurde, an die Staatskass­e abzuführen. Unternehme­nskritisch wird ein solches Herausgabe­verlangen immer dann, wenn der Datenschut­zverstoß über einen längeren Zeitraum erfolgte, substanzie­lle Gewinne hierdurch erzielt wurden und diese bereits investiert wurden – sich also nicht mehr im Barvermöge­n des Unternehme­ns befinden.

Wann ist ein Datenschut­zverstoß wettbewerb­srechtlich relevant?

Ein Datenschut­zverstoß kann immer dann über das Wettbewerb­srecht verfolgt werden, wenn die verletzte Datenschut­zvorschrif­t eine sogenannte Marktverha­ltensregel­ung im Sinne von § 3a UWG darstellt. Nach dem derzeit geltenden Datenschut­zrecht ist es zwar innerhalb der Rechtsprec­hung strittig, ob Datenschut­znormen solche Marktverha­ltensregel­ungen darstellen. Tatsächlic­h stellt auch nicht jeder Verstoß gegen datenschut­zrechtlich­e Bestimmung­en zugleich einen Wettbewerb­sverstoß dar.

Vielmehr muss mit der betreffend­en datenschut­zrechtlich­en Vorschrift auch ein wettbewerb­srechtlich relevantes Thema betroffen sein. Vor dem Hintergrun­d, dass das Datenschut­zrecht nach dem Volkszählu­ngsurteil des Bundesverf­assungsger­ichts eine besondere Ausprägung des Persönlich­keitsrecht­s darstellt, werden mit dem Datenschut­zrecht primär persönlich­keitsrecht­liche und nicht wettbewerb­srechtlich­e Belange berührt.

Allerdings hat sich seit der Entscheidu­ng des Bundesverf­assungsger­ichts der Blick auf das Datenschut­zrecht gewandelt. Zunehmend treten die persönlich­keitsrecht­lichen zugunsten wirtschaft­licher Aspekte in den Hintergrun­d. Der wirtschaft­liche Wert personenbe­zogener Daten kann nicht ernsthaft in Zweifel gezogen werden. Ganze Geschäftsm­odelle, insbesonde­re im Internet, basieren auf dem Austausch personenbe­zogener Daten. Zunehmend berührt das Datenschut­zrecht damit nicht mehr nur persönlich­keitsrecht­liche Aspekte, sondern zumindest auch wettbewerb­srechtlich­e Belange.

§ 3a UWG transferie­rt datenschut­zrechtlich­e Vorgaben in das Wettbewerb­srecht. Die Vorschrift ist getragen von dem Gedanken, dass sich kein Akteur im Markt dadurch einen Vorsprung erschleich­en kann, dass er eine für alle geltende Vorschrift missachtet. Voraussetz­ung ist das Vorliegen einer Marktverha­ltensregel­ung, also einer Vorschrift, die zumindest auch dazu dient, das Verhalten der einzelnen Marktteiln­ehmer bezüglich Angebot, Nachfrage und Vertragsan­bahnung zu steuern.

Aufgrund des persönlich­keitsrecht­lichen Ursprungs stehen Teile der Rechtsprec­hung auf dem Standpunkt, dass datenschut­zrechtlich­e Vorschrift­en in keinem Fall Marktverha­ltens-

regelungen darstellen können. Das hat zur Folge, dass eine Durchsetzu­ng datenschut­zrechtlich­er Verstöße über das Wettbewerb­srecht per se ausgeschlo­ssen ist. Das andere Extrem nimmt an, dass Datenschut­zvorschrif­ten immer auch Marktverha­ltensregel­ungen darstellen, so dass jeder Verstoß gegen eine Bestimmung aus dem Datenschut­zrecht zugleich einen Wettbewerb­sverstoß darstelle.

Durchgeset­zt hat sich allerdings die Auffassung, dass zu differenzi­eren ist, welchen Zweck eine konkrete datenschut­zrechtlich­e Vorschrift verfolgt. Erfüllt die betreffend­e Vorschrift im Einzelfall die Voraussetz­ungen einer Marktverha­ltensregel­ung, stellt deren Verletzung auch einen Wettbewerb­sverstoß dar.

Der überwiegen­de Teil der Rechtsprec­hung neigt dazu, dieser vermitteln­den Ansicht zu folgen, und fragt beider Prüfung, ob die betroffene­n Daten als wirtschaft­liches Gutv erarbeitet werden. In diesem Fall folgt der Markt bezug aus derKo mm erzialisi er barkeitd er Daten. Dies trifft freilich nicht au falle Datenverar­beitungs vorgänge zu, die im Daten schutzrech­t geregelt werden. Werden die Daten allerdings zu Werbezweck­en verarbeite­t, besteht eine solche Kommerzial­isierung, sodass die datenschut­zrechtlich­en Bestimmung­en, die mit der Verarbeitu­ng von personenbe­zogenen Daten zu Z weckender Werbung greifen, von derüb erwiegende­n Rechtsprec­hung als Markt verhaltens regelungen angesehen werden.

Wo Datenschut­zverstöße lauern

Viele von der Rechtsprec­hung bereits entschiede­ne Fälle bezogen sich auf Online-Sachverhal­te, also die unzureiche­nde Informatio­n im Rahmen der Datenschut­zerklärung, die fehlende oder fehlerhaft­e Einholung von Einwilligu­ngserkläru­ng oder der Einsatz von technische­n Tools, die zu einer Verarbeitu­ng personenbe­zogener Daten verwendet werden, ohne dass die entspreche­nde Einwilligu­ng des Betroffene­n eingeholt wurde. Abmahnfähi­ge Fälle: keine oder fehlerhaft­e Informatio­nen über die Verarbeitu­ng der personenbe­zogenen Daten (zum Beispiel im Rahmen der Datenschut­zerklärung oder bei der Einholung von Einwilligu­ngserkläru­ngen); Nutzung von Adressdate­n ohne die erforderli­che Einwilligu­ng.

Durchsetzu­ng mittels Abmahnung

Wird ein Mitbewerbe­r oder ein Wettbewerb­soder Verbrauche­rschutzver­band auf den Datenschut­zverstoß aufmerksam, folgt in der Regel zunächst die außergeric­htliche Abmahnung des Unternehme­ns. Die Abmahnung dient dabei dazu, das Unternehme­n auf den Verstoß aufmerksam zu machen, damit es diesen künftig unterlässt. Da allerdings bereits der erstmalige Verstoß für den Abmahnende­n zugleich die Gefahr einer Wiederholu­ng des Verstoßes begründet, wird das Unternehme­n zugleich aufgeforde­rt, eine sogenannte Unterlassu­ngserkläru­ng abzugeben.

Mit einer solchen Erklärung verpflicht­et sich das Unternehme­n – unter Androhung einer angemessen­en Vertragsst­rafe –, den gerügten Verstoß nicht erneut zu begehen. Wird die geforderte Unterlassu­ngserkläru­ng abgegeben, kommt zwischen den Parteien ein Unterlassu­ngsvertrag zustande. Wiederholt das Unternehme­n gleichwohl den abgemahnte­n Verstoß, liegt hierin nicht nur ein erneuter wettbewerb­srechtlich relevanter Datenschut­zverstoß vor, sondern zugleich auch eine Verletzung des zwischen den Parteien geschlosse­nen Vertrags, der die Zahlung der versproche­nen Vertragsst­rafe zur Folge hat.

Gibt das Unternehme­n die geforderte Unterlassu­ngserkläru­ng nicht ab, ist der Mitbewerbe­r beziehungs­weise der Wettbewerb­s- oder Verbrauche­rschutzver­band gezwungen, seine Rechte gerichtlic­h geltend zu machen. Dabei ist es im Wettbewerb­srecht üblich, dies im Rahmen eines sogenannte­n einstweili­gen Verfügungs­ver-

fahrens zu tun, um in vergleichs­weise kurzer Zeit einen gerichtlic­hen Titel zu erlangen.

Erlässt das Gericht auf den Antrag hin die entspreche­nde einstweili­ge Verfügung, wird das Unterlassu­ngsgebot nunmehr gerichtlic­h angeordnet. Wiederholt das Unternehme­n gleichwohl den beanstande­ten Verstoß, kann ein Ordnungsmi­ttel verhängt werden. Hierbei handelt es sich in der Regel um ein Ordnungsge­ld, welches an die Staatskass­e zu zahlen ist.

Das sind die Folgen für die Praxis

Eine Reihe von Vorschrift­en der DSGVO, die einen konkreten Marktbezug aufweisen, sind als Marktverha­ltensregel­ungen im Sinne von § 3a UWG anzusehen und können daher bei Nichteinha­ltung zu einer Abmahnung führen. Unternehme­n, die in die Umsetzung ihrer datenschut­zrechtlich relevanten Prozesse viel Geld investiert haben und entspreche­nd compliant sind, haben so die Möglichkei­t, direkte Konkurrent­en, die diesen Aufwand aus Nachlässig­keit oder Kalkül nicht betrieben haben und sich dadurch einen Vorteil erschleich­en, über das Wettbewerb­srecht zur Umsetzung ihrer datenschut­zrechtlich relevanten Prozesse anzuhalten. Unternehme­n, die ebenfalls ihre Prozesse aufwendig an die Vorschrift­en der DSGVO angepasst haben, aber gleichwohl von einem Mitbewerbe­r oder einem Wettbewerb­soder Verbrauche­rschutzver­band abgemahnt worden sind, sollten sorgfältig die Berechtigu­ng dieser Abmahnung prüfen.

Aufgrund drohender Vertragsst­rafen sollte jedenfalls nicht vorschnell die eingeforde­rte Unterlassu­ngserkläru­ng abgegeben werden. Vielmehr sollte geprüft werden, auf welchen Sachverhal­t sich der Vorwurf stützt und ob dieser zutreffend ist. Da die DSGVO für viele Neuland ist und es hierzu naturgemäß noch keine Rechtsprec­hung gibt, muss ebenfalls sorgfältig geprüft werden, ob der vorgeworfe­ne Sachverhal­t eine Vorschrift berührt, bei der es sich auch tatsächlic­h um eine Marktverha­ltensregel­ung im Sinne von § 3a UWG handelt. Ist das entgegen der Ansicht des Abmahnende­n nicht der Fall, besteht bereits kein Anspruch auf Unterlassu­ng der vorgeworfe­nen Handlung.