Die Umsetzung der datenschutzrechtlich relevanten Prozesse auf die neuen Anforderungen der Datenschutzgrundverordnung (DSGVO) stellt für viele Unternehmen aktuell einen Wettlauf mit der Zeit dar, denn mit dem 25. Mai 2018 müssen diese von allen Unternehmen erfüllt und eingehalten werden. Befeuert wird die Hysterie oftmals durch die drohenden Bußgelder, die bei einem Verstoß gegen die Vorgaben der DSGVO verhängt werden können. Die Verhängung der Bußgelder setzt allerdings ein aufsichtsbehördliches Einschreiten gegen ein Unternehmen voraus. Ob tatsächlich ein flächendeckendes Einschreiten durch die Aufsichtsbehörden unmittelbar mit Ende der Umsetzungsfrist droht, bleibt abzuwarten, setzt dies doch bei den jeweiligen Behörden entsprechende personelle Ressourcen voraus.

Drohen Abmahnungen von Mitbewerbern und Wettbewerbsverbände?

Ungemach kann allerdings bereits mit dem ersten Tag, an dem die Umsetzung abgeschlossen sein muss, von einer ganz anderen Seite drohen, nämlich von direkten Mitbewerbern oder von Wettbewerbs- und Verbraucherschutzverbänden. Diese können nach § 8 UWG wettbewerbsrechtlich relevante Datenschutzverstöße ahnden und Unterlassungs- und Beseitigungsansprüche gegen das betreffende Unternehmen geltend machen. Grundsätzlich besteht auch die Möglichkeit, über § 9 UWG einen Schadensersatz geltend zu machen. Da dieser allerdings in der Regel nicht oder nur schwer beziffert werden kann, spielt der Schadensersatzanspruch in der wettbewerbsrechtlichen Praxis kaum eine Rolle.

Das Risiko der Gewinnabschöpfung

Wesentlich gravierender als der nicht bezifferbare Schadensersatzanspruch, kann sich allerdings ein Anspruch auf Gewinnabschöpfung nach § 10 UWG für das in Anspruch genommene Unternehmen auswirken. Danach muss derjenige, der die beanstandete unzulässige geschäftliche Handlung vorsätzlich begangen hat, also vorsätzlich einen wettbewerbsrechtlich relevanten Datenschutzverstoß begangen hat und hierdurch zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt hat, diesen herausgeben. Hintergrund dieser Regelung ist der Gedanke, dass demjenigen, der sich wettbewerbswidrig im Markt verhält, nicht auch die Früchte seines Rechtsverstoß behalten solle.

Anders als die Ansprüche auf Unterlassung und Beseitigung können den Anspruch auf Gewinnabschöpfung allerdings nicht auch Mitbewerber geltend machen sondern nur Wettbewerbs- und Verbraucherschutzverbände. Zudem erfolgt die Herausgabe des zu Unrecht erzielten Gewinns nicht an den jeweiligen Wettbewerbs- oder Verbraucherschutzverband, sondern an die Staatskasse. Je nach Geschäftsmodell, Umfang und Dauer des Verstoßes kann der herauszugebende Betrag jedoch eine nicht unbeachtliche Größenordnung annehmen. Dabei ist auch zu berücksichtigen, dass anders als bei den Bußgeldvorschriften aus der DSGVO § 10 UWG keine Deckelung des herauszugebenden Betrages vorsieht. Vielmehr ist der gesamte Gewinn, der durch den wettbewerbsrechtlich relevanten Datenschutzverstoß erzielt wurde, an die Staatskasse abzuführen. Unternehmenskritisch wird ein solches Herausgabeverlangen immer dann, wenn der Datenschutzverstoß über einen längeren Zeitraum erfolgte, substantielle Gewinne hierdurch erzielt wurden und diese bereits investiert wurden, sich also nicht mehr im Barvermögen des Unternehmens befinden.

Wann ist ein Datenschutzverstoß wettbewerbsrechtlich relevant?

Ein Datenschutzverstoß kann immer dann über das Wettbewerbsrecht verfolgt werden, wenn die verletzte Datenschutzvorschrift eine sogenannte Marktverhaltensregelung im Sinne von § 3a UWG darstellt. Nach dem derzeit geltenden Datenschutzrecht ist es zwar innerhalb der Rechtsprechung strittig, ob Datenschutznormen eben solche Marktverhaltensregelungen darstellen. Tatsächlich stellt auch nicht jeder Verstoß gegen datenschutzrechtliche Bestimmungen zugleich einen Wettbewerbsverstoß dar. Vielmehr muss mit der betreffenden datenschutzrechtlichen Vorschrift auch ein wettbewerbsrechtlich relevantes Thema betroffen sein. Vor dem Hintergrund, dass das Datenschutzrecht nach dem Volkszählurteil des Bundesverfassungsgericht eine besondere Ausprägung des Persönlichkeitsrecht darstellt, werden mit dem Datenschutzrecht primär persönlichkeitsrechtliche und nicht wettbewerbsrechtliche Belange berührt. Allerdings hat sich seit der Entscheidung des Bundesverfassungsgericht der Blick auf das Datenschutzrecht gewandelt. Zunehmend treten die persönlichkeitsrechtlichen Aspekte zugunsten wirtschaftlicher Aspekte in den Hintergrund. Der wirtschaftliche Wert personenbezogener Daten kann nicht ernsthaft in Zweifel gezogen werden. Ganze Geschäftsmodelle, insbesondere im Internet, basieren auf dem Austausch von personenbezogener Daten. Zunehmend berührt das Datenschutzrecht damit nicht mehr nur persönlichkeitsrechtliche Aspekte, sondern zumindest auch wettbewerbsrechtliche Belange.

3a UWG transferiert datenschutzrechtliche Vorgaben in das Wettbewerbsrecht. Die Vorschrift ist getragen von dem Gedanken, dass sich kein Akteur im Markt dadurch einen Vorsprung erschleicht, in dem er eine für alle geltende Vorschrift missachtet. Voraussetzung ist das Vorliegen einer Marktverhaltensregelung, also einer Vorschrift, die zumindest auch dazu dient, das Verhalten der einzelnen Marktteilnehmer bezüglich Angebot, Nachfrage und Vertragsanbahnung zu steuern. Aufgrund des persönlichkeitsrechtlichen Ursprungs stehen Teile der Rechtsprechung auf dem Standpunkt, dass datenschutzrechtliche Vorschriften in keinem Fall Marktverhaltensregelungen darstellen können, mit der Folge, dass eine Durchsetzung datenschutzrechtlicher Verstöße über das Wettbewerbsrecht per se ausgeschlossen ist. Das andere Extrem nimmt an, dass Datenschutzvorschriften immer auch Marktverhaltensregelungen darstellen, sodass jeder Verstoß gegen eine Bestimmung aus dem Datenschutzrecht zugleich einen Wettbewerbsverstoß darstelle.

Nicht jeder Datenschutzverstoß ist wettbewerbsrelevant, aber einige!

Durchgesetzt hat sich allerdings die Auffassung, dass zu differenzieren ist, welchen Zweck eine konkrete datenschutzrechtliche Vorschrift verfolge. Erfüllt die betreffende Vorschrift im Einzelfall die Voraussetzungen einer Marktverhaltensregelung, stellt deren Verletzung auch einen Wettbewerbsverstoß dar. Der überwiegende Teil der Rechtsprechung neigt dazu, dieser vermittelnden Ansicht zu folgen und fragt bei der Prüfung, ob die betroffenen Daten als wirtschaftliches Gut verarbeitet werden. In diesem Fall folgt der Marktbezug aus der Kommerzialisierbarkeit der Daten. Dies trifft freilich nicht auf alle Datenverarbeitungsvorgänge zu, die im Datenschutzrecht geregelt werden. Werden die Daten allerdings zu Werbezwecken verarbeitet, besteht eine solche Kommerzialisierung, sodass die datenschutzrechtlichen Bestimmungen, die sich mit der Verarbeitung von personenbezogenen Daten zu Zwecken der Werbung von der überwiegenden Rechtsprechung als Marktverhaltensregelungen angesehen werden.

Relevant sind dabei regelmäßig folgende Konstellationen:

  • keine oder fehlerhafte Informationen über die Verarbeitung der personenbezogenen Daten (z.B. im Rahmen der Datenschutzerklärung, bei der Einholung von Einwilligungserklärungen);
  • Nutzung von Adressdaten, ohne die erforderliche Einwilligung.

Insbesondere im Internet lauern Datenschutzverstöße

Viele von der Rechtsprechung bereits entschiedenen Fälle bezogen sich auf Online-Sachverhalte, also die unzureichende Information im Rahmen der Datenschutzerklärung, die fehlende oder fehlerhafte Einholung von Einwilligungserklärung oder der Einsatz von technischen Tools, die zu einer Verarbeitung personenbezogener Daten verwendet werden, ohne die entsprechende Einwilligung des Betroffenen eingeholt zu haben.

Durchsetzung mittels Abmahnung

Wird ein Mitbewerber oder ein Wettbewerbs- oder Verbraucherschutzverband auf den Datenschutzverstoß aufmerksam, folgt in der Regel zunächst die außergerichtliche Abmahnung des Unternehmens. Die Abmahnung dient dabei das Unternehmen auf den Verstoß aufmerksam zu machen und diesen künftig zu Unterlassen. Da allerdings bereits der erstmalige Verstoß für den Abmahnenden zugleich die Gefahr einer Wiederholung des Verstoßes begründet, wird das Unternehmen zugleich aufgefordert, eine sogenannte Unterlassungserklärung abzugeben. Mit einer solchen Erklärung verpflichtet sich das Unternehmen, unter Androhung einer angemessenen Vertragsstrafe, den gerügten Verstoß nicht erneut zu begehen. Wird die geforderte Unterlassungserklärung abgegeben, kommt zwischen den Parteien ein Unterlassungsvertrag zustanden. Wiederholt das Unternehmen gleichwohl den abgemahnten Verstoß, liegt hierin nicht nur ein erneuter wettbewerbsrechtlich relevanter Datenschutzverstoß. Hierin liegt zugleich eine Verletzung des zwischen den Parteien geschlossenen Vertrages der die Zahlung der versprochenen Vertragsstrafe zur Folge hat.

Die einstweilige Verfügung: Schneller gerichtlicher Rechtsschutz

Gibt das Unternehmen die geforderte Unterlassungserklärung nicht ab, ist der Mitbewerber bzw. der Wettbewerbs- oder Verbraucherschutzverband gezwungen, seine Rechte gerichtlich geltend zu machen. Dabei ist es im Wettbewerbsrecht üblich, dies im Rahmen eines sogenannten einstweiligen Verfügungsverfahren zu machen, um in vergleichsweise kurzer Zeit einen gerichtlichen Titel zu erlangen. Erlässt das Gericht auf den Antrag hin die entsprechende einstweilige Verfügung, wird das Unterlassungsgebot nunmehr gerichtlich angeordnet. Wiederholt das Unternehmen gleichwohl den beanstandeten Verstoße, kann ein Ordnungsmittel verhängt werden. Hierbei handelt es sich in der Regel um ein Ordnungsgeld, welches an die Staatskasse zu zahlen ist.

Folgen für die Praxis

Auch wenn sich die aktuelle Rechtsprechung bislang noch nicht mit der Frage befassen musste, ob auch die Vorschriften der DSGVO über das deutsche Wettbewerbsrecht geltend gemacht werden können, so spricht doch vieles dafür, dass auch die Vorschriften der DSGVO, die einen konkreten Marktbezug aufweisen, als Marktverhaltensregelungen im Sinne von § 3a UWG anzusehen sind.

Unternehmen, die in die Umsetzung ihrer datenschutzrechtlich relevanten Prozesse viel Geld investiert haben und entsprechend compliant sind, haben so die Möglichkeit, direkte Konkurrenten, die diesen Aufwand aus Nachlässigkeit oder Kalkül nicht betrieben haben und sich dadurch einen Vorteil erschleichen, über das Wettbewerbsrecht zur Umsetzung ihrer datenschutzrechtlich relevanten Prozesse anzuhalten.

Unternehmen, die ebenfalls ihre Prozesse aufwendig an die Vorschriften der DSGVO angepasst haben aber gleichwohl von einem Mitbewerber oder einem Wettbewerbs- oder Verbraucherschutzverband abgemahnt worden sind, sollten sorgfältig die Berechtigung dieser Abmahnung prüfen. Aufgrund drohender Vertragsstrafen sollte jedenfalls nicht vorschnell die eingeforderte Unterlassungserklärung abgegeben werden. Vielmehr sollte geprüft werden, auf welchen Sachverhalt sich der Vorwurf stütz und ob der vorgeworfene Sachverhalt zutreffend ist. Da die DSGVO für viele Neuland ist und es hierzu gezwungenermaßen noch keine Rechtsprechung gibt, muss ebenfalls sorgfältig geprüft werden, ob der vorgeworfene Sachverhalt eine Vorschrift berührt, bei der es sich auch tatsächlich um eine Marktverhaltensregelung im Sinne von § 3a UWG handelt. Ist das nicht der Fall, weil diese entgegen der Ansicht des Abmahnenden überhaupt keinen Marktbezug aufweist, besteht bereits kein Anspruch auf Unterlassung der vorgeworfenen Handlung.

 

Der Beitrag auch in der computerwoche: Wo die Abmahnung droht.

Veröffentlicht von Sebastian Laoutoumai

Rechtsanwalt und Fachanwalt für IT-Recht, Löffel Abrar Rechtsanwälte

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

Gravatar
WordPress.com-Logo

Du kommentierst mit deinem WordPress.com-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit deinem Facebook-Konto. Abmelden /  Ändern )

Abbrechen

Verbinde mit %s