Hand aufs Herz: Halten Sie auf Ihrer Webseite
eine Datenschutzerklärung vor, die den Anforderungen der Datenschutz-Grundverordnung
(DSGVO) genügt? Haben Sie Ihre Webseite verschlüsselt?
Aktuell ist die deutsche Gerichtswelt ordentlich in Bewegung
bezüglich der Frage, ob Verstöße gegen die DSGVO unter
wettbewerbsrechtlichen Gesichtspunkten abmahnfähig sind -
oder eben nicht. Mit dem Landgericht Würzburg (Beschluss vom
13.09.2018, 11 O 1741/18) hat sich erstmals ein deutsches Gericht
der Auffassung angeschlossen, dass Verstöße gegen die DSGVO
wettbewerbsrechtlich abmahnfähig sind und einen Unterlassungsanspruch
begründen. Damit hat das Landgericht Würzburg eine gegenteilige
Auffassung zum Landgericht Bochum einen knappen Monat vorher vertreten
(Urt. v. 07.08.2018 - 12 O 85/18). Jetzt hat sich mit dem OLG
Hamburg das erste deutsche Oberlandesgericht für eine wettbewerbsrechtliche
Abmahnfähigkeit von Verstößen gegen die DSGVO ausgesprochen
(Urt. v. 25.10.2018 - Az.: 3 U 66/17). Allerdings erkennt das
Hamburger Gericht in dem von ihnen zu entscheidenden Fall keinen unmittelbaren
Wettbewerbsvorteil.
Für das tägliche
Leben mit den neuen datenschutzrechtlichen Regeln bedeutet dies vor
allem eines: Rechtsunsicherheit! Aber lassen Sie uns - ausgehend
von dem Fall, den das LG Würzburg zu entscheiden hat -
einen genauen Blick auf den Stand des Meinungsstreits werfen.
Was ist geschehen? - Die Ausgangslage
im Würzburger Fall
Eine Rechtsanwältin hat eine Abmahnung eines anderen
Rechtsanwalts erhalten. Dieser wirft ihr vor, sie halte keine zulässige
Datenschutzerklärung auf ihrer Webseite vor, insbesondere fehlten
Angaben
 |
zur nach Art. 4 Nr. 7 DSGVO datenschutzrechtlich
Verantwortlichen,
|
 |
zur Erhebung und Speicherung personenbezogener
Daten durch die Webseite sowie zu den Zwecken und Mitteln der Datenverarbeitung,
|
 |
zur Weitergabe von Daten an Dritte, über
Cookies oder Analysetools,
|
 |
zu Hinweisen auf die Betroffenenrechte nach
der DSGVO.
|
Damit verstoße sie gegen ihre
Informationspflicht aus Art. 13 DSGVO und somit gegen § 3a UWG.
Weiter habe sie das auf ihrer Webseite befindliche Kontaktformular
nicht verschlüsselt und verstoße so gegen Art. 32 DSGVO
und § 64 BDSG.
Sie soll eine Unterlassungserklärung
abgeben und Anwaltsgebühren nach einem Streitwert i. H. v.
6.000 € ersetzen.
Die Rechtsanwältin
ist konsterniert: Sie wolle lediglich über ihr Angebot informieren
und versende "ganz sicher" keine Daten von ihrer Webseite.
Ihre Datenschutzerklärung umfasst daher ganze sieben Zeilen.
Und was das mit der "SSL-Verschlüsselung" solle,
verstehe sie nicht. Sie versende doch auch wie bisher ganz normal
unverschlüsselte E-Mails.
Welche Argumente hat das LG Würzburg?
- Die Entscheidung
Das LG Würzburg hat dem Antrag des abmahnenden Rechtsanwalts
im vollen Umfang stattgegeben (Beschluss vom 13.09.2018, 11 O 1741/18):
"Dem Antragsteller steht ein
Verfügungsanspruch auf Unterlassung zu, da der Antragsteller
glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer
Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens
seit 25.05.2018 umzusetzen ist, verstößt. Die im Impressum
der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung
genügt der neuen DSGVO nicht."
|
Ohne nähere Begründung und mit Verweis auf zwei
ältere Entscheidungen vertritt das LG Würzburg die Auffassung,
ein Verstoß gegen Normen der DSGVO sei unter Mitbewerbern auch
ein Verstoß gegen Lauterkeitsrecht:
"Mit dem OLG Hamburg (3 U 26/12)
und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon
aus, dass es sich bei den Vorschriften, gegen die hier verstoßen
wurde, um Verstöße gegen das Wettbewerbsrecht gemäß
§ 4 Nr. 11 UWG bzw. jetzt § 3a UWG darstellt und somit vom
Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten
erhebt, wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars
auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über
ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung
der Homepage erforderlich, die hier fehlt."
|
Wo eine Meinung ist, ist auch eine Gegenmeinung!
- Die Analyse
Der Befund überrascht zunächst nicht: Wer als
Rechtsanwalt (!) eine Datenschutzerklärung, die ganze sieben
Zeilen umfasst, auf seine Seite stellt, scheint in den vergangenen
Monaten heftiger DSGVO-Diskussionen auf einem anderen Planeten gewesen
zu sein.
Auch muss jeder Webseitenbetreiber
wissen, dass ein auf der Webseite vorgehaltenes Kontaktformular ihm
rechtliche Aufklärungspflichten auferlegt (OLG Köln, Urt.
v. 11.03.2016 - 6 U 121/15).
Viel mehr
erstaunt, dass das LG Würzburg ohne Weiteres meint, dass ein
solcher Verstoß abgemahnt werden kann.
Schon zur alten Rechtslage - vor Inkrafttreten der DSGVO -
war umstritten, ob ein Verstoß gegen Datenschutzvorschriften
wettbewerbswidrig sein könne. § 3a UWG stellt darauf ab,
ob die Norm, gegen die verstoßen wird, "auch dazu bestimmt
ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln".
Dies ist überaus streitig:
Die DSGVO ist
ein europäisches Rechtswerk. Sie selbst sieht nicht vor, dass
Mitbewerber andere Wettbewerber abmahnen können. Art. 80 Abs.
2 DSGVO erlaubt dies lediglich Verbraucher- und Datenschutzverbänden.
Das spricht dafür, dass dies abschließend von Seiten des
europäischen Gesetzgebers so sein und gerade kein Rückgriff
auf das UWG möglich sein soll.
Genau so
sieht es das LG Bochum (Urt. v. 07.08.2018 - 12 O 85/18) in
einem jüngst bekannt gewordenen Urteil:
"Dafür spricht insbesondere,
dass die Datenschutzgrundverordnung eine detaillierte Regelung des
anspruchsberechtigten Personenkreises enthält. Danach steht nicht
jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen
Person zu, sondern nur bestimmten Einrichtungen, Organisationen und
Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen.
Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung
auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler,
ZD 2018, 337, 338)."
|
Das OLG Hamburg wiederum kommt in seinem jetzt Anfang November
bekannt gewordenen Urteil (Urt. v. 25.10.2018 - Az.: 3 U 66/17)
zu einem analogen Ergebnis wie das LG Würzburg:
"Der Senat ist entgegen der von
der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DS-GVO
ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung
datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher
Grundlage durch Mitbewerber ausschlösse."
|
Der Senat sieht in Art. 80 DSGVO keine abschließende
Regelung der Sanktionierungsmaßnahmen. Vielmehr verweist er
u.a. auf Art. 82 DSGVO, nach dem "jeder Person" Schadensersatzansprüche
zustünden, die durch einen Verstoß gegen die DSGVO einen
Schaden erlitten hat. Dies spräche klar dafür, dass der
europäische Gesetzgeber die Verfolgung von datenschutzrechtlichen
Verletzungshandlungen durch "eine andere als die betroffene
Person (deren Daten verarbeitet werden)", gerade nicht in der
DSGVO selbst abschließend regeln wollte. Diesbezüglich
führt das Urteil aus:
"Dagegen wird zur Recht eingewendet,
dass Art. 80 Abs. 2 DS-GVO die Frage der Verbandsklage regeln will,
aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung
durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax
2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür
spricht auch, dass zwar in den Artt. 77-79 DS-GVO Rechtsbehelfe betroffener
Personen (Artt. 77, 78 Abs. 2, 79 DS-GVO) oder jeder anderen Person
(Art. 78 Abs. 1 DS-GVO) geregelt sind, insoweit aber stets unbeschadet
eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art.
77 Abs. 1 DS-GVO) bzw. eines anderweitigen verwaltungsrechtlichen
oder außergerichtlichen (Artt. 78 Abs. 1 und 2, 79 Abs. 1 DS-GVO)
Rechtsbehelfs. Und Art. 82 DS-GVO spricht wiederum "jeder Person",
die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten
hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen,
dass die DS-GVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen
durch andere als die "betroffenen Personen", deren Daten
verarbeitet werden (vgl. Art. 4 Nr. 2 DS-GVO), nicht ausschließt.
|
Schließlich heißt es in
Art. 84 Abs. 1 DS-GVO, dass die Mitgliedstaaten die Vorschriften über
andere Sanktionen für Verstöße gegen diese Verordnung
- insbesondere für Verstöße, die keiner Geldbuße
gemäß Artikel 83 unterliegen - festlegen und alle zu deren
Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen
müssen wirksam, verhältnismäßig und abschreckend
sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard
an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).
|
Der Umstand, dass die Vorschrift mit
"Sanktionen" überschrieben ist, spricht entgegen
Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung
(vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018,
Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DS-GVO,
die für jede betroffene Person auch anderweitige - also nicht
in der DS-GVO selbst geregelte - gerichtliche Rechtsbehelfe offen
lässt, sowie der Vorschrift des Art. 82 Abs. 1 DS-GVO, die nicht
nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz
einräumt, wird deutlich, dass die DS-GVO wegen anderweitiger,
in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen
offen gestaltet ist."
|
Im Ergebnis weist das OLG Hamburg die ihm vorgelegte Klage
ganz unabhängig von der grundsätzlichen Frage der Abmahnfähigkeit
mangels Vorliegen eines Wettbewerbsverstoßes ab. Dies wirft
die grundsätzliche Frage auf, ob einer Person, die nicht die
betroffene Person ist, deren Daten verarbeitet wurden, überhaupt
ein Schaden durch den Verstoß gegen die DSGVO entstehen kann.
Zu Recht dürfen wir uns an der Stelle über das obiter dictum
wundern - wenn die Frage der Abmahnfähigkeit von Verstößen
gegen die DSGVO im Ergebnis irrelevant für den in Hamburg zu
entscheidenden Fall war, warum hat sich das OLG dann derart ausführlich
damit beschäftigt?
Was ist jetzt zu tun? - Ein Fazit
Wir haben damit zwei Meinungen dreier Gerichte, die sich
gegenseitig widersprechen. Damit sind wir so klug wie zuvor. Was sagen
die Datenschutzbehörden? Hierzu folgender bemerkenswerter Tweet
des Baden-Württembergischen Landesdatenschutzbeauftragten aus
dem letzten Monat:
"Wo immer derzeit Auslegungszweifel
zur #DSGVO bestehen, sollten die Verantwortlichen weniger auf die
Aufsichtsbehörden starren, sondern selbst vernünftige und
praktikable Ergebnisse vorschlagen und umsetzen. Wenn diese vertretbar
sind, werden sich die AB nicht einmischen."
|
Mit anderen Worten: Auch die, die es wissen
sollten, wissen nichts. Und dies wird so bleiben, bis der EuGH irgendwann
ein Machtwort gesprochen hat.
Solange es aber
"die eine richtige Lösung" nicht gibt, werden Sie
selber aktiv werden müssen, um abmahnwilligen Mitbewerbern den
Wind aus den Segeln zu nehmen!
Wie können wir Sie unterstützen?
Dazu sollten Sie in einem ersten Schritt schleunigst Ihre
Webpage auf Abmahnsicherheit überprüfen. Worauf Sie hierbei
achten müssen? Wir haben Ihnen Handlungsempfehlungen und eine entsprechende Checkliste zur Überprüfung
Ihrer Webpage zusammengestellt.
Was aber,
wenn das Kind schon in den Brunnen gefallen ist und ein abmahnwilliger
Kollege Sie mit einer Abmahnung "beglückt" hat? Für
diesen Fall haben wir Ihnen die passenden Gegenargumente auf die üblichen
Abmahnargumente zusammengestellt. Sehen Sie hierzu die Mandatssituation
zur Abmahnfähigkeit unter DSGVO .