Abmahnbarkeit unter der DSGVO - Die ersten drei Urteile und keine Einigkeit

Hand aufs Herz: Halten Sie auf Ihrer Webseite eine Datenschutzerklärung vor, die den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügt? Haben Sie Ihre Webseite verschlüsselt?

Aktuell ist die deutsche Gerichtswelt ordentlich in Bewegung bezüglich der Frage, ob Verstöße gegen die DSGVO unter wettbewerbsrechtlichen Gesichtspunkten abmahnfähig sind - oder eben nicht. Mit dem Landgericht Würzburg (Beschluss vom 13.09.2018, 11 O 1741/18) hat sich erstmals ein deutsches Gericht der Auffassung angeschlossen, dass Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnfähig sind und einen Unterlassungsanspruch begründen. Damit hat das Landgericht Würzburg eine gegenteilige Auffassung zum Landgericht Bochum einen knappen Monat vorher vertreten (Urt. v. 07.08.2018 - 12 O 85/18). Jetzt hat sich mit dem OLG Hamburg das erste deutsche Oberlandesgericht für eine wettbewerbsrechtliche Abmahnfähigkeit von Verstößen gegen die DSGVO ausgesprochen (Urt. v. 25.10.2018 - Az.: 3 U 66/17). Allerdings erkennt das Hamburger Gericht in dem von ihnen zu entscheidenden Fall keinen unmittelbaren Wettbewerbsvorteil.

Für das tägliche Leben mit den neuen datenschutzrechtlichen Regeln bedeutet dies vor allem eines: Rechtsunsicherheit! Aber lassen Sie uns - ausgehend von dem Fall, den das LG Würzburg zu entscheiden hat - einen genauen Blick auf den Stand des Meinungsstreits werfen.

Was ist geschehen? - Die Ausgangslage im Würzburger Fall

Eine Rechtsanwältin hat eine Abmahnung eines anderen Rechtsanwalts erhalten. Dieser wirft ihr vor, sie halte keine zulässige Datenschutzerklärung auf ihrer Webseite vor, insbesondere fehlten Angaben

zur nach Art. 4 Nr. 7 DSGVO datenschutzrechtlich Verantwortlichen,

zur Erhebung und Speicherung personenbezogener Daten durch die Webseite sowie zu den Zwecken und Mitteln der Datenverarbeitung,

zur Weitergabe von Daten an Dritte, über Cookies oder Analysetools,

zu Hinweisen auf die Betroffenenrechte nach der DSGVO.

Damit verstoße sie gegen ihre Informationspflicht aus Art. 13 DSGVO und somit gegen § 3aUWG.

Weiter habe sie das auf ihrer Webseite befindliche Kontaktformular nicht verschlüsselt und verstoße so gegen Art. 32 DSGVO und § 64BDSG.

Sie soll eine Unterlassungserklärung abgeben und Anwaltsgebühren nach einem Streitwert i. H. v. 6.000 € ersetzen.

Die Rechtsanwältin ist konsterniert: Sie wolle lediglich über ihr Angebot informieren und versende "ganz sicher" keine Daten von ihrer Webseite. Ihre Datenschutzerklärung umfasst daher ganze sieben Zeilen. Und was das mit der "SSL-Verschlüsselung" solle, verstehe sie nicht. Sie versende doch auch wie bisher ganz normal unverschlüsselte E-Mails.

Welche Argumente hat das LG Würzburg? - Die Entscheidung

Das LG Würzburg hat dem Antrag des abmahnenden Rechtsanwalts im vollen Umfang stattgegeben (Beschluss vom 13.09.2018, 11 O 1741/18):

"Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, da der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist, verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht."

Ohne nähere Begründung und mit Verweis auf zwei ältere Entscheidungen vertritt das LG Würzburg die Auffassung, ein Verstoß gegen Normen der DSGVO sei unter Mitbewerbern auch ein Verstoß gegen Lauterkeitsrecht:

"Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde, um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3aUWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt, wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt."

Wo eine Meinung ist, ist auch eine Gegenmeinung! - Die Analyse

Der Befund überrascht zunächst nicht: Wer als Rechtsanwalt (!) eine Datenschutzerklärung, die ganze sieben Zeilen umfasst, auf seine Seite stellt, scheint in den vergangenen Monaten heftiger DSGVO-Diskussionen auf einem anderen Planeten gewesen zu sein.

Auch muss jeder Webseitenbetreiber wissen, dass ein auf der Webseite vorgehaltenes Kontaktformular ihm rechtliche Aufklärungspflichten auferlegt (OLG Köln, Urt. v. 11.03.2016 - 6 U 121/15).

Viel mehr erstaunt, dass das LG Würzburg ohne Weiteres meint, dass ein solcher Verstoß abgemahnt werden kann.

Schon zur alten Rechtslage - vor Inkrafttreten der DSGVO - war umstritten, ob ein Verstoß gegen Datenschutzvorschriften wettbewerbswidrig sein könne. § 3aUWG stellt darauf ab, ob die Norm, gegen die verstoßen wird, "auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln". Dies ist überaus streitig:

Die DSGVO ist ein europäisches Rechtswerk. Sie selbst sieht nicht vor, dass Mitbewerber andere Wettbewerber abmahnen können. Art. 80 Abs. 2 DSGVO erlaubt dies lediglich Verbraucher- und Datenschutzverbänden. Das spricht dafür, dass dies abschließend von Seiten des europäischen Gesetzgebers so sein und gerade kein Rückgriff auf das UWG möglich sein soll.

Genau so sieht es das LG Bochum (Urt. v. 07.08.2018 - 12 O 85/18) in einem jüngst bekannt gewordenen Urteil:

"Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338)."

Das OLG Hamburg wiederum kommt in seinem jetzt Anfang November bekannt gewordenen Urteil (Urt. v. 25.10.2018 - Az.: 3 U 66/17) zu einem analogen Ergebnis wie das LG Würzburg:

"Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse."

Der Senat sieht in Art. 80 DSGVO keine abschließende Regelung der Sanktionierungsmaßnahmen. Vielmehr verweist er u.a. auf Art. 82 DSGVO, nach dem "jeder Person" Schadensersatzansprüche zustünden, die durch einen Verstoß gegen die DSGVO einen Schaden erlitten hat. Dies spräche klar dafür, dass der europäische Gesetzgeber die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch "eine andere als die betroffene Person (deren Daten verarbeitet werden)", gerade nicht in der DSGVO selbst abschließend regeln wollte. Diesbezüglich führt das Urteil aus:

"Dagegen wird zur Recht eingewendet, dass Art. 80 Abs. 2 DS-GVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Artt. 77-79 DS-GVO Rechtsbehelfe betroffener Personen (Artt. 77, 78 Abs. 2, 79 DS-GVO) oder jeder anderen Person (Art. 78 Abs. 1 DS-GVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DS-GVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Artt. 78 Abs. 1 und 2, 79 Abs. 1 DS-GVO) Rechtsbehelfs. Und Art. 82 DS-GVO spricht wiederum "jeder Person", die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DS-GVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die "betroffenen Personen", deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DS-GVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DS-GVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung - insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen - festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).

Der Umstand, dass die Vorschrift mit "Sanktionen" überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DS-GVOBDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DS-GVO, die für jede betroffene Person auch anderweitige - also nicht in der DS-GVO selbst geregelte - gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DS-GVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DS-GVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist."

Im Ergebnis weist das OLG Hamburg die ihm vorgelegte Klage ganz unabhängig von der grundsätzlichen Frage der Abmahnfähigkeit mangels Vorliegen eines Wettbewerbsverstoßes ab. Dies wirft die grundsätzliche Frage auf, ob einer Person, die nicht die betroffene Person ist, deren Daten verarbeitet wurden, überhaupt ein Schaden durch den Verstoß gegen die DSGVO entstehen kann. Zu Recht dürfen wir uns an der Stelle über das obiter dictum wundern - wenn die Frage der Abmahnfähigkeit von Verstößen gegen die DSGVO im Ergebnis irrelevant für den in Hamburg zu entscheidenden Fall war, warum hat sich das OLG dann derart ausführlich damit beschäftigt?

Was ist jetzt zu tun? - Ein Fazit

Wir haben damit zwei Meinungen dreier Gerichte, die sich gegenseitig widersprechen. Damit sind wir so klug wie zuvor. Was sagen die Datenschutzbehörden? Hierzu folgender bemerkenswerter Tweet des Baden-Württembergischen Landesdatenschutzbeauftragten aus dem letzten Monat:

"Wo immer derzeit Auslegungszweifel zur #DSGVO bestehen, sollten die Verantwortlichen weniger auf die Aufsichtsbehörden starren, sondern selbst vernünftige und praktikable Ergebnisse vorschlagen und umsetzen. Wenn diese vertretbar sind, werden sich die AB nicht einmischen."

Mit anderen Worten: Auch die, die es wissen sollten, wissen nichts. Und dies wird so bleiben, bis der EuGH irgendwann ein Machtwort gesprochen hat.

Solange es aber "die eine richtige Lösung" nicht gibt, werden Sie selber aktiv werden müssen, um abmahnwilligen Mitbewerbern den Wind aus den Segeln zu nehmen!

Wie können wir Sie unterstützen?

Dazu sollten Sie in einem ersten Schritt schleunigst Ihre Webpage auf Abmahnsicherheit überprüfen. Worauf Sie hierbei achten müssen? Wir haben Ihnen Handlungsempfehlungen und eine entsprechende Checkliste zur Überprüfung Ihrer Webpage zusammengestellt.

Was aber, wenn das Kind schon in den Brunnen gefallen ist und ein abmahnwilliger Kollege Sie mit einer Abmahnung "beglückt" hat? Für diesen Fall haben wir Ihnen die passenden Gegenargumente auf die üblichen Abmahnargumente zusammengestellt. Sehen Sie hierzu die Mandatssituation zur Abmahnfähigkeit unter DSGVO .