Wann droht mir eine Abmahnung?

Die Nichterfüllung der DSGVO kann für Unternehmen schwerwiegende, finanzielle Folgen haben. Unannehmlichkeiten drohen dabei allerdings nicht nur von behördlicher Seite.

 

Die Umsetzung der datenschutzrechtlich relevanten Prozesse auf die Anforderungen der europäischen Datenschutzgrundverordnung (EU-DSGVO) stellt für viele Unternehmen aktuell einen Wettlauf mit der Zeit dar, denn ab dem 25. Mai 2018 müssen diese Vorgaben von allen Unternehmen und Organisationen eingehalten werden. Befeuert wird die Hysterie oftmals durch die drohenden Bußgelder, die bei einem Verstoß gegen die Vorgaben der DSGVO von den Aufsichtsbehörden verhängt werden können.

Neben den Aufsichtsbehörden kann aber auch Ungemach von einer weiteren Seite drohen, nämlich von direkten Mitbewerbern oder von Wettbewerbs- und Verbraucherschutzverbänden.

Diese können nach § 8 UWG wettbewerbsrechtlich relevante Datenschutzverstöße ahnden und Unterlassungs- und Beseitigungsansprüche gegen das betreffende Unternehmen oder die Organisation geltend machen. Grundsätzlich besteht auch die Möglichkeit, über § 9 UWG einen Schadensersatz geltend zu machen. Da dieser allerdings in der Regel nur schwer beziffert werden kann, spielt der Schadensersatzanspruch in der wettbewerbsrechtlichen Praxis kaum eine Rolle.

 

Drohendes Risiko der Gewinnabschöpfung

 

Wesentlich gravierender als der Schadensersatzanspruch kann sich allerdings ein Anspruch auf Gewinnabschöpfung nach § 10 UWG für das in Anspruch genommene Unternehmen auswirken. Danach muss derjenige, der vorsätzlich einen wettbewerbsrechtlich relevanten Datenschutzverstoß begangen hat und hierdurch zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt hat, diesen herausgeben. Hintergrund dieser Regelung ist, dass demjenigen, der sich wettbewerbswidrig im Markt verhält, nicht auch noch die Früchte seines Rechtsverstoßes zu Gute kommen sollten.

Anders als die Ansprüche auf Unterlassung und Beseitigung können den Anspruch auf Gewinnabschöpfung allerdings nicht auch Mitbewerber geltend machen, sondern nur Wettbewerbs- und Verbraucherschutzverbände. Zudem erfolgt die Herausgabe des zu Unrecht erzielten Gewinns nicht an den jeweiligen Wettbewerbs- oder Verbraucherschutzverband, sondern an die Bundesrepublik Deutschland. Je nach Geschäftsmodell, Umfang und Dauer des Verstoßes kann der herauszugebende Betrag jedoch eine nicht unbeachtliche Größenordnung annehmen.

Dabei ist auch zu berücksichtigen, dass (anders als bei den Bußgeldvorschriften aus der DSGVO) § 10 UWG keine Deckelung des herauszugebenden Betrages vorsieht. Vielmehr ist der gesamte Gewinn, der durch den wettbewerbsrechtlich relevanten Datenschutzverstoß erzielt wurde, an die Staatskasse abzuführen. Unternehmenskritisch wird ein solches Herausgabeverlangen immer dann, wenn der Datenschutzverstoß über einen längeren Zeitraum erfolgte, substanzielle Gewinne hierdurch erzielt wurden und diese bereits investiert wurden – sich also nicht mehr im Barvermögen des Unternehmens befinden. Dann droht im schlimmsten Fall noch die Insolvenz.

 

Wann ist ein Verstoß wettbewerbsrechtlich relevant?

 

Ein Datenschutzverstoß kann immer dann über das Wettbewerbsrecht verfolgt werden, wenn die verletzte Datenschutzvorschrift eine sogenannte Marktverhaltensregelung im Sinne von § 3a UWG darstellt. Jeder Verstoß gegen datenschutzrechtliche Bestimmungen stellt zugleich einen Wettbewerbsverstoß dar.

Mit der betreffenden datenschutzrechtlichen Vorschrift muss auch ein wettbewerbsrechtlich relevantes Thema betroffen sein. Vor dem Hintergrund, dass das Datenschutzrecht nach dem Volkszählurteil des Bundesverfassungsgericht eine besondere Ausprägung des Persönlichkeitsrecht darstellt, werden mit dem Datenschutzrecht primär persönlichkeitsrechtliche und nicht wettbewerbsrechtliche Belange berührt.

Allerdings hat sich seit der Entscheidung des Bundesverfassungsgerichts der Blick auf das Datenschutzrecht gewandelt. Zunehmend treten die persönlichkeitsrechtlichen Aspekte zugunsten wirtschaftlicher Aspekte in den Hintergrund. Der wirtschaftliche Wert personenbezogener Daten kann nicht in Zweifel gezogen werden. Ganze Geschäftsmodelle, insbesondere im Internet, basieren auf dem Austausch personenbezogener Daten. Zunehmend berührt das Datenschutzrecht damit nicht mehr nur persönlichkeitsrechtliche Aspekte, sondern zumindest auch wettbewerbsrechtliche Belange.

Gemäß § 3a UWG werden datenschutzrechtliche Vorgaben in das Wettbewerbsrecht transferiert. Die Vorschrift ist getragen von dem Gedanken, dass sich kein Akteur im Markt dadurch einen Vorsprung erschleicht, dass er eine für alle geltende Vorschrift missachtet. Voraussetzung ist das Vorliegen einer Marktverhaltensregelung die zumindest auch dazu dient, das Verhalten der einzelnen Marktteilnehmer bezüglich Angebot, Nachfrage und Vertragsanbahnung zu steuern.

Auf Grund des persönlichkeitsrechtlichen Ursprungs stehen Teile der Rechtsprechung auf dem Standpunkt, dass datenschutzrechtliche Vorschriften in keinem Fall Marktverhaltensregelungen darstellen können. Das hat zur Folge, dass eine Durchsetzung datenschutzrechtlicher Verstöße über das Wettbewerbsrecht grundsätzlich ausgeschlossen ist. Anderslautende Meinungen nehmen an, dass Datenschutzvorschriften immer auch Marktverhaltensregelungen darstellen, so dass jeder Verstoß gegen eine Bestimmung aus dem Datenschutzrecht zugleich einen Wettbewerbsverstoß darstellt.

Durchgesetzt hat sich allerdings die Auffassung, dass zu differenzieren ist, welchen Zweck eine konkrete datenschutzrechtliche Vorschrift verfolgt. Erfüllt die betreffende Vorschrift im Einzelfall die Voraussetzungen einer Marktverhaltensregelung, stellt deren Verletzung auch einen Wettbewerbsverstoß dar.

Der überwiegende Teil der Rechtsprechung neigt dazu, dieser vermittelnden Ansicht zu folgen und fragt bei der Prüfung, ob die betroffenen Daten als wirtschaftliches Gut verarbeitet werden. In diesem Fall folgt der Marktbezug aus der Kommerzialisierbarkeit der Daten. Dies trifft freilich nicht auf alle Datenverarbeitungsvorgänge zu, die im Datenschutzrecht geregelt werden. Werden die Daten allerdings zu Werbezwecken verarbeitet, besteht eine solche Kommerzialisierung, sodass die datenschutzrechtlichen Bestimmungen, die mit der Verarbeitung von personenbezogenen Daten zu Zwecken der Werbung greifen, von der überwiegenden Rechtsprechung als Marktverhaltensregelungen angesehen werden.

 

Wo Datenschutzverstöße als Fallstricke lauern

 

Viele von der Rechtsprechung bereits entschiedene Fälle bezogen sich auf Online-Sachverhalte, also die unzureichende Information im Rahmen der Datenschutzerklärung, welche die fehlende oder fehlerhafte Einholung von Einwilligungserklärung oder der Einsatz von technischen Tools, die zu einer Verarbeitung personenbezogener Daten verwendet werden, ohne die entsprechende Einwilligung des Betroffenen eingeholt zu haben.

 

Abmahnfähige Fälle:

  • keine oder fehlerhafte Informationen über die Verarbeitung der personenbezogenen Daten (z. B. im Rahmen der Datenschutzerklärung oder bei der Einholung von Einwilligungserklärungen)

  • Nutzung von Adressdaten, ohne die erforderliche Einwilligung

 

Wann erfolgt die Durchsetzung mittels einer Abmahnung?

 

Wird ein Mitbewerber oder ein Wettbewerbs- oder Verbraucherschutzverband auf den Datenschutzverstoß aufmerksam, folgt in der Regel zunächst die außergerichtliche Abmahnung des Unternehmens. Die Abmahnung dient dabei dazu, das Unternehmen auf den Verstoß aufmerksam zu machen und diesen künftig zu unterlassen. Da allerdings bereits der erstmalige Verstoß für den Abmahnenden zugleich die Gefahr einer Wiederholung des Verstoßes begründet, wird das Unternehmen zugleich aufgefordert, eine sogenannte Unterlassungserklärung abzugeben.

Mit einer solchen Erklärung verpflichtet sich das Unternehmen – unter Androhung einer angemessenen Vertragsstrafe – den gerügten Verstoß nicht erneut zu begehen. Wird die geforderte Unterlassungserklärung abgegeben, kommt zwischen den Parteien ein Unterlassungsvertrag zustande. Wiederholt das Unternehmen gleichwohl den abgemahnten Verstoß, liegt hierin nicht nur ein erneuter wettbewerbsrechtlich relevanter Datenschutzverstoß vor, sondern zugleich auch eine Verletzung des zwischen den Parteien geschlossenen Vertrages der die Zahlung der versprochenen Vertragsstrafe zur Folge hat.

Gibt das Unternehmen die geforderte Unterlassungserklärung nicht ab, ist der Mitbewerber bzw. der Wettbewerbs- oder Verbraucherschutzverband gezwungen, seine Rechte gerichtlich geltend zu machen. Dabei ist es im Wettbewerbsrecht üblich, dies im Rahmen eines sogenannten einstweiligen Verfügungsverfahrens zu machen, um in vergleichsweise kurzer Zeit einen gerichtlichen Titel zu erlangen.

Erlässt das Gericht auf den Antrag hin die entsprechende einstweilige Verfügung, wird das Unterlassungsgebot nunmehr gerichtlich angeordnet. Wiederholt das Unternehmen gleichwohl den beanstandeten Verstoß, kann ein Ordnungsmittel verhängt werden. Hierbei handelt es sich in der Regel um ein Ordnungsgeld, welches an die Staatskasse zu zahlen ist – oder Ersatzweise die Haftandrohung.

 

Das sind die Folgen:

 

Eine Reihe von Vorschriften der DSGVO, die einen konkreten Marktbezug aufweisen, sind im Sinne von § 3a UWG anzusehen und können somit bei Nichteinhaltung zu einer strafbewährten Abmahnung führen.

Unternehmen, die in die Umsetzung ihrer datenschutzrechtlich relevanten Prozesse viel Geld investiert haben und entsprechend konform sind, haben so die Möglichkeit, direkte Konkurrenten, die diesen Aufwand aus Nachlässigkeit oder mit Vorsatz nicht betrieben haben und sich dadurch einen Vorteil erschleichen, über das Wettbewerbsrecht zur Umsetzung ihrer datenschutzrechtlich relevanten Prozesse anzuhalten. 

Aufgrund drohender Vertragsstrafen sollte jedenfalls nicht vorschnell die eingeforderte Unterlassungserklärung abgegeben werden. Vielmehr sollte geprüft werden, auf welchen Sachverhalt sich der Vorwurf stützt und ob dieser zutreffend ist. Da die DSGVO für viele Neuland ist und es hierzu naturgemäß noch keine Rechtsprechung gibt, muss ebenfalls sorgfältig geprüft werden, ob der vorgeworfene Sachverhalt eine Vorschrift berührt, bei der es sich auch tatsächlich um eine Marktverhaltensregelung im Sinne von § 3a UWG handelt. Ist das nicht der Fall, weil diese entgegen der Ansicht des Abmahnenden überhaupt keinen Marktbezug aufweist, besteht bereits kein Anspruch auf Unterlassung der vorgeworfenen Handlung. In jedem Fall ist man gut beraten in solchen Fällen rechtlichen Beistand bei dem Rechtsanwalt seines Vertrauens einzufordern.

Sprechen Sie uns an

Wir helfen Ihnen gerne zu allen Fragen des Datenschutzes weiter.

Leistungen

Datenschutzberatung
Datensicherheitsberatung
Externer Datenschutzbeauftragter

Ihre Ansprechpartner

Stephan Boettger

Geschäftsführung

Revisior und zertifizierter Datenschutzbeauftragter (DSC)
Dipl.-Wirtschaftsjurist (FH)

Telefon: 0511 – 22 00 13 – 0
s.boettger@zertifizierter-datenschutzbeauftragter.com

Jens-Uwe Beyrodt

Berater

Dipl.-Ing. (FH)
Datensicherheitsberater

Telefon: 0511 – 22 00 13 – 0
j.beyrodt@zertifizierter-datenschutzbeauftragter.com