Können Verstöße gegen die DSGVO auch nach dem Wettbewerbsrecht, respektive nach dem UWG abgemahnt werden? Diese Frage beschäftigt Datenschützer nicht erst seit Mai diesen Jahres. Eine große Panik machte sich mit Wirkung der DSGVO hierzulande breit und Befürchtungen über Abmahnwellen kursierten in den Medien. Selbst die Regierung strebte eilige Gesetzesänderungen an, um Abmahnungen in der aktuellen Rechtsunsicherheit durch die DSGVO einzugrenzen oder gar zu verhindern.
Nun entschied das LG Würzburg in einem Verfahren des einstweiligen Rechtsschutzes (LG Würzburg, Beschluss vom 13.09.2018, Az.: 11 O 1741/18 UWG) als erstes Gericht, dass ein Verstoß gegen die DSGVO auch eine Abmahnung nach dem UWG begründen kann.
Viele umstrittene Positionen
Nach wohl überwiegender Ansicht der Juristen ist die DSGVO abschließend und bietet neben Rechtsbehelfen auch einen sehr strengen Sanktionskatalog bei Verstößen (Art. 77 – 84 DSGVO). Dieses reichen von Beschwerden bei der Aufsichtsbehörde hin zu Bußgeldern in Millionenhöhe wie auch zum Schadensersatz. Und nach Art. 80 Abs. 2 DSGVO könnten die Mitgliedstaaten vorsehen, dass der Betroffene bei der Geltendmachung seiner Rechte sogar von einer „Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht“ vertreten werden könnte, wobei unklar ist, ob darunter auch ein Anwalt oder klagebefugter Verein fällt. Über Art. 84 DSGVO i.V.m § 42 BDSG-neu steht sogar eine Freiheitsstrafe von bis zu drei Jahren für den Handelnden im Raum. Die DSGVO beinhaltet also eine breite Vielfalt an Rechtsbehelfen und Sanktionen wie auch die Geltendmachung von Ansprüchen des Betroffenen. Deshalb wäre ein Verstoß gegen die Vorschriften der DSGVO nach dieser Auffassung hinreichend (und abschließend) durch die genannten Regelungen geahndet. Zu den Fürsprechern dieser Rechtsdogmatik zählen der prominente Wettbewerbsrechtler Prof. Dr. Köhler (in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40a und 1.74b), Jan Philipp Abrecht oder die Datenschutzbeauftragte des Landes Schleswig-Holstein, Frau Marit Hansen.
Andere Juristen verweisen auf die frühere Rechtslage nach der alten Fassung des BDSG (vor dem 25. Mai) und frühere Gerichtsentscheidungen (z.B. LG Hamburg, Beschluss vom 07.01.2016, 315 O 550/15; LG Köln, Beschluss vom 26.11.2015, Az. 33 O 230/15). Das alte BDSG ließ Verweise auf gleichrangige Bundesgesetze zu und genoss auch keinen Anwendungsvorrang. Deshalb wurden bestimmte und öffentlich ins Auge fallende Verstöße gegen das Datenschutzrecht wie beispielsweise die fehlende Datenschutzerklärung auf einer Webseite im Sinne von Art. 13 TMG als Marktverhaltensregel gewertet, was eine Abmahnung durch einen Wettbewerber auf Grundlage des UWG mit sich bringen konnte (so das OLG Hamburg, Az.: 3 U 26/12). Demnach stünden auch weiterhin andere Gesetze neben der DSGVO, die ihrerseits Ansprüche und Rechtsbehelfe bei Verstößen gegen das Datenschutzrecht begründen können.
Dabei ist es nach wie vor umstritten, ob eine Vorschrift im Datenschutzrecht überhaupt eine Marktverhaltensregelung im Sinne des UWG darstellen kann. Schließlich soll das Datenschutzrecht in Ausgestaltung der DSGVO primär das Recht des Betroffenen auf informationelle Selbstbestimmung und die persönlichen Grundrechte des Einzelnen schützen (Art. 1 Abs. 2 DSGVO lautet „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“). Hingegen zielt das UWG darauf ab, dass Mitbewerber, Verbraucher oder Marktteilnehmer vor unlauteren geschäftlichen Handlungen und ferner die Allgemeinheit vor einem unverfälschten Wettbewerb geschützt werden sollen (§ 1 UWG), was eher wirtschaftliche Interessen und den fairen Wettbewerb zwischen Unternehmen berührt. Die Zielvorgaben beider Regelungswerke weichen deshalb deutlich voneinander ab, zumal die Mitbewerber und Marktteilnehmer häufig nicht einmal der konkrete „Betroffene“ im Sinne der DSGVO sind.
Die erste Entscheidung
Nun ist vor wenigen Tagen die Entscheidung des LG Würzburg ergangen und seit kurzem öffentlich. Dies dürfte eine der ersten wettbewerbsrechtlichen Entscheidung im Zeitalter der DSGVO sein. Die Richter sahen den Anspruch im einstweiligen Rechtsschutz für begründet an, da die Antragsgegnerin wegen einer fehlerhaften Datenschutzerklärung auf ihrer Webseite und offenbar wegen eines unverschlüsselten Kontaktformulars nicht konform der DSGVO und somit unlauter handele. Auch stehe sie im Wettbewerb mit dem Antragsteller.
Mit anderen Worten: Die Vorschriften zu den Informationspflichten nach Art. 12 ff. DSGVO, die eine Datenschutzerklärung auf einer Webseite zwingend erforderlich machen, regeln auch den Umgang (von wem?) untereinander in einem Markt und schützen das Interesse der Wettbewerber als Marktteilnehmer im Sinne von § 3a UWG. Auch wurde unproblematisch ein bundesweites Wettbewerbsverhältnis zwischen den Parteien angenommen.
Die Kritik
Die Entscheidung vom LG Würzburg wurde stark kritisiert, da die Richter auf viele Fragen nicht eingingen und es an einer (tiefergehenden) Auseinandersetzung mit den obigen juristischen Argumenten vermissen lassen. Auch lässt sich inhaltlich darüber diskutieren, wie viele fehlende Angaben z.B. über Cookies und Analysetools in der Sache ausschlaggebend waren und welchen Einfluss eine fehlende Verschlüsselung eines Kontaktformulars der Webseite auf die Entscheidung hatte.
Zudem handelt es sich hierbei um einen Beschluss im einstweiligen Verfahren ohne mündliche Verhandlung, und nicht um eine umfassende Entscheidung im Hauptsacheverfahren. Das Wettbewerbsverhältnis wurde mit einem Satz bejaht.
Ein Ausblick
Der Beschluss vom LG Würzburg ist zunächst in der Welt, ein abschließendes Urteil steht wohl noch aus. Andere Gerichte könnten zu einer anderen rechtlichen Einschätzung gelangen und beispielsweise eine Sperrwirkung der DSGVO anerkennen. Eine höchstrichterliche Entscheidung steht bislang ebenfalls aus.
Allerdings ist zu konstatieren, dass ein Verstoß gegen die DSGVO unter Umständen auch von weiteren Richtern als marktverletzende Regelung im Sinne des UWG verstanden wird und Raum für Abmahnungen lässt.
Indes lässt sich darüber streiten, wann überhaupt eine Norm der DSGVO verletzt ist. Eine fehlerhafte Datenschutzerklärung könnte gegen die Transparenz- und Informationspflichten aus Art. 12 ff DSGVO verstoßen. Sprachliche oder inhaltliche Fehler könnten jedoch angesichts der unbestimmten Vorschrift nicht automatisch zu einer Verletzung führen. Auch sind zahlreiche Regelungen der DSGVO von unbestimmten Rechtsbegriffen, diversen Stellschrauben mit Ausnahmen, einer eigenen angemessenen Risikoeinschätzung des Verantwortlichen und ohnehin vom Verhältnismäßigkeitsgrundsatz geprägt. Eine fehlerhafte Umsetzung ist daher nicht gleichzeitig als ein Verstoß zu werten, insbesondere nicht als Verletzung einer Marktverhaltensregel.
Dennoch sollten Unternehmen insbesondere die offenkundigen Pflichten, die Mitbewerber, Marktteilnehmer oder Verbraucher betreffen und leicht wahrgenommen werden können, zeitnah umsetzen. Hierzu sind vorrangig die Informationspflichten und Betroffenenrechte zu zählen.