Ein oft gehörter Spruch lautet: „Zwei Juristen, drei Meinungen.“ Bei der Frage nach der Anwendbarkeit des Wettbewerbsrecht bzw. der Vorschriften aus dem UWG bei Verstößen gegen das Datenschutzrecht aus der DSGVO trifft dieser Spruch jedenfalls zu.
Aktuelle Gerichtsentscheidungen in diesem Kontext werden daher mit größter Beachtung gelesen und interpretiert, bis sich das erhoffte Bild einer herrschenden Ansicht abzeichnet.
Neben dem Landgericht Würzburg (wir berichteten) wurde vor kurzem eine Entscheidung des Hanseatischen Oberlandesgerichts in Hamburg (OLG Hamburg, Urteil vom. 25.10.2018 – Az.: 3 U 66/17) publik, in der sich die Richter mit wettbewerbsrechtlichen Vorschriften des UWG bei Verstößen gegen die DSGVO auseinandersetzen mussten. Ähnlich wie auch das LG Würzburg äußert sich das Gericht ausdrücklich zu dieser Frage und lässt grundsätzlich Ansprüche nach dem UWG zwischen Mitbewerbern in datenschutzrechtlichen Angelegenheiten zu. In erster Linie dürfte sich dies Abmahnungen nach § 8 UWG betreffen.
Die Entscheidung
Die Richter vom OLG Hamburg stellten in der Entscheidung fest, dass die DSGVO nicht „abschließend“ sei und daher zivilrechtliche Rechtsbehelfe weiterhin möglich seien.
Konkret heißt es im Wortlaut des Urteils:
„Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung (…) ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden…“
Die oftmals zitierte Auffassung des prominenten Wettbewerbsrechtlers, Prof. Dr. Köhler, der die DSGVO im Hinblick auf Sanktionsmöglichkeiten für abschließend erachtet und daher kein Platz für (zusätzliche) Rechtsbehelfe bzw. Abmahnungen/Klagen zwischen Unternehmen auf dem Spielfeld des Wettbewerbsrechts bei Verstößen gegen das Datenschutzrecht (DSGVO) sieht, wird hiermit klar abgelehnt.
Ferner führt das Gericht aus:
„Schließlich heißt es in Art. 84 Abs. 1 DS-GVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.)“.
Die Argumente überzeugen in der Sache und sind als Fingerzeig zu werten. Die Missachtung der Regelungen aus der DSGVO könnten dadurch also weitaus schwerwiegendere Folgen mit sich bringen. Es bleibt dennoch abzuwarten, wie andere Gerichte in Zukunft in diesen Fällen entscheiden werden. Ferner ist noch nicht absehbar, ob sich der deutsche Gesetzgeber oder aber die EU-Kommission hierzu noch deutlicher äußern und ggfs. Anpassungen der Rechtslage vornehmen werden. Hierüber wird seit Monaten immer wieder in den Medien spekuliert.
Einen guten Überblick über diesen Streitstand sowie einen ersten Ausblick liefert unser vorheriger Beitrag.
Weitere Voraussetzungen im Wettbewerbsrecht
Mit der Entscheidung des OLG hatte der Kläger jedoch dennoch keinen Erfolg, da die Klage mangels Wettbewerbsverstoßes des Beklagten abgelehnt wurde. Die vorgetragene Norm aus dem damals geltenden BDSG (§ 28 Abs. 7 BDSG a.F. ) sei keine marktverhaltensregelnde Vorschrift.
Dies zeigt, dass selbst unter Annahme eines Rechtsbefehls nach dem UWG bei Verstößen gegen die datenschutzrechtlichen Bestimmungen aus der DSGVO nicht gleich jedes Vorgehen erfolgreich ist, sondern noch zusätzliche Hürden zu bewältigen sind. Auch die Schwelle des Verstoßes, beispielsweise das ob durch Nichteinhaltung einer DSGVO Norm oder lediglich die fehlerhafte Umsetzung derselben, dürfte von Bedeutung sein.
Und zu guter Letzt der Hinweis: Wer die Vorgaben aus der DSGVO vernünftig und angemessen gut umsetzt, wird nur wenig Angriffe von Mitbewerbern befürchten müssen. Der Einsatz eines Datenschutzbeauftragten hilft also doppelt.