Das OLG Hamburg hat sich als erstes Oberlandesgericht für die Abmahnbarkeit von DSGVO-Verstößen ausgesprochen (OLG Hamburg, Urteil vom 25.10.2018, Az. 3 U 66/17, so kürzlich auch das LG Würzburg). Anders hatte zuvor noch das LG Bochum entschieden.
Die Kernaussage des OLG Hamburg
Der in der Klage kritisierte Verstoß gegen § 28 Abs. 7 BDSG (alt) konnte nicht per Abmahnung verfolgt werden, weil es sich bei dieser Vorschrift laut OLG Hamburg nicht um eine Marktverhaltensregelung handelte.
Was bedeutet das Urteil für Datenschutzerklärungen?
Früher ging das OLG Hamburg davon aus, dass § 13 TMG eine Markverhaltensregelung darstellt (vgl. OLG Hamburg, Urteil vom 27.06.2013, Az. 3 U 26/12, so auch OLG Köln, Urteil vom 11.03.2016, 6 U 121/15). Deshalb konnten fehlende oder fehlerhafte Datenschutzerklärungen als Wettbewerbsverstoß von Konkurrenten abgemahnt werden. Zum 25. Mai 2018 wurde § 13 TMG durch die Art. 13, 14 DSGVO ersetzt.
Nach dem aktuellen Urteil ist zu erwarten, dass das OLG Hamburg auch unter der DSGVO wettbewerbsrechtliche Abmahnungen gegenüber Mitbewerbern wegen Verstößen gegen Art. 13, 14 DSGVO zulassen wird.
Die Urteilsbegründung des OLG Hamburg im Detail
In der bei Löffel Abrar auszugsweise veröffentlichten und nachfolgend wiedergegebenen Urteilsbegründung setzt sich das OLG Hamburg ausführlich mit den verschiedenen Auffassungen auseinander, insbesondere der gewichtigen Meinung von Prof. Helmut Köhler, Mitherausgeber des bedeutendsten Kommentars zum Gesetz gegen den unlauteren Wettbewerb (UWG).
„Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.
Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77-79 DSGVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.
Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Art. 77-79 DSGVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DSGVO) oder jeder anderen Person (Art. 78 Abs. 1 DSGVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DSGVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DSGVO) Rechtsbehelfs. Und Art. 82 DSGVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DSGVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DSGVO), nicht ausschließt.
Schließlich heißt es in Art. 84 Abs. 1 DSGVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).
Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DSGVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DSGVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DSGVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.
Die geltend gemachten Ansprüche stehen der Klägerin indes in der Sache nicht zu […]“
Zu § 3a UWG schreibt das OLG Hamburg:
„Der Senat hat unter der Geltung des § 4 Nr. 11 UWG (jetzt § 3a UWG) einen solchen marktverhaltensregelnden Charakter in Bezug auf die Vorschrift des 13 Abs. 1 TMG unter Hinweis auf die Erwägungsgründe 6 bis 8 der DS-RL bejaht (Senat, Urt. v. 27.06.2013, 3 U 26/12, WRP 2013, 1203, Rn. 39 f.; a.A. KG, GRUR-RR 2012, 19). Dem hat sich ein Teil der Literatur (vgl. Köhler/Bornkamm/Feddersen, UWG, 36. Aufl., Rn. 1.310 b zu § 3 a UWG) und der Rechtsprechung (OLG Köln, WRP 2016, 885, Rn. 22 ff.) angeschlossen. Ein anderer Teil der Rechtsprechung geht demgegenüber davon aus, dass Datenschutznormen generell keine marktverhaltensregelnden Normen seien (OLG München, ZD 2012, 330; OLG Düsseldorf, DUD 2004, 631; OLG Frankfurt, NJW-RR 2005, 839). Dem vermag der Senat zwar nicht zu folgen. Mit der Entscheidung des Senats vom 27.06.2013 ist indes – anders als offenbar vom Landgericht angenommen – nicht schon zum Ausdruck gebracht, dass jegliche datenschutzrechtliche Norm marktverhaltensregelnden Charakter hat. In Rechtsprechung und Literatur wird inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.
Das ist in der Rechtsprechung bezogen auf die Nutzung von Daten zu Werbezwecken nach § 28 Abs. 3 BDSG a.F. bejaht worden (OLG Stuttgart, MMR 2007, 437, Rn. 27; OLG Köln, MMR 2009, 845; CR 2011, 680; ZD 2012, 421; OLG Karlsruhe, ZD 2012, 432, Rn. 34; OLG Dresden, BeckRS 2014, 15220, insoweit unklar, ob nur die dort ebenfalls allein streitige Regelung des § 28 Abs. 3 BDSG a.F. oder § 28 BDSG a.F. generell als marktverhaltensregelnd angesehen worden ist). Für § 28 Abs. 7 BDSG a.F. kann ein marktverhaltensregelnder Charakter indes nicht angenommen werden.“
Wir bieten eine besondere Lösung für Datenschutzerklärungen auf Internetseiten. Einmal per Plugin installiert, aktualisieren wir Ihre Datenschutzerklärung automatisch – mit Abmahnkostenschutz.
Scannen Sie jetzt Ihre Website auf avalex.de. Wir zeigen Ihnen nach wenigen Sekunden, welche Dienste auf der gescannten Webseite aktiv sind. Auf Wunsch können Sie im Anschluss eine avalex Datenschutzerklärung für Ihre Domain bestellen.