Abmahnfähigkeit von Datenschutzverstößen durch Wettbewerber

Eine der noch offenen und viel diskutierten Fragen ist die wettbewerbsrechtliche Abmahnfähigkeit von Datenschutzverstößen nach der Datenschutz-Grundverordnung (DSGVO). Im Kern geht es um drei juristische Grundfragen, die direkt mit der Intention des europäischen Verordnungsgebers zusammenhängen.

Die juristische Grundproblematik

Die Abmahnfähigkeit ist von einigen Stimmen einschließlich eines Teils der Rechtsprechung in der Vergangenheit bejaht worden. Nun scheint sich immer mehr die Ansicht durchzusetzen, dass derartige Verstöße nicht abmahnfähig sind. Anlehnend hat sich auch das Landgericht (LG) Stuttgart in einer jüngeren Entscheidung eingelassen (hier der Rechtsprechungsüberblick bisheriger Entscheidungen zu diesem Thema ).

Gegenstand der Diskussion sind auf einen wettbewerbsrechtlichen Unterlassungsanspruch gestützte Abmahnungen von Datenschutzverstößen nach § 8 Gesetz gegen den unlauteren Wettbewerb (UWG). Die Frage in solchen Fällen ist primär nicht, ob überhaupt der behauptete Datenschutzverstoß vorliegt. Stattdessen geht es darum, ob dieser Datenschutzverstoß Gegenstand eines wettbewerbsrechtlichen Anspruchs auf Unterlassen sein kann. Weiterhin wird der Anspruch nicht vom Betroffenen, sondern von einem konkurrierenden Marktteilnehmer geltend gemacht.

Die Frage dreht sich im Kern um folgende Punkte:

  • Liegt in dem Datenschutzverstoß ein marktrelevantes Verhalten im Sinne des Wettbewerbsrechts?
  • Ist der Kläger aktivlegitimiert, also besitzt er die Befugnis, einen Unterlassungsanspruch geltend zu machen, ohne selbst Betroffener zu sein?
  • Sind die Regelungsregime Wettbewerbs- und Datenschutzrecht nebeneinander anwendbar?

Ist der Datenschutzverstoß markrelevantes Verhalten?

Ein Unterlassungsbegehren kann beispielsweise auf den Betrieb einer nicht datenschutzkonformen Website oder den unrechtmäßigen Versand von Werbe-E-Mails gerichtet sein. Weil der Versand von Werbe-E-Mails in § 7 UWG explizit geregelt ist, lässt sich der Unterlassungsanspruch nach § 8 UWG auf einen solchen Verstoß ohne Probleme stützen. Hierbei ist nicht wichtig, ob diese Werbemaßnahme zugleich auch gegen Vorschriften aus der DSGVO verstößt. Im Ergebnis kann ein konkurrierender Marktteilnehmer diesen Verstoß innerhalb der rechtlichen Sphäre des Wettbewerbsrechts abmahnen, da das UWG diesen Sachverhalt regelt. Auch die Sanktionsmöglichkeiten ergeben sich hier direkt aus dem Wettbewerbsrecht.

Ein zugleich nach DSGVO bestehender Datenschutzverstoß, nämlich der Versand von E-Mails ohne Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO, lässt sich darüber hinaus von dem jeweiligen Werbeadressat im Zuge der Sanktionsmöglichkeiten der DSGVO angreifen. Für den Betroffenen selbst besteht unter anderem die Möglichkeit der Beschwerde bei der zuständigen Aufsichtsbehörde nach Art. 77 ff. DSGVO oder das Recht auf Schadenersatz nach Art. 82 DSGVO.

Offen ist die Frage, ob nicht auch ein im UWG nicht geregelter (Datenschutz-)Verstoß, wie die Datenverarbeitung ohne Rechtsgrundlage, wettbewerbsrechtlich abgemahnt werden kann. Dies wäre dann der Fall, wenn der Datenschutzverstoß unter § 3a UWG fällt, also der Verstoß vom Verbot unlauterer geschäftlicher Handlungen umfasst ist. Hier stellt sich die essenzielle Frage, ob die datenschutzrechtlichen Vorgaben der DSGVO auch dafür bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.

Hier scheint sich die Ansicht durchzusetzen, dass dies nicht der Fall ist, sondern der Verordnungsgeber die Sanktionen für eben solche Verstöße in Art. 77 ff. DSGVO abschließend hat regeln wollen. Eine Intention durch die DSGVO auch den fairen Wettbewerb schützen zu wollen, ist weder der Verordnung noch den Erwägungsgründen zu entnehmen.

Exkurs: Der Betrieb einer Website ohne bzw. mit fehlerhafter Datenschutzerklärung verstößt klar gegen Vorgaben der Art. 12 ff. DSGVO. Vor Wirksamwerden der DSGVO war dieser Verstoß auch durch andere Marktteilnehmer wettbewerbsrechtlich abmahnbar, da hierzu § 13 Telemediengesetz (TMG) eine explizite Regelung enthält und diese von Gerichten überwiegend auch als Marktverhaltensregelung qualifiziert wurde.

Die Anwendbarkeit des nationalen TMG wird nunmehr durch die DSGVO als Spezialgesetz verdrängt, da beide Normtexte diesbezüglich den gleichen Regelungsinhalt haben und Unionsrecht grundsätzlich Anwendungsvorrang vor nationalstaatlichem Recht genießt. In diesem Fall zeigt sich die Praxisrelevanz dieser Frage. Eine betroffene natürliche Person kann gegen diesen Verstoß innerhalb der Sanktionsmöglichkeiten der DSGVO gegen den Webseitenbetreiber vorgehen, ein Konkurrenzunternehmen als juristische Person nicht.

Wer darf Datenschutzverstöße mit einem Unterlassungsanspruch abmahnen?

Im Grunde darf nur die Person gegen einen Verstoß vorgehen, die vom Schutz der Norm umfasst ist. Im Falle eines Verstoßes gegen datenschutzrechtliche Vorschriften ist der Normadressat und damit Rechteinhaber allein der Betroffene. Die Befugnis kann sich darüber hinaus aber auch aus anderen Gesetzen ergeben. Unter anderem aus dem UWG oder dem Unterlassungsklagengesetz (UKlaG).

Wer nach UWG klagebefugt ist, regelt § 8 Abs. 1, 3 UWG, wonach jeder Mitbewerber, rechtsfähige Verbände, qualifizierte Einrichtungen und Kammern aktivlegitimiert sind. Besteht ein Anspruch auf Unterlassung nach § 8 Abs. 1 UWG in Verbindung mit einem Verstoß aus § 7 oder § 3 UWG, können diese Adressaten auf Unterlassen klagen. Anders als im UWG, wird im UKlaG der Anspruch aus dem Verbraucherrecht abgeleitet. Daher werden nur solche datenschutzrechtlichen Sachverhalte umfasst, die die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Rahmen kommerzieller Nutzung durch den Datenverarbeiter betreffen.

In den streitigen Fällen will nicht die betroffene Person einen Rechtsbehelf einlegen, sondern ein konkurrierender Marktteilnehmer geht gegen einen datenschutzrechtlichen Verstoß vor. Die DSGVO sieht für solche Fälle hinsichtlich der Aktivlegitimation allerdings nur zwei Möglichkeiten vor:

  • Entweder der Rechtsbehelf wird nach Art. 80 Abs. 1 DSGVO im Auftrag des Betroffenen eingelegt oder
  • unter den Voraussetzungen des Art. 80 Abs. 2 DSGVO unabhängig von seinem Willen durch eine entsprechend legitimierte Einrichtung, Organisation oder Vereinigung.

Die Verordnung regelt nur in diesen Fällen, wer und unter welchen Voraussetzungen im Rahmen der gegebenen Sanktionsmöglichkeiten Verstöße gegen die Verordnung überhaupt angreifen kann. Sobald nicht die betroffene Person selbst den Rechtsweg bestreitet, greift das sogenannte Verbandsklagerecht, wodurch die betroffene Person zur Durchsetzung eigener Rechte unter bestimmten Voraussetzungen eine Organisation oder eine Vereinigung als Interessensvertretung zur Wahrnehmung ihrer Rechte beauftragen kann. Wichtig für das Verständnis ist, dass es sich im Falle des Absatzes 1 nur um eine Stellvertretung und keine Abtretung etwaiger Ansprüche handelt. Die Rechte werden also auch in diesem Fall im Namen des Betroffenen geltend gemacht. Denn Datenschutz bedeutet Grundrechtsschutz und erschöpft sich im Schutz des Grundrechtsadressaten. Ein Schutz des fairen Wettbewerbs ist im Regelungsregime der Verordnung dagegen nicht vorgesehen.

Die aktivlegitimierten Verbände haben nach Art. 80 Abs. 2 DSGVO unter bestimmten Voraussetzungen auch ohne Auftrag die Möglichkeit, die Rechte einer betroffenen Person geltend zu machen. Dies gilt nur dann, wenn das mitgliedstaatliche Recht die Verbandsklage explizit gestattet. Eine solche Regelung enthält sowohl § 8 Abs. 3 UWG für besagte Fälle, als auch § 3 Abs. 1 S. 1 UKlaG. Anders als das UWG enthält § 2 Abs. 1 S. 1, Abs. 2 S. 1 Nr. 11 UKlaG explizite Regelungen zu datenschutzrechtlichen Sachverhalten. Allerdings wurde dieser nicht in Umsetzung des Art. 80 Abs. 2 DSGVO vom nationalen Gesetzgeber erst geschaffen.

Der Anwendungsbereich des Art. 80 Abs. 1 DSGVO ist enger als der im UKlaG. Denn besagte Einrichtungen, Organisationen oder Vereinigungen müssen im Bereich „des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig“ sein. Der nationale Gesetzgeber kann diese Vorgaben nicht zu Lasten einer weiterreichenden Klagebefugnis aufweichen. Durch die mögliche, erweiterte Klagebefugnis sollen gerade nur solche Verbraucherschutzverbände eine Möglichkeit besitzen, Datenschutzverstöße gerichtlich geltend zu machen, die sich auch dem Datenschutz verschrieben haben. Zudem müssen die Verbände oder Einrichtungen ohne Gewinnerzielung sprich gemeinnützig tätig sein, ergo muss die Geltendmachung ausschließlich dem Interesse des Grundrechtsträgers und damit Betroffenen entsprechen.

Auch hierdurch lässt sich die klare Intention des Verordnungsgebers erkennen, durch die DSGVO ausschließlich die betroffenen Personen schützen zu wollen, nicht aber andere Marktteilnehmer. Für eine Ausdehnung der Klagebefugnis aufgrund zusätzlich anwendbarer Wettbewerbsschranken spricht, dass hierdurch mittelbar auch mehr Grundrechtsschutz für die Datenschutzsubjekte erreicht werden würde, da die Rechtsdurchsetzung bisher zum größten Teil den Aufsichtsbehörden und nicht den Gerichten überlassen ist. Nach dem europarechtlichen Grundsatz des „effet utile“ aber ist eine Norm so auszulegen und anzuwenden, dass das Verordnungsziel am einfachsten und wirksamsten erreicht wird. Die mit der DSGVO verfolgte Vollharmonisierung eines einheitliches Datenschutzniveaus in den Mitgliedstaaten könnte durch die zusätzliche Klagemöglichkeit effektiver verwirklicht werden.

DSGVO als abschließendes Regelungsregime für Datenschutzverstöße?

Ein Unterlassungsanspruch nicht betroffener Personen ist im Katalog der DSGVO nicht enthalten. Als in allen Mitgliedstaaten unmittelbar geltende Verordnung nimmt sie für sich in Anspruch, ein allgemein gültiges Regelwerk zu sein, von dem nur dann abgewichen werden kann, wenn in der Verordnung selbst diese Ermächtigung für die Mitgliedstaaten vorgesehen ist (sogenannte Öffnungs- oder besser Abweichungsklauseln). Da dies hier nicht der Fall ist, ist fraglich, ob die Möglichkeit eines Nebeneinanders beider Regelungsregime, dem Datenschutz- und dem Wettbewerbsrecht, überhaupt besteht.

Aus besagten Gründen spricht vieles dafür, dass der Verordnungsgeber im VIII. Kapitel der DSGVO abschließend zu etwaigen Sanktionsmöglichkeiten Stellung nehmen wollte bzw. der Zweck der Vollharmonisierung keine andere Auslegung zulässt. Die Sanktionsmöglichkeiten umfassen sämtliche Rechtsbehelfe sowohl durch Beschreitung des Verwaltungsrechtswegs als auch den der ordentlichen Gerichtsbarkeit (Zivilgerichte). Hierneben tritt das Recht der direkten Beschwerde bei einer zuständigen Aufsichtsbehörde und damit der unmittelbare Gang vor ein Exekutivorgan. Dies ist Ausdruck des Verordnungsgebers, die Sanktionsmöglichkeiten, die sich aus Verstößen gegen Regelungen der DSGVO ergeben, ausschließlich in der Hand des jeweiligen Datenschutzsubjekts wissen zu wollen und gerade nicht in den Händen anderer Marktteilnehmer.

Neben der formal rechtlichen Dimension und der Frage, ob die DSGVO abschließende Sanktionsmöglichkeiten für Verstöße gegen die Verordnung regelt, birgt diese Entscheidung auch ein grundsätzliches Problem. Qualifiziert man den Datenschutz als wettbewerbsrechtlich relevante Materie, stellt sich zwangsläufig die Folgefrage der notwendigen Unterwerfung des Datenschutzes auch unter das lauterkeitsrechtliche Korsett der gleichen Marktbedingungen und der Regelungen für einen einheitlichen Wettbewerb. Dies impliziert jedoch eine Richtungsentscheidung und stellt die gegenwärtige datenschutzrechtliche Konzeption insgesamt in Frage. Nämlich die Konzeption der abwehrrechtlichen Tradition ausschließlich zum Schutze der informationellen Selbstbestimmung als Ausdruck des Persönlichkeitsrechts jedes Einzelnen und damit dem Schutz vor Datenmissbrauch.

Losgelöst hiervon muss also die Frage sein, ob in der zunehmenden kommerziellen Nutzung von Daten und der damit einhergehenden Verlagerung der Datenverarbeitungen auf private Akteure diese generell auch den Schranken des Wettbewerbsrecht unterworfen sein sollten. Die Verordnung selbst unterscheidet gerade nicht zwischen dem Betroffenen in seiner Funktion als Verbraucher bzw. Marktteilnehmer und Nicht-Verbraucher.

Fazit: Geringes Risiko durch Mitbewerber, steigendes durch Betroffene

Auch wenn noch nicht abschließend geklärt, kann das Abmahnrisiko von Datenschutzverstößen durch Konkurrenten derzeit als gering eingestuft werden. Hierfür sorgen die zunehmende Tendenz in der Rechtsprechung und das damit einhergehende Prozessrisiko auf Klägerseite.

Zur Wahrheit gehört aber auch, dass die den Betroffenen gegen Verstöße zur Verfügung stehenden Sanktionsmöglichkeiten dadurch nicht konterkariert werden. Verwaltungsrechtliche Verfahren und Schadensersatzansprüche der Betroffenen selbst sind nach wie vor möglich und aufgrund der empfindlichen Bußgeldhöhe ein scharfes Schwert gegen Datenschutzverstöße.

Eine vermittelnde Ansicht der Rechtsprechung, jeden einzelnen Verstoß gegen Regelungen der DSGVO entweder als Marktverhaltensregel zu qualifizieren und damit einen wettbewerbsrechtlichen Unterlassungsanspruch zu ermöglichen oder nicht, sollte zugunsten der Rechtssicherheit gänzlich aufgegeben werden. Die Entscheidung sollte zwischen einem echten Nebeneinander der Regelungsregime oder der abschließenden Sperrwirkung der DSGVO gegenüber dem Wettbewerbsrecht fallen.

Zur abschließenden Klärung der Frage ist eine baldige höchstrichterliche Entscheidung durch den EuGH begrüßenswert.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.