Datenschutz: OLG Hamburg: Verstöße gegen DSGVO können von Wettbewerbern abgemahnt werden

Datenschutz – Können Datenschutz-Verstöße  Gegenstand wettbewerbsrechtlicher Abmahnungen sein? Diese Frage ist bis heute hoch umstritten. Auch die Rechtsprechung ist nicht einheitlich. Nach gegensätzlichen Entscheidungen der Landgerichte Bochum und  Würzburg liegt nun auch ein Urteil des OLG Hamburg vor.

Provider Paypal DSGVO DS-GVO Datenschutz
Das Grüne Recht © Tomasz Zajda – Fotolia.com

Sind Abmahnungen wegen Datenschutz Verstößen zulässig?

Das OLG  Hamburg (Urteil vom 25.10.2018, Az.: 3 U 66/17) urteilte , dass Verstöße gegen Datenschutz grundsätzlich auch von Wettbewerbern abgemahnt werden können. Dieses Urteil ist insofern von Bedeutung, als die Frage, ob Datenschutz-Verstöße überhaupt von Wettbewerbern abgemahnt werden können, seit Inkrafttreten DSGVO hoch umstritten ist. So hatte das LG Würzburg die Abmahnfähigkeit bejaht, allerdings unter Bezugnahme auf Rechsprechung aus der Zeit vor Inkrafttreten der DSGVO. Das LG Bochum hingegen verneinte die Abmahnfähigkeit, indem es die in der DSGVO geregelten Sanktionsmöglichkeiten als abschließend geregelt betrachtete.

OLG Hamburg: wettbewerbsrechtliche Abmahnungen bei Datenschutzverstößen grundsätzlich zulässig

Mit dem Urteil des OLG liegt erstmals ein Urteil vor, welches Abmahnungen von Wettbewerbern bei Verstößen gegen die DSGVO grundsätzlich für zulässig erachtet und sich gleichzeitig ausführlich mit dem Streitstand hierzu befasst. Die DSGVO, so das OLG Hamburg enthalte „erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde.“ Obwohl die Richtlinie eine Vollharmonisierung anstrebe, sei kein festgelegtes Rechtsbehelfsystem festgelegt worden. Zum Streitstand äußert sich das OLG wie folgt:

„Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3 a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung, ist auf Kritik gestoßen.

Sie basiert vor allem darauf, dass die Art. 77-79 DS-GVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DS-GVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.

Dagegen wird zur Recht eingewendet, dass Art. 80 Abs. 2 DS-GVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Artt. 77-79 DS-GVO Rechtsbehelfe betroffener Personen (Artt. 77, 78 Abs. 2, 79 DS-GVO) oder jeder anderen Person (Art. 78 Abs. 1 DS-GVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DS-GVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Artt. 78 Abs. 1 und 2, 79 Abs. 1 DS-GVO) Rechtsbehelfs. Und Art. 82 DS-GVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DS-GVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DS-GVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DS-GVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).

Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DS-GVO, die für jede betroffene Person auch anderweitige – also nicht in der DS-GVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DS-GVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DS-GVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.“

Bemerkenswert an der Entscheidung ist auch, dass das OLG zwar den Bereich von Datenschutz-Verstößen für wettbewerbsrechtliche Abmahnungen eröffnet sieht, jedoch in dem konkreten Fall einen tatsächlichen Wettbewerbsverstoß verneinte. So stelle die Weitergabe von Patientendaten, um den es im fraglichen Fall ging, zwar einen Verstoß gegen die vor Inkrafttreten der DSGVO geltende alte Fassung des Bundesdatenschutzgesetzes (BDSG) dar. Jedoch habe die Beklagte hierdurch keinen Wettbewerbsvorteil erlangt.

Haben Sie Fragen zum Datenschutzrecht?  Rechtsanwalt Otto Freiherr Grote  aus Düsseldorf  ist TÜV Nord zertifizierter Datenschutzbeauftragter und berät zahlreiche Mandanten in Fragen des Datenschutzes. Wir beraten Sie bundesweit. Schreiben Sie uns eine E-Mail ( kontakt@das-gruene-recht.de ) oder rufen Sie uns an (0211 – 54 20 04 64).