Datenschutzverstöße & fehlende Datenschutzerklärung können als Wettbewerbsverstoss abgemahnt werden (Rechtslage vor DSGVO)

Spätestens seit dem Streit um Facebook-Like-Buttons steht die Frage im Raum: Können Datenschutzverstöße die auf einer geschäftlichen Webseite begangen werden, wettbewerbsrechtlich abgemahnt werden? Die Antwort hängt an der dahinter stehenden Frage, ob es sich bei Datenschutznormen um Marktverhaltensregeln handelt.

Und während erste Gerichte sich noch uneins sind, wie mit Social-Media-Plugins umzugehen ist, scheinen die Fronten im Übrigen geklärt: Während die überwiegende Meinung dies früher ablehnte, sagen zunehmend Gericht etwas anderes – sowohl das OLG Karlsruhe mit Urteil vom 9.5.2012 (6 U 38/11), das OLG Hamburg (3 U 26/12) mit Urteil vom 27.06.2013 und das  (6 U 121/15) im Jahr 2016 sehen, dass wettbewerbsrechtliche Abmahnungen ausgesprochen werden können, sogar wenn schlicht eine Datenschutzerklärung auf der Webseite vergessen wurde.

Hinweis: Beachten Sie, dass Datenschutzverstöße durch Verbraucherverbände seit dem 24.02.2016 ohnehin abgemahnt werden können! Im Übrigen betrifft dieser Artikel alleine die Rechtslage bis zum Inkrafttreten der !

Datenschutzerklärung: Die Entscheidung aus Karlsruhe

Das OLG sieht eine Marktverhaltensregelung, sofern der Marktteilnehmer („Unternehmer“) erhebt, um eigene Angebote zu betreiben oder zu bewerben. Das Bundesdatenschutzgesetz (und dann wohl auch die entsprechenden Regelungen im TMG?) dient hier als Erlaubnisnorm zur Erhebung von Daten, wobei Grenzen gesetzt werden. Der Zweck dieser Grenzen, die das Bundesdatenschutzgesetz einem solchen Verhalten setzt (das ein marktverhalten ist!), ist den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer sicher zu stellen.

Nun mag dieser zugesprochene und gesicherte Schutz einem allgemeinen Schutzbedürfnis hinsichtlich der Rechte des Verbrauchers dienen. Aber nur weil es weiteren Schutzbedarf gibt, ist noch lange nicht ausgeschlossen, dass dennoch eine Marktverhaltensvorschrift erkannt werden kann: Der entsprechende, hier in Rede stehende, Anwendungsbereich des § 4 Nr. 11 UWG ist insofern mit dem OLG (das auf den BGH verweisen kann) nicht auf solche Marktverhaltensregelungen beschränkt, die eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne aufweisen, dass sie die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützen.

Jedenfalls wenn die betreffenden Daten aus der Vertragsbeziehung stammen (Vertragsbeginn und -Beendigung) und auch noch zu Werbezwecken eingesetzt werden, sieht das OLG überzeugend einen eindeutigen Marktbezug und kein Argument, das Vorliegen einer Marktverhaltensregelung abzulehnen.

Das Ergebnis: Mit dem OLG könnten Datenschutzverstöße wettbewerbsrechtlich geahndet werden. Die Konsequenz ist, dass Fehler von der Datenschutzerklärung bis zur konkreten Datenverarbeitung mit einer quittiert werden können. Die Entscheidung aus Karlsruhe überzeugt insofern auch, wie später noch zu zeigen ist.

Andere Auffassung: Viele andere.

Die Reihe derer, die es anders sehen, ist lang: Das OLG München (29 U 3926/11) lehnte diese Wertung ab, da man den Schutzzweck des Datenschutzrechts nicht darin erkennen wollte, den Markt wettbewerbsrechtlich zu regeln. Auch das OLG Düsseldorf (7 U 149/03) greift diese Gedanken auf und führt aus, dass das Datenschutzrecht in erster Linie den Bürger vor Eingriffen des Staates schützen soll. Auch das OLG Hamburg (5 U 186/03) ging im Jahr 2004 noch davon aus, dass ein eventueller Marktbezug des §28 BDSG bestenfalls „reflexartig“ eintritt, aber nicht eigentlich gewollt ist.

Dies kann aber auch streitbar sein: Zum einen regelt das Bundes-Datenschutzrecht zu gleichen Teilen Vorgaben gegenüber Staat und der Privatwirtschaft, die Überlegung ist an diesem Punkt nicht überzeugend. Zum anderen macht es gerade keinen Sinn, das insgesamt zu werten – man muss die einzelnen Normen (hier konkret die §§4, 28, 29 BDSG und dann auch §13 TMG) voneinander abgrenzen und dabei berücksichtigen, das hierbei teilweise auch die Vertragsbegründung und Werbung betroffen ist – also unmittelbare Auswirkungen auf den Markt an sich.

Auch das OLG Frankfurt (6 U 168/04) lehnte 2005 einen Marktbezug ab – allerdings begnügte man sich hier damit, aus dem UWG-Kommentar zu zitieren. Eine Argumentative Auseinandersetzung fällt insofern, mangels Argumenten, schwer.

Differenzierter ging das KG (5 W 88/11) vor, dass den §13 TMG untersuchte und hier im konkreten Fall (Facebook Like Button) erkannte, dass ein Verstoß gegen § 13 Abs. 1 TMG nur ein Verhalten betreffen kann, das dem tatsächlichen Marktverhalten vorausgegangen ist. Das (Landgericht Berlin, Beschluss v. 12.2.2015, Az. 16 O 504/14) bestätigte auch 2016 diese Wertung.

In der Literatur sieht etwa der Plath-BDSG-Kommentar beim §13 TMG keine marktverhaltensregelnde Norm.

OLG Hamburg: Abmahnung auch bei fehlender Datenschutzerklärung

Eine bereits sehr wesentliche Entscheidung und einen ersten Eckpfeiler stellt die Entscheidung des OLG Hamburg dar. Das OLG Hamburg sagt zu einer fehlenden Datenschutzerklärung in einem Telemediendienst, also etwa auf einer Webseite:

§ 13 TMG, wonach der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs u.a. über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten hat, ist eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm. Denn nach den Erwägungsgründen der dieser Norm zugrundeliegenden Datenschutzrichtlinie 95/46/EG soll durch die Schaffung gleicher Wettbewerbsbedingungen jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers geschützt werden. Den Erwägungsgründen zur ist darüber hinaus zu entnehmen, dass die in § 13 TMG geregelten Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme dienen, weil sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen.

Das bedeutet, dass mit dieser Auffassung jeder der seiner Pflicht zur Platzierung einer Datenschutzerklärung nicht nachkommt, wettbewerbsrechtlich auf Unterlassung in Anspruch genommen werden kann.

OLG Köln: Datenschutzverstoss ist Wettbewerbsverstoss

Nach der bereits wegweisenden Entscheidung des OLG Hamburg hat sich sodann das OLG Köln (6 U 121/15) ausdrücklich dieser Entscheidung angeschlossen und sich auch ausdrücklich gegen die Rechtsprechung aus Berlin gestellt:

Soweit die Beklagte einen Beschluss des Kammergerichts (Beschluss vom 29.4.2011, 5 W 88/11) zur Begründung dafür heranzieht, dass es sich bei § 13 TMG nicht um eine das Marktverhalten regelnde Norm handele, kann dies nicht überzeugen. (…) Vorliegend sollen nach den Erwägungsgründen die Interessen der Mitbewerber und auch die der Verbraucher geschützt werden. Eine Norm dient dem Schutz der Interessen der Mitbewerber, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt, wobei im Einzelfall zu prüfen ist, ob die Herstellung gleicher Wettbewerbsbedingungen Zweck oder nur Folge der Vorschrift ist (Köhler/Bornkamm, a.a.O. § 4 Rn. 11.35c m.w.N.). Da ausdrücklich in den Erwägungsgründen zur Datenschutzrichtlinie die Angleichung des Schutzniveaus als Ziel erklärt wird, „um Hemmnisse für die Ausübung der Wirtschaftstätigkeiten auf Gemeinschaftsebene zu beseitigen“, ist ein Marktverhaltensbezug mit dem OLG Hamburg zu bejahen. Dagegen spricht auch nicht der vom Landgericht Berlin im Urteil vom 4.2.2016 (52 O 395/15) angeführte Erwägungsgrund 38 (…)

Mit Hamburg und Köln haben sich damit zwei wettbewerbsrechtlich bedeutsame Standorte für eine wettbewerbsrechtliche Relevanz nicht nur der datenschutzrechtlich relevanten Normen im Bereich der Datenerhebung (etwa §§4a, 28 BDSG) sondern auch der Informationspflichten (§13 TMG) ausgesprochen.

Was trifft zu?

Auch das OLG Stuttgart (2 U 132/06) wollte eine Marktverhaltensregelung feststellen, jedenfalls dann wenn Daten zur Schaltung von Werbung verarbeitet werden.

Dies ist vertretbar, begeht man in diesem Fall ja letztlich den -Rechtsbruch gezielt zu dem Zweck, sich einen wettbewerbsrechtlichen Vorteil zu verschaffen, etwa in dem ein „mehr“ an Daten zur Verfügung steht, auf das sonst nicht zurückgegriffen werden kann. Spätestens wenn damit geworben wird, wird auch in einer Weise in den Markt eingegriffen, die andere Wettbewerber spürbar betrifft. (ebenso: OLG Köln, 6 U 73/10 und 6 U 70/09 – früher, im Jahr 2004, noch anderer Auffassung unter dem Aktenzeichen 7 U 149/03!)

Inzwischen ist, auch auf Grund der Entwicklung der Gesetzgebung, wohl davon auszugehen, dass datenschutzrechtliche Verstöße sowohl bei der Verarbeitung wie auch bei der Aufklärung einen Wettbewerbsverstoß darstellen.

Abmahnung: Vorsicht bei AGB!

Der obige Streit muss m.E. weiter differenziert werden: Nämlich dahin gehend, ob einmal nur die Verarbeitung von Daten im Rahmen einer üblichen „Webseiten-Benutzung“ im Raum steht, oder die Verarbeitung im Rahmen eines Vertrages.

Es sei erinnert, dass der (I ZR 45/11, hier vorgestellt) klar geäußert hat, das rechtswidrige AGB wirksam abgemahnt werden können. Die §§307 bis 309 BGB, die der AGB-Kontrolle dienen, werden mit dieser BGH-Entscheidung wohl insgesamt als Marktverhaltensregel einzustufen sein. Da die Grundsätze der Verarbeitung von Daten von Kunden vertragsrechtlich in AGB-Form definiert werden und die datenschutzrechtlichen Vorgaben des BDSG/TMG über den §307 II Nr.1 BGB zu prüfen sind, wird sich hier im Regelfall vertraglicher Vereinbarung wohl in Zukunft eine Abmahnfähigkeit „durch die Hintertüre“ ergeben – jedenfalls wenn von wesentlichen Grundgedanken des Datenschutzes erheblich abgewichen wird.

Bei der Verarbeitung von Daten außerhalb geschlossener Verträge (etwa beim Einsatz von Analyse-Tools auf Webseiten etc.) bietet sich dieses Modell nicht an, so dass obiger Streit ausschlaggebend sein wird. Anders aber, wenn ein entsprechender Vertrag begründet wird, etwa bei einer Registrierung auf einer Webseite bzw. in einem Forum.

Ist ein Ende beim BGH in Sicht?

Die frühere Kölner Entscheidung, die eine Marktverhaltensregelung erkannt hat, liegt inzwischen dem BGH (I ZR 224/10) vor. Eine Klärung könnte also zu erwarten sein, bisher gibt es zu diesem Verfahren aber keine Informationen. Damit dann aber auch zwingende Konsequenzen für Webseiten-Betreiber. Wobei in dem aktuellen Chaos der OLG-Rechtsprechung keine Einladung gesehen werden sollte, das Risiko einer Abmahnung einzugehen – wie das ausgeht ist nämlich derzeit unkalkulierbar.

Fazit

Spätestens seit der Entscheidung des OLG Köln 2016 muss klar sein: Datenschutzverstöße, gleich auf welcher Ebene, sind mit dem erheblichen Risiko einer wirksamen wettbewerbsrechtlichen Abmahnung belegt. Man sollte also insbesondere darauf achten:

  • Eine ordentliche Datenschutzerklärung vorzuhalten
  • Einwilligungen entsprechend den datenschutzrechtlichen Bestimmungen zu formulieren
  • Daten nur nach den Vorgaben des BDSG und TMG zu verarbeiten
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.