OLG Hamburg: Verstoss gegen die DSGVO kann abgemahnt werden

Das OLG Hamburg (3 U 66/17) hat entschieden, dass ein Verstoss gegen die Vorgaben der Datenschutzgrundverordung zugleich ein wettbewerbsrechtlicher Verstoss ist und abgemahnt werden kann. Entgegen einer Verbreiteten Auffassung stellt sich das OLG Hamburg auf de Standpunkt, dass sich nicht in der früheren RL 95/46/EG (Datenschutzrichtlinie) noch in der VO (EU) 2016/679 (Datenschutzgrundverordnung) ein abgeschlossenes Sanktionssystem finden lässt, das einer Klagebefugnis von Wettbewerbern im Sinne des UWG entgegen stehen würde.

Allerdings hat das OLG Hamburg – übereinstimmend mit seiner früheren Rechtsprechung zum Thema Datenschutz & Wettbewerbsrecht – zugleich klargestellt, dass nicht jede datenschutzrechtliche Norm einen marktverhaltensregelnden Charakter i.S. des § 3a UWG hat. Im Einzelfall muss die jeweilige Norm konkret darauf überprüft werden, ob gerade die betroffene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.

Aus der Entscheidung des OLG Hamburg:

Die Rechtslage hat sich seit Beginn des Rechtsstreits verändert, weil das alte BDSG nach dem Inkrafttreten der DS-GVO keine Geltung mehr hat. Das BDSG ist auf der Grundlage der DS-GVO entsprechend neu gefasst worden.4

1. Die Klägerin ist gemäß § 8 Abs. 1 und 3 Nr. 1 UWG klagebefugt. Sie ist Mitbewerberin der Beklagten. Sie steht zur Beklagten in einem konkreten Wettbewerbsverhältnis (§ 2 Abs. 1 Nr. 3 UWG), denn beide Parteien vertreiben Therapieallergene.4

a) Die Klagebefugnis muss als Sachurteilsvoraussetzung nicht nur im Zeitpunkt der beanstandeten Wettbewerbshandlung bestanden haben, sondern auch im Zeitpunkt der letzten mündlichen Berufungsverhandlung noch fortbestehen (BGH, Urt. v. 27.04.2017, I ZR 55/16, BGHZ 215, 12, Rn. 15 – Preisportal). Zum Zeitpunkt der beanstandeten Wettbewerbshandlung hatte auf der Grundlage der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 – Datenschutzrichtlinie (im Folgenden DS-RL) – das Bundesdatenschutzgesetz (im Folgenden BDSG a.F.) in der bis zum 08.11.2017 gültigen Fassung Geltung. Zum Zeitpunkt der Berufungsverhandlung am 13.09.2018, nämlich schon zum 25.05.2018, war bereits die VO (EU) 2016/679 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutzgrundverordnung (Im Folgenden DS-GVO) und auf ihrer Grundlage zum gleichen Zeitpunkt das BDSG in der Fassung vom 30.06.2017 (im Folgenden BDSG n.F.) in Kraft getreten. Die Klägerin muss deshalb sowohl unter der Geltung des BDSG a.F. als auch unter der Geltung der DS-GVO bzw. des BDSG n.F. klagebefugt sein. Das ist der Fall.4

b) Das Landgericht hat sich nicht mit der Frage beschäftigt, ob die Klägerin bezogen auf den beanstandeten Verstoß gegen datenschutzrechtliche Bestimmungen des BDSG a.F. überhaupt klagebefugt ist. Der Senat hat die Frage der Klagebefugnis in seiner vom Landgericht herangezogenen Entscheidung vom 27.06.2013 (WRP 2013, 1203) ebenfalls nicht angesprochen, sondern hat diese als unproblematisch gegeben unterstellt.5

Inzwischen ist, worauf die Beklagte hinweist, in der Literatur (vgl. Zech, WRP 2013, 1434, 1436) und in der Rechtsprechung (OLG Düsseldorf, GRUR 2017, 416 ff. – „Gefällt mir”-Button) die Frage aufgeworfen worden, ob das Sanktionssystem der DS-RL ein abschließendes Sanktionssystem mit der Folge enthält, dass Verstöße gegen datenschutzrechtliche Bestimmungen nur durch die nach der DS-RL vorgesehenen Berechtigten mit den dort vorgesehenen Instrumentarien verfolgen können. Dann wären Wettbewerber i.S. von § 8 Abs. 3 Nr. 1 UWG oder qualifizierte Einrichtungen i.S. von § 8 Abs. 3 Nr. 3 UWG, die in der DS-RL nicht angeführt sind, ebenfalls nicht nach § 8 Abs. 1 und Abs. 3 Nr. 1 und 3 UWG klagebefugt. Nach Auffassung des Senats stehen allerdings die Vorschriften der DS-RL einer Klagebefugnis von Wettbewerbern gemäß § 8 Abs. 1 und Abs. 3 Nr. 1 UWG nicht entgegen.5

Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung – nicht Mindestharmonisierung (so schon zutreffend das Landgericht unter Hinweis auf EUGH, EuZW 2012, 37, Ls. 1) – ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden ist. Nach Art. 22 DS-RL sehen die Mitgliedsstaaten unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, vor, dass „jede Person” bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann. Die Vorschrift greift den in Art. 2 lit. a) DS-RL definierten Begriff der „betroffenen Person” nicht auf, sondern sieht die Möglichkeit zur Einlegung eines Rechtsbehelfs bei Gericht ausdrücklich für „jede Person” vor. Gleiches gilt für die in Art. 23 Abs. 1 DS-RL geregelte Möglichkeit, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen. Das spricht klar gegen die Installierung eines abschließenden Sanktionssystems und dafür, dass die DS-RL die Möglichkeit gerichtlicher Rechtsbehelfe außerhalb des verwaltungsgerichtlichen Beschwerdeverfahrens nicht ausschließt.5

In Art. 22 DS-RL ist zum verwaltungsrechtlichen Beschwerdeverfahren zudem davon die Rede, dass es vor Beschreiten des Rechtsweges „insbesondere” bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann. Die Regelung spricht damit die Möglichkeit, dass sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann (Art. 28 Abs. 4 DS-RL) nur beispielhaft („insbesondere”) an. Auch das spricht gegen die Annahme eines durch die DS-RL geschaffenen abschließenden Sanktionssystems.5

Schließlich lässt Art. 24 der DS-RL geeignete Maßnahmen, die die volle Anwendung der Bestimmungen der Richtlinie sicherstellen, zu. Zwar verweist Köhler (ZD 2018, 337, 338) bezogen auf die DS-GVO darauf, dass die dortige Regelung in Art. 84 DS-GVO – wie i.Ü. auch Art. 24 DS-RL – mit „Sanktionen” überschrieben ist und eine Sanktion nicht gleichbedeutend mit einem Rechtsbehelf sei. Ob daraus maßgebliche Schlüsse gezogen werden können, ist im vorliegenden Zusammenhang nicht zu entscheiden, denn jedenfalls in Art. 24 DS-RL ist nur davon die Rede, dass die Mitgliedstaaten „insbesondere” die Sanktionen festlegen, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind. Im 1. Halbsatz der Vorschrift heißt es dagegen, dass die Mitgliedstaaten geeignete Maßnahmen ergreifen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen. Die volle Anwendung der Bestimmungen der Richtlinie kann aber gerade auch dadurch sichergestellt werden, dass auf lauterkeitsrechtlicher Grundlage Verstöße gegen datenschutzrechtliche Bestimmungen durch Mitbewerber verfolgt werden können, wenn und soweit das Lauterkeitsrecht als Anspruchsgrundlage in Betracht kommt. Im Übrigen enthält die DS-RL, anders als die DS-GVO etwa in Art. 80 Abs. 2 DS-GVO, keinen Ansatz für eine explizite Ermächtigung zur Anwendung nationaler Rechtsbehelfe, die eine Verfolgung datenschutzrechtlicher Rechtsverletzungen durch andere als die jeweils betroffenen Personen zum Gegenstand haben. Daher kann auch nicht – wie es teils für die DS-GVO angenommen wird – im Umkehrschluss festgestellt werden, dass solche Regelungen nach der DS-RL unzulässig wären.5

c) Die Klägerin ist aber auch unter der Geltung der DS-GVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.5

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40a, 1.74b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung, ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77 – 79 DS-GVO der „betroffenen Person”, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DS-GVO) , Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.5

Dagegen wird zur Recht eingewendet, dass Art. 80 Abs. 2 DS-GVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534ff.). Dafür spricht auch, dass zwar in den Art. 77 – 79 DS-GVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DS-GVO) oder jeder anderen Person (Art. 78 Abs. 1 DS-GVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DS-GVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DS-GVO) Rechtsbehelfs. Und Art. 82 DS-GVO spricht wiederum „jeder Person”, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DS-GVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen”, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DS-GVO), nicht ausschließt.5

Schließlich heißt es in Art. 84 Abs. 1 DS-GVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung — insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen — festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.). Der Umstand, dass die Vorschrift mit „Sanktionen” überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DS-GVO, die für jede betroffene Person auch anderweitige – also nicht in der DS-GVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DS-GVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DS-GVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.