Datenschutz

Sind Verstöße gegen die Datenschutz -Grundverordnung wettbewerbswidrig?

Diese Frage ist unter Juristen umstritten. Umstritten ist konkret die Frage, ob die Pflicht aus dem Datenschutzrecht, eine rechtskonforme Datenschutzerklärung anzubieten, nach dem Inkrafttreten der DSGVO eine Marktverhaltensregelung im Sinne des Wettbewerbsrechts ist, die einzelnen Mitbewerbern das Recht gibt, Verstöße abzumahnen.

Das Landgericht Bochum (Urteil vom 7. August 2018, Az: I-12 O 85/18) ist dabei der Ansicht, dass Datenschutzverstöße nicht abmahnbar sind.

Der Fall:

Die Parteien des Rechtsstreits sind Online-Händler. Sie vertreiben Druckerzeugnisse, Autokleber, Textilien, Bürobedarf und Werbemittel an Verbraucher. Der Verfügungskläger mahnte seinen Mitbewerber ab, weil in dessen Webshop der Link auf die OS-Plattform fehlte und die AGB diverse unzulässige Klauseln enthielten. Im Verfahren vor dem Landgericht Bochum machte der Verfügungskläger zusätzlich einen wettbewerbsrechtlichen Unterlassungsanspruch als Mitbewerber geltend, weil das Online-Angebot seines Mitbewerbers keine Datenschutzerklärung mit den Informationen nach Art. 13 DSGVO enthielt. Zu Recht?

Das Urteil:

Im Ergebnis gab das Landgericht Bochum dem Verfügungskläger nur im Hinblick auf den fehlenden Link auf die OS-Plattform und die unzulässigen AGB-Klauseln Recht. Den wettbewerbsrechtlichen Unterlassungsanspruch wegen der fehlenden datenschutzrechtlichen Informationen lehnte das Gericht mit folgender Begründung ab:

„Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.“

Im Ergebnis stützt das LG Bochum somit seine Auffassung auf einen führenden Kommentar zum Wettbewerbsrecht.

Welche Auswirkungen das Urteil auf die Praxis im Wettbewerbsrecht haben wird, bleibt noch abzuwarten. Die Rechtslage dürfte auch weiterhin mit Unsicherheiten verbunden sein.  Denn das Landgericht Würzburg (Beschluss vom 13.09.2018, Az. 11 O 1741/18 UWG) entschied nur wenig später ganz anders als das Landgericht Bochum. Nach Ansicht des LG Würzburg stellt eine fehlende Datenschutzerklärung auf einer Website einen Wettbewerbsverstoß dar, der von Konkurrenten abgemahnt werden kann.

Somit bleibt es trotz der aktuellen Entscheidung weiterhin abzuwarten, ob künftig Verstöße gegen die DSGVO aufgrund des UWG verfolgt werden können.

 

Mit Urteil vom 13.09.2018 – 2/3 O 283/18 – entschied das LG Frankfurt, dass das Veröffentlichen von Bildern und Videos eines Kunden auf Facebook ohne dessen Einwilligung nicht nur gegen das Kunsturhebergesetz (KUG), sondern auch die Datenschutzgrundverordnung (DSGVO) verstoßen kann.

Der Fall:

Die Klägerin ließ in einem Friseursalon eine Haarverlängerung machen. Während des Termins wurde sie  fotografiert. Auch wurden Videoaufnahmen von ihr angefertigt. Der Betreiber des Friseursalons veröffentlichte später die Fotos und ein Video auf der Facebook-Seite des Friseursalons. Als die Klägerin dies feststellte, forderte sie den Inhaber auf, die Aufnahmen zu löschen. Die Fotos wurden entfernt, das Video blieb -trotz anwaltlicher Aufforderung. Die Kundin ging im einstweiligen Rechtsschutz gegen die Veröffentlichung des Videos vor. Zu Recht?

Ja, so lautet die Entscheidung des LG Frankfurt.

Nach Auffassung des LG verstößt ein Friseurgeschäftbetreiber, der Videos von Haarverlängerungen ihrer Kunden erstellt und über das Netz zum Abruf bereitstellt gegen das KUG und gegen die Datenschutzgrundverordnung. Derjenige, der Aufnahmen mit Personen tätigt, braucht die Einwilligung der abgebildeten Personen.

Derjenige, der sich für die Veröffentlichung eines Online-Videos auf eine Einwilligung nach der DSGVO beruft, trägt hierfür die Beweislast. In diesem Fall war es der Friseursalon-Betreiber, der sich auf die Einwilligung der Kundin berief. Er musste für die Einwilligung den Beweis erbringen. Da es ihm genau das im Verfahren nicht gelungen ist, musste das Video der Kundin von Facebook gelöscht werden.

Fazit der Entscheidung:

Wer personenbezogene Daten Dritter (wie Fotos, Videos etc.) veröffentlichen bzw. verarbeiten möchte, braucht deren Einwilligung  und muss diese im Streitfall beweisen. Unser Rat in dem Zusammenhang lautet, aufgrund der Dokumentationspflichten der DSGVO eingeholte Einwilligungen stets in einer beweisbaren Form festzuhalten.

Aktuell geht ein Anschreiben per Fax an Unternehmen raus. Absender ist die Datenschutzauskunft-Zentrale (DAZ) aus Oranienburg. Aufhänger ist die neue Datenschutzgrundverordnung.

Bei diesem offiziell wirkenden Schreiben handelt es sich jedoch um eine Vertragsfalle. Wer das Schreiben ausfüllt, schließt einen Vertrag ab und erhält in wenigen Tagen eine Rechnung über 592,62 EUR und bei Nichtzahlung eine anwaltliches Mahnschreiben.

Wir raten daher dringende ab, dieses Schreiben zu beantworten. Sie sollten den Bogen einfach unbeantwortet entsorgen. Wenn Sie das Fax bereits unterschrieben und zurückgeschickt haben, besteht die Möglichkeit die  Erklärung  wegen arglistiger Täuschung anfechten. Gerne stehen wir Ihnen mit Rat und Tat zur Seite.

Als ob das Urteil des europäischen Gerichtshofes, welches vor ein paar Tagen bereits die Runde gemacht hat, nicht genug wäre. Der EuGH hat unlängst entschieden, dass Betreiber von Fanpages bei Facebook in gleichem Maße datenschutzrechtlich verantwortlich sind, wie Facebook selbst. Das Urteil ist für sich genommen schon harter Tobak für alle Fanpagebetreiber, vor allem weil es unerheblich ist, wer hinter den Fanpages steht. Durch das Urteil wird jeder auf Augenhöhe mit Facebook gehoben, egal ob Anwalt, Sportverein oder der Bäcker von nebenan. Das Urteil unterstellt latent, dass jeder, der eine Facebook-Fanpage betreibt, den gleichen Datenhunger haben müsse, wie Facebook. Ob das tatsächlich der Fall ist, dürfte mehr als zweifelhaft sein.

Hinzu kommt, dass Fanpagebetreiber zwangsläufig selbst Mitglieder von Facebook sein müssen, um eine solche Fanpage überhaupt zu erstellen. Sie sind somit aus datenschutzrechtlicher Sicht sowohl Betroffene, als jetzt auch Verantwortliche. Ihnen wurden jetzt die gleichen Pflichten aufgetragen, wie Facebook. Der Unterschied ist jedoch: Fanpagebetreiber haben nicht die gleichen Mittel, um diesen Pflichten nachzukommen. Als Mitglieder von Facebook haben sie kaum bessere Möglichkeiten, Angaben darüber zu machen, welche Daten der Fanpagebesucher (selbst der Besuch von Nicht-Facebook-Mitgliedern genügt) gesammelt und verarbeitet werden. Diese Vorgänge verbleiben weiterhin bei Facebook, sodass Fanpagebetreiber jetzt auf Facebook angewiesen sind, um rechtskonforme Angaben machen zu können. Ob sich Facebook hierzu wird bewegen lässt, darf bezweifelt werden. Schließlich hat Facebook kaum Anreiz, sich in die Karten schauen zu lassen. Die Folge: Fanpagebetreiber können ihre Pflichte nicht erfüllen und bleiben auf der Strecke.

Die Entschließung der Konferenz der unabhängigen Datenschutzbehörden vom 06.06.2018 legt jetzt noch einen drauf. Sie begrüßt das Urteil des EuGH mit der fulminanten Überschrift „Die Zeit der Verantwortungslosigkeit ist vorbei“.

Starke Worte, die leider zeigen, dass die Konferenz das ganze Ausmaß des Urteils nicht ganz verstanden zu haben scheint. Bereits jetzt zeichnet sich ab, dass die neue DSGVO kaum wird erreichen können, was sie sich vorgenommen hat. Die wirklichen Datenkraken lächeln müde, nehmen sich gut bezahlte Anwälte und nutzen ihre Systemrelevanz, um ihre Nutzer zur Abgabe von Einwilligungen zu bewegen. Völlig freiwillig natürlich.

Wirklich hart trifft die DSGVO den Mittelstand, der jetzt aufwändige und kostspielige Datenschutzmaßnahmen betreiben muss, um allein das Risiko von Abmahnungen zu minimieren. Wer sich sowas leisten kann, ist fein raus. Der Rest muss sehen wo er bleibt und hoffen, weder von Abmahnanwälten noch von Datenschutzbehörden entdeckt zu werden.

Mit ihrer Stellungnahme hat die Konferenz eine Position bezogen, die ihrer Aufgabe entspricht. Schließlich geht es um den Schutz der Daten. Allerdings zeigt sie wenig Feingefühl für die gegenseitigen Interessen und Bedürfnisse. Gerade die „kleinen“ Fanpagebetreiber, wie besagter Sportverein, oder Frisöre, Handwerker, aber auch Anwälte oder Ärzte dürften sich durch diese Stellungnahme bitterlich im Stich gelassen fühlen. Es ist lebensfremd jedem Fanpagebetreiber den gleichen Datenhunger wie Facebook zu unterstellen. Nichtsdestotrotz drängt die Konferenz auf Eile, es bestehe „dringender Handlungsbedarf“.

Die Konferenz der unabhängigen Datenschutzbehörden hätte die Gelegenheit nutzen können, ein Zeichen dafür zu geben, dass nicht alle Fanpagebetreiber über einen Kamm geschert werden können. Sie hat sich entschieden, dies nicht zu tun. Datenschutz um jeden Preis also. Ein Preis, den wieder die falschen zahlen müssen. Denn nach jetziger Rechtslage, bestärkt durch die Stellungnahme der Konferenz scheint der einige Weg, sich aus einer datenschutzrechtlichen Haftung zu entziehen, keine Fanpage zu betreiben. Damit dürfte Facebook für jeden, der sich das Risiko einer Abmahnung oder eines Bußgeldverfahrens nicht leisten kann, als „digitale Nutzfläche“ bis auf weiteres entfallen.

Dabei sind mögliche Lösungen nicht schwer vorstellbar: Die DSGVO kennt z.B. den Begriff der Datenschutz-Folgenabschätzung. Wie der Name es bereits andeutet, muss abgeschätzt werden, ob und welches Risiko für personenbezogene Daten besteht. Je höher das Risiko, desto besser müssen die Datenschutzmaßnahmen sein. Vielleicht wäre es eine Idee, diesen Gedanken auf Fanpages zu übertragen. Freilich steht auch dies wieder in Abhängigkeit zu der Zusammenarbeit mit Facebook. Aber Facebook könnte z.B. Aussagen über die Reichweite bestimmter Fanpages treffen, die wiederum zur Einschätzung eines datenschutzrechtlichen Risikos herangezogen werden könnten. Wenn sich dann beispielsweise herausstellt, dass der Fußballverein von nebenan eh Mühe hat, auf über 100 „Follower“ zu kommen, scheint eine „Entlassung“ aus der datenschutzrechtlichen Verantwortlichkeit zumindest nicht mehr völlig undenkbar. Aber das ist erst noch Zukunftsmusik. Es bleibt abzuwarten, wie sich die Dinge entwickeln werden.

Einziges „Trostpflaster“ scheint zu sein, dass das Urteil des EuGH keine unmittelbare Wirkung entfaltet. Das zugrundeliegende Verfahren muss erst beendet werden. Gleichwohl ist klar, wo die Reist hingeht: Solange Facebook kein datenschutzrechtskonformes Produkt anbietet, sind Fanpages keine Option mehr.

Unsere Website verwendet Cookies, um einen schnellen und technisch einwandfreien Internetauftritt zu gewährleisten. Wenn Sie Ihren Besuch auf unserer Website fortsetzen, stimmen Sie der Verwendung dieser Cookies indirekt zu. Bitte lesen Sie unsere Datenschutzerklärung für weiterführende Informationen. Datenschutzerklärung | Zustimmen