Worum geht es?
Unternehmen, die sich nicht datenschutzkonform verhalten, haben vier Dinge zu befürchten: Reputationsschäden, Bußgelder, immaterielle Schadensersatzforderungen und - im Hinblick auf die nun getroffenen Urteile - auch Abmahnkosten aufgrund klagender Mitbewerber.
Denn sowohl das OLG Hamburg[1] als auch das LG Würzburg[2] haben entschieden, dass Verstöße gegen die DSGVO auch Verstöße gegen Marktverhaltensregeln nach dem UWG darstellen und diese durch Mitbewerber abgemahnt werden können. Leider begründet das LG Würzburg nicht, wie sie zu der Ansicht kommen, dass Verstöße gegen die DSGVO auch Verstöße gegen Marktverhaltensregeln nach dem UWG darstellen. Andererseits hat sich das OLG Hamburg hierzu im Detail geäußert.
Demnach wird „in Rechtsprechung und Literatur (..) inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.“. Dazu ein Beispiel: Die Nutzung von personenbezogenen Daten ohne Einwilligung zu Werbezwecken wurde bereits von mehreren OLG als Marktverhaltensregel (OLG Stuttgart 2007, OLG Köln 2009, OLG Karlsruhe 2012) bestätigt. Auch das OLG Hamburg kommt zu dem Schluss, dass Verstöße gegen die DSGVO wettbewerbsrechtlich verfolgbar sind.
Trotzdem bleibt es spannend, denn der Senat hat die Revision zugelassen, „weil die Fragen, ob die DS-RL und/oder die DS-GVO der Klagebefugnis des Wettbewerbers entgegenstehen, bislang noch nicht höchstrichterlich entschieden“ sind.
Unabhängig von dem Leuchtturmcharakter der Urteile haben sich die jeweils von ihren Mitbewerbern aufgrund der Vorgaben der DSGVO abgemahnten Unternehmen nicht gerade mit Ruhm bekleckert. In einem Fall war die Datenschutzerklärung des Unternehmens ganze 7 Zeilen lang und der Anbieter der Webseite hatte sein Kontaktformular nicht verschlüsselt. In einem anderen Fall haben Pharmaunternehmen (!) keine Einwilligungen zur Verarbeitung besonderer Kategorien personenbezogener Daten bei den Betroffenen eingefordert.
Mein Tipp:
Falls noch nicht geschehen, sollten Sie alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, auf die Einhaltung der DSGVO und weiterer, branchenspezifischer Gesetze überprüfen lassen. Mein Tipp: Beginnen Sie mit den Verarbeitungsprozessen, die von außen erkennbar sind und besondere Risiken für die Rechte und Freiheiten der betroffenen Personen und arbeiten Sie sich weiter in die innerbetrieblichen Prozesse vor. Gerne unterstütze ich Sie dabei.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen
[1] OLG Hamburg, Urteil vom 25.10.2018, 3 U 66/17
[2] LG Würzburg, Beschluss vom 13.9.2018 – 11 O 1741/18