Ein weiteres Oberlandesgericht schließt sich nun der Rechtsauffassung an, dass die Sanktionen in Art. 80 DSGVO nicht abschließend sind und demnach Verstöße gegen die Datenschutzgrundverordnung von Mitbewerbern abgemahnt werden können. Lange Zeit war diese Auffassung nur von Gerichten nördlich des Mains vertreten worden, nun auch von einem süddeutschen Gericht.
Konkret ging es in dem Urteil des OLG Stuttgart, vom 27.2.2020 – 2 U 257/19 – um eine fehlende Datenschutzerklärung auf der Internetseite. Der Beklagte wurde wie folgt verurteilt:
Der Beklagte wird verurteilt, es bei Vermeidung eines vom Gericht in jedem Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, zu unterlassen,
im geschäftlichen Verkehr mit dem Verbraucher betreffend Kraftfahrzeugzubehör eine Website/Homepage selbst oder durch Dritte zu unterhalten, auf der zu geschäftlichen Zwecken personenbezogene Daten erhoben werden, ohne dass eine Datenschutzerklärung nach Artikel 13 Absatz 1 und 2 Datenschutz-Grundverordnung der EU (DSGVO 2016/679) vom 27. April 2016 in deren Geltungsbereich vorgehalten wird.
OLG Stuttgart, Urteil vom 27.2.2020 – 2 U 257/19
Zunächst ist es mir unverständlich, wie man als Webseitenbetreiber heutzutage überhaupt noch die kühne Rechtsauffassung vertreten kann, keine Datenschutzhinweise vorhalten zu müssen. Dann ist es mir unverständlich, wie man eine solche Abmahnung ignorieren und bis zum OLG hochprügeln kann, wo der Ausgang des Verfahrens absehbar ist. Dies vor allem vor dem Hintergrund, dass das OLG Stuttgart den Streitwert mit 10.000,- EUR dann doch recht üppig bemessen hat.
Zunächst stellt das OLG fest, warum die Sanktionsmöglichkeiten der DSGVO nicht abschließend seien:
Durch die Datenschutz-Grundverordnung werden die Rechtsbehelfe nicht abschließend geregelt, so dass die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar bleiben, wenn es sich um einen Verstoß gegen eine Marktverhaltensregelung handelt (so auch OLG Hamburg, Urteil vom 25. Oktober 2018 – 3 U 66/17, juris Rn. 56 m. zust. Anm. Janßen, jurisPR-ITR 25/2018 Anm. 2; Wolff, ZD 2018, 248; Laoutoumai/Hoppe, K&R 2018, 533; Schreiber, GRUR-Prax 2018, 371).
Bestimmungen einer EU-Verordnung sind nicht von sich aus abschließend. Der Rechtsakt einer Verordnung hat eine allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Artikel 288 Absatz 2 AEUV). Sieht die Verordnung den Erlass von weitergehenden nationalen Regelungen nicht ausdrücklich vor, können Mitgliedstaaten nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren (EuGH, Urteil vom 14. Oktober 2004 – C-113/02, Rn. 16). Dabei ist unter Bezugnahme auf die einschlägigen Bestimmungen der Verordnung zu prüfen, ob diese Bestimmungen, ausgelegt im Licht ihrer Ziele, es den Mitgliedstaaten verbieten, gebieten oder gestatten, bestimmte nationale Normen anzuwenden, und insbesondere im letztgenannten Fall, ob sie sich in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügen (EuGH, Urteil vom 21. Dezember 2011 – C-316/10, Rn. 43).
Bei der Auslegung der Verordnung zur Frage, ob sie den Mitgliedsstaaten die Anwendung bestimmter nationaler Normen zur Rechtsdurchsetzung gestattet, ist von dem maßgeblichen Interesse eines jeden Normgebers auszugehen, dass die von ihm erlassenen Bestimmungen von allen Adressaten befolgt werden. Auf diesem Grundinteresse basiert auch die in Artikel 4 Absatz 3 EUV und Artikel 197 Absatz 1 AEUV verankerte Verpflichtung der Mitgliedstaaten zur effektiven Durchführung des Unionsrechts. Allgemein setzt dies ein wirksames System der Kontrolle und Rechtsverfolgung voraus. Je engmaschiger dieses Netz, desto mehr wird der Willen des Normgebers durchgesetzt.
Die Interessenlage kann sich in diesem Bereich anders darstellen als bei der Harmonisierung des materiellen Rechts. Dort kann der Zweck darauf gerichtet sein, nicht nur Mindest-, sondern auch Höchstanforderungen aufzustellen. Es erleichtert den grenzüberschreitenden Verkehr von Waren und Dienstleistungen, wenn sich der Unternehmer nicht darauf einstellen muss, dass im Ausland noch höhere Anforderungen an ihn gestellt werden als im Mitgliedstaat seines Sitzes. Dass Teile der Datenschutz-Grundverordnung das materielle Recht vollständig harmonisieren, wird in der Literatur angenommen (statt aller: Franzen in Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 88 DSGVO Rn. 7 ff). Diese Erwägung lässt allerdings noch keine Rückschlüsse darauf zu, dass dies auch für die Rechtsdurchsetzung gelten soll.
Bereits nach dem allgemeinen Kompetenzgefüge der Europäischen Union sind die Mitgliedstaaten verpflichtet, die in einer Verordnung begründeten Rechte zu schützen, namentlich durch die nationalen Gerichte (EuGH, Urteil vom 10. Oktober 1973 – 34/73, Rn. 8). Dieser allgemeinen Aufteilung folgt auch die Datenschutz-Grundverordnung, indem sie die Zuständigkeit der nationalen Gerichte für Klagen begründet (Artikel 78 Absatz 3, Artikel 79 Absatz 2, Artikel 82 Absatz 6 DSGVO) und darüber hinaus die Mitgliedstaaten verpflichtet, Aufsichtsbehörden einzurichten (Artikel 51 Absatz 1 DSGVO). Dabei gibt die Verordnung lediglich vor, dass dem einzelnen ein Zugang zum Rechtsschutz gewährt werden muss durch ein Klagerecht bzw. ein Recht auf Beschwerde bei der Aufsichtsbehörde. Daraus folgt, dass die nähere Ausgestaltung der Rechtsdurchsetzung in die Verantwortung der Mitgliedstaaten fällt.
Ist mithin davon auszugehen, dass der Normgeber die effektive Durchsetzung der durch ihn verliehenen Rechte beansprucht und gibt er – wie hier – die Zuständigkeit zur Ausgestaltung des Prozessrechts an die Mitgliedstaaten, muss vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden. Etwas anderes kann nur angenommen werden, wenn sich aus der Verordnung selbst mit hinreichender Klarheit ergibt, dass weitergehende nationale Maßnahmen, die die Rechtsdurchsetzung erleichtern, unzulässig sein sollen.
Aus der Datenschutz-Grundverordnung ergibt sich jedoch nicht – schon gar nicht mit der hierfür gebotenen Klarheit –, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen.
Aha, weil in der DSGVO nichts davon steht, dass Wettbewerbsverbände nicht klagen dürfen, muss es also erlaubt sein.
E folgen aber noch seitenweise Ausführungen dazu, weshalb Art. 80 DSGVO nicht abschließend sein soll und weshalb hier also Mitbewerber aktivlegitimiert sind. Dies ist dem Umstand geschuldet, dass das OLG Stuttgart die Revision zum BGH zugelassen hat.
Ok, wir haben also die Aktivlegitimation geschafft. Jetzt müssen wir nur noch die Hürde schaffen, ob und inwieweit ein Verstoß gegen die Verpflichtung nach Art. 13 DSGVO auch eine Marktverhaltensregel sein soll. Hierzu führt das OLG aus:
Als Marktverhalten im Sinne von § 3a UWG ist jede Tätigkeit auf einem Markt anzusehen, die objektiv der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen dient und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt (OLG Stuttgart, Urteil vom 08. Juni 2017 – 2 U 127/16, juris Rn. 28 – Extraportion Vitamin C). Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (BGH, Urteil vom 08. Oktober 2015 – I ZR 225/13, juris Rn. 21 – Eizellspende). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urteil vom 27. April 2017 – I ZR 215/15, juris Rn. 20 – Aufzeichnungspflicht). Nicht erforderlich ist dabei eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (BGH, Urteil vom 04. November 2010 – I ZR 139/09, juris Rn. 34). Die Vorschrift muss aber zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken (BGH, Urteil vom 28. November 2019 – I ZR 23/19, juris Rn. 24 – Pflichten des Batterieherstellers).
Die Kenntnis des Namens und der Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO) hat eine verbraucherschützende Funktion und weist den erforderlichen wettbewerblichen Bezug auf. Sie erleichtert die Kommunikation mit dem Unternehmen (zur Anbieterkennzeichnung bei Telemediendiensten: BGH, Urteil vom 20. Juli 2006 – I ZR 228/03, juris Rn. 15). In diesem Sinne auch als verbraucherschützend mit Marktbezug zu werten sind die Information über die in Artikel 13 Absatz 2 lit. b DSGVO angesprochenen Rechte gegen den Verantwortlichen sowie der Hinweis auf das Beschwerderecht gegenüber der Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO).
Die Kenntnis des Namens und der Kontaktdaten des Verantwortlichen liebes OLG stehen aber bereits im Impressum, so dass diese Ausführungen nicht überzeugen können. Aber wir schauen einmal weiter:
Einen nicht nur persönlichkeitsschützenden Charakter, sondern auch wettbewerblichen Bezug hat ferner die Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO) und darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO). Einen Marktbezug hat schließlich auch die Pflicht zur Erteilung der Information über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO).
Einen wettbewerbsrechtlichen Bezug soll die Information über die Zwecke der Datenverarbeitung also haben. Ok, welchen Zweck verfolgt wohl ein KFZ-Händler, wenn ihn Kunden anschreiben können? Hier wird seitens des OLG meinem Dafürhalten nach von einem unmündigen Internetbesucher ausgegangen, welcher an die Hand genommen werden muss. Aber gut, es ist immerhin ein OLG.
Dem Interesse der Verbraucher und sonstigen Marktteilnehmer dient eine Norm, wenn sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützt (Köhler in: Köhler/Bornkamm/Feddersen/Köhler, a.a.O., § 3a UWG Rn. 1.67). Dies ist hier der Fall. Bereits durch den Geschäftskontakt als solchen werden datenschutzrechtliche Belange des Interessenten berührt und entsprechende Pflichten des Unternehmers begründet.
Die Entscheidung des Interessenten für eine Anbahnung des Vertrages stellt eine geschäftliche Entscheidung dar. Der Begriff der „geschäftlichen Entscheidung“ umfasst nicht nur die Entscheidung über den Erwerb oder Nichterwerb eines Produkts, sondern auch damit unmittelbar zusammenhängende Entscheidungen wie die Kontaktaufnahme mit dem Anbieter (BGH, Urteil vom 28. April 2016 – I ZR 23/15, juris Rn. 34 – Geo-Targeting). Die Entscheidung, mit dem Anbieter über Fernkommunikationsmittel in Kontakt zu treten, ist mithin untrennbar mit der Übermittlung personenbezogener Daten verknüpft ist (in diesem Sinne auch OLG Hamburg, Urteil vom 27. Juni 2013 – 3 U 26/12, juris Rn. 58 zu § 13 TMG). Die zu erteilenden Informationen dienen damit auch der Entscheidung des Verbrauchers, mit dem Unternehmen überhaupt in Kontakt zu treten und in diesem Zuge Daten zu übermitteln.
Also ehrlich: jetzt bin ich raus. Die Begründung hat meiner Meinung nach nichts mehr mit der Realität zu tun. Wer von uns liest Datenschutzerklärungen und entscheidet sich daraufhin, ob er mit dem Unternehmen in Kontakt treten will oder nicht? Ich würde mal behaupten: keiner! Aber gut, es muss ja irgendwie begründet werden, weshalb die fehlende Datenschutzerklärung einen Marktbezug aufweist und daher ein Verstoß gegen das UWG vorliegt.
Das OLG hat diesen Einwand aber auch erkannt und sodann ausgeführt:
Den Unternehmer, der geltend macht, dass der Verbraucher – abweichend vom Regelfall – eine ihm vorenthaltene wesentliche Information für eine Kaufentscheidung nicht benötigt und dass das Vorenthalten dieser Information den Verbraucher nicht zu einer anderen Kaufentscheidung veranlassen kann, trifft insoweit allerdings eine sekundäre Darlegungslast (BGH, Urteil vom 02. März 2017 – I ZR 41/16, juris Rn. 32 – Komplettküchen). Der Verbraucher wird eine wesentliche Information im Allgemeinen für eine informierte geschäftliche Entscheidung benötigen. Ebenso wird, sofern im konkreten Fall keine besonderen Umstände vorliegen, grundsätzlich davon auszugehen sein, dass das Vorenthalten einer wesentlichen Information, die der Verbraucher nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er bei der geboten gewesenen Information nicht getroffen hätte (BGH, Urteil vom 07. März 2019 – I ZR 184/17, juris Rn. 27 – Energieeffizienzklasse III).
Bingo, jetzt muss der Unternehmer im Rahmen einer sekundären Darlegungslast nachweisen (nicht beweisen), dass der Verbraucher im konkreten Fall diese für ihn wesentlichen Informationen nicht benötigt habe. Das hat der Beklagte in dem Verfahren offensichtlich nicht zustande gebracht:
Aus den Gründen, aus denen die Informationspflichten gemäß Artikel 13 DSGVO als Marktverhaltensregelungen einzuordnen sind, ist ein hiergegen gerichteter Verstoß regelmäßig als spürbar zu bewerten. Der Beklagte hat auch keinen Vortrag dazu gehalten, der in Zweifel ziehen würde, dass der Verbraucher die zu erteilenden Informationen abweichend vom Regelfall nicht für eine informierte Entscheidung, mit ihm über das Internetportal zur Geschäftsanbahnung in Kontakt zu treten, benötigen würde.
Bleibt zu hoffen, dass der Beklagte hier die zugelassene Revision zum BGH nicht scheut, da dies der Rechtssicherheit und Rechtsklarheit dienlich wäre. Es ist aber zu befürchten, dass auch der BGH hier eine Markverhaltensregel sieht. Aber wie Eingangs schon erwähnt: Wie kann man heutzutage noch ohne Datenschutzerklärung unterwegs sein?
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530