Datenschutzgrundverordnung

Wo die Abmahnung droht

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.


Sebastian Laoutoumai ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Die Schwerpunkte der Tätigkeit von Sebastian Laoutoumai liegen im Gewerblichen Rechtsschutz, insbesondere dem Marken- und Wettbewerbsrecht. Ein weiterer Schwerpunkt seiner Tätigkeit liegt im Logistikrecht und auf der Verhandlung und Erstellung von IT-Verträgen.
Die Nichterfüllung der DSGVO kann für Unternehmen schwerwiegende, finanzielle Folgen haben. Unannehmlichkeiten drohen dabei allerdings nicht nur von behördlicher Seite.

Die Umsetzung der datenschutzrechtlich relevanten Prozesse auf die neuen Anforderungen der Datenschutzgrundverordnung (DSGVO) stellt für viele Unternehmen aktuell einen Wettlauf mit der Zeit dar, denn mit dem 25. Mai 2018 müssen diese Vorgaben von allen Unternehmen eingehalten werden. Befeuert wird die Hysterie oftmals durch die drohenden Bußgelder, die bei einem Verstoß gegen die Vorgaben der DSGVO von den Aufsichtsbehörden verhängt werden können.

Neben den Aufsichtsbehörden kann Ungemach von einer weiteren Seite drohen, nämlich von direkten Mitbewerbern oder von Wettbewerbs- und Verbraucherschutzverbänden. Diese können nach § 8 UWG wettbewerbsrechtlich relevante Datenschutzverstöße ahnden und Unterlassungs- und Beseitigungsansprüche gegen das betreffende Unternehmen geltend machen. Grundsätzlich besteht auch die Möglichkeit, über § 9 UWG einen Schadensersatz geltend zu machen. Da dieser allerdings in der Regel nicht oder nur schwer beziffert werden kann, spielt der Schadensersatzanspruch in der wettbewerbsrechtlichen Praxis kaum eine Rolle.

Die Nichtbeachtung der Regelungen der Datenschutzgrundverordnung kann nicht nur hohe Bußgelder von behördlicher Seite zur Folge haben.
Die Nichtbeachtung der Regelungen der Datenschutzgrundverordnung kann nicht nur hohe Bußgelder von behördlicher Seite zur Folge haben.
Foto: Billion Photos - shutterstock.com

Risiko Gewinnabschöpfung

Wesentlich gravierender als der Schadensersatzanspruch kann sich allerdings ein Anspruch auf Gewinnabschöpfung nach § 10 UWG für das in Anspruch genommene Unternehmen auswirken. Danach muss derjenige, der vorsätzlich einen wettbewerbsrechtlich relevanten Datenschutzverstoß begangen hat und hierdurch zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt hat, diesen herausgeben. Hintergrund dieser Regelung ist der Gedanke, dass demjenigen, der sich wettbewerbswidrig im Markt verhält, nicht auch noch die Früchte seines Rechtsverstoßes zu Gute kommen sollten.

Anders als die Ansprüche auf Unterlassung und Beseitigung können den Anspruch auf Gewinnabschöpfung allerdings nicht auch Mitbewerber geltend machen, sondern nur Wettbewerbs- und Verbraucherschutzverbände. Zudem erfolgt die Herausgabe des zu Unrecht erzielten Gewinns nicht an den jeweiligen Wettbewerbs- oder Verbraucherschutzverband, sondern an die Staatskasse. Je nach Geschäftsmodell, Umfang und Dauer des Verstoßes kann der herauszugebende Betrag jedoch eine nicht unbeachtliche Größenordnung annehmen.

Dabei ist auch zu berücksichtigen, dass (anders als bei den Bußgeldvorschriften aus der DSGVO) § 10 UWG keine Deckelung des herauszugebenden Betrages vorsieht. Vielmehr ist der gesamte Gewinn, der durch den wettbewerbsrechtlich relevanten Datenschutzverstoß erzielt wurde, an die Staatskasse abzuführen. Unternehmenskritisch wird ein solches Herausgabeverlangen immer dann, wenn der Datenschutzverstoß über einen längeren Zeitraum erfolgte, substanzielle Gewinne hierdurch erzielt wurden und diese bereits investiert wurden - sich also nicht mehr im Barvermögen des Unternehmens befinden.

Wann ist ein Verstoß wettbewerbsrechtlich relevant?

Ein Datenschutzverstoß kann immer dann über das Wettbewerbsrecht verfolgt werden, wenn die verletzte Datenschutzvorschrift eine sogenannte Marktverhaltensregelung im Sinne von § 3a UWG darstellt. Nach dem derzeit geltenden Datenschutzrecht ist es zwar innerhalb der Rechtsprechung strittig, ob Datenschutznormen eben solche Marktverhaltensregelungen darstellen. Tatsächlich stellt auch nicht jeder Verstoß gegen datenschutzrechtliche Bestimmungen zugleich einen Wettbewerbsverstoß dar.

Vielmehr muss mit der betreffenden datenschutzrechtlichen Vorschrift auch ein wettbewerbsrechtlich relevantes Thema betroffen sein. Vor dem Hintergrund, dass das Datenschutzrecht nach dem Volkszählurteil des Bundesverfassungsgericht eine besondere Ausprägung des Persönlichkeitsrecht darstellt, werden mit dem Datenschutzrecht primär persönlichkeitsrechtliche und nicht wettbewerbsrechtliche Belange berührt.

Allerdings hat sich seit der Entscheidung des Bundesverfassungsgerichts der Blick auf das Datenschutzrecht gewandelt. Zunehmend treten die persönlichkeitsrechtlichen Aspekte zugunsten wirtschaftlicher Aspekte in den Hintergrund. Der wirtschaftliche Wert personenbezogener Daten kann nicht ernsthaft in Zweifel gezogen werden. Ganze Geschäftsmodelle, insbesondere im Internet, basieren auf dem Austausch personenbezogener Daten. Zunehmend berührt das Datenschutzrecht damit nicht mehr nur persönlichkeitsrechtliche Aspekte, sondern zumindest auch wettbewerbsrechtliche Belange.

§ 3a UWG transferiert datenschutzrechtliche Vorgaben in das Wettbewerbsrecht. Die Vorschrift ist getragen von dem Gedanken, dass sich kein Akteur im Markt dadurch einen Vorsprung erschleicht, dass er eine für alle geltende Vorschrift missachtet. Voraussetzung ist das Vorliegen einer Marktverhaltensregelung, also einer Vorschrift, die zumindest auch dazu dient, das Verhalten der einzelnen Marktteilnehmer bezüglich Angebot, Nachfrage und Vertragsanbahnung zu steuern.

Aufgrund des persönlichkeitsrechtlichen Ursprungs stehen Teile der Rechtsprechung auf dem Standpunkt, dass datenschutzrechtliche Vorschriften in keinem Fall Marktverhaltensregelungen darstellen können. Das hat zur Folge, dass eine Durchsetzung datenschutzrechtlicher Verstöße über das Wettbewerbsrecht per se ausgeschlossen ist. Das andere Extrem nimmt an, dass Datenschutzvorschriften immer auch Marktverhaltensregelungen darstellen, so dass jeder Verstoß gegen eine Bestimmung aus dem Datenschutzrecht zugleich einen Wettbewerbsverstoß darstelle.

Durchgesetzt hat sich allerdings die Auffassung, dass zu differenzieren ist, welchen Zweck eine konkrete datenschutzrechtliche Vorschrift verfolgt. Erfüllt die betreffende Vorschrift im Einzelfall die Voraussetzungen einer Marktverhaltensregelung, stellt deren Verletzung auch einen Wettbewerbsverstoß dar.

Der überwiegende Teil der Rechtsprechung neigt dazu, dieser vermittelnden Ansicht zu folgen und fragt bei der Prüfung, ob die betroffenen Daten als wirtschaftliches Gut verarbeitet werden. In diesem Fall folgt der Marktbezug aus der Kommerzialisierbarkeit der Daten. Dies trifft freilich nicht auf alle Datenverarbeitungsvorgänge zu, die im Datenschutzrecht geregelt werden. Werden die Daten allerdings zu Werbezwecken verarbeitet, besteht eine solche Kommerzialisierung, sodass die datenschutzrechtlichen Bestimmungen, die mit der Verarbeitung von personenbezogenen Daten zu Zwecken der Werbung greifen, von der überwiegenden Rechtsprechung als Marktverhaltensregelungen angesehen werden.

Zur Startseite