Abmahnfähigkeit von DSGVO-Verstößen durch Wettbewerber weiterhin unklar

Mehr als ein halbes Jahr seit Einführung der Datenschutzgrundverordnung haben sich die Datenschutzbehörden in Deutschland mit der Verhängung von Bußgeldern aufgrund von Verstößen gegen die Datenschutzgrundverordnung zurückgehalten, dann wurde auch hierzulande das erste Bußgeld verhängt:  Demnach muss das Soziale Netzwerk „Knuddels.de“ ein Bußgeld in Höhe von 20.000 € zahlen.¹                                                      

Das Unternehmen hatte Passwörter von Nutzern unverschlüsselt gespeichert und damit gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit verstoßen. Es fiel einem Hackerangriff zum Opfer, bei dem über 800.000 Email Adressen und über 1,8 Millionen Pseudonyme und Passwörter erbeutet und im Internet veröffentlicht wurden.²

In Anbetracht der möglichen Bußgelder bis hin zu 20 Millionen Euro fiel die Strafe damit verhältnismäßig gering aus. Als Grund dafür wurden die beispielhafte Transparenz des Unternehmens sowie die schnelle Umsetzung der Vorgaben und Empfehlungen des Datenschutzbeauftragten genannt.³

Spannend bleibt die Frage, wie sich die Höhe der Bußgelder bei Verstößen gegen die DSGVO in Zukunft entwickeln wird.  Allerdings ist es bereits ein Indiz dafür, dass die Datenschutzbehörden die Höhe der Bußgelder letztendlich vor allem auch von der Kooperationsbereitschaft der Unternehmen abhängig machen und sich erste Befürchtungen von horrenden Bußgeldern nicht bestätigen werden, wie sich aus den Worten von Dr. Stefan Brink, dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), schließen lässt: „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, so Brink. Zudem komme es dem Landesamt als Bußgeldbehörde nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Denn schließlich zähle die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer“, resümiert er.³

Der Fachanwalt für IT-Recht, Joerg Heidrich, geht von einer stark ansteigenden Anzahl der Bußgelder in den nächsten Monaten aus. Er berichtet, dass die Behörden mit Datenschutzverstößen „regelrecht überrannt wurden und mittlerweile einige Verfahren eingeleitet worden seien, die bald veröffentlicht werden.“ ⁴

Auch bezüglich der Abmahnfähigkeit von DSGVO-Verstößen durch Wettbewerber herrscht weiterhin Unklarheit. Wie bereits berichtet⁵ gibt es unterschiedlich ausgelegte Urteile des Landgerichts Würzburg und des Landgerichts Bochum. Während das LG Würzburg (13. September 2018; Az. 11 O 1741/18 UWG) Verstöße gegen die DSGVO als Wettbewerbsverstöße gemäß §3a UWG einordnet und damit für abmahnbar hält, entschied das LG Bochum in einem ähnlichen Fall (Urteil vom 07.08.2018, Az.: I-12 O 85/18s), dass ein Verstoß gegen die Informationspflichten (Art. 13 DSGVO) nicht im Rahmen einer wettbewerbsrechtlichen Abmahnung verfolgt werden kann.

Das Oberlandesgericht Hamburg (OLG Hamburg, Urteil v. 25.10.2018, Az.: 3 U 66/17) entschied nun, dass einerseits zwar die Abmahnfähigkeit von Verstößen durch Wettbewerber rechtens sei, im Rahmen des §3a UWG aber in jedem Einzelfall geprüft werden müsse, ob die angeblich verletzte Vorschrift der DSGVO tatsächlich eine Regelung des Marktverhaltens beinhaltet. Nur bei Erfüllung dieser Voraussetzung könne ein Mitbewerber diese Verstöße abmahnen. Wenn die Vorschrift dagegen nur dazu diene, die Interessen Dritter oder anderer Gemeinschaftsgüter zu schützen, ohne dabei gleichzeitig auch dem Schutz der Interessen von Marktteilnehmern zu dienen, sei die Abmahnfähigkeit durch Mitbewerber nicht gegeben.⁶

Da das OLG Hamburg gegen des Urteil Revision zugelassen hat, sind weitere Urteile höherer Instanzen wie der des Bundesgerichtshofs oder möglicherweise des Europäischen Gerichtshofs abzuwarten.⁷

Quellen:

¹ http://www.spiegel.de/netzwelt/web/knuddels-chat-plattform-muss-nach-hackerangriff-bussgeld-zahlen-a-1239776.html

² http://www.spiegel.de/netzwelt/web/knuddels-de-von-hackern-angegriffen-a-1227170.html

³ https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

⁴ https://www.tagesschau.de/inland/datenschutzgrundverordnung-bilanz-101.html

⁵ http://www.unternehmerhaus.eu/erste-urteile-zur-neuen-dsgvo/

⁶ https://www.haufe.de/recht/weitere-rechtsgebiete/wirtschaftsrecht/olg-urteil-zur-abmahnfaehigkeit-von-dsgvo-verstoessen-nach-uwg_210_477402.html

⁷ http://www.landesrecht- hamburg.de/jportal/portal/page/bsharprod.psml?showdoccase=1&doc.id=KORE227602018&st=ent