Skip to content

OLG Stuttgart: Verstöße gegen DSGVO sind regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße - § 13 Absatz 1 Satz 1 TMG wird durch DSGVO verdrängt

OLG Stuttgart
Urteil vom 27.2.2020
2 U 257/19

Das OLG Stuttgart hat entschieden, dass Verstöße gegen die Vorgaben der DSGVO regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße sind. Zudem hat das OLG Stuttgart entschieden, dass § 13 Absatz 1 Satz 1 TMG durch DSGVO verdrängt wird.

Aus den Entscheidungsgründen:

"Die Klage ist auch hinsichtlich des Hilfsantrages aus den oben dargestellten Gründen zulässig. Insbesondere steht es dem Kläger zu, gemäß § 8 Absatz 3 Nr. 2 UWG Unterlassungsansprüche zu verfolgen, die sich aus Verstößen gegen die Datenschutz-Grundverordnung ergeben.

Durch die Datenschutz-Grundverordnung werden die Rechtsbehelfe nicht abschließend geregelt, so dass die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar bleiben, wenn es sich um einen Verstoß gegen eine Marktverhaltensregelung handelt (so auch OLG Hamburg, Urteil vom 25. Oktober 2018 – 3 U 66/17, juris Rn. 56 m. zust. Anm. Janßen, jurisPR-ITR 25/2018 Anm. 2; Wolff, ZD 2018, 248; Laoutoumai/Hoppe, K&R 2018, 533; Schreiber, GRUR-Prax 2018, 371).

1. Bestimmungen einer EU-Verordnung sind nicht von sich aus abschließend. Der Rechtsakt einer Verordnung hat eine allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Artikel 288 Absatz 2 AEUV). Sieht die Verordnung den Erlass von weitergehenden nationalen Regelungen nicht ausdrücklich vor, können Mitgliedstaaten nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren (EuGH, Urteil vom 14. Oktober 2004 – C-113/02, Rn. 16). Dabei ist unter Bezugnahme auf die einschlägigen Bestimmungen der Verordnung zu prüfen, ob diese Bestimmungen, ausgelegt im Licht ihrer Ziele, es den Mitgliedstaaten verbieten, gebieten oder gestatten, bestimmte nationale Normen anzuwenden, und insbesondere im letztgenannten Fall, ob sie sich in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügen (EuGH, Urteil vom 21. Dezember 2011 – C-316/10, Rn. 43).

2. Bei der Auslegung der Verordnung zur Frage, ob sie den Mitgliedsstaaten die Anwendung bestimmter nationaler Normen zur Rechtsdurchsetzung gestattet, ist von dem maßgeblichen Interesse eines jeden Normgebers auszugehen, dass die von ihm erlassenen Bestimmungen von allen Adressaten befolgt werden. Auf diesem Grundinteresse basiert auch die in Artikel 4 Absatz 3 EUV und Artikel 197 Absatz 1 AEUV verankerte Verpflichtung der Mitgliedstaaten zur effektiven Durchführung des Unionsrechts. Allgemein setzt dies ein wirksames System der Kontrolle und Rechtsverfolgung voraus. Je engmaschiger dieses Netz, desto mehr wird der Willen des Normgebers durchgesetzt.

Die Interessenlage kann sich in diesem Bereich anders darstellen als bei der Harmonisierung des materiellen Rechts. Dort kann der Zweck darauf gerichtet sein, nicht nur Mindest-, sondern auch Höchstanforderungen aufzustellen. Es erleichtert den grenzüberschreitenden Verkehr von Waren und Dienstleistungen, wenn sich der Unternehmer nicht darauf einstellen muss, dass im Ausland noch höhere Anforderungen an ihn gestellt werden als im Mitgliedstaat seines Sitzes. Dass Teile der Datenschutz-Grundverordnung das materielle Recht vollständig harmonisieren, wird in der Literatur angenommen (statt aller: Franzen in Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 88 DSGVO Rn. 7 ff). Diese Erwägung lässt allerdings noch keine Rückschlüsse darauf zu, dass dies auch für die Rechtsdurchsetzung gelten soll.

3. Bereits nach dem allgemeinen Kompetenzgefüge der Europäischen Union sind die Mitgliedstaaten verpflichtet, die in einer Verordnung begründeten Rechte zu schützen, namentlich durch die nationalen Gerichte (EuGH, Urteil vom 10. Oktober 1973 – 34/73, Rn. 8). Dieser allgemeinen Aufteilung folgt auch die Datenschutz-Grundverordnung, indem sie die Zuständigkeit der nationalen Gerichte für Klagen begründet (Artikel 78 Absatz 3, Artikel 79 Absatz 2, Artikel 82 Absatz 6 DSGVO) und darüber hinaus die Mitgliedstaaten verpflichtet, Aufsichtsbehörden einzurichten (Artikel 51 Absatz 1 DSGVO). Dabei gibt die Verordnung lediglich vor, dass dem einzelnen ein Zugang zum Rechtsschutz gewährt werden muss durch ein Klagerecht bzw. ein Recht auf Beschwerde bei der Aufsichtsbehörde. Daraus folgt, dass die nähere Ausgestaltung der Rechtsdurchsetzung in die Verantwortung der Mitgliedstaaten fällt.

4. Ist mithin davon auszugehen, dass der Normgeber die effektive Durchsetzung der durch ihn verliehenen Rechte beansprucht und gibt er – wie hier – die Zuständigkeit zur Ausgestaltung des Prozessrechts an die Mitgliedstaaten, muss vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden. Etwas anderes kann nur angenommen werden, wenn sich aus der Verordnung selbst mit hinreichender Klarheit ergibt, dass weitergehende nationale Maßnahmen, die die Rechtsdurchsetzung erleichtern, unzulässig sein sollen.

Aus der Datenschutz-Grundverordnung ergibt sich jedoch nicht – schon gar nicht mit der hierfür gebotenen Klarheit –, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen.

a) Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt. Zwar kommt den Aufsichtsbehörden eine wichtige Rolle bei der Durchsetzung der Datenschutz-Grundverordnung zu. Die Verordnung beschneidet aber auch nicht die Rechtsdurchsetzung privater Rechte auf dem Zivilrechtsweg. Vielmehr stehen Maßnahmen der Aufsichtsbehörde, die u.a. Sanktionen verhängen kann, und die privatrechtliche Durchsetzung von Schadensersatzansprüchen unabhängig nebeneinander und sind gleichrangig.

aa) Durch die Einrichtung der Aufsichtsbehörden wollte der Verordnungsgeber die Rechtsstellung der Unionsbürger verbessern. Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt (Artikel 77 Absatz 1 DSGVO). Die Aufsichtsbehörden sind u.a. dazu befugt, Verantwortliche zu warnen, zu verwarnen, ihnen bestimmte Maßnahmen aufzuerlegen und gegen sie Sanktionen zu verhängen (Artikel 58 Absatz 2 lit. a, b, g, i und Artikel 83 DSGVO).

bb) Eine Einschränkung bestehender Befugnisse zur Rechtsdurchsetzung war nicht bezweckt. Vielmehr sollte durch die Datenschutz-Grundverordnung ersichtlich nur ein Mindeststandard für den Rechtsschutz der betroffenen Person und desjenigen, dem durch Verstöße gegen die Verordnung ein Schaden entstanden ist, geregelt werden.

Das Beschwerderecht der betroffenen Person (Artikel 4 Nr. 1 DSGVO) besteht „unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs“ (Artikel 77 Absatz 1 DSGVO). Die Verordnung stellt die individuelle gerichtliche Geltendmachung von Ansprüchen – etwa vor einem Zivilgericht – der behördlichen Rechtsdurchsetzung gleich. Unabhängig von dem Recht, sich an eine zuständige Aufsichtsbehörde zu wenden, gewährt Artikel 79 Absatz 1 DSGVO jeder betroffenen Person einen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden (vgl. Mundil in Beck’scher Onlinekommentar Datenschutzrecht, 30. Ed. 1.2.2017, Art. 79 DSGVO Rn. 14). Daneben gewährt Artikel 82 Absatz 1 und 6 DSGVO jeder Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen gerichtlich durchsetzbaren Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

cc) Insbesondere enthält Artikel 80 DSGVO keine abschließende Regelung für die privatrechtliche Rechtsdurchsetzung. Nicht gefolgt werden kann der Auffassung, aus einem Gegenschluss zu Artikel 80 Absatz 2 DSGVO ergebe sich, dass Mitbewerber und Wettbewerbsverbände nicht klagebefugt seien. Artikel 80 Absatz 2 DSGVO sei als Öffnungsklausel anzusehen, die die Mitgliedstaaten lediglich dazu ermächtige, sog. Datenschutzverbänden eine Klagebefugnis zu verleihen, nicht jedoch auch Mitbewerbern und Wettbewerbsverbänden im Sinne von § 8 Absatz 3 Nr. 2 UWG (so Köhler, WRP 2018, 1269 Rn. 35; ders., WRP 2019, 1279 Rn. 5; ders. in Köhler/Bornkamm/Feddersen, Kommentar zum UWG, 38. Aufl. 2020, § 3a UWG Rn. 1.40f; Barth, WRP 2018, 790 Rn. 16; Baumgartner/Sitte, ZD 2018, 555 [558]; Schmitt, WRP 2019, 27 Rn. 20; Spittka, GRUR-Prax 2019, 4; differenzierend Uebele, GRUR 2019, 694 [697], der zwar Mitbewerbern eine Klagebefugnis einräumt, nicht aber deren Verbänden).

(1) Artikel 80 Absatz 1 DSGVO räumt der betroffenen Person das Recht ein, auch Dritte damit zu beauftragen, ihre Rechte gegenüber der Aufsichtsbehörde, dem Verantwortlichen oder dem Auftragsverarbeiter wahrzunehmen. Dabei soll es sich allerdings um eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht handeln, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist. Weiter können die Mitgliedstaaten vorsehen, dass ebengenannte Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht haben, die genannten Rechte einzelner unabhängig von einem Auftrag der betroffenen Person wahrzunehmen (Artikel 80 Absatz 2 DSGVO). Die Voraussetzungen des Artikel 80 Absatz 1 DSGVO erfüllt der Kläger als Verband zur Förderung gewerblicher oder selbständiger beruflicher Interessen nicht.

(2) Dem Verlauf der Beratungen in der Ratsarbeitsgruppe lässt sich ein abschließender Charakter von Artikel 80 Absatz 2 DSGVO jedoch nicht entnehmen.

Die Regelung geht auf einen Vorschlag der französischen Delegation zurück, die den Gedanken eingebracht hat, dass die Wahrung der Einhaltung der Datenschutzrechte durch Verbände eine effektive Möglichkeit zu deren Rechtsdurchsetzung darstellt. Dabei schwebte der Initiative vor, die Mitgliedstaaten zum Erlass effektiver Verfahrensregelungen zu verpflichten (Ratsdokument 7586/1/15 REV 1, S. 22/23). Der Vorsitz griff diesen Vorschlag als neuen Artikel 76 Absatz 2 des Entwurfs auf, jedoch ohne eine Umsetzungsverpflichtung vorzusehen (Ratsdokument 7722/15, S. 16). In den Beratungen wurde die Frage erörtert, ob die Mitgliedstaaten zur Einräumung der Klagebefugnis verpflichtet werden sollten, wofür sich neben der französischen Delegation auch die Europäische Kommission einsetzte (Ratsdokument 8371/15, S. 15 Fn. 36). Mit der beschlossenen Fassung fanden die Delegationen einen Kompromiss (Ratsdokument 8383/15, S. 18 Fn. 34).

Aus den Materialien ergibt sich jedoch keine Stellungnahme von Delegationen, die die Bezugnahme auf den Absatz 1 für erforderlich hielten, um auszuschließen, dass anderen Verbänden, die nicht die Anforderungen eines Datenschutzverbandes erfüllten, eine Klagebefugnis eingeräumt wird. Die Europäische Kommission sprach sich für die Bezugnahme auf die Verbandsdefinition in Absatz 1 aus. Den Materialien lässt sich jedoch nicht entnehmen, dass es ihr Ziel war, weitergehende Klagebefugnisse auszuschließen. Vielmehr wollte sie erreichen, dass ein anerkannter Datenschutzverband die Rechte auch in einem anderen Mitgliedstaat verfolgen könnte. Hierin sah die Europäische Kommission den eigentlichen Mehrwert der Regelung (Ratsdokument 8371/15, Seite 15 Fn. 38).

Wie diese Äußerung und auch die weiteren Stellungnahmen zeigen, sind die Delegationen davon ausgegangen, dass eine Regelung der Klagebefugnis in den Kompetenzbereich der Mitgliedstaaten fällt. Die portugiesische Delegation hat darauf hingewiesen, dass die Befugnisse übriger Verbände nicht ausgeschlossen werden sollen (Ratsdokument 8371/15 Fn. 37). Die französische Delegation hat, nachdem sie ihr Ziel einer verpflichtenden Regelung nicht durchsetzen konnte, angemerkt, dass es einer Regelung nicht bedürfe, wenn sie keine Verpflichtung enthalte (Ratsdokument 8383/15 S. 18, Fn. 36).

Aus dem Umstand, dass die Delegationen in dem Willensbildungsprozess als kleinsten gemeinsamen Nenner eine Regelung gefunden haben, die nur das ausdrückt, was allgemein anerkannt ist – nämlich, dass die Mitgliedstaaten Datenschutzverbänden eine Klagebefugnis einräumen können – kann jedoch nicht geschlossen werden, dass andere allgemein anerkannte Befugnisse der Mitgliedstaaten – die Einräumung noch weitergehender Klagebefugnisse – eingeschränkt werden sollten. Die Ratsdokumente enthalten keinen Hinweis darauf, dass eine derartige Regelung getroffen werden sollte.

dd) Auch den Erwägungsgründen 11 und 13 kann nicht entnommen werden, dass die Sanktionen und die Rechtsdurchsetzung in der Datenschutz-Grundverordnung abschließend geregelt seien (so aber Köhler, WRP 2018, 1269 Rn. 24; Ohly, GRUR 2019, 686 [688]).

Zwar ist dort die Rede davon, dass in den Mitgliedstaaten die gleichen Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie die gleichen bzw. gleichwertigen Sanktionen im Falle ihrer Verletzung erforderlich sind. Als Sanktionen in diesem Sinne sind indes die von den Aufsichtsbehörden zu ergreifenden Maßnahmen (Artikel 58 Absatz 2 DSGVO), insbesondere die zu verhängenden Geldbußen (Artikel 58 Absatz 2 lit. i DSGVO), zu verstehen, für die es in Artikel 83 DSGVO eine ausgestaltende Regelung zur Höhe und zu den Bemessungskriterien gibt. Die zivilrechtliche Verfolgung von Ansprüchen durch Private stellt jedoch keine Sanktion in diesem Sinne dar. Wie die Überschrift zu Kapitel VIII belegt, unterscheidet die Verordnung zwischen Rechtsbehelfen, Haftung und Sanktionen (zutreffend Uebele, GRUR 2019, 694 [698]).

5. Die Klagebefugnis der Verbände gemäß § 8 Absatz 3 Nr. 2 UWG fügt sich in den Wertungsrahmen der Datenschutz-Grundverordnung ein.

Die Verfolgung von Wettbewerbsverstößen durch Mitbewerber und Wettbewerbsverbände hat sich als schlagkräftiges Instrument bewährt (Entwurf der Bundesregierung für ein Gesetz gegen den unlauteren Wettbewerb, Bundestag Drucksache 15/1487, S. 22). Zwar sind die Mitgliedstaaten nach Artikel 52 Absatz 4 DSGVO verpflichtet, die Aufsichtsbehörden mit den erforderlichen Ressourcen auszustatten, damit sie ihre Aufgaben effektiv wahrnehmen können. Da allerdings alle Ressourcen begrenzt sind und jede Behörde Schwerpunkte und Prioritäten setzen muss, können die Mitbewerber und Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten. Damit dient die ihnen zustehende Klagebefugnis der effektiven Durchsetzung der Verordnung, die im Interesse des Verordnungsgebers liegt und die sich damit in den in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügt. Da sich aus Artikel 77 ff. DSGVO der Grundsatz entnehmen lässt, dass weitergehende Rechtsbehelfe unberührt bleiben, gilt für die Befugnis von Verbänden nichts anderes (Laoutoumai/Hoppe, K&R 2018, 533 [535]).

II. Die Klage ist auch begründet. Der Unterlassungsanspruch folgt aus § 8 Absatz 1 UWG i.V.m. §§ 3, 3a UWG und Artikel 13 DSGVO.

1. Wer eine nach § 3 UWG unzulässige geschäftliche Handlung vornimmt, kann gemäß § 8 Absatz 1 Satz 1 UWG bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Nach § 3a UWG begeht eine im Sinne von § 3 Absatz 1 UWG unzulässige geschäftliche Handlung, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Die Anwendung von § 3a UWG wird durch die vollharmonisierende UGP-Richtlinie nicht gesperrt, da diese selbst vorsieht, dass Rechtsvorschriften der Gemeinschaft, die besondere Aspekte unlauterer Geschäftspraktiken regeln, vorgehen und maßgebend sind (Artikel 3 Absatz 4 UGP-Richtlinie). Die in Erwägungsgrund Nr. 10 zur UGP-Richtlinie genannten Richtlinien sind nicht abschließend (Micklitz/Namysłowska in Münchener Kommentar zum UWG, 3. Aufl. 2020, Art. 3 UGP-Richtlinie Rn. 35). Auch datenschutzrechtliche Bestimmungen können besondere Aspekte unlauterer Geschäftspraktiken regeln, wie der letzte Satz des Erwägungsgrundes 14 zur UGP-Richtlinie zeigt. Es hängt von den Regelungen im Einzelfall ab, welche Verordnung einen bestimmten Aspekt unlauterer Geschäftspraktiken speziell regelt. Für die datenschutzrechtlichen Informationspflichten ist Artikel 13 DSGVO maßgebend. Nicht erforderlich ist damit ein Rückgriff auf § 5a Absatz 2 und 4 UWG. Diese Bestimmung regelt in Umsetzung von Artikel 7 UGP-Richtlinie den Unlauterkeitstatbestand des Vorenthaltens einer für eine informierte geschäftliche Entscheidung des Verbrauchers erforderlichen wesentlichen Information.

2. Mit dem Inserat auf der Internethandelsplattform hat der Beklagte gegen Artikel 13 DSGVO verstoßen.

a) Es liegt eine geschäftliche Handlung im Sinne von § 3 Absatz 1 UWG vor. Als solche gilt jedes Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen objektiv zusammenhängt. Dies ist bei einem Inserat mit der Möglichkeit der Kontaktaufnahme und Bestellmöglichkeit der Fall.

Der Beklagte hat auch für sein Unternehmen gehandelt. Unternehmer ist nach der Legaldefinition des § 14 Absatz 1 BGB eine Person, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Eine gewerbliche Tätigkeit setzt ein selbständiges und planmäßiges, auf eine gewisse Dauer angelegtes Anbieten entgeltlicher Leistungen am Markt voraus (BGH, Urteil vom 04. Dezember 2008 – I ZR 3/06, juris Rn. 33 – Ohrclips). Diese Voraussetzungen liegen unstreitig vor, nachdem sich der Beklagte selbst auf der Handelsplattform als gewerblicher Verkäufer präsentiert.

b) Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche zur Erhebung der Daten Informationen zu erteilen. Teilweise hängen die Informationspflichten davon ab, ob bestimmte Umstände vorliegen (Artikel 13 Absatz 1 lit. a (2. Alt.), lit. b, d, e, f, Artikel 13 Absatz 2 lit. c, f und Artikel 13 Absatz 3). Da zu dem Vorliegen solcher Umstände nichts vorgetragen ist, kann lediglich festgestellt werden, dass der Beklagte vor der Entgegennahme personenbezogener Daten der Käufer und Interessenten über folgende Umstände zu informieren hatte:

(1) den Namen und die Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO);

(2) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO);

(3) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO);

(4) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Artikel 13 Absatz 2 lit. b DSGVO);

(5) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO) und

(6) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO).

Unstreitig hat der Beklagte diese Informationen nicht vorgehalten. Er ist als Verantwortlicher im Sinne von Artikel 4 Nr. 7 DSGVO anzusehen, da er Daten der Käufer und Kaufinteressenten, die sich mit ihm in Verbindung setzen, erhebt und über die Zwecke und Mittel der so erhobenen personenbezogenen Daten entscheidet. Die zu erteilenden Informationen waren den Käufern bzw. Interessenten auch nicht auf andere Weise bekannt (Artikel 13 Absatz 3 DSGVO).

c) Bei den genannten Bestimmungen der Datenschutz-Grundverordnung handelt es sich um Marktverhaltensregelungen im Sinne von § 3a UWG.

aa) Teilweise wird den Bestimmungen der Datenschutz-Grundverordnung der Marktbezug allerdings insgesamt abgesprochen (Köhler, WRP 2018, 1269 Rn. 22; zum abgelaufenen Recht: OLG München, Urteil vom 12. Januar 2012 – 29 U 3926/11, juris Rn. 29). Dem wird entgegengehalten, dass die Verordnung nach Erwägungsgrund 9 Satz 3 auch eine wettbewerbsrechtliche Zielsetzung habe (Wolff, ZD 2018, 248).

Vermittelnd wird vertreten, dass datenschutzrechtliche Bestimmungen im Allgemeinen dem Schutz der Persönlichkeitsrechte dienen und sie einen wettbewerbsrechtlichen Bezug nur aufweisen, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (Schaffert in: Münchener Kommentar zum Lauterkeitsrecht, 3. Aufl. 2020, § 3a UWG Rn. 81; Schreiber, GRUR-Prax 2019, 4; diesen Ansatz verfolgend: OLG Frankfurt, Urteil vom 13. Dezember 2000 – 13 U 204/98, juris Rn. 37; zur DSGVO: OLG Sachsen-Anhalt, Urteil vom 07. November 2019 – 9 U 39/18, Rn. 57; Barth, WRP 2018, 790 Rn. 26; Baumgartner/Sitte, ZD 2018, 555 [557]; zur Nutzung personenbezogener Daten ohne Einwilligung: OLG Köln, Urteil vom 19. November 2010 – I-6 U 73/10, juris Rn. 13). In diesem Sinne hat der Senat bereits ausgesprochen, dass die konkrete Norm auf ihren Marktbezug zu untersuchen ist (OLG Stuttgart, Urteil vom 22. Februar 2007 – 2 U 132/06, juris Rn. 27). Das Datenschutzrecht mit seinen facettenreichen Verzweigungen verfolgt nicht allein einen einzelnen Schutzzweck. Daher verbietet sich eine generalisierende Betrachtung (Schmitt, WRP 2019, 27 Rn. 12).

bb) Als Marktverhalten im Sinne von § 3a UWG ist jede Tätigkeit auf einem Markt anzusehen, die objektiv der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen dient und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt (OLG Stuttgart, Urteil vom 08. Juni 2017 - 2 U 127/16, juris Rn. 28 – Extraportion Vitamin C). Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (BGH, Urteil vom 08. Oktober 2015 – I ZR 225/13, juris Rn. 21 – Eizellspende). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urteil vom 27. April 2017 – I ZR 215/15, juris Rn. 20 – Aufzeichnungspflicht). Nicht erforderlich ist dabei eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (BGH, Urteil vom 04. November 2010 – I ZR 139/09, juris Rn. 34). Die Vorschrift muss aber zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken (BGH, Urteil vom 28. November 2019 – I ZR 23/19, juris Rn. 24 – Pflichten des Batterieherstellers).

cc) Nach diesen Maßstäben, denen zufolge nicht nur die Interessen der Mitbewerber, sondern aller Marktteilnehmer einzubeziehen sind, liegt hinsichtlich aller Informationspflichten ein Marktbezug vor.

(1) Die Kenntnis des Namens und der Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO) hat eine verbraucherschützende Funktion und weist den erforderlichen wettbewerblichen Bezug auf. Sie erleichtert die Kommunikation mit dem Unternehmen (zur Anbieterkennzeichnung bei Telemediendiensten: BGH, Urteil vom 20. Juli 2006 – I ZR 228/03, juris Rn. 15). In diesem Sinne auch als verbraucherschützend mit Marktbezug zu werten sind die Information über die in Artikel 13 Absatz 2 lit. b DSGVO angesprochenen Rechte gegen den Verantwortlichen sowie der Hinweis auf das Beschwerderecht gegenüber der Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO).

(2) Einen nicht nur persönlichkeitsschützenden Charakter, sondern auch wettbewerblichen Bezug hat ferner die Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO) und darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO). Einen Marktbezug hat schließlich auch die Pflicht zur Erteilung der Information über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO).

Dem Interesse der Verbraucher und sonstigen Marktteilnehmer dient eine Norm, wenn sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützt (Köhler in: Köhler/Bornkamm/Feddersen/Köhler, a.a.O., § 3a UWG Rn. 1.67). Dies ist hier der Fall. Bereits durch den Geschäftskontakt als solchen werden datenschutzrechtliche Belange des Interessenten berührt und entsprechende Pflichten des Unternehmers begründet.

Die Entscheidung des Interessenten für eine Anbahnung des Vertrages stellt eine geschäftliche Entscheidung dar. Der Begriff der „geschäftlichen Entscheidung“ umfasst nicht nur die Entscheidung über den Erwerb oder Nichterwerb eines Produkts, sondern auch damit unmittelbar zusammenhängende Entscheidungen wie die Kontaktaufnahme mit dem Anbieter (BGH, Urteil vom 28. April 2016 – I ZR 23/15, juris Rn. 34 – Geo-Targeting). Die Entscheidung, mit dem Anbieter über Fernkommunikationsmittel in Kontakt zu treten, ist mithin untrennbar mit der Übermittlung personenbezogener Daten verknüpft ist (in diesem Sinne auch OLG Hamburg, Urteil vom 27. Juni 2013 – 3 U 26/12, juris Rn. 58 zu § 13 TMG). Die zu erteilenden Informationen dienen damit auch der Entscheidung des Verbrauchers, mit dem Unternehmen überhaupt in Kontakt zu treten und in diesem Zuge Daten zu übermitteln.

Für den Verbraucher kann für die Anbahnung des Geschäftes auch von Bedeutung sein, für welchen Zweck die Daten verarbeitet und wie lange sie gespeichert werden sollen. Je weiter die Zweckerklärung reicht und je länger die Daten gespeichert werden, desto eher besteht die Gefahr für eine vom Verbraucher unerwünschte Datenverarbeitung durch den Unternehmer oder gar für einen Datenmissbrauch durch Dritte. Insbesondere in den Fällen einer kostenlosen oder günstigen Gegenleistung erkennen Verbraucher durchaus, dass die Verarbeitung ihrer Daten Teil des Geschäftsmodells ist. Die zu erteilenden Informationen zur Datenerhebung stellen somit Informationen dar, die dem Verbraucher eine informierte Entscheidung über die Geschäftsanbahnung ermöglichen.

Dass die mit dem Geschäftskontakt betroffenen datenschutzrechtlichen Belange nicht getrennt hiervon betrachtet werden können, zeigt auch der Umstand, dass Artikel 13 DSGVO nicht (nur) im Sinne einer persönlichkeitsschützenden Norm dazu dient, dem Verbraucher die notwendigen Informationen zu erteilen, um eine wirksame Einwilligung „in informierter Weise“ (Artikel 4 Nr. 11 DSGVO) zu erteilen (Artikel 7 Absatz 1 DSGVO). Vielmehr ist der Verbraucher auch dann über die Zwecke der Datenverarbeitung und deren Rechtsgrundlagen aufzuklären, wenn seine Einwilligung nicht erforderlich ist, weil bereits die Erforderlichkeit der Datenverarbeitung für die Erfüllung des Vertrags oder zur Durchführung vorvertraglicher Maßnahmen deren Rechtmäßigkeit begründet (vgl. Artikel 6 Absatz 1 Satz 1 lit. b DSGVO).

3. Der Verstoß ist auch geeignet, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Spürbarkeit ist dann zu bejahen, wenn eine Beeinträchtigung der geschützten Interessen nicht nur theoretisch, sondern auch tatsächlich mit einer gewissen Wahrscheinlichkeit eintreten kann (OLG Stuttgart, Urteil vom 05. Juli 2018 – 2 U 167/17, juris Rn. 31).

a) Besteht der Verstoß gegen eine Marktverhaltensregelung darin, dass dem Verbraucher eine wesentliche Information vorenthalten wird, ist dieser Verstoß nur dann spürbar im Sinne von § 3a UWG, wenn er die ihm vorenthaltene wesentliche Information je nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, und deren Vorenthalten geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte (BGH, Urteil vom 31. Oktober 2018 – I ZR 73/17, juris Rn. 31 – Jogginghosen).

Den Unternehmer, der geltend macht, dass der Verbraucher – abweichend vom Regelfall – eine ihm vorenthaltene wesentliche Information für eine Kaufentscheidung nicht benötigt und dass das Vorenthalten dieser Information den Verbraucher nicht zu einer anderen Kaufentscheidung veranlassen kann, trifft insoweit allerdings eine sekundäre Darlegungslast (BGH, Urteil vom 02. März 2017 – I ZR 41/16, juris Rn. 32 – Komplettküchen). Der Verbraucher wird eine wesentliche Information im Allgemeinen für eine informierte geschäftliche Entscheidung benötigen. Ebenso wird, sofern im konkreten Fall keine besonderen Umstände vorliegen, grundsätzlich davon auszugehen sein, dass das Vorenthalten einer wesentlichen Information, die der Verbraucher nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er bei der geboten gewesenen Information nicht getroffen hätte (BGH, Urteil vom 07. März 2019 – I ZR 184/17, juris Rn. 27 – Energieeffizienzklasse III).

b) Aus den Gründen, aus denen die Informationspflichten gemäß Artikel 13 DSGVO als Marktverhaltensregelungen einzuordnen sind, ist ein hiergegen gerichteter Verstoß regelmäßig als spürbar zu bewerten. Der Beklagte hat auch keinen Vortrag dazu gehalten, der in Zweifel ziehen würde, dass der Verbraucher die zu erteilenden Informationen abweichend vom Regelfall nicht für eine informierte Entscheidung, mit ihm über das Internetportal zur Geschäftsanbahnung in Kontakt zu treten, benötigen würde.

5. Der Anspruch ist auch nicht verjährt.

Die vor Ablauf der Verjährungsfrist am 19.10.2018 zugestellte Klage war zunächst darauf gerichtet, die konkrete Verletzungsform unter dem Aspekt untersagen zu lassen, dass eine Webseite betrieben werde, ohne eine Datenschutzerklärung vorzuhalten. Da dieser rechtliche Gesichtspunkt sowohl nach Maßgabe des § 13 TMG als auch nach Maßgabe von Artikel 13 DSGVO zu prüfen war, schadet die spätere Aufteilung in zwei Streitgegenstände nicht. Unerheblich ist, dass die Vorgaben an den Inhalt die zu erteilenden Informationen über die Datenerhebung teilweise voneinander abweichen. Der Kläger hat insoweit die vollständig unterbliebene Erklärung beanstandet; dies deckt die Beurteilung nach beiden Bestimmungen ab. Die nach § 204 Absatz 1 Nr. 1 BGB eintretende Hemmung der Verjährung erfasst damit auch beide rechtliche Gesichtspunkte."

Den Volltext der Entscheidung finden Sie hier:




OLG Naumburg: Verstoß gegen DSGVO wettbewerbswidrig wenn verletzte Norm Marktverhaltensregelung ist - Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace

OLG Naumburg
Urteile vom 07.11.2019
9 U 6/19 und 9 U 39/18


Das OLG Naumburg hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO wettbewerbswidrig ist und Mitbewerbern ein Unterlassungsanspruch zusteht, wenn die verletzte Norm in der konkreten Fallkonstellation als Marktverhaltensregelung einzuordnen ist. Vorliegend ging es um die Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace. Das Gericht hat einen Wettbewerbsverstoß durch Verletzung von Art. 9 Abs. 1 DSGVO angenommen.

Aus den Entscheidungsgründen:

Dem Kläger steht ein Unterlassungsanspruch gemäß § 8 Abs. 1 S. 1 i.V.m. 3a UWG wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

I. Der Kläger ist als Mitbewerber aktivlegitimiert (vgl. II.,1.). In der vorliegenden Fallkonstellation sind die Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG anzusehen (vgl. II., 2). Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO (II., 3.). Der Beklagte verarbeitet die von der Handelsplattform erhobenen Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. 2 Buchst. a DSGVO (II., 4.).

Berufsrechtliche Verstöße vermag der Senat im vorliegenden Fall nicht festzustellen (vgl. III.). Ein Schadensersatzanspruch oder ein vorgeschalteter Anspruch auf Auskunft scheidet aus, da dem Beklagten kein Verschulden vorzuwerfen ist (IV.).

II.

1. Der Kläger ist aktivlegitimiert. Die Parteien sind Mitbewerber im Sinne des § 8 Abs. 3 Nr. 1 UWG.

aa) Die Eigenschaft als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG erfordert ein konkretes Wettbewerbsverhältnis im Sinne des § 2 Abs. 1 Nr. 3 UWG. Das ist gegeben, wenn beide Parteien gleichartige Waren oder Dienstleistungen innerhalb desselben Endverbraucherkeises abzusetzen versuchen und daher das Wettbewerbsverhalten des einen den anderen beeinträchtigen, das heißt im Absatz behindern oder stören kann (BGH, Urteil vom 13. Juli 2006 - I ZR 241/03, BGHZ 168, 314 Rn. 14 - Kontaktanzeigen; Urteil vom 28. September 2011 - I ZR 92/09, GRUR 2012, 193 = WRP 2012, 201 Rn. 17 - Sportwetten im Internet II).

Da im Interesse eines wirksamen lauterkeitsrechtlichen Individualschutzes grundsätzlich keine hohen Anforderungen an das Vorliegen eines konkreten Wettbewerbsverhältnisses zu stellen sind, reicht es hierfür aus, dass sich der Verletzer durch seine Verletzungshandlung im konkreten Fall in irgendeiner Weise in Wettbewerb zu dem Betroffenen stellt (BGH, Urteil vom 29. November 1984 - I ZR 158/82, BGHZ 93, 96, 97 f. - DIMPLE, mwN; Urteil vom 10. April 2014 – I ZR 43/13, GRUR 2014, 1114 = WRP 2014, 1307 Rn. 32 - nickelfrei; Urteil vom 19. März 2015 - I ZR 94/13, GRUR 2015, 1129 Rn. 19 = WRP 2015, 1326 - Hotelbewertungsportal). Nach der Rechtsprechung des Bundesgerichtshofes ist daher ein konkretes Wettbewerbsverhältnis anzunehmen, wenn zwischen den Vorteilen, die die eine Partei durch eine Maßnahme für ihr Unternehmen oder das eines Dritten zu erreichen sucht, und den Nachteilen, die die andere Partei dadurch erleidet, eine Wechselwirkung in dem Sinne besteht, dass der eigene Wettbewerb gefördert und der fremde Wettbewerb beeinträchtigt werden kann (BGH, GRUR 2014, 1114 Rn. 32 - nickelfrei; GRUR 2015, 1129 Rn. 19 - Hotelbewertungsportal). Nicht ausreichend ist es allerdings, wenn die Maßnahme den anderen nur irgendwie in seinem Marktstreben betrifft. Eine bloße Beeinträchtigung reicht zur Begründung eines Wettbewerbsverhältnisses nicht aus, wenn es an jeglichem Konkurrenzmoment im Angebots- oder Nachfragewettbewerb fehlt (BGH, Urteil vom 26. Januar 2017 – I ZR 217/15 –, Rn. 16, juris m.w.N.)

bb) Da das Internet auch im Einzugsbereich der Apotheke des Klägers verfügbar ist, konkurrieren die Parteien räumlich. Sachlich führen beide die gleichen Waren. Es ist daher denkbar, dass ein Kunde ein apothekenpflichtiges Medikament statt in der Apotheke des Klägers über den Amazon Marketplace bei dem Beklagten kauft.

Die Argumentation des Beklagten, dass die Kunden einer Präsenz-Apotheke an Beratung interessiert seien, während Kunden, die keine Beratung benötigten, im Internet kauften, vermag den Senat nicht zu überzeugen. Es mag sein, dass ein Kunde, der eine Beratung möchte, in der Regel eine Präsenz-Apotheke aufsuchen wird. Dagegen ist es keinesfalls zwingend, dass ein Kunde ohne Interesse an Beratung nur im Internet kauft.

2. Nach Auffassung des Senats sind die Regelungen der DSGVO in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3a UWG aufzufassen.

a) Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (vgl. BGH, Urteil vom 3. Juli 2003 - I ZR 211/01, BGHZ 155, 301, 305 - Telefonischer Auskunftsdienst; Urteil vom 12. Juli 2007 - I ZR 18/04, BGHZ 173, 188 Rn. 35 - Jugendgefährdende Medien bei eBay). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme (vgl. BGH, Urteil vom 8. Oktober 2015 - I ZR 225/13, GRUR 2016, 513 Rn. 21 = WRP 2016, 586 - Eizellspende; MünchKomm.UWG/Schaffert, 2. Aufl., § 4 Nr. 11 Rn. 60), also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (vgl. GroßKomm.UWG/Metzger, 2. Aufl., § 4 Nr. 11 Rn. 38; Köhler in Köhler/Bornkamm, UWG, 35. Aufl., § 3a Rn. 1.67). Nicht erforderlich ist eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (vgl. BGH, Urteil vom 10. Dezember 2009 - I ZR 189/07, GRUR 2010, 754 Rn. 20 ff. = WRP 2010, 869 - Golly Telly; Urteil vom 4. November 2010 - I ZR 139/09, GRUR 2011, 633 Rn. 34 = WRP 2011, 858 – BIO TABAK; aA Ohly in Ohly/Sosnitza, UWG, 7. Aufl., § 3a Rn. 25; Gärtner/Heil, WRP 2005, 20, 22; Scherer, WRP 2006, 401, 404). Die Vorschrift muss jedoch - zumindest auch - den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken; lediglich reflexartige Auswirkungen zu deren Gunsten genügen daher nicht (BGH, Urteil vom 27. April 2017 – I ZR 215/15 –, Rn. 20, juris m.w.N.)

b) Die Frage, ob Datenschutzbestimmungen nach Inkrafttreten der DSGVO Marktverhaltensregeln darstellen, ist bisher in Literatur und Rechtsprechung nicht abschließend geklärt.

aa) In der Literatur wird nunmehr vertreten, dass Datenschutzbestimmungen nach Inkrafttreten der DSGVO keine Marktverhaltensregeln im Sinne des § 3 Buchst. a UWG darstellen (Köhler in: Köhler/Dornkamp/Feddersen, UWG, 36. Aufl., 2018, § 3a Rn. 1.40a und 1.74a).

bb) Das Hanseatische Oberlandesgericht Hamburg nimmt dagegen auch nach Inkrafttreten der DSGVO an, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat (Urteil vom 25. Oktober 2018 – 3 U 66/17 –, Rn. 72, juris).

cc) Der Senat schließt sich der Auffassung des Hanseatischen Oberlandesgerichts Hamburg an. Selbstverständlich schützen Datenschutzregeln in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen. Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2), und die Regelungen der Richtlinie auch der Beseitigung solcher Hemmnisse diene, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8).

Vor Inkrafttreten der DSGVO war außerdem in der Rechtsprechung bereits anerkannt, dass die Nutzung von Daten zu Werbezwecken nach § 28 Abs. 3 BDSG a.F. als Marktverhaltensregel anzusehen ist (OLG Stuttgart, MMR 2007, 437, Rn. 27; OLG Köln, MMR 2009, 845; CR 2011, 680; ZD 2012, 421; OLG Karlsruhe, ZD 2012, 432, Rn. 34; OLG Dresden, BeckRS 2014, 15220, insoweit unklar, ob nur die dort ebenfalls allein streitige Regelung des § 28 Abs. 3 BDSG a.F.
oder § 28 BDSG a.F. generell als marktverhaltensregelnd angesehen worden ist).

c) Im vorliegenden Fall hat der Beklagte die Plattform Amazon Marketplace in das Feilbieten der von ihm vertriebenen Medikamente und Medizinprodukte in der Weise einbezogen, dass er die Popularität dieser Plattform nutzt, um Kunden zu gewinnen. Er setzt damit die Plattform als Werbeträger ein. Amazon selbst wertet die Daten – wenn auch anonym – aus, um zu werben: "Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B". Dies zielt
auf den Markt ab und berührt die wettbewerblichen Interessen der Marktteilnehmer. Denn durch die Auswertung der Absatzdaten können Kunden zielgerichtet angesprochen werden.

3. Bei den Bestelldaten der Kunden handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Die Daten, die Amazon für den Bestellvorgang erfasst, stellen sicher keine Gesundheitsdaten im engeren Sinne dar, wie z.B. ärztliche Befunde. Gleichwohl können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden. Soweit der Beklagte einwendet, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne, trifft dies zu. Dies senkt aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reicht nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Dies würde zu einer Absenkung des Schutzniveaus führen.

Soweit der Beklagte einwendet, dass die Datenschutzbehörden auf EU-Ebene beim Kauf von medizinischen Standardprodukten nicht von Gesundheitsdaten ausgehen, beachtet er nicht, dass hier nicht nur medizinische Standardprodukte verkauft werden, sondern eben auch apothekenpflichtige Medikamente. Insbesondere die Kombination aus mehreren apothekenpflichtigen Medikamenten lässt durchaus einen Rückschluss auf den Gesundheitszustand des Bestellers zu, wenn auch die Wahrscheinlichkeit eines zutreffenden Rückschlusses durch die Möglichkeit der Drittbestellung – wie bereits ausgeführt – an Sicherheit gemindert ist.

4. Im vorliegenden Fall liegen zwei Datenverarbeitungen im Sinne des § 9 Abs. 1 DSGVO vor.

a) Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO. Die allgemeinen Geschäftsbedingungen von Amazon enthalten diesen Passus. Eine Auftragsdatenverarbeitung ist auch von keiner Seite behauptet worden; der Beklagte räumt sie selbst ein, dass es sich nicht um eine Auftragsdatenverarbeitung handelt.

b) Eventuelle Datenschutzverstöße der Plattform Amazon Marketplace sind nicht Teil des Rechtsstreits; der Kläger weist hierauf ausdrücklich hin (vgl. Bd. III Bl. 6 und Bl. 28 d.A. [= Schriftsatz des Klägers vom 24.09.2018]). Insoweit geht es auch nicht um die Frage, ob eventuelle Datenschutzverstöße der Plattform dem Beklagten zugerechnet werden können.

c) Entscheidend ist hier die Datenverarbeitung durch den Beklagten selbst. Hierfür fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

aa) Nach Art. 9 Abs. 1 DSGVO kommt es nicht auf die Erhebung, sondern auf die Verarbeitung der dort genannten personenbezogenen Daten an.

bb) An einer Einwilligung für die Verarbeitung durch den Beklagten im Sinne des Art. 9 Abs. 2 Buchst. a DSGVO fehlt es hier.

α) Eine ausdrückliche Einwilligung der Kunden beim Bestellvorgang ist von keiner Seite behauptet worden.

β) Angesichts des Wortlauts des Art. 9 Abs. 2 Buchst. a DSGVO ("ausdrücklich eingewilligt") dürfte eine konkludente Einwilligung die Voraussetzung dieser Vorschrift nicht erfüllen. Darüber hinaus ist die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung berufsrechtlich durch die Berufsordnung der Apothekenkammer Sachsen-Anhalt konkretisiert.

§ 15 Abs. 2 dieser Berufsordnung lautet:
"Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden."

III.

Abgesehen von § 15 Abs. 2 der zitierten Berufsordnung hat der Beklagte nicht gegen Berufsrecht der Apotheker verstoßen.

1. Nicht zu folgen vermag der Senat der Auffassung des Klägers, dass der Beklagte durch das gewählte Vertriebsmodell Arzneimittel unter Verstoß gegen § 43 Abs. 1 AMG in Verkehr bringe und die Einbeziehung von Personen zu verantworten habe, die nicht der Geheimhaltungspflicht des § 203 StGB unterliegen.

a) Bei Anpreisung im Internet handelt es sich nach ständiger Rechtsprechung regelmäßig nur um die Aufforderung zur Abgabe eines Angebots. Der Senat sieht keine Veranlassung, für den Bereich des Apothekenrechts von dieser Grundregel abzuweichen.

b) Damit setzt der Kunde die Verkaufsplattform zur Übermittlung seines Angebots auf Abschluss eines Kaufvertrages zivilrechtlich als Bote ein. Er offenbart damit seine Gesundheitsdaten der Verkaufsplattform selbst.

c) Die Entscheidung diesen Weg zu wählen, um ein Medikament zu erwerben, trifft der Kunde eigenverantwortlich.

Es kommt daher weder ein Verstoß nach § 43 Abs. 1 AMG noch gegen § 203 StGB in Betracht. Denn der Apotheker setzt die Verkaufsplattform nur zur Reichweitenerhöhung, nicht aber für den Vertrieb ein. Nach der Übermittlung der Bestelldaten durch Amazon ist die Situation mit einer direkten Bestellung bei der Online-Apotheke des Beklagten – von der bereits ausgeführten datenschutzrechtlichen Problematik abgesehen – vergleichbar. Den Betrieb von Online-Apotheken hat der Gesetzgeber jedoch ausdrücklich zugelassen. Damit scheidet auch ein Verstoß gegen § 3 Abs. 5 ApBetrO aus. Denn die pharmazeutischen Tätigkeiten beginnen erst nach der Übermittlung der Daten durch Amazon an den Beklagten.

2. Ein Verstoß gegen das Selbstbedienungsverbot gemäß § 17 Abs. 3 ApBetrO scheidet aus den vom Landgericht genannten Gründen aus. Der Senat nimmt auf die entsprechenden Ausführungen im angegriffenen Urteil ausdrücklich Bezug. 3. Die Werbemaßnahmen auf der Handelsplattform gehen erkennbar – wie das Landgericht zutreffend ausführt - auf Amazon bzw. mittelbar auf die Kunden zurück, die Rezensionen schreiben. Die Werbemaßnahmen beziehen sich auf das Produkt und nicht auf eine konkrete Online-Apotheke und kommen daher nicht einem, sondern allen auf der Plattform vertretenen Apothekern zugute. Der Senat sieht daher keinen Verstoß gegen § 11 HWG oder § 14 Berufsordnung der Apothekenkammer Sachsen-Anhalt.

4. Die behauptete Umsatzbeteiligung von Amazon beruht auf Vermutungen. Es liegt außerdem weder ein partiarisches Darlehen oder einen am Umsatz ausgerichteter Mietvertrag vor. Ein Verstoß gegen § 8 Abs. 2 ApoG scheidet daher aus.

IV. Ein möglicher Schadensersatzanspruch gemäß § 9 UWG und ein vorbereitender Auskunftsanspruch setzen ein Verschulden voraus. Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.


Den Volltext der Entscheidungen finden Sie hier:

OLG Naumburg, Urteil vom 07.11.2019 - 9 U 6/19

OLG Naumburg, Urteil vom 07.11.20199 U 39/18







LG Stuttgart: Verstoß gegen DSGVO kein abmahnfähiger Wettbewerbsverstoß - Sanktionssystem der DSGVO ist abschließend

LG Stuttgart
Urteil vom 20.05.2019
35 O 68/18 KfH


Das LG Stuttgart hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO kein abmahnfähiger Wettbewerbsverstoß ist. Nach Ansicht des LG Stuttgart ist das Sanktionssystem der DSGVO abschließend.

Aus den Entscheidungsgründen:

Beim Hauptantrag steht einem Anspruch aus § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG entgegen, dass § 13 TMG aufgrund der seit dem 25.05.2018 geltenden VO (EU) 2016/679 (Datenschutzgrundverordnung) keinen Anwendungsbereich mehr hat. Da es sich um eine Verordnung i.S.d. Art. 288 Abs. 2 AEUV handelt, hat diese unmittelbare Geltung in allen Mitgliedesstaaten mit der Folge, dass nationale Regelungen vollständig verdrängt werden, soweit sie in den Anwendungsbereich des europäischen Rechts fallen. Dies ist für die Regelung des § 13 Abs. 1 TMG anzunehmen, nachdem auch Art. 13 VO (EU 2016/679) Regelungen zu Informationspflichten bei der Erhebung von personenbezogenen Daten enthält (vgl. auch Hullen/Roggenkamp in: Plath, DSGVO/BDSG, 3. Aufl., § 13 TMG Rn. 3). Daher konnte der Beklagte am 16.07.2018 nicht mehr gegen § 13 TMG verstoßen.

2. Beim Hilfsantrag steht einem Anspruch aus § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG entgegen, dass die Datenschutzgrundverordnung die Sanktionen der Verstöße abschließend regelt und der Kläger danach nicht berechtigt ist, Unterlassungsansprüche geltend zu machen.

a) Die Frage, ob die Datenschutzgrundverordnung eine abschließende Regelung der Sanktionen enthält, ist streitig und höchstrichterlich noch nicht geklärt (dafür insbesondere LG Magdeburg v. 18.01.2019 - 36 O 48/18; LG Wiesbaden v. 05.11.2018 - 5 O 214/18; Köhler in: Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 3a UWG Rn. 1.40a; Lettl, WRP 2019, 289, dagegen insbesondere OLG Hamburg v. 25.10.2018 - 3 U 66/17, ohne dass es allerdings auf die Frage ankam; vgl. auch Schmidt, WRP2019, 27).

b) Das Gericht schließt sich der Auffassung an, dass die Datenschutzgrundverordnung abschließend ist.

aa) Hierfür spricht, dass die Datenschutzgrundverordnung eine detaillierte Regelung der Sanktionen enthält. Nach Art. 57 VO (EU) 2016/679 ist die Durchsetzung Aufgabe der Aufsichtsbehörden. Hinzukommen in den Art. 77 ff. VO (EU) 2016/679 Regelungen über Rechtsbehelfe. Nach Art. 79 VO (EU) 2016/679 hat jede betroffene Person, also die Person, in deren Datenschutzrechte vermeintlich eingegriffen wurde, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Die Vertretung der Betroffenen ist in Art. 80 VO (EU) 2016/679 geregelt. Nach dem Absatz 1 kann die betroffene Person bestimmte Einrichtungen mit der Durchsetzung ihrer Rechte beauftragen. Darüber hinaus können die Mitgliedsstaaten nach dem Absatz 2 vorsehen, dass bestimmte Einrichtungen die Rechte auch ohne einen Auftrag im Sinne von Absatz 1 durchsetzen. Hierdurch kommt zum Ausdruck, dass der europäische Gesetzgeber eine eigenmächtige Verfolgung von Verstößen durch Dritte nur zulassen will, wenn die in der Norm genannten Voraussetzungen erfüllt sind und der nationale Gesetzgeber dies geregelt hat. Mit Blick auf diese konkrete Regelung kann man auch nicht annehmen, dass die Klagebefugnis Dritter aus den Bestimmungen des Art. 82 bzw. Art. 84 VO (EU) 2016/679 folgt (so auch Köhler in: Köhler/Bomkamm/Feddersen, UWG, 37. Aufl., § 3a UWG Rn. 1.40e). Wenn der europäische Gesetzgeber mit den Vorschriften eine weitergehende Klagebefugnis Dritter hätte regeln wollen, dann hätte es der Regelung in Art. 80 Abs. 2 VO (EU) 2016/679 nicht bedurft.

bb) Wenn aber in der Datenschutzgrundverordnung eine abschließende Regelung erfolgt ist, so kann man eine Durchsetzung über das UWG auch nicht mit einer anderen Zielrichtung des Wettbewerbsrechts begründen (BGH v. 07.02.2006 - KZR 33/04 - Probeabonnement; so aber OLG Hamburg v. 25.10.2018 - 3 U 66/17). Andernfalls würde die differenzierte Regelung in der Datenschutzgrundverordnung konterkariert werden, was mit dem Vorrang europäischen Rechts nicht in Einklang gebracht werden kann. Dies gilt umso mehr, als die Datenschutzgrundverordnung gar keine wettbewerbsschützende Zielrichtung hat. Zwar dient sie nach Art. 1 Abs. 1 VO (EU) 2016/679 dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Der Schutz erfolgt aber nicht aufgrund der Eigenschaft als Verbraucher sondern unabhängig davon.

Der deutsche Gesetzgeber hat von der Ermächtigung in Art. 80 Abs. 2 VO (EU) 2016/679 keinen Gebrauch gemacht (vgl. auch Köhler in. Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 2 UklaG Rn. 29e). Dafür, dass es dem Willen des Gesetzgebers entspricht, die Bestimmung des § 8 Abs. 3 Nr. 2 UWG als Umsetzung der Datenschutzgrundverordnung anzusehen, gibt es keine Anhaltspunkte. Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (BGBl. I 2017, 2097) enthält hierzu keine Ausführungen. Zudem ist die Ermächtigung in Art. 80 Abs. 2 VO (EU) 2016/679 auch enger als § 8 Abs. 3 Nr. 2 UWG. Nach der europäischen Bestimmung muss die Einrichtung im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sein. Diese Voraussetzung kennt § 8 Abs. 3 Nr. 2 UWG nicht.

3. Aufgrund der abschließenden Regelung der Datenschutzgrundverordnung stehen dem Kläger auch keine Unterlassungsansprüche nach dem UKIaG zu. Insoweit gilt das zum UWG Gesagte entsprechend (so auch Köhler in: Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 2 UklaG Rn. 29e). Zwar nennt § 2 Abs. 1 Nr. 11 UKIaG ausdrücklich Vorschriften, die die Zulässigkeit der Erhebung personenbezogener Daten regeln. Die Bestimmung wurde aber lange vor der Datenschutzgrundverordnung in das Gesetz aufgenommen. Auch insoweit kann nicht angenommen werden, dass es dem Willen des Gesetzgebers entspricht, die Bestimmung des § 3 Abs. 1 Nr. 2 UKIaG als Umsetzung der Datenschutzgrundverordnung anzusehen, nachdem die weiteren Voraussetzungen des Art. 80 Abs. 2 VO (EU 2016/679) keine Berücksichtigung finden.



KG Berlin: Zahlreiche Klauseln in Datenschutzerklärung und Nutzungsbedingungen von Google unzulässig und damit unwirksam

KG Berlin
Urteil vom 21.03.2019
23 U 268/13


Das KG Berlin hat entschieden, dass zahlreiche Klausen in der Datenschutzerklärung (Fassung 2012) und Nutzungsbedingungen von Google unzulässig und damit unwirksam sind.

Siehe zur Vorinstanz: LG Berlin: Verbraucherschützer vs Google - Zahlreichen Klauseln in Datenschutzerklärung und Nutzungsbedingungen von Google unzulässig

Aus der Pressemitteilung des vzbv:

"Verstoss gegen Datenschutzgrundverordnung
Nach Auffassung des Gerichts verstoßen die beanstandeten Teile der Datenschutzerklärung gegen die Datenschutzgrundverordnung (DSGVO). Google erwecke den Eindruck, als sei die beschriebene Datenverarbeitung ohne Zustimmung der Kunden erlaubt. Tatsächlich sei für die Nutzung personenbezogener Daten in den vom vzbv beanstandeten Fällen jedoch eine informierte und freiwillige Einwilligung erforderlich. Die einfache Bestätigung von Verbrauchern, die Datenschutzerklärung gelesen zu haben, reiche hierfür nicht aus.

Für das Gericht sind Teile der Datenschutzerklärung auch deshalb unwirksam, weil sie „so verschachtelt und redundant ausgestaltet“ seien, dass durchschnittliche Leser sie kaum noch durchschauen könnten. Diese müssten davon ausgehen, dass letztlich jede Nutzung der personenbezogenen Daten erlaubt ist, die Google für zweckmäßig hält.

Unwirksame Nutzungsbedingungen
Für unwirksam erklärte das Gericht auch eine Reihe von Klauseln in den Google-Nutzungsbedingungen. Das Unternehmen behielt sich zum Beispiel vor, einzelne Dienste nach eigenem Ermessen einzustellen oder zu ändern. Darin sah das Kammergericht einen gesetzlich nicht zulässigen Änderungsvorbehalt. Google könne die versprochenen Leistungen nur ändern, wenn dies für die Verbraucher auch zumutbar sei. Eine solche Einschränkung enthielt die Klausel nicht.

Insgesamt erklärte das Kammergericht 13 Klauseln in der Datenschutzerklärung und 12 Klauseln in den Nutzungsbedingungen für unwirksam. Damit gab das Gericht der Klage des vzbv in vollem Umfang statt – wie zuvor schon das Landgericht Berlin in erster Instanz. Das Unternehmen hat inzwischen Nichtzulassungsbeschwerde beim Bundesgerichtshof eingelegt."


Den Volltext der Entscheidung finden Sie hier:

LG Wiesbaden: Mitbewerber sind bei Verstößen gegen DSGVO nicht zur Abmahnung befugt

LG Wiesbaden
Urteil vom 05.11.2018
5 O 214/18


Das LG Wiesbaden hat entschieden, dass Mitbewerber bei Verstößen gegen die DSGVO nicht zur Abmahnung befugt sind.

Aus den Entscheidungsgründen:

"Die aufgeworfenen Fragen können deshalb offenbleiben, weil der Verfügungsklägerin als Mitbewerberin nach den §§ 3 Abs. 1,3 a i.V.m. § 8 Abs. 3 Nr. 1 UWG weder anspruchsberechtigt noch klagebefugt ist..

Der Gesetzgeber hat in Kap. 8 (Rechtsbehelfe, Haftung und Sanktionen) der Datenschutzgrundverordnung eingehend geregelt, wie die Datenschutzbestimmungen durchzusetzen sind. Im Mittelpunkt steht dabei die von einem Verstoß "betroffene Person". Sie kann sich mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden (Art. 74, 78 DSGVO), die dann ihrerseits tätig wird. Die betroffene Person hat aber auch nach Art. 79 DSGVO selbst das "Recht auf einen wirksamen gerichtlichen Rechtsbehelf", wenn sie der Ansicht ist, dass ihre Rechte aus der Datenschutzgrundverordnung verletzt worden sind. Die betroffene Person kann nach Art. 82 DGSVO Ersatz ihres materiellen und immateriellen Schadens verlangen. Nach Art. 80 Abs. 1 DSGVO ist die betroffene Person ferner berechtigt, "Organisationen" und "ähnlichen Einrichtungen, die bestimmte Anforderungen erfüllen" zu beauftragen, in ihrem Namen ihre Rechte unter anderem aus Art. 79 DSGVO wahrzunehmen. Art. 80 Abs. 2 DSGVO enthält eine so genannte Öffnungsklausel zu Gunsten der Mitgliedstaaten. Sie können vorsehen, dass jede der in Art. 80 Abs. 1 DSGVO genannten "Organisationen" unabhängig von einem Auftrag der betroffenen Person das Recht hat, deren Rechte aus Art. 77-79 DSGVO in Anspruch zu nehmen, wenn nach ihrer Ansicht deren Rechte verletzt worden sind. Diese Regelung ist nicht unumstritten, weil damit letztlich Dritte über das Persönlichkeitsrecht der betroffenen Personen verfügen. Von einer entsprechenden Befugnis der Mitbewerbers des Verletzers, die Rechte der betroffenen Person ohne deren Zustimmung wahrzunehmen, ist in Art. 80 Abs. 2 DSGVO nicht die Rede.

Es wird die Frage diskutiert, ob die Durchsetzungsregelungen der DSGVO eine abschließende unionsrechtliche Regelung darstellen oder ob im jeweils nationalen Recht Erweiterungen zulässig sind. Es geht darum, ob der nationale Gesetzgeber über die Öffnungsklausel des Art. 80 Abs. 2 DSGVO hinaus zusätzliche Durchsetzungsregelungen aufstellen darf. Vor allem wird diskutiert, ob die Gerichte wegen eines Vorrangs des Unionsrechts daran gehindert sind, bestehende Regelungen des deutschen Rechtes anzuwenden, die zusätzliche Rechtsbehelfe gewähren könnten. Im Rahmen der Anwendung des §§ 3 Buchst. a UWG wird die Ansicht vertreten, die Vorschriften der Datenschutzgrundverordnung seien Marktverhaltensregelungen im Sinne von § 3 Buchst. a UWG und dementsprechend seien auch Mitbewerber des Verletzers nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG berechtigt, gegen Verstöße vorzugehen (vergleiche Wolff ZD 2018,248). Diese Ansicht verkennt, dass § 3 Buchst. a UWG dann nicht anwendbar ist, wenn die betreffende Regelung in der Datenschutzgrundverordnung die Rechtsfolgen eines Verstoßes abschließend regelt, was wiederum durch Auslegung festzustellen ist (vergleiche im Einzelnen Köhler ZD 2018,337 ff.). Eine solche abschließende Regelung gegenüber § 3 Buchst. a UWG stellen, so Köhler und Barth (Köhler ZD 2018,337 ff., Barth WRP 2018,790) die Art. 70 ff. Datenschutz Grundverordnung dar. Diese Ansicht beruft sich auf den allgemeinen Grundsatz des Unionsrechts, dass Ausnahmeregelungen, wie hier Art. 80 Abs. 2 DSGVO, eng auszulegen sind (ständige Rechtsprechung: EuGH WRP 2015, 1206, Rn. 54) und dementsprechend nicht über den Wortlaut hinaus erweitert werden dürfen. Die Autoren schließen aus dem Umstand, dass der Unionsgesetzgeber nicht schon jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person ohne deren Auftrag einräumt hat, sondern dafür ganz konkrete Anforderungen aufstellt, dass der Unionsgesetzgeber keine Erstreckung dieser Befugnis auf Mitbewerber des Verletzers zulassen wollte. Hätte der Unionsgesetzgeber, so die Autoren, dies gewollt, so hätte es nahegelegen, dass er eine dem Art. 11 Abs. 1 RL 2005/29/EG ("einschließlich Mitbewerbern") entsprechende Durchsetzungsregelungen eingeführt hätte. Köhler unterstreicht diese Argumentation durch die Herausarbeitung der unterschiedlichen Schutzzweckbestimmung der DSGVO auf der einen Seite und dem UWG auf der anderen Seite. Die Datenschutzgrundverordnung schützt "die Grundrechte und Grundfreiheiten natürlicher Personen insbesondere deren Recht auf Schutz personenbezogener Daten", insoweit wird auf Art. 1 Abs. 2 DSGVO Bezug genommen. Damit bringe die Datenschutzgrundverordnung klar zum Ausdruck, dass es um den Individualschutz der Betroffenen geht, vergleichbar dem Schutz des allgemeinen Persönlichkeitsrechtes nach den §§ 823 Abs. 1, 1004 Abs. 1 BGB analog. Demgegenüber stehe die Konzeption des UWG. Dieses Gesetz dient "dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen", insoweit wird auf § 1 S. 1 UWG Bezug genommen. Die gesetzliche Konzeption der Datenschutzgrundverordnung hat mit der dargestellten Regelung in Kap. VIII primär die Rechtsdurchsetzung bei den Aufsichtsbehörden angesiedelt, während § 8-10 UWG die Durchsetzung des Lauterkeitsrecht vollständig der privaten Initiative überlässt. Daraus folgt, dass einem Mitbewerber nach den §§ 3 Abs. 1,3 a UWG in Verbindung mit § 8 Abs. 3 Nr. 1 UWG die Klagebefugnis fehlt. Diese vornehmlich in der Literatur vertretene Ansicht findet ihre Bestätigung in der Entscheidung des Landgerichtes Bochum (Landgericht Bochum (12. Zivilkammer), Teil Versäumnis- und Schlussurteil vom 7.8.2018-I-12 O 85 / 18 zitiert nach Beck RS 2018,25219). Das Landgericht Bochum hat ausgeführt, dass dem Verfügungskläger eine Klagebefugnis nicht zusteht, weil die Datenschutzgrundverordnung in den Artikeln 77-84 eine die Ansprüche von Mitbewerbern abschließende und ausschließende Regelung enthält. Das Landgericht Bochum hat sich der Ansicht von Köhler mit dem Argument angeschlossen, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus sei zu schließen, dass der Uniongesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. Diese Ansicht überzeugt, da es keine Rechtsschutzlücke besteht. Vor dem Hintergrund, dass keine Rechtsschutzlücke im Bereich der Datenschutzgrundverordnung besteht, muss sie auch nicht durch eine Anwendung des §§ 3 Buchst. a UWG geschlossen werden. An diese Überlegungen knüpft die Bundesratsinitiative des Freistaats Bayern an, wonach zur Anpassung zivilrechtlicher Vorschriften an die Datenschutzgrundverordnung ein Gesetzesantrag in den Bundesrat eingebracht worden ist (Bundesratsdrucksache 304 18 vom 6. 20.6.2018) woraus sich ableiten lässt, dass eine Klagebefugnis eines angeblichen Mitbewerbers ausscheiden soll, da ihm bereits eine Abmahnungsmöglichkeit verwehrt wird.

Es ist streitig, ob die fehlende Anspruchsberechtigung und fehlende Klagebefugnis zur Abweisung der Klage als unzulässig oder als unbegründet führt, doch handelt es sich bei der Anspruchsberechtigung um eine Frage der Aktivlegitimation und damit um eine Prüfung im Rahmen der Begründetheit der Klage, so dass die Klage auf Erlass einer einstweiligen Verfügung als unbegründet abzuweisen war."




Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen

In Ausgabe 22/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen".

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein


OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein

OLG Hamburg
Urteil vom 25.10.2018
3 U 66/17


Das OLG Hamburg hat entschieden, dass ein Verstoß gegen die DSGVO ein abmahnfähiger Wettbewerbsverstoß sein kann. Dabei ist im Einzelfall zu schauen, ob die konkrete verletzte Norm eine Marktverhaltensregel ist, was das Gericht im hier entschiedenen Fall ( Bestellbogen für Therapieallergene ohne Patienteneinwilligung ) verneint hat.

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

Aus den Entscheidungsgründen:

Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77-79 DSGVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.

Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Art. 77-79 DSGVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DSGVO) oder jeder anderen Person (Art. 78 Abs. 1 DSGVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DSGVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DSGVO) Rechtsbehelfs. Und Art. 82 DSGVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DSGVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DSGVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DSGVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).

Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DSGVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DSGVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DSGVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.


Den Volltext der Entscheidung finden Sie hier:



LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Bochum
Urteil vom 07.08.2018
I-12 O 85/18


Das LG Bochum hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO kein Wettbewerbsverstoß ist, der von Mitbewerbern abgemahnt werden kann.

Das LG Würzburg vertritt die gegenteilige Ansicht (siehe dazu LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß ).

Da bei Rechtsverstößen im Internet der Grundsatz des fliegenden Gerichtsstands gilt, werden Abmahner das LG Bochum meiden und ggf. in Würzburg gerichtliche Schritte einleiten.

Aus den Entscheidungsgründen:

"Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.


Den Volltext der Entscheidung finden Sie hier:


LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

LG Würzburg
Beschluss vom 13.09.2018
11 O 1741/18


Das LG Würzburg hat entschieden, dass eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO genügt, einen abmahnfähigen Wettbewerbsverstoß darstellt.

Die Entscheidung ist keineswegs überraschend, als die Rechtsprechung in den vergangenen Jahren vermehrt dazu übergegangen ist, bei Datenschutzverstößen zugleich einen Wettbewerbstverstoß zu bejahen.

Aus den Entscheidungsgründen:

Die Zuständigkeit des Gerichts ergibt sich hier aus § 14 Abs. 2 UWG (Begehungsort, fliegender Gerichtsstand bezüglich des Internets) und nicht aus § 32 ZPO wie von Antragstellerseite angegeben.

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.

Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.

Die erforderliche Wiederholungsgefahr wird durch das rechtsverletzende Verhalten indiziert. Somit ist der Verfügungsanspruch gegeben.

Ein Verfügungsgrund ist bei wettbewerbsrechtlichen Unterlassungsansprüchen gem. § 12 Abs. 2 UWG indiziert. Es besteht damit eine widerlegliche tatsächliche Vermutung der Dringlichkeit. Nach Aufforderung des Gerichts hat der Antragsteller zudem glaubhaft gemacht, dass er innerhalb der von der Rechtsprechung angenommenen Monatsfrist erst von den Verstößen Kenntnis erlangt hat und dass somit keine Selbstwiderlegung der Dringlichkeit durch zu langes Zuwarten vorliegt.

Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.


Den Volltext der Entscheidung finden Sie hier:



Rechtsanwalt Marcus Beckmann im Online-Artikel der Internet World Business - DSGVO: Die Angst vor der Abmahnflut - Statements weshalb diese ausgeblieben ist

Im Rahmen des Online-Beitrags Datenschutzgrundverordnung - DSGVO: Die Angst vor der Abmahnflut der Internet World Business von Frank Kemper erschienen einige Statements von Rechtsanwalt Marcus Beckmann zur Frage, weshalb die befürchtete Abmahnwelle wegen Verstößen gegen die Datenschutzgrundverordnung ( DSGVO ) bislang ausgeblieben ist.

Interview in der Internet World Business mit Rechtsanwalt Marcus Beckmann zur Datenschutzgrundverordnung - DSGVO

In Ausgabe 10/2018, S.9 der Zeitschrift Internet World Business erschien ein Interview mit Rechtsanwalt Marcus Beckmann zur DSGVO.

Fazit zur DSGVO: Die Datenschutzgrundverordnung ist vielleicht gut gemeint, aber leider nicht gut gemacht.

Abmahnung DSGVO - Rechtsanwalt Marcus Beckmann im Online-Artikel der Internet World Business - DSGVO: Das große Chaos beginnt

Im Rahmen des Online-Beitrags DSGVO: Das große Chaos beginnt der Internet World Business von Frank Kemper erschienen einige Statements von Rechtsanwalt Marcus Beckmann zur Datenschutzgrundverordnung ( DSGVO ) . Schwerpunkt ist dabei insbesondere das Thema Abmahnung wegen Verstößen gegen die DSGVO.


Datenschutzerklärung - Datenschutzhinweis - BECKMANN UND NORDA - Rechtsanwälte - Bielefeld

Datenschutzerklärung - Datenschutzhinweis

I. Verantwortliche Stelle
Verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorgaben ist

BECKMANN UND NORDA - Rechtsanwälte GbR
Vertretungsberechtigte Gesellschafter:
Rechtsanwalt Marcus Beckmann, Rechtsanwältin Anke Norda
Welle 9
33602 Bielefeld
fon 0521/98628-0
fax 0521/98628-28
email info@beckmannundnorda.de

II. Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich in Einklang mit den datenschutzrechtlichen Vorgaben. Personenbezogene Daten werden nur verarbeitet, soweit dies zur Bereitstellung der Website mit ihren Funktionalitäten und ihrer Inhalte sowie für die Abwicklung des jeweiligen Vertragsverhältnisses oder der Anliegen des Nutzers erforderlich ist oder eine Einwilligung des Nutzers vorliegt. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist oder die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

III. Rechtsgrundlage
Die Verarbeitung personenbezogener Daten durch uns erfolgt auf folgender Rechtsgrundlage:

Art. 6 Abs. 1 lit. a DSGVO:
Für Verarbeitungsvorgänge personenbezogener Daten bei denen wir eine Einwilligung der betroffenen Person einholen.

Art. 6 Abs. 1 lit. b DSGVO:
Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

Art. 6 Abs. 1 lit. c DSGVO:
Für die Verarbeitung personenbezogener Daten, die zur Erfüllung einer rechtlichen Verpflichtung, der wir als Verantwortlicher unterliegen, erforderlich sind

Art. 6 Abs. 1 lit. d DSGVO:
Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

Art. 6 Abs 1 lit. e DSGVO:
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

Art. 6 Abs. 1 lit. f DSGVO:
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

IV. Logfiles bei Aufruf der Website
Bei Aufruf der Website werden von unserem System automatisch folgende Informationen in unseren Logfiles gespeichert:

Browsertyp und die verwendete Version
Betriebssystem des Nutzers
Internet-Service-Provider des Nutzers
IP-Adresse des Nutzers
Datum und Uhrzeit des Zugriffs
Website über die der Nutzer auf unsere Internetseite gelangt ist
Websites die vom System des Nutzers über unsere Website aufgerufen wird
Eine Speicherung zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt. Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.

V. Cookies
Diese Webseite verwendet Cookies, um die Nutzung unserer Website zu erleichtern. Bei Cookies handelt es sich um kleine Textdateien, die von einer Website lokal im Speicher Ihres Internet-Browsers auf dem von Ihnen genutzten Rechner abgelegt werden können.Sie können Cookies jederzeit löschen, indem Sie die entsprechende Funktion Ihres Browsers verwenden oder die Cookies auf Ihrer Festplatte löschen. Zudem haben Sie die Möglichkeit, die Verwendung von Cookies über den entsprechenden Menüpunkt Ihres Browsers zu deaktivieren. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO.

VI. Kontaktaufnahme
Im Rahmen der Kontaktaufnahme mit uns per Email werden die von Ihnen angegeben Daten bei uns gespeichert. Die Daten werden ausschließlich zum Zweck der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die damit verbundene technische Abwicklung gespeichert und verwendet. Rechtsgrundlage für die Verarbeitung der Daten ist 6 Abs. 1 lit. f DSGVO sowie Art. 6 Abs. 1 lit. a DSGVO. Dient die Kontaktaufnahme dem Abschluss eines Vertrages so ist weitere Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Ihre Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

VII. Rechte der betroffenen Personen
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

1. Auskunftsrecht
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen:
(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
(4) die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

2. Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

3. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
(1) wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
(2) die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
(4) wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.

4. Recht auf Löschung
a) Löschungspflicht
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
(1) Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
(2) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
(4) Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
(5) Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
(6) Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

b) Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

c) Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

6. Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und
(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

7. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

9. Automatisierte Entscheidung im Einzelfall einschließlich Profiling
Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung
(1) für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist,
(2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder
(3) mit Ihrer ausdrücklichen Einwilligung erfolgt.
Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen, sofern nicht Art. 9 Abs. 2 lit. a oder g DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie Ihrer berechtigten Interessen getroffen wurden.
Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

10. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

LG Köln: Fehlende Datenschutzerklärung nach § 13 TMG ist ein abmahnfähiger Wettbewerbsverstoß

LG Köln
Beschluss vom 26.11.2015
33 O 230/15


Das LG Köln hat in einem einstweiligen Verfügungsverfahren entschieden, dass das Fehlen einer Datenschutzerklärung nach § 13 TMG einen abmahnfähigen Wettbewerbsverstoß darstellt. Eine nähere Begründung enthällt der Beschluss nicht.

Den Volltext der Entscheidung finden Sie hier:

§ 13 Telemediengesetz (TMG):

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.

(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,

2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,

3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,

4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und

6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.

An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

(8) Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.

LG Berlin: Verbraucherschützer vs Google - Zahlreichen Klauseln in Datenschutzerklärung und Nutzungsbedingungen von Google unzulässig

LG Berlin
Urteil vom 19.11.2013
15 O 402/12
nicht rechtskräftig


Das LG Berlin hat zahlreiche Klauseln in der Datenschutzerklärung sowie den Nutzungsbedingungen von Google für unzulässig erklärt. Der Verbraucherzentrale Bundesverbands (vzbv) hatte auf Unterlassung geklagt.

Das Ergebnis überrascht nicht. Im Regelfall sind die Bedingungen der großen Anbieter wie z.B. Apple, Facebook, Microsoft & Co. ein Sammelsurium unzulässiger Klauseln. Die im Regelfall aus dem anglo-amerkanischen Rechtsraum stammenden Vertragsbedingungen sind häufig mit dem deutschen Recht schlicht nicht zu vereinbaren. Nach zutreffender Ansicht müssen auch ausländische Unternehmen die deutsche Rechtslage beachten, sofern sie ihre Dienste bestimmungsgmäß in Deutschland anbieten.

Aus der Pressemitteilung des vzbv:

"Das Landgericht Berlin hat heute nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) zahlreiche Vertragsklauseln des Internetkonzerns Google für rechtswidrig erklärt. Betroffen sind insgesamt 25 Klauseln aus den Nutzungs- und Datenschutzbestimmungen, die zu unbestimmt formuliert waren oder die Rechte der Verbraucher unzulässig einschränkten.
[...] Google hatte sich in der Datenschutzerklärung unter anderem das Recht vorbehalten, „möglicherweise“ gerätespezifische Informationen und Standortdaten zu erfassen oder „unter Umständen“ personenbezogene Daten aus den verschiedenen Google-Diensten miteinander zu verknüpfen. Für Verbraucher blieb unklar, wozu sie ihre Zustimmung genau erteilen sollten. Zudem konnten personenbezogene Daten auch ohne aktive Einwilligung erfasst, ausgewertet und weiterverarbeitet werden.
[...]
Zwölf Nutzungsbedingungen enthielten Formulierungen, die die Rechte der Verbraucher einschränkten. Der Konzern behielt sich auch vor, sämtliche in den Diensten eingestellte Daten zu überprüfen, zu ändern und zu löschen, Anwendungen sogar durch direkten Zugriff auf das Gerät zu entfernen sowie Funktionen und Features der Dienste nach Belieben komplett einzustellen. Nur sofern es „vernünftigerweise möglich“ sei, werde der Nutzer vorab über die Änderung des Dienstes informiert. Eine Erläuterung, was darunter zu verstehen ist, fehlte. Zudem nahm sich Google das Recht, die Nutzungsbestimmungen einseitig ohne Einwilligung des Verbrauchers zu ändern. Der vzbv hielt das für unangemessen benachteiligend. Das Landgericht schloss sich im Ergebnis dieser Auffassung an und erklärte die eingeklagten Bedingungen für rechtswidrig."