BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG München
Beschluss vom 03.03.2023
6 W 1491/22

Das OLG München hat entschieden, dass eine Datenschutzerklärung als Sprachwerk nach § 2 Abs. 1 Nr. 1, Abs. 2 UrhG urheberrechtlich geschützt sein kann.

Aus den Entscheidungsgründen:
b) So verhält es sich hier. Während alle übrigen Voraussetzungen für den Unterlassungsanspruch nach § 97 UrhG nach summarischer Prüfung zu Beginn des Verfahrens vorgelegen haben (dazu aa bis dd), kann die Frage der Aktivlegitimation der Klägerin im Rahmen der Kostenentscheidung nach § 91a ZPO nicht abschließend beurteilt werden, da diese von Fragen des österreichischen Rechts abhängt (dazu ee).

aa) Vom Vorliegen eines urheberrechtlich geschützten Werks nach § 2 Abs. 1 Nr. 1, Abs. 2 UrhG kann nach summarischer Prüfung ausgegangen werden.

Hinsichtlich des rechtlichen Maßstabs hat die Klägerin im erstinstanzlichen Verfahren unter Verweis auf die Entscheidung des KG vom 11.05.2011 – 24 U 28/11 (GRUR-RS 2011, 14067) ausgeführt, bei Schriftwerken der infrage stehenden Art erfordere die Urheberrechtsschutzfähigkeit ein deutliches Überragen des Alltäglichen, des Handwerksmäßigen, der mechanisch-technischen Aneinanderreihung des Materials. Das KG stützt sich hierbei auf die (älteren) Entscheidungen des BGH „Bedingungsanleitung“ (GRUR 1993, 34) und „Anwaltsschriftsatz“ (BGH GRUR 1986, 739). Zwar hat der BGH diese Rechtsprechung – soweit ersichtlich – in der Folge nie ausdrücklich aufgegeben. Gleichwohl hat er in späteren Entscheidungen an diesem strengen Prüfungsmaßstab ersichtlich nicht festgehalten (vgl. etwa BGH, GRUR 2002, 958 – Technische Lieferbedingungen). Auch die Entscheidung „Geburtstagszug“ (BGH, 2014, 175) spricht dafür, dass der BGH für jegliche Arten von Werken einen einheitlichen – niederschwelligen – Prüfungsmaßstab anlegen möchte, wonach auch die „kleine Münze“ stets geschützt ist (vgl. zum Ganzen ausführlich auch: Nordemann, in: Loewenheim, UrhR-HdB, 3. Aufl., § 9 Die Werkarten Rn. 18 ff.).

Gemessen hieran kann das Vorliegen eines urheberrechtlich geschützten Werks vorliegend nicht verneint werden. Der Senat schließt sich insoweit nach summarischer Prüfung den Ausführungen des Landgerichts (LGU S. 2 ff. unter b) an. Soweit die Beschwerde geltend macht, das Landgericht habe keine Subsumtion vorgenommen, sondern bloße Behauptungen aufgestellt, kann dem nicht gefolgt werden. Die Ausführungen des Landgerichts sind im Zusammenhang mit dem Vortrag der Parteien, insbesondere demjenigen im Schriftsatz der Beklagtenseite vom 14.02.2022 (S. 20 ff. und 31 ff.) zu sehen. Dem Leser, der mit dem Verfahrensstoff vertraut ist, erschließt sich daher ohne Weiteres, was mit den Ausführungen des Landgerichts jeweils konkret gemeint ist.

Die Werkqualität kann auch nicht mit dem Argument der Klägerin in der Beschwerdebegründung verneint werden, sofern die Klägerin stets betont habe, sie habe die Texte in leicht verständlicher Art verfasst, komme die Klägerin damit nur dem aus Art. 13 Abs. 1 DSGVO (sic, gemeint wohl Art. 12 Abs. 1 Satz 1 DSGVO) folgenden Gebot nach. Zum einen handelt es sich bei der verständlichen sprachlichen Umsetzung nur um ein zusätzliches Kriterium neben der Art der Sammlung, Auswahl, Einteilung und Anordnung des Stoffs (vgl. BGH, GRUR 2002, 958 – Technische Lieferbedingungen). Zum anderen schließt die Erfüllung dieser gesetzlichen Anforderungen es nicht aus, dass darin zugleich eine persönliche geistige Schöpfung im Sinne von § 2 Abs. 2 UrhG liegt, zumal Art. 12 Abs. 1 Satz 1 DSGVO nur eine Zielvorgabe enthält, dem datenschutzrechtlich Verantwortlichen aber nicht vorgibt, wie er dieses Ziel konkret zu erreichen hat, so dass diesem hierbei ein erheblicher Gestaltungsspielraum verbleibt.

bb) Das Landgericht hat ferner zu Recht eine Verletzungshandlung im Inland und insoweit die Anwendbarkeit des deutschen Rechts bejaht (LGU S. 4 unter c), was von der Beschwerde auch nicht angegriffen wird.

cc) Auch soweit das Landgericht angenommen hat, dass dem Beklagten kein Nutzungsrecht zustand, ist dem nach summarischer Prüfung zu folgen. Auf die ausführlichen und überzeugenden Ausführungen des Landgerichts zu diesem Punkt (S. 4 f. unter d), welchen sich der Senat anschließt, wird Bezug genommen.

Insbesondere kann nicht angenommen werden, dass Ziff. 10 der AGB von einem objektiven Empfänger so verstanden werden konnte, dass die kostenlose Nutzung ohne Quellverweis und Link (ebenfalls) berechtigt erfolgt, die Klägerin in diesem Fall aber (nur) einen einklagbaren vertraglichen Anspruch auf Anbringung eines Quellverweises und Links erwirbt und einen vertraglichen Schadensersatzanspruch bei Nichterfüllung dieser schuldrechtlichen Verpflichtung. Vielmehr konnte ein objektiver Empfänger die entsprechende Klausel nur so verstehen, dass die Nutzung ohne Quellverweis und Link nicht erlaubt ist, eine solche Nutzung also rechtswidrig erfolgt, und deshalb (gesetzliche) Schadensersatzansprüche nach sich ziehen kann. Dass der hier inmitten stehende Unterlassungsanspruch dabei nicht ebenfalls ausdrücklich genannt wurde, ist unschädlich, da sich dieser aus dem Gesetz ergibt und sein Entstehen nicht von einem vorherigen Hinweis durch den Rechtsinhaber abhängig ist.

dd) Zum Zeitpunkt der Einreichung bzw. Erhebung der Klage lag auch die erforderliche Wiederholungsgefahr nach § 97 Abs. 1 Satz 1 UrhG vor, da der Beklagte zu diesem Zeitpunkt noch keine strafbewehrte Unterlassungserklärung abgegeben hatte.

ee) Nicht abschließend beurteilt werden kann im Rahmen der Entscheidung nach § 91a ZPO indessen die Frage der Aktivlegitimation.

(1) Auf die Vermutung nach § 10 Abs. 3 Satz 1 UrhG kann sich die Klägerin hierbei nach summarischer Prüfung nicht stützen. Selbst wenn man hinsichtlich der Üblichkeit der inhaltlichen Gestaltung der Angabe einen großzügigen Maßstab anlegt (vgl. Thum, in: Wandtke/Bullinger, UrhR, 6. Aufl., UrhG § 10 Rn. 26), geht aus der Angabe „Quelle: Erstellt mit dem Datenschutz Generator von A in Kooperation mit …“, auf die sich der Beklagte für die Vermutungswirkung beruft, inhaltlich nicht mit der hinreichenden Klarheit die Aussage hervor, dass die Klägerin Inhaberin eines ausschließlichen Nutzungsrechts an den streitgegenständlichen Texten ist (vgl. zu den betreffenden Anforderungen im Einzelnen: Thum, in: Wandtke/Bullinger, a.a.O., § 10 Rn. 115 ff.).

Nachdem somit die Vermutung nach § 10 Abs. 3 UrhG nicht greift, trägt hinsichtlich der materiellen Anspruchsberechtigung grundsätzlich die Klägerin als Anspruchstellerin die Darlegungs- und Beweislast.

(2) Die Klägerin hat vorgetragen, die Texte seien von ihrem Geschäftsführer Herrn O erstellt worden. Nach dessen eigenen Angaben in der mündlichen Verhandlung vor dem Landgericht am 06.07.2022 ist allerdings nicht ausgeschlossen, dass zum hier maßgeblichen Zeitpunkt auch Herr G bereits inhaltlich an den Texten mitgearbeitet hatte. Herr O hat jedoch weiter ausgeführt, es gebe nur ihn und Herrn G. Nur sie beide würden an den Texten arbeiten.

Hierin ist ein hinreichend substanziierter Sachvortrag der Klägerin für eine Urheberschaft des Herrn O und – nicht ausschließbar – eine Miturheberschaft des Herrn G zu sehen. Insoweit unterscheidet sich der Streitfall auch von der Konstellation in der von der Beklagtenseite zitierten Entscheidung des OLG Düsseldorf vom 02.06.2022 – 20 U 293/20 (GRUR-RS 2022, 17241), da dort – anders als hier – auf Grund des unstreitigen Vortrags beider Parteien weitere Personen, nämlich die ehrenamtlichen Ausschussmitglieder, konkret als Miturheber in Betracht kamen, welche der dortige Kläger nicht näher benannt hatte.

Wird die Urheberschaft bestimmter Personen – wie hier – substanziiert behauptet, genügt es jedoch nicht, sie mit Nichtwissen (oder einfach) zu bestreiten, sondern der Verletzer muss substanziiert darlegen, wer weshalb Urheber sein soll (OLG Köln, NJW-RR 2016, 165 Rn. 23; Thum, in: Wandtke/Bullinger, a.a.O., UrhG § 7 Rn. 45, Loewenheim/Peifer, in: Schricker/Loewenheim, UrhR, 6. Aufl., UrhG § 10 Rn. 1; vgl. auch OLG Hamm, Urt. v. 24.06.2008 – 4 U 25/08, BeckRS 2009, 6891). Ein solches substanziiertes Bestreiten des Beklagten ist vorliegend nicht erkennbar.

Den Volltext der Entscheidung finden Sie hier:

LG Köln
Urteil vom 23.03.2023
33 O 376/22

Das LG Köln hat entschieden, dass ein Unterlassungsanspruch gegen die Deutsche Telekom wegen der Datenweitergabe an Google durch Nutzung von Google Analytics ohne ausreichende Einwilligung besteht.

Aus den Entscheidungsgründen:
Die Beklagte hat gegen die Beklagte einen Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO.

Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt.

a. Die Übermittlung von IP-Adressen an die Google LLC in den USA gilt nach § 138 Abs. 2, 3 ZPO als zugestanden. Der Kläger hat substantiiert zu der Übermittlung vorgetragen. Das darauffolgende Bestreiten der Beklagten im Schriftsatz vom 02.02.2023 ist hingegen nicht hinreichend substantiiert. Vielmehr erschöpft es sich trotz des Aufgreifens einzelner Punkte im Ergebnis in einem pauschalen Bestreiten bzw. Anzweifeln.

Die Substantiierungslast des Bestreitenden hängt davon ab, wie substantiiert der darlegungspflichtige Gegner vorgetragen hat. Je detaillierter das Vorbringen des Darlegungsbelasteten ist, desto höher sind die Substantiierungsanforderungen gem. § 138 Abs. 2 ZPO. Substantiiertes Vorbringen kann danach grundsätzlich nicht pauschal bestritten werden. Vorausgesetzt ist dabei, dass der bestreitenden Partei substantiierter Gegenvortrag möglich und zumutbar ist, wovon in der Regel auszugehen ist, wenn die behaupteten Tatsachen in ihrem Wahrnehmungsbereich gelegen haben (BeckOK ZPO/von Selle ZPO § 138 Rn. 18; BGH NJW-RR 2019, 1332 Rn. 23 mwN).

So liegt der Fall hier. Die Übertragung und Verarbeitung von Daten liegt im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten wäre es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen werden und wo diese verarbeitet werden. Daher genügt es insbesondere nicht, lediglich in Zweifel zu ziehen, ob der Standort der IP-Adresse „142.250.185.228“ in den USA befindlich ist oder ob der Sitz des Unternehmens unabhängig von dem Standort des Servers der IP-Adresse ist. Ebenso wenig genügt es, den Aussagegehalt der Registrierung der IP-Adresse und der Anlagen K11 und K12 in Frage zu stellen.

b. Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.

Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (zB der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605).

Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.

Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand InternetNutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).

Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG München I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12).

Ob an die Dienste Heap und Xandr ebenfalls Daten in das Ausland übermittelt worden sind, kann vor diesem Hintergrund dahinstehen.

c. In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).

Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.

d. Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen.

Die Beklagte trägt vor, dass sie Standarddatenschutzklauseln in der bis zum 27.12.2022 gültigen Version mit ihren Dienstleistern und diese wiederum mit ihren Sub-Dienstleistern abgeschlossen hatte. Obschon der Kläger dies bestreitet, würde der Vortrag der Beklagten selbst bei Wahrunterstellung nicht genügen, um eine Rechtfertigung der Datenübermittlung zu begründen.

In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können:

„Demnach gibt es zwar Situationen, in denen der Empfänger einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich dieser Daten erlaubt.“ (Schrems II, Rn. 126).

Der EuGH ist zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet (Schrems II, Rn. 180 ff).

Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken.

Dies entspricht auch der Wertung des EuGH:

„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“ (Schrems II, Rn. 133).

Zu solchen – nach den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ der EDSA wohl vertraglichen, technischen oder organisatorischen Maßnahmen – hat die Beklagte nicht vorgetragen.

Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben.

e. Die Beklagte kann sich auch nicht mit Erfolg auf eine Einwilligung iSd Art. 49 Abs. 1 lit. a) DSGVO berufen.

Eine „ausdrückliche Einwilligung“ iSd Art. 49 Abs. 1 lit. a) DSGVO auf hinreichender Informationserteilung u.a. über den Empfänger der Informationen wurde schon nicht dargelegt.

Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus.

Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).

Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst.

Dass die Beklagte zum Zeitpunkt der Datenübertragung an Google LLC am 03.01.2023 geänderte Datenschutzhinweise verwendet hat, die den o.g. Anforderungen genügen, ist weder vorgetragen noch sonst ersichtlich. Es ist aber gemäß Art. 5 Abs. 1, 7 Abs. 1 DSGVO an der Beklagten die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 89-91.1; Diekmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021, 4. Einwilligung der betroffenen Personen, Anm. 1.-12.). Dies ist für den relevanten Zeitpunkt am 03.01.2023 nicht erfolgt.

Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart
Urteil vom 27.2.2020
2 U 257/19

Das OLG Stuttgart hat entschieden, dass Verstöße gegen die Vorgaben der DSGVO regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße sind. Zudem hat das OLG Stuttgart entschieden, dass § 13 Absatz 1 Satz 1 TMG durch DSGVO verdrängt wird.

Aus den Entscheidungsgründen:

"Die Klage ist auch hinsichtlich des Hilfsantrages aus den oben dargestellten Gründen zulässig. Insbesondere steht es dem Kläger zu, gemäß § 8 Absatz 3 Nr. 2 UWG Unterlassungsansprüche zu verfolgen, die sich aus Verstößen gegen die Datenschutz-Grundverordnung ergeben.

Durch die Datenschutz-Grundverordnung werden die Rechtsbehelfe nicht abschließend geregelt, so dass die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar bleiben, wenn es sich um einen Verstoß gegen eine Marktverhaltensregelung handelt (so auch OLG Hamburg, Urteil vom 25. Oktober 2018 – 3 U 66/17, juris Rn. 56 m. zust. Anm. Janßen, jurisPR-ITR 25/2018 Anm. 2; Wolff, ZD 2018, 248; Laoutoumai/Hoppe, K&R 2018, 533; Schreiber, GRUR-Prax 2018, 371).

1. Bestimmungen einer EU-Verordnung sind nicht von sich aus abschließend. Der Rechtsakt einer Verordnung hat eine allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Artikel 288 Absatz 2 AEUV). Sieht die Verordnung den Erlass von weitergehenden nationalen Regelungen nicht ausdrücklich vor, können Mitgliedstaaten nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren (EuGH, Urteil vom 14. Oktober 2004 – C-113/02, Rn. 16). Dabei ist unter Bezugnahme auf die einschlägigen Bestimmungen der Verordnung zu prüfen, ob diese Bestimmungen, ausgelegt im Licht ihrer Ziele, es den Mitgliedstaaten verbieten, gebieten oder gestatten, bestimmte nationale Normen anzuwenden, und insbesondere im letztgenannten Fall, ob sie sich in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügen (EuGH, Urteil vom 21. Dezember 2011 – C-316/10, Rn. 43).

2. Bei der Auslegung der Verordnung zur Frage, ob sie den Mitgliedsstaaten die Anwendung bestimmter nationaler Normen zur Rechtsdurchsetzung gestattet, ist von dem maßgeblichen Interesse eines jeden Normgebers auszugehen, dass die von ihm erlassenen Bestimmungen von allen Adressaten befolgt werden. Auf diesem Grundinteresse basiert auch die in Artikel 4 Absatz 3 EUV und Artikel 197 Absatz 1 AEUV verankerte Verpflichtung der Mitgliedstaaten zur effektiven Durchführung des Unionsrechts. Allgemein setzt dies ein wirksames System der Kontrolle und Rechtsverfolgung voraus. Je engmaschiger dieses Netz, desto mehr wird der Willen des Normgebers durchgesetzt.

Die Interessenlage kann sich in diesem Bereich anders darstellen als bei der Harmonisierung des materiellen Rechts. Dort kann der Zweck darauf gerichtet sein, nicht nur Mindest-, sondern auch Höchstanforderungen aufzustellen. Es erleichtert den grenzüberschreitenden Verkehr von Waren und Dienstleistungen, wenn sich der Unternehmer nicht darauf einstellen muss, dass im Ausland noch höhere Anforderungen an ihn gestellt werden als im Mitgliedstaat seines Sitzes. Dass Teile der Datenschutz-Grundverordnung das materielle Recht vollständig harmonisieren, wird in der Literatur angenommen (statt aller: Franzen in Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 88 DSGVO Rn. 7 ff). Diese Erwägung lässt allerdings noch keine Rückschlüsse darauf zu, dass dies auch für die Rechtsdurchsetzung gelten soll.

3. Bereits nach dem allgemeinen Kompetenzgefüge der Europäischen Union sind die Mitgliedstaaten verpflichtet, die in einer Verordnung begründeten Rechte zu schützen, namentlich durch die nationalen Gerichte (EuGH, Urteil vom 10. Oktober 1973 – 34/73, Rn. 8). Dieser allgemeinen Aufteilung folgt auch die Datenschutz-Grundverordnung, indem sie die Zuständigkeit der nationalen Gerichte für Klagen begründet (Artikel 78 Absatz 3, Artikel 79 Absatz 2, Artikel 82 Absatz 6 DSGVO) und darüber hinaus die Mitgliedstaaten verpflichtet, Aufsichtsbehörden einzurichten (Artikel 51 Absatz 1 DSGVO). Dabei gibt die Verordnung lediglich vor, dass dem einzelnen ein Zugang zum Rechtsschutz gewährt werden muss durch ein Klagerecht bzw. ein Recht auf Beschwerde bei der Aufsichtsbehörde. Daraus folgt, dass die nähere Ausgestaltung der Rechtsdurchsetzung in die Verantwortung der Mitgliedstaaten fällt.

4. Ist mithin davon auszugehen, dass der Normgeber die effektive Durchsetzung der durch ihn verliehenen Rechte beansprucht und gibt er – wie hier – die Zuständigkeit zur Ausgestaltung des Prozessrechts an die Mitgliedstaaten, muss vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden. Etwas anderes kann nur angenommen werden, wenn sich aus der Verordnung selbst mit hinreichender Klarheit ergibt, dass weitergehende nationale Maßnahmen, die die Rechtsdurchsetzung erleichtern, unzulässig sein sollen.

Aus der Datenschutz-Grundverordnung ergibt sich jedoch nicht – schon gar nicht mit der hierfür gebotenen Klarheit –, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen.

a) Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt. Zwar kommt den Aufsichtsbehörden eine wichtige Rolle bei der Durchsetzung der Datenschutz-Grundverordnung zu. Die Verordnung beschneidet aber auch nicht die Rechtsdurchsetzung privater Rechte auf dem Zivilrechtsweg. Vielmehr stehen Maßnahmen der Aufsichtsbehörde, die u.a. Sanktionen verhängen kann, und die privatrechtliche Durchsetzung von Schadensersatzansprüchen unabhängig nebeneinander und sind gleichrangig.

aa) Durch die Einrichtung der Aufsichtsbehörden wollte der Verordnungsgeber die Rechtsstellung der Unionsbürger verbessern. Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt (Artikel 77 Absatz 1 DSGVO). Die Aufsichtsbehörden sind u.a. dazu befugt, Verantwortliche zu warnen, zu verwarnen, ihnen bestimmte Maßnahmen aufzuerlegen und gegen sie Sanktionen zu verhängen (Artikel 58 Absatz 2 lit. a, b, g, i und Artikel 83 DSGVO).

bb) Eine Einschränkung bestehender Befugnisse zur Rechtsdurchsetzung war nicht bezweckt. Vielmehr sollte durch die Datenschutz-Grundverordnung ersichtlich nur ein Mindeststandard für den Rechtsschutz der betroffenen Person und desjenigen, dem durch Verstöße gegen die Verordnung ein Schaden entstanden ist, geregelt werden.

Das Beschwerderecht der betroffenen Person (Artikel 4 Nr. 1 DSGVO) besteht „unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs“ (Artikel 77 Absatz 1 DSGVO). Die Verordnung stellt die individuelle gerichtliche Geltendmachung von Ansprüchen – etwa vor einem Zivilgericht – der behördlichen Rechtsdurchsetzung gleich. Unabhängig von dem Recht, sich an eine zuständige Aufsichtsbehörde zu wenden, gewährt Artikel 79 Absatz 1 DSGVO jeder betroffenen Person einen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden (vgl. Mundil in Beck’scher Onlinekommentar Datenschutzrecht, 30. Ed. 1.2.2017, Art. 79 DSGVO Rn. 14). Daneben gewährt Artikel 82 Absatz 1 und 6 DSGVO jeder Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen gerichtlich durchsetzbaren Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

cc) Insbesondere enthält Artikel 80 DSGVO keine abschließende Regelung für die privatrechtliche Rechtsdurchsetzung. Nicht gefolgt werden kann der Auffassung, aus einem Gegenschluss zu Artikel 80 Absatz 2 DSGVO ergebe sich, dass Mitbewerber und Wettbewerbsverbände nicht klagebefugt seien. Artikel 80 Absatz 2 DSGVO sei als Öffnungsklausel anzusehen, die die Mitgliedstaaten lediglich dazu ermächtige, sog. Datenschutzverbänden eine Klagebefugnis zu verleihen, nicht jedoch auch Mitbewerbern und Wettbewerbsverbänden im Sinne von § 8 Absatz 3 Nr. 2 UWG (so Köhler, WRP 2018, 1269 Rn. 35; ders., WRP 2019, 1279 Rn. 5; ders. in Köhler/Bornkamm/Feddersen, Kommentar zum UWG, 38. Aufl. 2020, § 3a UWG Rn. 1.40f; Barth, WRP 2018, 790 Rn. 16; Baumgartner/Sitte, ZD 2018, 555 [558]; Schmitt, WRP 2019, 27 Rn. 20; Spittka, GRUR-Prax 2019, 4; differenzierend Uebele, GRUR 2019, 694 [697], der zwar Mitbewerbern eine Klagebefugnis einräumt, nicht aber deren Verbänden).

(1) Artikel 80 Absatz 1 DSGVO räumt der betroffenen Person das Recht ein, auch Dritte damit zu beauftragen, ihre Rechte gegenüber der Aufsichtsbehörde, dem Verantwortlichen oder dem Auftragsverarbeiter wahrzunehmen. Dabei soll es sich allerdings um eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht handeln, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist. Weiter können die Mitgliedstaaten vorsehen, dass ebengenannte Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht haben, die genannten Rechte einzelner unabhängig von einem Auftrag der betroffenen Person wahrzunehmen (Artikel 80 Absatz 2 DSGVO). Die Voraussetzungen des Artikel 80 Absatz 1 DSGVO erfüllt der Kläger als Verband zur Förderung gewerblicher oder selbständiger beruflicher Interessen nicht.

(2) Dem Verlauf der Beratungen in der Ratsarbeitsgruppe lässt sich ein abschließender Charakter von Artikel 80 Absatz 2 DSGVO jedoch nicht entnehmen.

Die Regelung geht auf einen Vorschlag der französischen Delegation zurück, die den Gedanken eingebracht hat, dass die Wahrung der Einhaltung der Datenschutzrechte durch Verbände eine effektive Möglichkeit zu deren Rechtsdurchsetzung darstellt. Dabei schwebte der Initiative vor, die Mitgliedstaaten zum Erlass effektiver Verfahrensregelungen zu verpflichten (Ratsdokument 7586/1/15 REV 1, S. 22/23). Der Vorsitz griff diesen Vorschlag als neuen Artikel 76 Absatz 2 des Entwurfs auf, jedoch ohne eine Umsetzungsverpflichtung vorzusehen (Ratsdokument 7722/15, S. 16). In den Beratungen wurde die Frage erörtert, ob die Mitgliedstaaten zur Einräumung der Klagebefugnis verpflichtet werden sollten, wofür sich neben der französischen Delegation auch die Europäische Kommission einsetzte (Ratsdokument 8371/15, S. 15 Fn. 36). Mit der beschlossenen Fassung fanden die Delegationen einen Kompromiss (Ratsdokument 8383/15, S. 18 Fn. 34).

Aus den Materialien ergibt sich jedoch keine Stellungnahme von Delegationen, die die Bezugnahme auf den Absatz 1 für erforderlich hielten, um auszuschließen, dass anderen Verbänden, die nicht die Anforderungen eines Datenschutzverbandes erfüllten, eine Klagebefugnis eingeräumt wird. Die Europäische Kommission sprach sich für die Bezugnahme auf die Verbandsdefinition in Absatz 1 aus. Den Materialien lässt sich jedoch nicht entnehmen, dass es ihr Ziel war, weitergehende Klagebefugnisse auszuschließen. Vielmehr wollte sie erreichen, dass ein anerkannter Datenschutzverband die Rechte auch in einem anderen Mitgliedstaat verfolgen könnte. Hierin sah die Europäische Kommission den eigentlichen Mehrwert der Regelung (Ratsdokument 8371/15, Seite 15 Fn. 38).

Wie diese Äußerung und auch die weiteren Stellungnahmen zeigen, sind die Delegationen davon ausgegangen, dass eine Regelung der Klagebefugnis in den Kompetenzbereich der Mitgliedstaaten fällt. Die portugiesische Delegation hat darauf hingewiesen, dass die Befugnisse übriger Verbände nicht ausgeschlossen werden sollen (Ratsdokument 8371/15 Fn. 37). Die französische Delegation hat, nachdem sie ihr Ziel einer verpflichtenden Regelung nicht durchsetzen konnte, angemerkt, dass es einer Regelung nicht bedürfe, wenn sie keine Verpflichtung enthalte (Ratsdokument 8383/15 S. 18, Fn. 36).

Aus dem Umstand, dass die Delegationen in dem Willensbildungsprozess als kleinsten gemeinsamen Nenner eine Regelung gefunden haben, die nur das ausdrückt, was allgemein anerkannt ist – nämlich, dass die Mitgliedstaaten Datenschutzverbänden eine Klagebefugnis einräumen können – kann jedoch nicht geschlossen werden, dass andere allgemein anerkannte Befugnisse der Mitgliedstaaten – die Einräumung noch weitergehender Klagebefugnisse – eingeschränkt werden sollten. Die Ratsdokumente enthalten keinen Hinweis darauf, dass eine derartige Regelung getroffen werden sollte.

dd) Auch den Erwägungsgründen 11 und 13 kann nicht entnommen werden, dass die Sanktionen und die Rechtsdurchsetzung in der Datenschutz-Grundverordnung abschließend geregelt seien (so aber Köhler, WRP 2018, 1269 Rn. 24; Ohly, GRUR 2019, 686 [688]).

Zwar ist dort die Rede davon, dass in den Mitgliedstaaten die gleichen Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie die gleichen bzw. gleichwertigen Sanktionen im Falle ihrer Verletzung erforderlich sind. Als Sanktionen in diesem Sinne sind indes die von den Aufsichtsbehörden zu ergreifenden Maßnahmen (Artikel 58 Absatz 2 DSGVO), insbesondere die zu verhängenden Geldbußen (Artikel 58 Absatz 2 lit. i DSGVO), zu verstehen, für die es in Artikel 83 DSGVO eine ausgestaltende Regelung zur Höhe und zu den Bemessungskriterien gibt. Die zivilrechtliche Verfolgung von Ansprüchen durch Private stellt jedoch keine Sanktion in diesem Sinne dar. Wie die Überschrift zu Kapitel VIII belegt, unterscheidet die Verordnung zwischen Rechtsbehelfen, Haftung und Sanktionen (zutreffend Uebele, GRUR 2019, 694 [698]).

5. Die Klagebefugnis der Verbände gemäß § 8 Absatz 3 Nr. 2 UWG fügt sich in den Wertungsrahmen der Datenschutz-Grundverordnung ein.

Die Verfolgung von Wettbewerbsverstößen durch Mitbewerber und Wettbewerbsverbände hat sich als schlagkräftiges Instrument bewährt (Entwurf der Bundesregierung für ein Gesetz gegen den unlauteren Wettbewerb, Bundestag Drucksache 15/1487, S. 22). Zwar sind die Mitgliedstaaten nach Artikel 52 Absatz 4 DSGVO verpflichtet, die Aufsichtsbehörden mit den erforderlichen Ressourcen auszustatten, damit sie ihre Aufgaben effektiv wahrnehmen können. Da allerdings alle Ressourcen begrenzt sind und jede Behörde Schwerpunkte und Prioritäten setzen muss, können die Mitbewerber und Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten. Damit dient die ihnen zustehende Klagebefugnis der effektiven Durchsetzung der Verordnung, die im Interesse des Verordnungsgebers liegt und die sich damit in den in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügt. Da sich aus Artikel 77 ff. DSGVO der Grundsatz entnehmen lässt, dass weitergehende Rechtsbehelfe unberührt bleiben, gilt für die Befugnis von Verbänden nichts anderes (Laoutoumai/Hoppe, K&R 2018, 533 [535]).

II. Die Klage ist auch begründet. Der Unterlassungsanspruch folgt aus § 8 Absatz 1 UWG i.V.m. §§ 3, 3a UWG und Artikel 13 DSGVO.

1. Wer eine nach § 3 UWG unzulässige geschäftliche Handlung vornimmt, kann gemäß § 8 Absatz 1 Satz 1 UWG bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Nach § 3a UWG begeht eine im Sinne von § 3 Absatz 1 UWG unzulässige geschäftliche Handlung, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Die Anwendung von § 3a UWG wird durch die vollharmonisierende UGP-Richtlinie nicht gesperrt, da diese selbst vorsieht, dass Rechtsvorschriften der Gemeinschaft, die besondere Aspekte unlauterer Geschäftspraktiken regeln, vorgehen und maßgebend sind (Artikel 3 Absatz 4 UGP-Richtlinie). Die in Erwägungsgrund Nr. 10 zur UGP-Richtlinie genannten Richtlinien sind nicht abschließend (Micklitz/Namysłowska in Münchener Kommentar zum UWG, 3. Aufl. 2020, Art. 3 UGP-Richtlinie Rn. 35). Auch datenschutzrechtliche Bestimmungen können besondere Aspekte unlauterer Geschäftspraktiken regeln, wie der letzte Satz des Erwägungsgrundes 14 zur UGP-Richtlinie zeigt. Es hängt von den Regelungen im Einzelfall ab, welche Verordnung einen bestimmten Aspekt unlauterer Geschäftspraktiken speziell regelt. Für die datenschutzrechtlichen Informationspflichten ist Artikel 13 DSGVO maßgebend. Nicht erforderlich ist damit ein Rückgriff auf § 5a Absatz 2 und 4 UWG. Diese Bestimmung regelt in Umsetzung von Artikel 7 UGP-Richtlinie den Unlauterkeitstatbestand des Vorenthaltens einer für eine informierte geschäftliche Entscheidung des Verbrauchers erforderlichen wesentlichen Information.

2. Mit dem Inserat auf der Internethandelsplattform hat der Beklagte gegen Artikel 13 DSGVO verstoßen.

a) Es liegt eine geschäftliche Handlung im Sinne von § 3 Absatz 1 UWG vor. Als solche gilt jedes Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen objektiv zusammenhängt. Dies ist bei einem Inserat mit der Möglichkeit der Kontaktaufnahme und Bestellmöglichkeit der Fall.

Der Beklagte hat auch für sein Unternehmen gehandelt. Unternehmer ist nach der Legaldefinition des § 14 Absatz 1 BGB eine Person, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Eine gewerbliche Tätigkeit setzt ein selbständiges und planmäßiges, auf eine gewisse Dauer angelegtes Anbieten entgeltlicher Leistungen am Markt voraus (BGH, Urteil vom 04. Dezember 2008 – I ZR 3/06, juris Rn. 33 – Ohrclips). Diese Voraussetzungen liegen unstreitig vor, nachdem sich der Beklagte selbst auf der Handelsplattform als gewerblicher Verkäufer präsentiert.

b) Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche zur Erhebung der Daten Informationen zu erteilen. Teilweise hängen die Informationspflichten davon ab, ob bestimmte Umstände vorliegen (Artikel 13 Absatz 1 lit. a (2. Alt.), lit. b, d, e, f, Artikel 13 Absatz 2 lit. c, f und Artikel 13 Absatz 3). Da zu dem Vorliegen solcher Umstände nichts vorgetragen ist, kann lediglich festgestellt werden, dass der Beklagte vor der Entgegennahme personenbezogener Daten der Käufer und Interessenten über folgende Umstände zu informieren hatte:

(1) den Namen und die Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO);

(2) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO);

(3) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO);

(4) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Artikel 13 Absatz 2 lit. b DSGVO);

(5) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO) und

(6) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO).

Unstreitig hat der Beklagte diese Informationen nicht vorgehalten. Er ist als Verantwortlicher im Sinne von Artikel 4 Nr. 7 DSGVO anzusehen, da er Daten der Käufer und Kaufinteressenten, die sich mit ihm in Verbindung setzen, erhebt und über die Zwecke und Mittel der so erhobenen personenbezogenen Daten entscheidet. Die zu erteilenden Informationen waren den Käufern bzw. Interessenten auch nicht auf andere Weise bekannt (Artikel 13 Absatz 3 DSGVO).

c) Bei den genannten Bestimmungen der Datenschutz-Grundverordnung handelt es sich um Marktverhaltensregelungen im Sinne von § 3a UWG.

aa) Teilweise wird den Bestimmungen der Datenschutz-Grundverordnung der Marktbezug allerdings insgesamt abgesprochen (Köhler, WRP 2018, 1269 Rn. 22; zum abgelaufenen Recht: OLG München, Urteil vom 12. Januar 2012 – 29 U 3926/11, juris Rn. 29). Dem wird entgegengehalten, dass die Verordnung nach Erwägungsgrund 9 Satz 3 auch eine wettbewerbsrechtliche Zielsetzung habe (Wolff, ZD 2018, 248).

Vermittelnd wird vertreten, dass datenschutzrechtliche Bestimmungen im Allgemeinen dem Schutz der Persönlichkeitsrechte dienen und sie einen wettbewerbsrechtlichen Bezug nur aufweisen, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (Schaffert in: Münchener Kommentar zum Lauterkeitsrecht, 3. Aufl. 2020, § 3a UWG Rn. 81; Schreiber, GRUR-Prax 2019, 4; diesen Ansatz verfolgend: OLG Frankfurt, Urteil vom 13. Dezember 2000 – 13 U 204/98, juris Rn. 37; zur DSGVO: OLG Sachsen-Anhalt, Urteil vom 07. November 2019 – 9 U 39/18, Rn. 57; Barth, WRP 2018, 790 Rn. 26; Baumgartner/Sitte, ZD 2018, 555 [557]; zur Nutzung personenbezogener Daten ohne Einwilligung: OLG Köln, Urteil vom 19. November 2010 – I-6 U 73/10, juris Rn. 13). In diesem Sinne hat der Senat bereits ausgesprochen, dass die konkrete Norm auf ihren Marktbezug zu untersuchen ist (OLG Stuttgart, Urteil vom 22. Februar 2007 – 2 U 132/06, juris Rn. 27). Das Datenschutzrecht mit seinen facettenreichen Verzweigungen verfolgt nicht allein einen einzelnen Schutzzweck. Daher verbietet sich eine generalisierende Betrachtung (Schmitt, WRP 2019, 27 Rn. 12).

bb) Als Marktverhalten im Sinne von § 3a UWG ist jede Tätigkeit auf einem Markt anzusehen, die objektiv der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen dient und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt (OLG Stuttgart, Urteil vom 08. Juni 2017 - 2 U 127/16, juris Rn. 28 – Extraportion Vitamin C). Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (BGH, Urteil vom 08. Oktober 2015 – I ZR 225/13, juris Rn. 21 – Eizellspende). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urteil vom 27. April 2017 – I ZR 215/15, juris Rn. 20 – Aufzeichnungspflicht). Nicht erforderlich ist dabei eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (BGH, Urteil vom 04. November 2010 – I ZR 139/09, juris Rn. 34). Die Vorschrift muss aber zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken (BGH, Urteil vom 28. November 2019 – I ZR 23/19, juris Rn. 24 – Pflichten des Batterieherstellers).

cc) Nach diesen Maßstäben, denen zufolge nicht nur die Interessen der Mitbewerber, sondern aller Marktteilnehmer einzubeziehen sind, liegt hinsichtlich aller Informationspflichten ein Marktbezug vor.

(1) Die Kenntnis des Namens und der Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO) hat eine verbraucherschützende Funktion und weist den erforderlichen wettbewerblichen Bezug auf. Sie erleichtert die Kommunikation mit dem Unternehmen (zur Anbieterkennzeichnung bei Telemediendiensten: BGH, Urteil vom 20. Juli 2006 – I ZR 228/03, juris Rn. 15). In diesem Sinne auch als verbraucherschützend mit Marktbezug zu werten sind die Information über die in Artikel 13 Absatz 2 lit. b DSGVO angesprochenen Rechte gegen den Verantwortlichen sowie der Hinweis auf das Beschwerderecht gegenüber der Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO).

(2) Einen nicht nur persönlichkeitsschützenden Charakter, sondern auch wettbewerblichen Bezug hat ferner die Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO) und darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO). Einen Marktbezug hat schließlich auch die Pflicht zur Erteilung der Information über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO).

Dem Interesse der Verbraucher und sonstigen Marktteilnehmer dient eine Norm, wenn sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützt (Köhler in: Köhler/Bornkamm/Feddersen/Köhler, a.a.O., § 3a UWG Rn. 1.67). Dies ist hier der Fall. Bereits durch den Geschäftskontakt als solchen werden datenschutzrechtliche Belange des Interessenten berührt und entsprechende Pflichten des Unternehmers begründet.

Die Entscheidung des Interessenten für eine Anbahnung des Vertrages stellt eine geschäftliche Entscheidung dar. Der Begriff der „geschäftlichen Entscheidung“ umfasst nicht nur die Entscheidung über den Erwerb oder Nichterwerb eines Produkts, sondern auch damit unmittelbar zusammenhängende Entscheidungen wie die Kontaktaufnahme mit dem Anbieter (BGH, Urteil vom 28. April 2016 – I ZR 23/15, juris Rn. 34 – Geo-Targeting). Die Entscheidung, mit dem Anbieter über Fernkommunikationsmittel in Kontakt zu treten, ist mithin untrennbar mit der Übermittlung personenbezogener Daten verknüpft ist (in diesem Sinne auch OLG Hamburg, Urteil vom 27. Juni 2013 – 3 U 26/12, juris Rn. 58 zu § 13 TMG). Die zu erteilenden Informationen dienen damit auch der Entscheidung des Verbrauchers, mit dem Unternehmen überhaupt in Kontakt zu treten und in diesem Zuge Daten zu übermitteln.

Für den Verbraucher kann für die Anbahnung des Geschäftes auch von Bedeutung sein, für welchen Zweck die Daten verarbeitet und wie lange sie gespeichert werden sollen. Je weiter die Zweckerklärung reicht und je länger die Daten gespeichert werden, desto eher besteht die Gefahr für eine vom Verbraucher unerwünschte Datenverarbeitung durch den Unternehmer oder gar für einen Datenmissbrauch durch Dritte. Insbesondere in den Fällen einer kostenlosen oder günstigen Gegenleistung erkennen Verbraucher durchaus, dass die Verarbeitung ihrer Daten Teil des Geschäftsmodells ist. Die zu erteilenden Informationen zur Datenerhebung stellen somit Informationen dar, die dem Verbraucher eine informierte Entscheidung über die Geschäftsanbahnung ermöglichen.

Dass die mit dem Geschäftskontakt betroffenen datenschutzrechtlichen Belange nicht getrennt hiervon betrachtet werden können, zeigt auch der Umstand, dass Artikel 13 DSGVO nicht (nur) im Sinne einer persönlichkeitsschützenden Norm dazu dient, dem Verbraucher die notwendigen Informationen zu erteilen, um eine wirksame Einwilligung „in informierter Weise“ (Artikel 4 Nr. 11 DSGVO) zu erteilen (Artikel 7 Absatz 1 DSGVO). Vielmehr ist der Verbraucher auch dann über die Zwecke der Datenverarbeitung und deren Rechtsgrundlagen aufzuklären, wenn seine Einwilligung nicht erforderlich ist, weil bereits die Erforderlichkeit der Datenverarbeitung für die Erfüllung des Vertrags oder zur Durchführung vorvertraglicher Maßnahmen deren Rechtmäßigkeit begründet (vgl. Artikel 6 Absatz 1 Satz 1 lit. b DSGVO).

3. Der Verstoß ist auch geeignet, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Spürbarkeit ist dann zu bejahen, wenn eine Beeinträchtigung der geschützten Interessen nicht nur theoretisch, sondern auch tatsächlich mit einer gewissen Wahrscheinlichkeit eintreten kann (OLG Stuttgart, Urteil vom 05. Juli 2018 – 2 U 167/17, juris Rn. 31).

a) Besteht der Verstoß gegen eine Marktverhaltensregelung darin, dass dem Verbraucher eine wesentliche Information vorenthalten wird, ist dieser Verstoß nur dann spürbar im Sinne von § 3a UWG, wenn er die ihm vorenthaltene wesentliche Information je nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, und deren Vorenthalten geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte (BGH, Urteil vom 31. Oktober 2018 – I ZR 73/17, juris Rn. 31 – Jogginghosen).

Den Unternehmer, der geltend macht, dass der Verbraucher – abweichend vom Regelfall – eine ihm vorenthaltene wesentliche Information für eine Kaufentscheidung nicht benötigt und dass das Vorenthalten dieser Information den Verbraucher nicht zu einer anderen Kaufentscheidung veranlassen kann, trifft insoweit allerdings eine sekundäre Darlegungslast (BGH, Urteil vom 02. März 2017 – I ZR 41/16, juris Rn. 32 – Komplettküchen). Der Verbraucher wird eine wesentliche Information im Allgemeinen für eine informierte geschäftliche Entscheidung benötigen. Ebenso wird, sofern im konkreten Fall keine besonderen Umstände vorliegen, grundsätzlich davon auszugehen sein, dass das Vorenthalten einer wesentlichen Information, die der Verbraucher nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er bei der geboten gewesenen Information nicht getroffen hätte (BGH, Urteil vom 07. März 2019 – I ZR 184/17, juris Rn. 27 – Energieeffizienzklasse III).

b) Aus den Gründen, aus denen die Informationspflichten gemäß Artikel 13 DSGVO als Marktverhaltensregelungen einzuordnen sind, ist ein hiergegen gerichteter Verstoß regelmäßig als spürbar zu bewerten. Der Beklagte hat auch keinen Vortrag dazu gehalten, der in Zweifel ziehen würde, dass der Verbraucher die zu erteilenden Informationen abweichend vom Regelfall nicht für eine informierte Entscheidung, mit ihm über das Internetportal zur Geschäftsanbahnung in Kontakt zu treten, benötigen würde.

5. Der Anspruch ist auch nicht verjährt.

Die vor Ablauf der Verjährungsfrist am 19.10.2018 zugestellte Klage war zunächst darauf gerichtet, die konkrete Verletzungsform unter dem Aspekt untersagen zu lassen, dass eine Webseite betrieben werde, ohne eine Datenschutzerklärung vorzuhalten. Da dieser rechtliche Gesichtspunkt sowohl nach Maßgabe des § 13 TMG als auch nach Maßgabe von Artikel 13 DSGVO zu prüfen war, schadet die spätere Aufteilung in zwei Streitgegenstände nicht. Unerheblich ist, dass die Vorgaben an den Inhalt die zu erteilenden Informationen über die Datenerhebung teilweise voneinander abweichen. Der Kläger hat insoweit die vollständig unterbliebene Erklärung beanstandet; dies deckt die Beurteilung nach beiden Bestimmungen ab. Die nach § 204 Absatz 1 Nr. 1 BGB eintretende Hemmung der Verjährung erfasst damit auch beide rechtliche Gesichtspunkte."

Den Volltext der Entscheidung finden Sie hier:

OLG Naumburg
Urteile vom 07.11.2019
9 U 6/19 und 9 U 39/18

Das OLG Naumburg hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO wettbewerbswidrig ist und Mitbewerbern ein Unterlassungsanspruch zusteht, wenn die verletzte Norm in der konkreten Fallkonstellation als Marktverhaltensregelung einzuordnen ist. Vorliegend ging es um die Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace. Das Gericht hat einen Wettbewerbsverstoß durch Verletzung von Art. 9 Abs. 1 DSGVO angenommen.

Aus den Entscheidungsgründen:

Dem Kläger steht ein Unterlassungsanspruch gemäß § 8 Abs. 1 S. 1 i.V.m. 3a UWG wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

I. Der Kläger ist als Mitbewerber aktivlegitimiert (vgl. II.,1.). In der vorliegenden Fallkonstellation sind die Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG anzusehen (vgl. II., 2). Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO (II., 3.). Der Beklagte verarbeitet die von der Handelsplattform erhobenen Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. 2 Buchst. a DSGVO (II., 4.).

Berufsrechtliche Verstöße vermag der Senat im vorliegenden Fall nicht festzustellen (vgl. III.). Ein Schadensersatzanspruch oder ein vorgeschalteter Anspruch auf Auskunft scheidet aus, da dem Beklagten kein Verschulden vorzuwerfen ist (IV.).

II.

1. Der Kläger ist aktivlegitimiert. Die Parteien sind Mitbewerber im Sinne des § 8 Abs. 3 Nr. 1 UWG.

aa) Die Eigenschaft als Mitbewerber gemäß § 8 Abs. 3 Nr. 1 UWG erfordert ein konkretes Wettbewerbsverhältnis im Sinne des § 2 Abs. 1 Nr. 3 UWG. Das ist gegeben, wenn beide Parteien gleichartige Waren oder Dienstleistungen innerhalb desselben Endverbraucherkeises abzusetzen versuchen und daher das Wettbewerbsverhalten des einen den anderen beeinträchtigen, das heißt im Absatz behindern oder stören kann (BGH, Urteil vom 13. Juli 2006 - I ZR 241/03, BGHZ 168, 314 Rn. 14 - Kontaktanzeigen; Urteil vom 28. September 2011 - I ZR 92/09, GRUR 2012, 193 = WRP 2012, 201 Rn. 17 - Sportwetten im Internet II).

Da im Interesse eines wirksamen lauterkeitsrechtlichen Individualschutzes grundsätzlich keine hohen Anforderungen an das Vorliegen eines konkreten Wettbewerbsverhältnisses zu stellen sind, reicht es hierfür aus, dass sich der Verletzer durch seine Verletzungshandlung im konkreten Fall in irgendeiner Weise in Wettbewerb zu dem Betroffenen stellt (BGH, Urteil vom 29. November 1984 - I ZR 158/82, BGHZ 93, 96, 97 f. - DIMPLE, mwN; Urteil vom 10. April 2014 – I ZR 43/13, GRUR 2014, 1114 = WRP 2014, 1307 Rn. 32 - nickelfrei; Urteil vom 19. März 2015 - I ZR 94/13, GRUR 2015, 1129 Rn. 19 = WRP 2015, 1326 - Hotelbewertungsportal). Nach der Rechtsprechung des Bundesgerichtshofes ist daher ein konkretes Wettbewerbsverhältnis anzunehmen, wenn zwischen den Vorteilen, die die eine Partei durch eine Maßnahme für ihr Unternehmen oder das eines Dritten zu erreichen sucht, und den Nachteilen, die die andere Partei dadurch erleidet, eine Wechselwirkung in dem Sinne besteht, dass der eigene Wettbewerb gefördert und der fremde Wettbewerb beeinträchtigt werden kann (BGH, GRUR 2014, 1114 Rn. 32 - nickelfrei; GRUR 2015, 1129 Rn. 19 - Hotelbewertungsportal). Nicht ausreichend ist es allerdings, wenn die Maßnahme den anderen nur irgendwie in seinem Marktstreben betrifft. Eine bloße Beeinträchtigung reicht zur Begründung eines Wettbewerbsverhältnisses nicht aus, wenn es an jeglichem Konkurrenzmoment im Angebots- oder Nachfragewettbewerb fehlt (BGH, Urteil vom 26. Januar 2017 – I ZR 217/15 –, Rn. 16, juris m.w.N.)

bb) Da das Internet auch im Einzugsbereich der Apotheke des Klägers verfügbar ist, konkurrieren die Parteien räumlich. Sachlich führen beide die gleichen Waren. Es ist daher denkbar, dass ein Kunde ein apothekenpflichtiges Medikament statt in der Apotheke des Klägers über den Amazon Marketplace bei dem Beklagten kauft.

Die Argumentation des Beklagten, dass die Kunden einer Präsenz-Apotheke an Beratung interessiert seien, während Kunden, die keine Beratung benötigten, im Internet kauften, vermag den Senat nicht zu überzeugen. Es mag sein, dass ein Kunde, der eine Beratung möchte, in der Regel eine Präsenz-Apotheke aufsuchen wird. Dagegen ist es keinesfalls zwingend, dass ein Kunde ohne Interesse an Beratung nur im Internet kauft.

2. Nach Auffassung des Senats sind die Regelungen der DSGVO in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3a UWG aufzufassen.

a) Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (vgl. BGH, Urteil vom 3. Juli 2003 - I ZR 211/01, BGHZ 155, 301, 305 - Telefonischer Auskunftsdienst; Urteil vom 12. Juli 2007 - I ZR 18/04, BGHZ 173, 188 Rn. 35 - Jugendgefährdende Medien bei eBay). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme (vgl. BGH, Urteil vom 8. Oktober 2015 - I ZR 225/13, GRUR 2016, 513 Rn. 21 = WRP 2016, 586 - Eizellspende; MünchKomm.UWG/Schaffert, 2. Aufl., § 4 Nr. 11 Rn. 60), also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (vgl. GroßKomm.UWG/Metzger, 2. Aufl., § 4 Nr. 11 Rn. 38; Köhler in Köhler/Bornkamm, UWG, 35. Aufl., § 3a Rn. 1.67). Nicht erforderlich ist eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (vgl. BGH, Urteil vom 10. Dezember 2009 - I ZR 189/07, GRUR 2010, 754 Rn. 20 ff. = WRP 2010, 869 - Golly Telly; Urteil vom 4. November 2010 - I ZR 139/09, GRUR 2011, 633 Rn. 34 = WRP 2011, 858 – BIO TABAK; aA Ohly in Ohly/Sosnitza, UWG, 7. Aufl., § 3a Rn. 25; Gärtner/Heil, WRP 2005, 20, 22; Scherer, WRP 2006, 401, 404). Die Vorschrift muss jedoch - zumindest auch - den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken; lediglich reflexartige Auswirkungen zu deren Gunsten genügen daher nicht (BGH, Urteil vom 27. April 2017 – I ZR 215/15 –, Rn. 20, juris m.w.N.)

b) Die Frage, ob Datenschutzbestimmungen nach Inkrafttreten der DSGVO Marktverhaltensregeln darstellen, ist bisher in Literatur und Rechtsprechung nicht abschließend geklärt.

aa) In der Literatur wird nunmehr vertreten, dass Datenschutzbestimmungen nach Inkrafttreten der DSGVO keine Marktverhaltensregeln im Sinne des § 3 Buchst. a UWG darstellen (Köhler in: Köhler/Dornkamp/Feddersen, UWG, 36. Aufl., 2018, § 3a Rn. 1.40a und 1.74a).

bb) Das Hanseatische Oberlandesgericht Hamburg nimmt dagegen auch nach Inkrafttreten der DSGVO an, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat (Urteil vom 25. Oktober 2018 – 3 U 66/17 –, Rn. 72, juris).

cc) Der Senat schließt sich der Auffassung des Hanseatischen Oberlandesgerichts Hamburg an. Selbstverständlich schützen Datenschutzregeln in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen. Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2), und die Regelungen der Richtlinie auch der Beseitigung solcher Hemmnisse diene, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8).

Vor Inkrafttreten der DSGVO war außerdem in der Rechtsprechung bereits anerkannt, dass die Nutzung von Daten zu Werbezwecken nach § 28 Abs. 3 BDSG a.F. als Marktverhaltensregel anzusehen ist (OLG Stuttgart, MMR 2007, 437, Rn. 27; OLG Köln, MMR 2009, 845; CR 2011, 680; ZD 2012, 421; OLG Karlsruhe, ZD 2012, 432, Rn. 34; OLG Dresden, BeckRS 2014, 15220, insoweit unklar, ob nur die dort ebenfalls allein streitige Regelung des § 28 Abs. 3 BDSG a.F.
oder § 28 BDSG a.F. generell als marktverhaltensregelnd angesehen worden ist).

c) Im vorliegenden Fall hat der Beklagte die Plattform Amazon Marketplace in das Feilbieten der von ihm vertriebenen Medikamente und Medizinprodukte in der Weise einbezogen, dass er die Popularität dieser Plattform nutzt, um Kunden zu gewinnen. Er setzt damit die Plattform als Werbeträger ein. Amazon selbst wertet die Daten – wenn auch anonym – aus, um zu werben: "Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B". Dies zielt
auf den Markt ab und berührt die wettbewerblichen Interessen der Marktteilnehmer. Denn durch die Auswertung der Absatzdaten können Kunden zielgerichtet angesprochen werden.

3. Bei den Bestelldaten der Kunden handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Die Daten, die Amazon für den Bestellvorgang erfasst, stellen sicher keine Gesundheitsdaten im engeren Sinne dar, wie z.B. ärztliche Befunde. Gleichwohl können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden. Soweit der Beklagte einwendet, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne, trifft dies zu. Dies senkt aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reicht nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Dies würde zu einer Absenkung des Schutzniveaus führen.

Soweit der Beklagte einwendet, dass die Datenschutzbehörden auf EU-Ebene beim Kauf von medizinischen Standardprodukten nicht von Gesundheitsdaten ausgehen, beachtet er nicht, dass hier nicht nur medizinische Standardprodukte verkauft werden, sondern eben auch apothekenpflichtige Medikamente. Insbesondere die Kombination aus mehreren apothekenpflichtigen Medikamenten lässt durchaus einen Rückschluss auf den Gesundheitszustand des Bestellers zu, wenn auch die Wahrscheinlichkeit eines zutreffenden Rückschlusses durch die Möglichkeit der Drittbestellung – wie bereits ausgeführt – an Sicherheit gemindert ist.

4. Im vorliegenden Fall liegen zwei Datenverarbeitungen im Sinne des § 9 Abs. 1 DSGVO vor.

a) Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO. Die allgemeinen Geschäftsbedingungen von Amazon enthalten diesen Passus. Eine Auftragsdatenverarbeitung ist auch von keiner Seite behauptet worden; der Beklagte räumt sie selbst ein, dass es sich nicht um eine Auftragsdatenverarbeitung handelt.

b) Eventuelle Datenschutzverstöße der Plattform Amazon Marketplace sind nicht Teil des Rechtsstreits; der Kläger weist hierauf ausdrücklich hin (vgl. Bd. III Bl. 6 und Bl. 28 d.A. [= Schriftsatz des Klägers vom 24.09.2018]). Insoweit geht es auch nicht um die Frage, ob eventuelle Datenschutzverstöße der Plattform dem Beklagten zugerechnet werden können.

c) Entscheidend ist hier die Datenverarbeitung durch den Beklagten selbst. Hierfür fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

aa) Nach Art. 9 Abs. 1 DSGVO kommt es nicht auf die Erhebung, sondern auf die Verarbeitung der dort genannten personenbezogenen Daten an.

bb) An einer Einwilligung für die Verarbeitung durch den Beklagten im Sinne des Art. 9 Abs. 2 Buchst. a DSGVO fehlt es hier.

α) Eine ausdrückliche Einwilligung der Kunden beim Bestellvorgang ist von keiner Seite behauptet worden.

β) Angesichts des Wortlauts des Art. 9 Abs. 2 Buchst. a DSGVO ("ausdrücklich eingewilligt") dürfte eine konkludente Einwilligung die Voraussetzung dieser Vorschrift nicht erfüllen. Darüber hinaus ist die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung berufsrechtlich durch die Berufsordnung der Apothekenkammer Sachsen-Anhalt konkretisiert.

§ 15 Abs. 2 dieser Berufsordnung lautet:
"Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden."

III.

Abgesehen von § 15 Abs. 2 der zitierten Berufsordnung hat der Beklagte nicht gegen Berufsrecht der Apotheker verstoßen.

1. Nicht zu folgen vermag der Senat der Auffassung des Klägers, dass der Beklagte durch das gewählte Vertriebsmodell Arzneimittel unter Verstoß gegen § 43 Abs. 1 AMG in Verkehr bringe und die Einbeziehung von Personen zu verantworten habe, die nicht der Geheimhaltungspflicht des § 203 StGB unterliegen.

a) Bei Anpreisung im Internet handelt es sich nach ständiger Rechtsprechung regelmäßig nur um die Aufforderung zur Abgabe eines Angebots. Der Senat sieht keine Veranlassung, für den Bereich des Apothekenrechts von dieser Grundregel abzuweichen.

b) Damit setzt der Kunde die Verkaufsplattform zur Übermittlung seines Angebots auf Abschluss eines Kaufvertrages zivilrechtlich als Bote ein. Er offenbart damit seine Gesundheitsdaten der Verkaufsplattform selbst.

c) Die Entscheidung diesen Weg zu wählen, um ein Medikament zu erwerben, trifft der Kunde eigenverantwortlich.

Es kommt daher weder ein Verstoß nach § 43 Abs. 1 AMG noch gegen § 203 StGB in Betracht. Denn der Apotheker setzt die Verkaufsplattform nur zur Reichweitenerhöhung, nicht aber für den Vertrieb ein. Nach der Übermittlung der Bestelldaten durch Amazon ist die Situation mit einer direkten Bestellung bei der Online-Apotheke des Beklagten – von der bereits ausgeführten datenschutzrechtlichen Problematik abgesehen – vergleichbar. Den Betrieb von Online-Apotheken hat der Gesetzgeber jedoch ausdrücklich zugelassen. Damit scheidet auch ein Verstoß gegen § 3 Abs. 5 ApBetrO aus. Denn die pharmazeutischen Tätigkeiten beginnen erst nach der Übermittlung der Daten durch Amazon an den Beklagten.

2. Ein Verstoß gegen das Selbstbedienungsverbot gemäß § 17 Abs. 3 ApBetrO scheidet aus den vom Landgericht genannten Gründen aus. Der Senat nimmt auf die entsprechenden Ausführungen im angegriffenen Urteil ausdrücklich Bezug. 3. Die Werbemaßnahmen auf der Handelsplattform gehen erkennbar – wie das Landgericht zutreffend ausführt - auf Amazon bzw. mittelbar auf die Kunden zurück, die Rezensionen schreiben. Die Werbemaßnahmen beziehen sich auf das Produkt und nicht auf eine konkrete Online-Apotheke und kommen daher nicht einem, sondern allen auf der Plattform vertretenen Apothekern zugute. Der Senat sieht daher keinen Verstoß gegen § 11 HWG oder § 14 Berufsordnung der Apothekenkammer Sachsen-Anhalt.

4. Die behauptete Umsatzbeteiligung von Amazon beruht auf Vermutungen. Es liegt außerdem weder ein partiarisches Darlehen oder einen am Umsatz ausgerichteter Mietvertrag vor. Ein Verstoß gegen § 8 Abs. 2 ApoG scheidet daher aus.

IV. Ein möglicher Schadensersatzanspruch gemäß § 9 UWG und ein vorbereitender Auskunftsanspruch setzen ein Verschulden voraus. Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

Den Volltext der Entscheidungen finden Sie hier:

OLG Naumburg, Urteil vom 07.11.2019 - 9 U 6/19

OLG Naumburg, Urteil vom 07.11.20199 U 39/18

LG Stuttgart
Urteil vom 20.05.2019
35 O 68/18 KfH

Das LG Stuttgart hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO kein abmahnfähiger Wettbewerbsverstoß ist. Nach Ansicht des LG Stuttgart ist das Sanktionssystem der DSGVO abschließend.

Aus den Entscheidungsgründen:

Beim Hauptantrag steht einem Anspruch aus § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG entgegen, dass § 13 TMG aufgrund der seit dem 25.05.2018 geltenden VO (EU) 2016/679 (Datenschutzgrundverordnung) keinen Anwendungsbereich mehr hat. Da es sich um eine Verordnung i.S.d. Art. 288 Abs. 2 AEUV handelt, hat diese unmittelbare Geltung in allen Mitgliedesstaaten mit der Folge, dass nationale Regelungen vollständig verdrängt werden, soweit sie in den Anwendungsbereich des europäischen Rechts fallen. Dies ist für die Regelung des § 13 Abs. 1 TMG anzunehmen, nachdem auch Art. 13 VO (EU 2016/679) Regelungen zu Informationspflichten bei der Erhebung von personenbezogenen Daten enthält (vgl. auch Hullen/Roggenkamp in: Plath, DSGVO/BDSG, 3. Aufl., § 13 TMG Rn. 3). Daher konnte der Beklagte am 16.07.2018 nicht mehr gegen § 13 TMG verstoßen.

2. Beim Hilfsantrag steht einem Anspruch aus § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG entgegen, dass die Datenschutzgrundverordnung die Sanktionen der Verstöße abschließend regelt und der Kläger danach nicht berechtigt ist, Unterlassungsansprüche geltend zu machen.

a) Die Frage, ob die Datenschutzgrundverordnung eine abschließende Regelung der Sanktionen enthält, ist streitig und höchstrichterlich noch nicht geklärt (dafür insbesondere LG Magdeburg v. 18.01.2019 - 36 O 48/18; LG Wiesbaden v. 05.11.2018 - 5 O 214/18; Köhler in: Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 3a UWG Rn. 1.40a; Lettl, WRP 2019, 289, dagegen insbesondere OLG Hamburg v. 25.10.2018 - 3 U 66/17, ohne dass es allerdings auf die Frage ankam; vgl. auch Schmidt, WRP2019, 27).

b) Das Gericht schließt sich der Auffassung an, dass die Datenschutzgrundverordnung abschließend ist.

aa) Hierfür spricht, dass die Datenschutzgrundverordnung eine detaillierte Regelung der Sanktionen enthält. Nach Art. 57 VO (EU) 2016/679 ist die Durchsetzung Aufgabe der Aufsichtsbehörden. Hinzukommen in den Art. 77 ff. VO (EU) 2016/679 Regelungen über Rechtsbehelfe. Nach Art. 79 VO (EU) 2016/679 hat jede betroffene Person, also die Person, in deren Datenschutzrechte vermeintlich eingegriffen wurde, das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Die Vertretung der Betroffenen ist in Art. 80 VO (EU) 2016/679 geregelt. Nach dem Absatz 1 kann die betroffene Person bestimmte Einrichtungen mit der Durchsetzung ihrer Rechte beauftragen. Darüber hinaus können die Mitgliedsstaaten nach dem Absatz 2 vorsehen, dass bestimmte Einrichtungen die Rechte auch ohne einen Auftrag im Sinne von Absatz 1 durchsetzen. Hierdurch kommt zum Ausdruck, dass der europäische Gesetzgeber eine eigenmächtige Verfolgung von Verstößen durch Dritte nur zulassen will, wenn die in der Norm genannten Voraussetzungen erfüllt sind und der nationale Gesetzgeber dies geregelt hat. Mit Blick auf diese konkrete Regelung kann man auch nicht annehmen, dass die Klagebefugnis Dritter aus den Bestimmungen des Art. 82 bzw. Art. 84 VO (EU) 2016/679 folgt (so auch Köhler in: Köhler/Bomkamm/Feddersen, UWG, 37. Aufl., § 3a UWG Rn. 1.40e). Wenn der europäische Gesetzgeber mit den Vorschriften eine weitergehende Klagebefugnis Dritter hätte regeln wollen, dann hätte es der Regelung in Art. 80 Abs. 2 VO (EU) 2016/679 nicht bedurft.

bb) Wenn aber in der Datenschutzgrundverordnung eine abschließende Regelung erfolgt ist, so kann man eine Durchsetzung über das UWG auch nicht mit einer anderen Zielrichtung des Wettbewerbsrechts begründen (BGH v. 07.02.2006 - KZR 33/04 - Probeabonnement; so aber OLG Hamburg v. 25.10.2018 - 3 U 66/17). Andernfalls würde die differenzierte Regelung in der Datenschutzgrundverordnung konterkariert werden, was mit dem Vorrang europäischen Rechts nicht in Einklang gebracht werden kann. Dies gilt umso mehr, als die Datenschutzgrundverordnung gar keine wettbewerbsschützende Zielrichtung hat. Zwar dient sie nach Art. 1 Abs. 1 VO (EU) 2016/679 dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Der Schutz erfolgt aber nicht aufgrund der Eigenschaft als Verbraucher sondern unabhängig davon.

Der deutsche Gesetzgeber hat von der Ermächtigung in Art. 80 Abs. 2 VO (EU) 2016/679 keinen Gebrauch gemacht (vgl. auch Köhler in. Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 2 UklaG Rn. 29e). Dafür, dass es dem Willen des Gesetzgebers entspricht, die Bestimmung des § 8 Abs. 3 Nr. 2 UWG als Umsetzung der Datenschutzgrundverordnung anzusehen, gibt es keine Anhaltspunkte. Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (BGBl. I 2017, 2097) enthält hierzu keine Ausführungen. Zudem ist die Ermächtigung in Art. 80 Abs. 2 VO (EU) 2016/679 auch enger als § 8 Abs. 3 Nr. 2 UWG. Nach der europäischen Bestimmung muss die Einrichtung im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sein. Diese Voraussetzung kennt § 8 Abs. 3 Nr. 2 UWG nicht.

3. Aufgrund der abschließenden Regelung der Datenschutzgrundverordnung stehen dem Kläger auch keine Unterlassungsansprüche nach dem UKIaG zu. Insoweit gilt das zum UWG Gesagte entsprechend (so auch Köhler in: Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 2 UklaG Rn. 29e). Zwar nennt § 2 Abs. 1 Nr. 11 UKIaG ausdrücklich Vorschriften, die die Zulässigkeit der Erhebung personenbezogener Daten regeln. Die Bestimmung wurde aber lange vor der Datenschutzgrundverordnung in das Gesetz aufgenommen. Auch insoweit kann nicht angenommen werden, dass es dem Willen des Gesetzgebers entspricht, die Bestimmung des § 3 Abs. 1 Nr. 2 UKIaG als Umsetzung der Datenschutzgrundverordnung anzusehen, nachdem die weiteren Voraussetzungen des Art. 80 Abs. 2 VO (EU 2016/679) keine Berücksichtigung finden.

KG Berlin
Urteil vom 21.03.2019
23 U 268/13

Das KG Berlin hat entschieden, dass zahlreiche Klausen in der Datenschutzerklärung (Fassung 2012) und Nutzungsbedingungen von Google unzulässig und damit unwirksam sind.

Siehe zur Vorinstanz: LG Berlin: Verbraucherschützer vs Google - Zahlreichen Klauseln in Datenschutzerklärung und Nutzungsbedingungen von Google unzulässig

Aus der Pressemitteilung des vzbv:

"Verstoss gegen Datenschutzgrundverordnung
Nach Auffassung des Gerichts verstoßen die beanstandeten Teile der Datenschutzerklärung gegen die Datenschutzgrundverordnung (DSGVO). Google erwecke den Eindruck, als sei die beschriebene Datenverarbeitung ohne Zustimmung der Kunden erlaubt. Tatsächlich sei für die Nutzung personenbezogener Daten in den vom vzbv beanstandeten Fällen jedoch eine informierte und freiwillige Einwilligung erforderlich. Die einfache Bestätigung von Verbrauchern, die Datenschutzerklärung gelesen zu haben, reiche hierfür nicht aus.

Für das Gericht sind Teile der Datenschutzerklärung auch deshalb unwirksam, weil sie „so verschachtelt und redundant ausgestaltet“ seien, dass durchschnittliche Leser sie kaum noch durchschauen könnten. Diese müssten davon ausgehen, dass letztlich jede Nutzung der personenbezogenen Daten erlaubt ist, die Google für zweckmäßig hält.

Unwirksame Nutzungsbedingungen
Für unwirksam erklärte das Gericht auch eine Reihe von Klauseln in den Google-Nutzungsbedingungen. Das Unternehmen behielt sich zum Beispiel vor, einzelne Dienste nach eigenem Ermessen einzustellen oder zu ändern. Darin sah das Kammergericht einen gesetzlich nicht zulässigen Änderungsvorbehalt. Google könne die versprochenen Leistungen nur ändern, wenn dies für die Verbraucher auch zumutbar sei. Eine solche Einschränkung enthielt die Klausel nicht.

Insgesamt erklärte das Kammergericht 13 Klauseln in der Datenschutzerklärung und 12 Klauseln in den Nutzungsbedingungen für unwirksam. Damit gab das Gericht der Klage des vzbv in vollem Umfang statt – wie zuvor schon das Landgericht Berlin in erster Instanz. Das Unternehmen hat inzwischen Nichtzulassungsbeschwerde beim Bundesgerichtshof eingelegt."

Den Volltext der Entscheidung finden Sie hier:

LG Wiesbaden
Urteil vom 05.11.2018
5 O 214/18

Das LG Wiesbaden hat entschieden, dass Mitbewerber bei Verstößen gegen die DSGVO nicht zur Abmahnung befugt sind.

Aus den Entscheidungsgründen:

"Die aufgeworfenen Fragen können deshalb offenbleiben, weil der Verfügungsklägerin als Mitbewerberin nach den §§ 3 Abs. 1,3 a i.V.m. § 8 Abs. 3 Nr. 1 UWG weder anspruchsberechtigt noch klagebefugt ist..

Der Gesetzgeber hat in Kap. 8 (Rechtsbehelfe, Haftung und Sanktionen) der Datenschutzgrundverordnung eingehend geregelt, wie die Datenschutzbestimmungen durchzusetzen sind. Im Mittelpunkt steht dabei die von einem Verstoß "betroffene Person". Sie kann sich mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden (Art. 74, 78 DSGVO), die dann ihrerseits tätig wird. Die betroffene Person hat aber auch nach Art. 79 DSGVO selbst das "Recht auf einen wirksamen gerichtlichen Rechtsbehelf", wenn sie der Ansicht ist, dass ihre Rechte aus der Datenschutzgrundverordnung verletzt worden sind. Die betroffene Person kann nach Art. 82 DGSVO Ersatz ihres materiellen und immateriellen Schadens verlangen. Nach Art. 80 Abs. 1 DSGVO ist die betroffene Person ferner berechtigt, "Organisationen" und "ähnlichen Einrichtungen, die bestimmte Anforderungen erfüllen" zu beauftragen, in ihrem Namen ihre Rechte unter anderem aus Art. 79 DSGVO wahrzunehmen. Art. 80 Abs. 2 DSGVO enthält eine so genannte Öffnungsklausel zu Gunsten der Mitgliedstaaten. Sie können vorsehen, dass jede der in Art. 80 Abs. 1 DSGVO genannten "Organisationen" unabhängig von einem Auftrag der betroffenen Person das Recht hat, deren Rechte aus Art. 77-79 DSGVO in Anspruch zu nehmen, wenn nach ihrer Ansicht deren Rechte verletzt worden sind. Diese Regelung ist nicht unumstritten, weil damit letztlich Dritte über das Persönlichkeitsrecht der betroffenen Personen verfügen. Von einer entsprechenden Befugnis der Mitbewerbers des Verletzers, die Rechte der betroffenen Person ohne deren Zustimmung wahrzunehmen, ist in Art. 80 Abs. 2 DSGVO nicht die Rede.

Es wird die Frage diskutiert, ob die Durchsetzungsregelungen der DSGVO eine abschließende unionsrechtliche Regelung darstellen oder ob im jeweils nationalen Recht Erweiterungen zulässig sind. Es geht darum, ob der nationale Gesetzgeber über die Öffnungsklausel des Art. 80 Abs. 2 DSGVO hinaus zusätzliche Durchsetzungsregelungen aufstellen darf. Vor allem wird diskutiert, ob die Gerichte wegen eines Vorrangs des Unionsrechts daran gehindert sind, bestehende Regelungen des deutschen Rechtes anzuwenden, die zusätzliche Rechtsbehelfe gewähren könnten. Im Rahmen der Anwendung des §§ 3 Buchst. a UWG wird die Ansicht vertreten, die Vorschriften der Datenschutzgrundverordnung seien Marktverhaltensregelungen im Sinne von § 3 Buchst. a UWG und dementsprechend seien auch Mitbewerber des Verletzers nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG berechtigt, gegen Verstöße vorzugehen (vergleiche Wolff ZD 2018,248). Diese Ansicht verkennt, dass § 3 Buchst. a UWG dann nicht anwendbar ist, wenn die betreffende Regelung in der Datenschutzgrundverordnung die Rechtsfolgen eines Verstoßes abschließend regelt, was wiederum durch Auslegung festzustellen ist (vergleiche im Einzelnen Köhler ZD 2018,337 ff.). Eine solche abschließende Regelung gegenüber § 3 Buchst. a UWG stellen, so Köhler und Barth (Köhler ZD 2018,337 ff., Barth WRP 2018,790) die Art. 70 ff. Datenschutz Grundverordnung dar. Diese Ansicht beruft sich auf den allgemeinen Grundsatz des Unionsrechts, dass Ausnahmeregelungen, wie hier Art. 80 Abs. 2 DSGVO, eng auszulegen sind (ständige Rechtsprechung: EuGH WRP 2015, 1206, Rn. 54) und dementsprechend nicht über den Wortlaut hinaus erweitert werden dürfen. Die Autoren schließen aus dem Umstand, dass der Unionsgesetzgeber nicht schon jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person ohne deren Auftrag einräumt hat, sondern dafür ganz konkrete Anforderungen aufstellt, dass der Unionsgesetzgeber keine Erstreckung dieser Befugnis auf Mitbewerber des Verletzers zulassen wollte. Hätte der Unionsgesetzgeber, so die Autoren, dies gewollt, so hätte es nahegelegen, dass er eine dem Art. 11 Abs. 1 RL 2005/29/EG ("einschließlich Mitbewerbern") entsprechende Durchsetzungsregelungen eingeführt hätte. Köhler unterstreicht diese Argumentation durch die Herausarbeitung der unterschiedlichen Schutzzweckbestimmung der DSGVO auf der einen Seite und dem UWG auf der anderen Seite. Die Datenschutzgrundverordnung schützt "die Grundrechte und Grundfreiheiten natürlicher Personen insbesondere deren Recht auf Schutz personenbezogener Daten", insoweit wird auf Art. 1 Abs. 2 DSGVO Bezug genommen. Damit bringe die Datenschutzgrundverordnung klar zum Ausdruck, dass es um den Individualschutz der Betroffenen geht, vergleichbar dem Schutz des allgemeinen Persönlichkeitsrechtes nach den §§ 823 Abs. 1, 1004 Abs. 1 BGB analog. Demgegenüber stehe die Konzeption des UWG. Dieses Gesetz dient "dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen", insoweit wird auf § 1 S. 1 UWG Bezug genommen. Die gesetzliche Konzeption der Datenschutzgrundverordnung hat mit der dargestellten Regelung in Kap. VIII primär die Rechtsdurchsetzung bei den Aufsichtsbehörden angesiedelt, während § 8-10 UWG die Durchsetzung des Lauterkeitsrecht vollständig der privaten Initiative überlässt. Daraus folgt, dass einem Mitbewerber nach den §§ 3 Abs. 1,3 a UWG in Verbindung mit § 8 Abs. 3 Nr. 1 UWG die Klagebefugnis fehlt. Diese vornehmlich in der Literatur vertretene Ansicht findet ihre Bestätigung in der Entscheidung des Landgerichtes Bochum (Landgericht Bochum (12. Zivilkammer), Teil Versäumnis- und Schlussurteil vom 7.8.2018-I-12 O 85 / 18 zitiert nach Beck RS 2018,25219). Das Landgericht Bochum hat ausgeführt, dass dem Verfügungskläger eine Klagebefugnis nicht zusteht, weil die Datenschutzgrundverordnung in den Artikeln 77-84 eine die Ansprüche von Mitbewerbern abschließende und ausschließende Regelung enthält. Das Landgericht Bochum hat sich der Ansicht von Köhler mit dem Argument angeschlossen, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus sei zu schließen, dass der Uniongesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. Diese Ansicht überzeugt, da es keine Rechtsschutzlücke besteht. Vor dem Hintergrund, dass keine Rechtsschutzlücke im Bereich der Datenschutzgrundverordnung besteht, muss sie auch nicht durch eine Anwendung des §§ 3 Buchst. a UWG geschlossen werden. An diese Überlegungen knüpft die Bundesratsinitiative des Freistaats Bayern an, wonach zur Anpassung zivilrechtlicher Vorschriften an die Datenschutzgrundverordnung ein Gesetzesantrag in den Bundesrat eingebracht worden ist (Bundesratsdrucksache 304 18 vom 6. 20.6.2018) woraus sich ableiten lässt, dass eine Klagebefugnis eines angeblichen Mitbewerbers ausscheiden soll, da ihm bereits eine Abmahnungsmöglichkeit verwehrt wird.

Es ist streitig, ob die fehlende Anspruchsberechtigung und fehlende Klagebefugnis zur Abweisung der Klage als unzulässig oder als unbegründet führt, doch handelt es sich bei der Anspruchsberechtigung um eine Frage der Aktivlegitimation und damit um eine Prüfung im Rahmen der Begründetheit der Klage, so dass die Klage auf Erlass einer einstweiligen Verfügung als unbegründet abzuweisen war."

In Ausgabe 22/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen".

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein

OLG Hamburg
Urteil vom 25.10.2018
3 U 66/17

Das OLG Hamburg hat entschieden, dass ein Verstoß gegen die DSGVO ein abmahnfähiger Wettbewerbsverstoß sein kann. Dabei ist im Einzelfall zu schauen, ob die konkrete verletzte Norm eine Marktverhaltensregel ist, was das Gericht im hier entschiedenen Fall ( Bestellbogen für Therapieallergene ohne Patienteneinwilligung ) verneint hat.

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

Aus den Entscheidungsgründen:

Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77-79 DSGVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.

Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Art. 77-79 DSGVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DSGVO) oder jeder anderen Person (Art. 78 Abs. 1 DSGVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DSGVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DSGVO) Rechtsbehelfs. Und Art. 82 DSGVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DSGVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DSGVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DSGVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).

Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DSGVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DSGVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DSGVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.


Den Volltext der Entscheidung finden Sie hier:

LG Bochum
Urteil vom 07.08.2018
I-12 O 85/18

Das LG Bochum hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO kein Wettbewerbsverstoß ist, der von Mitbewerbern abgemahnt werden kann.

Das LG Würzburg vertritt die gegenteilige Ansicht (siehe dazu LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß ).

Da bei Rechtsverstößen im Internet der Grundsatz des fliegenden Gerichtsstands gilt, werden Abmahner das LG Bochum meiden und ggf. in Würzburg gerichtliche Schritte einleiten.

Aus den Entscheidungsgründen:

"Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.


Den Volltext der Entscheidung finden Sie hier:

LG Würzburg
Beschluss vom 13.09.2018
11 O 1741/18

Das LG Würzburg hat entschieden, dass eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO genügt, einen abmahnfähigen Wettbewerbsverstoß darstellt.

Die Entscheidung ist keineswegs überraschend, als die Rechtsprechung in den vergangenen Jahren vermehrt dazu übergegangen ist, bei Datenschutzverstößen zugleich einen Wettbewerbstverstoß zu bejahen.

Aus den Entscheidungsgründen:

Die Zuständigkeit des Gerichts ergibt sich hier aus § 14 Abs. 2 UWG (Begehungsort, fliegender Gerichtsstand bezüglich des Internets) und nicht aus § 32 ZPO wie von Antragstellerseite angegeben.

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.

Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.

Die erforderliche Wiederholungsgefahr wird durch das rechtsverletzende Verhalten indiziert. Somit ist der Verfügungsanspruch gegeben.

Ein Verfügungsgrund ist bei wettbewerbsrechtlichen Unterlassungsansprüchen gem. § 12 Abs. 2 UWG indiziert. Es besteht damit eine widerlegliche tatsächliche Vermutung der Dringlichkeit. Nach Aufforderung des Gerichts hat der Antragsteller zudem glaubhaft gemacht, dass er innerhalb der von der Rechtsprechung angenommenen Monatsfrist erst von den Verstößen Kenntnis erlangt hat und dass somit keine Selbstwiderlegung der Dringlichkeit durch zu langes Zuwarten vorliegt.

Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.

Den Volltext der Entscheidung finden Sie hier:

Im Rahmen des Online-Beitrags Datenschutzgrundverordnung - DSGVO: Die Angst vor der Abmahnflut der Internet World Business von Frank Kemper erschienen einige Statements von Rechtsanwalt Marcus Beckmann zur Frage, weshalb die befürchtete Abmahnwelle wegen Verstößen gegen die Datenschutzgrundverordnung ( DSGVO ) bislang ausgeblieben ist.

In Ausgabe 10/2018, S.9 der Zeitschrift Internet World Business erschien ein Interview mit Rechtsanwalt Marcus Beckmann zur DSGVO.

Fazit zur DSGVO: Die Datenschutzgrundverordnung ist vielleicht gut gemeint, aber leider nicht gut gemacht.

Im Rahmen des Online-Beitrags DSGVO: Das große Chaos beginnt der Internet World Business von Frank Kemper erschienen einige Statements von Rechtsanwalt Marcus Beckmann zur Datenschutzgrundverordnung ( DSGVO ) . Schwerpunkt ist dabei insbesondere das Thema Abmahnung wegen Verstößen gegen die DSGVO.

Datenschutzerklärung - Datenschutzhinweis

I. Verantwortliche Stelle
Verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorgaben ist

BECKMANN UND NORDA - Rechtsanwälte GbR
Vertretungsberechtigte Gesellschafter:
Rechtsanwalt Marcus Beckmann, Rechtsanwältin Anke Norda
Welle 9
33602 Bielefeld
fon 0521/98628-0
fax 0521/98628-28
email info@beckmannundnorda.de

II. Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich in Einklang mit den datenschutzrechtlichen Vorgaben. Personenbezogene Daten werden nur verarbeitet, soweit dies zur Bereitstellung der Website mit ihren Funktionalitäten und ihrer Inhalte sowie für die Abwicklung des jeweiligen Vertragsverhältnisses oder der Anliegen des Nutzers erforderlich ist oder eine Einwilligung des Nutzers vorliegt. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist oder die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

III. Rechtsgrundlage
Die Verarbeitung personenbezogener Daten durch uns erfolgt auf folgender Rechtsgrundlage:

Art. 6 Abs. 1 lit. a DSGVO:
Für Verarbeitungsvorgänge personenbezogener Daten bei denen wir eine Einwilligung der betroffenen Person einholen.

Art. 6 Abs. 1 lit. b DSGVO:
Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

Art. 6 Abs. 1 lit. c DSGVO:
Für die Verarbeitung personenbezogener Daten, die zur Erfüllung einer rechtlichen Verpflichtung, der wir als Verantwortlicher unterliegen, erforderlich sind

Art. 6 Abs. 1 lit. d DSGVO:
Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

Art. 6 Abs 1 lit. e DSGVO:
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

Art. 6 Abs. 1 lit. f DSGVO:
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

IV. Logfiles bei Aufruf der Website
Bei Aufruf der Website werden von unserem System automatisch folgende Informationen in unseren Logfiles gespeichert:

Browsertyp und die verwendete Version
Betriebssystem des Nutzers
Internet-Service-Provider des Nutzers
IP-Adresse des Nutzers
Datum und Uhrzeit des Zugriffs
Website über die der Nutzer auf unsere Internetseite gelangt ist
Websites die vom System des Nutzers über unsere Website aufgerufen wird
Eine Speicherung zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt. Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.

V. Cookies
Diese Webseite verwendet Cookies, um die Nutzung unserer Website zu erleichtern. Bei Cookies handelt es sich um kleine Textdateien, die von einer Website lokal im Speicher Ihres Internet-Browsers auf dem von Ihnen genutzten Rechner abgelegt werden können.Sie können Cookies jederzeit löschen, indem Sie die entsprechende Funktion Ihres Browsers verwenden oder die Cookies auf Ihrer Festplatte löschen. Zudem haben Sie die Möglichkeit, die Verwendung von Cookies über den entsprechenden Menüpunkt Ihres Browsers zu deaktivieren. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO.

VI. Kontaktaufnahme
Im Rahmen der Kontaktaufnahme mit uns per Email werden die von Ihnen angegeben Daten bei uns gespeichert. Die Daten werden ausschließlich zum Zweck der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die damit verbundene technische Abwicklung gespeichert und verwendet. Rechtsgrundlage für die Verarbeitung der Daten ist 6 Abs. 1 lit. f DSGVO sowie Art. 6 Abs. 1 lit. a DSGVO. Dient die Kontaktaufnahme dem Abschluss eines Vertrages so ist weitere Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Ihre Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

VII. Rechte der betroffenen Personen
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

1. Auskunftsrecht
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen:
(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
(4) die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

2. Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

3. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
(1) wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
(2) die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
(4) wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.

4. Recht auf Löschung
a) Löschungspflicht
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
(1) Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
(2) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
(4) Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
(5) Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
(6) Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

b) Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

c) Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

6. Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und
(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

7. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

9. Automatisierte Entscheidung im Einzelfall einschließlich Profiling
Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung
(1) für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist,
(2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder
(3) mit Ihrer ausdrücklichen Einwilligung erfolgt.
Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen, sofern nicht Art. 9 Abs. 2 lit. a oder g DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie Ihrer berechtigten Interessen getroffen wurden.
Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

10. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.