Skip to content

LG Wiesbaden: Mitbewerber sind bei Verstößen gegen DSGVO nicht zur Abmahnung befugt

LG Wiesbaden
Urteil vom 05.11.2018
5 O 214/18


Das LG Wiesbaden hat entschieden, dass Mitbewerber bei Verstößen gegen die DSGVO nicht zur Abmahnung befugt sind.

Aus den Entscheidungsgründen:

"Die aufgeworfenen Fragen können deshalb offenbleiben, weil der Verfügungsklägerin als Mitbewerberin nach den §§ 3 Abs. 1,3 a i.V.m. § 8 Abs. 3 Nr. 1 UWG weder anspruchsberechtigt noch klagebefugt ist..

Der Gesetzgeber hat in Kap. 8 (Rechtsbehelfe, Haftung und Sanktionen) der Datenschutzgrundverordnung eingehend geregelt, wie die Datenschutzbestimmungen durchzusetzen sind. Im Mittelpunkt steht dabei die von einem Verstoß "betroffene Person". Sie kann sich mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden (Art. 74, 78 DSGVO), die dann ihrerseits tätig wird. Die betroffene Person hat aber auch nach Art. 79 DSGVO selbst das "Recht auf einen wirksamen gerichtlichen Rechtsbehelf", wenn sie der Ansicht ist, dass ihre Rechte aus der Datenschutzgrundverordnung verletzt worden sind. Die betroffene Person kann nach Art. 82 DGSVO Ersatz ihres materiellen und immateriellen Schadens verlangen. Nach Art. 80 Abs. 1 DSGVO ist die betroffene Person ferner berechtigt, "Organisationen" und "ähnlichen Einrichtungen, die bestimmte Anforderungen erfüllen" zu beauftragen, in ihrem Namen ihre Rechte unter anderem aus Art. 79 DSGVO wahrzunehmen. Art. 80 Abs. 2 DSGVO enthält eine so genannte Öffnungsklausel zu Gunsten der Mitgliedstaaten. Sie können vorsehen, dass jede der in Art. 80 Abs. 1 DSGVO genannten "Organisationen" unabhängig von einem Auftrag der betroffenen Person das Recht hat, deren Rechte aus Art. 77-79 DSGVO in Anspruch zu nehmen, wenn nach ihrer Ansicht deren Rechte verletzt worden sind. Diese Regelung ist nicht unumstritten, weil damit letztlich Dritte über das Persönlichkeitsrecht der betroffenen Personen verfügen. Von einer entsprechenden Befugnis der Mitbewerbers des Verletzers, die Rechte der betroffenen Person ohne deren Zustimmung wahrzunehmen, ist in Art. 80 Abs. 2 DSGVO nicht die Rede.

Es wird die Frage diskutiert, ob die Durchsetzungsregelungen der DSGVO eine abschließende unionsrechtliche Regelung darstellen oder ob im jeweils nationalen Recht Erweiterungen zulässig sind. Es geht darum, ob der nationale Gesetzgeber über die Öffnungsklausel des Art. 80 Abs. 2 DSGVO hinaus zusätzliche Durchsetzungsregelungen aufstellen darf. Vor allem wird diskutiert, ob die Gerichte wegen eines Vorrangs des Unionsrechts daran gehindert sind, bestehende Regelungen des deutschen Rechtes anzuwenden, die zusätzliche Rechtsbehelfe gewähren könnten. Im Rahmen der Anwendung des §§ 3 Buchst. a UWG wird die Ansicht vertreten, die Vorschriften der Datenschutzgrundverordnung seien Marktverhaltensregelungen im Sinne von § 3 Buchst. a UWG und dementsprechend seien auch Mitbewerber des Verletzers nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG berechtigt, gegen Verstöße vorzugehen (vergleiche Wolff ZD 2018,248). Diese Ansicht verkennt, dass § 3 Buchst. a UWG dann nicht anwendbar ist, wenn die betreffende Regelung in der Datenschutzgrundverordnung die Rechtsfolgen eines Verstoßes abschließend regelt, was wiederum durch Auslegung festzustellen ist (vergleiche im Einzelnen Köhler ZD 2018,337 ff.). Eine solche abschließende Regelung gegenüber § 3 Buchst. a UWG stellen, so Köhler und Barth (Köhler ZD 2018,337 ff., Barth WRP 2018,790) die Art. 70 ff. Datenschutz Grundverordnung dar. Diese Ansicht beruft sich auf den allgemeinen Grundsatz des Unionsrechts, dass Ausnahmeregelungen, wie hier Art. 80 Abs. 2 DSGVO, eng auszulegen sind (ständige Rechtsprechung: EuGH WRP 2015, 1206, Rn. 54) und dementsprechend nicht über den Wortlaut hinaus erweitert werden dürfen. Die Autoren schließen aus dem Umstand, dass der Unionsgesetzgeber nicht schon jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person ohne deren Auftrag einräumt hat, sondern dafür ganz konkrete Anforderungen aufstellt, dass der Unionsgesetzgeber keine Erstreckung dieser Befugnis auf Mitbewerber des Verletzers zulassen wollte. Hätte der Unionsgesetzgeber, so die Autoren, dies gewollt, so hätte es nahegelegen, dass er eine dem Art. 11 Abs. 1 RL 2005/29/EG ("einschließlich Mitbewerbern") entsprechende Durchsetzungsregelungen eingeführt hätte. Köhler unterstreicht diese Argumentation durch die Herausarbeitung der unterschiedlichen Schutzzweckbestimmung der DSGVO auf der einen Seite und dem UWG auf der anderen Seite. Die Datenschutzgrundverordnung schützt "die Grundrechte und Grundfreiheiten natürlicher Personen insbesondere deren Recht auf Schutz personenbezogener Daten", insoweit wird auf Art. 1 Abs. 2 DSGVO Bezug genommen. Damit bringe die Datenschutzgrundverordnung klar zum Ausdruck, dass es um den Individualschutz der Betroffenen geht, vergleichbar dem Schutz des allgemeinen Persönlichkeitsrechtes nach den §§ 823 Abs. 1, 1004 Abs. 1 BGB analog. Demgegenüber stehe die Konzeption des UWG. Dieses Gesetz dient "dem Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen", insoweit wird auf § 1 S. 1 UWG Bezug genommen. Die gesetzliche Konzeption der Datenschutzgrundverordnung hat mit der dargestellten Regelung in Kap. VIII primär die Rechtsdurchsetzung bei den Aufsichtsbehörden angesiedelt, während § 8-10 UWG die Durchsetzung des Lauterkeitsrecht vollständig der privaten Initiative überlässt. Daraus folgt, dass einem Mitbewerber nach den §§ 3 Abs. 1,3 a UWG in Verbindung mit § 8 Abs. 3 Nr. 1 UWG die Klagebefugnis fehlt. Diese vornehmlich in der Literatur vertretene Ansicht findet ihre Bestätigung in der Entscheidung des Landgerichtes Bochum (Landgericht Bochum (12. Zivilkammer), Teil Versäumnis- und Schlussurteil vom 7.8.2018-I-12 O 85 / 18 zitiert nach Beck RS 2018,25219). Das Landgericht Bochum hat ausgeführt, dass dem Verfügungskläger eine Klagebefugnis nicht zusteht, weil die Datenschutzgrundverordnung in den Artikeln 77-84 eine die Ansprüche von Mitbewerbern abschließende und ausschließende Regelung enthält. Das Landgericht Bochum hat sich der Ansicht von Köhler mit dem Argument angeschlossen, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus sei zu schließen, dass der Uniongesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte. Diese Ansicht überzeugt, da es keine Rechtsschutzlücke besteht. Vor dem Hintergrund, dass keine Rechtsschutzlücke im Bereich der Datenschutzgrundverordnung besteht, muss sie auch nicht durch eine Anwendung des §§ 3 Buchst. a UWG geschlossen werden. An diese Überlegungen knüpft die Bundesratsinitiative des Freistaats Bayern an, wonach zur Anpassung zivilrechtlicher Vorschriften an die Datenschutzgrundverordnung ein Gesetzesantrag in den Bundesrat eingebracht worden ist (Bundesratsdrucksache 304 18 vom 6. 20.6.2018) woraus sich ableiten lässt, dass eine Klagebefugnis eines angeblichen Mitbewerbers ausscheiden soll, da ihm bereits eine Abmahnungsmöglichkeit verwehrt wird.

Es ist streitig, ob die fehlende Anspruchsberechtigung und fehlende Klagebefugnis zur Abweisung der Klage als unzulässig oder als unbegründet führt, doch handelt es sich bei der Anspruchsberechtigung um eine Frage der Aktivlegitimation und damit um eine Prüfung im Rahmen der Begründetheit der Klage, so dass die Klage auf Erlass einer einstweiligen Verfügung als unbegründet abzuweisen war."




LG München: Abmahnfähige Einwilligungs-Klausel wegen Verstoß gegen Art. 6 Abs. 1 DSGVO in AGB eines Online-Dating-Portals

LG München
Urteil vom 11.10.2018
12 O 19277/17


Das LG München hat entschieden, dass die Einwilligungsklausel für die Verarbeitung personenbezogener Daten in den AGB eines Online-Dating gegen Art. 6 Abs. 1 DSGVO verstößt und einen abmahnfähigen Wettbewerbsverstoß darstellt.

Aus den Entscheidungsgründen:

"Im Rahmen des Anmeldevorgangs heißt es auf der Startseite unterhalb einer „Weiter“-Schaltfläche: „Mit meiner Anmeldung erkläre ich mich mit den Nutzungsbedingungen, der Datenschutzerklärung und der Verwendung sowie Weitergabe meiner Daten einverstanden.“

Auf die Anlagen K 2 bis K 4 wird Bezug genommen. In den Nutzungsbedingungen der verschiedenen von der Beklagten betriebenen Plattformen finden sich - jeweils gleichlautend - unter § 2 Abs. 2 unter anderen folgende Passage:
„[...] Der Nutzer erkennt an und stimmt dem ausdrücklich zu, dass ... zur Erleichterung des Einstiegs für neue Nutzer in die Plattform und zur Unterstützung der Kommunikation zwischen den Nutzern, Nachrichten im Namen des Nutzers verschicken kann. [...] Mit der Registrierung bei [Angabe der jeweiligen Plattform] erklärt sich der Nutzer einverstanden auf anderen, thematisch passenden, Seiten des ... Netzwerkes angezeigt zu werden.“

Auf die Anlagen K 5 und K 7 wird Bezug genommen.

Die von der Beklagten für die einzelnen Plattformen verwendete Datenschutzerklärung enthält unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ unter anderem folgende Passage:
„Ich willige ferner ein, dass ... meine personenbezogenen Daten den Kooperationspartnern zur Verfügung stellt, die [Angabe der jeweiligen Plattform] organisatorisch betreuen und vermarkten.“

Auf die Anlagen K 6 und K 8 wird Bezug genommen.

[...]

2. Die Klausel 2 begründet daneben eine rechtswidrige und damit unzulässige Verarbeitung personenbezogener Daten durch die Beklagte.

Durch die Verwendung der Klausel verstößt die Beklagte gegen Art. 6 Abs. 1 DSGVO. Sie erlaubt die Weitergabe personenbezogener Daten an andere Internetplattformen und die Verarbeitung durch diese. An einer wirksamen Einwilligung fehlt es schon deswegen, weil die Klausel unter § 2 Abs. 2 S. 8 der Nutzungsbedingungen nicht Teil der von der Beklagten verwendeten „Einwilligung“ im Bereich „Datenschutz“ (Anlage K 8) ist. Sie ist auch sonst in keiner Weise hervorgehoben. Eine Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO, der eine bewusste Handlung eines informierten Nutzers voraussetzt, liegt damit nicht vor. Zudem fehlt es mangels Nennung der Plattformen, an die Daten weitergegeben werden, sowie mangels Benennung der konkreten Daten, die weitergegeben werden, an einer transparenten Verarbeitung im Sinne des Art. 5 Abs. 1 a) DSGVO. Auch dies führt zur Rechtswidrigkeit und Unwirksamkeit der Klausel.

IV. Auch die in der Datenschutzerklärung der Beklagten (vgl. Anlagen K 6, K 8) unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ enthaltene Klausel 3, wonach der Nutzer einwilligt, dass die Beklagte seine personenbezogenen Daten Kooperationspartnern und Vermarktern zur Verfügung stellt, ist unwirksam.

1. Soweit die Beklagte die Auffassung vertritt, eine Einwilligung des Nutzers sei nicht erforderlich, überzeugt dies nicht. Zum einen geht die Beklagte ausweislich der Überschrift und des Wortlauts ihrer Datenschutzerklärung offenbar selbst davon aus, eine Einwilligung des Nutzers zu benötigen. Zum anderen liegen die Voraussetzungen eines der anderen Erlaubnistatbestände des Art. 6 DSGVO nicht vor. Insbesondere erschließt sich nicht, weshalb die Weitergabe von Daten an irgendwelche „Kooperationspartner“ hier schlicht Werbekunden der Beklagten - zur Erfüllung des Vertrags zwischen dem Nutzer und der Beklagten erforderlich sein sollte (Art. 6 Abs. 1 S. 1 b) DSGVO), oder wie eine solche Weitergabe an Werbekunden die Interessen der Nutzer wahren könnte (Art. 6 Abs. 1 S. 1 f) DSGVO).

2. Die Klausel verstößt gegen geltendes Datenschutzrecht. Eine wirksame Einwilligung des Nutzers nach Art. 6 DSGVO liegt in der streitgegenständlichen Klausel nicht. Die Wirksamkeit einer Einwilligung nach Art. 6 DSGVO setzt voraus, dass diese für den konkreten Fall und in Kenntnis der Sachlage abgegeben wird. Die betroffene Person muss wissen, was mit ihren Daten geschehen soll. Dazu muss sie zunächst wissen, auf welche personenbezogenen Daten sich die Einwilligung bezieht. Unspezifische Pauschal- oder Blankoeinwilligungen sind nicht statthaft (vgl. Schulz in: Gola, DSGVO, 2. Auflage, Rdnr. 34).

Daran fehlt es hier. Die streitgegenständliche Klausel konkretisiert weder, welche genauen personenbezogenen Daten des Nutzers weitergegeben werden. Sie verschweigt auch, wem diese Daten überlassen werden sollen. Die streitgegenständliche Klausel stellt letztlich den Versuch dar, der Beklagten eine pauschale Möglichkeit der Datenweitergabe an nicht näher benannte Vertragspartner zu verschaffen. Dies stellt eine unangemessene Benachteiligung im Sinne des § 307 Abs. 1 S. 1 BGB dar. Die Klausel ist unwirksam.


Den Volltext der Entscheidung finden Sie hier


LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen

In Ausgabe 22/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen".

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein


OLG München: DSGVO steht Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen - Berechtigte Interessen nach Art. 6 Abs. 1 Satz 1 lit f DGSVO

OLG München
Teilurteil vom 24.10.2018
3 U 1551/17


Das OLG München hat entschieden, dass die Vorgaben der DSGVO einem Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen steht. Insofern greift Art. 6 Abs. 1 Satz 1 lit f DGSVO.

Aus den Entscheidungsgründen:

Soweit die Beklagte die Auffassung vertritt, der Auskunftserteitung stünden Bestimmungen der Datenschutz-Grundverordnung entgegen, ist auf Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO zu verweisen. Hiernach ist die Verarbeitung personenbezogener Daten dann rechtmäßig, wenn sie zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Ein Abwägungsgesichtspunkt ist der Hinweis des europäischen Gesetzgebers in den Erwägungsgründen, dass die vernünftigen Erwartungen der betroffenen Person, die auf der Beziehung zu den Verantwortlichen beruhen, zu berücksichtigen sind (vgl. Erwägungsgrund 47 Satz 1 Halbsatz 2). In Satz 2 wird als Beispiel für eine solche Beziehung genannt, dass der Betroffene ein Kunde des Verantwortlichen ist oder in seinen Diensten steht (BeckOK Datenschutzrecht, 25. Edition, Stand 01.05.2018, Bearbeiter Albers/Veit, DS-GVO, Art. 6, Rn. 48).

Vor dem teleologischen Hintergrund von Art. 6 Abs. 1 Satz 1 Buchst. DS-GVO, einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen, können dabei nicht nur rechtliche Interessen von Bedeutung sein, sondern müssen auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden. Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten, wobei das Recht auf Berufsfreiheit hervorzuheben ist (BeckOK, a.a.O., Rn. 49). Geht man davon aus, dass die von seiten der Klägerin erteilte Information der Beklagten zur Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags dient und die Klagepartei gemäß § 242 BGB zur Erteilung einer solchen Information gehalten ist, kann der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden. Insoweit ist besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin - durch Einsatz der Kräne bzw, Aufbauten - nicht verborgen bleibenden Kaufvorgang. Auch stehen Interessen der Kunden an wirtschaftlicher Geheimhaltung nicht inmitten: Daten wie Ratenzahlung, Kreditfinanzierung u.ä. sind nicht Gegenstand der geschuldeten Auskunft.


Den Volltext der Entscheidung finden Sie hier:


Datenschutzkonferenz: Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO) veröffentlicht.


OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein

OLG Hamburg
Urteil vom 25.10.2018
3 U 66/17


Das OLG Hamburg hat entschieden, dass ein Verstoß gegen die DSGVO ein abmahnfähiger Wettbewerbsverstoß sein kann. Dabei ist im Einzelfall zu schauen, ob die konkrete verletzte Norm eine Marktverhaltensregel ist, was das Gericht im hier entschiedenen Fall ( Bestellbogen für Therapieallergene ohne Patienteneinwilligung ) verneint hat.

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

Aus den Entscheidungsgründen:

Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77-79 DSGVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.

Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Art. 77-79 DSGVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DSGVO) oder jeder anderen Person (Art. 78 Abs. 1 DSGVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DSGVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DSGVO) Rechtsbehelfs. Und Art. 82 DSGVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DSGVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DSGVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DSGVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).

Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DSGVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DSGVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DSGVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.


Den Volltext der Entscheidung finden Sie hier:



Bundesnetzagentur sperrt per Fax-Spam beworbene Rufnummer der Datenschutzauskunft-Zentrale - DSGVO-Abzocke

Die Bundesnetzagentur hat die per Fax-Spam beworbene Rufnummer der Datenschutzauskunft-Zentrale im Zusammenhang mit der DSGVO-Vertrags-Abzocke gesperrt.

Die Pressemitteilung der Bundesnetzagentur:

Ak­tu­el­ler Hin­weis Rufnummern­missbrauch Bundesnetzagentur bekämpft Fax-Spam der „Datenschutzauskunft-Zentrale“ - beworbene Rufnummer 00800 / 77 000 777 deaktiviert

Anfang Oktober wurden bundesweit massenhaft Spam-Faxe von der sogenannten DAZ Datenschutzauskunft-Zentrale überwiegend an Gewerbetreibende versandt. Darin wurden die Empfänger aufgefordert, ein offiziell erscheinendes Faxformblatt unterschrieben zurückzusenden. Es wurde der Eindruck erweckt, es bestünde eine gesetzliche Pflicht zur Antwort, um vermeintliche Anforderungen der neuen Datenschutzgrundverordnung (DSGVO) zu erfüllen. Die zugesandten Faxformulare enthielten jedoch einen im Kleingedruckten versteckten Vertrag über 1.494 Euro netto, der gutgläubig Antwortenden untergeschoben werden sollte. Für eine Antwort auf diese irreführenden Schreiben wurde die internationale Servicerufnummer 00800 / 77 000 777 angegeben. Bei der Bundesnetzagentur gingen hierzu über 550 Beschwerden ein.

Umfangreiche Ermittlungen ergaben, dass an die 00800er-Rufnummer gerichtete Faxsendungen über eine deutsche Rufnummer an den eigentlichen Versender der Werbe-Faxe weitergeleitet wurden. Auf Betreiben der Bundenetzagentur wurden die deutsche Rufnummer und die 00800er-Rufnummer deaktiviert und sind nicht mehr erreichbar. Seither kann der für die Fax-Werbung Verantwortliche keine Zusendungen mehr von getäuschten Empfängern erhalten.

Die Bundesnetzagentur warnt davor, auf unverlangt zugesandte Faxschreiben ungeprüft zu antworten. Die Zusendung von Faxwerbung ohne vorherige Einwilligung stellt eine unzumutbare Belästigung von Verbrauchern und Gewerbetreibenden dar und ist rechtswidrig.

LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Bochum
Urteil vom 07.08.2018
I-12 O 85/18


Das LG Bochum hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO kein Wettbewerbsverstoß ist, der von Mitbewerbern abgemahnt werden kann.

Das LG Würzburg vertritt die gegenteilige Ansicht (siehe dazu LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß ).

Da bei Rechtsverstößen im Internet der Grundsatz des fliegenden Gerichtsstands gilt, werden Abmahner das LG Bochum meiden und ggf. in Würzburg gerichtliche Schritte einleiten.

Aus den Entscheidungsgründen:

"Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.


Den Volltext der Entscheidung finden Sie hier:


LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

LG Würzburg
Beschluss vom 13.09.2018
11 O 1741/18


Das LG Würzburg hat entschieden, dass eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO genügt, einen abmahnfähigen Wettbewerbsverstoß darstellt.

Die Entscheidung ist keineswegs überraschend, als die Rechtsprechung in den vergangenen Jahren vermehrt dazu übergegangen ist, bei Datenschutzverstößen zugleich einen Wettbewerbstverstoß zu bejahen.

Aus den Entscheidungsgründen:

Die Zuständigkeit des Gerichts ergibt sich hier aus § 14 Abs. 2 UWG (Begehungsort, fliegender Gerichtsstand bezüglich des Internets) und nicht aus § 32 ZPO wie von Antragstellerseite angegeben.

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.

Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.

Die erforderliche Wiederholungsgefahr wird durch das rechtsverletzende Verhalten indiziert. Somit ist der Verfügungsanspruch gegeben.

Ein Verfügungsgrund ist bei wettbewerbsrechtlichen Unterlassungsansprüchen gem. § 12 Abs. 2 UWG indiziert. Es besteht damit eine widerlegliche tatsächliche Vermutung der Dringlichkeit. Nach Aufforderung des Gerichts hat der Antragsteller zudem glaubhaft gemacht, dass er innerhalb der von der Rechtsprechung angenommenen Monatsfrist erst von den Verstößen Kenntnis erlangt hat und dass somit keine Selbstwiderlegung der Dringlichkeit durch zu langes Zuwarten vorliegt.

Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.


Den Volltext der Entscheidung finden Sie hier:



BMI: Anpassung Datenschutzrecht DSGVO - Entwurf Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU

Das BMI hat denEntwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU)
zur weiteren Anpassung der datenschutzrechtlichen Vorschriften an die DSGVO vorgelegt.



Rechtsanwalt Marcus Beckmann im Online-Artikel der Internet World Business - DSGVO: Die Angst vor der Abmahnflut - Statements weshalb diese ausgeblieben ist

Im Rahmen des Online-Beitrags Datenschutzgrundverordnung - DSGVO: Die Angst vor der Abmahnflut der Internet World Business von Frank Kemper erschienen einige Statements von Rechtsanwalt Marcus Beckmann zur Frage, weshalb die befürchtete Abmahnwelle wegen Verstößen gegen die Datenschutzgrundverordnung ( DSGVO ) bislang ausgeblieben ist.

OLG Köln: DSGVO schließt Anwendung des KUG jedenfalls im journalistischen Bereich nicht aus - KUG erlaubt Abwägung der betroffenen Grundrechte

OLG Köln
Beschluss vom 18.06.2018
15 W 27/18


Das OLG Köln hat zutreffend entschieden, dass die Normen der DSGVO die Anwendung des KUG jedenfalls im journalistischen Bereich nicht ausschließt. Insbesondere erlaubt das KUG eine umfassende Abwägung der betroffenen Grundrechte.

Die Entscheidungsgründe:

Die gemäß §§ 127, 569 ZPO zulässige sofortige Beschwerde des Antragstellers ist nicht begründet. Die beabsichtigte Rechtsverfolgung hat keine Aussicht auf Erfolg (§ 114 ZPO).

Maßgeblich für die Entscheidung ist bereits, dass der Antragsteller – worauf auch das Landgericht hingewiesen hat – den streitgegenständlichen Fernsehbeitrag nicht in seiner Gesamtheit zu den Akten gereicht hat. Die von ihm eingereichten, höchst lückenhaften Fragmente aus der Sendung belegen zum einen nur Teile der von ihm gerügten konkreten Verletzungsformen. Darüber hinaus ist der Senat mangels Glaubhaftmachung nicht in der Lage, die angeblichen Verletzungshandlungen im Gesamtkontext verlässlich zu prüfen, insbesondere die Frage zu bewerten, ob es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt, zumal – wie das Landgericht zutreffend ausgeführt hat – die Vorgänge um die Räumung, Sperrung und Bewachung des Gebäudes „I“ von erheblichem öffentlichem Interesse sind.

Der Senat geht allerdings nach eigener Überprüfung aufgrund der – lückenhaften - Aktenlage derzeit davon aus, dass das Landgericht die Vorschriften des KUG zutreffend angewandt hat und dass dem Antragsteller gegen den Antragsgegner kein Unterlassungsanspruch gemäß §§ 1004 Abs. 1 S. 2, 823 Abs. 2 BGB i.V.m. § 22 KUG zusteht, da Bildnisse der Zeitgeschichte im Sinne von § 23 Abs.1 Nr. 1 KUG in Rede stehen. Das Landgericht hat hierzu unter zutreffender Anwendung der maßgeblichen höchstrichterlichen Grundsätze richtig ausgeführt. Hierauf wird zwecks Vermeidung unnötiger Wiederholung mit folgender Ergänzung verwiesen: Soweit mit dem Antrag des Antragstellers formuliert ist, es zu unterlassen, das Bildnis des Antragstellers „weiterhin kenntlich zur Schau zu stellen“, so umfasst dies – als Minus - auch eine etwaige Verpixelung, auf die gegebenenfalls in Hinblick auf § 938 Abs. 1 ZPO erkannt werden könnte. Ob allerdings eine solche Verpixelung bei Würdigung der Gesamtumstände zur Wahrung der Interessen des Antragstellers im Sinne des § 23 Abs. 2 KUG erforderlich ist, ist von Antragstellerseite ebenfalls nicht glaubhaft gemacht. Denn hierfür wäre - da auch in diesem Zusammenhang auf den Gesamtkontext abzuheben ist - eine Darstellung des gesamten Beitrages nötig gewesen.

Soweit der Antragsteller sich mit der Beschwerdebegründung auf die Datenschutzgrundverordnung (DS-GVO) beruft, geht dies fehl

Artikel 85 DS-GVO erlaubt wie die Vorgängerregelung in Art 9 der Richtlinie RL 95/46/EG nationale Gesetze mit Abweichungen von der DS-GVO zugunsten der Verarbeitung zu journalistischen Zwecken. Er enthält damit eine Öffnungsklausel, die nicht nur neue Gesetze erlaubt, sondern auch bestehende Regelungen – soweit sie sich einfügen – erfassen kann. Dies zeigt sich auch daran, dass für den Bereich des Art. 85 DS-GVO nur die Frage der nachträglichen Notifizierungspflicht strittig ist (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 66).

Insgesamt verkennt der Antragsteller, dass die Tätigkeit des Antragsgegners durch den gerade mit Blick auf Art. 85 DS-GVO durch das 16. RundfunkänderungsG vom 8.5.2018 (GV. NRW. S. 214) neu gefassten § 48 WDR-Gesetz (vgl. auch § 46 LMG und § 12 LPresseG) geregelt worden ist, wonach sich die Verarbeitung personenbezogener Daten zu journalistischen Zwecken durch den Antragsgegner nach Maßgabe der §§ 9c und 57 des Rundfunkstaatsvertrages in der jeweils geltenden Fassung bestimmt. Diese normieren – ebenfalls mit Blick auf Art 85 DS-GVO gerade neu gefasst – in §§ 9c, 57 RStV dann das früher in § 41 BDSG a.F. enthaltene sog. „Medienprivileg“. Nach den Regelungen gelten außer den Kapiteln I, VIII, X und XI der DS-GVO nur Artikel 5 Abs. 1 Buchst. f in Verbindung mit Abs. 2, Artikel 24 und Artikel 32 DS-GVO und damit nicht die Regelungen, auf die der Antragsteller sich hier beruft.

Aus Sicht des Senates bestehen hiergegen keine europarechtlichen Bedenken. Art 85 Abs. 2 DS-GVO macht im Kern keine materiell-rechtlichen Vorgaben (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 3, 34, 67, 72 ff.), sondern stellt nur auf die Erforderlichkeit zur Herbeiführung der praktischen Konkordanz zwischen Datenschutz einerseits und Äußerungs- und Kommunikationsfreiheit andererseits ab. Da Datenschutzregelungen als Vorfeldschutz letztlich immer die journalistische Arbeit beeinträchtigen, sind daher hier keine strengen Maßstäbe anzulegen (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 61). Dies ist auch vor dem Hintergrund zu sehen, dass Art 85 DS-GVO gerade den Normzweck hat, einen sonst zu befürchtenden Verstoß der DS-GVO gegen die Meinungs- und Medienfreiheit zu vermeiden (vgl. etwa Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 1). Der Erwägungsgrund 4 S. 3 der DS-GVO will solche Komplikationen gerade ausschließen.

Mit Blick darauf sind dann Ausführungen des Landgerichts im Nichtabhilfebeschluss zum „Fortgelten“ des KUG im journalistischen Bereich und das Berufen auf den zitierten Aufsatz Lauber-Rönsberg/Hartlaub, NJW 2017, 1057 ff. überzeugend. Für das Äußerungsrecht (§ 823 Abs. 1 BGB i.V.m. APR) ist auch bereits thematisiert worden, dass dieses die Abwägungs- und Ausgleichsfunktion zur Herbeiführung praktischer Konkordanz der widerstreitenden Grundrechtspositionen im hiesigen Bereich übernehmen kann (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 8); für das KUG kann im Bereich der Bildberichterstattung nichts anderes gelten. Die umfangreichen Abwägungsmöglichkeiten im Rahmen des KUG erlauben dann auch – was künftig geboten sein dürfte – eine Berücksichtigung auch der unionsrechtlichen Grundrechtspositionen. Dass sich daraus hier etwas anderes ergeben sollte, ist weder vorgetragen noch ersichtlich. Insbesondere ist dem Senat keine Abweichung zu den – ohnehin in der Abwägung bewusst offen gehaltenen (Überblick bei Ehmann/Selmayr/Schiedermair, DS-GVO 2017, Art 85 Rn. 8 – 15 m.w.N.) – Rspr. des EuGH bzw. des EGMR ersichtlich; auch Erwägungsgrund 153 der DS-GVO wünscht in diesem Bereich nur eine - national im Zuge des § 823 Abs. 1 BGB als Rahmenrecht bzw. bei §§ 22, 23 KUG ohnehin erfolgende - umfassende Abwägung der widerstreitenden Grundrechtspositionen.

Aus den zur Glaubhaftmachung eingangs gemachten Ausführungen kommt es darauf aber letztlich auch nicht entscheidend an, so dass auch nicht mit Blick auf diese Rechtsfragen ausnahmsweise Prozesskostenhilfe zu gewähren wäre.

Eine Kostenentscheidung ist nicht veranlasst, § 127 Abs. 4 ZPO.

Den Volltext der Entscheidung finden Sie hier:



Interview in der Internet World Business mit Rechtsanwalt Marcus Beckmann zur Datenschutzgrundverordnung - DSGVO

In Ausgabe 10/2018, S.9 der Zeitschrift Internet World Business erschien ein Interview mit Rechtsanwalt Marcus Beckmann zur DSGVO.

Fazit zur DSGVO: Die Datenschutzgrundverordnung ist vielleicht gut gemeint, aber leider nicht gut gemacht.

LG Bonn: Alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain verstößt gegen DSGVO

LG Bonn
Beschluss vom 29.05.2018
10 O 171/18


Das LG Bonn hat im Rahmen eines von der ICANN eingeleiteten einstweiligen Verfügungsverfahrens entschieden, dass die alte WHOIS-Praxis mit Erhebung und Speicherung von Admin-C und Tech-C einer Domain gegen die Vorgaben der DSGVO verstößt und mithin unzulässig ist. Die Erhebung und Speicherung des Domaininhabers ist - so das Gericht - ausreichend.

Aus den Entscheidungsgründen:

Zwar kann sich die Antragstellerin formal auf den Inhalt des mit der Antragsgegnerin geschlossenen Vertrags, insbesondere Ziff. 3.4.1 i.V.m den Ziffern 3.3.1.7 und 3.3.1.8 RAA berufen, wonach neben den Daten des Registrierten selbst auch die weiteren Daten zum sog. Tech-C und Admin-C zu erheben (und zu speichern) sind, was auch bisheriger Praxis der Antragsgegnerin entsprach. Der Vertrag beinhaltet indes ebenso die - allgemeingültige - Regelung, dass die Antragsgegnerin sich ihrerseits als Registrar an geltende Gesetze und Vorschriften zu halten hat. Vor diesem Hintergrund kann die Antragstellerin von der Antragsgegnerin Vertragstreue nur insoweit beanspruchen, als die vertraglichen Vereinbarungen im Einklang mitgeltendem Recht stehen, § 242 BGB.

Gemessen an der Regelung des Art 5 Abs. 1 lit. b) und c) DSGVO, wonach personenbezogene Daten - unstreitig handelt es sich jedenfalls teilweise um solche - nur „für festgelegte, eindeutige und legitime Zwecke erhoben" werden dürfen (lit. b) und „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (lit c), ist ein hinreichendes Bedürfnis Im vorgenannten Sinne nach Auffassung der Kammer - auch unter Berücksichtigung von Art. 6 Abs. 1 DSGVO durch die Antragstellerin nicht glaubhaft gemacht worden.

Dass die Speicherung auch weiterer personenbezogener Daten als der des Domaininhabers, welche unstreitig nach wie vor erhoben und gespeichert werden, für die Zwecke der Antragstellerin unabdingbar notwendig sind, hat die Antragstellerin nicht glaubhaft gemacht. Zwar liegt es auf der Hand, dass ein Mehr an Daten die Identifizierung von hinter einer Domain stehenden Personen und eine Kontaktaufnahme zu diesen verlässlicher erscheinen lässt, als wenn nur ein Datensatz der für die Domain allgemein verantwortlichen Person bekannt ist. Jedoch handelt es sich bei dem Inhaber des registrierten bzw. zu registrierenden Domainnamen um den für die Inhalte der betreffenden Webseite verantwortliche Person, die nicht notwendigerweise personenverschieden von den Kategorien Tech-C und Admin-C sein muss, mit anderen Worten all Jene Funktionen auf sich vereinigen kann.

Soweit es im Rahmen der von der Antragstellerin sicherzustellenden allgemeinen Belange in erster Linie um strafrechtlich relevante oder sonst wie zu ahndende Verstöße oder Sicherheitsprobleme geht, über die die Antragstellerin wacht, ist diesem Bedürfnis nach Auffassung der Kammer auch allein durch die Erhebung und Speicherung der Daten des registrierungswilligen Domaininhabers Genüge getan (wobei sich der Kammer insoweit nicht erschließt, warum zu diesem weniger Daten erhoben werden als zu den Zusatzkategorien Tech-C und Admin-C). Warum hierzu neben dem Hauptverantwortlichen noch weitere Datensätze vonnöten sein sollen, vermag die Kammer gerade vor dem Hintergrund des . Grundsatzes der Datensparsamkeit nicht zu erkennen. Die Antragstellerin spricht jedenfalls in Bezug auf den sog. Tech-C auch selbst maßgeblich von der Lösung (rein) technischer Probleme, die indes mit den im Vordergrund stehenden Sicherheitsaspekten naturgemäß nur in mittelbarer Beziehung stehen können. Zu berücksichtigen ist vor allem, dass nach dem insoweit übereinstimmenden Vorbringen beider Parteien in allen drei Kategorien, also denen des Domaininhabers selbst, des sog. Tech-C wie auch des Admin-C bisher jeweils dieselben Personendaten Verwendung finden konnten, also bei entsprechenden Angaben eines Registrierungswilligen lediglich ein Datensatz statt dreier erhoben und gespeichert wurde und dies auch in der Vergangenheit nicht etwa dazu geführt hat, dass eine Registrierung der Domain in Ermangelung von Daten, die über den Domaininhaber selbst hinausgehen, zu unterbleiben hatte. Wenn dies aber möglich war und weiterhin möglich sein sollte, ist dies Beleg dafür, dass etwaige über den Domaininhaber hinausgehende - von ihm verschiedene - Daten auch bisher nicht zur Zweckerreichung der Antragstellerin notwendig waren. Wären sie notwendig im eigentlichen Sinne gewesen, hätte man auch zuvor nicht auf sie verzichten können; man hätte vielmehr eine Registrierung von der Angabe inhaltlich verschiedener
Datensätze abhängig gemacht und eine solche andernfalls nicht bewilligt. Soweit also die Wahl, vom Domaininhaber verschiedene Kontaktdaten für den Tech-C und Admin-C anzugeben, auch schon in der Vergangenheit faktisch beim Registrierungswilligen selbst lag (und eben nicht unabdingbare Voraussetzung einer Registrierung durch die • Antragsgegnerin war), führt dies dazu, dass der Registrierungswillige auch in Zukunft bei Einwilligung in die Erhebung und Speicherung entsprechender personenbezogener Daten diese wird freiwillig mitteilen können (Art. 6 Abs. 1 lit.a) DSGVO sowie Ziff. 7.2.2 des RAA) - gezwungen aber war er hierzu auch bereits zuvor nicht. Dabei kommt es nicht einmal darauf an, ob die Angaben der Antragsgegnerin hinsichtlich der Anzahl derjenigen Domaininhaber, welche keine verschiedenen Kontaktdaten angegeben haben, zutreffen.

Soweit die Antragstellerin ihren Verfügungsanspruch auf eine Parallele des sog. „WHOIS"-Systems zu internationalen Abkommen über Markenregister stützt, so vermag die Kammer dem nicht zu folgen. Denn die für die Markenregister auf Grundlage internationaler Abkommen bestehenden Rechtsgrundlagen fehlen in Bezug auf den von der Antragstellerin geltend gemachten „WHOIS" Service. Hieran ändert auch die grundlegende Vergleichbarkeit des jeweiligen allgemeinen Schutzbedürfnisses nichts.