Recht

Sechs Monate DSGVO – ein Zwischenfazit

Teil 1: Was tut sich bei Abmahnungen und Bußgeldern?

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) wirksam geworden. Die Aufregung zuvor war groß: Wie sind die Vorschriften der DSGVO auszulegen? Wie sieht ein Datenschutz-konformes Verhalten aus? Geht das überhaupt? Nicht nur Apotheken fürchteten hohe Bußgelder der Behörden und Fluten von Abmahnungen durch Mitbewerber und Ver­bände. Sechs Monate nach Wirksamwerden der DSGVO ist Ge­legenheit, ein erstes Zwischen­fazit zu ziehen.

In den Monaten vor Geltung der DSGVO wurde nicht nur in den Medien viel spekuliert, ob es zu Abmahnwellen kommen wird. Die Befürchtungen waren groß. Bewahrheitet haben sie sich bisher nicht. Große Abmahnwellen sind weder über Apotheken noch über andere Unternehmen geschwappt. Ganz ausgeblieben sind Abmahnungen jedoch nicht. Insbesondere hinsichtlich der Datenschutzerklärungen auf Unternehmenswebseiten wurde abgemahnt. Die Abmahnungen betrafen fehlende Datenschutzerklärungen sowie fehlende Informationen über die Einbindung von Google Analytics oder über die Nutzung von Google Schriften (sog. Google Fonts), bei denen ebenfalls personenbezogene Daten übermittelt werden. Mitunter haben Abmahnungen schon deshalb keinen Bestand, weil sie von einem unzutreffenden Sachverhalt ausgehen oder – noch gravierender – sich herausstellt, dass der vermeintlich Abmahnende gar nicht existiert oder hiervon nichts weiß. Dies ist dann eher ein Fall für die Staatsanwaltschaft als für ein Wettbewerbsgericht.

Foto: Zerbor – stock.adobe.com
Zwischenstand Ein halbes Jahr DSGVO – die großen Abmahnwellen sind bislang ausgeblieben. Gleichwohl gibt es zu klärende Rechtsfragen und den Versuch, Unternehmen mit behördlich anmutenden Faxen in eine Falle zu locken.

Dürfen Konkurrenten abmahnen?

In der juristischen Literatur ist höchst umstritten, ob Datenschutzverstöße nach der DSGVO von Konkurrenten überhaupt abgemahnt werden können, ob Verstöße gegen die DSGVO Wettbewerbsverstöße sind. Voraussetzung dafür wäre unter anderem, dass die Durchsetzungsregelungen der DSGVO nicht abschließend sind und zur Durchsetzung der Datenschutzvorschriften auf das Wett­bewerbsrecht zurückgegriffen werden kann. Die EU-Kommission hat im Rahmen einer parlamentarischen Anfrage die Vorschriften der DSGVO hinsichtlich der Durchsetzung von Betroffenenrechten für abschließend erklärt. Ob dies auch für die Abmahnung sonstiger Datenschutzverstöße durch Unternehmen gilt, blieb offen. Mittlerweile sind die ersten Entscheidungen der Landgerichte zu dieser Frage ergangen. Ihre Antworten fallen allerdings – wer hätte es gedacht – nicht einheitlich aus. So hat das Landgericht Bochum mit Urteil vom 7. August 2018 (Az. I-12 O 85/18) entschieden, dass die DSGVO abschließende Regelungen enthalte, die Ansprüche von Mitbewerbern ausschließen. Eine Abmahnung durch Mitbewerber ist daher nach dem Landgericht Bochum nicht möglich. Anderer Ansicht ist aber das Landgericht Würzburg. Dieses hat mit Beschluss vom 13. September 2018 (Az. 11 O 1741/18) die Abmahn­fähigkeit von DSGVO-Verstößen durch Mitbewerber (Anwälte!) bejaht. Ebenso hat das OLG Hamburg in einem kürzlich ergangenen ­Urteil entschieden (Urteil vom 25. Oktober 2018, Az. 3 U 66/17). In dem Rechtsstreit ging es um die Weitergabe von Patientendaten bei der Bestellung von Therapie­allergenen. Das OLG Hamburg hat die Klagebefugnis eines Herstellers für Therapieallergene bejaht, da die DSGVO die Verfolgung datenschutzrechtlicher Verstöße auf der Grundlage des Wettbewerbsrechts nicht ausschlösse. Im Ergebnis hat es die Klage jedoch mit der Begründung abgewiesen, dass es sich bei der streitgegenständlichen Norm des Datenschutzrechts (§ 28 Abs. 7 BDSG-alt) nicht um eine marktverhaltensregelnde Norm im Sinne des Wettbewerbsrechts handele. Eine Rechtsgrundlage für die Abmahnung bestand daher nicht. Die ­Revision gegen das Urteil ist zu­gelassen. Es bleibt spannend, wie sich weitere Gerichte und vor allem die höchstrichterliche Rechtsprechung zu diesen Rechtsfragen positionieren.

Gesetzesvorhaben zum Abmahnschutz

Vielleicht erledigt der Gesetz­geber die Streitfrage aber vorher. Der Freistaat Bayern hat am 6. Juli 2018 einen Gesetzesantrag in den Bundesrat eingebracht (BR-Drs. 304/18). Ziel des Antrags ist eine Klarstellung, dass Datenschutzverstöße nicht durch Mit­bewerber über das Wettbewerbsrecht abmahnfähig sind. Daneben strebt der Freistaat an, auch die Abmahnmöglichkeiten für Verbände einzuschränken. Diesen soll es nicht gestattet sein, ein Unternehmen wegen der Datenschutzerklärung auf seiner Webseite abzumahnen, wenn es sich allein um formelle Fehler handelt.

Aktuell im Gesetzgebungsverfahren ist das Zweite Datenschutz-Anpassungs- und Umsetzungs­gesetz EU (2. DSAnpUG-EU). Die federführenden Ausschüsse im Bundesrat haben dazu am 5. Oktober 2018 ihre Empfehlungen abgegeben, wie der Bundesrat ihres Erachtens Stellung nehmen soll (BR-Drs. 430/1/18). Sie empfehlen, im Bundesdatenschutzgesetz (BDSG) mit einem neuen § 44a BDSG klarzustellen, dass für die Durchsetzung der Datenschutzvorschriften die Regelungen der DSGVO Vorrang haben vor dem Wettbewerbsrecht. Abmahnungen von Mitbewerbern wegen Verstößen gegen die DSGVO wären somit nicht möglich. Zugelassene Verbraucherschutzverbände könnten dagegen weiterhin Datenschutzverstöße über das so­genannte Unterlassungsklagen­gesetz geltend machen.

Sowohl der Gesetzesantrag des Freistaats Bayern als auch die Empfehlung der Ausschüsse im Bundesrat sollen vor allem kleinere und mittlere Unternehmen effektiv vor etwaigen missbräuchlichen Abmahnungen schützen. Ob der Gesetzgeber diesem Ansinnen folgt, wird sich zeigen. Sinnvoll ist der Vorstoß, denn kein Verbraucher wird sich für oder gegen eine Apotheke entscheiden, weil in den Datenschutzinformationen ein Punkt fehlt.

Vorsicht vor Datenschutz-Auskunftszentrale

Nicht nur vor missbräuchlichen Abmahnungen ist Vorsicht geboten. Die Unsicherheiten auszunutzen, die mit Wirksamwerden der DSGVO bei den Unternehmen entstanden sind, versuchte kürzlich die selbsternannte „Datenschutzauskunft-Zentrale“. Sie schickte massenhaft als „Eilige FAX-Mitteilung“ gekennzeichnete und behördlich anmutende Faxe an Unternehmen, um diese in eine Abo-Falle zu locken. In dem Schreiben, das mit „Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO“ betitelt ist, werden die Unternehmen aufgefordert, ein Formular auszufüllen. Darin wird behauptet, nur vollständige und aktuelle Firmen- und Betriebsdaten würden die Einhaltung der von den Datenschutzgesetzen ­aufgestellten Anforderungen gewährleisten. Tatsächlich soll den Unternehmen ein Datenschutz-­Paket zum jährlichen Beitrag von 498 Euro untergejubelt werden, wie sich erst aus der Leistungsbeschreibung ergibt. Ein ziemlich klarer Fall für die Staatsanwaltschaft. Vor dem Ausfüllen derartiger Formulare kann daher nur gewarnt werden.

Bußgelder: Behörden laufen sich warm

Die größten Sorgen bereitete der große Bußgeldrahmen, der Datenschutz-Aufsichtsbehörden zukünftig bei Verstößen gegen das Datenschutzrecht zur Verfügung steht. Tatsächlich blieb es jedoch bisher ruhig. Die Datenschutz-Aufsichtsbehörden waren und sind selbst noch mit der Umsetzung der neuen Datenschutzvorschriften bei sich sowie der Veröffentlichung von Informationen und Hinweisen für Unternehmen beschäftigt. Unternehmen blieben daher bisher von Kon­trollen und Bußgeldern verschont.

Ende Juni 2018 gab es aber erste Regungen aus Niedersachsen. Die dortige Datenschutz-Aufsichtsbehörde kündigte an, 50 Fragebögen an Unternehmen unterschiedlicher Größe mit Fragen zu zehn Bereichen des Datenschutzrechts zu versenden. Ziel der Fragebögen soll vor allem sein, einen Überblick über den Stand der Umsetzung der DSGVO in den Betrieben zu bekommen. Die Verhängung von Bußgeldern stehe damit nicht im Vordergrund. Die Aufsichtsbehörde schließt aber nicht aus, dass es zu Bußgeldverfahren kommt, wenn sich während der Prüfung Verstöße gegen die DSGVO zeigen.

Mittlerweile haben einige Datenschutz-Aufsichtsbehörden anderer Bundesländer ebenfalls angekündigt, Fragebögen zu versenden und anlasslose Prüfungen durchzuführen. Zu solchen anlasslosen Datenschutzüberprüfungen sind die Datenschutz-Aufsichtsbehörden nach der DSGVO berechtigt. Es dürfte nur eine Frage der Zeit sein, bis von den deutschen Datenschutz-Aufsichtsbehörden auch die ersten größeren Bußgelder wegen Verstößen gegen das Datenschutzrecht verhängt werden.

Die erste Meldung über ein hohes Bußgeld in der Europäischen Union kam Ende Oktober nicht aus Deutschland, sondern aus Portugal. Die dortige Datenschutz-Aufsichtsbehörde sanktionierte ein Krankenhaus mit einem Bußgeld in Höhe von 400.000 Euro aufgrund seines sorglosen Umgangs mit Patientendaten. Nach Presseveröffentlichungen gab es dort deutlich mehr Zugänge zu der Patienten­datenbank, als Ärzte im Krankenhaus angestellt waren. Das Krankenhaus hat angekündigt, gerichtlich gegen das Bußgeld vorgehen zu wollen.

Fazit

Die Entwicklungen zu Abmahnungen und Bußgeldern zur DSGVO sind weiter im Fluss. Wenn der Gesetzgeber den aktuellen Gesetzesvorschlägen folgt, könnte sich die Sorge um Abmahnungen bald er­ledigen. Dagegen stehen die Bußgeldverfahren der Datenschutz-Aufsichtsbehörden erst am Anfang und werden noch viele Schlag­zeilen mit sich bringen. |

Dr. Timo Kieser und Dr. Svenja Buckstegge, Oppenländer Rechtsanwälte Stuttgart

Zum Nachlesen

Serie DSGVO in der Apotheke

Das könnte Sie auch interessieren

Zeit für eine Zwischenbilanz / Verstärkte Kontrollen geplant

Ein Jahr Datenschutz-Grundverordnung

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 7: Verstöße gegen das Datenschutzrecht – Meldepflichten und Sanktionen

Neue Datenschutzregeln ante portas

Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages

Sechs Monate DSGVO – ein Zwischenfazit

AZ-Tipp zur neuen Datenschutz-Grundverordnung

Wie sich Apotheker für die neuen Datenschutzregeln wappnen können

Teil 2: Ist der Datenschutzbeauftragte bald Geschichte?

Sechs Monate DSGVO – ein Zwischenfazit

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 2: Die neuen Dokumentations- und Rechenschaftspflichten

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 4: Neue Risikobewertung – Die Datenschutz-Folgenabschätzung

Neue Datenschutzregeln ante portas

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.