Datenschutzerklärung

OLG Stuttgart: Fehlende Datenschutzerklärung kann abgemahnt werden

Wolfgang Riegger

Das OLG Stuttgart hat mit Urteil vom 27.02.2020, Az.: 2 U 257/19, entschieden, dass derjenige, der auf seiner Internetseite keine Datenschutzerklärung vorhält, deswegen von einem Verband abgemahnt werden kann.

Das Urteil des OLG Stuttgart ist aus zweierlei Gründen zu beachten:

In der Rechtsprechung und vor allem in der juristischen Fachliteratur ist die Frage umstritten, ob die DSGVO sämtliche Rechtsbehelfe abschließend regelt. Wäre dem der Fall, so könnten ein Verband oder ein Wettbewerber, gestützt auf das UWG, nicht Verstöße gegen die DSGVO abmahnen.

Das OLG Stuttgart ist der Meinung, dass die DSGVO die Rechtsbehelfe nicht abschließend regelt. Damit eröffnet das OLG den Anwendungsbereich des UWG.

Darüber hinaus ist das Gericht der Meinung, dass die DSGVO, speziell die Pflicht, eine Datenschutzerklärung vorzuhalten, eine sog. Marktverhaltensregelung ist, weswegen gemäß § 3a UWG das Fehlen einer solchen Datenschutzerklärung jedenfalls von einem Verband abgemahnt werden kann.

In dem Fall ging es darum, dass ein Händler auf eBay keine solche Datenschutzerklärung abrufbar hielt.

Dies wurde ihm nun zum Verhängnis.

Der Klage des abmahnenden Verbandes wurde in der Berufung vollumfänglich stattgegeben.

Damit öffnet das OLG eventuell die „Büchse der Pandora“. Bislang waren diese Fragen höchst streitig. Dies hat dazu geführt, dass jedenfalls meiner Erfahrung nach die Abmahntätigkeit von Verbänden (und vor allem auch von Wettbewerbern) nicht sehr ausgeprägt war.

Das könnte sich nun ändern.

LG Würzburg: Verstoß gegen DSGVO stellt auch Wettbewerbsverstoß dar

Wolfgang Riegger

Das LG Würzburg hat am 13.09.2018 eine einstweilige Verfügung erlassen und geurteilt, dass der Betrieb einer ungesicherten Webseite ohne Datenschutzerklärung wettbewerbswidrig ist (AZ: 11 O 1741/18).

Ohne dass dies detailliert begründet wird, meint das LG Würzburg, dass ein Vertsoß gegen Vorschriften der DSGVO gleichzeitig gem. § 3a UWG unlauter sei.

Soweit ersichtlich, ist das LG Würzburg das bislang erste Gericht, dass explizit einen Verstoß gegen die DSGVO als Wettbewerbsverstoß nach § 3a UWG einstuft. Leider begründet das Gericht seine Rechtsauffassung nicht, sondern verweist lediglich auf Urteile, die noch auf altem Datenschutzrecht beruhen. Dabei gibt es einige Stimmen in der juristischen Fachliteratur, die eine andere Auffassung vertreten und der Meinung sind, dass aufgrund der Vorschrift von Art. 80 DSGVO eine gleichzeitige Verfolgung durch Mitbewerber, gestützt auf Vorschriften des UWG, nicht möglich ist.

 

DSGVO

Wolfgang Riegger

Ab dem 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) sowie ergänzend das neue Bundesdatenschutzgesetz (BDSG) in Kraft.

Zahlreiche Anfragen habe ich deswegen bereits erhalten. Einige dieser Anfragen resultieren daraus, dass irgendjemand irgendetwas über die neue DSGVO gehört oder gelesen hat. Und in der Tat wurde in den letzten Wochen und Monaten vieles über die neue DSGVO geschrieben, insbesondere im Internet. Einiges, was geschrieben wurde, ist – man muss es auch in dieser Deutlichkeit sagen – der blanke Unsinn. Manches soll gewisse Ängste bei Unternehmen schüren – insbesondere in Veröffentlichungen, in denen immer wieder plakativ auf drohende horrende Bußgelder, die ab dem 25. Mai 2018 verhängt werden können, hingewiesen wird.

Falls Sie sich bereits umfassend mit den Voraussetzungen der kommenden DSGVO auseinander gesetzt und Ihr Unternehmen bereits entsprechend vorbereitet haben, müssen Sie nicht mehr weiterlesen.

Sollten Sie sich noch nicht oder noch nicht ausreichend mit der Thematik befasst haben, so gibt es tatsächlich etwas zu tun.

Durch die neue DSGVO entsteht ein gewisser Verwaltungsaufwand, der betrieben werden sollte. Denn der – in diesem Fall europäische – Gesetzgeber setzt beim Datenschutz auf Information und Transparenz. Dies bedeutet wiederum, dass im Vergleich zur noch geltenden Gesetzeslage ein Unternehmen umfangreichere Informations- und Aufklärungspflichten ab dem 25. Mai 2018 treffen werden.

Als erste „Sofortmaßnahme“ sind aus meiner Sicht zwei Punkte bis zum 25. Mai 2018 zu erledigen:

Zum einen sollte derjenige, der eine Webseite betreibt, die nicht nur rein privaten Zwecken dient, die auf einer Webseite online abrufbare „Datenschutzerklärung“ unbedingt überarbeiten. Denn die DSGVO stellt umfassendere Informationspflichten gerade auch für Webseitenbetreiber auf, so dass eine Datenschutzerklärung auf einer Internetseite, die den jetzigen Maßstäben genügt, ab dem 25. Mai 2018 nicht mehr ausreichend sein kann.

Zum anderen sollte ein Unternehmen einer Person, mit der es erstmals geschäftlich in Kontakt tritt, ab dem 25. Mai 2018 darüber informieren, was mit den personenbezogenen Daten des Anfragenden (z.B. mit seiner E-Mail-Adresse) im Unternehmen passiert. Dafür könnte man z.B. ein einfach gehaltenes Infoblatt erstellen, das man dem ersten Antwortschreiben an den Anfragenden übermittelt, z.B. als pdf-Datei.

Sofern Sie diese „Sofortmaßnahmen“ ab dem 25. Mai 2018 beachten und umsetzen, zeigen Sie „nach außen“, dass Sie die neue DSGVO „auf dem Schirm“ haben.

Die dritte Maßnahme, die getroffen werden sollte, ist die Erstellung eines „Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO“. Das ist eigentlich nichts Neues. Denn auch das BDSG in der jetzigen Fassung verlangte bereits die Erstellung eines sog. Verfahrensverzeichnisses. Jeder, der sich an die bisherigen gesetzlichen Regelungen gehalten und bereits ein Verfahrensverzeichnis erstellt hat, kann daher beruhigt sein, da nur bestimmte Anpassungen an die neue Gesetzeslage notwendig sind. Da bislang das Fehlen eines solchen Verfahrensverzeichnisses quasi sanktionslos war, habe ich die Erfahrung gemacht, dass viele Unternehmen nicht über ein solches Verzeichnis verfügen. Auf diese Unternehmen kommt in der Tat ein gewisser Verwaltungsaufwand zu: Denn in diesem Verzeichnis muss ein Unternehmen dokumentieren, welche Daten von welchen Personen in welcher Weise erfasst und verarbeitet werden, auf welcher Rechtsgrundlage die Verarbeitung beruht, welche Hard- und Software zur Datenverarbeitung eingesetzt wird sowie schließlich welche Maßnahmen zur Datensicherheit getroffen werden. Dabei sollte beachtet werden, dass der Begriff der personenbezogenen Daten nicht nur die digitalen Daten erfasst, sondern auch die „analogen Daten“. Also auch der Akten-Ordner mit Angeboten oder Rechnungen enthält personenbezogene Daten, so dass auch in einem Verfahrensverzeichnis dokumentiert werden muss, wo z.B. diese Akten-Ordner aufbewahrt und wie diese gesichert werden.

Auch dieses Verzeichnis sollte bis zum 25. Mai 2018 eigentlich vorhanden sein. In Anbetracht der Tatsache, dass – mit Ausnahme der zuständigen Datenschutzbehörden – kein Dritter ein Recht hat, dieses Verzeichnis ausgehändigt zu bekommen, kann man die Erstellung eines solchen Verzeichnisses hinter die oben beschriebenen „Sofortmaßnahmen“ anstellen, falls man nicht mehr rechtzeitig vor dem 25. Mai 2018 damit fertig wird.

Gerade die bei mir eingegangenen Anfragen von Mandanten zeigen, dass größere Unternehmen, die über eine eigene Rechtsabteilung oder einen (internen oder externen) Datenschutzbeauftragten verfügen, sich mit der Umsetzung der Vorgaben der DSGVO leichter tun als kleinere Unternehmen oder Freiberufler. Gerade Unternehmen, in denen sich „der Chef“ oder „die Chefin“ um alles kümmert, trifft die zusätzliche Arbeit besonders hart, weil man diesen Aufwand neben dem normalen Arbeitsalltag bewältigen muss.

Sollte Ihnen der Aufwand zu viel sein, kann ich Ihnen helfen. Gerne dürfen Sie mich deswegen kontaktieren.