Die Datenschutzgrundverordnung hat nicht nur zusätzliche Pflichten für Unternehmen gebracht, sondern sieht auch zahlreiche Betroffenenrechte und einen umfassenden Sanktionskatalog für die Datenschutzbehörde vor. Zudem können mitunter auch Konkurrenten ihre Mitbewerber zur Einhaltung der gesetzlichen Regelungen drängen.
Grundlage für etwaige Abmahnungen von DSGVO-Verletzungen durch Mitbewerber ist das Bundesgesetz gegen den unlauteren Wettbewerb (UWG). Insbesondere können konkurrierende Unternehmer argumentieren, dass der Mitbewerber sich durch Verstoß gegen datenschutzrechtliche Vorschriften einen unzulässigen Vorsprung im Wettbewerb verschaffe und somit UWG-widrig handle. In Deutschland haben Gerichte bereits vereinzelt bestätigt, dass Datenschutzverstöße auf diese Weise abgemahnt, das heißt von der Konkurrenz geltend gemacht werden können. Daher ist dort auch unmittelbar mit Anwendbarkeit der DSGVO vom 25.5.2018 eine Abmahnwelle losgerollt. In Österreich läuft diese Entwicklung langsam ebenfalls an, obwohl eine einheitliche Linie oder höchstgerichtliche Rechtsprechung noch fehlt.
Hierzulande gibt es seit Anwendbarkeit der DSGVO noch keine einschlägigen Entscheidungen der Gerichte. Zur alten Rechtslage hat der OGH die Wettbewerbswidrigkeit eines Datenschutz-verstoßes verneint: Die fehlende Meldung einer Verarbeitung im früheren Datenverarbeitungsregister würde zu keinem relevanten Vorsprung gegenüber Mitbewerbern führen (4 Ob 59/14a). Damit hat der Gerichtshof zwar eine zurückhaltende Tendenz erkennen lassen, die Abmahnfähigkeit von Datenschutzverstößen aber nicht generell verneint.
Angesichts der steigenden Zahl der Abmahnungen hat sich nunmehr auch die EU-Kommission zur Rechtsdurchsetzung unter der DSGVO geäußert. Demnach seien die Rechte der Betroffenen in der Verordnung abschließend geregelt. Auf Basis dieser Einschätzung wurde vereinzelt vertreten, dass bei Datenschutzverstößen generell keine Abmahnmöglichkeit bestünde. Freilich bezieht die Kommission sich mit ihrer Aussage nur auf die Betroffenenrechte (zB das Recht auf Auskunft oder Löschung) und nimmt nicht generell zu wettbewerbsrechtlichen Maßnahmen durch Mitbewerber Stellung. Durch die Äußerung der Kommission zu den Betroffenenrechten wurde der Abmahnmöglichkeit von Datenschutzverstößen daher keine Absage erteilt.
Beurteilung im Einzelfall
Die Frage, ob Verstöße gegen datenschutz-rechtliche Bestimmungen abmahnfähig sind, lässt sich nicht pauschal beantworten. Vielmehr ist im Einzelfall zu beurteilen, ob durch die Datenschutzverletzung spürbare Auswirkungen auf dem Markt im Sinne einer Nachfrageverlagerung eintreten. Dies kann etwa bei der Nichteinholung von rechtlich gebotenen Einwilligungserklärungen, bei einer unzulässigen Kopplung solcher Erklärungen mit AGB oder einer nicht transparenten Formulierung von Datenschutzinformationen gegeben sein. All diese Verstöße bewirken nämlich potenziell, dass ein Unternehmen im Verhältnis zu seinen regelkonform agierenden Konkurrenten eine größere Reichweite erlangt. Das kann zu einer Nachfrageverlagerung führen.
Demgegenüber wird die wettbewerbliche Relevanz bei einem Verstoß gegen bloß "interne" Pflichten des Unternehmens, zB bei inkorrekter Führung des Verarbeitungs-verzeichnisses oder bei Fehlen der Daten-schutz-Folgenabschätzung, wohl nicht vorliegen. Hier erspart das Unternehmen sich "nur" die Kosten der Compliance, ohne aber eine Verschiebung der Marktanteile zu bewirken.
Fazit
Insgesamt ist bei Abmahnungen von Datenschutzverletzungen im Einzelfall die Berechtigung zu prüfen. Ein pauschales Zurückweisen oder gar Ignorieren solcher Schreiben kann unliebsame Folgen für das adressierte Unternehmen haben. Auf der anderen Seite besteht durch die rechtlichen Anforderungen doch ein gewisser Schutz gegen pauschale und massenhafte Abmahnungen durch Konkurrenten oder vermeintliche Wettbewerbsschützer, die damit Kleingeld verdienen möchten.