Seit dem 25.05.2018 ist die europäische Datenschutzgrundverordnung anzuwenden. Zu Beginn herrschte sehr viel Panik, dann kehrte eine gewisse Sommerruhe ein. Die Aufsichtsbehörden sind überlastet und agieren noch schonend. Die befürchtete Abmahnwelle blieb zwar bislang aus –ein paar gerichtliche Entscheidungen gibt es hierzu und zu Bußgeldern zum jetzigen Zeitpunkt allerdings schon, welche wir im Folgenden darstellen:
1. Abmahnungen
Eins der meistdiskutierten Themen war, ob Verstöße gegen die DSGVO durch Mitbewerber abgemahnt werden können. Ganz geklärt ist diese Frage aktuell noch nicht.
Die Reihe der bislang bekannten Gerichtsentscheidungen begann im August 2018. Das Landgericht Bochum verneinte mit Urteil vom 07.08.2018 (Az.: 12 O 85/18) die Abmahnfähigkeit aus dem UWG.
Das Landgericht Würzburg befand hingegen mit Beschluss vom 13.09. 2018 (Az.: 11 O 1741/18), dass Abmahnungen von Mitbewerbern wegen Verstößen gegen die DSGVO möglich sind.
Das Oberlandesgericht Hamburg hat am 25. Oktober 2018 (Az.: 3 U 66/17) die Ansicht vertreten, dass eine Abmahnung möglich ist, wenn die jeweilige Norm der DSGVO eine Regelung des Marktverhaltens zum Gegenstand hat. Primär regelt die DSGVO allerdings den Schutz personenbezogener Daten des Einzelnen. Das Ergebnis hängt daher immer von einer Einzelfallprüfung ab. Zu diesem Urteil ist zu berücksichtigen, dass die Klage bereits 2017 erfolgte, allerdings hat sich das OLG ausdrücklich zur DSGVO geäußert: "Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse [...]" .Aufgrund der höheren Instanz ist das Urteil des OLG Hamburg vorläufig als das gewichtigste anzusehen.
Das Landgericht Wiesbaden urteilte am 05.11.2018 (Az.: 5 O 214/18) dass die DSGVO in die zulässigen Rechtsbehelfe für Datenschutzverstöße abschließend regelt und verneinte eine Abmahnbarkeit.
Auch das unseres Kenntnisstands jüngste Urteil, des Landgerichts Magdeburg vom 18.1.2019 (Az.: 36 O 48/18) hat eine Abmahnbarkeit verneint.
Damit steht es 3 zu 2 gegen eine Abmahnbarkeit. In Bezug auf Abmahnungen kann daher noch keine Entwarnung gegeben werden. Allerdings muss bei Abmahnungen jeder Verstoß einzeln betrachtet werden. Natürlich kann man zum jetzigen Zeitpunkt noch nicht von einer gesicherten Rechtsprechung sprechen. Bitte haben Sie allerdings im Blick, dass bei Verstößen im Internet (Onlinehandel) die Regelungen des sog. „fliegenden Gerichtsstands“ gelten. Unterlassungsklagen können daher gezielt bei Gerichten anhängig gemacht werden, die eine Abmahnbarkeit bejahen.
2. Bußgelder
Die drakonisch erhöhten Bußgeldandrohungen der DSGVO sorgten im Vorfeld ebenfalls für recht viel Unsicherheit. Auch hier werfen wir einen Blick auf das was bisher in Deutschland und in der EU passiert ist:
a) Lage in Deutschland
Das erste Bußgeld in Deutschland verhing Baden-Württemberg am 21.11.2018 gegen den Social-Media Anbieter „Knuddels“. Hintergrund war ein Verstoß gegen die Datensicherheit nach Art. 32 DSGVO (Datenpanne durch Hackerangriff, wobei Passwörter und E-Mail-Adressen entwendet und veröffentlicht wurden). Gegen Knuddels wurde ein Bußgeld in Höhe von EUR 20.000,00 verhängt. Knuddels verhielt sich hierbei kooperativ.
Nach einem Bericht und einer Umfrage des Handelsblatts vom 18.01.2019 (Heike Anger; Dietmar Neuerer: „Behörden verhängen erste Bußgelder wegen Verstößen gegen DSGVO“) wurden in Deutschland bislang 41 Bußgeldbescheide auf Grundlage der DSGVO erlassen. Spitzenreiter sei hier Nordrhein-Westfalen (mit 33 Bußgeldbescheiden), dann folge Hamburg mit drei Bußgeldbescheiden, Baden-Württemberg und Berlin mit jeweils zwei Bescheiden und das Saarland mit einem Bescheid.
Die höchste Einzelstrafe verhängte bislang Baden-Württemberg in seinem zweiten Bußgeldbescheid mit EUR 80.000,00 (aufgrund unzureichender interner Kontrollmechanismen gelangten Gesundheitsdaten ins Internet). Hamburg verhängte insgesamt Bußgelder in Höhe von 25.000 Euro, Nordrhein-Westfalen von knapp 15.000 Euro.
Wenige Tage nach der Veröffentlichung der Daten im Handelsblatt erging eine neue Bußgeldentscheidung in Hamburg gegen die kleine Firma Kolibri Image (Imageberatung). Hintergrund war ein fehlender Auftragsverarbeitungsvertrag mit einem spanischen Dienstleister, der sich weigerte einen entsprechenden Vertrag zu schließen. Kolibri Image wurde daraufhin von der Behörde belehrt, dass die vorgenannte Regelungspflicht den Dienstleister und den Auftraggeber als Verantwortlichen gleichermaßen trifft. Wenn der spanische Auftragsverarbeiter der Aufforderung zum Abschluss einen AV-Vertrages nicht nachkommt, muss der Verantwortliche selbst einen entsprechenden AV-Vertrag an den Dienstleister versenden. Das festgesetzte Bußgeld beträgt EUR 5.000,00. Kolibri Image hat gegen den Bescheid Widerspruch eingelegt.
b) Lage in Europa
Ein erster Zwischenbericht der EU-Kommission zur DSGVO wird im Juni 2019 erwartet. Bislang bekannt ist, dass in Portugal ein Bußgeld in Höhe von EUR 400.000,00 gegen ein Krankenhaus verhängt wurde, das Patientendaten nicht genug nach außen geschützt hatte und viele Personen Zugriff auf die Patientendaten hatte.
Am 21.01.2019 verhängte die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) ein Bußgeld in Höhe von EUR 50 Mio gegen Google und damit das bislang höchste Bußgeld. Die CNIL war hierbei der Ansicht, dass Google seine Informationspflichten nicht ordnungsgemäß erfüllt und keine wirksame Einwilligung für die Verarbeitung der Daten für Werbezwecke vorweisen könne.
Die Entscheidung geht auf Beschwerden der österreichischen Organisation None Of Your Business (noyb.eu) und der französischen NGO La Quadrature du Net, die am 25. und 28. 05.2018 bei der CNIL eingereicht wurden, zurück.
PDF Download:
Unsere PDF Dateien zum herunterladen