Weit verbreitet ist die Unsicherheit, wer bei DSGVO-Verstößen abmahnen darf. Recht eindeutig ist dies für Verbraucherverbände, die in aller Regel dazu befugt sind.
Von besonderer Brisanz ist aber, ob auch Wirtschaftsverbände nach UWG oder UKlaG dazu berechtigt sind.
Dieser Artikel beschäftigt sich mit der Frage, welche Verbände gegen DSGVO-Verstöße vorgehen dürfen.
I. Aktivlegitimation, was ist das?
Zentralbegriff dieses Beitrags ist die sog. Aktivlegitimation. Von Aktivlegitimation sprechen Juristen, wenn es um die Frage geht, ob jemand berechtigt ist, eine Rechtsverletzung – außergerichtlich oder gerichtlich – zu verfolgen. Die dazu berechtigte Person ist grundsätzlich derjenige, der vom Gesetzgeber als Rechteinhaber angesehen wird. Werden seine Rechte verletzt, so soll er berechtigt sein, seine Interessen zu verfolgen. Im Rechtsstaat erwehrt er sich einer Rechtsverletzung regelmäßig mit Hilfe der Gerichte.
Bsp.: Verarbeitet ein Dritter Daten, ohne die dafür erforderliche Einwilligung, so kann der Betroffene den Verletzer gerichtlich, z. B. auf Unterlassung der Verarbeitung, in Anspruch nehmen.
Insofern ist die Aktivlegitimation Zentralbegriff für die Frage, ob überhaupt eine Befugnis zur Abmahnung oder Erhebung einer Klage besteht. Die Aktivlegitimation zur Verfolgung von DSGVO-Verstößen kann sich aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) und/oder dem Unterlassungsklagengesetz (UKlaG) ergeben.
II. Aktivlegitimation bei DSGVO-Verstoß nach UWG
Gemäß § 8 Abs. 1 und Abs. 3 UWG sind grundsätzlich rechtsfähige Verbände, qualifizierte Einrichtungen und Mitbewerber aktivlegitimiert. Soweit ihnen das UWG ein Anspruch auf Unterlassung zuspricht, können sie den Verletzer gerichtlich oder außergerichtlich in Anspruch nehmen.
Ein Unterlassungsanspruch nach § 8 Abs. 1 UWG setzt eine unzulässige geschäftliche Handlung voraus. Geschäftliche Handlung sind absatzfördernde Maßnahmen. Als derartige Maßnahme kommt der DSGVO-Verstoß in Betracht.
Beispiel: Unternehmer A speichert zum Zwecke der Zusendung von Werbung die E-Mail-Adresse eines Kunden. Diese Speicherung dient dem A im Wege der Förderung seiner Absatzchancen: Die Speicherung ist Voraussetzung für die Zusendung der Werbung. Die Zusendung von Werbung erhöht die Wahrscheinlichkeit, Produkte schließlich verkaufen zu können. Insoweit ist bereits die Speicherung als geschäftliche Handlung anzusehen.
1. Unzulässige Handlung nach dem UWG?
Soweit eine geschäftliche Handlung gegeben ist, wäre für den Anspruch darüber hinaus erforderlich, dass das UWG die geschäftliche Handlung als unzulässig erachtet. Das UWG enthält jedoch kein Datenschutzrecht, welches einen wettbewerbsrechtlichen Unterlassungsanspruch rechtfertigte. Insofern käme eine wettbewerbsrechtliche Verfolgung des Verhaltens nur über die Vorschrift des § 3a UWG in Betracht.
Beispiel: Unternehmer A sendet Verbraucher B Werbemails zu, obwohl A weiß, dass B kein Interesse an diesen Mails hat. In diesem Fall handelt es sich beim Zusenden um eine geschäftliche Handlung, vgl. oben. Diese Handlung ist nach § 7 Abs. 2 Nr. 3 Fall 3 i. V. m. § 7 Abs. 1 Satz 1 UWG unzulässig und könnte abgemahnt werden. Eine entsprechende datenschutzrechtliche Regelung, welche die ordnungsgemäße Erhebung und Verarbeitung des personenbezogenen Datums der E-Mail-Adresse zum Gegenstand hat, ist dem UWG fremd. Entsprechende Regelungen müssten jenseits des UWG über § 3 a UWG zur Anwendung kommen.
Nach § 3 a UWG, dem sog. Rechtsbruch, kann der Verstoß gegen eine Norm, die nicht im UWG geregelt ist, die Unzulässigkeit einer geschäftlichen Handlung begründen. Dazu ist aber erforderlich, dass die Norm, gegen die verstoßen wurde, eine sog. Marktverhaltensregelung darstellt. Eine Marktverhaltensregelung gemäß § 3 a UWG ist eine Norm, die dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.
Beispiel: § 6 Abs. 2 ElektroG regelt eine Registrierungspflicht von Vertreibern von Elektro- und Elektronikgeräten. Verkauft ein Vertreiber ohne entsprechende Registrierung Elektronikgeräte, so kann gegen ihn grundsätzlich aus § 3 a i. V. m. § 8 Abs. 1 und Abs. 3 UWG vorgegangen werden: Die Norm regelt Verhaltenspflichten für Vertreiber von Elektronikgeräten.
2. DSGVO abschließend oder marktverhaltensregelnd?
Für die Frage der wettbewerbsrechtlichen Aktivlegitimation bei DSGVO-Verstößen ist demnach zu klären, ob gegen eine Norm der DSGVO verstoßen wurde, die als Marktverhaltensregelung gemäß § 3a UWG zu qualifizieren ist. Ob die Normen der DSGVO Marktverhaltensregelungen enthalten, wird in der Literatur und Rechtsprechung eher ablehnend beurteilt. So hatte der europäische Gesetzgeber beim Verfassen der DSGVO vor allem den Schutz personenbezogener Daten vor Augen, weniger das Interesse, den Markt zu regeln.
Zudem wird teilweise die Frage, ob die DSGVO überhaupt marktregelnden Charakter habe, überhaupt nicht zugelassen, da die DSGVO abschließenden Charakter habe. Ein Rückgriff auf § 3a UWG scheidet immer dann aus, wenn der betreffenden Norm, gegen die verstoßen wurde, ein abschließendes Regelungskonzept zugrunde liegt. Die DS-GVO enthalte keine wettbewerbsrechtliche Aktivlegitimation und es sei nicht ersichtlich, dass diese Entscheidung nicht abschließend gemeint sei.
Demnach hätte ein wettbewerbsrechtlicher Unterlassungsanspruch zwei Hürden zu nehmen: Zunächst müsste § 3 a UWG neben der DSGVO überhaupt anwendbar sein. Des Weiteren müsste es sich bei der DSGVO-Norm, gegen die verstoßen wurde, um eine Marktverhaltensregelung handeln. Beide Fragen sind eher ablehnend zu beurteilen. Insofern ist eine wettbewerbsrechtliche Aktivlegitimation der in § 8 Abs. 3 UWG genannten Personen recht unwahrscheinlich.
III. Aktivlegitimation bei DSGVO-Verstoß nach UKlaG
Die Aktivlegitimation nach dem UKlaG ist in § 3 Abs. 1 Satz 1 UKlaG geregelt. Danach sind qualifizierte Einrichtungen und Verbände grundsätzlich aktivlegitimiert. Auch hier ist aber erforderlich, dass demjenigen ein Unterlassungsanspruch zusteht, der gegen den DSGVO-Verstoß vorgehen möchte.
1. Unterlassungsanspruch nach UKlaG
Ein entsprechender Unterlassungsanspruch kann sich jedoch lediglich aus § 2 Abs. 1 Satz 1, Abs. 2 Satz 1 Nr. 11 UKlaG ergeben. Dies setzt zunächst einen Verstoß gegen Verbraucherschutzgesetze voraus und das – gerichtliche oder außergerichtliche – Vorgehen gegen diesen Verstoß muss dem Interesse des Verbraucherschutzes dienen.
Seit der Neufassung des § 2 Abs. 2 Satz 1 Nr. 11 UKlaG, welche auf Art. 80 Abs. 2 DSGVO beruht, sind nun auch Normen der DSGVO als Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 Satz 1 UKlaG anzusehen. Insofern betrifft die Verarbeitung personenbezogener Daten Verbraucherrecht. Es ist zu beachten, dass nicht jeder Verstoß gegen die DSGVO nach dem UKlaG abgemahnt werden kann. § 2 Abs. 2 Satz 1 Nr. 11 UKlaG beschränkt sich auf die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von einem bzw. über einen Verbraucher zu kommerziellen Zwecken.
2. Aktivlegitimation nach § 3 Abs. 1 UKlaG
Ist ein Verstoß im Sinne des § 2 Abs. 2 Satz 1 Nr. 11 UKlaG anzunehmen, stellt sich die Frage nach der Aktivlegitimation im Sinne des § 3 Abs. 1 UKlaG. In Anbetracht des gegenüber dem nationalen Recht vorrangigen Europarechts, darf § 3 Abs. 1 UKlaG nicht im Widerspruch zu Art. 80 DSGVO gelesen werden:
Nach Art. 80 Abs. 1 DSGVO können Einrichtungen, Organisationen oder Vereinigung nur dann DSGVO-Verstöße abmahnen, wenn sie ohne Gewinnerzielungsabsicht tätig werden und ordnungsgemäß nach dem Recht des Mitgliedstaates gegründet wurden. Zudem dürfen deren satzungsmäßigen Ziele nicht im Widerspruch zum Allgemeininteresse stehen und die Tätigkeit muss dem Zweck des Schutzes personenbezogener Daten dienen.
Unter „qualifizierten Einrichtungen“ gemäß § 3 Abs. 1 Satz 1 Nr. 1 UKlaG sind Verbraucherverbände zu verstehen. Ihnen wird regelmäßig der Nachweis der genannten Voraussetzungen gelingen. „Rechtsfähigen Verbänden zur Förderung gewerblicher oder selbständiger beruflicher Interessen“ und den Industrie- und Handelskammern nach § 3 Abs. 1 Satz 1 Nr. 2 und 3 UKlaG hingegen wird die Überzeugung des Gerichts in aller Regel schwerfallen, zum Schutze personenbezogener Daten tätig geworden zu sein. Zwar wird keine ausschließliche Tätigkeit zum Schutze personenbezogener Daten gefordert werden können und ernstliche Absichten wohl genügen. Jedoch werden sich derartige Stellen im Prozess auf intensive gerichtliche Prüfung einstellen müssen.
IV. Fazit
Die nahezu apokalyptischen Befürchtungen, DSGVO-Abmahnwellen werden Kleinunternehmen, insbesondere Start-ups, überrollen, bleiben unbegründet. Die Welt dreht sich weiter.
Die für derartige Abmahnwellen zuvorderst verantwortliche wettbewerbsrechtliche Aktivlegitimation steht auf wackligem Boden: Die Normen der DSGVO sind wohl eher nicht als marktverhaltensregelnd im Sinne des § 3a UWG zu verstehen. Bereits die Anwendung der Norm erscheint – angesichts der umfassenden Rechtsfolgeregelungen der DSGVO – fragwürdig. Demnach ist es Wettbewerbern eher nicht möglich, DSGVO-Verstöße abzumahnen.
Unter Umständen können Wettbewerbsverbände nach UKlaG aktivlegitimiert sein. Dies gilt jedoch nur unter den strengen Voraussetzungen des Art. 80 Abs. 1 DSGVO. Der Nachweis eines Wirtschaftsverbandes, dass er zum Schutze personenbezogener Daten tätig werde, wird regelmäßig schwerfallen.
Aktivlegitimiert bleiben die Verbraucherverbände. Diese werden in aller Regel auch zu Zwecken tätig, die denjenigen der DSGVO entsprechen. Insofern droht in aller Regel keine Missbrauchsgefahr und damit verbundene Abmahnwellen.