Keine Kavaliersdelikte: Neue Abmahnrisiken bei Datenschutzverstößen

25.07.2016

Lange Zeit spielte das Datenschutzrecht nur ein Schattendasein und wurde von Unternehmen eher stiefmütterlich behandelt. Spätestens aber mit den durch Edward Snowden aufgedeckten Datenschutzskandalen und dem Safe-Harbor-Urteil des EuGH vom 06.10.2015 – C-362/14 – ist der Datenschutz für Unternehmen zu einem wichtigen Compliance-Thema geworden. Schon heute müssen sie verstärkt mit Abmahnungen und Bußgeldern bei Datenschutzverstößen rechnen, auch wenn die neue EU- Datenschutzgrundverordnung erst im Mai 2018 in Kraft tritt. Denn sowohl die Rechtsprechung als auch die Gesetzgebung haben beim Thema Datenschutz die Daumenschrauben für Unternehmen angezogen.

Noch haben Unternehmen Zeit, sich auf die Anforderungen der neuen EU-Datenschutzgrundverordnung, die unmittelbar wie ein Gesetz für alle Marktteilnehmer gelten wird, ausreichend vorzubereiten. Diese Verordnung ist zwar bereits in Kraft getreten. Es gilt jedoch eine Übergangszeit von 2 Jahren, damit die Unternehmen die neuen Datenschutzanforderungen umsetzen können. Ab dem 25.05.2018 wird diese Verordnung wirksam. Im einem der nächsten IP-IT-Newsletter wird näher erläutert, was sich ändert und welche Maßnahmen Unternehmen bis Mai 2018 ergreifen sollten.

Unterdessen hat auch die Rechtsprechung den Datenschutz weiter gestärkt. Nach einem aktuellen Urteil des OLG Köln vom 11.03.2016 – 6 U 121/15 – ist es wettbewerbswidrig, wenn ein Unternehmen auf der eigenen Website ein Online-Kontaktformular ohne Datenschutzerklärung zur Verfügung stellt. Die Verpflichtung, über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, ergibt sich aus § 13 Telemediengesetz (TMG), den das Gericht als wettbewerbsbezogene Norm qualifiziert. Das hat zur Folge, dass ein Verstoß wettbewerbswidrig ist und mit einer kostenpflichtigen Abmahnung verfolgt werden kann. Bei den in ein Online-Formular einzugebenden Daten wie Name, E-Mail-Adresse und weiteren Kontaktdaten handelt es sich um personenbezogene Daten. Das Gericht ließ nicht gelten, dass dem Nutzer bekannt sei, dass die Daten (nur) zum Zwecke der Kontaktaufnahme erhoben werden. § 13 TMG verlange eine entsprechende Unterrichtung. Es reiche daher nicht aus, wenn sich aus den Umständen ergebe, welche Daten wofür konkret verwendet werden. Die Entscheidung erging in einem Eilverfahren, was unterstreicht, dass das Gericht keinen Zweifel an der Wettbewerbswidrigkeit ließ. Damit folgt das OLG Köln der deutlichen Tendenz in der Rechtsprechung, einen Verstoß gegen Datenschutzvorschriften als wettbewerbswidrig anzusehen. Die Frage ist höchstrichterlich zwar noch nicht entschieden, setzt sich aber immer mehr durch. Unternehmen sei daher dringend anzuraten, eine Datenschutzerklärung auf ihrer Website bereitzuhalten, wenn personenbezogene Daten erhoben werden, wie dies bei einem Online-Kontaktformular der Fall ist.

Auch der Gesetzgeber war mit dem bereits am 24.02.2016 in Kraft getretenen „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ (BGBl. I S. 233) nicht untätig. Mit diesem Gesetz wurde durch eine Änderung des sog. „Unterlassungsklagegesetz“ (UKlaG) eine Verbandsklagebefugnis auch bei Datenschutzverstößen eingeführt. Bislang war Verbraucherschutzverbänden ein Vorgehen nach dem UKlaG nur möglich, wenn Allgemeine Geschäftsbedingungen (AGB) angegriffen wurden. Nunmehr ist es auch für diese Verbände möglich, die Verletzung bestimmter datenschutzrechtlicher Vorschriften, die die „Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Verbraucherdaten durch Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln“, abzumahnen und Unterlassung sowie Beseitigung (Löschung oder Sperrung der Daten) zu verlangen. Im Gegensatz zu UWG-gestützten Ansprüchen, für die eine kurze 6-monatige Verjährungsfrist gilt, können Unterlassungsansprüche nach dem UKlaG innerhalb von 3 Jahren verfolgt werden. Diese Verjährungsfrist beginnt aber erst, wenn die Verletzungshandlung beendet ist. Bei Dauerhandlungen wie z.B. fehlende oder mangelhafte Datenschutzerklärungen auf einer Website, beginnt die Verjährungsfrist noch nicht. Auch dadurch erhöht sich das Risiko, wegen eines Datenschutzverstoßes nach dem UKlaG in Anspruch genommen zu werden. Neben den Datenschutz-Aufsichtsbehörden der Länder und Mitbewerbern (nach UWG) können fortan nach dem UKlaG auch Verbraucherschutzverbände und Kammern wie die IHK und Handwerkskammern gegen bestimmte Datenschutzverstöße wie eine fehlende oder unzureichende Einwilligung der betroffenen Verbraucher sowie bestimmte Informationspflichten (z.B. § 13 TMG), klagen. Auch Verstöße gegen die künftig geltende EU-Datenschutzgrund-Verordnung werden dazu gehören. Die neue Verbandsklagebefugnis gilt für Verbraucherdaten, die von einem Unternehmer für die oben genannten Zwecke erhoben oder genutzt werden. Unter „Erstellen von Persönlichkeits- und Nutzerprofilen“ fallen auch die Benutzung von „Cookies“ und das gesamte „Scoring“ auf Unternehmens-Websites. Da auch „vergleichbare kommerzielle Zwecke“ umfasst werden, ist praktisch der gesamte B2C-Bereich erfasst. Nicht umfasst wird der C2C- und B2B-Bereich. Voraussetzung der gesetzlichen Neuregelung ist aber stets, dass die Erhebung, Verarbeitung und Nutzung der Verbraucherdaten zumindest Teil des Geschäftszwecks ist und nicht nur der Vertragsabwicklung dient. Werden diese Daten ausschließlich für die Begründung, Durchführung oder Beendigung des eigentlichen Vertrages mit dem Verbraucher erhoben, gilt die Verschärfung durch das am 24.02.2016 in Kraft getretene neue Gesetz nicht.

Fazit

Unternehmen sei daher wärmstens empfohlen, ihre Websites daraufhin zu überprüfen, ob die datenschutzrechtlichen Anforderungen eingehalten werden, um unnötige kostenpflichtige Abmahnungen zu vermeiden. Wie das Urteil des OLG Köln zeigt, gilt das auch im Bereich B2B.