DSGVO: Eine Zwischenbilanz
Die EU-Datenschutzgrundverordnung (DSGVO) trat am 25.05.2018 nach Ablauf einer zweijährigen Übergangsfrist endgültig in Kraft. Die DSGVO regelt innerhalb der Europäischen Union die Verarbeitung, Speicherung und Weitergabe von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Sie dient dem Schutz natürlicher Personen und enthält eine ganze Reihe an neuen Regelungen. Insbesondere gelten für öffentliche Stellen und Unternehmen verschärfte Regeln für die Erhebung und den Umgang mit personenbezogenen Daten. Von einer Datenverarbeitung betroffenen Personen stehen durch die DSGVO erheblich weitreichendere Rechte zu.
Das einjährige Jubiläum des neuen Datenschutzrechts wurde vielseits zum Anlass genommen, Bilanz zu ziehen. Die Ergebnisse sind ernüchternd: Während Konzernriesen wie Amazon, Facebook und Google mit hohen Budgets die Umstellungen – zumindest dem Anschein nach – ordentlich bewältigen konnten, sind mittelständische und kleinere Unternehmen sowie Vereine nach wie vor vielen offenen Fragen und Unsicherheiten ausgesetzt.
Staatliche Sanktionen
Da der Bußgeldkatalog aus Art. 83 der DSGVO in bestimmten Fällen „Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4% des gesamten Jahresumsatzes“ vorsieht, wurden drakonische Strafgelder befürchtet. Behördliche Bußgelder in Millionenhöhe sind in Deutschland bislang zwar ausgeblieben. Die französische Datenschutzbehörde verhängte jedoch gegen den Google-Konzern ein Bußgeld in Höhe von EUR 50 Millionen. Dem Internetkonzern wurde vorgeworfen, datenschutzrelevante Informationen auf zu kompliziertem Wege zugänglich gemacht und auf zu viele Unterseiten und Erklärungen aufgeteilt zu haben. Einige Formulierungen in den Informationen seien überdies unklar. Google geht aktuell gegen das Bußgeld vor. Der Verfahrensausgang ist ungewiss.
In Deutschland wurden im ersten Geltungsjahr der DSGVO insgesamt Bußgelder in Höhe von „nur“ knapp einer halben Million Euro verhängt. Niedersachsen befindet sich nicht unter den sechs Bundesländern, die Strafgelder festsetzten. Das höchste Bußgeld wurde von der Baden-Württembergischen Datenschutzbehörde verhängt. Ein Unternehmen musste EUR 80.000 zahlen, weil es die Veröffentlichung von Gesundheitsdaten im Internet zu verantworten hatte. In einigen Bundesländern wurden einzelne Verstöße gegen die DSGVO mit deutlich unter EUR 1.000 geahndet.
Die erwartete „Abmahnwelle“
Neben behördlichen Bußgeldern wurden vor Inkrafttreten der DSGVO vor allem zivilrechtliche Abmahnungen wegen etwaiger Wettbewerbsverstöße befürchtet. Eine „Abmahnwelle“ wegen unzureichender Umsetzung der DSGVO – insbesondere im Zusammenhang mit Internetseiten – ist bislang allerdings ausgeblieben.
Vereinzelt hatten sich einige Gerichte aber schon mit der Kernfrage zu beschäftigen, ob es sich bei den Vorschriften der DSGVO um sogenannte Marktverhaltensregelungen handelt. Denn nur wenn dies bejaht wird, besteht überhaupt die Möglichkeit, Mitbewerber bei mangelhafter Umsetzung der DSGVO wegen Verstoßes gegen das Wettbewerbsrecht abzumahnen und zur Unterlassung aufzufordern.
Das Landgericht Bochum (Urteil vom 07.08.2018 – I-12 O 85/18) verneinte einen wettbewerbsrechtlichen Unterlassungsanspruch wegen einer nicht DSGVO-konform gestalteten Website. Nach Auffassung der Bochumer Richter sind die in der DSGVO enthaltenen Sanktionen abschließend. Ein Vorgehen aus wettbewerbsrechtlichen Vorschriften soll deshalb bei Verstößen gegen die DSGVO ausgeschlossen sein.
Das OLG Hamburg (Urteil vom 25.10.2018 – 3 U 66/17) bejahte hingegen grundsätzlich die Anwendbarkeit des Wettbewerbsrechts neben der DSGVO. Allerdings stellen die Hamburger Richter im Einzelfall erhöhte Anforderungen an die Prüfung, ob eine konkrete Vorschrift der DSGVO, die missachtet wurde, auch tatsächlich das Marktverhalten regeln soll. Nur wenn dies der Fall ist, sollen wettbewerbsrechtliche Ansprüche zwischen Mitbewerbern bestehen.
Das Land Bayern hat in diesem Zusammenhang im Juli 2018 einen Gesetzesentwurf eingebracht, mit welchem das Unterlassungsklagengesetz dahingehend geändert werden soll, dass Verstöße gegen die DSGVO grundsätzlich nicht dem Wettbewerbsrecht unterfallen. Damit soll wettbewerbsrechtlichen Abmahnungen wegen Verstößen gegen die DSGVO die Grundlage entzogen werden.
Die Frage nach möglichen wettbewerbsrechtlichen Abmahnungen wegen Verstößen gegen die DSGVO ist damit nach wie vor ungeklärt. Möglicherweise wird der Gesetzgeber eine Regelung treffen. Andernfalls wird sich mit der Gretchen-Frage nach der Einstufung der DSGVO-Vorschriften als Marktverhaltensregeln in nächster Zeit wohl der Bundesgerichtshof beschäftigen und hoffentlich Rechtssicherheit schaffen.
Deutsche Rechtsprechung zur DSGVO
Veröffentlichungen von Entscheidungen deutscher Gerichte zur DSGVO werden nach wie vor mit Spannung erwartet. Denn die DSGVO enthält eine ganze Reihe sogenannter „unbestimmter Rechtsbegriffe“, deren Konkretisierung im Einzelfall zunächst den deutschen Gerichten – und bei Auslegungsfragen erforderlichenfalls später dem Europäischen Gerichtshof – obliegt.
Auszugsweise sind einige Gerichtsentscheidungen im Folgenden kurz dargestellt:
Das OLG Köln (Beschluss vom 18.6.2018 – 15 W 27/18) hat entschieden, dass neben der DSGVO zumindest im journalistischen Bereich das Kunsturhebergesetz, welches die Rechte am eigenen Bild und Ausnahmen für eine Bildnisveröffentlichung ohne eine Einwilligung der betroffenen Person regelt, anwendbar bleibt. Die Vorschriften des Kunsturhebergesetzes seien im Rahmen von Art. 85 DSGVO nach wie vor trotz der DSGVO anwendbar, da die DSGVO gerade im Hinblick auf die Informations- und Meinungsfreiheiten abweichende Sondervorschriften in den Mitgliedsstaaten gestatte.
Das OLG München (Teilurteil vom 24.10.2018 – 3 U 1551/17) entschied im Zusammenhang mit einem Auskunftsanspruch, dass der Begriff der „berechtigten Interessen“, durch welche eine Datenverarbeitung nach Art. 6 DSGVO legitimiert wird, weit zu verstehen ist. Jedenfalls bei Auskunftsansprüchen im Rahmen vertraglicher Beziehungen kann die DSGVO in der Regel nicht zur Verweigerung einer Auskunft herangezogen werden. Im Einzelfall ist aber eine Interessenabwägung vorzunehmen. Die Art der Daten und der Anlass der Datenerhebung spielen dabei eine Rolle. Der Entscheidung des OLG München lag eine Auseinandersetzung zwischen einem Hersteller und einem Vertragshändler zugrunde. Der Vertragshändler verweigerte unter Berufung auf die DSGVO die Herausgabe von Kundendaten, die zur Bemessung von Schadenersatzforderungen benötigt wurden.
Das OLG Hamburg (Urteil v. 25.10.2018 – 3 U 66/17) hat entschieden, dass Sanktionen nach der DSGVO keinen Ausschließlichkeitscharakter haben. Ansprüche wegen Datenschutzverletzungen können damit nach wie vor auf andere Rechtsvorschriften – etwa das Lauterkeitsrecht – gestützt werden (s.o.).
Auch das Verwaltungsgericht Stade musste sich schon mit der DSGVO beschäftigen (Beschluss vom 9.10.2018 – 1 B 1918/18). Die Stader Richter haben – wenig überraschend – entschieden, dass ein Anspruch auf Einschränkung der Verarbeitung personenbezogener Daten aus Art. 18 DSGVO nicht durch einfaches Bestreiten der Richtigkeit der Daten erfolgen kann. Vielmehr müssen Betroffene substantiiert gegenüber dem Verantwortlichen darlegen, woraus sich eine Unrichtigkeit der Daten ergeben soll. Ein Asylsuchender ging gegen die Angabe seiner guineischen Staatsangehörigkeit in seiner behördlichen Duldung vor.
Neu ist im Übrigen auch, dass unmittelbar aus der DSGVO Schadenersatzansprüche hergeleitet werden können. Der Umgang deutscher Gerichte mit Schadenersatzansprüchen wegen Verstößen gegen die DSGVO ist noch unklar. Art. 82 DSGVO sieht Ersatzansprüche wegen materieller und immaterieller Schäden, die auf einem Verstoß gegen die Verordnung beruhen, ausdrücklich vor. Bei Ersatzleistungen wegen immaterieller Schäden handelt es sich um eine Art „Schmerzensgeld“.
Das Amtsgericht Dietz in Rheinland-Pfalz (Urteil vom 7.11.2018 – 8 C 130/18) wies eine Klage ab, mit der ein (immaterieller) Schadenersatz von mehr als EUR 50,00 für den Erhalt eines Newsletters ohne Einwilligung gefordert wurde. Das Gericht hielt einen Betrag von mehr als den seitens der Beklagten anerkannten EUR 50,00 für unangemessen. Es stellte fest, dass bloße Verstöße gegen die DSGVO nicht automatisch einen Schadenersatzanspruch begründen. Bagatellverstöße lösen also keine Haftung aus. Eine schwere Beeinträchtigung von Persönlichkeitsrechten ist zwar nicht erforderlich. Allerdings bedarf es schon eines objektiv nachvollziehbaren und spürbaren Nachteils für die betroffenen Person.
Zu immateriellen Schadenersatzansprüchen nach der DSGVO ist in den kommenden Jahren eine Fülle an neuer Rechtsprechung zu erwarten, wodurch die genauen Voraussetzungen und die ungefähr zu erwartende Höhe von Schadensersatzansprüchen hoffentlich weiter konkretisiert werden.
Veränderungen in Niedersachsen
Für Unternehmen und öffentliche Stellen im Landkreis Stade ist die Landesbeauftragte für den Datenschutz in Niedersachsen zuständige Aufsichtsbehörde. Im März 2019 legte die niedersächsische Landesbehörde einen Tätigkeitsbericht für die Jahre 2017 und 2018 vor. Danach haben sich an die Behörde gerichtete Anfragen nach Inkrafttreten der DSGVO mehr als verdoppelt. Bei der Landesbeauftragten sind mehr als 1000 Beschwerden eingegangen, mit denen vermeintliche Verstöße gegen die DSGVO gerügt wurden. Außerdem wurden der Behörde über 350 sogenannte „Datenpannen“ im Sinne der DSGVO gemeldet. Damit sind verantwortliche Stellen ihrer Verpflichtung aus Art. 33 DSGVO nachgekommen, erfolgte Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde proaktiv mitzuteilen.
Die Datenschutzbehörde leitete im Jahr 2018 nach eigenen Angaben erste Prüfungen ein. Es wurden Fragebögen an insgesamt 50 große und mittelgroße Unternehmen mit Hauptsitz in Niedersachsen verschickt. Es ist anzunehmen, dass diesen „ersten“ Prüfungen weitere Verfahren folgen werden. Ob es bei dem Versenden behördlicher Fragebögen bleibt, ist unklar. Der Landesbeauftragten für den Datenschutz in Niedersachsen stehen jedenfalls erheblich weitreichendere Befugnisse zu. Nach Art. 58 der DSGVO ist es den Aufsichtsbehörden gestattet, Informationen (wie Verträge oder Verarbeitungsverzeichnisse) anzufordern und Untersuchungen (auch vor Ort im Unternehmen) durchzuführen.
VON ALLWÖRDEN Rechtsanwälte beraten Sie gern in sämtlichen Fragen des Datenschutzrechts. Unsere Kanzlei kooperiert mit einem TÜV-zertifizierten Datenschutzbeauftragten und erfahrenen IT-Projektmanager.