Ein Verstoß gegen die DSGVO kann wettbewerbswidrig sein

Wer die Vorgaben der Datenschutz-Grundverordnung (DSGVO) missachtet, verschafft sich unter Umständen einen Vorteil gegenüber der Konkurrenz. Die aktuelle Rechtsprechung zeigt, dass solch ein unlauterer Wettbewerb abgemahnt werden kann.

Mit seinem Urteil vom 25.10.2018 hat das Oberlandesgericht (OLG) Hamburg1 (3 U 66/17) klargestellt, dass ein Verstoß gegen die DSGVO wettbewerbswidrig sein und durch Mitbewerber abgemahnt werden kann.

Das Problem

In dem der Entscheidung zugrunde liegenden Fall stritten zwei Unternehmen aus dem Pharmabereich über die fehlende Einhaltung datenschutzrechtlicher Vorgaben. Darin erblickte das klagende Unternehmen auch einen Verstoß gegen das Wettbewerbsrecht. Im Jahr 2018 sind zu dieser Frage bereits zwei unterschiedliche Entscheidungen veröffentlicht worden. Das Landgericht (LG) Bochum hatte geurteilt, dass Verstöße gegen die DSGVO keine Wettbewerbsverletzungen darstellen.2 Demgegenüber erblickte das LG Würzburg in einer Verletzung der DSGVO einen Verstoß gegen das Gesetz über den unlauteren Wettbewerb (UWG) und bejahte die Abmahnfähigkeit des Mitbewerbers.3

Die Entscheidung

Das OLG Hamburg bestätigte nun, dass Verstöße gegen die DSGVO unter Umständen wettbewerbswidrig sind und abgemahnt werden können. Maßgeblich ist jedoch, ob die verletzte Norm tatsächlich marktverhaltensregelnden Charakter aufweist. Dies müsse, so das OLG, in jedem Einzelfall gesondert geprüft werden. Ist dies bei der missachteten Regelung der Fall, steht nicht nur den Datenschutzbehörden, sondern auch potenziellen Mitbewerbern ein Abmahnrecht zu. Hierbei stellt das Gericht auf Art. 82 I DSGVO ab. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Anspruch auf Schadensersatz. Nach Ansicht des OLG sind davon auch wettbewerbsrechtliche Ansprüche umfasst.

Allerdings hat dies zur Folge, dass branchenbezogen in jedem Einzelfall geprüft werden muss, ob der Verstoß gegen die DSGVO einen unlauteren Wettbewerbsvorteil darstellt. Jedoch wird sich dies im Zweifel erst in einem gerichtlichen Verfahren klären lassen können.

Praxistipp

Das Urteil verdeutlicht die fortschreitende Sensibilisierung im Datenschutzrecht. Im medizinischen Sektor wird zum Beispiel von einem abmahnfähigen Wettbewerbsvorteil auszugehen sein, wenn die Homepage keine Datenschutzerklärung enthält oder Patienten nicht nach Art. 13 DSGVO informiert worden sind. Gerade Letzteres stellt eine zeitintensive Datenschutzmaßnahme dar, deren Unterlassen einen unzulässigen Wettbewerbsvorteil begründen kann.

DSGVO-konforme Facebook-Seite

Dazu gehört ebenfalls der Umgang mit einer Unternehmensseite auf Facebook, einer sogenannten Fanpage, die auch viele Akteure im Gesundheitswesen nutzen. Diese Seiten sind seit Juni 2018 aufgrund einer Entscheidung des Europäischen Gerichtshofes4 (EuGH) in den Fokus des Datenschutzrechts und der DSGVO gerückt worden. Das Gericht hatte dargelegt, dass neben Facebook auch die Betreiber von Facebook-Fanpages – wie beispielsweise der Praxisinhaber – zur Einhaltung des Datenschutzes verpflichtet sind. Dies bedeutet, dass sich Facebook und der Betreiber der Fanpage die datenschutzrechtliche Verantwortlichkeit gemeinsam teilen.

Es ist gegenwärtig in der Diskussion, welche Schritte einzuleiten sind, um eine vollständige datenschutzrechtliche Konformität auf diesem Gebiet zu erreichen. Die rechtssicherste Variante wäre hierbei, die Fanpage offline zu stellen, bis es positive Rückmeldungen der Datenschutzbehörden gibt. Da die Fanpage allerdings für viele Akteure wirtschaftlich sinnvoll und bedeutsam für die Patienten- und Personalakquise ist, müssen im Sinne der DSGVO Mindestmaßnahmen ergriffen werden, um eine möglichst hohe Rechtskonformität zu gewährleisten und sich auch vor etwaigen wettbewerbsrechtlichen Ansprüchen zu schützen.

Fazit

Es ist zu erwarten, dass sich der EuGH auch mit der Frage beschäftigen wird, ob die Einhaltung der DSGVO ebenso über das Wettbewerbsrecht kontrollierbar ist.5 Bis dahin wird das Urteil des OLG Hamburg maßgeblich sein. Leistungserbringer im Gesundheitswesen sollten die Entscheidung daher zum Anlass für eine Prüfung nehmen, ob die wesentlichen Schritte zur Umsetzung der DSGVO eingeleitet worden sind.6

 

1 OLG Hamburg, Urt. v. 25.10.2018. – 3 U 66/17.
2 LG Bochum, Urt. v. 07.08.2018 – I-12 O 85/18.
3 LG Würzburg, Beschluss v. 13.09.2018 – 11 O 1741/18.
4 EuGH, Urt. v. 5.6.2018 – C-210/16; dazu u. a. Härtling/Gössling, NJW 2018, 2523.
5 Janßen, jurisPR-ITR 25/2018 Anm. 2.
6 Dazu ausführlich Braun, vernetzt+versorgt 06/2018, 24–25.

Dr. Sebastian Braun
Rechtsanwalt bei LEX MEDICORUM Kanzlei für Medizinrecht. Der Autor betreut dort u. a. die Referate Datenschutz im Gesundheitswesen, Werberecht und Internet­bewertungen. Feuerbachstr. 12, 04105 Leipzig. E-Mail: braun@lex-medicorum.de