EuGH: Mitbewerber können Datenschutzverstöße abmahnen

Datenschutzverstöße sind schnell begangen und kommen auch in gut organisierten Unternehmen immer wieder vor. Der EuGH hat entschieden: Derartige Verstöße können von Mitbewerbern abgemahnt werden, auch bei fehlender Betroffenheit.

Darum geht es

Begeht ein Unternehmen einen Datenschutzverstoß, gibt es in erster Linie nur einen Betroffenen: Denjenigen, mit dessen Daten nicht entsprechen der gesetzlichen Vorgaben umgegangen worden ist.

Anders als ein typischer Wettbewerbsverstoß, wirkt sich ein Datenschutzverstoß in aller Regel nicht direkt auf Mitbewerber aus.

Seit Mai 2018 wird der Datenschutz in Europa weitestgehend durch die Datenschutzgrundverordnung (DSGVO) geregelt. Umstritten ist seitdem, ob auch Mitbewerber Datenschutzverstöße, die Marktbegleiter gegenüber Dritten (etwa deren Kunden) begehen, rechtlich verfolgen können, etwa im Wege einer Abmahnung.

Eine Ansicht hielt die in der DGSVO geregelten, individuellen Rechtsbehelfe für ausreichend, die gerade keine Anspruchsberechtigung für die Verfolgung von Datenschutzverstößen durch Mitbewerber vorsehen. Die DSGVO entfalte eine Sperrwirkung gegenüber dem Vorgehen von Konkurrenten gegen Datenschutzverstöße.

Auf der anderen Seite wurde vertreten, dass die Durchsetzung der Vorgaben der DSGVO nur dann effektiv erfolgen könne, wenn auch Konkurrenten von Datenschutzverletzern gegen deren Verstöße rechtlich vorgehen könnten. Verstöße gegen die DSGVO würden den Rechtsbruchtatbestand des § 3 a des Gesetzes gegen den unlauteren Wettbewerb (UWG) erfüllen, so dass Mitbewerber nach dem UWG gegen das datenschutzwidrige und zugleich unlautere Verhalten eines Marktbegleiters vorgehen können.

Wichtig: Wären auch Mitbewerber in Bezug auf Datenschutzverstöße klagebefugt, würde dies in der Praxis vermutlich zu einer ganz enormen Häufung von Abmahnungen führen, da man so der Konkurrenz, die nicht datenschutzkonform agiert, erhebliche Knüppel zwischen die Beine werfen könnte.

EuGH: DSGVO lässt Klage durch Mitbewerber zu

Im konkreten Fall stritten sich zwei Apothekenbetreiber. Der Kläger beanstandete den Verkauf von Arzneimitteln durch seinen Mitbewerber bei Amazon, weil dabei nicht sichergestellt sei, dass der Besteller dort vor seiner Bestellung in die Verarbeitung seiner Gesundheitsdaten einwilligt, wie dies vom Gesetz vorgeschrieben sei.

Durch die bei der Amazon-Bestellung anzugebenden Daten ließe sich mit einer gewissen Wahrscheinlichkeit auf den Gesundheitszustand des Bestellers schließen. Daher seien diese Daten besonders schützenswert und dürften nur nach verständlicher Information seitens des Anbieters und Erholung einer Einwilligung des Bestellers in deren Verarbeitung verarbeitet werden. Dies ist bei Amazon schon technisch nicht zu realisieren.

Deswegen sei das Anbieten von Arzneimitteln via Amazon unlauter und zugleich wettbewerbsverletzend, somit vom späteren Beklagten künftig zu unterlassen.

Die Sache landete vor Gericht, ging durch die Instanzen bis zum Bundesgerichtshof, der neben der Frage, ob die bei der Bestellung anzugebenden Daten „Gesundheitsdaten“ darstellten ebenso als Vorlagefrage den EuGH um Entscheidung bat, ob der Mitbewerber hier überhaupt gegen die mögliche Datenschutzverletzung des Konkurrenten rechtlich vorgehen kann.

Der EuGH (Urteil vom 04.10.2024, Rs. C-21/23) stellte nicht nur fest, dass die streitgegenständlichen, vom Beklagten verarbeiteten Daten Gesundheitsdaten sind. Vielmehr kam die Luxemburger Richter auch zu dem Schluss, dass Mitbewerber grundsätzlich berechtigt seien, gegen Datenschutzverstöße der Konkurrenz rechtlich vorzugehen.

Das Gericht argumentierte hierbei mit der Gewährleistung eines möglichst hohen Schutzniveaus durch die DSGVO. Unterlassungsbegehren (etwa in Form einer Abmahnung oder Klage) von Seiten der Mitbewerber seien diesem hohen Schutzniveau effektiv dienlich.

Insbesondere stehe die DSGVO einer solchen Rechtsdurchsetzung eines Mitbewerbers nicht entgegen, entfalte also gerade keine Sperrwirkung, wie von manchen bislang vertreten wurde.

Was heißt das nun?

Kurz gesprochen: Nichts Gutes für Online-Händler und Webseitenbetreiber!

Während die typischen „Bagatellabmahnungen“ im Wettbewerbsrecht seit 2022 deutlich rückläufig sind, also z.B. das Zitat eines falschen Paragraphen in der Widerrufsbelehrung im Gegensatz zu früher kaum noch zu Abmahnungen führt, dürfte die EuGH-Entscheidung frischen Wind in das „Abmahnbusiness“ so mancher Abmahnanwälte und abmahnwilliger Unternehmen bringen.

Wer als Händler den Umgang mit Kundendaten nicht im Griff hat (Achtung, das fängt bereits auf der Webseite an), dem könnte künftig deutlich schneller Ärger drohen als bislang.

Damit ist das Datenschutzrecht ein riesiges Einfallstor für Mitbewerber, die Ärger bereiten wollen.

Fazit:

Unternehmen werden sich in puncto Datenschutz künftig noch wärmer anziehen müssen, als bisher schon.

Die DSGVO-Abmahnwellen aus 2022 in Sachen „Google Web Fonts“ sind längst schon wieder in Vergessenheit geraten, obwohl es damals um Abmahnschreiben im höheren sechsstelligen Bereich alleine in Deutschland und Österreich ging. Diese Schreiben gingen seinerzeit allesamt im Auftrag von einigen wenigen Privatpersonen raus.

Durch die vom EuGH festgestellte „Tauglichkeit“ von Datenschutzverstößen als Rechtsbruch im Sinne von § 3a UWG steht zu befürchten, dass sich künftig Mitbewerber deutlich verstärkt dafür interessieren dürften, wie die Konkurrenz in Bezug auf das Datenschutzrecht aufgestellt ist. Damit könnte sich das Abmahnaufkommen mit Bezug zu Verstößen gegen die DSGVO in naher Zukunft deutlich erhöhen.

Da keine individuelle Betroffenheit des Mitbewerbers durch den Datenschutzverstoß vorhanden sein muss, ist von einer erheblichen Multiplikatorwerbung in Sachen Abmahnungen wegen DSGVO-Verstößen durch die neue EuGH-Rechtsprechung auszugehen. Wir halten Sie - wie immer - auf dem Laufenden!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .