OLG Hamburg: Datenschutzverstöße sind abmahnfähige Wettbewerbsverstöße – Auswirkungen auf die Nutzung von gängigen Cloud-Lösungen…
Das Oberlandesgericht Hamburg hat mit Urteil vom 27.06.2013 (Az. 3 U 26/12) entschieden, dass Verstöße wegen einer fehlenden bzw. fehlerhaften Datenschutzerklärung auf Internetseiten zugleich einen abmahnfähigen Wettbewerbsverstoß darstellen und damit abgemahnt werden können.
Die Entscheidung des Gerichts:
Das Gericht sieht in der Vorschrift des § 13 TMG, wonach ein (Internet-)Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs u.a. über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten hat, eine Vorschrift im Sinne des § 4 Nr. 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG), welche das Marktverhalten der Marktteilnehmer regeln soll. Das UWG wiederum sieht vor, dass Verstöße gegen Vorschriften, die das Marktverhalten regeln sollen, abmahnfähige Wettbewerbsverstöße darstellen. Das Gericht begründet seine Entscheidung im Wesentlichen wie folgt:
„Der geltendgemachte Unterlassungsanspruch besteht gemäß §§ 3, 4 Nr. 11, 8 UWG i.V.m. § 13 Abs. 1 TMG, denn die beanstandete Internetseite beinhaltet nicht die nach § 13 Abs. 1 TMG erforderlichen Informationen.
Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.
Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Mißachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d).“
Derzeit umstrittene Rechtslage:
Neben dem OLG Hamburg vertritt auch das OLG Karlsruhe (Urteil vom 09.05.2012 – Az.: 6 U 38/11) diese Rechtsansicht. Das Oberlandesgericht München (Urteil vom 12.01.2012 – Az. 29 U 3926/11) sowie das Kammergericht Berlin (Beschluss vom 29.04.2011 – Az.: 5 W 88/11) haben die Sache in ähnlichen Fällen noch anders beurteilt und keine abmahnfähigen Wettbewerbsverstöße auf Grund von Verstößen gegen Datenschutzbestimmungen angenommen.
Fazit:
Die Gefahr wegen einer fehlenden bzw. fehlerhaften Datenschutzerklärung abgemahnt zu werden ist durch die aktuelle Entscheidung des OLG Hamburg natürlich enorm gestiegen. Jeder Betreiber einer Webseite bzw. Anbieter eines Internetdienstes sollte dafür sorgen, dass er eine nach § 13 TMG ordnungsgemäße Datenschutzerklärung auf seiner Webseite bzw. seinem (Online-)Dienst bereit hält.
Auswirkungen der Entscheidung auf gängige Cloud-Lösungen:
Schwierig wird die nach § 13 TMG vorgeschriebene ordnungsgemäße Belehrung allerdings dann, wenn Diensteanbieter für die Speicherung personenbezogener Daten ihrer Kunden bzw. der User Cloud-Lösungen nutzen. Nach Ansicht des sogenannten „Düsseldorfer Kreises (obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich)“ ist eine Speicherung von personenbezogenen Daten in der Cloud nur unter sehr hohen Voraussetzungen rechtlich zulässig (siehe Beschluss vom 22./23. November 2011), welche – insbesondere außereuropäische Anbieter von Cloud-Services – in der Regel nicht beachten. Werden die Anforderungen des Düsseldorfer Kreises von Nutzern von Cloud-Lösungen nicht eingehalten, ist – zumindest nach Ansicht des Düsseldorfer Kreises – eine rechtskonforme Nutzung dieser Cloud-Services nicht möglich. Die Nutzer solcher Cloud-Services sind dann in der Zwickmühle:
Informieren Sie die User bzw. Ihre Kunden gemäß § 13 TMG ordnungsgemäß über die „Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31)“, laufen sie Gefahr, wegen der Nutzung nicht rechtskonformer-Cloud-Systeme abgemahnt zu werden bzw. ein empfindliches Bußgeld der Datenschutzaufsichtsbehörden auferlegt zu bekommen.
Informieren sie dagegen die Nutzer bzw. Kunden nicht über die Verarbeitung ihrer Daten mittels der jeweiligen Cloud-Lösung, ist die Datenschutzerklärung des Diensteanbieters natürlich fehlerhaft mit der Folge, dass § 13 TMG nicht eingehalten wird, was (zumindest nach dem OLG Hamburg und dem OLG Karlsruhe) einen abmahnfähigen Wettbewerbsverstoß begründen soll.
Im Ergebnis wird die Nutzung – insbesondere außereuropäischer – Cloud-Lösungen, bei denen die Anbieter ihren Kunden eine datenschutzkonforme Verarbeitung von personenbezogenen Daten in der Regel nicht ermöglichen (wollen), durch die Entscheidung des OLG Hamburg enger. Diesen Diensteanbietern drohen nun nicht mehr „nur“ Bußgelder der Datenschutzbehörden, sondern auch Abmahnungen – insbesondere von Verbraucherschützern und Konkurrenten.
Vor diesem Hintergrund kann jedem Diensteanbieter nur dazu geraten werden, Cloud-Lösungen mit Bedacht auszuwählen bzw. ihre bereits bestehenden Cloud-Lösungen und Datenschutzerklärungen auf ihre rechtliche Zulässigkeit prüfen zu lassen und – sofern der Anbieter eine datenschutzkonforme Nutzung seiner Cloud-Services nicht ermöglicht – gegebenenfalls einen Wechsel des Anbieters in Betracht zu ziehen.
Unterstützung bei der Umsetzung der datenschutzrechtlichen Pflichten…
weiter…Rufen Sie uns für eine kostenfreie Ersteinschätzung an oder schildern Sie uns Ihr Anliegen über unser Webformular…