1 Jahr DSGVO - eine Zwischenbilanz: Was hat sich alles getan?

Der Stichtag des Inkrafttretens der DSGVO am 25.05.2018 ist nun über ein Jahr her. Zeit also, eine Zwischenbilanz zu ziehen: Was hat sich zum Positiven gewendet, was zum Negativen? Ist es zu der im Vorfeld gefürchteten Abmahnwelle gekommen? Wurden bereits Bußgelder verhängt? In unserem neuen Beitrag lesen Sie, was sich in einem Jahr nach Inkrafttreten der DSGVO verändert hat.

I. Allgemeines

Die EU-Datenschutz-Grundverordnung (DSGVO) regelt, wie personenbezogene Daten von Privatunternehmen und öffentlichen Stellen verarbeitet werden dürfen. Der Zweck besteht darin, die Privatsphäre der Verbraucher zu schützen. Unternehmen und Behörden stehen seit dem 25. Mai 2018 in der Pflicht, Vorkehrungen zu treffen, damit dem Einzelnen unter anderem ein „Recht auf Vergessenwerden“ eingeräumt werden kann.

Herauszuheben sind vor allem die Pflichtinformationen nach Art. 13 DSGVO, die durch Website-Betreiber bzw. Online-Händler zu erfüllen sind!

Darüber hinaus stellt die Verordnung erhöhte Anforderungen an die Erteilung der Einwilligung zur Verarbeitung von Daten. So reicht zum Beispiel kein stillschweigendes Einverständnis aus, sondern es werden spezifische Informationen und eindeutige Handlungen, wie beispielsweise das Ankreuzen eines Kästchens, vorausgesetzt.

Diese umfassenden Anforderungen stellten insbesondere Online-Händler vor eine riesige Herausforderung, da neben den ohnehin bereits umfangreichen Regelungen für den Online-Handel noch solche des Datenschutzes hinzukamen.

Positiv aus Sicht der Verbraucher ist zunächst hervorzuheben, dass die das 21. Jahrhundert bewegende Thematik des Datenschutzes massiv aufgewertet hat. Während in der Vergangenheit Datenschutz und Datensicherheit vom Einzelnen nicht als zentrales Problem gesehen wurde, hat sich dies mit der Einführung der DSGVO massiv geändert.

Des einen Freud ist bekanntlich des anderen Leid: Insbesondere Online-Händler haben seit der Einführung der DSGVO eine große Sorge mehr. Während vor der DSGVO bereits das ohnehin schon schwierige Thema Kundenwerbung den einen oder anderen Online-Händler nervös werden ließ, trieben die Stichwörter „Datenschutzerklärung“, „Cookies“ oder „Gewinnspiele“ selbst erfahrenen Händlern die Schweißperlen auf die Stirn.

Die Tatsache, dass personenbezogene Daten nur für einen zuvor festgelegten überhaupt Zweck überhaupt erhoben werden dürfen, stellt dabei nur eine von vielen Hürden dar, die genommen werden musste. Aber nicht nur um das leidige Thema Datenerhebung musste sich gekümmert werden. Auch die den Unternehmern auferlegten Auskunfts- und Informations- und Dokumentationspflichten stellte die Branche vor große Herausforderungen.

Diese erweiterten Auflagen wirkte sich massiv auf Geschäftsgepflogenheiten aus. Nach einer Umfrage des Bundesverbands Digitale Wirtschaft (BVDW) e.V. schränkten 32 Prozent der Befragten Mitglieder ihre digitalen Aktivitäten aufgrund der DSGVO ein. Auch mit drohenden Umsatzeinbußen rechnen 39 Prozent der befragten Digitalunternehmen.

Die größte Angst aus Unternehmersicht dürften dabei Verstöße gegen die DSGVO sein. Solche DSGVO-Verstöße können von den Datenschutzbehörden mit Bußgeldern von bis zu 20 Millionen Euro bzw. bis zu vier Prozent des globalen Umsatzes geahndet werden. Darüber hinaus drohen nach wie vor auch Abmahnungen von Mitbewerbern auf Basis des Wettbewerbsrechts. Vor diesem Hintergrund stellt sich jetzt ein Jahr später die Frage, welche Auswirkungen solche Verstöße in der Praxis bisher wirklich nach sich gezogen haben.

II. Handlungshilfen der IT-Recht Kanzlei

Um sich im Dschungel der neuen datenschutzrechtlichen Themen zu Recht zu finden, hat die IT-Recht Kanzlei eine Reihe praxisnaher Leitfäden und Handlungsempfehlungen erstellt. Unter anderem haben wir die nachstehenden Handlungshilfen für unsere Mandanten erstellt:

• E-Mail-Marketing in Zeiten der DSGVO - wie agiert man rechtssicher? Ein Leitfaden
• DSGVO in der Praxis: Benötigen Sie einen Cookie-Banner?
• Gewinnspiele in Zeiten der DSGVO – was Sie beachten müssen!
• DSGVO in der Praxis: Kann ich einen Newsletter auch ohne Einwilligung des Empfängers versenden?
• Der Auskunftsanspruch nach Art. 15 DSGVO und seine Grenzen gemäß LG Köln
• Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
• DSGVO in der Praxis: Weitergabe von E-Mailadressen an Paketdienstleister (DHL, DPD & Co.) zur Paketankündigung
• Handlungsanleitung: Google Analytics nach DSGVO richtig einbinden

III. DSGVO und Abmahnungen

Es ist auch ein Jahr nach Einführung der DSGVO immer noch umstritten, ob sich aus Verstößen gegen die DSGVO auch Ansprüche aus dem UWG ergeben können.

Der Knackpunkt ist die Frage, ob ein Verstoß gegen die Datenschutzregelungen der DSGVO gleichzeitig auch ein Verstoß gegen § 3a UWG darstellt. Damit § 3a UWG zur Anwendung kommt, müssten die Normen der DSGVO dazu geeignet sein, das Marktverhalten im Interesse der Marktteilnehmer zu regeln. Dieser Punkt ist sowohl in der Rechtsprechung als auch in der juristischen Literatur höchst umstritten:

1. Folgende Gerichte haben entschieden, dass solche Verstöße wettbewerbsrechtlich relevant sind:

• LG Würzburg (Beschl. V. 13.09.2018, Az. 11 O 1741/18): Das LG Würzburg musste als erstes Gericht über einen wettbewerbsrechtlichen Unterlassungsanspruch wegen Nichteinhaltung der DSGVO entscheiden. Das Gericht kam zu dem Schluss, dass wettbewerbsrechtliche Abmahnungen gegen DSGVO-Verstöße zur Anwendung kommen dürfen.
• OLG Hamburg (Urt. v. 25.10.2018, Az. 3 U 66/17): Auch das OLG Hamburg vertrat die Ansicht, dass derartige Verstöße abmahnbar sind.
• LG Berlin (Beschl. v. 10.08.2018, Az.: 97 O 105/18): Argumentativ folgte das Gericht der Klägerseite mit der Argumentation der Erwägungsgründe 11 und 13 der DSGVO. Diese in Verbindung mit der Tatsache, dass Teile der obergerichtlichen Rechtsprechung bereits die „alten“ Datenschutzbestimmungen über die Vorschrift des § 13 TMG als Marktverhaltensregeln anerkannt haben, spreche dafür, dass vor dem Hintergrund der DSGVO erst recht Wettbewerbsrecht zur Anwendung komme.

2. Die Abmahnfähigkeit von Datenschutzverstößen im Sinne der DSGVO verneint haben folgende Gerichte:

• LG Bochum (Urt. v. 07.08.2018, Az. I-12 O 85/18): Das LG Bochum hat entschieden, dass ein Verstoß gegen Informationspflichten aus Art. 13 DSGVO nicht durch eine wettbewerbsrechtliche Abmahnung verfolgt werden kann.
• LG Wiesbaden (Urt. v. 05.11.2018, Az. 5 O 214/18): Das LG Wiesbaden vertrat ebenso die Ansicht, dass eine wettbewerbsrechtliche Verfolgung derartiger Verstöße ausgeschlossen ist.
• LG Magdeburg (Urt. v. 18.01.2019, Az. 36 O 48/18): Auch das LG Magdeburg entschied Anfang 2019, dass eine Abmahnfähigkeit nicht gegeben ist.
• LG Stuttgart (Urt. v. 20.05.2019 - Az.: 35 0 68/18): Das LG Stuttgart sieht Verstöße gegen die DSGVO nicht als Wettbewerbsverletzungen an und hält diese somit auch nicht für gerichtlich verfolgbar. Nach Meinung des Gerichts sei die DSGVO abschließend.

Wie die Übersicht schon zeigt, halten sich die zwei unterschiedlichen Auffassungen ungefähr die Waage. Grundsätzlich muss also auch zum heutigen Stand der Dinge gesagt werden, dass die Gefahr durch wettbewerbsrechtliche Abmahnungen aufgrund etwaiger DSGVO-Verstöße nicht gebannt ist.

Da bisher keine höchstrichterliche Grundsatzentscheidung des BGH vorliegt, ergehen viele solche unterschiedlichen Entscheidungen. Die jeweils aufgerufenen Gerichte beurteilen somit im jeweiligen Einzelfall, ob die Regelungen der DSGVO nun abschließend sind und die Geltendmachung wettbewerbsrechtlicher Ansprüche somit ausscheidet.

IV. Bußgelder

Ein weiterer Aspekt, der im Vorfeld von vielen Unternehmern gefürchtet wurde, waren die drohenden Bußgelder bei Verstößen gegen die DSGVO. Die konkrete Höhe des Bußgelds bei einem Verstoß gegen die DSGVO legen die Landesbeauftragten der Datenschutzbehörden im Einzelfall fest. Nach Art. 83 DSGVO wird zwischen den Typen verschiedener Verstöße differenziert und die jeweilige Maximalstrafe festgelegt. Maximal können die Datenschutzbehörden Bußgelder von bis zu 20 Millionen Euro bzw. bis zu vier Prozent des globalen Umsatzes verhängen.

Abgesehen vom Rekordbußgeld von Frankreichs nationaler Datenschutzbehörde, welche von Google 50 Millionen Euro forderte, kam es letztlich jedoch nicht zu solch hohen Bußgeldern - zumindest nicht in Deutschland. Bis Mai 2019 steht eine bis zu dreistellige Zahl von Verstößen im Raum, welche mit einem Bußgeld geahndet worden sein sollen.

Das Gesamtvolumen der verhängten Bußgelder fiel jedoch mit knapp 500.000 Euro relativ „milde“ aus, wenn man sich die Maximalsanktionen des Art. 83 DSGVO ansieht. Grund für eine Entwarnung ist dies jedoch nicht. Es ist durchaus denkbar, dass die Zahl der geahndeten DSGVO-Verstöße nach der einjährigen „Warmlaufphase“ in die Höhe schnellen wird und auch die verhängten Bußgelder erhöht werden.

Bisher ist jedoch positiv hervorzuheben, dass die Datenschutzbehörden bisher von der Möglichkeit ihres Ermessensspielraums dahingehend Gebrauch gemacht haben, dass sie die Höhe der jeweiligen Bußgelder eher restriktiv haben ausfallen lassen. Ob dies nur der Einräumung einer „Schonfrist“ geschuldet ist, bleibt abzuwarten.

V. Fazit und Ausblick

Ein Jahr nach Inkrafttreten der DSGVO ist festzustellen, dass die schlimmsten Befürchtungen glücklicherweise (noch) nicht eingetreten sind. Die befürchteten Bußgelder in Millionenhöhe sind bisher nicht in Erscheinung getreten. Dies kann zwar für den Moment als gutes Zeichen gewertet werden, jedoch ist dies keine Garantie dafür, dass man auch in Zukunft bei gravierenden Datenschutzverstößen glimpflich davonkommen wird.

Auch wenn vereinzelt gerichtliche Entscheidungen bekannt werden, ist die große Abmahnwelle, welche insbesondere Online-Händler befürchtet haben, ausgeblieben. Zwar kursieren aufgrund der aktuellen Rechtsunsicherheit hinsichtlich der wettbewerbsrechtlichen Abmahnfähigkeit von DSGVO-Verstößen einige Abmahnungen.

Ein aktueller Gesetzesentwurf der Bundesregierung zur Stärkung des fairen Wettbewerbs weckt dagegen Hoffnung für Unternehmer. Dieser Gesetzentwurf hat unter anderem zum Ziel, rechtsmissbräuchliche Abmahnungen zu reduzieren. Die DSGVO ist der Beweis dafür, dass längst nicht alles so heiß gegessen wird wie es gekocht wird. Ein Grund zum Zurücklehnen ist dies jedoch mitnichten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.