25.02.2019

Datenschutzverstoß = unlauterer Wettbewerb?

Ob sich ein Unternehmen mit Mitteln des Wettbewerbsrechts dagegen wehren kann, dass ein Konkurrent Vorschriften des Datenschutzrechts missachtet, wird ausgesprochen kontrovers diskutiert. Das Hanseatische Oberlandesgericht in Hamburg hat sich mit dieser Frage vertieft auseinandergesetzt. Das Ergebnis: ein klares „ja, aber“. Freuen Sie sich auf eine aufschlussreiche, aber anstrengende Lektüre!

Datenschutzverstoß unlauterer Wettbewerb

Bevor es in die Auseinandersetzung mit dem schwierigen Thema „Abmahnungen und die Datenschutz-Grundverordnung (DSGVO)“ geht, sei der Fall kurz dargestellt.

An Allergien gegen alles Mögliche, von Gräserpollen bis hin zu Bienengift, leiden viele Menschen. Spaßig ist das nicht. Wenn es schlecht läuft, droht einem Allergiker ein lebensbedrohlicher Schock.

Kein Wunder, dass „Therapie-Allergene“ medizinisch wichtig sind. Es handelt sich dabei um behördlich zugelassene Arzneimittel zur spezifischen Immuntherapie, auch als Hyposensibilisierungs-Therapie bekannt.

Allergien – medizinisch und wirtschaftlich wichtig

Der medizinischen Relevanz dieser Arzneimittel entspricht ihre wirtschaftliche Bedeutung. Sie ist der Hintergrund für den wettbewerbsrechtlichen Streit, um den es hier geht.

Die Berufung auf den Datenschutz im Rahmen des Wettbewerbsrechts ist dabei also in gewisser Weise Mittel zum Zweck. Damit sollen wirtschaftliche Interessen durchgesetzt werden.

Das ist jedoch bei wettbewerbsrechtlichen Streitigkeiten nichts Ungewöhnliches, sondern letztlich der Grund, aus dem sie geführt werden.

Ein Markt mit nur vier Unternehmen

Klägerin und Beklagte sind jeweils Unternehmen, die Therapie-Allergene vertreiben. Insgesamt gibt es nur vier Unternehmen, die dies in relevantem Umfang tun.

Es besteht also einerseits eine scharfe Konkurrenz, andererseits ist der Markt unter einer sehr kleinen Zahl von Unternehmen aufgeteilt.

Bestell- und Liefervorgang bei Therapie-Allergenen

Die äußeren Abläufe bei der Lieferung von Therapie-Allergenen an Patienten sind bei der Klägerin und der Beklagten identisch:

  • Der behandelnde Arzt wählt das Unternehmen aus, das liefern soll. Dazu füllt er einen Bestellbogen des Unternehmens aus. Dieser enthält eine ganze Reihe personenbezogener Daten des Patienten, darunter auch gesundheitsbezogene Daten.
  • Diesen Bogen legt der Patient seiner Apotheke vor. Die Apotheke versieht ihn mit ihrem Stempel und einigen weiteren Angaben.
  • Die Apotheke schickt den Bogen an das Unternehmen, das liefern soll.
  • Von dort geht der Bogen an den Hersteller der Allergene.
  • Der Hersteller schickt die Allergene an das ausliefernde Unternehmen.
  • Dieses Unternehmen leitet sie an die Apotheke weiter.
  • Dort holt der Patient das Mittel ab und bringt sie zum behandelnden Arzt.

Einwilligung des Patienten nötig oder nicht?

In einem Punkt verfahren Klägerin und Beklagte allerdings deutlich unterschiedlich:

  • Die Klägerin holt auf ihrem Bestellformular eine ausdrückliche schriftliche Einwilligung des Patienten ein. Er erklärt sich darin damit einverstanden, dass seine personenbezogenen Daten an die anderen Beteiligten (also insbesondere an Apotheke und Hersteller) übermittelt werden.
  • Die Beklagte tut dies nicht. Sie ist der Auffassung, das Datenschutzrecht erlaube ihr die Übermittlung der Daten auch ohne Einwilligung des Patienten.

Die Klägerin ist der Auffassung, dass dieses Vorgehen der Beklagten als unlauterer Wettbewerb anzusehen ist.

Sie begründet dies damit, dass die Beklagte dabei das Datenschutzrecht verletzt. Und das sei unlauterer Wettbewerb.

Maßgebliche Kernfrage des Streits

Im Kern dreht sich die Entscheidung des Gerichts zunächst um folgende Frage:

Ist es rechtlich zulässig, Verstöße gegen die Datenschutz-Grundverordnung “als Verstoß gegen das Wettbewerbsrecht geltend zu machen?

Oder regelt die DSGVO die Folgen von Datenschutzverstößen in einer abschließenden Weise, sodass sie nicht auch noch als Verstoß gegen das Wettbewerbsrecht gerügt werden können?

Das würde bedeuten: Ein Wettbewerber kann gegen einen anderen Wettbewerber nicht mit der Begründung vorgehen, dass dieser gegen Datenschutzvorschriften verstößt.

Nur wenn man die DSGVO nicht als abschließend ansieht, stellt sich überhaupt noch die nächste Frage, ob die Datenschutzvorschriften im konkreten Fall auch eingehalten wurden.

Selbst wenn eine Datenschutzvorschrift verletzt wurde, ist allerdings noch gesondert zu prüfen, ob diese Vorschrift in wettbewerbsrechtlicher Hinsicht relevant ist oder nicht.

Wird diese Frage verneint, ist die Klage im Ergebnis schließlich abzulehnen.

Dreistufiges Vorgehen des Gerichts

Das Gericht hält sich an diese Vorgehensweise, die letztlich aus drei Stufen besteht. Sein Ergebnis:

  • Stufe 1: Die DSGVO ist nicht abschließend. Verstöße gegen die DSGVO können Konkurrenten auch wettbewerbsrechtlich beanstanden.
  • Stufe 2: Die Frage, ob die Beklagte gegen datenschutzrechtliche Vorschriften verstoßen hat, ist zu bejahen.
  • Stufe 3: Dennoch ist die Klage abzuweisen, weil die möglicherweise verletzten Vorschriften keine Relevanz für das Wettbewerbsrecht haben.

Stufe 1: DSGVO als abschließende Regelung?

Zu dem Ergebnis in Stufe 1, dass sich Datenschutzverstöße auch wettbewerbsrechtlich verfolgen lassen, kommt das Gericht wie folgt:

  • Die DSGVO beabsichtigt, das Datenschutzrecht in der EU vollständig zu harmonisieren.
  • Dennoch hat sie für den Fall von Datenschutzverstößen kein abschließendes System von Rechtsbehelfen gegen solche Verstöße festgelegt.
  • Zwar sieht die DSGVO in ihrem Kapitel VIII (Rechtsbehelfe, Haftung und Sanktionen) nur für betroffene Personen ein Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), ein Recht auf wirksamen Rechtsbehelf gegen eine Aufsichtsbehörde (Art. 78 DSGVO) und ein Recht auf wirksamen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter (Art. 79 DSGVO) vor.
  • Auch trifft es zu, dass in Art. 80 Abs. 1 DSGVO nur der betroffenen Person das Recht eingeräumt wird, eine Organisation oder Vereinigung mit der Einreichung einer Beschwerde zu beauftragen. Wettbewerber sind in all diesen Vorschriften nicht erwähnt.
  • Daraus lässt sich jedoch nicht der Schluss ziehen, dass Wettbewerber Datenschutzverstöße in keiner Weise rügen könnten.
  • Gegen diese Schlussfolgerung spricht beispielsweise, dass Art. 82 Abs. 1 DSGVO nicht nur betroffenen Personen Schadensersatzansprüche bei Datenschutzverletzungen einräumt – also nicht nur den Personen, um deren Daten es geht –, sondern ausdrücklich „jeder Person“.
  • Das lässt klar erkennen, dass die DSGVO Ansprüche wegen der Verletzung datenschutzrechtlicher Vorschriften nicht auf die betroffenen Personen beschränken wollte, um deren Daten es geht.
  • Hinzu kommt, dass Art. 84 Abs. 1 DSGVO den Mitgliedstaaten den Auftrag gibt, für den Fall von Datenschutzverletzungen noch „andere Sanktionen“ als die, die ohnehin schon in der DSGVO erwähnt sind, vorzusehen.
Daraus folgt das über den konkreten Fall hinaus bedeutsame Ergebnis, dass Wettbewerber gegen Datenschutzverletzungen ihrer Konkurrenten vom Grundsatz her auch mit den Mitteln des Wettbewerbsrechts vorgehen können.

Stufe 2: Verletzung von Datenschutzvorschriften?

Zu dem Ergebnis auf Stufe 2, dass die Beklagte gegen Datenschutzvorschriften verstoßen hat, führt das Gericht Folgendes aus:

  • Die Verwendung personenbezogener Daten von Patienten (insbesondere des Namens) im Rahmen des Bestellvorgangs wäre nur dann erforderlich, wenn es keine anderen Möglichkeiten gibt.
  • Eine solche Möglichkeit besteht jedoch in Gestalt einer Pseudonymisierung. Sie könnte so erfolgen, dass der Patientenname nicht genannt wird, sondern der Patient auf andere Weise eindeutig identifiziert wird (beispielsweise anhand einer Bestellnummer).
  • Da eine solche alternative Möglichkeit besteht, ist es nicht erforderlich, Daten wie den Namen zu verwenden, die den Patienten unmittelbar identifizieren.
  • Auf gesetzliche Vorschriften, die an eine „Erforderlichkeit“ der Verarbeitung anknüpfen, kann sich die Beklagte daher nicht berufen.
  • Deshalb wäre es notwendig, eine ausdrückliche Einwilligung des jeweiligen Patienten einzuholen.

Als Zwischenergebnis wirkt es nun zunächst so, als müsste die Klage damit eigentlich Erfolg haben.

Stufe 3: wettbewerbliche Relevanz der Rechtsverletzung?

Die Überlegungen des Gerichts auf Stufe 3 (Relevanz der verletzten Vorschriften für das Wettbewerbsrecht) führen im Ergebnis dann jedoch trotzdem zur Abweisung der Klage.

Das Gericht argumentiert hierbei so:

  • Nicht jede Rechtsverletzung berührt das Konkurrenzverhältnis zwischen Wettbewerbern.
  • Notwendig ist vielmehr, dass es um die Verletzung einer Rechtsvorschrift geht, die das „Marktverhalten“ regeln soll. Sie muss also den Zweck haben, zumindest auch die wettbewerblichen Interessen von Marktteilnehmern zu schützen. Es muss der Rechtsvorschrift darum gehen, die „Freiheit der wettbewerblichen Entfaltung“ zu schützen.
  • Die Frage, ob eine Einwilligung der betroffenen Person notwendig ist oder nicht, berührt das Verhältnis zwischen Wettbewerbern nicht.
Im Ergebnis ist die Klage somit schließlich auf der dritten und letzten Stufe der rechtlichen Prüfung abzuweisen.

Ein Rechtsgebiet für kundige Fachleute!

Der Fall zeigt, wie schwierig es ist, gegen die Verletzung von Datenschutzvorschriften durch einen Konkurrenten vorzugehen.

Mit der simplen Aussage, eine bestimmte Vorschrift des Datenschutzes sei verletzt worden, ist es dabei auf keinen Fall getan.

Damit beginnen die eigentlich schwierigen Fragen vielmehr erst.

Wie geht es weiter?

Möglicherweise bekommt im vorliegenden Fall der Bundesgerichtshof die Gelegenheit, sich mit diesen Themen zu befassen. Das Gericht hat die Revision zum Bundesgerichtshof nämlich ausdrücklich zugelassen.

Zunächst bleibt abzuwarten, ob die Klägerin oder die Beklagte eine solche Revision tatsächlich einlegt. Aber selbst wenn dies erfolgt, wird es nur dann zu einer Entscheidung kommen, wenn sich Klägerin und Beklagte nicht doch noch auf andere Weise reinigen, etwa durch einen Vergleich.

Wann mit einer Entscheidung durch den Bundesgerichtshof zu rechnen ist, lässt sich kaum abschätzen. Vor allem erscheint es denkbar, dass er die Angelegenheit auch noch dem Europäischen Gerichtshof vorlegt.

Bevor wir nicht all dies wissen, lässt sich abschließend noch nichts sagen.

Das Urteil des Hanseatischen Oberlandesgerichts vom 13.9.2018-3U 66/17 ist abrufbar unter http://www.landesrecht-hamburg.de/jportal/portal/page/bsha?showdoccase=1&doc.id=KORE227602018&st=ent

Autor*in: Dr. Eugen Ehmann (Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken und ist seit Jahren im Datenschutz aktiv.)