Home / Aktuelles & Termine / it.sec blog

Herr Penibel kauft drei Schalen mit Erdbeeren aus dem Supermarkt, die angeblich alle 500 g. Erdbeeren enthalten sollen. Zu Hause wiegt er die Schalen nach. Siehe da: Eine Schale wiegt 480 g., die zweite 475 g. und die dritte gar nur 460 g. Herr Penibel ist sauer und möchte gegen den Supermarkt vorgehen. Er fühlt sich getäuscht und in die Irre geführt. Er lässt den Supermarkt abmahnen, verlangt von ihm neben der Erstattung der Anwaltsgebühren auch noch eine Verpflichtung, für jeden künftigen Fall der Zuwiderhandlung eine Vertragsstrafe von 5000 Euro an ihn zu zahlen.

Szenenwechsel:

Herr Abmahnus betreibt ein kleines Lohnbüro und hat eine eigene Homepage. Er findet auf den Webseiten der Konkurrenz Datenschutzerklärungen, die den Vorgaben der DSGVO nicht entsprechen. Er vermutet, dass dadurch seine Kunden getäuscht und in die Irre geführt werden und seine eigenen Geschäfte daher schlecht laufen. Er lässt den Wettbewerber abmahnen, verlangt von ihm neben der Erstattung der Anwaltsgebühren auch noch eine Verpflichtung, für jeden künftigen Fall der Zuwiderhandlung eine Vertragsstrafe von 5000 Euro an ihn zu zahlen.

Die beiden geschilderten Szenen sind nicht vergleichbar? Doch!

Bereits in unserem Blog-Artikel vom Mai haben wir darauf hingewiesen, dass wir bezweifeln, dass es sich bei den Vorschriften der DSGVO um Normen mit wettbewerbsrechtlichem Charakter gem. § 3a UWG (Gesetz gegen den Unlauteren Wettbewerb) handelt.

Prof. Dr. Köhler hat nun in seinem Aufsatz der neuen Zeitschrift für Datenschutz (ZD 2018, 337f.) ausführlich dargelegt, dass seines Erachtens ein solcher Zusammenhang nicht besteht. Er weist zum einen darauf hin, dass § 3a UWG dann nicht anzuwenden sei, wenn für einen Sachverhalt eine abschließende Regelung getroffen wurde. Eine solche abschließende Regelung im Rahmen der DSGVO sei durch die Art. 77 ff. DSGVO geschaffen worden. Die in Art. 80 Abs. 2 DSGVO aufgezählten Institutionen seien abschließend durch den Gesetzgeber berechtigt worden, eine Beschwerde einzulegen, wenn die Rechte einer betroffenen Person infolge einer Datenverarbeitung nach DSGVO verletzt worden seien. Weitere Berechtigte – also konkret: „Mitbewerber“ – seien nicht vorgesehen und diese seien auch nicht durch Auslegung oder Analogien zu der Vorschrift mit umfasst.

Zum anderen stellt Prof. Dr. Köhler heraus, dass die Schutzzweckbestimmungen der beiden Vorschriften deutlich voneinander abweichen. Während das UWG die Marktteilnehmer vor unlauteren geschäftlichen Praktiken schützen soll (vergl. § 1 UWG) ist der Schutzzweck der DSGVO die Wahrung Grundrechte und Grundfreiheiten der natürlichen Personen, insbesondere das Recht auf informationelle Selbstbestimmung (vergl. Art. 1 DSGVO). Damit schützt die DSGVO die Individualrechte der Einzelnen und wird hierbei durch die Aufsichtsbehörden unterstützt, während der Wettbewerber in der Regel zur Durchsetzung seiner Ansprüche auf private Initiative angewiesen ist. Demnach gehen sowohl Herr Penibel als auch Herr Abmahnus aus unseren obigen Beispielen leer aus. Herr Penibel kann seinen Anspruch nicht auf die Vorschriften des Wettbewerbsrechts stützen, da er kein Wettbewerber ist. Herr Abmahnus kann sich nicht auf die Vorschriften der DSGVO stützen, da diese keine wettbewerbsrechtliche Wirkung entfalten. Selbstverständlich bleibt es Herrn Abmahnus unbenommen, bei der Aufsichtsbehörde Beschwerde einzulegen, etwa weil seine personenbezogenen Daten nicht korrekt verarbeitet wurden. Die Erstattung von Abmahngebühren und eine Vertragsstrafe erhält er jedoch nicht.

Eben so wenig wie einzelne Verbraucher sich also bei Wettbewerbsverstößen auf § 3a UWG berufen können, können Dritte als Wettbewerber bei Datenschutzverletzungen gegenüber Betroffenen die fehlende Umsetzung der DSGVO abmahnen.

Konsequenterweise empfiehlt Prof. Dr. Köhler den deutschen Gerichten, in Fällen von Abmahnungen der Webseiten durch Wettbewerber bei der Prüfung der Zulässigkeit, nämlich der Klagebefugnis, den Klägern eine Absage zu erteilen und die Klage bereits aus diesem Grund abzuweisen.

Wir hoffen sehr, dass die Gerichte dieser Aufforderung nachkommen werden.

C. Lürmann

Rechtsanwältin

Consultant Datenschutz

Mit Beschluss vom 18.06.2018 hat das Oberlandesgericht (OLG) Köln eine viel diskutierte Frage zur Anwendung des KUG nach Inkrafttreten der DSGVO beantwortet. Danach gilt das KUG weiterhin als Rechtsgrundlage für die Bildberichterstattung, ohne eine Einwilligung der fotografierten und gezeigten Personen. Dies bestätigte auch die bayerische Aufsichtsbehörde für Datenschutz. § 23 KUG erlaubt die Veröffentlichung von Personenfotos ohne Einwilligung der betroffenen Personen, zum Beispiel bei Versammlungen an der die Personen teilgenommen haben.

Der Entscheidung lag der Antrag auf Erlass einer einstweiligen Verfügung zugrunde. Mit dem Antrag sollte die Veröffentlichung eines Fotos in einem Fernsehbeitrag verhindert werden. Das Foto zeigte den Antragsteller im Zusammenhang mit der Räumung eines Gebäudes. Der Antrag wurde zurückgewiesen, die nachfolgende sofortige Beschwerde blieb ebenfalls erfolglos. Die umfangreichen Abwägungsmöglichkeiten des KUG ermöglichen, so dass OLG Köln, die Berücksichtigung der Grundrechtspositionen nach Unionsrecht. Das KUG bildet jedoch nicht die rechtliche Grundlage für die Erfassung der Daten, also das Fotografieren und es befreit nicht von den Informationspflichten. Die Information liegt im Beschäftigtenverhältnis in der Regel vor. Bei fremden Personen kann sie entbehrlich sein, wenn die Personen auf der Veranstaltung damit rechnen müssen, dass Fotos gemacht werden. Als Rechtsgrundlage für die Erhebung wird Art. 6 Abs. 1 lit f) DSGVO heranzuziehen sein. Dem berechtigten Interesse der (professionellen) Fotografen, ihren künstlerischen Beruf auszuüben, steht kein schutzwürdiges Interesse der Betroffenen gegenüber. Wie so oft, ist jedoch immer der Einzelfall zu betrachten und die beidseitigen Interessen sind sorgfältig abzuwägen.

Die Entscheidung bedeutet auch eine Erleichterung für die Veröffentlichung von Fotos von Firmenevents wie Hausmessen, Messen, Fortbildungen, Sommerfesten, etc. im Intranet, Internet oder in einer Betriebszeitung.

Michaela Dötsch

Rechtsanwältin

Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Pixel Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Foto Funkmäuse Funktastaturen Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Klagebefugnis Konzern konzerninterner Datentransfer KUG Kunsturhebergesetz Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft Misch-Account MouseJack-Angriffe NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Sanktionen Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31