In einer Umfrage des Bitkom e.V. gaben im September 2018 lediglich 24 Prozent der befragten Unternehmen in Deutschland an, dass sie die DSGVO vollständig umgesetzt hätten. 65 Prozent gaben an, dass die größte Herausforderung die rechtliche Unsicherheit sei. Gleichzeitig haben die Aufsichtsbehörden bereits flächendeckende Datenschutzkontrollen angestoßen. Für einen Anwalt besteht z. B. auch weiterhin konkrete Unsicherheit hinsichtlich der eigenen Kanzleihomepage sowie seines Auftritts bei Facebook & Co.
Schützt die DSGVO auch den Wettbewerber?
Die sog. Abmahnindustrie schien am 25.05. erst einmal genauso ratlos wie alle Betroffenen. Um einen Konkurrenten wegen eines Verstoßes gegen die DSGVO abmahnen zu können, müsste es sich bei dieser Verordnung – zumindest auch – um eine Marktverhaltensregel handeln, welche die wettbewerbliche Entfaltung des Mitbewerbers schützen soll. Dies bejahend, bewertete z. B. das LG Würzburg (Beschluss vom 13.09.2018, Az. 110 1741/18) eine unzureichende Datenschutzerklärung und fehlende Verschlüsselung der Homepage einer Rechtsanwältin als Wettbewerbsverstoß. Zur streitigen Frage, ob die DSGVO überhaupt Platz für Mitbewerber lasse, Wettbewerbsverstöße abzumahnen, äußerte sich das Landgericht jedoch nicht.
Nun kam als erstes Oberlandesgericht auch das OLG Hamburg in seinem Urteil vom 25.10.2018 (Az. 3 U 66/17) zu dem Ergebnis, dass ein Verstoß gegen Regeln des Datenschutzes tatsächlich abgemahnt werden kann, wenn durch ihn ein unmittelbarer Wettbewerbsvorteil erlangt wird. Die DSGVO schließe die Möglichkeit von Wettbewerbern, eigene Rechte geltend zu machen, nicht aus.
Die professionellen Abmahner werden sich nach diesem Urteil warmlaufen. Alle anderen sollten sich ihren Umgang mit Daten und ihre Umsetzung der DSGVO noch einmal genau ansehen.
Verantwortlich? Gemeinsam verantwortlich?
Zur steigenden Wahrscheinlichkeit von Abmahnungen durch Konkurrenten kommt in komplexeren Gestaltungen die Unsicherheit, welche datenschutzrechtliche Rolle der Einzelne eigentlich spielt. Ob jemand Verantwortlicher für die Verarbeitung von personenbezogenen Daten oder Auftragsdatenverarbeiter ist, bestimmt maßgeblich seine datenschutzrechtlichen Pflichten und möglichen Haftungsrisiken.
Facebook-Fanpages
Auch Rechtsanwälte präsentieren sich zunehmend in den sozialen Medien. Nach der Entscheidung des EuGH vom 05.06.2018 (Rs. C-210/16 – WAK Schleswig-Holstein) mussten die Betreiber sog. Fanpages auf Facebook überrascht feststellen, dass sie datenschutzrechtlich gemeinsam mit Facebook Verantwortliche sind. Im Fall ging es darum, dass Facebook den Betreibern sog. „Seiten-Insights“ zur Verfügung stellt, die Aufschluss darüber geben, was Besucher auf der entsprechenden Seite getan haben. Der Umfang der Einflussmöglichkeiten auf die Datenverarbeitung spielte für das Urteil keine Rolle.
Facebook reagierte auf dieses Urteil, indem es dem Fanpage-Betreiber in einer „Seiten-Insights-Ergänzung“ versichert, dass Facebook die primäre Verantwortung für die Verarbeitung übernehme und die damit entstehenden Pflichten erfülle. Ob der Betreiber sich danach ohne weiteres Tätigwerden beruhigt zurücklehnen darf, muss bezweifelt werden.
Gemeinsame Verantwortung im Online-Marketing
Wie komplex die Bestimmung der eigenen Rolle sein kann, zeigt sich auch im Bereich des Online-Marketings mittels Tracking. Dessen Zweck ist es, den Besucher einer Webseite im Internet aufzuspüren und durch optimierte Werbeeinblendungen zu einem späteren Vertragsabschluss zu bewegen. Hierfür wird mindestens ein Cookie auf seinem Rechner platziert, mit dessen Hilfe relevante persönliche Daten erfasst und zwischen den Beteiligten ausgetauscht werden.
Im Fall des sog. Affiliate-Marketings wirken im Kern ein Werbetreibender (z. B. ein Onlineshop-Betreiber), ein Online-Werbenetzwerk als Mittler und ein sog. Affiliate, der den potentiellen Kunden im Netz aufspürt und die passende Werbung platziert, zusammen.
Der Werbetreibende ist Verantwortlicher i.S.d. DSGVO, da er den Zweck (Werbung) und die eingesetzten Mittel (Tracking) vorgibt. Je nach konkreter Ausgestaltung ihrer Tätigkeit sehen sich aber die Werbenetzwerke entweder in der Rolle eines Auftragsverarbeiters oder der eines gemeinsam Verantwortlichen. Die Rolle des Affiliate ergibt sich dann aus dieser Konstellation. Die vertraglichen Gestaltungen zur Verteilung der Pflichten und Haftungsrisiken aus der DSGVO sind entsprechend vielfältig. Spätestens wenn alle drei Beteiligten gemeinsam zu Verantwortlichen erklärt werden, behält nur noch der Experte die Übersicht.
Mehr zum Thema DSGVO und Kanzleihomepage.
Fazit: Verantwortlichkeiten klarmachen und Transparenz schaffen
Die Vereinheitlichung des Datenschutzes in der EU ist uneingeschränkt zu begrüßen. Doch die hier aufgegriffenen aktuellen Punkte zeigen beispielhaft, dass die durch die DSGVO verursachte Verunsicherung in vielen Punkten noch lange anhalten und so weiter Ressourcen binden wird. Ein Verantwortlicher ist gut beraten, wenn er nach außen hin stets möglichst transparent darstellt, wie er personenbezogene Daten verarbeitet. Zudem sollte genau überlegt werden, welche datenschutzrechtliche Rolle er einnimmt und welche Datenströme die Nutzung von Angeboten der sog. Informationsgesellschaft zur Folge hat.