Die DSGVO und die Abmahnungen – Was wir wissen und was nicht

Seit 25. Mai gilt die Datenschutz-Grundverordnung (DSGVO). Das hat nun jeder mitbekommen, nicht nur weil sie jeden betrifft, sondern auch weil von interessierter Seite auch ordentlich die Werbetrommel gerührt wurde und wird: Ab 25. Mai hagelt es horrende Bußgelder und Abmahnungen! Wer jetzt nicht handelt, ist verloren! Und ja: Das Klappern gehört zum Handwerk. Auch bei Juristen. Auf diese Aussage kann man sich wohl einigen. Alles was darüber hinausgeht, sind Stilfragen, über die man streiten kann. Das möchte ich hier und heute aber gar nicht. Es geht mir um die Frage an sich:

Droht nun die DSGVO-Abmahnwelle? Oder ist das alles Quatsch?

Erst einmal eine wenig überraschende Feststellung: Fast jedes der (durchaus zahlreichen) Beratungsgespräche, die ich in den vergangenen Monaten zum Thema DSGVO geführt habe, gelangte – insbesondere, wenn es sehr kurz vor dem 25. Mai lag – irgendwann an den Punkt, an den es um Abmahnungen ging. Und um Abmahnwellen. Und um nackte Panik. Und um eine irgendwie “DSGVO-abmahnsichere” Webseitengestaltung und Datenschutzerklärung. Das wollen alle. Aber keiner bekommt’s.

Abmahnungen wegen Datenschutzverstößen: Eigentlich ein alter Hut

Erste schockierende Erkenntnis: Auch vor dem 25.5.2018 gab es Abmahnungen, die an Datenschutzverstöße anknüpften. Die Formulierung “Anknüpfen” ist bewusst gewählt, denn die mit der Abmahnung geltend gemachten (Unterlassungs-)ansprüche sind nicht datenschutzrechtlicher Natur, sondern lauterkeitsrechtlicher, das heißt: ihnen liegt das Gesetz gegen den unlauterem Wettbewerb (UWG) zu Grunde. Nach § 3a UWG darf ein Marktteilnehmer einen anderen auf Unterlassung in Anspruch nehmen, wenn der eine Rechtsnorm verletzt, die eine Marktverhaltensregel darstellt. Voraussetzung für eine Abmahnung vor datenschutzrechtlichem Hintergrund ist und war also immer schon, dass die Verletzung einer (bestimmten) Datenschutzvorschrift eine marktregelnde Tendenz aufweist.
Das haben Gerichte zur Datenschutzrichtlinie 95/46 EG und dem darauf beruhenden Bundesdatenschutzgesetz (BDSG alt) zunächst teilweise verneint, später eher bejaht.

Wie gesagt: diesbezügliche Abmahnungen gab es. Davon habe ich die eine oder andere “In The Wild” gesehen, meine Datenbasis reicht jedoch nicht aus, um eine belastbare Aussage dazu zu treffen, ob man das was da kam, schon als “Welle” bezeichnen kann. Intuitiv würde ich sagen: Nein. In der Regel waren diese Machwerke, die auf der falschen Konfiguration von GoogleAnalytics aufsetzten, aber bestenfalls halbseiden und luden zur Gegenwehr geradezu ein. Ich glaube nicht, dass damit irgendwer reich geworden ist (mehr zu diesem Aspekt später).

Abmahnungen ab Anwendung der DSGVO

Es hat sich mit Geltung der DSGVO einiges geändert. Eines aber nicht: Noch immer sieht die DSGVO keinen Anspruch vor, den Dritte, die nicht direkt betroffen sind wegen irgendwelcher Datenschutzverstöße einfach so geltend machen können. Auch nach dem 25.5.2018 braucht man um abmahnen zu können, einen Wettbewerbsverstoß. Um die Frage, ob auch unter Geltung der DSGVO Datenschutzverstöße gleichzeitig Wettbewerbsverstöße darstellen, wird derzeit ein (wie ich finde: eher akademisch anmutender) Streit geführt. Die eine Denkschule macht es sich dabei sehr einfach und bestreitet das rundheraus:

Die andere macht es so ähnlich nur andersrum, nach dem Motto: Haben ja die Gerichte alles schon im Sinne der Abmahner entschieden.

Dann gibt es wohltuhendere und etwas differenziertere Stimmen, die, wenn ich das richtig verstehe, in der Tendenz eher dazu neigen, dass UWG-Abmahnungen mit DSGVO-Hintergrund nicht zulässig sein sollen. Ein ganz gutes Argument hierfür ist Tatsache, dass die DSGVO eine abschließende Regelung in Bezug auf die in Zusammenhang mit Datenschutzverstößen bestehenden Rechte und Ansprüche sein soll (Art. 80 DSGVO). Als weiteres Argument könnte man vielleicht noch Art. 2 Abs.3 DSGVO anführen, wonach die DSGVO gerade nicht dazu führen soll, den freien Datenverkehr zu erschweren (und das täte sie wohl, würde man davon ausgehen, dass sie zum “Vehikel” für UWG-Abmahnungen werden kann).

Eher Akademischer Streit

Warum finde ich diesen Streit nun akademisch? Wer, wie leider manche selbsternannten DSGVO-Expert(inn)en, das Abmahn-Business nicht nur vom Hörensagen kennt, der ahnt, dass die theoretisch (un)klare Rechtslage zwar ein Aspekt ist, der eine Konstellation zu einer “abmahngefährdeten” Konstellation machen kann. Aber nicht der einzige, der eine Rolle spielt. Ich habe das schon mal in Bezug auf befürchtete Streaming-Abmahnwellen aufgedröselt (und, soweit ich das überblicken kann, Recht behalten). So ähnlich sehe ich es hier.

Erstens: Was will der Abmahner unbedingt?

Um sich klar zu machen, wie der Mechanismus des “Abmahnunwesens” geht, hilft es, sich in den “Massenabmahner” hineinzuversetzen. Was will er typischerweise? Typischerweise möchte der Massenabmahner ganz einfach Geld verdienen. Viel Geld. Mit Möglichst wenig Kapitaleinsatz. Das ist erst einmal auch legitim, auch und vor allem wenn es sich um Anwaltskanzleien handelt, die Abmahnungen produzieren. Das Anwaltsbusiness ist letztlich unternehmerische Tätigkeit und muss auf Gewinnmaximierung ausgerichtet sein. Wer das ändern möchte, müsste “Das System” sehr grundlegend ändern.

Die Anwaltskanzlei braucht aber auch einen Mandanten, der sie beauftragt. Und hier wird es schon schwierig: von (seltenen!) Fällen abgesehen, in denen sich betrügerische Anwaltskanzleien mit Glücksrittern zusammentun, um dann (rechtswidrig) Gebühren aufzuteilen, ist der Business-Case für den Mandanten nicht so einfach ersichtlich. Schadensersatz (wie etwa beim Filesharing) gibt es nicht, wenn es keinen Schaden gibt. Und so lassen sich mit Abmahnungen kurzfristig eben nur Rechtsanwaltskosten generieren, von denen der Mandant nichts hat. Längerfristig mögen Vertragsstrafen aus der Verletzung von Unterlassungserklärungen dazu kommen. Aber das ist erstens schwer kalkulierbar und zweitens gerade kein “schnelles” Geld.

Der Massenabmahner möchte ja eigentlich gerade keinen Papierkram. Er ist auch nicht an der Klärung einer spannenden Rechtsfrage interessiert. Er möchte nur eins, nämlich: dass der eingeschüchterte Abgemahnte schnurstracks vom eigenen Briefkasten zur Post geht, die Unterlassungserklärung zurückschickt und von dort am besten gleich zur Bank und einen Batzen Geld überweist (Das waren genau genommen nicht ein, sondern zwei Dinge, aber wir nehmen hier mal eine natürliche Handlungseinheit an).

Zweitens: Was will der Abmahner ganz bestimmt nicht?

Was der Abmahner nicht möchte ist Gegenwehr. Das schmälert den Gewinn und erhöht das Risiko. Schriftsätze müssen verfasst, Gerichtskosten müssen vorgeschossen werden und auch die geltend gemachten Rechtsanwaltskosten müssten eigentlich irgendwann mal an den Anwalt gezahlt werden. Wenn man dann noch verliert, Himmel, dann wird es ganz schlimm. Dann muss man noch die Kosten des Abgemahnten tragen. Hier sind wir wieder bei der Diskussion um die unsichere Rechtslage: Die will der Abmahner nicht für sich entscheiden, er will sie ja gar nicht erst führen müssen. Und dazu braucht es neben einer geeigneten rechtlichen Konstellation (unsicher) und einem Geschäftsmodell für die Welle (auch unsicher) erstmal ein paar ordentliche Gerichtsentscheidungen. Und zwar am besten besonders hirnrissige (etwa wie die, nach der schon das Auslassen der Verlinkung beim Hinweis auf die Online-Streitbeilegungsplattform einen UWG-Verstoß darstellt). Und die gibt es in Bezug auf die DSGVO ganz einfach (noch) nicht.

Was folgt nun daraus einerseits für die Frage: “Kommt nun die DSGVO-Abmahnwelle”?

Mit Prognosen ist das so eine Sache, vor allem wenn sie die Zukunft betreffen. Ich rechne in absehbarer Zeit aber gemäß obiger Ausführungen nicht mit einer (nennenswerten) Abmahnwelle. Und ich halte die diesbezügliche Panik für ziemlich übertrieben. Allerdings bedeutet das nicht, dass sich das nie ändern kann. Ob gesetzgeberisches Tätigwerden allerdings viel hilft, daran zweifle ich ebenfalls, denn diese effektvollen Versuche, das zeigt ebenfalls das Urheberrecht ziemlich deutlich, haben in der Vergangenheit nicht besonders gut funktioniert.

An dieser Stelle möchten vielleicht der eine oder die andere schnell zur Kommentarsektion vorscrollen, um mir aufgeregt mitzuteilen, dass ich wohl nicht mitbekommen habe, dass bereits Abmahnungen existieren (!), die sich auf die DSGVO berufen (!!) und die das Datum “25. Mai 2018” (!!) tragen. Doch, das habe ich. Und das bringt mich zu “Andererseits”.

Andererseits kann man wegen buchstäblich “allem” abgemahnt werden.

Sogar dafür, sagen wir, den albernen “Was-Wir-Wissen-und-Was-Nicht”-Überschriftenstil von Spiegel Online zu verballhornen bzw. zweckzuentfremden. Denn eine Abmahnung ist letztlich nur ein Brief (oder eine E-Mail), den irgendjemand schreibt. Dass jemand einen Brief oder Eine E-Mail schreibt, kann man theoretisch sehr effektiv dadurch verhindern, dass man ihm beide Hände auf den Rücken fesselt oder das iPad wegnimmt, nicht jedoch dadurch, dass meinen einen Rechtsanwalt damit beauftragt, “abmahnsichere” Datenschutzerklärungen oder AGB zu entwerfen.

Und ja, natürlich gibt es und wird es auch weiterhin Abmahnungen geben, die sich auf eine Verletzung der DSGVO stützen.

Aber “Wellen”, wie wir das aus anderen Zusammenhängen kennen, erwarte ich wie gesagt (zumindest auf absehbare Zeit) nicht.