In Deutschland hat nach den Landgerichten Würzburg und Bochum nun auch das Oberlandesgericht (OLG) Hamburg ein Urteil gefällt, das sich mit der Abmahnfähigkeit von Verstössen gegen die DSGVO nach deutschem Lauterkeitsrecht beschäftigt. Nach Auffassung des OLG Hamburg enthält die DSGVO kein abgeschlossenes Sanktionssystem, das Abmahnungen ausschliesst:
[…] Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DS-GVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.55 Diese insbesondere auch von Köhler […] vertretene Auffassung, ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77 – 79 DS-GVO der „betroffenen Person”, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DS-GVO) , Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.
56 Dagegen wird zur Recht eingewendet, dass Art. 80 Abs. 2 DS-GVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat […]. Dafür spricht auch, dass zwar in den Art. 77 – 79 DS-GVO Rechtsbehelfe betroffener Personen […] oder jeder anderen Person […] geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen […] bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen […] Rechtsbehelfs. Und Art. 82 DS-GVO spricht wiederum „jeder Person”, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DS-GVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen”, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DS-GVO), nicht ausschließt.
57 Schließlich heißt es in Art. 84 Abs. 1 DS-GVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung […] festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. […] Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht […] Gerade im Kontext der Vorschrift des Art. 77 DS-GVO, die für jede betroffene Person auch anderweitige – also nicht in der DS-GVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DS-GVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DS-GVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.
Abmahnungen bleiben daher grundsätzlich möglich. Es muss aber im Einzelfall die verletzte Norm darauf untersucht werden, ob sie wettbewerblichen Charakter hat; andernfalls stellt die Verletzung keinen Wettbewerbsverstoss dar:
Nach § 3a UWG handelt -[…] unlauter, wer einer gesetzlichen Vorschrift zuwider handelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. […] Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird. Nicht erforderlich ist eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt. […] […] Mit der Entscheidung des Senats vom 27.06.2013 ist indes – anders als offenbar vom Landgericht angenommen – nicht schon zum Ausdruck gebracht, dass jegliche datenschutzrechtliche Norm marktverhaltensregelnden Charakter hat. In Rechtsprechung und Literatur wird inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.