Neun Monate DSGVO - Erste Erkenntnisse über unterschiedliche Rechtsauffassungen und unternehmerische Chancen

Seit dem 25.5.2018 findet die Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union Anwendung. Schwerwiegende Ahndungen von Verstößen sind bislang kaum bekannt. Wurden die Anforderungen also tatsächlich von allen Beteiligten erfolgreich umgesetzt? Oder wurden nur die Konsequenzen von Verstößen im Vorfeld unnötig hochstilisiert? Wir geben einen Überblick über die wichtigsten Entwicklungen und Erkenntnisse.

Reaktiv, aber gründlich

Nicht nur für Immobilienverwaltungen stellt die DSGVO eine große Herausforderung dar – auch für die Datenschutzbehörden. Diese erweitern zwar ihre Planstellen, doch es fehlt an Fachpersonal, um die Stellen zu besetzen. Daher beschäftigen sich die Behörden vornehmlich mit der Flut von Anzeigen möglicher Datenschutzverstöße, die insbesondere von Verbrauchern, Mietern und verärgerten Vertragspartnern stammen. Die Folge: Proaktive Prüfungen durch die Behörden sind derzeit selten zu erwarten.

Bußgelder für Hausverwaltungen konnten spezialisierte Rechtsanwälte bislang abwehren. So forderte beispielsweise eine Hausverwaltung einen Mieter per Vordruck auf, eine umfassende Einwilligung zur Datenverarbeitung abzugeben. Der Mieter beschwerte sich bei der Datenschutzbehörde, die sich daraufhin an die Verwaltung wandte. Die eingeschaltete Kanzlei konnte erreichen, dass kein Bußgeld verhängt, sondern nur eine Verwarnung ausgesprochen wurde.

Von Interesse für die Branche ist allerdings, dass die Datenschutzbehörde im Rahmen dieser Anzeige eigenständig weitere Recherchen anstellte und insbesondere das Verhalten der Hausverwaltung auf Online-Plattformen wie ImmobilienScout24 überprüfte. Das zeigt, dass sich die Behörde auf Beschwerde eines Betroffenen (Mieters) nicht nur auf das eigentliche Thema beschränkt, sondern umfassend prüft.

Keine Abmahnwelle,  aber auch keine Entwarnung

Auch die vielfach befürchtete Abmahnwelle blieb bislang aus – es wurden lediglich einzelne Abmahnungen ausgesprochen, weil Datenschutzerklärungen oder Impressen auf Websites fehlerhaft waren bzw. fehlten. Dies dürfte allerdings vornehmlich darauf zurückzuführen sein, dass sich auch die Abmahner bzw. die Abmahnanwälte nicht sicher waren, wann ein DSGVO-Verstoß vorliegt und ob ein solcher überhaupt abgemahnt werden kann. Derzeit bestehen unterschiedliche Rechtsauffassungen, ob Mitbewerber nach DSGVO abgemahnt werden können.

Die entscheidende Frage lautet: Können Wettbewerber Verstöße eines Unternehmens gegen die DSGVO abmahnen und mit Erfolg geltend machen? Sie stellt sich insbesondere in Hinblick auf das Gesetz gegen den unlauteren Wettbewerb (UWG). Vor dem 25.5.2018 galt nach Rechtsprechung einiger Land- und Oberlandesgerichte, dass Verstöße gegen einzelne datenschutzrechtliche Vorschriften (beispielsweise des Bundesdatenschutzgesetzes) wettbewerbsrechtlich relevant sein können. Diese Rechtsprechung ermöglicht den Einfall des Datenschutzes in das Wettbewerbsrecht und ebnet Mitbewerbern und Abmahnanwälten grundsätzlich den Weg, Datenschutzverstöße abzumahnen – sie ist allerdings noch nicht höchstrichterlich bestätigt.

Dementsprechend werden derzeit unterschiedliche Rechtsauffassungen vertreten. Nach Ansicht des LG Bochum (Az. I-12 O 85/18) etwa stellen Verstöße gegen Art. 13 DSGVO keine abmahnfähigen Wettbewerbsverstöße dar. Das LG Würzburg (Az. 11 O 1741/18) hingegen entschied, dass ein Verstoß gegen die DSGVO aufgrund des UWG verfolgt werden kann. In eine ähnliche Richtung weist das Urteil des OLG Hamburg (Az. 3 U 66/17): Der Senat war im verhandelten Fall „nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.“ Demgegenüber entschied das LG Wiesbaden (Az. 5 O 214/18) wiederum, ein Verstoß gegen die DSGVO könne nicht als Verstoß gegen eine Marktverhaltensregelung mit Hilfe des UWG verfolgt werden.

Die uneinheitliche Rechtsprechung erfordert eine gesetzliche Klarstellung, ob Verstöße gegen die DSGVO auch aufgrund des UWG verfolgt werden können. Der Ausschuss für innere Angelegenheiten und der Wirtschaftsausschuss des Bundesrates empfahlen in der Sitzung des Bundesrats am 19.10.2018 mit Blick auf den Entwurf eines Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes (2. DSAnpUG-EU) die Klarstellung, dass Vorschriften der DSGVO keine Vorschriften im Sinne von § 3a UWG darstellen. Von der Klarstellung dürfte abhängen, ob die Zahl der Abmahnungen künftig zunehmen wird.

Sofortmaßnahmen und sinnvolle Analysen

Unabhängig davon ist die unverzügliche Überprüfung der eigenen Website eine empfehlenswerte Sofortmaßnahme, um sich vor Abmahnungen und Bußgeldern zu schützen. Schließlich ist sie für jeden Mitbewerber oder verärgerten Vertragspartner sichtbar, und eventuelle Verstöße sind einfach zu belegen.
Zudem sollten sich Immobilienverwaltungen unbedingt die Zeit für eine Analyse der Datenschutz-Ist-Situation einschließlich der IT-Struktur nehmen. Hierfür gibt es professionelle Unterstützung. So arbeitet der DDIV bereits seit Anfang 2018 mit einem Berliner Rechtsanwaltsbüro zusammen, um Immobilienverwaltungen bei der Umsetzung der DSGVO zu unterstützen. Aus der eigens für diese Branche entwickelten Ist-Analyse ergeben sich Punkte, die umgesetzt werden müssen: z. B. Verfahrensverzeichnisse anlegen, Informationsschreiben erstellen, Daten (anders) sichern, WLAN verschlüsseln und Datensicherungen außerhalb des Büros aufbewahren. Zudem müssen Verwaltungen in den meisten Fällen Auftragsverarbeitungsverträge mit ihren Dienstleistern abschließen. Bei vielen Dienstleistern können entsprechende Verträge abgefordert werden, insbesondere bei IT-Beratern und Cloud-Anbietern. Allerdings empfiehlt sich die Prüfung solcher Verträge durch eine spezialisierte Kanzlei, um rechtssicher zu agieren und Bußgelder zu vermeiden. Ein weiterer Punkt ist die Bestellung eines Datenschutzbeauftragten. Für Unternehmen mit weniger als zehn Mitarbeitern ist dieser zwar nicht verpflichtend vorgeschrieben, doch aufgrund der komplexen Anforderungen durchaus sinnvoll. Allerdings wird hier ein hohes Maß an Fachkunde vorausgesetzt. Daher ist ein externer Datenschutzbeauftragter insbesondere für viele kleinere, aber ebenso für größere Verwaltungen eine sinnvolle Lösung.
Einige Verwaltungen haben die Umsetzung der DSGVO auch genutzt, um unternehmensinterne Prozesse und ihre IT-Infrastruktur zu analysieren sowie die Möglichkeiten und Konsequenzen eines Systemausfalls zu beleuchten. Eine solche Ist-Analyse hilft nicht nur dabei Optimierungspotenziale zu erkennen, sondern auch Gefahren für die eigene finanzielle Existenz zu reduzieren. Der mit der DSGVO verbundene Aufwand kann sich somit durchaus positiv auswirken.

Auch Eigentümer sind bei der DSGVO in der Pflicht

Den meisten Verwaltungen ist bewusst, dass sie Verantwortliche im Sinne der DSGVO sind. Der Großteil der Eigentümer hingegen geht davon aus, dass die DSGVO keine direkten Pflichten für sie begründet. Das ist jedoch falsch. Denn jeder Eigentümer, der beispielsweise zu Hause eine Liste der Miteigentümer, Beiräte, möglicher Mieter oder ähnlicher Personengruppen speichert, verarbeitet Daten – er ist somit selbst Verantwortlicher. Dementsprechend muss auch er alle Vorgaben der DSGVO erfüllen und somit Verfahrensverzeichnisse führen, Auskunft geben können über ihre Umsetzung und die erforderlichen technischen Maßnahmen zum Schutz der Daten treffen. Hie­rauf sollten Immobilienverwaltungen jeden Eigentümer deutlich hinweisen und den Umfang der Pflichten erläutern. Verwaltungen können von einem solchen Schritt durchaus profitieren. Denn sie schaffen mehr Sichtbarkeit und Bewusstsein bei den Eigentümern für ihre aufwändige Tätigkeit und können die Wertschätzung erhöhen.

Der hier gekürzte Beitrag erschien vollumfänglich in ZWE, Heft 1 – 2/2019, S. 57 ff.

Foto: © Datenschutz-Stockfoto / Shutterstock.com