Das Wettbewerbsrecht als Booster für den Datenschutz?
Sehr geehrte Leserinnen und Leser,
die DSGVO steht im verflixten 7. Jahr. Wenig ist übrig vom Treueschwur, auf europäischer und auch globaler Ebene einen einheitlichen und vor allem hoch wirksamen Schutz personenbezogener Daten zu etablieren. Der breite territoriale Anwendungsbereich hat sich längst den Realitäten langer Postlaufzeiten ergeben. Einige der nationalen Datenschutzbehörden sind jetzt betrübt, weil sie – teils aufgrund fehlender finanzieller und personeller Mittel, teils aufgrund politischer Prioritäten – zu selten in der Lage sind, selbst klare Verstöße marktdominanter Unternehmen wirksam zu sanktionieren. Doch zu technisch, zu groß, zu politisch und insgesamt sehr mühselig seien die Verfahren. Diesen trockenen Befund teilt die EU-Kommission mit in ihrem zweiten Bericht zur Anwendung der DSGVO (COM(2024) 357 final). Der Safe Harbor Irland hatte sich unter Helen Dixon als europäischer „Duty-Free Forum Shop“ für die rechtliche Grauzone etabliert und der Rest Europas schaute zähneknirschend zu. Anders als bei unseren Nachbarn scheuen deutsche Aufsichtsbehörden konsequent eine Auseinandersetzung mit Tech-Konzernen. Selbst die gerichtliche Stärkung nationaler Behördenkompetenz durch die Rechtssache C-645/19 und der damit verbundenen Macht, Datenverstöße an der Infrastrukturwurzel auf Basis der ePrivacy-Richtlinie zu sanktionieren und damit Fesseln des misslungenen One-Stop-Shop-Mechanismus abzuwerfen, kam zu spät – Operation gelungen, Patient tot, der Kontinent bleibt kraftlos.
Große Erwartungen in Deutschland ruhten auf der Schlagkraft der neuen Abhilfeklage und der Möglichkeit kollektiver Schadenersatzklagen durch Verbände. Die Bilanz nach einem Jahr ist ernüchternd. Das nicht zuletzt aufgrund von Last-Minute-Interventionen funktionslos lobbyierte VDUG ist ein Schuss in den Ofen. Von fünf überhaupt eingereichten Abhilfeklagen wurde keine einzige auf das Datenschutzecht gestützt, obwohl die Justiz sich ein Bündelungsinstrument so dringend gewünscht hatte. Letztlich machen aber die restriktiven Anschlussmöglichkeiten die Teilnahme für Geschädigte und die Streitwertbegrenzung nebst geradezu paternalistischer Regeln zur Drittfinanzierung das neue Instrument der Verbandsklage völlig unattraktiv. Dass es anders und wirtschaftlich liberaler geht, beweisen die Niederlande mit ihrer WAMCA-Klageform, die aus Amsterdam einen gesuchten und gefürchteten Gerichtsstand für Technologie- und Datenschutzsachen gemacht hat.
Die Vollzugsdefizite machen nicht nur glücklich; wenn Recht rechts und links der Grenze unterschiedlich vollzogen wird, deutsche Unternehmen sich in Holland, UK und den USA vor Gericht verantworten müssen, sie ihre renitente Konkurrenz jedoch in Deutschland nicht vor den Kadi ziehen können, schlägt sich das in den Bilanzen nieder. Fünf Milliarden Euro Rückstellungen wegen WAMCA in den Niederlanden bilden zu müssen oder nicht, das macht auch müden CEOs Beine. „Vorsprung durch Rechtsbruch“ spielt derzeit vor allem der Konkurrenz deutscher Unternehmen in die Karten.
Doch es gibt Hoffnung und sie ist grün. Der EuGH hat mit Urteil vom 4. Oktober 2024 (C-21/23) in der Sache „Lindenapotheke“ den Weg für Mitbewerber geebnet, Verstöße gegen die DSGVO mit lauterkeitsrechtlichen Mitteln des Rechtsbruchtatbestandes anzugreifen. Der EuGH macht wieder klar, was allen längst eingeleuchtet hatte: Wettbewerbs-, Verbraucherschutz- und Datenschutzrecht sind eine Einheit, Drillinge quasi, die man nicht trennen kann. So bereits in den Rechtssachen C-319/20 und C-252/21, so erneut vor wenigen Wochen.
Doch haben wir die Rechnung ohne den Wirt gemacht? Der deutsche Föderalismus, der bereits die Datenschutzaufsicht lahmgelegt hat, schickt sich an, in ein neues Gefecht gegen Windmühlen zu gehen. Sein „Entwurf eines Gesetzes zum Abbau datenschutzrechtlichen Gold-Platings im Wettbewerbsrecht“ (BR-Drs. 184/24) ist ein Affront gegen das Gebot effektiven Rechtsschutzes, aber zugleich ein Herzensanliegen einiger Landesregierungen, die ohne derartige Initiativen nur Foodblogging auf der politischen Habenseite verbuchen können. Die Bundesregierung hat diese Initiative von jenseits des Weißwurstäquators jedenfalls bereits gekontert und in ihrer Stellungnahme (BT-Drs. 20/11879) verlautbart, dass der Gefahr rein wirtschaftlich motivierter Abmahnungen von Mitwerbern bei Verstößen gegen das Datenschutzrecht durch eine „grundlegende Reform des Abmahnwesens“ durch das „Gesetz zur Stärkung des fairen Wettbewerbs“ von 2020 ausreichend begegnet worden sei.
Marktteilnehmer:innen, die durch datenschutzwidrige Praktiken ihrer Mitbewerber die spürbare Nachteile erleiden, müssen jedenfalls nicht mehr zähneknirschend zusehen, sondern können ihr Schicksal selbst in die Hand nehmen und für ihr Recht vor Gericht streiten. Die Zukunft wird zeigen, ob dies gelingt. Wir werden Sie freilich auf dem Laufenden halten; für heute wünsche ich Ihnen im Namen der Redaktion eine spannende Lektüre.
Ihr
Tilman Herbrich
Dieser Beitrag erschien als Editorial in der Ausgabe 11/2024 des Datenschutz-Berater.