a) Umsetzung der EU-Datenschutzgrundverordnung bei Franchisesystemen
Die Datenschutzgrundverordnung ist nunmehr seit dem 25.5.2018 und damit seit mehr als acht Monaten in Kraft. War anfänglich befürchtet worden, dass Unternehmen im Hinblick auf die Einhaltung der EU-Datenschutzgrundverordnung verstärkt kontrolliert werden (s. dazu: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Einf. Rn 18 ff.), so ist mittlerweile festzuhalten, dass nicht viel passiert ist. Die Aufsichtsbehörden sind überfordert und machen daraus auch keinen Hehl, aber ein "zahnloser Tiger" sind sie deswegen nicht. Im Gegenteil, ein Unternehmen hat man sich "herausgepickt": nämlich das Chat-Portal "Knuddels". Dieses speicherte die Passwörter seiner Kunden im Klartext auf seinem Unternehmerserver, verpasste es aber, pünktlich die neue Version des Betriebssystems aufzuspielen. Dann hackten Datendiebe den Server. Medienberichte zufolge landeten knapp 1,9 Mio. Nick-Names und mehr als 800.000 E-Mail-Adressen samt Passwörtern auf einer File-Share-Website. Der zuständige Datenschutzbeauftragte für Baden-Württemberg, Stefan Brink, leitete daher ein Verfahren ein. Allerdings dürfte dem Verfahren gegen "Knuddels" wegen der Besonderheiten des Falls keine präjudizierende Wirkung zukommen, wie auch die festgesetzte Geldbuße von "nur" 20.000 EUR zeigt.
Entscheidend für diese verhältnismäßig niedrige Strafe war zum einen, dass "Knuddels" mit der Landesdatenschutzbehörde kooperierte, und zum anderen, dass "Knuddels" durch die Datenschutzverletzung selbst erhebliche Nachteile erlitten hatte.
Aus dem Verfahren wird man aber ableiten können, dass zukünftig u.a. folgende Kriterien für die Bemessung einer Strafe wegen Verstoßes gegen datenschutzrechtliche Vorschriften gem. Art. 83 EU-DSGVO auch bei Franchisesystemen maßgebend sind:
- Kooperation mit der jeweiligen Landesdatenschutzbehörde;
- Bemühen um Transparenz und eine vollständige Aufklärung;
- Erlangen von wirtschaftlichen Vorteilen durch die Datenschutzverletzung für das Unternehmen: ja oder nein;
- Datenschutzverletzungen in der Vergangenheit: ja oder nein und
- Art, Schwere und Dauer des Verstoßes.
Insofern wird es für die Benennung der Geldbußen maßgebend sein, ob das betroffene Unternehmen kooperiert, in voller Transparenz zur Aufklärung der Datenschutzverstöße beiträgt und darüber hinaus auch die Lücken im Sicherheitssystem schließt, damit zukünftig keine Datenschutzverstöße mehr vorkommen können (s. auch insoweit: Nemitz, in: Ehmann/Selmayr, a.a.O., Art. 83 Rn 13 ff. m.w.N.).
Praxishinweis:
Eines ist aber sicher: Auch wenn zzt. die Aufsichtsbehörden noch überfordert sind und damit den Unternehmen eine Schonfrist bei der Umsetzung der EU-Datenschutzgrundverordnung eingeräumt haben, wird dies nicht über lange Zeit der Fall sein. Spätestens in zwei Jahren dürfte es damit vorbei sein. Hier zeichnet sich eine ähnliche Entwicklung wie im Kartellrecht ab: Am Anfang waren Franchisesysteme für das Bundeskartellamt nur dann von Bedeutung, wenn es um eklatante Fälle unzulässiger kartellrechtswidriger Absprachen bzw. einer kartellrechtswidrigen Preisbindung ging. Nachdem nach und nach die Beschlussabteilungen des Bundeskartellamts aufgestockt wurden, kann man sich nun mit jedem Kartellverstoß befassen, so dass das Netz für alle Franchisesysteme immer enger geworden ist. Eine ähnliche Entwicklung dürfte sich innerhalb der nächsten zwei Jahre auch bei den Datenschutzbeauftragten der einzelnen Bundesländer ergeben. Insoweit ist allen Franchisesystemen, soweit noch nicht geschehen, dringend zu empfehlen, die EU-Datenschutzgrundverordnung umzusetzen und das Franchisevertragsmuster im Hinblick auf den geänderten Datenschutz hin anzupassen.
b) EU-Datenschutzgrundverordnung und marktsteuernde Wirkung
Schon während der Beratungen um die EU-Datenschutzgrundverordnung, aber erst Recht nach deren Inkrafttreten ist die Frage diskutiert worden, ob die EU-Datenschutzgrundverordnung nur den Schutz betroffener Personen vor der Verarbeitung ihrer personenbezogenen Daten betrifft oder aber auch "marktsteuernde Wirkung" hat.
Dies ist nunmehr vom LG Würzburg mit Beschluss vom 13.9.2018 (11 O 1741/18, ZAP EN-Nr. 625/2018) – wenn auch nur in einem einstweiligen Verfügungsverfahren – bejaht worden. Danach können sich Konkurrenten untereinander abmahnen, wenn festgestellt wird, dass die Vorschriften der EU-Datenschutzgrundverordnung nicht beachtet worden sind.
Insofern gilt es daher abzuwarten, ob hier eine Abmahnwelle auf Franchisesysteme zurollt, wenn und soweit Franchise-Geber bzw. Franchise-Nehmer eines Franchisesystems, insbesondere auf ihrer Homepage oder beim Online-Angebot der Produkte/Dienstleistungen des Franchisesystems, nicht die Vorgaben der EU-Datenschutzgrundverordnung beachten. Insofern bleibt nur zu hoffen, dass die Entscheidung des LG Würzburg nicht Grundlage dafür ist, dass sich eine ähnliche Abmahnwelle einstellt wie seinerzeit bei der Änderung des Gesetzes über Maßeinheiten und damit der Angabe von "KW" anstatt "PS" für die Leistungsangaben eines Motors bzw. von "qm" auf "m²", soweit es um die Fläche einer zu verkaufenden oder zu vermietenden...