1. Bundesdatenschutz-/Telemediengesetz
Wird den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) u.a. im Hinblick auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zuwider gehandelt, enthält § 43 Abs. 1, 2 BDSG einen Katalog von Bußgeldvorschriften, der Geldbußen i.S.d. § 43 Abs. 3 S. 1 BDSG vorsieht. Die Geldbuße soll den wirtschaftlichen Vorteil übersteigen, den der Täter aus der Ordnungswidrigkeit gezogen hat, § 43 Abs. 3 S. 2 BDSG. Die in § 43 Abs. 3 S. 1 BDSG genannten Bußgeldbeträge können jedoch überschritten werden, § 43 Abs. 3 S. 3 BDSG. § 44 Abs. 1 BDSG sieht ferner strafrechtliche Konsequenzen für den Fall vor, dass eine der in § 43 Abs. 2 BDSG genannten Handlungen mit Bereicherungs- oder Schädigungsabsicht durchgeführt wird. Allerdings wird diese Tat nur auf Antrag verfolgt, § 44 Abs. 2 BDSG. Darüber hinaus sieht § 38 Abs. 5 BDSG vor, dass die Aufsichtsbehörde bei der Feststellung von Verstößen gegen das BDSG Maßnahmen einleiten kann, z.B. als ultima ratio bei schwerwiegenden Verstößen, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, die Untersagung der Erhebung, Verarbeitung oder Nutzung von Verfahren zur Verarbeitung von Daten (vgl. ferner die Informationspflicht von Unternehmen gem. § 42a BDSG).
Die Einleitung von Ordnungswidrigkeiten- oder Strafverfahren oder von Maßnahmen der Aufsichtsbehörde setzt jedoch deren Kenntnis von Verletzungen datenschutzrechtlicher Vorgaben voraus. Fehlt es hieran, bleiben die Verstöße sanktionslos. Von der Mehrzahl der Datenschutzverstöße haben die Behörden vermutlich keine Kenntnis; allenfalls schwerwiegende Verstöße, die auch Eingang in die Öffentlichkeit gefunden haben, werden zum Gegenstand behördlicher Verfahren.
Nach § 12 Abs. 1 Telemediengesetz (TMG) darf der Dienstanbieter, z.B. der Betreiber einer Website, personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. §§ 13 ff. TMG sehen daher Informationspflichten des Dienstanbieters vor. Sollten diese Vorgaben nicht eingehalten werden, enthält § 16 TMG eine Bußgeldvorschrift; eine Strafvorschrift, ebenso wie aufsichtsbehördliche Maßnahmen, sieht das TMG dagegen nicht vor.
Hinweis:
Fest steht damit, dass auf Basis der Normen des BDSG und des TMG Sanktionen gegen die betroffenen Unternehmen nur von Behörden geltend gemacht werden können, wobei Bußgeldverfahren den Regelfall darstellen werden. Untersagungsmaßnahmen sind die Ausnahme (vgl. Bergmann/von Lewinski, BDSG, 4. Aufl., § 38 Rn 77 ff.), so dass auf Basis des BDSG bzw. des TMG keine effektiven, kurzfristig wirksamen Maßnahmen eingeleitet werden können, um die Einhaltung datenschutzrechtlicher Vorgaben in der täglichen Praxis zu erzwingen. Dritte, die keine Behörde sind, können auf diese Normen ohnehin keinen unmittelbaren Rückgriff nehmen.
2. Unterlassungsklagengesetz
a) Datenschutzvorschriften als Verbraucherschutzgesetze (§ 2 Abs. 2 S. 1 Nr. 11 UKlaG)
Sofern Dritte (nicht: Behörden) wegen der Verletzung datenschutzrechtlicher Vorgaben Ansprüche geltend machen wollten, mussten sie in der Vergangenheit auf Normen außerhalb des BDSG oder des TMG Rückgriff nehmen. Dies geschah über die Normen des UWG (hierzu später unter 3.). Das Unterlassungsklagengesetz (UKlaG) bot hierfür keine rechtliche Grundlage. Dies hat sich jedoch mit Wirkung zum 24.2.2016 geändert. An diesem Tag trat das "Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts" (BGBl I S. 233; vgl. Jaschinski/Piltz WRP 2016, 420) in Kraft.
Seitdem sind Verbraucherschutzgesetze i.S.d. § 2 Abs. 2 UKlaG auch Vorschriften, welche die Zulässigkeit
- der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
- der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,
regeln, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden (§ 2 Abs. 2 S. 1 Nr. 11 UKlaG). Nach § 2 Abs. 2 S. 2 UKlaG liegt jedoch eine Datenerhebung, Datenverarbeitung oder Datennutzung zu einem vergleichbaren kommerziellen Zweck im Sinne der vorgenannten Norm insbesondere dann nicht vor, wenn personenbezogene Daten eines Verbrauchers für einen Unternehmer ausschließlich für die Begründung, Durchführung oder die Beendigung eines rechtgeschäftlichen Schutzverhältnisses mit dem Verbraucher erhoben, verarbeitet oder genutzt werden (vgl. auch § 28 Abs. 1 S. 1 Nr. 1 BDSG).
Hinweis:
Die – bislang bereits existierende – Regelung des § 1 UKlaG dürfte bei der Verletzung datenschutzrechtlicher Vorgaben nicht relevant sein. Hiernach können Unterlassungsansprüche gegen denjenigen geltend gemacht werden, der in seinen AGB Bestimmungen, die nach den §§ 307–309 BGB unwirksam sind, v...