Praxishandbuch DSGVO. Tobias Rothkegel

durch eine gemeinsame Kontrolle über die Datenverarbeitungsprozesse, wobei die Verantwortlichen hierbei grundsätzlich auch einen gemeinsamen Zweck verfolgen müssen.20 Für die gemeinsame Kontrolle bedarf es keiner gleichberechtigten oder gleichmäßigen Verantwortung, vielmehr können die Verantwortlichen unterschiedlich stark und in unterschiedlicher Weise in die Datenverarbeitung eingebunden sein.21

      10 Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 9. 11 Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 30. 12 Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 47. 13 Kühling/Buchner/Klar/Kühling, Art. 4 DSGVO Rn. 34. 14 Paal/Pauly/Ernst, Art. 4 DSGVO Rn. 20. 15 BeckOK-DS/Schild, Art. 4 DSGVO Rn. 34. 16 BeckOK-DS/Schild, Art. 4 DSGVO Rn. 33. 17 Paal/Pauly/Ernst, Art. 4 DSGVO Rn. 55. 18 Zur Auftragsverarbeitung siehe Kap. 7. 19 Zur gemeinsamen Verantwortlichkeit s. Kap. 8 Rn. 3ff. 20 BeckOK-DS/Spoerr, Art. 26 DSGVO. 21 BeckOK-DS/Spoerr, Art. 26 DSGVO; EuGH, EuZW 2018, 534, 537 Rn. 43.

       IV. Zusammenspiel mit anderen Rechtsmaterien

17

      Das Datenschutzrecht fokussiert – wie gezeigt – auf den Schutz natürlicher Personen bei der Verarbeitung der auf sie bezogenen Daten. Vor allem der vorstehend erläuterte „Personenbezug“ grenzt das Datenschutzrecht von anderen rechtlichen Vorgaben im Umgang mit Informationen (ohne Personenbezug) im Unternehmen ab. Daneben grenzt der Begriff der „Datenverarbeitung“ das Datenschutzrecht von anderen rechtlichen Vorgaben im Hinblick auf den Umgang mit den jeweiligen Personengruppen – also im Wesentlichen Kunden und Mitarbeiter (ohne Bezug zu einer Datenverarbeitung) – ab.

      18

      In der Unternehmensrealität müssen die verschiedenen rechtlichen Anforderungen aber zumeist in Deckung gebracht werden und das Datenschutzrecht bildet nur eine Facette, die bei der Umsetzung einer konkreten Maßnahme zu beachten ist. Nachfolgend soll deshalb ein grober Überblick über typische „Schnittmengen“ mit anderen Rechtsbereichen gegeben werden, um für das Zusammenspiel mit anderen Regelungsmaterien die notwendige Sensibilität zu erzeugen:

       1. Wettbewerbsrecht

19

Eine Schnittmenge des Datenschutzrechts zum Wettbewerbsrecht besteht insbesondere im Bereich der Werbung. In Deutschland gilt es im Hinblick auf belästigende Werbung, die lauterkeitsrechtliche Regelung des § 7 UWG zu berücksichtigen. Dabei gilt, dass gem. § 7 UWG z.B. E-Mail-Werbung nur zulässig ist, soweit eine vorherige ausdrückliche Einwilligung i.S.v. § 7 Abs. 2 Nr. 3 UWG vorliegt oder die Voraussetzungen des § 7 Abs. 3 UWG erfüllt sind. Im Verhältnis zur DSGVO ergeben sich im Hinblick auf die Voraussetzungen der Einwilligung im Direktmarketing hierbei spezielle Anforderungen.22

       Praxishinweis

      Gerade bei Werbeaktionen, wie z.B. Gewinnspielen und Newslettern etc., muss den Anforderungen beider Rechtsbereiche entsprochen werden. Bei einer Zusendung von Werbung via E-Mail handelt es sich gemäß § 7 Abs. 1, Abs. 2 Nr. 3 UWG um eine unzulässige Belästigung, es sei denn, es liegt eine vorherige ausdrückliche Einwilligung des Adressaten hierzu vor. Selbiges gilt z.B. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher, § 7 Abs. 1, Abs. 2 Nr. 2 UWG.

      20

      Die datenschutzrechtliche Wertung folgt dabei grundsätzlich der wettbewerbsrechtlichen Bewertung: Soweit das UWG eine (z.B. postalische) Kontaktaufnahme ohne vorherige Einwilligung explizit gestattet, wird regelmäßig auch die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zugunsten des Verantwortlichen ausgehen. Insoweit ist zu berücksichtigen, dass die Regelung in § 7 UWG großteils der Umsetzung des Art. 13 RL 2002/58/EG dient – es sich europarechtlich also um datenschutzrechtliche Regelungen handelt, auch wenn der deutsche Gesetzgeber sich für eine Umsetzung im UWG entschieden hat.

       2. Kartellrecht

21

Auch das Kartellrecht weist Schnittmengen mit dem Datenschutzrecht auf. Vor allem steht hierbei die Fragestellung des Marktmissbrauchs durch unfaire Datenverarbeitungspraktiken oder durch Verweigerung des Zugangs zu bestimmten Daten im Vordergrund.23

       a) Missbräuchliche Nutzung von Kundendaten

22

Dies verdeutlichte das Bundeskartellamt mit seiner Facebook-Entscheidung, in der es erstmals einen sog. Konditionenmissbrauch aus einer Datenschutzverletzung ableitete.24 Die Behörde untersagte dem sozialen Netzwerk, Nutzungsbedingungen zu verwenden, die ohne Einwilligung der Nutzer eine Zusammenführung von Nutzerdaten über verschiedene Produkte und Drittangebote hinweg beinhalteten.

      23

      Nach Auffassung des Bundeskartellamts verstieß Facebook als marktbeherrschendes Unternehmen für soziale Netzwerke für private Nutzer in Deutschland dadurch gegen das kartellrechtliche Verbot des Missbrauchs einer marktbeherrschenden Stellung gem. § 19 Abs. 1 GWB, dass die Registrierung von einer Einwilligung in Nutzungskonditionen abhängig gemacht wurde, die mit datenschutzrechtlichen Anforderungen unvereinbar sei. Infolgedessen sei die Einwilligung nicht wirksam und entsprechende Datenverarbeitungen unzulässig.

      24

Die aufschiebende Wirkung der Verfügung ist zwar vom OLG Düsseldorf mit Entscheidung vom 26.8.2019 im Eilverfahren wieder hergestellt worden, so dass das Unternehmen bis zum Abschluss des Beschwerdeverfahrens die Untersagungsverfügung nicht umsetzen muss.25 Dies begründete das OLG Düsseldorf damit, dass Facebook zwar womöglich marktbeherrschend sei, aber die Datenverarbeitung keinen relevanten Wettbewerbsschaden bewirke.26 Weiterhin sei der erforderliche Kausalzusammenhang zwischen Nutzungsbedingungen und Marktstellung nicht hinreichend nachgewiesen worden.27 Mit anderen Worten: Selbst wenn die beanstandete Datenverarbeitung gegen Datenschutzbestimmungen verstößt, liege darin nicht zugleich ein Verstoß gegen das Kartellrecht. Diese Entscheidung wird im Schrifttum kritisiert28; das letzte Wort ist hier also noch nicht gesprochen.

       b) Missbräuchliche Zugangsverweigerung zu Daten

25

Auch unter dem Aspekt der missbräuchlichen Verweigerung des Zugangs zu bestimmten (ggf. auch personenbezogenen) Daten besteht ein Berührungspunkt zum Kartellrecht. Hierzu gibt es jedoch erst wenige Entscheidungen; ein praxisrelevantes Beispiel bildet der Zugang unabhängiger Marktteilnehmer auf dem Kfz-Teilemarkt zu bestimmten bei Fahrzeugherstellern vorhandenen Daten einschließlich der Fahrzeugidentifikationsnummer.29

       Praxishinweis

      Beide Entscheidungen sind für die Praxis von höchster Relevanz: Die Entscheidungen des Bundeskartellamts und des OLG Düsseldorf offenbaren, wie kartellrechtliche Wertungen durch die DSGVO (insbesondere über die Auslegung von Erlaubnistatbeständen der DSGVO) beeinflusst werden können.