Was Sie im Falle einer Abmahnung tun sollten

Typische Verstöße gegen das neue Datenschutzrecht, die eine Abmahnung zur Folge haben können, sind insbesondere:

• mangelhafte oder ganz fehlende Datenschutzinformationen (Art. 12 Datenschutz-Grundverordnung [DS-GVO]) und
• die Erhebung oder Nutzung von personenbezogenen Daten ohne oder aber mit fehlerhafter Einwilligung der Betroffenen (Art. 7 DS-GVO).

Aktuell gibt es – laut Bundesregierung – keine Hinweise darauf, dass „der Gesundheitssektor von Abmahnungen stärker betroffen sein könnte als andere Bereiche.“ Berichten zufolge kommt es vereinzelt zu Testanrufen durch Abmahn-Kanzleien oder vergleichbare Institutionen: Man versucht auf diese Weise, telefonisch Informationen zu erhalten, die der Schweigepflicht unterliegen, so z.B. durch Fragen zur Medikation von Ehepartnern oder zu deren Aufenthaltsort. Außerdem sollen Testkäufer anlässlich eines Apothekenbesuchs einerseits prüfen, ob die vorgeschriebenen Kundeninformationen zum Datenschutz in der Apotheke aushängen. Andererseits sollen sie beobachten, ob personenbezogene Daten von Patienten in der Offizin öffentlich zugänglich sind.

Auf Grundlage des Gesetzes gegen den unlauteren Wettbewerb (UWG) sind zunächst Abmahnungen durch private Unternehmen – meist Konkurrenten – oder aber durch Wettbewerbsverbände möglich. Vorstellbar wäre etwa, dass ein Apotheker, der sich selbst an die datenschutzrechtlichen Vorgaben hält, bemerkt, dass einer seiner Wettbewerber nicht alle diese Vorgaben einhält und somit einen Wettbewerbsvorteil haben könnte.

Erweitert wird der Kreis der zur Abmahnung berechtigten Personen durch das Unterlassungsklagengesetz (UKlaG): Auf seiner Grundlage können qualifizierte Verbraucherschutz-Einrichtungen Abmahnungen bei Datenschutzverstößen aussprechen.

Ob Mitbewerber wegen DS-GVO-Verstößen tatsächlich Unterlassungsansprüche gegen Konkurrenten geltend machen können, weiß aktuell niemand: Es gibt noch keine entsprechenden Urteile.

Nach früherer Rechtslage zumindest konnte eine fehlende bzw. fehlerhafte Datenschutzerklärung von der Konkurrenz erfolgreich abgemahnt werden. Es könnte allerdings sein, dass deutsche Gerichte im Hinblick auf die neue Rechtslage – gegebenenfalls nach mehreren Instanzen mit entsprechendem Kostenrisiko – zu dem Ergebnis gelangen, dass keine Unterlassungsansprüche bestehen. Denn die DS-GVO dient dazu, den Schutz der Daten des Einzelnen zu gewährleisten – und nicht vorrangig den Wettbewerb zu maßregeln. Sie sollten sich jedoch keinesfalls darauf verlassen, dass eine entsprechende Entscheidung dergestalt ausfällt!

Es gibt bestimmte Aspekte, die zur Prüfung der Rechtmäßigkeit einer Abmahnung herangezogen werden können. So muss dem Empfänger eindeutig vor Augen geführt werden, welches konkrete Verhalten beanstandet wird, in welcher Weise der Datenschutzverstoß also angeblich stattgefunden hat. Vage Behauptungen sind unzureichend.

Meistens wird der Abgemahnte aufgefordert, eine strafbewehrte (also eine mit einer Strafe bedrohte) Unterlassungserklärung abzugeben: Darin verpflichtet man sich, das abgemahnte Verhalten in Zukunft zu unterlassen und bei einer Zuwiderhandlung eine Vertragsstrafe zu zahlen. Die strafbewehrte Unterlassungserklärung liegt der Abmahnung häufig als Vorlage bei.

Schließlich muss die Abmahnung die Konsequenzen benennen, die drohen, wenn man das gerügte Verhalten nicht einstellt bzw. keine Unterlassungserklärung abgibt. Regelmäßig wird mit der Einleitung gerichtlicher Schritte gedroht.

Übrigens: Ein großes Ärgernis von Abmahnungen ist sicherlich, dass Sie bei einem tatsächlichen Verstoß auch die außergerichtlichen Rechtsverfolgungskosten der Gegenseite tragen müssen.

Falls Sie tatsächlich einmal abgemahnt werden, sollten Sie eine anwaltliche Beratung in Anspruch nehmen – insbesondere weil fortwährend Unsicherheiten hinsichtlich der Rechtmäßigkeit solcher Abmahnungen bestehen. Auf diese Weise können Sie das weitere Vorgehen und die Gewinnaussichten vor Gericht erörtern. Auch wenn die Abmahnung offensichtlich unberechtigt ist, sollten Sie sie nicht einfach ignorieren.

Werden Sie mehrfach wegen desselben Verstoßes abgemahnt, müssen Sie – wenn überhaupt – nur eine Unterlassungserklärung abgeben, dies aber den anderen Abmahnern nachweisen. Ansonsten können diese Ihnen gegenüber auch ihre Verfahrenskosten geltend machen.

Als Abgemahnter sollten Sie keine Handlungen vornehmen, die Ihre späteren Chancen vor Gericht beeinträchtigen könnten. Auf keinen Fall sollten Sie eine Unterlassungserklärung ohne vorherige juristische Prüfung voreilig unterzeichnen oder eigenständig ändern. Auch sollten Sie keine gegebenenfalls geforderten (Teil-)Beträge zahlen. Es besteht nämlich das Risiko, dass Sie damit mehr Zugeständnisse als erforderlich machen. Denn der Abmahnende wird im Zweifel versuchen, eine Untersagungsregelung so weitgehend wie möglich zu formulieren.

Als Abgemahnter sind Sie nicht verpflichtet, eine strafbewehrte Unterlassungserklärung abzugeben. Bei berechtigten Abmahnungen gilt es allerdings, das monierte Verhalten sofort zu beenden.

Eine in einer Abmahnung enthaltene Frist ist meist sehr kurz – eine Frist von einer Woche ist zulässig. Eine gesetzte Frist müssen Sie unbedingt einhalten. Denn der Abmahnende kann nach deren Ablauf sofort kostenträchtige gerichtliche Schritte einleiten.

Einige Apotheken wollen aktuell ihre Webseiten abschalten, weil es das Internet leichter macht, Rechtsverstöße aufzuspüren. Besonders im Fokus stehen Webseiten mit Kontaktformularen, über die personenbezogene Daten elektronisch übertragen werden. Webseitenbetreiber sind nämlich verpflichtet, für solch eine Übertragung ein anerkanntes Verschlüsselungsverfahren zu implementieren. Diese Pflicht ist nicht datenschutzrechtlich begründet, sondern ergibt sich direkt aus §13 Abs. 7 Telemediengesetz (TMG).

Demnach müssen übrigens sämtliche geschäftsmäßig erbrachten Onlinedienste, über die Nutzer elektronisch personenbezogene Daten übertragen, ein entsprechendes Verschlüsselungsprotokoll verwenden. Dies kann neben Shops z.B. ebenso Blogs betreffen. Es empfiehlt sich also, alle entsprechenden Webseiten zu identifizieren und mit einem anerkannten Verfahren zu verschlüsseln.

Wer sich dem Thema „Datenschutz“ widmet und sich rechtssicher aufstellt, hat in aller Regel nichts zu befürchten. Dabei sollten Sie sich im ersten Schritt auf die Außenwirkung Ihrer Apotheke fokussieren.

Empfehlenswert ist es, das ganze Apothekenteam dafür zu sensibilisieren, dass Testanrufe eingehen oder Testkunden in der Apotheke auftauchen könnten. Es sollte sichergestellt werden, dass keine personenbezogenen Daten in der Offizin von unbefugten Dritten zu hören oder zu sehen sind. Konkret geht es um herumliegende Rezepte, Kassenzettel oder sonstige Unterlagen mit personenbezogenen Inhalten sowie um vertrauliche Beratungsgespräche.

Dr. Bettina Mecking, Justiziarin der Apothekerkammer Nordrhein, Fachanwältin für Medizinrecht, 40213 Düsseldorf, E-Mail: b.mecking@aknr.de