Verarbeitung von Patientendaten ohne Einwilligung ist Wettbewerbsverstoß
Leitsatz
Verarbeitung von Patientendaten ohne Einwilligung ist Wettbewerbsverstoß
Anmerkung
Hinweis: Das OLG Hamburg hat in der Berufung die Entscheidung aufgehoben (Urt. v. 25.10.2018 - Az.: 3 U 66/17).
Tenor
1. Die Beklagten wird verurteilt, es bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes und für den Fall, dass dieses nicht beigetrieben werden kann, einer Ordnungshaft oder Ordnungshaft bis zu sechs Monaten, die Ordnungshaft zu vollziehen an ihrem jeweiligen Geschäftsführer (Ordnungsgeld im Einzelfall höchstens 250.000,00 €; Ordnungshaft insgesamt nicht mehr als 2 Jahre) zu unterlassen, im geschäftlichen Verkehr zu Zwecken des Wettbewerbs Bestellbögen für Therapieallergene zu benutzen und/oder benutzen zu lassen, ohne die erforderliche Einwilligung der Patienten zur Erhebung, Verarbeitung und Nutzung personenbezogener Gesundheitsdaten der Patienten einzuholen, wenn dies wie in der aus der Anlage ersichtlichen Art und Weise geschieht.
2. Die Beklagte wird verurteilt, Auskunft zu erteilen, in welchem Umfang die vorstehend unter Ziffer I. genannten Handlungen begangen wurden, insbesondere unter Angabe der Art und des Umfangs der benutzten Bestellbögen sowie etwaiger daraufhin ohne Einwilligung ausgeführter Bestellungen.
3. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerin sämtlichen Schaden zu ersetzen, der ihr durch die vorstehend unter Ziffer I. genannten Handlungen entstanden ist oder noch entstehen wird.
4. Die Beklagte wird verurteilt, an die Klägerin 1.953,90 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz ab dem 13.04.2016 zu zahlen.
5. Die Klägerin wird verurteilt, es bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes und für den Fall, dass dieses nicht beigetrieben werden kann, einer Ordnungshaft oder Ordnungshaft bis zu sechs Monaten, die Ordnungshaft zu vollziehen an dem jeweiligen Geschäftsführer ihrer Komplementär-GmbH (Ordnungsgeld im Einzelfall höchstens 250.000,00 €; Ordnungshaft insgesamt nicht mehr als 2 Jahre) zu unterlassen, im geschäftlichen Verkehr Bestellungen von Therapieallergenen entgegenzunehmen und/oder auszuführen, ohne eine Einwilligung der Patienten in die Erhebung, Verarbeitung und Nutzung personenbezogener Gesundheitsdaten der Patienten einzuholen.
6. Die Klägerin wird verurteilt, der Beklagten Auskunft zu erteilen, in welchem Umfang die vorstehend unter Ziffer V. genannten Handlungen begangen wurden, insbesondere unter Angabe der Art und des Umfangs der Benutzung des Bestellbogens sowie der daraufhin ohne Einwilligung ausgeführten Bestellungen;
7. Die Klägerin wird verurteilt, an die Beklagte 1.973,90 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz ab dem 14.06.2016 zu zahlen.
8. Es wird festgestellt, dass die Klägerin verpflichtet ist, der Beklagten sämtlichen Schaden zu ersetzen, der ihr durch die vorstehend unter Ziffer V. genannten Handlungen entstanden ist und noch entstehen wird.
9. Die Kosten des Rechtsstreits werden gegeneinander aufgehoben.
10. Das Urteil ist hinsichtlich der Ziffern I. und V. jeweils gegen Sicherheitsleistung in Höhe von 125.000,00 €, hinsichtlich der Ziffern II. und VI. jeweils gegen Sicherheitsleistung in Höhe von 12.500,00 € und im Übrigen gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.
Sachverhalt
Die Parteien machen wechselseitig wettbewerbsrechtliche Unterlassungsansprüche nebst Annexansprüchen wegen Verstößen gegen das Datenschutzrecht geltend.
Die Parteien stellen Immuntherapeutika für die Hyposensibilisierung von Menschen her, die unter Allergien leiden. Die Bestellung der Therapieallergene erfolgt über den behandelnden Arzt, der sie für jeden Patienten individuell zusammenstellen lassen kann. Die Parteien stellen dafür Bestellbögen zur Verfügung, die der Patient bei der Apotheke einreicht. Die Klägerin verwendet den Bestellbogen gemäß Anlage K 1 und die Beklagte den gemäß Anlage K 4. Die Therapieallergene lagern nach der Lieferung bei dem behandelnden Arzt, der sie dem Patienten über einen längeren Zeitraum verabreicht.
Zusätzlich zu dem Bestellbogen gemäß Anlage K 1 verfügt die Klägerin über ein Formular über eine Einwilligung zur Datenübermittlung und -verarbeitung gemäß Anlage K 2. Darin kann der Patient alternativ ankreuzen, dass er eine Pseudonymisierung wünscht, bei der sein Vor- und Nachname für die Bestellung durch eine Nummer aus dem Patientenverwaltungssystem (PVS-Nummer) ersetzt wird, die ihm vom Arzt zugeordnet wird. Dieses Vorgehen entwickelte die Klägerin zusammen mit dem Landeszentrum für Datenschutz Schleswig-Holstein (Anlage K 3).
Die Parteien sind in einem engen Marktumfeld tätig, in dem es im Wesentlichen nur noch vier weitere Anbieter von Therapieallergenen gibt. Änderungen in der Vertriebspraxis wirken sich daher regelmäßig auf die Umsätze der Mitbewerber aus.
Mit anwaltlichem Schreiben vom 07.12.2015 ließ die Klägerin die Beklagte wegen deren Bestellbogen abmahnen, da dieser gegen das Bundesdatenschutzgesetz verstoße (Anlage K 5).
Mit anwaltlichem Schreiben vom 21.01.2016 ließ die Beklagte ihrerseits die Klägerin unter anderem deshalb abmahnen, weil sich im Rahmen von Testbestellungen ergeben habe, dass die Klägerin Bestellungen auch dann bediene, wenn ihr nur eine Verordnung mit dem Klarnamen des Patienten übermittelt werde und nicht der Therapiebestellbogen mit Einwilligungserklärung (Anlage K 7).
Die Klägerin hat unstreitig gestellt, dass sie drei Bestellungen von Therapieallergenen vom 14.12.2015, 21.01.2016 und 18.02.2016 bediente, ohne dass eine Patientendatenschutzerklärung vorlag.
Die Klägerin ist der Ansicht, dass die Beklagte gegen §§ 3 Abs. 9, 4, 4a, 28 BDSG verstoße, da sie keine Einwilligung der Patienten gemäß § 4a BDSG einhole und die Datenerhebung auch nicht gemäß § 28 Abs. 7 BDSG zulässig sei. Die Erhebung der Daten sei nicht „erforderlich“ gemäß § 28 Abs. 7 S. 1 BDSG, da die Möglichkeit der Pseudonymisierung bestehe. Darüber hinaus setze § 28 Abs. 7 BDSG voraus, dass die Datenverarbeitung durch ärztliches Personal oder sonstige Personen erfolge, die einer strafbewehrten Geheimhaltungspflicht (§ 203 StGB) unterlägen. Das sei bei der Beklagten nicht der Fall. Eine übliche datenschutzrechtliche Geheimhaltungsverpflichtung von Mitarbeitern in einem Unternehmen genüge nicht.
Bei den genannten Vorschriften handle es sich im Übrigen um Marktverhaltensregelungen, da der Wettbewerber, der keine schriftliche Einwilligungserklärung verlange, einen Wettbewerbsvorteil erlange.
Die Klägerin beantragt wie erkannt zu Ziffer I. bis III. sowie:
Die Beklagte wird verurteilt, an die Klägerin 1.953,90 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz ab Rechtshängigkeit zu zahlen.
Die Beklagte beantragt, die Klage abzuweisen.
Widerklagend hat beantragt die Beklagte zunächst beantragt,
I. die Klägerin zu verurteilen,
1. es bei Meidung von Ordnungsmitteln zu unterlassen, im geschäftlichen Verkehr Bestellbögen für Therapieallergene zu benutzen und/oder benutzen zu lassen, ohne eine Einwilligung der Patienten in die Erhebung, Verarbeitung und Nutzung personenbezogener Gesundheitsdaten der Patienten einzuholen, wenn dies wie in der aus der Anlage K 1 ersichtlichen Weise geschieht,
2. der Beklagten Auskunft zu erteilen, in welchem Umfang die vorstehend unter Ziffer I.1. genannten Handlungen begangen wurden, insbesondere unter Angabe der Art und des Umfangs der Benutzung des Bestellbogens sowie der daraufhin ohne Einwilligung ausgeführten Bestellungen;
3. an die Beklagte, 1.973,90 € nebst Zinsen i. H. v. 5 Prozentpunkten über dem jeweiligen Basiszinssatz ab Rechtshängigkeit zu zahlen;
II. festzustellen, dass die Klägerin verpflichtet ist, der Beklagten sämtlichen Schaden zu ersetzen, der ihr durch die vorstehend unter Ziffer I.1. genannten Handlungen entstanden ist und noch entstehen wird.
Zuletzt beantragt die Beklagte widerklagend
wie erkannt zu Ziffer V., VI. und VIII. sowie
die Klägerin zu verurteilen, an die Beklagte 1.953,90 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz ab Rechtshängigkeit zu zahlen.
Die Klägerin beantragt,
die Widerklage abzuweisen.
Die Beklagte ist der Ansicht, §§ 4, 28 Abs. 7 BDSG seien keine Marktverhaltensregelungen. Die Datenerhebung durch die Beklagte betreffe die Patienten allein in ihrer Individualrechtsposition als Inhaber der Daten und nicht in ihrer Rolle als Marktteilnehmer.
Die Beklagte behauptet, dass sie stets eine Einwilligung der Patienten zur Datenverarbeitung einhole. Dafür gebe sie ein Einwilligungsformular heraus, das sie allerdings nicht vorlegen wolle.
Die Datenerhebung sei „erforderlich“ im Sinne des § 28 Abs. 7 S. 1 BDSG, da eine Pseudonymisierung mit Gefahren verbunden sei.
Denn zum einen führe die Beklagte anhand der übermittelten Daten eine Plausibilitätsprüfung durch. So könne anhand des Geburtsdatums geprüft werden, ob das in der Fachinformation angegebene Mindestalter nicht unterschritten werde. Es falle außerdem auf, ob der Arzt oder sein Personal sich bei Nachbestellungen „verkreuzt“ habe und die falschen Therapieallergene bestelle. Ferner könne der Arzt kontaktiert werden, wenn aus Sicht der Beklagten zu viele Allergene gleichzeitig verabreicht werden sollten oder Mischungen bestellt werden würden, bei denen die Allergene nicht kompatibel seien.
Zum anderen sei es sicherer, die Präparate mit dem Namen und dem Geburtsdatum des Patienten zu kennzeichnen als mit einer Nummer, da auf diese Weise besser Verwechslungen vorgebeugt werden könne. Dies werde durch das Paul-Ehrlich-Institut akzeptiert (Anlage HL 2) und vom Ärzteverband Deutscher Allergologen für absolut notwendig gehalten (Anlage HL 3). Auf das erhöhte Verwechslungsrisiko weise die Klägerin in der Anlage K 2 sogar selbst hin. Wenn nur eine Nummer aus dem Patientenverwaltungssystem des Arztes auf dem Präparat stehe, bestehe zudem bei Arztwechseln das Risiko, dass nicht mehr zuverlässig festgestellt werden könne, mit welchem Präparat der Patient behandelt worden sei. Die Beklagte verwende die Daten im Übrigen auch nicht für Werbezwecke.
Sämtliche Mitarbeiter der Beklagten, die auf die Patientendaten zugreifen könnten, hätten die Verpflichtungserklärung zur Wahrung des Datengeheimnisses nach § 5 BDSG gemäß Anlage HL 1 unterzeichnet. Auch die Mitarbeiter der spanischen Muttergesellschaft, die bei der Herstellung der Präparate für die Beklagte die Daten wahrnehmen könnten, seien in ihren Arbeitsverträgen zur Verschwiegenheit verpflichtet.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die Schriftsätze der Parteien nebst Anlagen sowie das Protokoll der mündlichen Verhandlung vom 03.11.2016 verwiesen.
Die Klage ist der Beklagten am 12.04.2016 und die Widerklage der Klägerin am 13.06.2016 zugestellt worden. Mit Schriftsätzen vom 10.01.2017 und 11.01.2017 haben die Parteien einer Entscheidung im schriftlichen Verfahren zugestimmt.
Entscheidungsgründe
Sowohl die Klage als auch die Widerklage haben Erfolg.
A.
Die zulässige Klage ist begründet.
I.
Der Klägerin steht ein Unterlassungsanspruch gemäß §§ 8, 3, 3a UWG i.V.m. §§ 4, 4a, 28 Abs. 7 BDSG zu, da die Beklagte personenbezogene Daten von Patienten erhebt, verarbeitet und nutzt, ohne zuvor schriftliche Einwilligungserklärungen der Patienten einzuholen.
1. Bei den §§ 4, 4a, 28 Abs. 7 BDSG handelt es sich um Marktverhaltensregelungen im Sinne des § 3a UWG. Die Ausführungen des Hanseatischen Oberlandesgerichts zu § 13 TMG (GRUR-RR 2013, 482, 484) sind auf den vorliegenden Fall übertragbar:
Das Bundesdatenschutzgesetz dient der Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „Datenschutzrichtlinie“). Die Datenschutzrichtlinie soll nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8).
Bei einem Verstoß gegen §§ 4, 4a, 28 Abs. 7 BDSG handelt es sich deshalb nicht nur um eine Missachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn die §§ 4, 4a, 28 Abs. 7 BDSG sollen ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung im Sinne des § 3a UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in Köhler/Bornkamm, UWG, 35. Aufl. 2017, § 3a Rn. 1.66).
2. Die Beklagte genügt den Anforderungen der §§ 4, 4a, 28 Abs. 7 BDSG nicht.
Gemäß § 4 Abs. 1 BDSG sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
a) Die Beklagte hat trotz eines entsprechenden Hinweises der Kammer nicht substantiiert dargelegt, dass sie schriftliche Einwilligungen der Patienten gemäß § 4a BDSG einholt. Sie hat vielmehr erklärt, dass sie nicht ein von ihr vorsorglich verwendetes Formular zur gerichtlichen Überprüfung stellen, sondern eine Entscheidung über die Grundsatzfrage der Erforderlichkeit einer Einwilligung herbeiführen möchte.
b) Eine Einwilligung gemäß § 4a BDSG ist erforderlich, da die Datenerhebung, -verarbeitung und -nutzung hier nicht gemäß § 28 Abs. 7 BDSG zulässig ist.
aa) Der Anwendungsbereich des § 28 Abs. 7 BDSG ist eröffnet, weil die Beklagte eine besondere Art personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG erhebt, verarbeitet und nutzt, nämlich Angaben über die Gesundheit.
bb) Die Datenerhebung ist hier grundsätzlich gemäß § 28 Abs. 7 S. 1 BDSG zulässig, da sie zum Zweck der Gesundheitsversorgung und Behandlung „erforderlich“ ist.
Soweit die Klägerin behauptet, dass bei einer Pseudonymisierung ein gleich wirksamer Gesundheitsschutz möglich sei, steht dies im Widerspruch zu ihren eigenen Ausführungen im Einwilligungsformular gemäß Anlage K 2. Darin heißt es:
„Durch eine PVS-Nummer kann sich das Risiko einer Verwechslung bei der Verwendung des Präparats in der Arztpraxis erhöhen und die oben beschriebene Überprüfung nicht ausgeführt werden.“ (Seite 1)
„Wie weisen allerdings darauf hin, dass dieses Vorgehen das Risiko einer Verwechslung bei der Verwendung des Präparates in der Arztpraxis erhöhen kann.“ (Seite 2)
Eine solche Risikoerhöhung ist auch ohne Weiteres einleuchtend. Denn die Identifizierung durch eine abstrakte Nummer ist verwechslungsanfälliger als bei einer Beschriftung mit einem Namen und einem Geburtsdatum. Letztere Daten kann der Arzt oder sein Personal nämlich mit dem anwesenden Patienten konkret gedanklich in Verbindung bringen und ohne Probleme gegebenenfalls auch noch einmal kurz vor der Verabreichung der Therapieallergene abgleichen. Die Aufdeckung einer Verwechslung in Form eines bloßen „Zahlendrehers“ in einer abstrakten Nummer ist demgegenüber umständlicher, weil ein Abgleich mit der PVS-Nummer in der Patientenakte erforderlich ist.
cc) Die Verarbeitung der Gesundheitsdaten muss jedoch grundsätzlich durch ärztliches Personal oder durch sonstige Personen erfolgen, die einer entsprechenden Geheimhaltungspflicht unterliegen (§ 28 Abs. 7 S. 1 BDSG). Die Beklagte behauptet nicht, dass sie über solches Personal verfüge, sondern stützt sich auf § 28 Abs. 7 S. 3 BDSG. Danach gilt: Werden zu einem in § 28 Abs. 7 S. 1 BDSG genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 StGB genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre.
Nach der Gesetzesbegründung ist § 28 Abs. 7 S. 3 BDSG „eine Auffangnorm für Leistungserbringer, die zu Lasten der Sozialversicherungssysteme abrechnen“ (Bundestags-Drucksache 14/4329, S. 43). Welchen Inhalt diese „Auffangnorm“ haben soll, wird in der Gesetzesbegründung allerdings nicht ausgeführt.
Nach der Kommentierung von Plath (BDSG/DSGVO, 2. Aufl. 2016, § 28 BDSG Rn. 215) soll § 28 Abs. 7 S. 3 BDSG die Zweckbindung des Satzes 2 sowie die Schweigepflicht des § 203 Abs. 1 und 3 StGB auf weitere Berufsgruppen, die im Gesundheitsbereich unterstützend tätig sind, erweitern. Auch Angehörige dieser Berufe dürften medizinische Daten nur unter den Voraussetzungen verarbeiten, unter denen auch Personen, die der Schweigepflicht nach § 203 Abs. 1 und 3 StGB unterworfen sind, eine Verarbeitung vornehmen dürften.
Dass § 28 Abs. 7 S. 3 BDSG die Schweigepflicht des § 203 StGB auf weitere Berufsgruppen erweitert, kann der Norm allerdings nicht entnommen werde. Sie setzt vielmehr voraus, dass die Angehörigen der weiteren Berufsgruppen einer entsprechenden Geheimhaltungspflicht unterworfen sind. § 28 Abs. 7 S. 3 BDSG regelt demnach, dass Personen, die Gesundheitsdaten verarbeiten, einer Geheimhaltungspflicht unterliegen müssen und nicht, dass sie auf Grund des § 28 Abs. 7 S. 3 BDSG einer Geheimhaltungspflicht unterliegen.
Diese Auslegung hat zwar zur Folge, dass § 28 Abs. 7 S. 3 BDSG keine Bedeutung erlangt, die über § 28 Abs. 7 S. 1 BDSG hinausgeht. Dieses Ergebnis ist jedoch bereits deshalb hinzunehmen, weil § 28 Abs. 7 S. 3 BDSG ansonsten über Art. 8 Abs. 3 der Datenschutzrichtlinie hinausginge, zu dessen Umsetzung er dient. Art. 8 Abs. 3 der Datenschutzrichtlinie lautet:
„Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen.“
Art. 8 Abs. 3 der Datenschutzrichtlinie entspricht demnach § 28 Abs. 7 S. 1 BDSG und enthält keine Regelung wie in § 28 Abs. 7 S. 3 BDSG. Da die Datenschutzrichtlinie zu einer Vollharmonisierung geführt hat (EuGH EuZW 2012, 37 Rn. 29), ist nicht ersichtlich, wie § 28 Abs. 7 S. 3 BDSG richtlinienkonform den § 28 Abs. 7 S. 1 BDSG erweitern können sollte.
Auch in den Fällen des § 28 Abs. 7 S. 3 BDSG müssen die Personen daher einer „entsprechenden Geheimhaltungspflicht“ unterworfen sein. Dass dies hier der Fall ist, trägt die Beklagte nicht vor. Die Verpflichtung gemäß der Anlage HL 1 ist lediglich eine Verpflichtung auf das Datengeheimnis gemäß § 5 BDSG. Dies genügt jedoch nicht, denn das Datengeheimnis gilt schlicht für jeden, der im Sinne des Bundesdatenschutzgesetzes mit Datenverarbeitung beschäftigt ist. Es entspricht damit nicht der ärztlichen Schweigepflicht. Würde man die Verpflichtung zur Wahrung des allgemeinen Datengeheimnisses gemäß § 5 BDSG ausreichen lassen, liefe der Schutz der besonderen Arten personenbezogener Daten gemäß § 28 Abs. 7 BDSG leer.
II.
Die Auskunfts- und Schadensersatzfeststellungsanträge sind gemäß § 242 BGB, § 9 UWG begründet.
Als Hilfsanspruch zum Schadensersatzanspruch setzt der sich aus § 242 BGB ergebende unselbständige Auskunftsanspruch ebenso wie die Feststellung der Schadensersatzpflicht voraus, dass ein Schadensersatzanspruch dem Grunde nach besteht. Voraussetzung ist nach allgemeinen Grundsätzen, dass eine gewisse Wahrscheinlichkeit des Eintritts des Schadens dargelegt wird (OLG Hamburg, Urt. v. 23.04.2015, 5 U 127/11; LG Hamburg, Urt. v. 20.08.2015, 327 O 554/14).
Die Parteien tragen insoweit übereinstimmend vor, dass sie auf einem engen Markt tätig sind, auf dem sich eine Umstellung der Vertriebspraxis bei einem Wettbewerber unmittelbar auf die Umsätze der anderen auswirkt. Damit besteht eine gewisse Schadenswahrscheinlichkeit.
Die Beklagte handelte auch mindestens fahrlässig. Ein etwaiger Rechtsirrtum würde sie nicht entschuldigen.
III.
Der Anspruch auf Ersatz der Abmahnkosten in Höhe von 1.953,90 € folgt aus § 12 Abs. 1 S. 2 UWG. Der Ansatz einer 1,3 Geschäftsgebühr nach einem Gegenstandswert von 100.000,00 € wird von der Beklagten nicht angegriffen und ist auch nicht zu beanstanden. Der Zinsanspruch folgt aus §§ 291, 288 Abs. 1 S. 2 BGB.
B.
Die zulässige Widerklage ist ebenfalls begründet. Die Klägerin hat eingeräumt, dass es zu drei „Ausreißern“ gekommen ist, in denen sie keine Einwilligungserklärung der Patienten eingeholt hat. Damit hat die Klägerin aus den oben genannten Gründen gleichfalls gegen §§ 4a, 28 BDSG verstoßen, so dass der Beklagten ein entsprechender Unterlassungsanspruch nebst Auskunfts- und Schadensersatzfeststellungsansprüchen sowie ein Anspruch auf Ersatz der Abmahnkosten in Höhe von 1.953,90 € nebst Zinsen zusteht.
C.
Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO. Die Änderung des Widerklagantrages enthielt keine teilweise Rücknahme der Widerklage gemäß § 269 ZPO. Es handelte sich lediglich um eine Klarstellung, da die Bezugnahme auf die Anlage K 1 die konkrete Verletzungsform nicht hinreichend deutlich zum Ausdruck brachte. Gegenstand der Widerklage war ausweislich ihrer Begründung von vornherein nicht die Gestaltung des Bestellformulars gemäß Anlage K 1, sondern der Vorwurf, gar keine Einwilligungserklärungen der Patienten eingeholt zu haben.
Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 ZPO.