Datenschutz im Internet: TTDSG tritt ab 01.12.2021 in Kraft

Ab 01. Dezember 2021 tritt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel des Gesetzes ist es, die bereichspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz zu überführen und diese den Vorgaben der DSGVO und der sog. ePrivacy-Richtlinie anzupassen.

Einer der Schwerpunkte des neuen Gesetzes ist – bezogen auf den Datenschutz bei Webseiten – die (Neu-)Regelung von Cookies bzw. Cookie-Bannern.

Jeder Internetnutzer kennt die Cookie-Banner, die auf das Setzen sog. Cookies hinweisen. Die wenigsten Nutzer beschäftigten sich auch wirklich mit dem Inhalt der entsprechenden Cookie-Banner und klicken auf „Zustimmen“ oder ähnliche vorformulierte Einwilligungserklärungen, um die Webseite auch nutzen zu können. Gerade auch wegen dieses typischen Nutzerverhaltens waren diverse Gestaltungen von Cookie-Bannern in den letzten zwei bis drei Jahren vermehrt Gegenstand gerichtlicher Entscheidungen.

Das neue TTDSG erlaubt nun explizit den Einsatz sog. „Personal Information Management-Systeme“ (kurz „PIMS“). „PIMS“ ist eine Software, die Nutzern mehr Kontrolle über ihre Daten geben soll. Der Anwender kann mithilfe von „PIMS“ auf seinem jeweiligen Endgerät abspeichern, welche Einwilligungen er erteilen möchte und welche nicht. Es können also Voreinstellungen für die Nutzung von Cookies für alle Webseiten festgelegt werden, so dass nicht auf jeder Webseite eine gezielte Auswahl der zu setzenden Cookies getroffen werden muss. Die Webseite erkennt beim Aufrufen der Webseite das benutzte „PIMS“, so dass der für viele lästige Cookie-Banner erst gar nicht erscheint und weggeklickt werden muss.

Allerdings wird nicht jedes „PIMS“ vom neuen TTDSG akzeptiert. Das Gesetz sieht ein Anerkenntnisverfahren für solche Software vor. Das bedeutet, dass der jeweilige Softwareanbieter eines „PIMS“ künftig ein Anerkennungsverfahren durchlaufen muss. Dieses kann nur erfolgreich durchlaufen werden, wenn bestimmte Anforderungen an das „PIMS“ erfüllt werden: So muss die Software insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Das genaue Verfahren dazu soll in einer Rechtsverordnung geregelt werden.

Damit die lästigen Cookie-Banner tatsächlich verschwinden, muss die Bundesregierung also zunächst eine (wirksame) Verordnung erlassen, in der die verschiedenen Voraussetzungen festgelegt werden. Sodann muss es natürlich ausreichend Anbieter solcher Software geben, die auch bereit sind, das Anerkennungsverfahren zu durchlaufen. Und schließlich müssen die Nutzer die „PIMS“ auch tatsächlich nutzen. Es dürfte also noch eine Weile dauern, bis die lästigen Cookie-Banner tatsächlich verschwinden.

Sofern kein „PIMS“ eingesetzt wird, enthält das TTDSG die Vorgabe, dass Cookies nur mit Einwilligung des Nutzers gesetzt werden dürfen.

§ 25 Abs. 1 Satz 1 TTDSG bestimmt dies explizit. Allerdings gibt es auch Ausnahmen. § 25 Abs. 2 TTDSG regelt, dass eine Einwilligung nicht erforderlich ist, wenn der alleinige Zweck der Speicherung die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder – dies ist die wichtige Ausnahme für die Webseitenbetreiber – die Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Letztgenannte Ausnahme sind die “technisch notwendigen Cookies“.

Dies sind z.B. Cookies, die einen Login auf eine Seite ermöglichen oder die für die Nutzung eines Warenkorbs eines Onlineshops nötig sind. Eine konkrete Definition im Gesetz, wann ein Cookie „unbedingt erforderlich“ ist, findet sich allerdings nicht.

Hier wird es also weiterhin Aufgabe der Gerichte sein, die „unbedingte Erforderlichkeit“ von Cookies zu bestimmen. Mit sehr großer Wahrscheinlichkeit gehören allerdings Tracking-Cookies, die lediglich Marketingzwecken dienen oder personalisierte Werbung ermöglichen sollen, nicht dazu.

Unzulässige Datenerhebungen von Onlineshops

Laut einer Pressemitteilung des Verwaltungsgerichts Hannover vom 09.11.2021 hat das Verwaltungsgericht mit Urteil vom 09.11.2021 die Klage einer Online-Versandapotheke gegen einen Bescheid des Landesdatenschutzbeauftragten von Niedersachsen abgewiesen.

Der Landesdatenschutzbeauftragte beanstandete zweierlei:

Zum einen die Abfrage der Online-Apotheke nach dem Geburtsdatum des Kunden. Zum anderen die Angabe einer Anrede, weil lediglich die Auswahlmöglichkeiten „Herr/Frau“ zur Verfügung standen.

Das Verwaltungsgericht gab dem Landesdatenschutzbeauftragten Recht:

Da es nicht ersichtlich sei, dass das Geburtsdatum für die Abwicklung einer Bestellung notwendig sei, weil diese nicht eine altersspezifische Beratung erforderten, verstoße die Erhebung des Geburtsdatums gegen das in der DSGVO normierte Prinzip der Datenminimierung. Demzufolge bedürfe es einer expliziten Einwilligung des Kunden in die Erhebung und Verarbeitung des Geburtsdatums, die nicht eingeholt worden sei.

Bezüglich der geschlechterspezifischen Anrede „Herr/Frau“ verständigten sich die Parteien darauf, dass der Onlineshop die zusätzliche Auswahloption „ohne Angabe“ einfügen müsse, woraufhin über diesen Punkt nicht mehr entschieden werden musste.

Auch das Landgericht Frankfurt/Main hatte sich in einem Verfahren wegen Persönlichkeitsrechtsverletzung bereits mit der Frage der gendergerechten Ansprache eines Kunden zu befassen (LG Frankfurt/Main, Urteil vom 03.12.2020, Az.: 2-13 O 131/20, openJur 2020, 79049).

In dem vom Landgericht Frankfurt entschiedenen Fall hatte eine (so in den Urteilsgründen bezeichnete) „klagende Person“ einen Anspruch auf Unterlassung und Zahlung einer Geldentschädigung wegen Persönlichkeitsrechtverletzung gegen einen Onlineshop geltend gemacht. Wer dort bestellen wollte, musste bei dem Bestellformular ebenfalls die Anrede auswählen, wobei auch hier lediglich die Auswahlmöglichkeiten „Herr“ oder „Frau“ zur Verfügung gestanden hatten. Da die in diesem Verfahren „klagende Person“ eine „nicht binäre Geschlechtsidentität“ besaß, sah sie sich in ihrem Persönlichkeitsrecht verletzt und klagte auf Unterlassung, Zahlung einer Geldentschädigung und Erstattung von Abmahnkosten.

Das Landgericht bejahte zwar eine Persönlichkeitsrechtsverletzung, war jedoch der Auffassung, dass darin keine schwere Persönlichkeitsrechtsverletzung liege, die einen Anspruch auf Ersatz eines immateriellen Schadens gewähre, egal, ob dieser Anspruch auf das Allgemeine Gleichbehandlungsgesetz (AGG) oder auf Persönlichkeitsrechtsverletzung gestützt werde. Gleichwohl musste der Onlineshop zumindest einen Teil der Abmahnkosten erstatten.

Onlineshops sollten daher dringend prüfen, ob sie im Rahmen des Bestellprozesses

– > unnötige Daten, wie z.B. das Geburtsdatum, eines Bestellers erheben, obwohl das Geburtsdatum für die Bestellung nicht erforderlich ist

und

-> entweder komplett auf die Auswahl einer Anredemöglichkeit verzichten oder zumindest eine dritte Möglichkeit z.B. „ohne Angabe“ oder „Neutral“ einfügen.

Beide oben genannten Fälle zeigen, dass dies sowohl Ansprüche von potentiellen Kunden wie aber auch vor allem ein Vorgehen von Landesdatenschutzbeauftragten auslösen können.

Rechtswidriger Cookie-Banner

Das Landgericht Köln hat mit Beschluss vom 13.04.2021, Az.: 31 O 36/21, entschieden, dass die „alten“, aber zum Teil immer noch gebräuchlichen Cookie-Banner rechtswidrig sind.

Bei dem Beschluss handelt es sich um eine einstweilige Verfügung des Landgerichts Köln, welche nur kurz begründet ist. Aus der Begründung geht hervor, dass ein nach dem Unterlassungsklagegesetz berechtigter Verband einen Unterlassungsanspruch gegen einen Webseitenbetreiber geltend gemacht hatte. Dieser nutzte noch einen – zwischenzeitlich veralteten – Cookie-Banner mit folgendem Text:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung.“

Nach dem Urteil des BGH zur Gestaltung von Cookie-Bannern aus dem Mai 2020 war klar, dass eine solche Cookie-Banner-Gestaltung nicht mehr den gesetzlichen Erfordernissen entspricht, weswegen das Landgericht im Wege der einstweiligen Verfügung die weitere Nutzung eines solchen Banners untersagt hatte. Der Streitwert wurde auf EUR 2.500,00 festgesetzt, so dass zumindest die dadurch entstehenden Kosten einigermaßen übersichtlich blieben.

Kein immaterieller Schadenersatz nach DSGVO bei unerlaubter E-Mail-Werbung

Das Amtsgericht Hamburg-Bergedorf musste über die Frage entscheiden, ob die unerlaubte Zusendung eines Werbe-E-Mails einen immateriellen Schadenersatzanspruch nach DSGVO auslöst (Urteil vom 07.12.2020, Az.: 410d C 197/20).

Art. 82 Abs. 1 DSGVO regelt, dass bei Verstößen gegen die DSGVO ein Anspruch auf materiellen oder immateriellen Schadenersatz bestehen kann.

Da in aller Regel der Nachweis eines tatsächlichen materiellen Schadens in der Praxis sehr schwierig ist, stellt sich nun die Frage, unter welchen Voraussetzungen ein sog. immaterieller Schadenersatz – auch landläufig als Schmerzensgeld bezeichnet – geltend gemacht werden kann.

Der Datenschutz wird abgeleitet aus dem sog. informationellen Selbstbestimmungsrecht einer Person und ist somit Teil des allgemeinen Persönlichkeitsrechts. Bis zum Inkrafttreten der DSGVO gewährte die Rechtsprechung nur dann einen Anspruch auf immateriellen Schadenersatz – im Persönlichkeitsrecht als Geldentschädigung bezeichnet -, wenn eine besonders schwere Persönlichkeitsrechtsverletzung vorlag.

Nachdem nach Inkrafttreten der DSGVO das Gesetz für Datenschutzverstöße einen solchen Anspruch auf Zahlung eines immateriellen Schadenersatzes dem Grunde nach vorsieht, stellt sich die Frage, unter welchen Voraussetzungen ein solcher immaterieller Schadenersatz zu gewähren ist.

Der Großteil der juristischen Fachliteratur und zum Teil auch der Gerichte vertritt dabei die Auffassung, dass – anders als noch nach altem deutschem Recht – für die Gewährung eines solchen immateriellen Schadenersatzes bei Datenschutzverstößen keine besonders schwere Persönlichkeitsrechtsverletzung vorliegen muss.

Allerdings wird auch das Problem gesehen, dass nicht jeglicher Datenschutzverstoß – quasi automatisch – einen immateriellen Schadenersatz nach sich ziehen kann. Die genauen Voraussetzungen dafür, wann ein solcher immaterieller Schadenersatz zu gewähren ist und wann nicht, sind im Einzelnen aber umstritten.

Das Amtsgericht hat sich nun in seinem Urteil der Rechtsauffassung angeschlossen, dass jedenfalls derjenige, der einen immateriellen Schadenersatzanspruch geltend macht, darlegen und gegebenenfalls auch beweisen muss, dass er einen solchen Schaden tatsächlich erlitten habe. Ob dann ein immaterieller Schadenersatz zu gewähren sei, hänge sodann von den objektiv benennbaren Beeinträchtigungen des Geschädigten ab, so das Amtsgericht. Ein bloßer Ärger oder Unannehmlichkeiten genügen nach Auffassung des Amtsgerichtes dafür nicht.

Da es im vorliegenden Fall lediglich um die unerlaubte Zusendung eines Werbe-E-Mails ging, stufte das Amtsgericht den Verstoß als nicht schwer genug ein. Eine solche Werbe-E-Mail sei zwar eventuell belästigend, jedoch sei dies keine Beeinträchtigung, die für einen immateriellen Schadenersatzanspruches ausreiche, so das Amtsgericht.

Den gleichzeitig geltend gemachten Unterlassungsanspruch bejahte das Gericht aber.

Die Frage, wann und unter welchen Voraussetzungen ein immaterieller Schadenersatz zu gewähren ist und v.a. auch, in welcher Höhe immaterieller Schadensersatz zu gewähren ist, wird sicherlich auch noch in den nächsten Jahren, und zwar bis zu einer grundlegenden Entscheidung durch den Europäischen Gerichtshof sicherlich noch lange umstritten sein.

Vorgaben für die Gestaltung von Cookie-Einwilligungen

Soweit ersichtlich, hat das Landgericht Rostock mit Urteil vom 15.09.2020, Az.: 3 O 762/19, erstmals detailliert dazu Stellung genommen, wie eine Einwilligung für das Setzen von Tracking-/Marketing-Cookies zu gestalten ist.

Liest man sich die Entscheidungsgründe des Urteils durch, so zeigt sich, dass danach zahlreiche derzeit verwendete Cookie-Einwilligungserklärungen unwirksam sein dürften.

Zunächst geht das Landgericht auf die häufig zu sehende Gestaltung ein, wonach im Rahmen der Einwilligungserklärung das Häkchen für den Nutzer mit dem Text „Alle Cookies ausgewählt“ bereits gesetzt ist und der Nutzer, wenn er nicht in alle Cookies einwilligen will, aktiv das Häkchen wegklicken muss. Hier zieht das Landgericht eine Parallele zur Rechtsprechung des BGH zur rechtswirksamen Einwilligung in den Erhalt von E-Mail-Werbung wie z.B. Newsletter. Danach sind sog. Opt-Out-Lösungen unzulässig. Eine wirksame Einwilligung setzt also grundsätzlich voraus, dass der Nutzer aktiv das Häkchen selbst setzen muss.

Im Folgenden ist das Landgericht der Auffassung, dass die Gestaltung der Einwilligung mittels einer grünen Schaltfläche „Alle Cookies zulassen“ dann problematisch ist, wenn zugleich keine Schaltfläche z.B. mit dem Hinweis „Nur notwendige Cookies zulassen“ existiert. Auch hier bezieht sich das Landgericht auf die Grundsätze des BGH zur rechtswirksamen Einwilligungserklärung in den Erhalt von Werbung per E-Mail.

Sofern sich diese strenge Auffassung des Landgerichts durchsetzt – dafür spricht durchaus Einiges – müssten Cookie-Banner künftig vermutlich so gestaltet werden, dass der Nutzer selbst anklicken muss, ob er nur technisch notwendige Cookies oder auch Marketing/Tracking-Cookies akzeptieren möchte, wobei die Gestaltung der beiden Erklärungen neutral gehalten sein müsste. Bereits die unterschiedlich farbliche Gestaltung in z.B. „grün“ für alle Cookies und „rot“ für die notwendigen Cookies wäre damit problematisch.

Auch in einem weiteren, im Gerichtsverfahren streitigen Punkt vertrat das Landgericht eine strenge Auffassung.

Es ging noch um die Frage, ob derjenige, der auf seiner Webseite Social-Media- und Analyse-Tools einsetzt, hier im speziellen Google Analytics, jedenfalls in seiner Datenschutzerklärung darüber belehren muss, dass zwischen dem Webseitenbetreiber und z.B. Google eine sog. gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt. In dem beim Landgericht Rostock anhängigen Fall stellte sich der beklagte Webseitenbetreiber auf den Standpunkt, dass Google lediglich als Auftragsverarbeiter tätig sei.

Ähnlich wie bereits der Europäische Gerichtshof (EuGH), der entschieden hatte, dass derjenige, der auf Facebook eine Seite betreibt, gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist, soll dies nach Auffassung des Landgerichts Rostock auch bei Einsatz von Google Analytics so sein. Denn beim Einsatz von Google Analytics bestimme der Webseitenbetreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Demzufolge sei es auch nicht ausreichend, dass der Webseitenbetreiber mit Google Analytics den von Google selbst angebotenen Auftragsverarbeitungsvertrag abschließe. Vielmehr handelt es sich eben bei Google nicht um einen Auftragsverarbeiter, weil eine gemeinsame Verantwortlichkeit bestehe. Diese gemeinsame Verantwortlichkeit müsse auch vertraglich geregelt werden.

Das bedeutet:

Ähnlich wie das Betreiben einer Facebook-Seite dürfte nun sowohl der Einsatz von Tracking- und Marketing-Cookies, insbesondere der Einsatz von Google Analytics, datenschutzrechtlich problematisch werden. Dabei bleibt zu hoffen, dass Google in nicht allzu ferner Zukunft ein Vertragsmuster für die gemeinsame Verantwortlichkeit zur Verfügung stellt.

Ungültigkeit des sog. Privacy-Shield-Abkommens zwischen der EU und der USA: Was sind die Folgen?

Das Urteil des EuGH zur Ungültigkeit des sog. Privacy-Shield-Abkommens zwischen der EU und der USA vom 16.07.2020, Az.: C-311/18, wurde in zahlreichen Medienberichten thematisiert. .

Nachdem dazu bereits auch Fragen bei mir eingegangen sind, das Wichtigste im Überblick:

Was ist das Privacy-Shield-Abkommen?

Dabei handelt es sich um eine Absprache zwischen der EU und der USA auf dem Gebiet des Datenschutzrechts, und zwar für die Übermittlung von personenbezogenen Daten aus der EU in die USA.

Kurz gesagt ging es darum, dass sich US-Unternehmen in eine Liste eintragen konnten und dadurch zusicherten, dass ein US-Unternehmen einen gewissen Mindestschutz für personenbezogene Daten auf Grundlage des EU-Datenschutzrechts einhält.

Wollte also ein Unternehmen aus der EU in die USA personenbezogene Daten übermitteln, musste das EU-Unternehmen lediglich prüfen, ob das US-Unternehmen in der Privacy-Shield-Liste eingetragen war. War dem der Fall, so sollte die Übermittlung der personenbezogenen Daten zulässig sein.

Was hat der EuGH entschieden?

Der EuGH hat den Beschluss der EU-Kommission zum Privacy-Shield-Abkommen für ungültig erklärt. Nach Auffassung des EuGH könne das Privacy-Shield-Abkommen kein nach EU-Recht angemessenes Datenschutzniveau gewährleisten, weil amerikanische Behörden zu weitreichende Befugnisse hätten, um auf die übermittelten personenbezogenen Daten aus der EU zuzugreifen.

Ist damit die Übermittlung personenbezogener Daten in die USA generell unzulässig?

Nein.

In seinem Urteil hat der EuGH nämlich auch entschieden, dass die sog. EU-Standardvertragsklauseln gültig seien.

Diese sog. EU-Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern. Zu diesen Drittländern gehört auch die USA.

Diesem Beschluss ist als Anhang ein Mustervertrag für Auftragsverarbeiter in diesen Drittländern beigefügt. Und diesen Standardvertrag hat der EuGH für gültig erklärt.

Daraus folgt:

Wer nun aus der EU in die USA personenbezogene Daten übermitteln möchte, muss nun mehr tun als zuvor vor dem EuGH-Urteil:

Es genügt nicht mehr zu prüfen, ob das US-Unternehmen, an das die Daten übermittelt werden sollen, dem Privacy-Shield-Abkommen beigetreten ist.

Es muss nun – am besten – der Mustervertrag der EU-Kommission für die Auftragsverarbeitung personenbezogener Daten verwendet werden, so dass das EU-Unternehmen mit dem US-Unternehmen explizit einen solchen Individualvertrag abschließen muss.

Dazu gibt es auch zwischenzeitlich eine Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020. Dabei betont die DSK, dass es nicht genüge, dass das EU-Unternehmen mit dem US-Unternehmen die EU-Standardvertragsklauseln verwende, sondern darüber hinaus auch eine individuelle Verantwortung des Unternehmens in der EU bestehe, so dass auch geprüft werden solle, ob diese Klauseln vom US-Unternehmen auch tatsächlich eingehalten und beachtet werden.

Nachtrag (25.08.2020):

Eine erste Orientierungshilfe einer deutschen Aufsichtsbehörde zum Thema internationaler Datentransfer kommt nun vom Landesdatenschutzbeauftragten von Baden-Württemberg.

Danach muss ein EU-Unternehmen, welches personenbezogene Daten in die USA übermittelt, nicht nur bei einem Vertragsschluss die oben genannten EU-Standardvertragsklauseln nutzen sondern auch prüfen, ob in den USA ein Zugriff auf die übermittelten Daten z.B. durch US Behörden nicht möglich ist.

In der Orientierungshilfe heißt es dazu:

„Der Verantwortliche muss hier zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen; dies wäre in folgenden Fällen denkbar:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann.“

Das würde vermutlich das faktische „Aus“ für die Übermittlung von personenenbezogenen Daten in die USA bedeuten.

OLG Stuttgart: Fehlende Datenschutzerklärung kann abgemahnt werden

Das OLG Stuttgart hat mit Urteil vom 27.02.2020, Az.: 2 U 257/19, entschieden, dass derjenige, der auf seiner Internetseite keine Datenschutzerklärung vorhält, deswegen von einem Verband abgemahnt werden kann.

Das Urteil des OLG Stuttgart ist aus zweierlei Gründen zu beachten:

In der Rechtsprechung und vor allem in der juristischen Fachliteratur ist die Frage umstritten, ob die DSGVO sämtliche Rechtsbehelfe abschließend regelt. Wäre dem der Fall, so könnten ein Verband oder ein Wettbewerber, gestützt auf das UWG, nicht Verstöße gegen die DSGVO abmahnen.

Das OLG Stuttgart ist der Meinung, dass die DSGVO die Rechtsbehelfe nicht abschließend regelt. Damit eröffnet das OLG den Anwendungsbereich des UWG.

Darüber hinaus ist das Gericht der Meinung, dass die DSGVO, speziell die Pflicht, eine Datenschutzerklärung vorzuhalten, eine sog. Marktverhaltensregelung ist, weswegen gemäß § 3a UWG das Fehlen einer solchen Datenschutzerklärung jedenfalls von einem Verband abgemahnt werden kann.

In dem Fall ging es darum, dass ein Händler auf eBay keine solche Datenschutzerklärung abrufbar hielt.

Dies wurde ihm nun zum Verhängnis.

Der Klage des abmahnenden Verbandes wurde in der Berufung vollumfänglich stattgegeben.

Damit öffnet das OLG eventuell die „Büchse der Pandora“. Bislang waren diese Fragen höchst streitig. Dies hat dazu geführt, dass jedenfalls meiner Erfahrung nach die Abmahntätigkeit von Verbänden (und vor allem auch von Wettbewerbern) nicht sehr ausgeprägt war.

Das könnte sich nun ändern.

Neues zur DSGVO

Zwei aktuelle Urteile gibt es zu Fragen des Datenschutzes auf Grundlage der DSGVO, die unterschiedlicher nicht sein könnten:

Zum einen ein Urteil des Europäischen Gerichtshofes (EuGH), der zur Frage der Haftung für die Integrierung des Facebook-Like-Buttons auf die eigene Webseite sehr strenge Maßstäbe anlegt. Zum anderen ein Urteil des Oberlandesgerichts (OLG) Frankfurt/Main, in dem insbesondere ein Instrument aus dem Online-Marketing nach wie vor für zulässig erachtet wird.

Mit Urteil vom 29.07.2019, Az.: C-40/17, hat der EuGH – eigentlich wenig überraschend – klargestellt, dass der Betreiber einer Webseite, welcher den Facebook-Like-Button auf seine Seite einbindet, für Datenschutzverstöße, die von Facebook begangen werden, mithaftet.

Dies bedeutet also, dass der Webseitenbetreiber in Fällen, in denen er den Facebook-Like-Button auf seine Webseite einbindet, den Nutzer über den Umfang der Nutzung seiner Daten aufklären und insbesondere auch eine Einwilligung für die Übertragung der Daten an Facebook in die USA einholen muss. Das Problem: Da Facebook nicht aufklärt, was genau mit den Nutzerdaten dort geschieht, kann natürlich auch ein Webseitenbetreiber nicht korrekt aufklären. Dies hat zur Folge, dass ein Unternehmen den Facebook-Like-Button auf seine eigene Webseite am besten nicht einbindet. Was natürlich möglich ist, ist die Verlinkung auf die eigene Facebook-Seite, wobei allerdings auch hier gewisse Zweifel daran bestehen, ob derzeit überhaupt ein Unternehmen auf Facebook eine entsprechende Seite betreiben kann, ohne gegen die DSGVO zu verstoßen. Insoweit bleibt es bei der bisherigen Unsicherheit.

Aus dem EuGH-Urteil gehen noch zwei weitere Punkte hervor, die bislang umstritten waren und die sicherlich auch nicht zugunsten eines Unternehmens entschieden worden sind:

So hat der EuGH klargestellt, dass für sog. Tracking-Cookies der Webseitenbetreiber immer eine Einwilligung einzuholen hat. Alleine der Hinweis auf die Verwendung entsprechender Cookies auf der eigenen Webseite und das typische „Wegklicken“ des Cookie-Hinweises dürfte also wohl nicht mehr ausreichen.

Darüber hinaus hat der EuGH klargestellt, dass ein Verbraucherschutzverband einen Verstoß gegen die DSGVO abmahnen darf. Dies könnte natürlich dazu führen, dass sich Wettbewerbs- und Verbraucherschutzverbände nun vermehrt um solche möglichen DSGVO-Verstöße kümmern werden und also Abmahnungen drohen.

Ein Lichtblick dagegen ist das Urteil des OLG Frankfurt für den Bereich des Online-Marketings:

Bei der Entscheidung ging es u.a. um das in der Vergangenheit typische verwendete „datenschutzrechtliche Geben und Nehmen“: Der Nutzer darf an einem Gewinnspiel des Unternehmens teilnehmen, gibt dafür im Gegenzug seine Einwilligung zum Erhalt von Newslettern.

Nach Inkrafttreten der DSGVO war vielfach die Meinung zu lesen, dass eine solche Kopplung zwischen Teilnahme an einem Gewinnspiel gegen Einwilligung zum Newsletter-Erhalt eine unzulässige Kopplung sei, weil eine Einwilligung stets freiwillig erteilt werden müsse und es in einem solchen Fall an der Freiwilligkeit fehle.

Das OLG Frankfurt hat mit Urteil vom 27.06.2019, Az.: 6 U 6/19, jedoch den Deal „Daten gegen Leistung“ nicht grundsätzlich verboten, sondern erlaubt. In dem vorliegenden Fall hatte ein Energieunternehmen ein Gewinnspiel angeboten. Der Nutzer konnte daran teilnehmen, musste allerdings dafür eine Einwilligung in Werbeanrufe des Energieversorgers erteilen. Zwar wurde dem Energieunternehmen diese Praxis untersagt. In diesem Fall allerdings nur deshalb, weil das Unternehmen die Einwilligung des Nutzers nicht nachweisen konnte.

Da es im vorliegenden Fall um einen Werbeanruf ging und keine Verifikation der Telefonnummer erfolgte, untersagte das OLG diese Praxis, urteilte jedoch auch, dass eine typische Einwilligung im Wege des Double-Opt-Ins (wie sie insbesondere bei der Newsletter-Werbung verwendet wird) in Ordnung sei. Auch hatte das OLG grundsätzlich keine Probleme mit der Freiwilligkeit. Das Gericht stellte klar, dass jeder Nutzer freiwillig entscheiden könne, ob er seine Daten preisgibt, um am Gewinnspiel teilzunehmen oder eben nicht.

Wichtig ist aber weiterhin zweierlei:

Zum einen muss die Einwilligungserklärung für den Nutzer klar formuliert sein und er muss wissen, in welche Art der Werbung er einwilligt, ob seine E-Mail-Adresse an Dritte weitergegeben wird, wenn ja, an wen etc.

Des Weiteren muss die Einwilligung im Wege des Douple-Opt-Ins erfolgen, damit nachher eine Einwilligung auch für das Unternehmen nachweisbar ist.

Neues aus der Welt der DSGVO

In den letzten Monaten gab es nach Inkrafttreten der DSGVO auch einiges an Kuriosem zu lesen:

Angefangen von einem Zeitungsbericht über einen Apotheker, der der Meinung ist, dass er und seine Mitarbeiter keine Namensschilder im Ladengeschäft mehr tragen und auch keine namentlich bekannten Kunden mit Namen ansprechen dürfen, weil dies gegen die DSGVO verstoße, bis hin zu einem Bericht über eine Beschwerde eines Mieters in Wien darüber, dass sein Vermieter den Namen des Mieters am Klingelschild angebracht habe und der Vermieter daraufhin die Konsequenz ziehen und in bei 220.000 Mietern in rd. 2.000 Wohnanlagen alle Namensschilder entfernen will und sich im Anschluss daran die Frage stellt, ob dies auch in Deutschland so gelte. Nichts scheint sicher vor Datenschützern und es bestehen weiterhin zahlreiche Unsicherheiten.

Neben dem bereits in meiner Newsmeldung vom 26.09.2018 genannten Urteil des LG Würzburg zur Frage, ob ein Verstoß gegen die DSGVO gleichzeitig ein Wettbewerbsverstoß ist, gibt es ein weiteres, neues Urteil mit Bezügen zur DSGVO.

Im Ergebnis nicht überraschend hat das LG Frankfurt/Main mit Urteil vom 13.09.2018, Az.: 2-03 O 283/18, entschieden, dass ein werbetreibendes Unternehmen eine Einwilligung eines Kunden nachweisen muss, wenn der Kunde in einem Werbevideo des Unternehmens zu sehen ist.

Der beklagte Unternehmer betrieb in Frankfurt einen Frisör-Salon. Bei der Klägerin handelte es sich um eine Kundin des Frisör-Salons. Der beklagte Unternehmer gab an, dass er in seinem Frisör-Salon regelmäßig Video- und Bildaufnahmen über die Arbeiten von ihm und seinen Angestellten anfertige, um unterschiedlichste Frisur-Techniken an dafür vorgesehenen Haarmodellen zu veranschaulichen. Die Klägerin gab an, dass sie im Frisör-Salon weder einen Hinweis auf Film- oder Bildaufnahmen gesehen und dass sie sich zudem gegen eine Anfertigung einer Fotografie explizit gewehrt habe.

Auf seiner Facebook-Seite veröffentlichte der beklagte Unternehmer ein Video, auf dem u.a. auch die Klägerin zu sehen war. Die Klägerin mahnte den beklagten Frisör ab und forderte die Abgabe einer strafbewehrten Unterlassungs- und Verpflichtungserklärung und die Entfernung des Videos von der Facebook-Seite. Nachdem der Frisör der Aufforderung nicht nachkam, beantragte die Klägerin eine einstweilige Verfügung, die dann auch vom Landgericht Frankfurt/Main erlassen wurde.

Das Landgericht Frankfurt begründete seine Entscheidung damit, dass der beklagte Unternehmer beweisen müsse, dass er eine Einwilligung seiner Kundin dafür eingeholt habe, dass das verwendete Video von ihm im Internet veröffentlicht werden darf. Da der Frisör dies nicht beweisen konnte, ging das Gericht von einem Verstoß u.a. auch gegen die Vorschriften der DSGVO aus. Interessant in diesem Zusammenhang ist, dass das Gericht auch auf die Frage eingegangen ist, ob die Veröffentlichung des Videos durch sog. berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO abgedeckt sei. Im Rahmen der Abwägung erkannte das Landgericht zwar, dass „Werbung“ ein berechtigtes Interesse eines Unternehmers sei. Allerdings überwiege hier das Interesse der klagenden Kundin, weil eine Kundin eines Frisör-Salons nach Auffassung des Landgericht nicht damit rechnen müsse, während eines Besuchs beim Frisör gefilmt zu werden und sodann ohne ihre Einwilligung auch zur Werbung für das Unternehmen benutzt werde.

Das Landgericht hat dabei auch die „alten Abwägungsvorgaben“ aus dem Kunsturhebergesetz (KUG), dort §§ 22, 23 KUG, hinzugezogen und bei der Abwägung der jeweiligen Interessen berücksichtigt.

Mit anderen Worten:

Das Landgericht ist der Auffassung, dass auch schon vor Inkrafttreten der DSGVO die Werbung des Frisörs als Persönlichkeitsrechtsverletzung unzulässig gewesen wäre.

An sich kein allzu überraschendes Urteil. Interessant ist aber, dass das Landgericht im Rahmen der Begründung eine in der juristischen Fachliteratur vertretene Auffassung aufnimmt, dass die „alten Abwägungsgrundsätze“ des KUG bei Bildnis-Veröffentlichungen auch im Rahmen der DSGVO heranzuziehen sind, so dass man zumindest vom Grundsatz ausgehen kann „Alles was nach dem KUG verboten war, bleibt auch nach der DSGVO untersagt“. Ob dann aber auch umgekehrt die Aussage „Alles was nach dem KUG erlaubt war, ist auch nach der DSGVO erlaubt“ greift, ist damit noch nicht gesagt. Hier wird wiederum die Auffassung vertreten, dass die DSGVO strengere Maßstäbe an die Bildnis-Veröffentlichung anlege, als das „alte“ KUG.

LG Würzburg: Verstoß gegen DSGVO stellt auch Wettbewerbsverstoß dar

Das LG Würzburg hat am 13.09.2018 eine einstweilige Verfügung erlassen und geurteilt, dass der Betrieb einer ungesicherten Webseite ohne Datenschutzerklärung wettbewerbswidrig ist (AZ: 11 O 1741/18).

Ohne dass dies detailliert begründet wird, meint das LG Würzburg, dass ein Vertsoß gegen Vorschriften der DSGVO gleichzeitig gem. § 3a UWG unlauter sei.

Soweit ersichtlich, ist das LG Würzburg das bislang erste Gericht, dass explizit einen Verstoß gegen die DSGVO als Wettbewerbsverstoß nach § 3a UWG einstuft. Leider begründet das Gericht seine Rechtsauffassung nicht, sondern verweist lediglich auf Urteile, die noch auf altem Datenschutzrecht beruhen. Dabei gibt es einige Stimmen in der juristischen Fachliteratur, die eine andere Auffassung vertreten und der Meinung sind, dass aufgrund der Vorschrift von Art. 80 DSGVO eine gleichzeitige Verfolgung durch Mitbewerber, gestützt auf Vorschriften des UWG, nicht möglich ist.