Zwei aktuelle Urteile gibt es zu Fragen des Datenschutzes auf Grundlage der DSGVO, die unterschiedlicher nicht sein könnten:
Zum einen ein Urteil des Europäischen Gerichtshofes (EuGH), der zur Frage der Haftung für die Integrierung des Facebook-Like-Buttons auf die eigene Webseite sehr strenge Maßstäbe anlegt. Zum anderen ein Urteil des Oberlandesgerichts (OLG) Frankfurt/Main, in dem insbesondere ein Instrument aus dem Online-Marketing nach wie vor für zulässig erachtet wird.
Mit Urteil vom 29.07.2019, Az.: C-40/17, hat der EuGH – eigentlich wenig überraschend – klargestellt, dass der Betreiber einer Webseite, welcher den Facebook-Like-Button auf seine Seite einbindet, für Datenschutzverstöße, die von Facebook begangen werden, mithaftet.
Dies bedeutet also, dass der Webseitenbetreiber in Fällen, in denen er den Facebook-Like-Button auf seine Webseite einbindet, den Nutzer über den Umfang der Nutzung seiner Daten aufklären und insbesondere auch eine Einwilligung für die Übertragung der Daten an Facebook in die USA einholen muss. Das Problem: Da Facebook nicht aufklärt, was genau mit den Nutzerdaten dort geschieht, kann natürlich auch ein Webseitenbetreiber nicht korrekt aufklären. Dies hat zur Folge, dass ein Unternehmen den Facebook-Like-Button auf seine eigene Webseite am besten nicht einbindet. Was natürlich möglich ist, ist die Verlinkung auf die eigene Facebook-Seite, wobei allerdings auch hier gewisse Zweifel daran bestehen, ob derzeit überhaupt ein Unternehmen auf Facebook eine entsprechende Seite betreiben kann, ohne gegen die DSGVO zu verstoßen. Insoweit bleibt es bei der bisherigen Unsicherheit.
Aus dem EuGH-Urteil gehen noch zwei weitere Punkte hervor, die bislang umstritten waren und die sicherlich auch nicht zugunsten eines Unternehmens entschieden worden sind:
So hat der EuGH klargestellt, dass für sog. Tracking-Cookies der Webseitenbetreiber immer eine Einwilligung einzuholen hat. Alleine der Hinweis auf die Verwendung entsprechender Cookies auf der eigenen Webseite und das typische „Wegklicken“ des Cookie-Hinweises dürfte also wohl nicht mehr ausreichen.
Darüber hinaus hat der EuGH klargestellt, dass ein Verbraucherschutzverband einen Verstoß gegen die DSGVO abmahnen darf. Dies könnte natürlich dazu führen, dass sich Wettbewerbs- und Verbraucherschutzverbände nun vermehrt um solche möglichen DSGVO-Verstöße kümmern werden und also Abmahnungen drohen.
Ein Lichtblick dagegen ist das Urteil des OLG Frankfurt für den Bereich des Online-Marketings:
Bei der Entscheidung ging es u.a. um das in der Vergangenheit typische verwendete „datenschutzrechtliche Geben und Nehmen“: Der Nutzer darf an einem Gewinnspiel des Unternehmens teilnehmen, gibt dafür im Gegenzug seine Einwilligung zum Erhalt von Newslettern.
Nach Inkrafttreten der DSGVO war vielfach die Meinung zu lesen, dass eine solche Kopplung zwischen Teilnahme an einem Gewinnspiel gegen Einwilligung zum Newsletter-Erhalt eine unzulässige Kopplung sei, weil eine Einwilligung stets freiwillig erteilt werden müsse und es in einem solchen Fall an der Freiwilligkeit fehle.
Das OLG Frankfurt hat mit Urteil vom 27.06.2019, Az.: 6 U 6/19, jedoch den Deal „Daten gegen Leistung“ nicht grundsätzlich verboten, sondern erlaubt. In dem vorliegenden Fall hatte ein Energieunternehmen ein Gewinnspiel angeboten. Der Nutzer konnte daran teilnehmen, musste allerdings dafür eine Einwilligung in Werbeanrufe des Energieversorgers erteilen. Zwar wurde dem Energieunternehmen diese Praxis untersagt. In diesem Fall allerdings nur deshalb, weil das Unternehmen die Einwilligung des Nutzers nicht nachweisen konnte.
Da es im vorliegenden Fall um einen Werbeanruf ging und keine Verifikation der Telefonnummer erfolgte, untersagte das OLG diese Praxis, urteilte jedoch auch, dass eine typische Einwilligung im Wege des Double-Opt-Ins (wie sie insbesondere bei der Newsletter-Werbung verwendet wird) in Ordnung sei. Auch hatte das OLG grundsätzlich keine Probleme mit der Freiwilligkeit. Das Gericht stellte klar, dass jeder Nutzer freiwillig entscheiden könne, ob er seine Daten preisgibt, um am Gewinnspiel teilzunehmen oder eben nicht.
Wichtig ist aber weiterhin zweierlei:
Zum einen muss die Einwilligungserklärung für den Nutzer klar formuliert sein und er muss wissen, in welche Art der Werbung er einwilligt, ob seine E-Mail-Adresse an Dritte weitergegeben wird, wenn ja, an wen etc.
Des Weiteren muss die Einwilligung im Wege des Douple-Opt-Ins erfolgen, damit nachher eine Einwilligung auch für das Unternehmen nachweisbar ist.