Gerichtsurteile zur DSGVO

Die seit Mai 2018 geltende europäische Datenschutz-Grundverordnung (DSGVO) stellt zwar eine große Zahl von Datenschutzvorschriften auf, bleibt jedoch in vielen Punkten auslegungsfähig. Zudem ist die Vereinbarkeit mit nationalem Recht noch nicht überall vollständig geklärt. An dieser Stelle sammeln wir deswegen relevante Gerichtsurteile zur DSGVO, die Unternehmen dabei helfen, DSGVO-Compliance zu erzielen. Urteile zu vergleichbaren Fragestellungen fassen wir zusammen oder wägen sie miteinander ab. Derzeit kommentieren wir 10 aktuelle Urteile zur DSGVO.

Das Kunsturhebergesetz (KUG) und die Grundsätze der Rechtsprechung dazu bleiben auch unter der Datenschutz-Grundverordnung (DSGVO) weiter anwendbar. Das haben mittlerweile zwei Gerichte in unterschiedlichen Sachverhalten bestätigt.

OLG Köln

Das Kunsturhebergesetz (KunstUrhG) sieht in § 23 Ausnahmen vor, nach denen auch ohne die Einwilligung der betroffenen Personen beispielsweise „Bildnisse aus dem Bereiche der Zeitgeschichte“ und „Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen“ veröffentlicht werden dürfen.

Mit Anwendbarkeit der der DSGVO (EU-Datenschutz-Grundverordnung) entstand die Unsicherheit, ob man sich bei der Veröffentlichung von Bildern zu solchen journalistischen Zwecken weiter auf diese Ausnahmeregeln berufen kann. Mit seinem Beschluss vom 18. Juni 2018 (AZ: 15 W 27/18) stellte das OLG Köln nun fest, dass sich das KunstUrhG in eine Öffnungsklausel der DSGVO einfügt und somit weiter anwendbar bleibt.

Bis zur DSGVO war Art. 9 der Richtlinie RL 95/46/EG das Einfallstor für nationale Gesetze, die zugunsten der Verarbeitung zu journalistischen Zwecken Abweichungen und Ausnahmen von den europäischen Vorgaben im Datenschutz aufstellten.

Diesen Bereich regelt nun Art. 85 DSGVO. Er regelt ihn aber wieder nicht inhaltlich – macht also keine materiell-rechtlichen Vorgaben – sondern ermächtigt (wie zuvor Art. 9 der Richtlinie RL 95/46/EG) als sog. Öffnungsklausel die Mitgliedstaaten, eigene Regelungen zu finden, den Datenschutz mit der Meinungs- und Informationsfreiheit in Einklang bringen.

Eine solche Regelung ist laut dem Beschluss des OLG Köln beispielsweise § 23 KunstUrhG. Das Gericht interpretiert Art. 85 DSGVO so, dass nicht nur neue, sondern auch bestehende Regelungen diese Öffnungsklausel füllen können.

Es geht sogar noch einen Schritt weiter und gibt künftigen Anwendern dieser Gesetze mit, dass im Rahmen der Abwägung innerhalb des KunstUrhG die unionsrechtlichen Grundrechtspositionen zu berücksichtigen sind. Das ist ein Verweis auf die Grundrechtecharta, die in Art. 8 den Schutz personenbezogener Daten und in Art. 11 die Freiheit der Meinungsäußerung und Informationsfreiheit festschreibt. Diese sind nun bei der Auslegung der Ausnahmeregelung in § 23 KunstUrhG zu berücksichtigen.

Wer mit den Entscheidungen des EuGH in Bezug auf Fortgeltung nationalen Rechts vertraut ist, der erkennt hier, wie geschickt das OLG Köln die Weitergeltung des KunstUrhG begründet: Der EuGH zieht eine „unionsrechtsfreundliche Auslegung“ nationaler Gesetze immer dem Widerspruch und der damit verbundenen Unanwendbarkeit nationaler Gesetze vor. Dadurch, dass sich das KunstUrhG laut OLG Köln als nationales Gesetz in der Öffnungsklausel des Art. 85 DSGVO einfügt und zusätzlich dazu nun mit Hinblick auf europäische Grundrechte ausgelegt werden muss, sind den europäischen Gerichten die Angriffspunkte genommen.

Die DSGVO verdrängt damit das KunstUrhG nicht – wie von manchen erwartet worden war – sondern bezieht das KunstUrhG in das Regelungsgeflecht mit ein. Für journalistische Fotografien gelten damit weiterhin die bekannten Regeln des KunstUrhG.

LG Frankfurt

Das Landgericht (LG) Frankfurt musste über die Frage entscheiden, ob die Veröffentlichung von Videoaufnahmen mangels Einwilligung untersagt werden kann. Im Fall hatte ein Friseurbetrieb zu Werbezwecken Videoaufnahmen von einer Haarverlängerung bei der Klägerin gemacht und diese auf Facebook veröffentlicht. Die Klägerin verlangte daraufhin Unterlassung der weiteren Veröffentlichung.

Die Streitfrage ist bei Foto- und Videoaufnahmen regelmäßig, ob das KUG als nationales Gesetz überhaupt Anwendung findet, wenn die DSGVO als EU-Verordnung eigene Regeln für solche Fälle aufstellt und daher also höheres Recht vorrangig anwendbar ist. Die DSGVO sieht in Art. 85 Abs. 1 aber vor, dass nationale Gesetzgeber eigene Rechtsvorschriften in bestimmten Bereichen erlassen können.

Das Gericht ist bei seiner Entscheidung zunächst zurückhaltend und hält fest, dass es offenbleiben könne, ob die §§ 22, 23 KUG als Rechtsvorschriften im Sinne von Art. 85 Abs. 1 DSGVO weiter Geltung entfalten könnten.  Das liegt daran, dass es in beiden Fällen zur Anwendung der Grundsätze von Art. 22, 23 KUG und damit zum gleichen Ergebnis gelangt:

Direkte Anwendung des KUG als spezielles Gesetz über Art. 85 Abs. 1 DSGVO

Einmal erfolgt dies durch die direkte Anwendung über Art. 85 Abs. 1 DSGVO, der den nationalen Gesetzgebern als sog. „Öffnungsklausel“ die Möglichkeit gibt, durch eigene Rechtsvorschriften die Meinungs- und Informationsfreiheit mit dem Datenschutz in Einklang zu bringen. Eine direkte Anwendung des KUG setzt voraus, dass in Art. 85 Abs. 1 DSGVO auch Rechtsvorschriften gemeint sind, die vor der DSGVO bestanden. Dies entspricht der oben diskutierten Ansicht des OLG Köln, das davon ausgeht, dass Art. 85 Abs. 1 DSGVO nicht nur neu geschaffene Gesetze umfasst.

Indirekte Anwendung des KUG im Rahmen der Abwägung beim „berechtigten Interesse“

Alternativ dazu prüft das LG Frankfurt auch, die Regeln der DSGVO zur Einwilligung und anderen Rechtsgrundlagen anzuwenden und das KUG zunächst außer Acht zu lassen. Art. 6 Abs. 1 lit. a) in Verbindung mit Art. 7 (Einwilligung als Rechtsgrundlage in der DSGVO) führen zu dem Ergebnis, dass die Verarbeitung nicht zulässig ist, weil keine Einwilligung vorliegt.

Im Anschluss wird geprüft, ob die Veröffentlichung möglicherweise durch Art. 6 Abs. 1 lit. f) (berechtigtes Interesse) gerechtfertigt werden kann. Hierbei kommt es nun doch zur Anwendung von 22, 23 KUG. Die Kammer „erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung – unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung – als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind“ und verweist dann auf das Ergebnis von oben, das unter der Anwendung der §§ 22, 23 KUG gefunden wurde. In dieser Variante ist also die Abwägung beim „berechtigten Interesse“ in Art. 6 Abs. 1 lit. f) DSGVO das Einfallstor für das KUG.

Beide Wege führen zu dem Ergebnis, dass eine weitere Veröffentlichung mangels Einwilligung unterlassen werden muss. Die gleichen Regeln dürften für Fotoaufnahmen gelten.

Es beweist sich ein weiteres Mal, dass die DSGVO nicht alles „auf den Kopf stellt“, sondern trotz des Anwendungsvorrangs des Europarechts Platz für die direkte und indirekte Wirkung nationaler Gesetze und dazugehöriger Rechtsprechung lässt.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

In einem Teilurteil vom 24.10.2018 musste sich das Oberlandesgericht (OLG) München mit der Frage auseinandersetzen, ob die Bestimmungen der DSGVO einem Auskunftsanspruch entgegenstehen, von dem auch Kundendaten betroffen waren. Dabei macht das Gericht Ausführungen zur Auslegung der „berechtigten Interessen“ aus Art. 6 Abs. 1 lit. f DSGVO und verwendet bei der Argumentation den Begriff der „wirtschaftlichen Daten“.

Das Gerichtsverfahren

In der Sache hatten sich die Parteien darum gestritten, dass die eine Partei einen Schadenersatzanspruch geltend machen wollte, die andere Partei aber nicht die Informationen preisgeben wollte, die zur Geltendmachung dieses Anspruchs relevant waren. Bei einem Vertragshändlervertrag kann diese Auskunft unter gewissen Umständen aus Treu und Glauben (§242 BGB) geschuldet sein.

Wenn man die Entscheidung auf den datenschutzrechtlichen Inhalt beschränkt, lautet die Ausgangsfrage wie folgt: Steht der Datenschutz einem Auskunftsanspruch im Rahmen eines Vertragshändlervertrags entgegen, wenn in der geforderten Auskunft Kundendaten (Namen und Anschrift der Abnehmer) enthalten sind.

Berechtigtes Interesse ist weit auszulegen

In seiner Urteilsbegründung verweist das Gericht auf Art. 6 Abs. 1 lit. f DSGVO („Wahrung von berechtigten Interessen“) als Rechtsgrundlage der Verarbeitung. Sinn und Zweck dieser Rechtsgrundlage sei, „einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen“.

Die Richter gehen zunächst auf den Erwägungsgrund 47 DSGVO ein, der in Satz 2 das Kundenverhältnis ausdrücklich aus Beispiel für ein berechtigtes Interesse nennt. Das Gericht  argumentiert dem Gesetzestext entsprechend darüber hinaus auch mit den (Unions-)Grundrechten und stellt fest, dass im Hinblick auf diese eine weite Auslegung des berechtigten Interesses geboten ist.

Anders als es von vielen Verantwortlichen und Betroffenen derzeit empfunden wird, ist der Schutz personenbezogener Daten (Art. 8 EU-Grundrechtecharta) nämlich kein absolutes und unantastbares Recht, sondern muss immer auch mit anderen Grundrechten in Einklang gebracht werden. Dies ermöglicht beispielsweise Art. 6 Abs. lit. f) DSGVO. Im vorliegenden Fall nennt das Gericht die Berufsfreiheit (Art. 15 EU-Grundrechtecharta) als einschlägiges Grundrecht. Oftmals ist es auch die Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 11 EU-Grundrechtecharta), die als berechtigtes Interesse mit dem Datenschutz in Einklang gebracht werden muss.

Die Art der Daten ist entscheidend

Wenn es darum geht, welche personenbezogenen Daten besonders schützenswert sind und welche weniger schützenswert sind, hat die DSGVO im Grunde eine einfache Einteilung: Für alle personenbezogenen Daten gelten die Verarbeitungsgrundsätze der DSGVO und für manche „besondere Kategorien“ personenbezogener Daten (Art. 9 Abs. 1 DSGVO) gelten bei der Verarbeitung strengere Regeln.

Warum spricht das OLG München im Rahmen der Interessenabwägung nun ausgerechnet von „wirtschaftlichen Daten“, wenn es ausführt, dass im Hinblick auf die Ermittlung eines möglichen Schadensersatzanspruches „der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden“ kann?

Der Begriff „wirtschaftliche“ Daten stellt die Erhebung und die Verarbeitung der Daten in den korrekten Kontext und bewertet die Schutzwürdigkeit der Daten innerhalb dieses Kontextes:

Es sei „besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin […] nicht verborgen bleibenden Kaufvorgang.“ Auch der Aspekt wirtschaftlicher Geheimhaltung falle nicht ins Gewicht, da die Auskunft nicht Daten wie Ratenzahlung, Kreditfinanzierung umfasse.

Das zeigt, dass bei der Einordnung der Schutzwürdigkeit von Daten nicht nur in „normale“ und „besondere Kategorien“ von Daten einzuteilen ist, sondern auch der Kontext (Kundenverhältnis, Behandlung als Patient beim Arzt, Bewerbung auf eine Arbeitsstelle) und die Einordnung der Daten innerhalb dieses Kontexts zu beachten sind.

Insgesamt kann man an diesem Urteil auch erkennen, dass sich datenschutzrechtliche Vorgaben aus dem Unionsrecht durchaus in nationale Rechtsordnungen einfügen: Es wurde ein vom BGH in ständiger Rechtsprechung entwickelter Auskunftsanspruch geprüft, der sich auf nationales Recht (§ 242 BGB) stützt und bei dessen Geltendmachung die Übermittlung der personenbezogenen Daten in durch eine von der Datenschutz-Grundverordnung vorgesehene Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO) ermöglicht wird.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

In einem Eilverfahren setzte sich der Verwaltungsgerichtshof (VGH) Bayern mit der Anwendung des Marketingtools Facebook Custom Audiences auseinander. In ihrem Beschluss vom 26. September 2018 schränkten die Richter die Nutzung von FCA deutlich ein (Az.: 5 CS 18.1157).

Durch Facebook Custom Audiences können Kunden zielgerichtet mit Werbung versorgt werden. Hat das Unternehmen einen eigenen Facebook-Account, so kann es dort seine Kundendaten hochladen. Mittels der sog. kryptographischen Hash-Funktion SHA-256 (Umwandlung in eine feste Zeichenkette) wird aus jedem hochgeladenen Kundendatum ein Hash-Wert gebildet. Dieser Wert wird wiederrum mit denen von registrierten Facebook-Nutzern abgeglichen. Stimmen die Hash-Werte überein, erhalten die jeweiligen Nutzer zielgerichtete Werbung von jenem Unternehmen, das die FCA-Funktion nutzt. Um diese Genauigkeit noch zu steigern, reichert Facebook die Daten „gematchter“ Nutzer noch mit Informationen (IP-Adressen, Interaktion mit FCA nutzenden Unternehmen, Facebook-Profil des Nutzers, etc. pp.) aus anderen Quellen an.

Der Bayerische Verwaltungsgerichtshof beschloss nun, dass

  • Facebook gegenüber dem Unternehmen, das FCA einsetzt, kein Auftragsverarbeiter, sondern Dritter ist,
  • der Einsatz von FCA der vorherigen Einwilligung durch den betroffenen Nutzer bedarf und
  • auch wenn das Unternehmen ein berechtigtes Interesse (altes Recht: § 28 Abs. 3 S. 2 Nr. 1 BDSG a. F., neues Recht: Art. 6 Abs. 1 S. 1 lit. f DSGVO) an zielgerichteter Werbung hat, überwiegt in diesem Fall das Interesse des Betroffenen, der nicht damit rechnen muss, dass das Unternehmen seine E-Mail-Adresse an Facebook weitergibt.

Zur Begründung, dass keine Auftragsverarbeitung durch Facebook vorliege, führten die Richter an, dass der Social-Media-Konzern selbst festlegen kann, nach welchen Kriterien der Facebook-Nutzer beworben wird. Dies spricht gegen die Weisungsgebundenheit, die einen Auftragsverarbeiter stets auszeichnet.

Ob und wie Sie FCA weiterhin nutzen können, finden Sie in unserem Ratgeber zum DSGVO-konformen Einsatz von Facebook Custom Audiences.

Verantwortlicher Redakteur der activeMind AG: Johannes Zwerschke

Der Bundesgerichtshof (BGH) musste sich mit Art und Dauer einer Einwilligung in die Kontaktaufnahme zu Werbezwecken beschäftigen. Im Urteil vom 1. Februar 2018 (AZ: III ZR 196/17) schufen die Richter in beiden Fragen Klarheit.

Der Sachverhalt

Am Ende des Bestellprozesses bot ein Telefondienstleister seinen Kunden an, ein Kästchen auszuwählen, mit dem in die nachfolgende Erklärung zur Zusendung neuer Angebote über E-Mail, Telefon, SMS oder MMS eingewilligt werden sollte. Der Kläger hielt diese Vorgehensweise für unwirksam und trug den Rechtsstreit über das Landgericht und das Oberlandesgericht Köln bis vor den BGH, um eine Unterlassung der Verwendung dieser Klausel in den Allgemeinen Geschäftsbedingungen (AGB) zu erreichen.

Der BGH hält die Klausel jedoch für wirksam und stellt in seiner Urteilsbegründung gleich zwei Punkte klar:

  1. Eine Einwilligung kann für mehrere Kanäle (der Kontaktaufnahme bzw. Werbung) auf einmal eingeholt werden.
  2. Die Wirksamkeit einer Einwilligung erlischt nicht allein durch Zeitablauf.

Mehrere Kanäle – eine Einwilligung

Da in § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) bei den verschiedenen Kontaktmöglichkeiten (E-Mail, Telefon, Fax, SMS) die gleichen Voraussetzungen an die Einwilligung gestellt werden, ist laut BGH die Einholung einer umfassenden Einwilligung möglich und auch ausreichend:

„Die gesetzlichen Voraussetzungen in § 7 Abs. 2 Nr. 2 und 3 UWG für die Einwilligung eines Verbrauchers in eine Werbung über die dort genannten Kanäle stimmen überein, so dass sich hieraus kein Grund für getrennte Einwilligungserklärungen ergibt. Unter Schutzzweckgesichtspunkten ist eine gesonderte Einwilligung für jeden Werbekanal ebenfalls nicht erforderlich.“

Diese Einwilligung kann wie im vorliegenden Fall auch im Rahmen von AGB durch Einsatz eines Auswahlkästchens eingeholt werden.

Die Einwilligung hat kein Verfallsdatum

Darüber hinaus verfällt eine einmal eingeholte Einwilligung nicht durch reinen Zeitablauf:

„Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.“

Dass eine einmal erteilte Einwilligung auch nach mehreren Jahren als Grundlage für Direktmarketing dienen kann, klingt auf den ersten Blick wenig verbraucher- und betroffenenfreundlich. Das LG Berlin hatte dies vor wenigen Jahren noch anders entschieden und ließ Einwilligungen „infolge Aktualitätsverlusts“ durch bloßen Zeitablauf erlöschen (LG Berlin, Urteil vom 6. April 2016, AZ: 15 O 515/15). Diese Sichtweise wird sich aber spätestens mit dem aktuellen BGH-Urteil nicht mehr durchsetzen können, denn auch die DSGVO sieht an keiner Stelle ein „Verfallsdatum“ für Einwilligungen vor.

Stattdessen gibt die DSGVO dem Betroffenen ein anderes Mittel zur Hand: das Widerrufrecht, auf das er vom Verantwortlichen ausdrücklich hingewiesen werden muss. Als Korrektiv enthält die DSGVO außerdem noch die Grundsätze von Treu und Glauben und Transparenz: Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der BGH hält in der vorliegenden Sache fest, dass hinsichtlich der Geltungsdauer der Einwilligung keine Bedenken bestünden, da diese auf die Laufzeit des Vertrages (zwei Jahre) begrenzt ist und dies für den Verbraucher einen überschaubaren Zeitraum darstelle. Indem der BGH dies ausdrücklich berücksichtigt, hält er sich offen, dies in Zukunft bei einer längeren Laufzeit auch anders zu entscheiden.

Datenschutzrechtliche Einschätzung

Der BGH traut dem Verbraucher als betroffene Person einen verständigen Umgang mit seiner Einwilligungserklärung zu. Er kann eine Einwilligung für mehrere Kontaktkanäle erteilen, die zunächst zeitlich unbegrenzt wirksam bleibt. Das erleichtert den Unternehmen als Verantwortlichen die Arbeit, ohne dem betroffenen Kunden die Kontrolle über seine Einwilligung zu nehmen.

Durch die Entscheidung hat der Verantwortliche jetzt nicht mehr die Rechtsunsicherheit, dass er trotz einer Einwilligung nach einer gewissen Zeit nicht mehr genau wissen kann, ob diese denn noch gültig ist. Das ist nur konsequent, denn die DSGVO legt die Kontrolle über die Rechtmäßigkeit der Verarbeitung in die Hände des Betroffenen: Mit der Erteilung der Einwilligung beginnt der rechtmäßige Zustand, mit der Erklärung des Widerrufs endet er.

Man muss sich als Verarbeiter daher nicht fragen, nach wie vielen Monaten oder Jahren genau eine wirksam erteilte Einwilligung erlischt. Man sollte sich als Überprüfung der Fortgeltung der Einwilligung aber folgende Fragen stellen: Ist sich der Betroffene immer noch über die Verarbeitung der Daten und im Klaren (Treu und Glauben, Transparenz) und würde er diese Einwilligung auch heute noch erteilen (Widerrufsrecht)?

Die Artikel-29 Datenschutzgruppe empfiehlt als Best Practice, eine erteilte Einwilligung „nach einer Weile“ von Untätigkeit (also keine Bewerbung) nochmals zu überprüfen, indem man die betroffene Person über ihre Einwilligung informiert.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

Sie vermissen ein wichtiges Urteil zur DSGVO? Dann lassen Sie es uns bitte wissen! Schreiben Sie uns einfach eine E-Mail, dann prüfen wir den Richterspruch und veröffentlichen ggfs. unsere datenschutzrechtliche Einschätzung zum Gerichtsurteil.

Übrigens berichten wir auch regelmäßig zu den Prüfungen von Datenschutzaufsichtsbehörden, so dass Sie stets wissen, worauf die Behörden gerade ein besonderes Augenmerk richten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.