Gerichtsurteile zur DSGVO

Die seit Mai 2018 geltende europäische Datenschutz-Grundverordnung (DSGVO) stellt zwar eine große Zahl von Datenschutzvorschriften auf, bleibt jedoch in vielen Punkten auslegungsfähig. Zudem ist die Vereinbarkeit mit nationalem Recht noch nicht überall vollständig geklärt. An dieser Stelle sammeln wir deswegen relevante Gerichtsurteile zur DSGVO, die Unternehmen dabei helfen, DSGVO-Compliance zu erzielen. Urteile zu vergleichbaren Fragestellungen fassen wir zusammen oder wägen sie miteinander ab. Derzeit kommentieren wir 10 aktuelle Urteile zur DSGVO.

Eine von Apple im Jahr 2011 verwendete „Datenschutzrichtlinie“ ist in weiten Teilen rechtswidrig. Die Darstellung der Verarbeitungen ersetzt nicht die tatsächliche Einholung von Einwilligungen für Nutzungen, die über die Zwecke der Vertragserfüllung hinausgehen.

Der Verbraucherzentrale Bundesverband e. v. (vzbv) hatte gegen eine Datenschutzrichtlinie von 2011 der Apple Sales International geklagt. Dort war festgehalten, dass man die personenbezogenen Daten für „Werbung, Verbesserung von Produkten und interne Zwecke“ nutzen würde. Auf dieser Grundlage wurden neben Kontaktdaten auch präzise Standortdaten an „strategische Partner“ weitergegeben.

Das Kammergericht (KG) Berlin hat in seinem Urteil vom 27. Dezember 2018 (AZ: 23 U 196/13) sieben von acht beanstandeten Klauseln für unzulässig erklärt. Die dort dargestellten Verarbeitungen entbehren einer Rechtsgrundlage und sind nicht mehr zur Vertragserfüllung notwendig.

Die entsprechenden Klauseln seien auch deswegen rechtswidrig, weil sie den Eindruck vermitteln würden, es komme auf die Einwilligung der Kunden gar nicht an. Das Gericht stellt in diesem Zusammenhang klar, dass die Erfüllung der Informationspflichten, die ein Betroffener ungefragt hinnehmen muss, nicht die Einholung der Einwilligung ersetzt.

Datenschutzrechtliche Relevanz des Urteils

Man beobachtet derzeit bei vielen Unternehmen, deren Geschäftsmodell der Weiterverkauf von personenbezogenen Daten zu Werbezwecken ist, dass man im Rahmen der Datenschutzerklärung zwar die Datenverarbeitung umfassend und transparent darstellt, dass die dargestellten Datenverarbeitungen aber nicht – oder zumindest so nicht – zulässig sind.

Hier genügt beispielsweise ein Blick in die Datenrichtlinien bekannter sozialer Netzwerke, mit denen die Informationspflichten nach Art. 13 f. DSGVO erfüllt werden sollen. Es reicht dabei nicht, nur die Datenverarbeitungen darzustellen. Diese müssen auch rechtmäßig sein, also vor allem eine rechtliche Grundlage haben (Art. 6 DSGVO) und die Grundsätze der Datenverarbeitung nach der DSGVO beachten (Art. 5 DSGVO).

Dabei werden drei Punkte oft außer Acht gelassen:

  1. Der Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b) besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht über diese Zwecke hinaus verarbeitet werden dürfen. Oft stützt man sich auf die Vertragserfüllung als Zweck, obwohl viele der dargestellten Verarbeitungen nicht für die Vertragserfüllung notwendig sind. Ferner werden „harmlose“ Zwecke kommuniziert und die Weitergabe und der Verkauf von Daten zu Werbezwecken verheimlicht.
  2. Wer sich auf die Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit . f DSGVO) stützt, muss diese bei Erhebung begründen (Art. 13 Abs. 1 lit. d DSGVO). Ferner muss dieses berechtigte Interesse des Verantwortlichen den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person auch wirklich überwiegen.
  3. Wer sich auf die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, Art. 7 DSGVO) der betroffenen Person beruft, muss diese tatsächlich und in rechtmäßiger Weise einholen und die Konsequenzen eines Widerrufs der Einwilligung umsetzen können.

Transparenz ist daher nur der erste Schritt. Es reicht nicht aus, offen zu kommunizieren, was man mit den Daten macht – die Verarbeitungen müssen an sich auch rechtmäßig sein.

Im besagten Fall stellt das Kammergericht ferner fest, dass die DSGVO auch für früher verwendete Klauseln maßgeblich sei, da diese für die Verarbeitung personenbezogener Daten uneingeschränkt gilt und die Unterlassungsklage des vzbv auf das künftige Verhalten des Unternehmens gerichtet war.

Es bleibt zu beobachten, ob die Gerichte auch weitere Datenschutzrichtlinien und Datenschutzerklärungen von verantwortlichen Unternehmen für rechtswidrig erklären, die auch heute noch mit ähnlichen Klauseln wie denen in der Apple-Datenschutzrichtlinie von 2011 arbeiten.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

Das Kunsturhebergesetz (KUG) und die Grundsätze der Rechtsprechung dazu bleiben auch unter der Datenschutz-Grundverordnung (DSGVO) weiter anwendbar. Das haben mittlerweile zwei Gerichte in unterschiedlichen Sachverhalten bestätigt.

OLG Köln

Das Kunsturhebergesetz (KunstUrhG) sieht in § 23 Ausnahmen vor, nach denen auch ohne die Einwilligung der betroffenen Personen beispielsweise „Bildnisse aus dem Bereiche der Zeitgeschichte“ und „Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen“ veröffentlicht werden dürfen.

Mit Anwendbarkeit der der DSGVO (EU-Datenschutz-Grundverordnung) entstand die Unsicherheit, ob man sich bei der Veröffentlichung von Bildern zu solchen journalistischen Zwecken weiter auf diese Ausnahmeregeln berufen kann. Mit seinem Beschluss vom 18. Juni 2018 (AZ: 15 W 27/18) stellte das OLG Köln nun fest, dass sich das KunstUrhG in eine Öffnungsklausel der DSGVO einfügt und somit weiter anwendbar bleibt.

Bis zur DSGVO war Art. 9 der Richtlinie RL 95/46/EG das Einfallstor für nationale Gesetze, die zugunsten der Verarbeitung zu journalistischen Zwecken Abweichungen und Ausnahmen von den europäischen Vorgaben im Datenschutz aufstellten.

Diesen Bereich regelt nun Art. 85 DSGVO. Er regelt ihn aber wieder nicht inhaltlich – macht also keine materiell-rechtlichen Vorgaben – sondern ermächtigt (wie zuvor Art. 9 der Richtlinie RL 95/46/EG) als sog. Öffnungsklausel die Mitgliedstaaten, eigene Regelungen zu finden, den Datenschutz mit der Meinungs- und Informationsfreiheit in Einklang bringen.

Eine solche Regelung ist laut dem Beschluss des OLG Köln beispielsweise § 23 KunstUrhG. Das Gericht interpretiert Art. 85 DSGVO so, dass nicht nur neue, sondern auch bestehende Regelungen diese Öffnungsklausel füllen können.

Es geht sogar noch einen Schritt weiter und gibt künftigen Anwendern dieser Gesetze mit, dass im Rahmen der Abwägung innerhalb des KunstUrhG die unionsrechtlichen Grundrechtspositionen zu berücksichtigen sind. Das ist ein Verweis auf die Grundrechtecharta, die in Art. 8 den Schutz personenbezogener Daten und in Art. 11 die Freiheit der Meinungsäußerung und Informationsfreiheit festschreibt. Diese sind nun bei der Auslegung der Ausnahmeregelung in § 23 KunstUrhG zu berücksichtigen.

Wer mit den Entscheidungen des EuGH in Bezug auf Fortgeltung nationalen Rechts vertraut ist, der erkennt hier, wie geschickt das OLG Köln die Weitergeltung des KunstUrhG begründet: Der EuGH zieht eine „unionsrechtsfreundliche Auslegung“ nationaler Gesetze immer dem Widerspruch und der damit verbundenen Unanwendbarkeit nationaler Gesetze vor. Dadurch, dass sich das KunstUrhG laut OLG Köln als nationales Gesetz in der Öffnungsklausel des Art. 85 DSGVO einfügt und zusätzlich dazu nun mit Hinblick auf europäische Grundrechte ausgelegt werden muss, sind den europäischen Gerichten die Angriffspunkte genommen.

Die DSGVO verdrängt damit das KunstUrhG nicht – wie von manchen erwartet worden war – sondern bezieht das KunstUrhG in das Regelungsgeflecht mit ein. Für journalistische Fotografien gelten damit weiterhin die bekannten Regeln des KunstUrhG.

LG Frankfurt

Das Landgericht (LG) Frankfurt musste über die Frage entscheiden, ob die Veröffentlichung von Videoaufnahmen mangels Einwilligung untersagt werden kann. Im Fall hatte ein Friseurbetrieb zu Werbezwecken Videoaufnahmen von einer Haarverlängerung bei der Klägerin gemacht und diese auf Facebook veröffentlicht. Die Klägerin verlangte daraufhin Unterlassung der weiteren Veröffentlichung.

Die Streitfrage ist bei Foto- und Videoaufnahmen regelmäßig, ob das KUG als nationales Gesetz überhaupt Anwendung findet, wenn die DSGVO als EU-Verordnung eigene Regeln für solche Fälle aufstellt und daher also höheres Recht vorrangig anwendbar ist. Die DSGVO sieht in Art. 85 Abs. 1 aber vor, dass nationale Gesetzgeber eigene Rechtsvorschriften in bestimmten Bereichen erlassen können.

Das Gericht ist bei seiner Entscheidung zunächst zurückhaltend und hält fest, dass es offenbleiben könne, ob die §§ 22, 23 KUG als Rechtsvorschriften im Sinne von Art. 85 Abs. 1 DSGVO weiter Geltung entfalten könnten.  Das liegt daran, dass es in beiden Fällen zur Anwendung der Grundsätze von Art. 22, 23 KUG und damit zum gleichen Ergebnis gelangt:

Direkte Anwendung des KUG als spezielles Gesetz über Art. 85 Abs. 1 DSGVO

Einmal erfolgt dies durch die direkte Anwendung über Art. 85 Abs. 1 DSGVO, der den nationalen Gesetzgebern als sog. „Öffnungsklausel“ die Möglichkeit gibt, durch eigene Rechtsvorschriften die Meinungs- und Informationsfreiheit mit dem Datenschutz in Einklang zu bringen. Eine direkte Anwendung des KUG setzt voraus, dass in Art. 85 Abs. 1 DSGVO auch Rechtsvorschriften gemeint sind, die vor der DSGVO bestanden. Dies entspricht der oben diskutierten Ansicht des OLG Köln, das davon ausgeht, dass Art. 85 Abs. 1 DSGVO nicht nur neu geschaffene Gesetze umfasst.

Indirekte Anwendung des KUG im Rahmen der Abwägung beim „berechtigten Interesse“

Alternativ dazu prüft das LG Frankfurt auch, die Regeln der DSGVO zur Einwilligung und anderen Rechtsgrundlagen anzuwenden und das KUG zunächst außer Acht zu lassen. Art. 6 Abs. 1 lit. a) in Verbindung mit Art. 7 (Einwilligung als Rechtsgrundlage in der DSGVO) führen zu dem Ergebnis, dass die Verarbeitung nicht zulässig ist, weil keine Einwilligung vorliegt.

Im Anschluss wird geprüft, ob die Veröffentlichung möglicherweise durch Art. 6 Abs. 1 lit. f) (berechtigtes Interesse) gerechtfertigt werden kann. Hierbei kommt es nun doch zur Anwendung von 22, 23 KUG. Die Kammer „erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung – unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung – als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind“ und verweist dann auf das Ergebnis von oben, das unter der Anwendung der §§ 22, 23 KUG gefunden wurde. In dieser Variante ist also die Abwägung beim „berechtigten Interesse“ in Art. 6 Abs. 1 lit. f) DSGVO das Einfallstor für das KUG.

Beide Wege führen zu dem Ergebnis, dass eine weitere Veröffentlichung mangels Einwilligung unterlassen werden muss. Die gleichen Regeln dürften für Fotoaufnahmen gelten.

Es beweist sich ein weiteres Mal, dass die DSGVO nicht alles „auf den Kopf stellt“, sondern trotz des Anwendungsvorrangs des Europarechts Platz für die direkte und indirekte Wirkung nationaler Gesetze und dazugehöriger Rechtsprechung lässt.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

In einem Teilurteil vom 24.10.2018 musste sich das Oberlandesgericht (OLG) München mit der Frage auseinandersetzen, ob die Bestimmungen der DSGVO einem Auskunftsanspruch entgegenstehen, von dem auch Kundendaten betroffen waren. Dabei macht das Gericht Ausführungen zur Auslegung der „berechtigten Interessen“ aus Art. 6 Abs. 1 lit. f DSGVO und verwendet bei der Argumentation den Begriff der „wirtschaftlichen Daten“.

Das Gerichtsverfahren

In der Sache hatten sich die Parteien darum gestritten, dass die eine Partei einen Schadenersatzanspruch geltend machen wollte, die andere Partei aber nicht die Informationen preisgeben wollte, die zur Geltendmachung dieses Anspruchs relevant waren. Bei einem Vertragshändlervertrag kann diese Auskunft unter gewissen Umständen aus Treu und Glauben (§242 BGB) geschuldet sein.

Wenn man die Entscheidung auf den datenschutzrechtlichen Inhalt beschränkt, lautet die Ausgangsfrage wie folgt: Steht der Datenschutz einem Auskunftsanspruch im Rahmen eines Vertragshändlervertrags entgegen, wenn in der geforderten Auskunft Kundendaten (Namen und Anschrift der Abnehmer) enthalten sind.

Berechtigtes Interesse ist weit auszulegen

In seiner Urteilsbegründung verweist das Gericht auf Art. 6 Abs. 1 lit. f DSGVO („Wahrung von berechtigten Interessen“) als Rechtsgrundlage der Verarbeitung. Sinn und Zweck dieser Rechtsgrundlage sei, „einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen“.

Die Richter gehen zunächst auf den Erwägungsgrund 47 DSGVO ein, der in Satz 2 das Kundenverhältnis ausdrücklich aus Beispiel für ein berechtigtes Interesse nennt. Das Gericht  argumentiert dem Gesetzestext entsprechend darüber hinaus auch mit den (Unions-)Grundrechten und stellt fest, dass im Hinblick auf diese eine weite Auslegung des berechtigten Interesses geboten ist.

Anders als es von vielen Verantwortlichen und Betroffenen derzeit empfunden wird, ist der Schutz personenbezogener Daten (Art. 8 EU-Grundrechtecharta) nämlich kein absolutes und unantastbares Recht, sondern muss immer auch mit anderen Grundrechten in Einklang gebracht werden. Dies ermöglicht beispielsweise Art. 6 Abs. lit. f) DSGVO. Im vorliegenden Fall nennt das Gericht die Berufsfreiheit (Art. 15 EU-Grundrechtecharta) als einschlägiges Grundrecht. Oftmals ist es auch die Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 11 EU-Grundrechtecharta), die als berechtigtes Interesse mit dem Datenschutz in Einklang gebracht werden muss.

Die Art der Daten ist entscheidend

Wenn es darum geht, welche personenbezogenen Daten besonders schützenswert sind und welche weniger schützenswert sind, hat die DSGVO im Grunde eine einfache Einteilung: Für alle personenbezogenen Daten gelten die Verarbeitungsgrundsätze der DSGVO und für manche „besondere Kategorien“ personenbezogener Daten (Art. 9 Abs. 1 DSGVO) gelten bei der Verarbeitung strengere Regeln.

Warum spricht das OLG München im Rahmen der Interessenabwägung nun ausgerechnet von „wirtschaftlichen Daten“, wenn es ausführt, dass im Hinblick auf die Ermittlung eines möglichen Schadensersatzanspruches „der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden“ kann?

Der Begriff „wirtschaftliche“ Daten stellt die Erhebung und die Verarbeitung der Daten in den korrekten Kontext und bewertet die Schutzwürdigkeit der Daten innerhalb dieses Kontextes:

Es sei „besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin […] nicht verborgen bleibenden Kaufvorgang.“ Auch der Aspekt wirtschaftlicher Geheimhaltung falle nicht ins Gewicht, da die Auskunft nicht Daten wie Ratenzahlung, Kreditfinanzierung umfasse.

Das zeigt, dass bei der Einordnung der Schutzwürdigkeit von Daten nicht nur in „normale“ und „besondere Kategorien“ von Daten einzuteilen ist, sondern auch der Kontext (Kundenverhältnis, Behandlung als Patient beim Arzt, Bewerbung auf eine Arbeitsstelle) und die Einordnung der Daten innerhalb dieses Kontexts zu beachten sind.

Insgesamt kann man an diesem Urteil auch erkennen, dass sich datenschutzrechtliche Vorgaben aus dem Unionsrecht durchaus in nationale Rechtsordnungen einfügen: Es wurde ein vom BGH in ständiger Rechtsprechung entwickelter Auskunftsanspruch geprüft, der sich auf nationales Recht (§ 242 BGB) stützt und bei dessen Geltendmachung die Übermittlung der personenbezogenen Daten in durch eine von der Datenschutz-Grundverordnung vorgesehene Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO) ermöglicht wird.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

In einem Eilverfahren setzte sich der Verwaltungsgerichtshof (VGH) Bayern mit der Anwendung des Marketingtools Facebook Custom Audiences auseinander. In ihrem Beschluss vom 26. September 2018 schränkten die Richter die Nutzung von FCA deutlich ein (Az.: 5 CS 18.1157).

Durch Facebook Custom Audiences können Kunden zielgerichtet mit Werbung versorgt werden. Hat das Unternehmen einen eigenen Facebook-Account, so kann es dort seine Kundendaten hochladen. Mittels der sog. kryptographischen Hash-Funktion SHA-256 (Umwandlung in eine feste Zeichenkette) wird aus jedem hochgeladenen Kundendatum ein Hash-Wert gebildet. Dieser Wert wird wiederrum mit denen von registrierten Facebook-Nutzern abgeglichen. Stimmen die Hash-Werte überein, erhalten die jeweiligen Nutzer zielgerichtete Werbung von jenem Unternehmen, das die FCA-Funktion nutzt. Um diese Genauigkeit noch zu steigern, reichert Facebook die Daten „gematchter“ Nutzer noch mit Informationen (IP-Adressen, Interaktion mit FCA nutzenden Unternehmen, Facebook-Profil des Nutzers, etc. pp.) aus anderen Quellen an.

Der Bayerische Verwaltungsgerichtshof beschloss nun, dass

  • Facebook gegenüber dem Unternehmen, das FCA einsetzt, kein Auftragsverarbeiter, sondern Dritter ist,
  • der Einsatz von FCA der vorherigen Einwilligung durch den betroffenen Nutzer bedarf und
  • auch wenn das Unternehmen ein berechtigtes Interesse (altes Recht: § 28 Abs. 3 S. 2 Nr. 1 BDSG a. F., neues Recht: Art. 6 Abs. 1 S. 1 lit. f DSGVO) an zielgerichteter Werbung hat, überwiegt in diesem Fall das Interesse des Betroffenen, der nicht damit rechnen muss, dass das Unternehmen seine E-Mail-Adresse an Facebook weitergibt.

Zur Begründung, dass keine Auftragsverarbeitung durch Facebook vorliege, führten die Richter an, dass der Social-Media-Konzern selbst festlegen kann, nach welchen Kriterien der Facebook-Nutzer beworben wird. Dies spricht gegen die Weisungsgebundenheit, die einen Auftragsverarbeiter stets auszeichnet.

Ob und wie Sie FCA weiterhin nutzen können, finden Sie in unserem Ratgeber zum DSGVO-konformen Einsatz von Facebook Custom Audiences.

Verantwortlicher Redakteur der activeMind AG: Johannes Zwerschke

Pro: LG Würzburg

Das Landgericht (LG) Würzburg musste sich mit der Frage befassen, ob ein Verstoß gegen die DSGVO einen Rechtsbruch im Sinne des § 3a UWG (Gesetz gegen den unlauteren Wettbewerb) darstellt (Urteil vom 13. September 2018, AZ: 11 O 1741/18 UWG).

Im konkreten Fall hatte eine Rechtsanwältin eine unverschlüsselte Webseite ohne DSGVO-konforme Datenschutzerklärung betrieben. Das Gericht ging davon aus, dass es sich bei den Verstößen gegen die (im Urteil nicht explizit genannten) Vorschriften der DSGVO um Zuwiderhandlungen gegen das Wettbewerbsrecht handelt und untersagte der Rechtsanwältin den Weiterbetrieb der Website.

Dass wegen nicht erfüllter Informationspflichten und einer unverschlüsselten Website ein Verstoß gegen die DSGVO vorlag, ist unumstritten. Die Aufsichtsbehörde verhängt in solchen Fällen ein Bußgeld. Die viel diskutierte Frage dreht sich aber darum, ob solch ein datenschutzrechtlicher Verstoß auch wettbewerbsrechtlich abmahnbar ist. Wenn ja, bedeutet dies, dass Wettbewerber direkt gerichtlich über das UWG gegen die Datenschutzverstöße ihrer Mitbewerber vorgehen können.

In der Literatur und von den Behörden gibt es zu dieser Frage keine eindeutige Meinung oder Aussage. Zum Teil geht man davon aus, dass die DSGVO in Kapitel VIII (Art. 77 bis 84 DSGVO) die Rechtsbehelfe gegen Verstöße abschließend regelt. Für ein Vorgehen über das UWG wäre damit kein Platz. Andere sind der Ansicht, dass nur bestimmte Verstöße gegen die DSGVO nach UWG abmahnbar sind, da nicht alle Vorschriften „zumindest auch die Interessen von Wettbewerbern als Marktteilnehmer schützen“ (Art. 3a UWG), sondern der Schutz der DSGVO grundsätzlich nur natürlichen Personen dient. Wieder andere halten jeden Verstoß für abmahnbar, da die Nichteinhaltung der DSGVO immer einen relevanten Marktvorteil darstellt, wenn andere Wettbewerber Zeit und Geld in die Umsetzung der neuen Gesetze stecken mussten.

Eine klare Antwort der Rechtsprechung zu dieser Thematik wäre also äußerst hilfreich. Das LG Würzburg liefert sie aber nicht und geht auf keinen der genannten Streitpunkte ein. Es geht in der Urteilsbegründung schlicht „mit OLG Hamburg (3 U 26/12) und dem OLG Köln (8 U 121/15) […] davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht“ handelt.

Die damaligen OLG-Entscheidungen betreffen jedoch noch das frühere Datenschutzrecht unter dem alten Bundesdatenschutzgesetz (BDSG), das die Datenschutzrichtlinie 95/46/EG umsetzte. Anstatt sich nun mit der DSGVO und deren Erwägungsgründen auseinanderzusetzen, verwies das LG Würzburg einfach auf die alten Gerichtsurteile und erläuterte dabei nicht einmal, warum trotz neuer Rechtslage der vorliegende Fall gleich zu behandeln ist.

Insgesamt beantwortet das LG Würzburg die Frage, ob datenschutzrechtliche Verstöße abmahnfähig sind, mit einem „Ja“. Das „Warum“ bleiben die Richter jedoch schuldig.

Contra: LG Bochum

Zu einem entgegengesetzten Urteil in einem ähnlichen Fall kam das LG Bochum (Urteil vom 7. August 2018, AZ: I-12 O 85/18) und lieferte erfreulicherweise eine Begründung mit.

Wie in der Sache des LG Würzburg lag ein Verstoß gegen Art. 13 DSGVO vor – die Informationspflichten waren nicht erfüllt worden. Das Gericht vertrat hier aber die bereits angesprochene Auffassung, dass die Art. 77 bis 84 DSGVO Ansprüche von Mitbewerbern ausschließen und eine abschließende Regelung darstellen. Für das UWG ist damit kein Platz. Die Kammer betonte an dieser Stelle auch, dass diese Frage in der Literatur umstritten und die Meinungsbildung noch im Fluss sei.

OLG Hamburg: Es kommt darauf an

Als erstes Oberlandesgericht hat sich nun das OLG Hamburg (Urteil vom 25. Oktober 2018, AZ: 3 U 66/17) mit der Frage befasst, ob ein Verstoß gegen die DSGVO einen Rechtsbruch nach §3a UWG darstellt. Es kommt mit einem „Ja, aber“ zu einer vermittelnden Ansicht.

Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg meint damit – einfacher ausgedrückt – dass die Sanktionsregeln der DSGVO noch Platz für die Sanktionsregeln des UWG lassen. Es wendet also § 3a UWG an und prüft dann aber konsequent dessen Voraussetzungen, nämlich ob diese bestimmte datenschutzrechtliche Norm „marktverhaltensregelnden Charakter“ hat.

In Rechtsprechung und Literatur wird inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.

In der Praxis eignet sich als Prüffrage für die jeweilige Norm: „Soll diese Norm auch gleichberechtigte Rahmenbedingungen unter den Mitbewerbern schaffen?“ Dieser Prüfschritt ist ein gutes Korrektiv, um missbräuchliche Abmahnung von Wettbewerbern gegen jeglichen DSGVO-Verstoß zu verhindern. Es lässt aber Abmahnungen in den Fällen zu, in denen die Nichteinhaltung der datenschutzrechtlichen Vorgaben ein unfaires Verhalten am Markt darstellt.

Es bleibt abzuwarten, ob sich andere Gerichte dieser Entscheidung anschließen und sie sich durchsetzen kann. Wie bei allen neuen Gesetzen wird sich eine gefestigte Rechtsprechung zu den Streitfragen erst im Laufe der Zeit entwickeln. Was für Juristen einen interessanten Prozess darstellt, ist für die Unternehmen allerdings eine schwer zumutbare Rechtsunsicherheit.

Interessant ist vor diesem Hintergrund ein Gesetzesentwurf zur Anpassung des Unterlassungsklagegesetzes (UKlaG) und des UWG, der vom Land Bayern am 6. Juli 2018 eingebracht wurde. Darin sollen „Anpassungen im Zivilrecht“ vorgenommen werden, unter anderem durch eine neue Passage im UWG, welche die DSGVO-Vorschriften ausnimmt. Damit wäre klargestellt, dass Datenschutzverstöße nach DSGVO eben nicht wettbewerbsrechtlich abmahnbar sind.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

Der Bundesgerichtshof (BGH) musste sich mit Art und Dauer einer Einwilligung in die Kontaktaufnahme zu Werbezwecken beschäftigen. Im Urteil vom 1. Februar 2018 (AZ: III ZR 196/17) schufen die Richter in beiden Fragen Klarheit.

Der Sachverhalt

Am Ende des Bestellprozesses bot ein Telefondienstleister seinen Kunden an, ein Kästchen auszuwählen, mit dem in die nachfolgende Erklärung zur Zusendung neuer Angebote über E-Mail, Telefon, SMS oder MMS eingewilligt werden sollte. Der Kläger hielt diese Vorgehensweise für unwirksam und trug den Rechtsstreit über das Landgericht und das Oberlandesgericht Köln bis vor den BGH, um eine Unterlassung der Verwendung dieser Klausel in den Allgemeinen Geschäftsbedingungen (AGB) zu erreichen.

Der BGH hält die Klausel jedoch für wirksam und stellt in seiner Urteilsbegründung gleich zwei Punkte klar:

  1. Eine Einwilligung kann für mehrere Kanäle (der Kontaktaufnahme bzw. Werbung) auf einmal eingeholt werden.
  2. Die Wirksamkeit einer Einwilligung erlischt nicht allein durch Zeitablauf.

Mehrere Kanäle – eine Einwilligung

Da in § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) bei den verschiedenen Kontaktmöglichkeiten (E-Mail, Telefon, Fax, SMS) die gleichen Voraussetzungen an die Einwilligung gestellt werden, ist laut BGH die Einholung einer umfassenden Einwilligung möglich und auch ausreichend:

„Die gesetzlichen Voraussetzungen in § 7 Abs. 2 Nr. 2 und 3 UWG für die Einwilligung eines Verbrauchers in eine Werbung über die dort genannten Kanäle stimmen überein, so dass sich hieraus kein Grund für getrennte Einwilligungserklärungen ergibt. Unter Schutzzweckgesichtspunkten ist eine gesonderte Einwilligung für jeden Werbekanal ebenfalls nicht erforderlich.“

Diese Einwilligung kann wie im vorliegenden Fall auch im Rahmen von AGB durch Einsatz eines Auswahlkästchens eingeholt werden.

Die Einwilligung hat kein Verfallsdatum

Darüber hinaus verfällt eine einmal eingeholte Einwilligung nicht durch reinen Zeitablauf:

„Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.“

Dass eine einmal erteilte Einwilligung auch nach mehreren Jahren als Grundlage für Direktmarketing dienen kann, klingt auf den ersten Blick wenig verbraucher- und betroffenenfreundlich. Das LG Berlin hatte dies vor wenigen Jahren noch anders entschieden und ließ Einwilligungen „infolge Aktualitätsverlusts“ durch bloßen Zeitablauf erlöschen (LG Berlin, Urteil vom 6. April 2016, AZ: 15 O 515/15). Diese Sichtweise wird sich aber spätestens mit dem aktuellen BGH-Urteil nicht mehr durchsetzen können, denn auch die DSGVO sieht an keiner Stelle ein „Verfallsdatum“ für Einwilligungen vor.

Stattdessen gibt die DSGVO dem Betroffenen ein anderes Mittel zur Hand: das Widerrufrecht, auf das er vom Verantwortlichen ausdrücklich hingewiesen werden muss. Als Korrektiv enthält die DSGVO außerdem noch die Grundsätze von Treu und Glauben und Transparenz: Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der BGH hält in der vorliegenden Sache fest, dass hinsichtlich der Geltungsdauer der Einwilligung keine Bedenken bestünden, da diese auf die Laufzeit des Vertrages (zwei Jahre) begrenzt ist und dies für den Verbraucher einen überschaubaren Zeitraum darstelle. Indem der BGH dies ausdrücklich berücksichtigt, hält er sich offen, dies in Zukunft bei einer längeren Laufzeit auch anders zu entscheiden.

Datenschutzrechtliche Einschätzung

Der BGH traut dem Verbraucher als betroffene Person einen verständigen Umgang mit seiner Einwilligungserklärung zu. Er kann eine Einwilligung für mehrere Kontaktkanäle erteilen, die zunächst zeitlich unbegrenzt wirksam bleibt. Das erleichtert den Unternehmen als Verantwortlichen die Arbeit, ohne dem betroffenen Kunden die Kontrolle über seine Einwilligung zu nehmen.

Durch die Entscheidung hat der Verantwortliche jetzt nicht mehr die Rechtsunsicherheit, dass er trotz einer Einwilligung nach einer gewissen Zeit nicht mehr genau wissen kann, ob diese denn noch gültig ist. Das ist nur konsequent, denn die DSGVO legt die Kontrolle über die Rechtmäßigkeit der Verarbeitung in die Hände des Betroffenen: Mit der Erteilung der Einwilligung beginnt der rechtmäßige Zustand, mit der Erklärung des Widerrufs endet er.

Man muss sich als Verarbeiter daher nicht fragen, nach wie vielen Monaten oder Jahren genau eine wirksam erteilte Einwilligung erlischt. Man sollte sich als Überprüfung der Fortgeltung der Einwilligung aber folgende Fragen stellen: Ist sich der Betroffene immer noch über die Verarbeitung der Daten und im Klaren (Treu und Glauben, Transparenz) und würde er diese Einwilligung auch heute noch erteilen (Widerrufsrecht)?

Die Artikel-29 Datenschutzgruppe empfiehlt als Best Practice, eine erteilte Einwilligung „nach einer Weile“ von Untätigkeit (also keine Bewerbung) nochmals zu überprüfen, indem man die betroffene Person über ihre Einwilligung informiert.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

Sie vermissen ein wichtiges Urteil zur DSGVO? Dann lassen Sie es uns bitte wissen! Schreiben Sie uns einfach eine E-Mail, dann prüfen wir den Richterspruch und veröffentlichen ggfs. unsere datenschutzrechtliche Einschätzung zum Gerichtsurteil.

Übrigens berichten wir auch regelmäßig zu den Prüfungen von Datenschutzaufsichtsbehörden, so dass Sie stets wissen, worauf die Behörden gerade ein besonderes Augenmerk richten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.