Die seit Mai 2018 geltende europäische Datenschutz-Grundverordnung (DSGVO) stellt zwar eine große Zahl von Datenschutzvorschriften auf, bleibt jedoch in vielen Punkten auslegungsfähig. Zudem ist die Vereinbarkeit mit nationalem Recht noch nicht überall vollständig geklärt. An dieser Stelle sammeln wir deswegen relevante Gerichtsurteile zur DSGVO, die Unternehmen dabei helfen, DSGVO-Compliance zu erzielen. Urteile zu vergleichbaren Fragestellungen fassen wir zusammen oder wägen sie miteinander ab. Derzeit kommentieren wir 6 aktuelle Urteile zur DSGVO.

Einsatz von Facebook Custom Audiences (FCA) ohne vorherige Einwilligung ist rechtswidrig (VGH Bayern, September 2018)

In einem Eilverfahren setzte sich der Verwaltungsgerichtshof (VGH) Bayern mit der Anwendung des Marketingtools Facebook Custom Audiences auseinander. In ihrem Beschluss vom 26. September 2018 schränkten die Richter die Nutzung von FCA deutlich ein (Az.: 5 CS 18.1157).

Durch Facebook Custom Audiences können Kunden zielgerichtet mit Werbung versorgt werden. Hat das Unternehmen einen eigenen Facebook-Account, so kann es dort seine Kundendaten hochladen. Mittels der sog. kryptographischen Hash-Funktion SHA-256 (Umwandlung in eine feste Zeichenkette) wird aus jedem hochgeladenen Kundendatum ein Hash-Wert gebildet. Dieser Wert wird wiederrum mit denen von registrierten Facebook-Nutzern abgeglichen. Stimmen die Hash-Werte überein, erhalten die jeweiligen Nutzer zielgerichtete Werbung von jenem Unternehmen, das die FCA-Funktion nutzt. Um diese Genauigkeit noch zu steigern, reichert Facebook die Daten „gematchter“ Nutzer noch mit Informationen (IP-Adressen, Interaktion mit FCA nutzenden Unternehmen, Facebook-Profil des Nutzers, etc. pp.) aus anderen Quellen an.

Der Bayerische Verwaltungsgerichtshof beschloss nun, dass

  • Facebook gegenüber dem Unternehmen, das FCA einsetzt, kein Auftragsverarbeiter, sondern Dritter ist,
  • der Einsatz von FCA der vorherigen Einwilligung durch den betroffenen Nutzer bedarf und
  • auch wenn das Unternehmen ein berechtigtes Interesse (altes Recht: § 28 Abs. 3 S. 2 Nr. 1 BDSG a. F., neues Recht: Art. 6 Abs. 1 S. 1 lit. f DSGVO) an zielgerichteter Werbung hat, überwiegt in diesem Fall das Interesse des Betroffenen, der nicht damit rechnen muss, dass das Unternehmen seine E-Mail-Adresse an Facebook weitergibt.

Zur Begründung, dass keine Auftragsverarbeitung durch Facebook vorliege, führten die Richter an, dass der Social-Media-Konzern selbst festlegen kann, nach welchen Kriterien der Facebook-Nutzer beworben wird. Dies spricht gegen die Weisungsgebundenheit, die einen Auftragsverarbeiter stets auszeichnet.

Ob und wie Sie FCA weiterhin nutzen können, finden Sie in unserem Ratgeber zum DSGVO-konformen Einsatz von Facebook Custom Audiences.

Verantwortlicher Redakteur der activeMind AG: Johannes Zwerschke

Sind Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnbar? (Landgericht Würzburg, September 2018 + Landgericht Bochum, August 2018 + OLG Hamburg, Oktober 2018)

Pro: LG Würzburg

Das Landgericht (LG) Würzburg musste sich mit der Frage befassen, ob ein Verstoß gegen die DSGVO einen Rechtsbruch im Sinne des § 3a UWG (Gesetz gegen den unlauteren Wettbewerb) darstellt (Urteil vom 13. September 2018, AZ: 11 O 1741/18 UWG).

Im konkreten Fall hatte eine Rechtsanwältin eine unverschlüsselte Webseite ohne DSGVO-konforme Datenschutzerklärung betrieben. Das Gericht ging davon aus, dass es sich bei den Verstößen gegen die (im Urteil nicht explizit genannten) Vorschriften der DSGVO um Zuwiderhandlungen gegen das Wettbewerbsrecht handelt und untersagte der Rechtsanwältin den Weiterbetrieb der Website.

Dass wegen nicht erfüllter Informationspflichten und einer unverschlüsselten Website ein Verstoß gegen die DSGVO vorlag, ist unumstritten. Die Aufsichtsbehörde verhängt in solchen Fällen ein Bußgeld. Die viel diskutierte Frage dreht sich aber darum, ob solch ein datenschutzrechtlicher Verstoß auch wettbewerbsrechtlich abmahnbar ist. Wenn ja, bedeutet dies, dass Wettbewerber direkt gerichtlich über das UWG gegen die Datenschutzverstöße ihrer Mitbewerber vorgehen können.

In der Literatur und von den Behörden gibt es zu dieser Frage keine eindeutige Meinung oder Aussage. Zum Teil geht man davon aus, dass die DSGVO in Kapitel VIII (Art. 77 bis 84 DSGVO) die Rechtsbehelfe gegen Verstöße abschließend regelt. Für ein Vorgehen über das UWG wäre damit kein Platz. Andere sind der Ansicht, dass nur bestimmte Verstöße gegen die DSGVO nach UWG abmahnbar sind, da nicht alle Vorschriften „zumindest auch die Interessen von Wettbewerbern als Marktteilnehmer schützen“ (Art. 3a UWG), sondern der Schutz der DSGVO grundsätzlich nur natürlichen Personen dient. Wieder andere halten jeden Verstoß für abmahnbar, da die Nichteinhaltung der DSGVO immer einen relevanten Marktvorteil darstellt, wenn andere Wettbewerber Zeit und Geld in die Umsetzung der neuen Gesetze stecken mussten.

Eine klare Antwort der Rechtsprechung zu dieser Thematik wäre also äußerst hilfreich. Das LG Würzburg liefert sie aber nicht und geht auf keinen der genannten Streitpunkte ein. Es geht in der Urteilsbegründung schlicht „mit OLG Hamburg (3 U 26/12) und dem OLG Köln (8 U 121/15) […] davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht“ handelt.

Die damaligen OLG-Entscheidungen betreffen jedoch noch das frühere Datenschutzrecht unter dem alten Bundesdatenschutzgesetz (BDSG), das die Datenschutzrichtlinie 95/46/EG umsetzte. Anstatt sich nun mit der DSGVO und deren Erwägungsgründen auseinanderzusetzen, verwies das LG Würzburg einfach auf die alten Gerichtsurteile und erläuterte dabei nicht einmal, warum trotz neuer Rechtslage der vorliegende Fall gleich zu behandeln ist.

Insgesamt beantwortet das LG Würzburg die Frage, ob datenschutzrechtliche Verstöße abmahnfähig sind, mit einem „Ja“. Das „Warum“ bleiben die Richter jedoch schuldig.

Contra: LG Bochum

Zu einem entgegengesetzten Urteil in einem ähnlichen Fall kam das LG Bochum (Urteil vom 7. August 2018, AZ: I-12 O 85/18) und lieferte erfreulicherweise eine Begründung mit.

Wie in der Sache des LG Würzburg lag ein Verstoß gegen Art. 13 DSGVO vor – die Informationspflichten waren nicht erfüllt worden. Das Gericht vertrat hier aber die bereits angesprochene Auffassung, dass die Art. 77 bis 84 DSGVO Ansprüche von Mitbewerbern ausschließen und eine abschließende Regelung darstellen. Für das UWG ist damit kein Platz. Die Kammer betonte an dieser Stelle auch, dass diese Frage in der Literatur umstritten und die Meinungsbildung noch im Fluss sei.

OLG Hamburg: Es kommt darauf an

Als erstes Oberlandesgericht hat sich nun das OLG Hamburg (Urteil vom 25. Oktober 2018, AZ: 3 U 66/17) mit der Frage befasst, ob ein Verstoß gegen die DSGVO einen Rechtsbruch nach §3a UWG darstellt. Es kommt mit einem „Ja, aber“ zu einer vermittelnden Ansicht.

Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Das OLG Hamburg meint damit – einfacher ausgedrückt – dass die Sanktionsregeln der DSGVO noch Platz für die Sanktionsregeln des UWG lassen. Es wendet also § 3a UWG an und prüft dann aber konsequent dessen Voraussetzungen, nämlich ob diese bestimmte datenschutzrechtliche Norm „marktverhaltensregelnden Charakter“ hat.

In Rechtsprechung und Literatur wird inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.

In der Praxis eignet sich als Prüffrage für die jeweilige Norm: „Soll diese Norm auch gleichberechtigte Rahmenbedingungen unter den Mitbewerbern schaffen?“ Dieser Prüfschritt ist ein gutes Korrektiv, um missbräuchliche Abmahnung von Wettbewerbern gegen jeglichen DSGVO-Verstoß zu verhindern. Es lässt aber Abmahnungen in den Fällen zu, in denen die Nichteinhaltung der datenschutzrechtlichen Vorgaben ein unfaires Verhalten am Markt darstellt.

Es bleibt abzuwarten, ob sich andere Gerichte dieser Entscheidung anschließen und sie sich durchsetzen kann. Wie bei allen neuen Gesetzen wird sich eine gefestigte Rechtsprechung zu den Streitfragen erst im Laufe der Zeit entwickeln. Was für Juristen einen interessanten Prozess darstellt, ist für die Unternehmen allerdings eine schwer zumutbare Rechtsunsicherheit.

Interessant ist vor diesem Hintergrund ein Gesetzesentwurf zur Anpassung des Unterlassungsklagegesetzes (UKlaG) und des UWG, der vom Land Bayern am 6. Juli 2018 eingebracht wurde. Darin sollen „Anpassungen im Zivilrecht“ vorgenommen werden, unter anderem durch eine neue Passage im UWG, welche die DSGVO-Vorschriften ausnimmt. Damit wäre klargestellt, dass Datenschutzverstöße nach DSGVO eben nicht wettbewerbsrechtlich abmahnbar sind.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

Kanalübergreifende Einwilligungen sind zulässig, erteilte Einwilligungen erlöschen nicht durch Zeitablauf (BGH, Februar 2018)

Der Bundesgerichtshof (BGH) musste sich mit Art und Dauer einer Einwilligung in die Kontaktaufnahme zu Werbezwecken beschäftigen. Im Urteil vom 1. Februar 2018 (AZ: III ZR 196/17) schufen die Richter in beiden Fragen Klarheit.

Der Sachverhalt

Am Ende des Bestellprozesses bot ein Telefondienstleister seinen Kunden an, ein Kästchen auszuwählen, mit dem in die nachfolgende Erklärung zur Zusendung neuer Angebote über E-Mail, Telefon, SMS oder MMS eingewilligt werden sollte. Der Kläger hielt diese Vorgehensweise für unwirksam und trug den Rechtsstreit über das Landgericht und das Oberlandesgericht Köln bis vor den BGH, um eine Unterlassung der Verwendung dieser Klausel in den Allgemeinen Geschäftsbedingungen (AGB) zu erreichen.

Der BGH hält die Klausel jedoch für wirksam und stellt in seiner Urteilsbegründung gleich zwei Punkte klar:

  1. Eine Einwilligung kann für mehrere Kanäle (der Kontaktaufnahme bzw. Werbung) auf einmal eingeholt werden.
  2. Die Wirksamkeit einer Einwilligung erlischt nicht allein durch Zeitablauf.

Mehrere Kanäle – eine Einwilligung

Da in § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) bei den verschiedenen Kontaktmöglichkeiten (E-Mail, Telefon, Fax, SMS) die gleichen Voraussetzungen an die Einwilligung gestellt werden, ist laut BGH die Einholung einer umfassenden Einwilligung möglich und auch ausreichend:

„Die gesetzlichen Voraussetzungen in § 7 Abs. 2 Nr. 2 und 3 UWG für die Einwilligung eines Verbrauchers in eine Werbung über die dort genannten Kanäle stimmen überein, so dass sich hieraus kein Grund für getrennte Einwilligungserklärungen ergibt. Unter Schutzzweckgesichtspunkten ist eine gesonderte Einwilligung für jeden Werbekanal ebenfalls nicht erforderlich.“

Diese Einwilligung kann wie im vorliegenden Fall auch im Rahmen von AGB durch Einsatz eines Auswahlkästchens eingeholt werden.

Die Einwilligung hat kein Verfallsdatum

Darüber hinaus verfällt eine einmal eingeholte Einwilligung nicht durch reinen Zeitablauf:

„Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.“

Dass eine einmal erteilte Einwilligung auch nach mehreren Jahren als Grundlage für Direktmarketing dienen kann, klingt auf den ersten Blick wenig verbraucher- und betroffenenfreundlich. Das LG Berlin hatte dies vor wenigen Jahren noch anders entschieden und ließ Einwilligungen „infolge Aktualitätsverlusts“ durch bloßen Zeitablauf erlöschen (LG Berlin, Urteil vom 6. April 2016, AZ: 15 O 515/15). Diese Sichtweise wird sich aber spätestens mit dem aktuellen BGH-Urteil nicht mehr durchsetzen können, denn auch die DSGVO sieht an keiner Stelle ein „Verfallsdatum“ für Einwilligungen vor.

Stattdessen gibt die DSGVO dem Betroffenen ein anderes Mittel zur Hand: das Widerrufsrecht, auf das er vom Verantwortlichen ausdrücklich hingewiesen werden muss. Als Korrektiv enthält die DSGVO außerdem noch die Grundsätze von Treu und Glauben und Transparenz: Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der BGH hält in der vorliegenden Sache fest, dass hinsichtlich der Geltungsdauer der Einwilligung keine Bedenken bestünden, da diese auf die Laufzeit des Vertrages (zwei Jahre) begrenzt ist und dies für den Verbraucher einen überschaubaren Zeitraum darstelle. Indem der BGH dies ausdrücklich berücksichtigt, hält er sich offen, dies in Zukunft bei einer längeren Laufzeit auch anders zu entscheiden.

Datenschutzrechtliche Einschätzung

Der BGH traut dem Verbraucher als betroffene Person einen verständigen Umgang mit seiner Einwilligungserklärung zu. Er kann eine Einwilligung für mehrere Kontaktkanäle erteilen, die zunächst zeitlich unbegrenzt wirksam bleibt. Das erleichtert den Unternehmen als Verantwortlichen die Arbeit, ohne dem betroffenen Kunden die Kontrolle über seine Einwilligung zu nehmen.

Durch die Entscheidung hat der Verantwortliche jetzt nicht mehr die Rechtsunsicherheit, dass er trotz einer Einwilligung nach einer gewissen Zeit nicht mehr genau wissen kann, ob diese denn noch gültig ist. Das ist nur konsequent, denn die DSGVO legt die Kontrolle über die Rechtmäßigkeit der Verarbeitung in die Hände des Betroffenen: Mit der Erteilung der Einwilligung beginnt der rechtmäßige Zustand, mit der Erklärung des Widerrufs endet er.

Man muss sich als Verarbeiter daher nicht fragen, nach wie vielen Monaten oder Jahren genau eine wirksam erteilte Einwilligung erlischt. Man sollte sich als Überprüfung der Fortgeltung der Einwilligung aber folgende Fragen stellen: Ist sich der Betroffene immer noch über die Verarbeitung der Daten und im Klaren (Treu und Glauben, Transparenz) und würde er diese Einwilligung auch heute noch erteilen (Widerrufsrecht)?

Die Artikel-29 Datenschutzgruppe empfiehlt als Best Practice, eine erteilte Einwilligung „nach einer Weile“ von Untätigkeit (also keine Bewerbung) nochmals zu überprüfen, indem man die betroffene Person über ihre Einwilligung informiert.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

Kunsturhebergesetz bleibt auch unter der DSGVO anwendbar (OLG Köln, Juni 2018)

Das Kunsturhebergesetz (KunstUrhG) sieht in § 23 Ausnahmen vor, nach denen auch ohne die Einwilligung der betroffenen Personen beispielsweise „Bildnisse aus dem Bereiche der Zeitgeschichte“ und „Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen“ veröffentlicht werden dürfen.

Mit Anwendbarkeit der der DSGVO (EU-Datenschutz-Grundverordnung) entstand die Unsicherheit, ob man sich bei der Veröffentlichung von Bildern zu solchen journalistischen Zwecken weiter auf diese Ausnahmeregeln berufen kann. Mit seinem Beschluss vom 18. Juni 2018 (AZ: 15 W 27/18) stellte das OLG Köln nun fest, dass sich das KunstUrhG in eine Öffnungsklausel der DSGVO einfügt und somit weiter anwendbar bleibt.

Bis zur DSGVO war Art. 9 der Richtlinie RL 95/46/EG das Einfallstor für nationale Gesetze, die zugunsten der Verarbeitung zu journalistischen Zwecken Abweichungen und Ausnahmen von den europäischen Vorgaben im Datenschutz aufstellten.

Diesen Bereich regelt nun Art. 85 DSGVO. Er regelt ihn aber wieder nicht inhaltlich – macht also keine materiell-rechtlichen Vorgaben – sondern ermächtigt (wie zuvor Art. 9 der Richtlinie RL 95/46/EG) als sog. Öffnungsklausel die Mitgliedstaaten, eigene Regelungen zu finden, den Datenschutz mit der Meinungs- und Informationsfreiheit in Einklang bringen.

Eine solche Regelung ist laut dem Beschluss des OLG Köln beispielsweise § 23 KunstUrhG. Das Gericht interpretiert Art. 85 DSGVO so, dass nicht nur neue, sondern auch bestehende Regelungen diese Öffnungsklausel füllen können.

Es geht sogar noch einen Schritt weiter und gibt künftigen Anwendern dieser Gesetze mit, dass im Rahmen der Abwägung innerhalb des KunstUrhG die unionsrechtlichen Grundrechtspositionen zu berücksichtigen sind. Das ist ein Verweis auf die Grundrechtecharta, die in Art. 8 den Schutz personenbezogener Daten und in Art. 11 die Freiheit der Meinungsäußerung und Informationsfreiheit festschreibt. Diese sind nun bei der Auslegung der Ausnahmeregelung in § 23 KunstUrhG zu berücksichtigen.

Wer mit den Entscheidungen des EuGH in Bezug auf Fortgeltung nationalen Rechts vertraut ist, der erkennt hier, wie geschickt das OLG Köln die Weitergeltung des KunstUrhG begründet: Der EuGH zieht eine „unionsrechtsfreundliche Auslegung“ nationaler Gesetze immer dem Widerspruch und der damit verbundenen Unanwendbarkeit nationaler Gesetze vor. Dadurch, dass sich das KunstUrhG laut OLG Köln als nationales Gesetz in der Öffnungsklausel des Art. 85 DSGVO einfügt und zusätzlich dazu nun mit Hinblick auf europäische Grundrechte ausgelegt werden muss, sind den europäischen Gerichten die Angriffspunkte genommen.

Die DSGVO verdrängt damit das KunstUrhG nicht – wie von manchen erwartet worden war – sondern bezieht das KunstUrhG in das Regelungsgeflecht mit ein. Für journalistische Fotografien gelten damit weiterhin die bekannten Regeln des KunstUrhG.

Dabei muss man allerdings im Auge behalten, dass die Entscheidung sich auf den journalistischen Bereich bezieht. Aus rechtlicher Sicht gäbe es gute Gründe im Bereich gewerblicher Fotografie anders zu entscheiden, denn die Freiheit der Meinungsäußerung und Informationsfreiheit können dort nicht als Interesse angeführt werden.

Verantwortlicher Redakteur der activeMind AG: Michael Kohlhuber

Sie vermissen ein wichtiges Gerichtsurteil zur DSGVO? Dann lassen Sie es uns bitte wissen! Schreiben Sie uns einfach eine E-Mail, dann prüfen wir das Urteil und veröffentlichen ggfs. unsere datenschutzrechtliche Einschätzung dazu.

Bitte bewerten Sie diese Inhalte!
[11 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.