Beiträge

Datenschutzrecht: Klagerecht für Abmahnvereine soll kommen

, , ,

Datenschutzrecht: Eine Exotendomäne?

Als praxisorientierter Berater und Experte im Datenschutzrecht konnte ich bislang bei Unternehmen häufig eine recht verbreitete Einschätzung zu diesem Rechtsbereich antreffen: für nicht wenige Mittelständler und auch größere Unternehmen ist der Datenschutz ein lästiges und kurioses Nebengebiet. „Datenschutzrechtler“ werden mitunter als kuriose „Freaks“ angesehen, die insbesondere den operativen Entscheidern sowie den Werbe- und Marketingabteilungen mit realitätsfremdem Anspruchsdenken auf die Nerven fallen. Datenschutzrechtliche Vorschriften wurden dementsprechend bislang oft  als Soll-Vorschriften angesehen. Sie waren wurde mitunter allenfalls als moralische Leitlinie, aber weniger als integrale Compliance-Anforderung für die Gestaltung der eigenen Geschäftsprozesse wahrgenommen. Dies hatte auch eine Ursache: Verfahren der Aufsichtsbehörden und insbesondere spürbare Folgen waren eher eine Seltenheit. Dies liegt mitunter an der Komplexität datenschutzrechtlicher Vorschriften, viel häufiger wohl aber auch an der für eine effektive Aufsicht häufig viel zu geringen Personalausstattung der Aufsichtsbehörden. Darüber hinaus lag der Fokus häufig auf der Datenschutzpraxis großer IT-Anbieter wie beispielsweise Google & Co. KMU hatten häufig nicht ganz zu Unrecht die Wahrnehmung, in dieser Hinsicht einmal nicht zum eigenen Nachteil „unter dem Radar“ zu fliegen.

Bislang überschaubares Risiko

Datenschutz Wettbewerbsrecht Anwalt Rechtsanwalt Experte Hamburg Datenschutzbeauftragter

Datenschutzrecht. Künftig mehr Fallen für nachlässige Unternehmen?
© panthermedia.net /Arunas Gabalis

Für ein wenig mehr Nervosität sorgte unlängst der Schwenk einiger Gerichte, die das Datenschutzrecht zum Ansatzpunkt für wettbewerbsrechtliche Ansprüche erklärt haben. Während zunächst noch beispielsweise das Kammergericht Berlin (Entscheidung zum Facebook-Button, Beschluss vom 29. 4. 20115 W 88/11) und das Landgericht München (zur Frage der Nutzung von personenbezogenen Daten für Werbezwecke; Urt. v. 12.?1. 2012 – 29 U 3926/11) die Ansicht vertreten haben, dass datenschutzrechtliche Rechtsverstöße ausschließlich zu Ansprüchen des jeweiligen Betroffenen, nicht jedoch zu wettbewerbsrechtlichen Ansprüchen führen, hat sich dies mittlerweile nahezu durchgehend verändert. So haben beispielsweise das Kammergericht Berlin (zu einer datenschutzwidrigen Freunde-finden-Funktion von Facebook; KG: Urteil vom 24.01.2014 – 5 U 42/12), aber auch das Landgericht Hamburg (zur Frage von wettbewerbsrechtlichen Ansprüchen bei Fehlen der gesetzlich vorgeschriebenen Datenschutzerklärung auf Internetseiten; LG Hamburg, Urteil vom 27.06.20133 U 26/12) und auch das Oberlandesgericht Karlsruhe (Zur Frage von wettbewerbsrechtlichen Ansprüchen bei datenschutzwidriger Kunden-Reaktivierung; Urt. v. 9.5. 2012 – 6 U 38/11) entschieden, dass das Datenschutzrecht so genannte Marktverhaltensregeln enthält. Marktverhaltensregeln sind solche Normen, bei denen Verstöße gegen die gesetzliche Vorschrift gleichzeitig über § 4 Nr. 11 UWG als Wettbewerbsverstöße verfolgt werden können. Zu deutsch: es kann nicht nur der datenschutzrechtliche Betroffene Ansprüche wegen einer Rechtsverletzung erheben. Vielmehr drohen auch Abmahnungen, einstweilige Verfügungen und Unterlassungsklagen von Wettbewerbern. Allerdings: da das Datenschutzrecht, ganz im Gegensatz zu anderen Rechtsgebieten mit gleicher praktischer Relevanz, eher als abstraktes Nebengebiet aufgefasst wurde, hielt sich auch die „Angriffslust“ der Wettbewerber in verhältnismäßig engen Grenzen. Schließlich musste jeder, der einen Wettbewerber wegen Datenschutzverstößen abmahnt auch damit rechnen, für eigene nicht ganz unwahrscheinliche Verstöße zur Rechenschaft gezogen zu werden. Aus Furcht vor einem derartigen „Bumerang-Effekt“ waren wettbewerbsrechtliche Verfahren in Bezug auf datenschutzrechtliche Vorschriften in der Praxis eher selten. Hier stellen gegenwärtig jedenfalls noch die „Klassiker“ des Verbraucherrechts, beispielsweise Information- und Hinweispflichten, Musterbelehrungen und natürlich vor allem allgemeine Geschäftsbedingungen sowie Irreführungstatbestände die in der Praxis des Verfassers häufigsten Ansatzpunkte für wettbewerbsrechtliche Auseinandersetzungen dar.

Das kann sich nun dramatisch ändern.

Änderung des Unterlassungsklagengesetzes: Klagerecht für Abmahnvereine und Wettbewerbsverbände

Denn nach dem Willen der Bundesregierung sollen künftig nicht nur Wettbewerber, sondern vor allem auch Verbraucherschutzverbände und Abmahnvereine gegen Datenschutzverstöße vorgehen können. Die Bundesregierung hat in dieser Woche einen Entwurf zur Änderung des Unterlassungsklagengesetzes verabschiedet. Danach sollen künftig Datenschutzverletzungen auch durch Verbraucherverbände und Abmahnvereine abgemahnt werden können. Der verabschiedete Entwurf enthält einige Abmilderungen zur ursprünglichen Fassung des Ministeriums für Justiz und Verbraucherschutz. Allerdings wird die Novelle im (höchst wahrscheinlichen) Fall der Verabschiedung als Gesetz dennoch weitreichende Folgen haben.

Künftig sollen durch einen neuen § 2 Abs. 2 Nr. 11 Unterlassungsklagengesetzes-E (UKlaG-E) ein Verbraucherschutzverband oder ein Abmahnverein auch gegen die rechtswidrige Erhebung und Verwendung von personenbezogenen Verbraucherdaten durch Unternehmen vorgehen können. Diese sogenannte Aktivlegitimation besteht, wenn diese Verbraucherdaten zu Werbe, Markt- und Meinungsforschungs-, Auskunftei- und Daten/-Adresshandelszwecken oder zur Erstellung von Persönlichkeits- und Nutzungsprofilen verwendet werden.

Mit dem Gesetzentwurf soll gleichzeitig vermieden werden, dass die im Datenschutzrecht beispielsweise zur Überprüfung von Entscheidungen der Datenschutz-Aufsichtsbehörden (jene erlassen Verwaltungsakte, beispielsweise mit der Verhängung von Bußgeldern oder mit der Anordnung der Einstellung einer bestimmten Datenverarbeitung) zuständigen Verwaltungsgerichte Entscheidungen fällen, die im Widerspruch zu den im Wettbewerbsrecht zuständigen Zivilgerichten stehen. So soll bei Verbandsklagen in Bezug auf Datenschutz-Verstöße Künftig die jeweilige Aufsichtsbehörde gehört werden. Wenn das Gesetz zustande kommt, soll es nach Ablauf von sechs Monaten in Kraft treten. Dies könnte zu einer erheblichen Veränderung der wettbewerbsrechtlichen Schwerpunkte führen. Anders als Wettbewerbsunternehmen müssen nämlich Verbraucherschutzverbände oder Wettbewerbsverbände nicht damit rechnen, im Falle einer Abmahnung für eigene vergleichbare Rechtsverstöße zur Verantwortung gezogen zu werden.

Mehr Rechtsunsicherheit für Unternehmen

Die Gesetzesnovelle dürfte bei Datenschützern auf große Zustimmung treffen. Als Rechtsanwälte sehen wir dieses Vorhaben kritisch. Das Datenschutzrecht und das Wettbewerbsrecht sind in hohem Maße durch auslegungsfähige Tatbestände und Rechtsbegriffe geprägt. Praxis und Maßstäbe der Auslegung unterscheiden sich jedoch nicht unerheblich. So ist der im neuen Gesetzesentwurf vorgesehene Begriff der Werbung datenschutzrechtlich häufig etwas enger auszulegen als im Wettbewerbsrecht. Der Begriff  der Werbung umfasst im Wettbewerbsrecht jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern. Der Werbebegriff im Sinne des § 28 Abs. 3 BDSG wird hingegen in der Praxis häufig zielorientierter ausgelegt. Gerade das deutsche Datenschutzrecht ist durch einen recht hohen Anspruch geprägt, wohingegen das deutsche Wettbewerbsrecht sich durch mitunter drastische praktische und monetäre Folgen kleinster Verstöße auszeichnet. Für Unternehmen eine gefährliche Kombination.

Jetzt vorsorgen und Nachteile vermeiden

Es ist nur zu hoffen, dass eine europaweite Harmonisierung des Datenschutzrechts mit klaren und nachvollziehbaren Bestimmungen für mehr Rechtssicherheit und Waffengleichheit sorgen kann und wird. Einstweilen sind Unternehmer jedoch gut beraten, ihre Positionierung im Bereich Datenschutz sorgfältig zu prüfen.

Entsprechen Ihre Geschäftsprozesse dem geltenden Datenschutzrecht? Wollen Sie riskieren, für Kundengewinnungspraktiken zu Unterlassung gezwungen zu werden? Häufig sind die Einschränkungen der eigenen Markt-Möglichkeiten deutlich schwerwiegender als die ohnehin im Wettbewerbsrecht häufig nicht zu verachtenden Kosten der Auseinandersetzung selbst. Datenschutzrechtliche Bestimmungen sollten daher integraler Bestandteil der Werbestrategie sein.Denn nur wer hier das Risiko wettbewerbsrechtlicher Auseinandersetzungen kennt, kann auf Basis sachlich zutreffender verglichen informierte Abwägungen vornehmen und Entscheidungen treffen.

Wir stehen Ihnen hierbei gerne zur Seite. BBS Rechtsanwälte ist nicht nur im Datenschutzrecht, sondern insbesondere auch auf dem heiklen Gebiet des Wettbewerbsrechts Ihr erfahrener und zuverlässiger Begleiter. Wir erarbeiten mit Ihnen praxisgerechte Konzepte und die notwendigen Maßnahmen zur Absicherung Ihres Erfolgs. Welche Risiken gehen Sie ein? Welche Kosten drohen? Sind neben Kosten- und Prozessrisiken möglicherweise ganz andere Faktoren zu berücksichtigen, die über den Ärger einer Abmahnung oder eines gerichtlichen Verfahrens hinaus weitreichende Konsequenzen für die künftige Werbestrategie haben? Hierfür benötigen Entscheider praxisgerechten Expertenrat. Sprechen Sie uns an. Wir sind gerne für Sie da!

 

 

Datenschutzrecht: welche Daten darf der Arbeitgeber herausgeben?

, ,

Datenschutz im Arbeitsverhältnis: Spezialgebiet

Nicht nur im „klassischen“ Arbeitsrecht geht es um die besonderen Rechte von Arbeitnehmern. Häufig erreichen uns Fragen zum Datenschutzrecht im Arbeitsverhältnis. Besonders oft muss geklärt werden, welche Arbeitnehmer-Daten der Arbeitgeber erheben darf und in welchem Umfang diese Daten gespeichert und verwendet werden dürfen. Besonders kritisch wird es, wenn die Daten von Arbeitnehmern an Dritte (also nicht am Arbeitsverhältnis beteiligte Parteien) weitergegeben werden sollen. Nicht nur die Aufsichtsbehörden, auch Arbeitnehmer reagieren in Bezug auf die Datenverarbeitung im Arbeitsverhältnis besonders empfindlich.

Sondervorschriften für Arbeitnehmerdaten

Anwalt Experte Datenschutzdatenschutzbeauftragte Hamburg Streit Frage Arbeitnehmerdaten

Datenschutz im Arbeitsverhältnis: besondere Regeln erfordern besondere Maßnahmen
(c) panthermedia.net / Randolf Berold

Für das Arbeitsverhältnis besteht vor allem die Sondervorschrift des § 32 Bundesdatenschutzgesetz (BDSG). Danach dürfen personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber dazu genutzt werden, um das Arbeitsverhältnis zu begründen (beispielsweise Bewerbungsunterlagen auszuwerten oder Personenstammdaten zu erheben) durchzuführen (beispielsweise für die Gehaltsabrechnung oder die Personalverwaltung) oder zu beenden (beispielsweise die Erhebung und Speicherung etwaiger Kündigungsgründe). Zur Aufdeckung von Straftaten dürfen personenbezogene Daten im Arbeitsverhältnis nur dann erhoben, verarbeitet oder genutzt werden, wenn ein konkreter Verdacht im Hinblick auf eine konkrete Straftat vorliegt, keine milderen Mittel zur Aufdeckung der Straftat zur Verfügung stehen und sonstige schutzwürdige Interessen des Beschäftigten einer Datenverarbeitung nicht entgegenstehen. Für das konkrete Beispiel: die vorsorgliche Überwachung von Arbeitnehmern mittels einer Videoüberwachung ist unzulässig, wenn sie darauf gestützt wird, dass möglicherweise durch Mitarbeiter ein Diebstahl begangen werden kann. Sie kann jedoch im Ausnahmefall zulässig werden, wenn konkrete Diebstahlsdelikte vorgelegen haben und die Videoüberwachung die einzige noch zur Verfügung stehende Maßnahme zur Aufdeckung dieser Diebstahlsdelikte ist. Ist eine Verarbeitung oder Nutzung personenbezogener Daten im Arbeitsverhältnis nicht mehr durch § 32 BDSG gedeckt, ist die Zustimmung des Arbeitnehmers erforderlich. Dabei ist von Arbeitgebern besonders zu beachten, dass die Zustimmung freiwillig erteilt werden muss. Dies ist im Arbeitsverhältnis in der Praxis gar nicht so leicht, denn Gerichte wie auch Aufsichtsbehörden gehen davon aus, dass das Arbeitsverhältnis durch eine besondere Stärkeposition des Arbeitgebers gegenüber dem Arbeitnehmer (welcher ja seine Arbeitsstelle gerne behalten will) geprägt ist.

BGH aktuell: keine Weitergabe von Arbeitnehmer-Privatanschriften an Dritte

Neue brandaktuelle Rechtsprechung zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis hat der Bundesgerichtshof beigesteuert. Der BGH hat entschieden, dass Arbeitgeber nicht berechtigt sind, die Privatanschrift von Angestellten an Dritte weiterzugeben (BGH, Urteil vom 20. Januar 2015 – VI ZR 137/14).

In der aktuellen Entscheidung des BGH ging es um die Herausgabe der Privatanschrift zweier Ärzte. Der Kläger war Patient einer Klinik, die Beklagte ist die Betreiberin dieser Klinik. Der Kläger beansprucht Schadensersatz von zwei angestellten Ärzten der Beklagten. die Klage konnte zwar an der Klinikanschrift zugestellt werden, der Kläger wollte jedoch darüber hinaus die Privatanschrift der Ärzte zu Zustellungszwecken in Erfahrung bringen und forderte dies im Weg der Klage von der Arbeitgeberin der betroffenen Ärzte. Zu Unrecht, wie der Bundesgerichtshof entschied. Während noch das zuvor erkennende Landgericht der Klage stattgegeben hatte, wies der Bundesgerichtshof die Klage unter Aufhebung der Vorinstanz ab. Das Landgericht hatte noch argumentiert, dass die Forderung nach Anonymität sich mit dem besonderen Wesen des Verhältnisses zwischen Arzt und Patienten nicht vertrage (Landgericht Görlitz – Urteil vom 14. Februar 2014 – 2 S 174/13). Dem erteilte der Bundesgerichtshof eine klare Absage.

Der Patient habe zwar gegenüber Arzt und Krankenhaus grundsätzlich einen Anspruch auf Auskunft in Bezug auf die ihn betreffenden Unterlagen, und zwar auch dann, wenn kein Rechtsstreit im Raum steht. In diesem Zusammenhang sei eine Klinik auch dazu verpflichtet, dem Patienten den Namen eines behandelnden Arztes mitzuteilen. Allerdings gehe die Forderung nach der Mitteilung der Privatanschrift zu weit. Da der Kläger die Klageschrift für seine Ansprüche auch an die Klinikanschrift zustellen konnte, bestünde für die Mitteilung der Privatanschrift keine Veranlassung. Der Erteilung einer Auskunft über die Privatanschrift von Mitarbeitern steht auch nach der Einschätzung Bundesgerichtshofs insbesondere die Vorschrift des § 32 Abs. 1 Satz 1 BDSG entgegen. Die Regelung gestattet dem Arbeitgeber die Erhebung, Verarbeitung und Nutzung von Daten (nur) für Zwecke des Beschäftigungsverhältnisses. Der Arbeitgeber ist aber grundsätzlich nicht berechtigt, personenbezogene Daten, die für Zwecke des Beschäftigungsverhältnisses erhoben worden sind, an Dritte weiterzuleiten, wenn dies nicht im Hinblick auf das Beschäftigungsverhältnis notwendig ist.

Externe Lohnabrechnung: Auftragsdatenverarbeitung beachten!

Die vorgenannte Entscheidung des Bundesgerichtshofs ist stringent und richtig. Der Umgang mit personenbezogenen Daten von Arbeitnehmern bedarf einer besonderen Sensibilität und Aufmerksamkeit auf der Seite des Arbeitgebers. Auf der einen Seite ist natürlich zu beachten, dass es kein gesetzliches Gebot der absoluten Verschwiegenheit für sämtliche das Arbeitsverhältnis in irgendeiner Form betreffenden Informationen gibt. Insbesondere, wenn Arbeitnehmer nachweislich Straftaten begangen haben, erkennen Gerichte in der Praxis häufig berechtigte Interessen des Arbeitgebers an der Erhebung und Nutzung dieser Daten an. Andererseits steht der Arbeitgeber in der Pflicht, die ihm anvertrauten Arbeitnehmerdaten sorgfältig und nur im Rahmen der Zweckbindung des Arbeitsverhältnisses zu verwenden. Dazu gehört nicht nur, dass diese Daten nicht ohne ausreichenden rechtlichen Grund an Dritte übermittelt werden dürfen. Insbesondere im Bereich der Auftragsdatenverarbeitung erleben Datenschutzexperten in der Praxis häufig eine mangelnde Sensibilität im Hinblick auf Datenschutz und Datensicherheit. Viele Arbeitgeber wissen nicht, dass beispielsweise besondere Formvorschriften für ausgelagerte Datenverarbeitung bestehen, so beispielsweise bei der elektronischen Lohndatenverarbeitung. § 11 BDSG sieht hier vor, dass ein im Original vorliegender, schriftlicher Vertrag geschlossen werden muss, der ganz bestimmte Mindestanforderungen an inhaltliche Bestimmbarkeit und effektiv durchzusetzende Weisungsrechte des Arbeitgebers enthalten muss. Liegt ein solcher Vertrag nicht, nicht in der erforderlichen Form oder nicht mit dem erforderlichen Inhalt vor, ist die Übermittlung von Arbeitnehmerdaten unzulässig. Dies kann im Ernstfall sogar zu Schadensersatzansprüchen der Betroffenen oder Bußgeldverfahren der Aufsichtsbehörden führen.

Wir stehen nicht nur Betroffenen bei der effektiven Durchsetzung ihrer Rechte zur Seite. Ein besonderer Schwerpunkt der Expertise von BBS Rechtsanwälte besteht in der praxisorientierten, strategischen und vorsorglichen Beratung und Unterstützung von Arbeitgebern im Hinblick auf datenschutzrechtliche Fragestellungen. Sie haben Fragen oder Beratungsbedarf? Sie fragen sich beispielsweise, ob Sie einen externen betrieblichen Datenschutzbeauftragten bestellen sollen oder ob Ihre getroffenen Vereinbarungen den datenschutzrechtlichen Anforderungen entsprechen? Wir sind gerne für Sie da.

Rechtsanwalt Thomas Brehm ist Anwalt und Experte im Bereich des Datenschutzrechts und des Informationstechnologierechts mit langjähriger Erfahrung. Er steht unter anderem Unternehmen als externer betrieblicher Datenschutzbeauftragter und als Berater bei betrieblichen Konflikten und bei der Vertragsgestaltung im Bereich des Datenschutzes zur Seite. Darüber hinaus betreut er Unternehmen in Bezug auf Verfahren und Maßnahmen der Datenschutz-Aufsichtsbehörden.

 

OLG Karlsruhe: Datenschutzverstoß ist Wettbewerbsverstoß – kommt die Abmahnwelle?

, ,

Zur Entscheidung des OLG Karlsruhe vom 09.05.2012 (6 U 38/11) über datenschutzrechtliche Regelungen als Marktverhaltensregeln iSd. Wettbewerbsrechts

Runde Tische, Anhörung im Bundestag, Streit um Google-Analytics oder die Aufregung über den Umgang mit dem Facebook-„Gefällt Mir“ – Button (Wir berichteten) Kein anderes Thema steht derart im Fokus der öffentlichen Diskussion wie der Umgang mit personenbezogenen Daten im Internet, ohne dass dies gleichzeitig die Gerichte landauf und landab beschäftigt. Sind IP-Adressen personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) oder nicht (Wir berichteten zur diesbezüglichen Ansicht des EuGH)? Welche Verpflichtungen gehen mit dieser Einordnung gegebenenfalls für mich als Website-Betreiber einher? Darf ich den Facebook-„Gefällt Mir“-Button auf meiner Website einbinden oder nicht? Benötige ich bereits beim Mitschnitt der IP-Adressen meiner Website-Besucher (etwa durch Webtracking-Tools oder schlicht Serverlogs) ohne Anonymisierung eine entsprechende Datenschutzbelehrung und ggf. die vorherige Einwilligung der Besucher?

 

Schutz personenbezogener Daten im Internet: Datenschutz quo vadis?

Schutz personenbezogener Daten im Internet: Datenschutz quo vadis?

 

Die schon oftmals angekündigte Abmahn- und Klagewelle ist aller Kassandra-Rufe zum Trotz bislang ausgeblieben. Damit steht bislang leider auch die dringend erforderliche Klärung der vielfältigen offenen Fragen des Schutzes personenbezogener Daten im Internet und der Grenzen der unternehmerischen Erhebung, Speicherung und Verwertung solcher Daten durch die Rechtsprechung aus. Das Datenschutzrecht ist – jedenfalls gemessen an den real genutzten technischen Möglichkeiten, den und ebenso erfolgreichen wie rechtlich umstrittenen Geschäftsmodellen ganzer Konzerne sowie der (berechtigten) Vehemenz der hierzu geführten Diskussionen innerhalb der Netzgemeinde – vor allem durch eines gekennzeichnet: Ein eklatantes Defizit an Rechtssicherheit und Rechtsklarheit. Dies betrifft die betroffenen natürlichen Personen – jeder, dessen Daten erhoben, gespeichert und verarbeitet werden, also: Jedermann – ebenso wie die zahlreichen Firmen und Unternehmungen, die tagtäglich Daten erheben, speichern, verarbeiten oder sogar als zentrales Unternehmens-Asset verwerten. Den hierzu rechtlich eigentlich originär berufenen Stellen – den Datenschutzbeauftragten der Länder – kann dies hierbei aufgrund der in der Regel deutlichen personellen Unterbesetzung nur bedingt zum Vorwurf gemacht werden.

 

§ 3 BDSG: Schutz personenbezogener Daten

§ 3 BDSG: Schutz personenbezogener Daten

 

Ein eigentlich geeignetes Mittel der Rechtskonkretisierung sui generis ist die Rechtsfortbildung durch die Zivilgerichte, insbesondere durch die Kammern und Senate für Wettbewerbsrecht: Ob die zulässigen Grenzen unternehmerischer elektronischer Werbung (E-Mail-Werbung, Telefon- und Faxwerbung), die Hinweispflichten im Internet tätiger Unternehmen („Impressum“, etc.) und insbesondere Pflichtbelehrungen gegenüber Verbrauchern (Belehrung über das Widerrufsrecht), in all diesen Bereichen wurden und werden die im jeweiligen Anforderungen an redliches unternehmerisches Handeln konkreten Einzelfall genauestens ausgelotet und sukzessive geklärt.

Der Bereich des Datenschutzrechts war hiervon bislang im Wesentlichen ausgeklammert: Zwar wurden vereinzelt Abmahnungen ausgesprochen und Gerichtsverfahren durchgeführt, im Ergebnis wurde die Anwendbarkeit des Bundesdatenschutzgesetzes als sog. „Marktverhaltensregel“ im Sinne des § 4 Nr. 11 des Gesetzes über den unlauteren Wettbewerb (UWG) durch die Gerichte allerdings mehrheitlich abgelehnt. Damit war der Datenschutz der Rechtsfortbildung durch die Wettbewerbskammern und –senate der Zivilgerichte entzogen. So hat beispielsweise das Landgericht Berlin noch in seiner Entscheidung vom 14.03.2011 (91 O 25/11) hinsichtlich der Beurteilung des Facebook-„Gefällt mir“-Buttons die Qualifizierung der ebenfalls dem Bereich des Datenschutzes unterfallenden Regelung des § 13 Telemediengesetz (TMG) sowie der Regelungen des BDSG in seiner Würdigung als Marktverhaltensregelung iSv. § 4 Nr. 11 UWG abgelehnt und unter Berufung auf ein früheres Urteil des Oberlandesgerichts Hamburg (Entscheidung vom 09.06.2004, AZ.: 5 U 186/03) ausgeführt:

„Dies ist indes nicht der Fall. Nach der Rechtsprechung des BGH handelt gemäß § 4 Nr. 11 UWG unlauter, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Die verletzte Norm muss daher jedenfalls auch die Funktion haben, gleiche Voraussetzungen für die auf einem Markt tätigen Wettbewerber zu schaffen (vgl. BGH in GRUR 2000,Seite 1059 – Abgasemissionen). Es reicht nicht aus, dass die Vorschrift ein Verhalten betrifft, das dem Marktverhalten vorausgegangen ist oder ihm erst nachfolgt. Fällt der Gesetzesverstoß nicht mit dem Marktverhalten zusammen, ist eine zumindest sekundäre wettbewerbsbezogene Schutzfunktion der verletzten Norm erforderlich (vgl. BGH in GRUR 2000, Seite 1076 – Abgasemissionen und in GRUR 2010, Seite 656 – Zweckbetrieb). Die Vorschrift muss das Marktverhalten außerdem im Interesse der Marktteilnehmer regeln. Dem Interesse der Mitbewerber dient eine Norm dann, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt (Köhler/Bornkamm, UWG, 29.Auflage, § 4 Randnummer 11.35c). Nach diesen Grundsätzen ist die Vorschrift des § 13 TMG nicht als Marktverhaltensvorschrift zu qualifizieren. Nach dem Gesetzeswortlaut hat der Diensteanbieter “ den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist“. Im Kern dienen die Vorschriften zum Datenschutz wie auch der § 13 TMG anders als Verbraucherschutzvorschriften zum Internethandel dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen. So hat das OLG Hamburg in seiner Entscheidung vom 9.Juni 2004 zu 5 U 186/03 entschieden, dass die Vorschrift des § 28 Abs.4 Satz 2 BDSG, wonach der Versender eines Werbeschreibens die Empfänger darüber zu belehren hat, dass sie einer Verwendung ihrer Daten widersprechen können, keine Marktverhaltensregel sei, weil es sich um eine Datenschutzbestimmung handele.“

Die Entscheidung wurde durch das Kammergericht Berlin mit Beschluss vom 29. 4. 2011 (5 W 88/11 Gefällt-mir-Button) bestätigt:

In diesem Sinne betrifft ein Verstoß gegen § 13 Absatz I TMG ein Verhalten, das dem Marktverhalten vorausgegangen ist und nur dann als Marktverhaltensvorschrift i.S. des § UWG § 4 Nr. 11 UWG anzusehen ist, wenn ihm eine zumindest sekundäre wettbewerbsbezogene Schutzfunktion innewohnt (vgl. BGH, GRUR 2010, Seite 654 Rdnr. 18 – Zweckbetrieb).
a) Diese Schutzfunktion ist im Hinblick auf die Mitbewerber des nach § 13 Absatz I TMG Informationspflichtigen nicht zu erkennen.
Die Vorschriften im vierten Abschnitt des TMG mit der Überschrift „Datenschutz” verfolgen ebenso wie bereits die Vorgängerregelungen in dem bis zum 28. 2. 2007 gültigen TDDSG das Ziel, „eine verlässliche Grundlage für die Gewährleistung des Datenschutzes im Bereich der Teledienste zu bieten und einen Ausgleich zwischen dem Wunsch nach freiem Wettbewerb, berechtigten Nutzerbedürfnissen und öffentlichen Ordnungsinteressen zu schaffen” (vgl. BT-Dr 13/7385, S. 21, zum TDDSG; Schmitz, in: Hoeren/Sieber, Hdb. MultimediaR, 16.2 Rdnr. 15).
Die durch § 13 Absatz I TMG wie in ähnlicher Weise zuvor durch § 3 Absatz V TDDSG auferlegte Informationspflicht soll konkret gewährleisten, dass der Nutzer „sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann” (vgl. BT-Dr 13/7385, S. 22, zum TDDSG).
Der Gesetzgeber hat mithin allein überindividuelle Belange des freien Wettbewerbs bei der Gesetzgebung berücksichtigt, um Beschränkungen der Persönlichkeitsrechte der Nutzer von Telediensten zu rechtfertigen, nicht aber Interessen einzelner Wettbewerber.
Für die Beurteilung, ob ein Verstoß i.S. des § 4 Nr. 11 UWG vorliegt, ist es unerheblich, ob sich ein Unternehmer durch die Missachtung einer derart auf den Datenschutz bezogenen Informationspflicht einen Vorsprung im Wettbewerb verschafft (vgl. BGH, GRUR 2010, Seite 654 Rdnr. 19 – Zweckbetrieb; Köhler, in: Köhler/Bornkamm, § 4 Rdnr. 11.35c).
b) Im Hinblick auf Verbraucher mag § 13 Absatz I TMG die erforderliche wettbewerbsbezogene Schutzfunktion insoweit zuzugestehen sein, als die Informationsverpflichtung auch dazu dienen kann, Beeinträchtigungen der Privatsphäre durch unerwünschte Werbung abzuwehren und zu unterbinden.
Wie § 7 UWG zeigt, wird der Verbraucher durch unerwünschte Werbung nicht nur in seinem allgemeinen Persönlichkeitsrecht, sondern auch in seiner Stellung als Marktteilnehmer beeinträchtigt (vgl. Schaffert, in: MünchKomm-LauterkeitsR, § 4 Nr. 11 Rdnr. 69).

Auch das Oberlandesgericht München hatte dies zuletzt in seiner Entscheidung vom 12.01.2012 (Az. 29 U 3926/11) so beurteilt und die Anwendung von Regelungen des BDSG als Marktverhaltensregel im Sinne von § 4 Nr. 11 UWG abgelehnt.

Anders hatte dies im Jahr 2009 noch das Oberlandesgericht Köln (Entscheidung vom 14.08.2009, Az. 6 U 70/09) entschieden und geurteilt:

Das Verbot gem. § 4 Absatz 1 BDSG, personenbezogene Daten zu nutzen, wenn der Betroffene nicht eingewilligt oder dies durch das BDSG oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist, ist insoweit eine gesetzliche Vorschrift i.S.d. § 4 Nr. 11 UWG, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, als § 28 BDSG die Grenzen der Zulässigkeit der Nutzung der Daten für Zwecke der Werbung bestimmt. Zwar zielt das in § 4 Absatz 1 BDSG enthaltene Verbot mit Erlaubnisvorbehalt (vgl. Gola/Schomerus, BDSG, 9. Aufl., § 4 Rdnr. 3) weitaus überwiegend nicht darauf ab, Marktverhalten zu regeln. Soweit jedoch ein Marktteilnehmer sich auf einen Erlaubnistatbestand beruft, um diese Erlaubnis dazu zu nutzen, Werbung für sich zu machen, bezwecken die Grenzen, die das BDSG einem solchen Marktverhalten setzt, den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer.

Diese Ansicht hatte das Oberlandesgericht Köln in einer weiteren Entscheidung vom 19.11.2010 (6 U 73/10) bestätigt.

Die Waage der Justitia könnte in diesem Punkt zukünftig endgültig zur anderen Seite ausschlagen:

 

Justitia: Klärung der Klärung der offenen Fragen des Schutzes personenbezogener Daten im Internet durch die Zivilgerichte?

Justitia entscheidet: Klärung der offenen Fragen des Schutzes personenbezogener Daten im Internet durch die Zivilgerichte?

 

Das Oberlandesgericht Karlsruhe hat sich in einer jüngst veröffentlichten Entscheidung vom 09.05.2012 –(6 U 38/11) nunmehr der Ansicht des Oberlandesgerichts Köln angeschlossen und die Regelungen § 4 (Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung, Einwilligungsvorbehalt des Betroffenen) und § 28 (Datenerhebung und -speicherung für eigene Geschäftszwecke) des Bundesdatenschutzgesetzes als Marktverhaltensregeln im Sinne des § 4 Nr. 11 UWG angesehen:

„Der Senat teilt aber die Auffassung des Oberlandesgerichts Köln (Urt. v. 19.11.2010, Az. 6 U 73/10, auszugsweise veröffentlicht in CR 2011, 680, abrufbar in juris), dass für die Verfolgung dieses Interesses die Nutzung der Information, dass der ehemalige Kunde zur Beklagten gewechselt hat, nicht „erforderlich“ im Sinne des § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. ist und dass das schutzwürdige Interesse des Kunden am Ausschluss der Nutzung überwiegt. Das Merkmal der Erforderlichkeit setzt voraus, dass die berechtigten Interessen auf andere Weise nicht bzw. nicht angemessen gewahrt werden können. Es geht also um ein bei vernünftiger Betrachtung zu bejahendes Angewiesensein auf die Nutzung der fraglichen Information, nicht um eine absolut zwingende Notwendigkeit; die Nutzung ist dann erforderlich, wenn es, um das berechtigte Interesse verfolgen zu können, zur Nutzung der jeweiligen Information keine zumutbare Alternative gibt (vgl. Gola/Schomerus, a. a. O., § 28 Rn. 34 m. w. N.). Damit kann Erforderlichkeit im Zusammenhang mit der Nutzung für Werbung aber nicht mit bestmöglicher Effizienz gleichgesetzt werden (OLG Köln a. a. O.). Zudem zeigen die oben genannten Kriterien, dass die Beurteilung der Erforderlichkeit nicht getrennt betrachtet werden kann von den Interessen des Betroffenen am Schutz seiner personenbezogenen Daten. Wann die Nutzung personenbezogener Daten für die Verfolgung eines berechtigten Interesses erforderlich im genannten Sinne ist, hängt auch davon ab, in welchem Maße die Interessen des Betroffenen Schutz verdienen; je mehr Schutz sie verdienen, desto eher kann dem Nutzenden eine alternative, wenn auch weniger effiziente Art der Verfolgung seines berechtigten Interesses ohne Nutzung der personenbezogenen Daten zugemutet werden. Wie weit der Kreis der in Betracht kommenden Alternativen zu ziehen ist, hängt ebenfalls vom Grad der Schutzwürdigkeit der Interessen des Betroffenen und von der Intensität des Eingriffs ab (vgl. Simitis, Kommentar zum BDSG, 5. Aufl., § 28 Rn. 159). Die Prüfung der Erforderlichkeit ist also Teil der Interessenabwägung, die § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. verlangt.

Schließlich hat das Merkmal der Erforderlichkeit auch Rückwirkungen darauf, was als Gegenstand des berechtigten Interesses des Nutzenden in Betracht kommt. Denn das Merkmal der Erforderlichkeit wäre obsolet, wenn das berechtigte Interesse gerade auf die spezifische, die Verwertung personenbezogener Daten voraussetzende Nutzungsform bezogen würde; dann wäre die Nutzung eben stets „erforderlich“. Das gebietet eine Abstrahierung dessen, woran der Nutzende ein berechtigtes Interesse hat, im Streitfall auf die gezielte werbliche Ansprache ehemaliger Kunden (vgl. OLG Köln a. a. O.).

Vorliegend kann der Beklagten bei Berücksichtigung der wechselseitigen Interessen zugemutet werden, auf die Nutzung der Information über die Identität des neuen Versorgers und damit auf einen spezifisch auf den neuen Versorger des Kunden zugeschnittenen Vergleich in der Werbung zu verzichten. Dabei kommt es nicht entscheidend darauf an, ob es für den ehemaligen Kunden günstig ist, vergleichende Preiswerbung unter Bezugnahme auf seinen aktuellen Stromanbieter zu erhalten. Maßgeblich für das Interesse des Kunden als „Betroffenen“ im Sinne des § 28 BDSG muss vielmehr eine datenschutzrechtliche Betrachtung sein; dass der Anbieter mit einer solchen Werbung ein berechtigtes Anliegen verfolgt, wurde oben bereits ausgeführt.

Die Information, für welchen Stromanbieter sich ein individualisierter Kunde entschieden hat, ist ein personenbezogenes Datum, welches den Schutz des Art. 2 Abs. 1 GG (Grundrecht auf informationelle Selbstbestimmung) und des BDSG genießt. Bei der Würdigung der datenschutzrechtlich maßgeblichen Interessen des Betroffenen fällt aus Sicht des Senats in der vorliegenden Konstellation erheblich ins Gewicht, dass ein Stromkunde, der den Versorger wechselt und mit der Kündigung des Altvertrages den neuen Versorger beauftragt, regelmäßig nicht damit rechnet und nicht damit rechnen muss, dass der alte Versorger das personenbezogene Datum seines neuen Versorgers speichern und noch lange nach erfolgter Umstellung des Vertrags zu Zwecken der Werbung nutzen wird. Der Kunde gibt eine Erklärung gegenüber dem neuen Versorger ab, um dessen Service bei der Vertragsumstellung in Anspruch zu nehmen. Dies geschieht allein zum Zweck der reibungslosen Umstellung des Stromlieferungsvertrages. Der Kunde, dessen personenbezogene Daten durch das Grundrecht auf informationelle Selbstbestimmung und durch das BDSG geschützt sind, darf darauf vertrauen, dass die bei der Beauftragung des neuen Versorgers mit der Kündigung notwendigerweise preisgegebene Information über seinen neuen Versorger nur insoweit genutzt wird, wie es im Rahmen dieser üblichen und energierechtlich vorgesehenen Vorgehensweise (vgl. Eckhardt CR 2011, 684) unumgänglich ist, nämlich im Rahmen technischen Abwicklung des Versorgerwechsels (vgl. auch OLG Köln a. a. O.). Ob der alte Versorger die Information, wer der neue Versorger seines ehemaligen Kunden ist, sogar gemäß § 35 Abs. 2 S. 2 Nr. 3 BDSG zu löschen oder zumindest nach § 35 Abs. 3 Nr. 1 BDSG zu sperren hat (so Eckhardt a. a. O.; wohl a. A., aber mit Blick auf andere Fallgestaltungen, Gola/Schomerus, BDSG, 10. Aufl., § 35 Rn. 13), bedarf letztlich keiner Entscheidung.

Denn auch wenn eine Lösch- oder Sperrpflicht der Beklagten nicht bestünde, überwöge dennoch das dargestellte Interesse des ehemaligen Kunden am Schutz seiner Daten dasjenige des alten Versorgers an der Nutzung der Information über den neuen Versorger des Kunden. Überzeugend weist das Oberlandesgericht Köln in der zitierten Entscheidung darauf hin, dass dem Anbieter weder eine werbliche Ansprache speziell seiner ehemaligen Kunden noch ein dabei unterbreiteter genereller Preisvergleich unmöglich gemacht wird, wenn er die genannte Information nicht nutzen darf. Ihm wird lediglich die Möglichkeit genommen, den Preisvergleich gerade auf denjenigen Stromanbieter zuzuschneiden, zu dem der jeweilige Kunde gewechselt hat. Dieser Verzicht kann und muss ihm im Rahmen der Abwägung angesichts des Schutzes, den personenbezogene Daten genießen, zugemutet werden. Damit liegen die Voraussetzungen des § 28 Abs. 1 S. 2 Nr. 2 BDSG a. F. nicht vor. Gleiches gilt für § 28 Abs. 1 S. 2 Nr. 3 BDSG a. F., der sich auf den hier nicht einschlägigen Fall der Daten aus“

Das Oberlandesgericht Karlsruhe hat in Hinblick auf die grundsätzliche Bedeutung der Frage sowie die Sicherung einer einheitlichen Rechtsprechung die Revision zum Bundesgerichtshof (BGH) zugelassen. Das Verfahren ist beim BGH mittlerweile auch unter dem Aktenzeichen I ZR 224/10 anhängig. Es steht daher zu hoffen, dass der BGH insoweit alsbald eine Grundsatzentscheidung fällt und den Weg zur Klärung der der vielfältigen offenen Fragen des Schutzes personenbezogener Daten durch die Wettbewerbskammern und –senate der Zivilgerichte eröffnet. Dies erhöht bereits jetzt die Relevanz einer Prüfung und Klärung des Umgangs mit personenbezogenen Daten insbesondere im Internet für Unternehmen und die Anpassung oder Einführung entsprechender Compliance-Richtlinien und sonstiger vorbeugender Maßnahmen.

Schließen sich andere Gerichte der Einschätzung des OLG Karlsruhe an, drohen bei Datenschutzverstößen künftig nicht mehr nur Maßnahmen der Aufsichtsbehörden (Untersagungsverfügung, Audit, Bußgeld). Vielmehr könnten Wettbewerber, Verbraucherzentralen und Wettbewerbsverbände gegen Datenschutzverstöße von Unternehmen und Gewerbetreibenden zivilrechtlich vorgehen. Wer sich jetzt richtig aufstellt, kann also auch Abmahnungen, Einstweilige Verfügungen, Unterlassungsklagen und andere „Hässlichkeiten“ – und natürlich auch gegen die damit verbundenen Kosten – wappnen. Dabei haben die Erfahrungen der Vergangenheit gezeigt, dass ein gutes und damit professionelles Datenschutzmanagement eben auch Vertrauen schafft und Kunden binden kann.

Update 27.06.2013 – OLG Hamburg: Mit Urteil vom 27.06.2013, Az.: 3 U 26/12 hat das Hanseatische Oberlandesgericht nunmehr ebenfalls datenschutzrechtliche Regelungen als Marktverhaltensregeln iSd. Wettbewerbsrechts beurteilt. Das Urteil erging zu der speziellen Datenschutzregelung des § 13 TMG, wonach der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs u. a. über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten hat. Dies eine im Sinne des § 4 Nummer 11 UWG das Marktverhalten regelnde Norm, da nach den Erwägungsgründen der dieser Norm zugrunde liegenden Datenschutzrichtlinie 95/46/EG durch die Schaffung gleicher Wettbewerbsbedingungen jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers geschützt werden soll. Den Erwägungsgründen zur Richtlinie sei darüber hinaus zu entnehmen, dass die in § 13 TMG geregelten Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme dienen, weil sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen.

Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Sie möchten eine unternehmenskritische datenschutzrechtliche Fragestellung durch eine zivilgerichtliche Entscheidung klären lassen oder sich gegen eine wettbewerbsrechtliche Abmahnung mit datenschutzrechtlichem Bezug wehren? Für alle Fragen des Datenschutzrechts, des Wettbewerbsrechts aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?

EuGH: IP-Adressen sind personenbezogene Daten

, ,

Der Europäische Gerichtshof hat in einer jüngst veröffentlichten Entscheidung eine der umstrittensten Fragen des Datenschutzrechts nunmehr höchstrichterlich beantwortet: das Gericht hat bestätigt, dass die IP-Adresse zu den personenbezogenen Daten gehört.

Zankapfel IP-Adresse: rechtliche Einordnung

Eine IP-Adresse ist eine Adresse, die in Computernetzen, die – wie z. B. dem Internet – angeschlossenen Endgeräten (Computer, Smartphone usw.) zugewiesen wird. Mittels dieser „Hausnummer“ können Daten zwischen den beteiligten Geräten übermittelt werden.

Zwischen Behörden und Gerichten sowie Diensteanbietern und rechtswissenschaftlichen und technischen Fachleuten war umstritten, ob eine solche Adresse zu den personenbezogenen Daten gehört. Personenbezogene Daten sind gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) Informationen, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Stein des Anstoßes und Kern der rechtlichen Auseinandersetzung war die Frage, was eine „bestimmbare“ natürliche Person ist. Denn die Information, welchem Netzteilnehmer zu welcher Zeit eine bestimmte IP-Adresse zugewiesen war, liegt in der Regel nur dem Zugangsprovider vor. Der Betreiber einer Internetseite hat in der Regel nicht die Möglichkeit, auf die Daten des Providers zu zugreifen. Für ihn ist die Person also nicht bestimmbar. Für die Aufsichtsbehörden war dieser Umstand nicht relevant. „Bestimmbar“ im Sinne des Gesetzes bedeutet nach Ansicht der Aufsichtsbehörden, dass es rein faktisch möglich ist, eine solche Zuordnung vorzunehmen, und zwar unabhängig von tatsächlich gegebenen Zugriffsmöglichkeiten. Diese Ansicht lag auch einem viel beachteten Beschluss des so genannten Düsseldorfer Kreises (ein informelles Gremium der Aufsichtsbehörden für den Datenschutz im Bereich Telemedien) aus dem November 2009 zu Grunde. Nach diesem Beschluss wurden Anforderungen an die Rechtmäßigkeit von Webanalyse-Werkzeugen (wie beispielsweise „Google Analytics“) aufgestellt, die sich an der Einordnung von IP-Adressen als personenbezogene Daten orientierten (wir berichteten). Das sahen freilich verschiedene Online-Anbieter anders. Der Datenschutzbeauftragte der für den Vertrieb der Google-Dienste in Deutschland zuständigen Google Germany GmbH wandte sich beispielsweise bereits vor längerer Zeit vehement gegen die Einordnung von IP-Adressen als personenbezogen (Meyerdierks: „Sind IP-Adressen personenbezogene Daten?“ in der Zeitschrift MMR 2009, S. 8).

EugH: IP-Adresse ist personenbezogen

Der europäische Gerichtshof hatte nunmehr zu der Frage zu entscheiden, ob ein Internet-Provider verpflichtet werden kann, ein Filtersystem zur Verhinderung des illegalen Zugänglichmachens urheberrechtlich geschützter Werke (Filesharing) einzurichten. In Randziffer 51 des Urteils lautet es:

„Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“ (Urteil vom 24. November 2011; Rechtssache C-70/10)

Augenscheinlich tendiert der europäische Gerichtshof dazu, IP-Adressen generell als personenbezogene Daten anzusehen. Damit wäre höchstrichterlich geklärt, dass die IP-Adresse zu den personenbezogenen Nutzungsdaten gehört.

Handlungsbedarf: unverzügliche Löschung und Datensparsamkeit

IP-Adressen genießen daher den Schutz des § 15 Telemediengesetz (TMG). Danach sind Nutzungsdaten unverzüglich nach Beendigung des Nutzungsvorgangs zu löschen, wenn sie nicht zu Abrechnungszwecken benötigt werden. Im Klartext: beispielsweise darf im Logfile eines Webservers keine dauerhafte Speicherung vollständiger IP-Adressen erfolgen. Auch Webanalysemaßnahmen dürfen nur dann unter Verwendung der vollständigen IP-Adresse erfolgen, wenn dem Nutzer eine einfache und praktisch umsetzbare Möglichkeit des Widerspruchs gegeben ist, der Nutzer auf sein Widerspruchsrecht hingewiesen wurde und wenn keine Zusammenführung mit anderen personenbezogenen Daten des Nutzers erfolgt.

Die Entscheidung des Europäischen Gerichtshofs lässt allerdings noch ein kleines denkbares „Schlupfloch“: das Urteil des EuGH betraf eine IP-Adresse in den Händen des Internet-Providers. Daher könnte noch diskutiert werden, ob die IP-Adresse in den Händen eines „normalen“ Internetseitenbetreibers möglicherweise anders einzustufen wäre. Diensteanbietern ist jedoch anzuraten, die Entscheidung des EuGH ernstzunehmen. Zweckmäßigerweise sollte geprüft werden, ob die vollständige Erhebung der IP-Adresse zwingend notwendig ist und ob überall dort, wo dies nicht der Fall ist, eine Anonymisierung erfolgen kann. Hier ist beispielsweise an die Kürzung der erhobenen Adressen um die letzten drei Ziffern zu denken. Überdies sollten Diensteanbieter das Thema „Löschungsfristen“ sorgfältig prüfen. Zwar hat der Bundesgerichtshof entschieden, dass eine unverzügliche Löschung nicht mehr benötigter Nutzungsdaten nicht einer „sofortigen“ Löschung entspricht (BGH, Urteil vom 13.1.2011 – AZ: III ZR 146/1). In der Praxis bedeutet dies, dass ein Diensteanbieter etwaig erhobene IP-Adressen nicht sofort nach Beendigung des Nutzungsvorgangs, sondern im Rahmen einer regelmäßigen Anonymisierung oder Löschung neutralisieren oder löschen muss. Die Frist sollte hierbei jedoch keinesfalls zu lang angesetzt werden.

Das Telemediengesetz sieht für Verstöße gegen die datenschutzrechtlichen Verpflichtungen Geldbußen von bis zu 50.000 € vor. Darüber hinaus sind Maßnahmen der Aufsichtsbehörden und die Umsetzung von behördlichen Auflagen oftmals deutlich teurer und mit wesentlich mehr Aufwand verbunden, als eine von Anfang an durchdachte Gestaltung der IT-Infrastruktur. Datenschutz ist daher nicht nur eine lästige Pflicht, sondern eine Selbstverständlichkeit, die von allgemeingültigen gesetzlichen „Spielregeln“ ebenso verbindlich geregelt ist wie das Steuerrecht. Professionelle Diensteanbieter sollten daher auch in Datenschutzfragen professionell aufgestellt sein.

Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Für alle Fragen des Datenschutzrechts, aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?

Aufsichtsbehörde sucht Datenschutzverstöße künftig automatisiert

, , ,

Online-Datenschutz: google-analytics, Facebook und die Folgen

Ob es um die Nutzung des Webtracking-Tools google-analytics ging oder um die Einbindung des Facebook-Buttons, um die § 13 Abs. 1 Telemediengesetz (TMG) erforderliche Datenschutzerklärung oder die Gestaltung der Einwilligung des Nutzers zur Verwendung seiner Daten für Zwecke der Werbung und Marktforschung (opt-in) – Betreiber von Internetseiten müssen gegenwärtig einige rechtliche Herausforderungen meistern.

Aufsichtsbehörden bislang eher zurückhaltend

Da war es gut, dass die Aufsichtsbehörden in der Vergangenheit eher passiv mit dem Thema Datenschutz im Internet gegangen sind. Nur in extremen Fällen sind bislang die Behörden eingeschritten. Selbst wenn eine Aufsichtsbehörde tätig wurde, hatte dies in der Vergangenheit selten handfeste Folgen. Die durchaus möglichen Bußgelder wurden nur sehr zurückhaltend verhängt.

Neue Software findet Verstöße automatisiert

Das könnte sich nun grundlegend ändern:

Der Bundesdatenschutzbeauftragte Peter Schaar hat am 25.03.2011 ein vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickeltes Werkzeug zur automatisierten Erkennung von Datenschutzverstößen auf Internetseiten vorgestellt. Das Tool soll unter der Bezeichnung „Privacy Violation Detector“ (Prividor) für die Datenschutzaufsicht zum Einsatz kommen.

Zu den erkannten Rechtsverstößen gehören beispielsweise problematische Tracking-Dienste und die Verwendung unverschlüsselter Online-Formulare.

Zunächst soll das Tool nur vom Datenschutzbeauftragten des Bundes eingesetzt werden. Da der Bundesdatenschutzbeauftragte vorrangig für die Bundesbehörden zuständig ist, steht ein Einsatz den Internetseiten privater Anbieter noch nicht unmittelbar bevor. Es wird jedoch allenfalls eine Frage der Zeit sein, bis die für private Telemedien zuständigen Datenschutzbeauftragten der Länder mit Prividor auf die Jagd nach privaten Rechtsverletzungen gehen.

Angst vor Abmahnwelle

Der Bundesdatenschutzbeauftragte kann sich vorstellen, Prividor als Open-Source-Software jedermann bereitzustellen. Diese Ankündigung führte zu einiger Unruhe. Es wird befürchtet, dass Abmahn-Anwälte mit Prividor neue abzumahnende Rechtsverstöße bequem und in großer Zahl automatisiert auffinden und bearbeiten können.

Im Hinblick auf den Facebook-Button kann zwar in dieser Hinsicht ein neues, für online Anbieter positives Urteil aus Berlin verzeichnet werden:

Landgericht Berlin: Facebook-Button nicht wettbewerbswidrig

Das Landgericht Berlin hat (Beschluss v. 13.03.2011, Aktenzeichen: 91 O 25/11) entschieden, dass die Integration des „Gefällt mir“-Buttons der Plattform facebook auf der Internetseite eines Onlinehändlers ohne Hinweis auf die damit einhergehende Datenübermittlung nicht wettbewerbswidrig ist. Der datenschutzrechtlich einschlägige § 13 TMG stelle keine Marktverhaltensnorm im Sinne von § 4 Nr. 11 UWG dar. Ein Verstoß gegen § 13 TMG könne daher – so das Gericht – nicht von Wettbewerbern mit Abmahnungen, einstweiligen Verfügungen oder Klagen verfolgt werden. Natürlich können Betroffene ihre eigenen Rechte wegen des Rechtsverstoßes gegen den Betreiber der Internetseite geltend machen.

Keine Entwarnung

Die Berliner Entscheidung ist mit Vorsicht zu genießen. Die Frage, ob datenschutzrechtliche Bestimmungen Marktverhaltensnormen sind, ist nicht höchstrichterlich entschieden. Es ist denkbar, dass andere Gerichte und insbesondere übergeordnete Instanzen die Rechtslage anders einschätzen als das Landgericht Berlin. Nach der letzten großen Reform des Wettbewerbsrechts wurde der Verbraucherschutz als wesentliches Ziel des Gesetzes gegen den Unlauteren Wettbewerb in § 1 UWG aufgenommen. Datenschutz und Verbraucherschutz sind eng verwobene Regelungsbereiche. Eine anderweitige Einschätzung als die des Landgerichts Berlin lässt sich daher durchaus begründen. Von Entwarnung kann daher bis zu einer klärenden Entscheidung des Bundesgerichtshofs (oder des Gesetzgebers) keine Rede sein.

Sie möchten sicher gehen? Ihr Online-Auftritt soll praxisgerecht und profitabel sein, aber auch die datenschutzrechtlichen Anforderungen erfüllen? BBS hilft. Bei Fragen zum Datenschutz, aber auch zu allen anderen Herausforderungen im Bereich des IT- und Wettbewerbsrechts sind wir Ihr direkter und kompetenter Ansprechpartner. Sprechen Sie uns an.

 

 

Bundesarbeitsgericht: betrieblicher Datenschutzbeauftragter kann nicht einfach abbestellt werden

, ,

 

Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?

Die automatisierte Datenverarbeitung ist in der Wirtschaft des digitalen Zeitalters nicht hinweg zu denken. Ob Kundendaten, die Verwaltung des Mitarbeiterstammes oder die Verarbeitung personenbezogener Daten im Auftrag: durch EDV wird die strukturierte und erfolgreiche Umsetzung der Geschäftsprozesse oft erst möglich.

Dabei gilt es aber auch, die rechtlichen Rahmenbedingungen zu berücksichtigen. Sind 10 oder mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst, ist ein betrieblicher Datenschutzbeauftragter zu bestellen. Dies bestimmt § 4f des Bundesdatenschutzgesetzes (BDSG). Auch bei weniger als 10 mit der automatisierten Datenverarbeitung beschäftigten Personen kann die Bestellung eines betrieblichen Datenschutzbeauftragten notwendig werden. Das gilt insbesondere dann, wenn eine automatisierte Auftragsdatenverarbeitung erfolgen soll und das Unternehmen dieses Verfahren nicht der zuständigen Aufsichtsbehörde melden will (§ 4 d Abs. 1 BDSG). Ein Datenschutzbeauftragter ist auch dann zu bestellen, wenn ein Verfahren mit besonders schwerwiegenden Risiken für die Rechte der Betroffenen verbunden ist und daher vor seiner Einführung auf die datenschutzrechtliche Zulässigkeit geprüft werden muss (so genannte Vorabkontrolle, geregelt in § 4 d Abs. 5 und 6 BDSG). Der Vorabkontrolle soll nach Einschätzung der Aufsichtsbehörden insbesondere die Einführung einer Videoüberwachung unterliegen.

Zuverlässigkeit und Fachkenntnis notwendig

Der betriebliche Datenschutzbeauftragte hat die Aufgabe, die Einhaltung der datenschutzrechtlichen Bestimmungen im Unternehmen zu prüfen und zu fördern und insbesondere auch die Geschäftsführung in diesem Bereich zu beraten. Dafür muss der Datenschutzbeauftragte insbesondere über die erforderliche Fachkenntnis und Zuverlässigkeit verfügen. Zum betrieblichen Datenschutzbeauftragten kann ein Mitarbeiter bestellt werden, der über die notwendigen Voraussetzungen verfügt. Ein Unternehmen kann jedoch auch einen externen Datenschutzbeauftragten bestellen.

Konflikte oft vorprogrammiert

Naturgemäß stehen die Anforderungen des Datenschutzes mitunter im Widerstreit zu den vorhandenen Vorstellungen über die Gestaltung der Geschäftsprozesse. Insbesondere wenn datenschutzrechtliche Vorgaben die Änderung vorhandener Geschäftsprozesse oder einen Mehraufwand bei der Gestaltung künftiger Geschäftsprozesse erfordern, führt dies nicht selten zu Konflikten.

Dass bei solchen Konflikten nicht einfach durch die Abberufung des betrieblichen Datenschutzbeauftragten Abhilfe geschaffen werden kann, stellte das Bundesarbeitsgericht (BAG) in einer jüngst ergangenen Entscheidung (Urteil vomv. 23.3.2011 -10 AZR 562/09) klar:

Bundesarbeitsgericht: Austausch des Datenschutzbeauftragten nicht möglich

Das BAG hat entschieden, dass eine Abberufung des Datenschutzbeauftragten nur aus wichtigem Grund möglich ist, wenn eine Fortsetzung des Rechtsverhältnisses für den Arbeitgeber unzumutbar ist. Im konkreten Fall war die klagende betriebliche Datenschutzbeauftragte auch Mitglied im Betriebsrat einer der beiden Beklagten. Die Beklagten wollten nunmehr einen externen betrieblichen Datenschutzbeauftragten bestellen. Dazu musste natürlich die Bestellung der bisherigen Datenschutzbeauftragten widerrufen werden. Zur Begründung führten die Beklagten insbesondere an, dass die Datenschutzbeauftragte wegen ihrer Mitgliedschaft im Betriebsrat unzuverlässig sei.

Das Bundesarbeitsgericht vereitelte den Plan der Geschäftsführung. Es erklärte den Widerruf der Bestellung der Mitarbeiterin zur Datenschutzbeauftragten für unwirksam.

Unabhängigkeit ist zu wahren

Zur Begründung führte das Gericht aus, dass der betriebliche Datenschutzbeauftragte seine Aufgabe unabhängig und insbesondere auch frei von den Weisungen der Geschäftsführung auszuüben habe. Daher könne er auch nicht einfach abberufen werden. Die Unabhängigkeit des Datenschutzbeauftragten wäre natürlich nicht mehr gegeben, wenn ein missliebiger betrieblicher Datenschutzbeauftragter einfach abgerufen und durch einen anderen ersetzt werden könnte. Daher war es auch der Beklagten verwehrt, einfach einen neuen externen Datenschutzbeauftragten zu bestellen, der an die Stelle der bisherigen betrieblichen Datenschutzbeauftragten treten sollte.

Betriebsrat nicht unzuverlässig

Daran änderte nach der Einschätzung des Gerichts auch die Mitgliedschaft der Datenschutzbeauftragten im Betriebsrat nichts. Dieser Umstand mache die Datenschutzbeauftragte keineswegs unzuverlässig.

Urteil nicht überraschend

Die Einschätzung des Gerichts bestätigt eine Selbstverständlichkeit: nach dem Leitbild des Bundesdatenschutzgesetzes hat der Datenschutzbeauftragte eine neutrale Kontrollfunktion auszuüben. Er hat der Umsetzung der datenschutzrechtlichen Vorgaben zu dienen. Wenn dies von der Geschäftsführung beispielsweise dann nicht erwünscht ist, wenn datenschutzrechtliche bedenkliche Verfahren (man erinnere sich an die aktuellen Rechtsfragen zum Einsatz von google-analytics) auf dem Prüfstand stehen, soll der Datenschutzbeauftragte nicht den möglicherweise nur finanziellen Interessen der Geschäftsführung zu weichen haben.

Das gerichtliche Vorbringen der Beklagten, nach welchem  die Mitgliedschaft der Datenschutzbeauftragten im Betriebsrat ihre Unzuverlässigkeit begründen sollte, grenzt nach der persönlichen Einschätzung des Verfassers an Naivität. Wer die arbeitsrechtliche Rechtsprechung in diesem Bereich kennt, kann diesem Argument keine allzu große Aussicht auf Erfolg beimessen.

Bestellung des Datenschutzbeauftragten: frühzeitig die richtige Lösung finden

Bei der Bestellung des betrieblichen Datenschutzbeauftragten werden oftmals bereits am Anfang Fehler gemacht, die sich später schwer korrigieren lassen. Vielfach wird beispielsweise wegen der vermeintlichen Nähe zum Thema ein Mitarbeiter aus dem technischen Bereich zum betrieblichen Datenschutzbeauftragten bestellt. Natürlich erfordert die rechtliche Beurteilung von technischen Sachverhalten auch ein Grundverständnis der technischen Hintergründe. Jedoch sind die nationalen und europäischen gesetzlichen Regelungen teilweise derart komplex, dass eine tief greifende Befassung, ständige Fortbildung und insbesondere auch juristische Kenntnisse notwendig sind.

Rechtskenntnisse unumgänglich

Nicht zu trennen: IT und Datenschutzrecht

Die Bestellung eines externen Datenschutzbeauftragten bietet hier große Vorteile: der externe Datenschutzbeauftragte kann sich weitaus mehr mit den rechtlichen Rahmenbedingungen befassen, als dies ein eigentlich mit anderen Aufgaben betrauter Mitarbeiter tun kann.

Darüber hinaus verfügt ein externer Datenschutzbeauftragter oftmals über die Möglichkeit zu Vergleichen mit der Situation in anderen Unternehmen. Hierbei können vielfach sachgerechte und praxisorientierte Lösungen schneller gefunden werden.

Ein betrieblicher Datenschutzbeauftragter sollte nicht als „Feind“ angesehen werden. Vielmehr soll er verlässlicher und kompetenter Ansprechpartner sein und auch die Geschäftsleitung vor Risiken warnen und bewahren.

Oft vorteilhaft: externer Datenschutzbeauftragter

BBS bietet für Sie umfangreiche Kompetenz im Bereich des Datenschutzes. Wir kennen nicht nur die rechtlichen Rahmenbedingungen, sondern auch betriebliche und betriebswirtschaftliche Anforderungen an praxisgerechte Lösungen. Wir bieten Ihnen die Bestellung eines externen betrieblichen Datenschutzbeauftragten, der Sicherheit bei der Umsetzung datenschutzrechtlicher Vorgaben schafft und gleichzeitig Ihre geschäftlichen Notwendigkeiten berücksichtigt. Mit Kreativität, Sachverstand und enger Zusammenarbeit lassen sich auch vermeintlich widerstreitende Interessen oftmals unter einen Hut bringen. Datenschutz und Datensicherheit sind in der digitalen Welt keine lästigen Formalitäten. Es gilt nicht nur Bußgelder, Strafen und Auseinandersetzungen mit den Aufsichtsbehörden zu vermeiden. Datenschutzpannen sind auch geschäftsschädigend. Wer sich im Bereich des Datenschutzes auf ein professionelles Management und einen guten Berater verlassen kann, kann sich auch besser auf seinen geschäftlichen Erfolg konzentrieren. Gemeinsam mit Ihnen finden wir die passenden Lösungen für Ihr Unternehmen – sprechen Sie uns an!