Beiträge

Verordnung geleaked: EU-Regelung für Cookies – Das Ende der Cookie-Banner?

, ,

Datenschutz-Grundverordnung: Neuerungen ab 2018

Am 25.05.2018 tritt die  europäische Datenschutz Grundverordnung in Kraft. Damit werden viele althergebrachte Regelungen des Datenschutzrechts durch eine einheitliche europäische Gesetzgebung ersetzt. Manches wird besser, vieles unklarer. Und in vielerlei Hinsicht ist  für die Verarbeiter personenbezogener Daten, deren Dienstleister und natürlich insbesondere E-Commerce-Anbieter auch jetzt noch nicht klar, wie die neuen gesetzlichen Regelungen aufzufassen und auszulegen sind.

Jedoch dreht sich das Rad weiter. Da die Datenschutz-Grundverordnung das Datenschutzrecht in Europa einheitlich vorrangig regelt, werden auch die nationalen deutschen Datenschutzregelungen des Telemediengesetzes überflüssig. Bislang ergibt sich daraus eine erhebliche Rechtsunsicherheit, da beispielsweise das Telemediengesetz in § 13 Abs. 2 sehr detaillierte Anforderungen an datenschutzrechtliche Einwilligungen stellt. Solche klaren Anforderungen können zwar lästig sein, geben jedoch auch ein Mehr an Rechtssicherheit, da sich daraus zumindest ein How-To für eine zulässige Einwilligungserklärung ableiten lässt.

Auf europäischer Ebene sind derart klare Anforderungen eher selten anzutreffen. Das Gesetz spricht hier oft eine andere Sprache als die tradierten Formulierungen der nationalen deutschen Regelungen.

Cookie-Banner: Pflicht oder nicht?

Cookie Hinweis Pflichtrichtlinie Datenschutzrichtlinie Datenschutz Grundverordnung Telemediengesetz Zustimmung Einwilligung Pflicht Gesetz

Morgen, verantwortliche Stellen, wirds was geben…. © panthermedia.net / Frank Straube

Dies ließ sich in der Vergangenheit insbesondere aus dem Hick-Hack um die Umsetzung der Cookie-Richtlinie erkennen. Lange war streitig, ob und wie die sich aus dieser Richtlinie ergebende Verpflichtung zur Einholung einer Einwilligung des Nutzers für das Setzen eines Cookies aufzufassen ist. Zunächst hieß es, die deutsche Gesetzgebung habe die Richtlinie nicht rechtzeitig umgesetzt. Anschließend ließ die Bundesregierung verkünden, dass bereits alle Anforderungen im aktuell geltenden deutschen Recht umgesetzt seien (https://www.telemedicus.info/article/2722-Die-Stellungnahme-der-Bundesregierung-zur-Cookie-Richtlinie.html). Die erforderliche Zustimmung könne – entgegen den strengen Anforderungen des § 13 Abs. 2 TMG – bei cookies über die entsprechenden Browser-Einstellungen des users erfolgen. Die Rechtsprechung ist dieser Einschätzung weitgehend gefolgt. Für Betreiber von Webseiten ergaben sich danach zunächst  also keine Änderungserfordernisse, wenn sie denn die nach § 13 Abs. 1 Telemediengesetz vorgeschriebene Datenschutzerklärung auf ihrer Website bereithielten.

Das änderte sich im Wesentlichen im Jahr 2015. Allenthalben tauchten Banner auf, mittels welchen auf den Einsatz von Cookies hingewiesen wurde. Hintergrund dieser Banner: es gibt keine gesetzliche Verpflichtung für einen Cookie-Hinweis in Banner-Form. Dies ergibt sich aus der oben zitierten Stellungnahme der Bundesregierung. Allerdings: Google fordert für den Einsatz einiger seiner Produkte, dass der Nutzer dem Einsatz von Cookies zustimmt (https://www.google.com/about/company/user-consent-policy.html). Die oftmals gestellte Frage nach der Rechtspflicht für ein Cookie-Banner oder einen Cookie-Hinweis ist daher nach dem Dafürhalten des Verfassers so zu beantworten, dass zumindest für deutschsprachige Seiten keine gesetzliche Pflicht besteht, es jedoch  beim Einsatz von Google-Produkten höchst ratsam ist. Denn Google stellt – das mag verwundern – insoweit strengere Anforderungen an den Datenschutz als das deutsche Recht.

Darüber hinaus können sich Rechtspflichten dann ergeben, wenn mit der Internetseite ausländisches Publikum angesprochen wird, also auch nationale Gesetze anderer Länder zum Einsatz kommen, welche durchaus strengere Anforderungen an Einwilligungen für das Setzen von Cookies  bestimmen können. Beispielsweise sieht das britische Datenschutzrecht vor, dass vor dem Setzen eines Cookies tatsächlich eine aktive Einwilligung des Nutzers eingeholt werden muss (Beispielsweise nach Stellungnahme der britischen Aufsichtsbehörde für Datenschutz: https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/: „At present, most browser settings are not sophisticated enough for websites to assume that consent has been given to allow the site to set a cookie.“).

Brandaktuell: Leak zur gesetzlichen Neuregelung von cookies

Am gestrigen 15.12.2016 „leakte“ nun der Entwurf einer neuen europäischen Verordnung, welche die bisherige E-Privacy-Richtline ersetzen soll und vorrangig zu Datenschutz-Grundverordnung  gelten soll (http://www.politico.eu/wp-content/uploads/2016/12/POLITICO-e-privacy-directive-review-draft-december.pdf). Nach dem Entwurf dieser „Privacy and Electronic Communikations Regulation“ Soll die Erhebung personenbezogener Daten im Internet auch weiterhin der Zustimmung des Betroffenen bedürfen, soweit die personenbezogenen Daten nicht zwingend benötigt werden, um die entsprechenden Dienste zu erbringen. Für einen anderweitigen Einsatz, und  damit auch für nicht zwingend erforderliche Cookies,  sieht die Verordnung  ein Zustimmungserfordernis vor. Das entspricht auch der bisherigen Rechtslage im Telemediengesetz. Allerdings ergibt sich aus Art. 9 des Entwurfs folgender entscheidender Absatz:

Neuregelung zum elektronischen Geschäftsverkehr: Cookie-Einwilligung durch Browser-Einstellung

Artikel 9 Abs. 1 und 2 des Verordnungsentwurfs

Wo technisch möglich und  effektiv, soll also die Erklärung  der Zustimmung für das Setzen eines Cookies in Zukunft auch  dadurch erfolgen können, dass die entsprechenden Einstellungen in der Software-Anwendung vorgenommen werden, welche den Zugriff auf das Internet ermöglicht (vulgo also der Browser). Damit würde sich das europäische Recht der gegenwärtigen deutschen Rechtslage angleichen. Es wird also spannend werden, ob  es dann möglicherweise sogar so weit kommt, dass die datenschutzrechtlichen Anforderungen von Google  weiter gehen als  diejenigen des Gesetzgebers der Europäischen Union. Vor diesem Hintergrund  muss sich der Gesetzgeber allerdings tatsächlich fragen lassen, ob die Verbesserung des Datenschutzes, insbesondere  im Hinblick auf den grenzüberschreitenden Datenverkehr, mit der Datenschutz-Grundverordnung und der sich daran anschließenden Gesetzgebung tatsächlich erreicht wird.

Für Unternehmen bedeutet dies, dass zumindest Hoffnung besteht, dass die visuell störenden und technisch nicht vorzugswürdigen Cookie-„Balken“ möglicherweise verschwinden könnten. Das würde allerdings voraussetzen, dass die Verordnung insoweit  entsprechend dem Entwurf tatsächlich in Kraft tritt und Google seine Anforderungen entsprechend herabsetzt. Wir werden Sie auf unseren Internetseiten  über den weiteren Fortgang informieren.

Aktuelle und rechtssichere Informationen zum Datenschutz, praxisgerechte Lösungen und unternehmensnahe Beratung erhalten Sie bei den Experten von BBS Rechtsanwälte. Wir beraten und vertreten zahlreiche Unternehmen mit unterschiedlicher Ausrichtung und unterschiedlichen Herausforderungen für rechtlich einwandfreie, praxisgerechte und effiziente Datenschutzkonzepte. Sprechen Sie uns an. Wir sind gerne für Sie da.

 

 

Datenschutzrecht: Klagerecht für Abmahnvereine soll kommen

, , ,

Datenschutzrecht: Eine Exotendomäne?

Als praxisorientierter Berater und Experte im Datenschutzrecht konnte ich bislang bei Unternehmen häufig eine recht verbreitete Einschätzung zu diesem Rechtsbereich antreffen: für nicht wenige Mittelständler und auch größere Unternehmen ist der Datenschutz ein lästiges und kurioses Nebengebiet. „Datenschutzrechtler“ werden mitunter als kuriose „Freaks“ angesehen, die insbesondere den operativen Entscheidern sowie den Werbe- und Marketingabteilungen mit realitätsfremdem Anspruchsdenken auf die Nerven fallen. Datenschutzrechtliche Vorschriften wurden dementsprechend bislang oft  als Soll-Vorschriften angesehen. Sie waren wurde mitunter allenfalls als moralische Leitlinie, aber weniger als integrale Compliance-Anforderung für die Gestaltung der eigenen Geschäftsprozesse wahrgenommen. Dies hatte auch eine Ursache: Verfahren der Aufsichtsbehörden und insbesondere spürbare Folgen waren eher eine Seltenheit. Dies liegt mitunter an der Komplexität datenschutzrechtlicher Vorschriften, viel häufiger wohl aber auch an der für eine effektive Aufsicht häufig viel zu geringen Personalausstattung der Aufsichtsbehörden. Darüber hinaus lag der Fokus häufig auf der Datenschutzpraxis großer IT-Anbieter wie beispielsweise Google & Co. KMU hatten häufig nicht ganz zu Unrecht die Wahrnehmung, in dieser Hinsicht einmal nicht zum eigenen Nachteil „unter dem Radar“ zu fliegen.

Bislang überschaubares Risiko

Datenschutz Wettbewerbsrecht Anwalt Rechtsanwalt Experte Hamburg Datenschutzbeauftragter

Datenschutzrecht. Künftig mehr Fallen für nachlässige Unternehmen?
© panthermedia.net /Arunas Gabalis

Für ein wenig mehr Nervosität sorgte unlängst der Schwenk einiger Gerichte, die das Datenschutzrecht zum Ansatzpunkt für wettbewerbsrechtliche Ansprüche erklärt haben. Während zunächst noch beispielsweise das Kammergericht Berlin (Entscheidung zum Facebook-Button, Beschluss vom 29. 4. 20115 W 88/11) und das Landgericht München (zur Frage der Nutzung von personenbezogenen Daten für Werbezwecke; Urt. v. 12.?1. 2012 – 29 U 3926/11) die Ansicht vertreten haben, dass datenschutzrechtliche Rechtsverstöße ausschließlich zu Ansprüchen des jeweiligen Betroffenen, nicht jedoch zu wettbewerbsrechtlichen Ansprüchen führen, hat sich dies mittlerweile nahezu durchgehend verändert. So haben beispielsweise das Kammergericht Berlin (zu einer datenschutzwidrigen Freunde-finden-Funktion von Facebook; KG: Urteil vom 24.01.2014 – 5 U 42/12), aber auch das Landgericht Hamburg (zur Frage von wettbewerbsrechtlichen Ansprüchen bei Fehlen der gesetzlich vorgeschriebenen Datenschutzerklärung auf Internetseiten; LG Hamburg, Urteil vom 27.06.20133 U 26/12) und auch das Oberlandesgericht Karlsruhe (Zur Frage von wettbewerbsrechtlichen Ansprüchen bei datenschutzwidriger Kunden-Reaktivierung; Urt. v. 9.5. 2012 – 6 U 38/11) entschieden, dass das Datenschutzrecht so genannte Marktverhaltensregeln enthält. Marktverhaltensregeln sind solche Normen, bei denen Verstöße gegen die gesetzliche Vorschrift gleichzeitig über § 4 Nr. 11 UWG als Wettbewerbsverstöße verfolgt werden können. Zu deutsch: es kann nicht nur der datenschutzrechtliche Betroffene Ansprüche wegen einer Rechtsverletzung erheben. Vielmehr drohen auch Abmahnungen, einstweilige Verfügungen und Unterlassungsklagen von Wettbewerbern. Allerdings: da das Datenschutzrecht, ganz im Gegensatz zu anderen Rechtsgebieten mit gleicher praktischer Relevanz, eher als abstraktes Nebengebiet aufgefasst wurde, hielt sich auch die „Angriffslust“ der Wettbewerber in verhältnismäßig engen Grenzen. Schließlich musste jeder, der einen Wettbewerber wegen Datenschutzverstößen abmahnt auch damit rechnen, für eigene nicht ganz unwahrscheinliche Verstöße zur Rechenschaft gezogen zu werden. Aus Furcht vor einem derartigen „Bumerang-Effekt“ waren wettbewerbsrechtliche Verfahren in Bezug auf datenschutzrechtliche Vorschriften in der Praxis eher selten. Hier stellen gegenwärtig jedenfalls noch die „Klassiker“ des Verbraucherrechts, beispielsweise Information- und Hinweispflichten, Musterbelehrungen und natürlich vor allem allgemeine Geschäftsbedingungen sowie Irreführungstatbestände die in der Praxis des Verfassers häufigsten Ansatzpunkte für wettbewerbsrechtliche Auseinandersetzungen dar.

Das kann sich nun dramatisch ändern.

Änderung des Unterlassungsklagengesetzes: Klagerecht für Abmahnvereine und Wettbewerbsverbände

Denn nach dem Willen der Bundesregierung sollen künftig nicht nur Wettbewerber, sondern vor allem auch Verbraucherschutzverbände und Abmahnvereine gegen Datenschutzverstöße vorgehen können. Die Bundesregierung hat in dieser Woche einen Entwurf zur Änderung des Unterlassungsklagengesetzes verabschiedet. Danach sollen künftig Datenschutzverletzungen auch durch Verbraucherverbände und Abmahnvereine abgemahnt werden können. Der verabschiedete Entwurf enthält einige Abmilderungen zur ursprünglichen Fassung des Ministeriums für Justiz und Verbraucherschutz. Allerdings wird die Novelle im (höchst wahrscheinlichen) Fall der Verabschiedung als Gesetz dennoch weitreichende Folgen haben.

Künftig sollen durch einen neuen § 2 Abs. 2 Nr. 11 Unterlassungsklagengesetzes-E (UKlaG-E) ein Verbraucherschutzverband oder ein Abmahnverein auch gegen die rechtswidrige Erhebung und Verwendung von personenbezogenen Verbraucherdaten durch Unternehmen vorgehen können. Diese sogenannte Aktivlegitimation besteht, wenn diese Verbraucherdaten zu Werbe, Markt- und Meinungsforschungs-, Auskunftei- und Daten/-Adresshandelszwecken oder zur Erstellung von Persönlichkeits- und Nutzungsprofilen verwendet werden.

Mit dem Gesetzentwurf soll gleichzeitig vermieden werden, dass die im Datenschutzrecht beispielsweise zur Überprüfung von Entscheidungen der Datenschutz-Aufsichtsbehörden (jene erlassen Verwaltungsakte, beispielsweise mit der Verhängung von Bußgeldern oder mit der Anordnung der Einstellung einer bestimmten Datenverarbeitung) zuständigen Verwaltungsgerichte Entscheidungen fällen, die im Widerspruch zu den im Wettbewerbsrecht zuständigen Zivilgerichten stehen. So soll bei Verbandsklagen in Bezug auf Datenschutz-Verstöße Künftig die jeweilige Aufsichtsbehörde gehört werden. Wenn das Gesetz zustande kommt, soll es nach Ablauf von sechs Monaten in Kraft treten. Dies könnte zu einer erheblichen Veränderung der wettbewerbsrechtlichen Schwerpunkte führen. Anders als Wettbewerbsunternehmen müssen nämlich Verbraucherschutzverbände oder Wettbewerbsverbände nicht damit rechnen, im Falle einer Abmahnung für eigene vergleichbare Rechtsverstöße zur Verantwortung gezogen zu werden.

Mehr Rechtsunsicherheit für Unternehmen

Die Gesetzesnovelle dürfte bei Datenschützern auf große Zustimmung treffen. Als Rechtsanwälte sehen wir dieses Vorhaben kritisch. Das Datenschutzrecht und das Wettbewerbsrecht sind in hohem Maße durch auslegungsfähige Tatbestände und Rechtsbegriffe geprägt. Praxis und Maßstäbe der Auslegung unterscheiden sich jedoch nicht unerheblich. So ist der im neuen Gesetzesentwurf vorgesehene Begriff der Werbung datenschutzrechtlich häufig etwas enger auszulegen als im Wettbewerbsrecht. Der Begriff  der Werbung umfasst im Wettbewerbsrecht jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern. Der Werbebegriff im Sinne des § 28 Abs. 3 BDSG wird hingegen in der Praxis häufig zielorientierter ausgelegt. Gerade das deutsche Datenschutzrecht ist durch einen recht hohen Anspruch geprägt, wohingegen das deutsche Wettbewerbsrecht sich durch mitunter drastische praktische und monetäre Folgen kleinster Verstöße auszeichnet. Für Unternehmen eine gefährliche Kombination.

Jetzt vorsorgen und Nachteile vermeiden

Es ist nur zu hoffen, dass eine europaweite Harmonisierung des Datenschutzrechts mit klaren und nachvollziehbaren Bestimmungen für mehr Rechtssicherheit und Waffengleichheit sorgen kann und wird. Einstweilen sind Unternehmer jedoch gut beraten, ihre Positionierung im Bereich Datenschutz sorgfältig zu prüfen.

Entsprechen Ihre Geschäftsprozesse dem geltenden Datenschutzrecht? Wollen Sie riskieren, für Kundengewinnungspraktiken zu Unterlassung gezwungen zu werden? Häufig sind die Einschränkungen der eigenen Markt-Möglichkeiten deutlich schwerwiegender als die ohnehin im Wettbewerbsrecht häufig nicht zu verachtenden Kosten der Auseinandersetzung selbst. Datenschutzrechtliche Bestimmungen sollten daher integraler Bestandteil der Werbestrategie sein.Denn nur wer hier das Risiko wettbewerbsrechtlicher Auseinandersetzungen kennt, kann auf Basis sachlich zutreffender verglichen informierte Abwägungen vornehmen und Entscheidungen treffen.

Wir stehen Ihnen hierbei gerne zur Seite. BBS Rechtsanwälte ist nicht nur im Datenschutzrecht, sondern insbesondere auch auf dem heiklen Gebiet des Wettbewerbsrechts Ihr erfahrener und zuverlässiger Begleiter. Wir erarbeiten mit Ihnen praxisgerechte Konzepte und die notwendigen Maßnahmen zur Absicherung Ihres Erfolgs. Welche Risiken gehen Sie ein? Welche Kosten drohen? Sind neben Kosten- und Prozessrisiken möglicherweise ganz andere Faktoren zu berücksichtigen, die über den Ärger einer Abmahnung oder eines gerichtlichen Verfahrens hinaus weitreichende Konsequenzen für die künftige Werbestrategie haben? Hierfür benötigen Entscheider praxisgerechten Expertenrat. Sprechen Sie uns an. Wir sind gerne für Sie da!

 

 

Bundesgerichtshof: Double-Opt-In für Telefonwerbung europerechtskonform

, , ,

Telefonwerbung: geliebt und gehasst

gehören zusammen: Werbe-Telefon und Gesetz

Sie ist weit verbreitet, effektiv und preiswert – darüber hinaus allgemein ungeliebt und in vielen Fällen illegal: die Rede ist von Telefonwerbung. Eine gerade ergangene Entscheidung des Bundesgerichtshofs schafft nochmals Klarheit über die Grenzen dieser Werbeform.

Telefonmarketing wird von den Gerichten sehr streng beurteilt. Der Angerufene kann sich der Werbung nur schwer entziehen, wenn er erst einmal den Hörer zur Hand genommen hat. Deshalb erlaubt die Rechtsprechung Telefonwerbung nur unter engen Voraussetzungen.

Einwilligung notwendig

Gegenüber Verbrauchern ist eine ausdrückliche Einwilligung erforderlich. Auch Gewerbetreibende/Unternehmer dürfen nicht einfach zu Werbezwecken per Telefon kontaktiert werden. Hier ist zumindest eine so genannte mutmaßliche Einwilligung notwendig. „Mutmaßliche Einwilligung“ bedeutet nicht etwa, dass der Unternehmer an irgendeiner Stelle eine Telefonnummer kommuniziert. Vielmehr muss es Anhaltspunkte geben, dass der Unternehmer genau mit dem jeweiligen Werbeanruf einverstanden ist. Selbst eine bereits bestehende Geschäftsbeziehung reicht hierfür alleine noch nicht aus. So jedenfalls urteilte der BGH bereits vor Jahren (Urteil des Bundesgerichtshofs vom 20.09.2007, Aktenzeichen: I ZR 88/05).

Gegenüber Verbrauchern: Einwilligung durch AGB nur bei klarer Formulierung

Für Telefonwerbung gegenüber Verbrauchern stellt die Rechtsprechung dann auch noch hohe Anforderungen an die Form der Einwilligung. So reicht es beispielsweise für eine wirksame Einwilligung nicht aus, wenn die Zustimmung dem Verbraucher im Rahmen einer entsprechenden Klausel in Allgemeinen Geschäftsbedingungen „untergejubelt“ wird. Der Bundesgerichtshof hatte über die damaligen Allgemeinen Geschäftsbedingungen des Kundenbindungsprogramms „Payback“ zu entscheiden (BGH, Urteil vom 16.7.2008, Aktenzeichen: VIII ZR 348/06). In diesen Geschäftsbedingungen war eine Einwilligung zur Werbung per Telefon, E-Mail und SMS enthalten. Die entsprechende Passage war hervorgehoben.

Der Bundesgerichtshof hielt die Regelung trotzdem für unangemessen und unwirksam. Nach der Einschätzung des Gerichts ist für diese Werbeformen eine Einwilligung durch ein aktives Handeln (so genanntes „Opt-In“) erforderlich. Dies kann nach Ansicht des BGH grundsätzlich auch durch eine Zustimmung zu AGB-basierten Einwilligungsformen erfolgen.

In seiner neuen Rechtsprechung hat der Bundesgerichtshof die Anforderungen an eine AGB-Einwilligung weiter konkretisiert. Mit seinem Urteil vom 25. 10. 2012 AZ: I ZR 169/10 (KG)) stellte der BGH klar, dass eine Einwilligung in Gewinnspielbedingungen – welche der AGB-rechtlichen Inhaltskontrolle unterliegen – nach Einschätzung des Gerichts grundsätzlich möglich ist. Die Einwilligung muss aber dann „für den konkreten Fall“ erfolgen. Dem Vertragspartner muss daher klar werden, welche Produkte oder Dienstleistungen welcher Unternehmen die Einwilligung umfasst.

Eine wirksame Einwilligung kann nach der vorgenannten Entscheidung z.B. auch durch Ankreuzen einer entsprechend konkret vorformulierten Erklärung erteilt werden, wenn sie in einem gesonderten Text oder Textabschnitt ohne anderen Inhalt enthalten ist. Liegt eine wirksame Einwilligung vor, ist unerheblich, ob das Unternehmen selbst oder von ihm eingeschaltete Beauftragte den Werbeanruf ausführen. Allerdings muss der Einwilligende eben klar erkennen, wer ihn entsprechend seiner Einwilligung zu welchen Zwecken kontaktieren darf.

Telefonwerbung führt häufig zu Rechtsstreitigkeiten. Unerlaubte Telefonwerbung ist wettbewerbswidrig. Der Werbende verstößt gegen § 7 des Gesetzes gegen unlauteren Wettbewerb (UWG). Daher haben die Wettbewerber des Werbetreibenden, aber auch Wettbewerbs- und Verbraucherschutzverbände einen Unterlassungsanspruch gegen den Werbetreibenden. Diesen Unterlassungsanspruch können sie mit Abmahnungen, Klagen und einstweiligen Verfügungen verfolgen. Die hohen Anforderungen an die Zulässigkeit von Telefonwerbung treffen jedoch nicht nur auf Zustimmung. Viele Unternehmen möchten nicht auf diese besonders effektive Werbeform verzichten. Insbesondere Unternehmen, die über Call-Center aktive Werbeanrufe (so genannte Outbound-Calls) durchführen lassen, fühlen sich durch die deutschen Gerichte zu Unrecht eingeschränkt.

BGH: Opt-In muss bewiesen werden

So sah es auch eine Allgemeine Ortskrankenkasse, der wettbewerbswidrige Telefonwerbung teuer zu stehen gekommen ist. Die Krankenkasse hatte sich gegenüber einer Verbraucherzentrale zur Unterlassung von Werbeanrufen verpflichtet. Für den Fall der Zuwiderhandlung sollte die Krankenkasse dabei eine Vertragsstrafe zahlen. Der Fall trat ein. Für zwei unaufgeforderte Werbeanrufe bei Verbrauchern forderte die Verbraucherzentrale eine Vertragsstrafe von Euro 10.000. Natürlich wollte die Krankenkasse die Vertragsstrafe nicht bezahlen. Sie berief sich darauf, dass die strengen deutschen Anforderungen an Telefonwerbung nicht mit dem Europarecht vereinbar seien – ohne Erfolg. Der Bundesgerichtshof wies die Revision der Krankenkasse gegen die Verurteilung zur Zahlung der Vertragsstrafe zurück. Nach Meinung des höchsten deutschen Zivilgerichts hatte die Krankenkasse nicht die für die Werbeanrufe notwendige Einwilligung nachweisen können. Die Krankenkasse habe zwar behauptet, eine Einwilligung per E-Mail durch ein so genanntes „Double-Opt-in“ im Rahmen eines Gewinnspiels eingeholt zu haben. Beim Double-Opt-In wird im Rahmen der Einwilligung die E-Mail-Adresse des Einwilligenden überprüft. Dies geschieht beispielsweise durch das Anklicken eines Hyperlinks in einer Bestätigungs-E-Mail. Die Krankenkasse konnte jedoch diese Bestätigungs-E-Mail und die darauf angeblich erfolgte Verifizierung nicht beweisen. Dem BGH reichte die Behauptung, dass das Double-Opt-In-Verfahren durchgeführt worden ist, nicht zum Beweis der Einwilligung des Verbrauchers in Werbeanrufe aus.

EU-Recht steht strengen deutschen Regelungen nicht entgegen

Die strengen Anforderungen an eine solche Einwilligung verstoßen nach Einschätzung des Gerichts auch keineswegs gegen das Europarecht. Zwar gehen die Anforderungen des deutschen Rechts über die Mindestanforderungen der europäischen Richtlinie über unlautere Geschäftspraktiken (so genannte UGP-Richtlinie) hinaus. Das sei jedoch nicht zu beanstanden. Die Richtlinie lege nur einen Mindeststandard fest. Sie verbiete den Mitgliedstaaten jedoch nicht, strengere Anforderungen aufzustellen.

Telefon, E-Mail, SMS: Einwilligung richtig gestalten

Das Urteil des Bundesgerichtshofs ist unter verschiedenen Aspekten interessant: Einerseits bestätigt der Bundesgerichtshof, dass die strengen gesetzlichen Anforderungen an besonders intensive Werbeformen europarechtskonform sind. Das gilt nicht nur für Telefonwerbung. Insbesondere für Werbung per SMS und natürlich E-Mail-Werbung sind ebenso strenge Voraussetzungen einzuhalten (hierzu unser Grundlagenartikel SPAM: Unverlangte elektronische Werbung (z.B. per Telefon, Internet, E-Mail). Bei E-Mail-Werbung ist eine Verifizierung per Double-Opt-In verpflichtend.

Auch Anforderungen des Telemediengesetzes zu beachten

Für viele Fälle bestimmt nicht nur das UWG, sondern auch das Telemediengesetz (TMG), dass eine Einwilligung des Nutzers erforderlich ist. Die Datenschutzvorschriften des TMG sehen vor, dass der Anbieter eines Telemediendienstes (beispielsweise einer Internetseite) Bestandsdaten der Nutzer nur zur Erbringung und Abrechnung des Dienstes selbst nutzen darf. Für eine darüber hinausgehende Verwendung (beispielsweise für E-Mail-Newsletter oder Werbe-Anrufe) ist eine Einwilligung einzuholen, deren Form das Gesetz detailliert vorschreibt: die Erteilung der Einwilligung in elektronischer Form ist nur dann wirksam, wenn

– der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

– die Einwilligung protokolliert wird,

– der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

– der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Wer ohne Einhaltung der gesetzlichen Voraussetzungen E-Mail-Werbung an Empfänger verschickt, die der Werbung nicht vorher zugestimmt haben, riskiert eine Abmahnung. Diese Abmahnung kann auf das Wettbewerbsrecht gestützt sein. Die Rechtsprechung qualifiziert unaufgeforderte E-Mail-Werbung jedoch auch als rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb des Empfängers. Daher können nicht nur Wettbewerber gegen die E-Mail-Werbung vorgehen. Ist der Empfänger ein Unternehmer, kann er sich wegen der Verletzung seiner Rechte gegen die Werbe-E-Mail selbst wehren und dabei auch etwaig entstandene Rechtsanwaltskosten erstattet verlangen. Ein Wettbewerbsverhältnis muss bei einer Verletzung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb nicht vorliegen.

Die Argumente der Werbetreibenden konnten die Gerichte auch nicht von weniger strengen Maßstäben überzeugen. Natürlich ist insbesondere E-Mail-Werbung, aber auch Telefonwerbung durch die unmittelbare Kontaktaufnahme besonders effektiv. Im Gegensatz zu flächendeckenden Anzeigenkampagnen sind diese Werbeformen obendrein noch besonders preisgünstig. Die Rechtslage ist dennoch klar: wendet sich die Werbung am Verbraucher, ist eine durch ein eindeutiges Handeln erklärte Einwilligung notwendig. Gegenüber Unternehmern ist zwar grundsätzlich etwas mehr möglich, jedoch sind auch hier die Voraussetzungen streng.

Darüber hinaus dürften die Beweisanforderungen des Bundesgerichtshofs künftig auch von den Untergerichten angewendet werden. Danach könnte es in Zukunft – anders als dies bislang einige Landgerichte so akzeptiert haben – gerade nicht mehr ausreichen, dass die grundsätzliche Anwendung des Double-Opt-In-Verfahrens dargelegt und bewiesen wird. Vielmehr muss die Erteilung und Überprüfung der Einwilligung im konkreten Einzelfall nachgewiesen werden. Die entsprechenden Daten sollten daher zum Beweis aufbewahrt werden.

Sie möchten Ihre Werbeaktionen rechtmäßig gestalten und Abmahnungen und Vertragsstrafen vermeiden? Sie möchten die Grenzen des gesetzlich Möglichen kennen, aber auch ausschöpfen? Sie möchten sich gegen unaufgeforderte Werbung zur Wehr setzen? BBS ist Partner zahlreicher Unternehmen im Bereich der Werbung und des Marketings, vertritt aber auch die Interessen von rechtswidriger Werbung betroffener Adressaten und Mitbewerber. Was können wir für Sie tun?

BBS Rechtsanwälte Hamburg

OLG Karlsruhe: Datenschutzverstoß ist Wettbewerbsverstoß – kommt die Abmahnwelle?

, ,

Zur Entscheidung des OLG Karlsruhe vom 09.05.2012 (6 U 38/11) über datenschutzrechtliche Regelungen als Marktverhaltensregeln iSd. Wettbewerbsrechts

Runde Tische, Anhörung im Bundestag, Streit um Google-Analytics oder die Aufregung über den Umgang mit dem Facebook-„Gefällt Mir“ – Button (Wir berichteten) Kein anderes Thema steht derart im Fokus der öffentlichen Diskussion wie der Umgang mit personenbezogenen Daten im Internet, ohne dass dies gleichzeitig die Gerichte landauf und landab beschäftigt. Sind IP-Adressen personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) oder nicht (Wir berichteten zur diesbezüglichen Ansicht des EuGH)? Welche Verpflichtungen gehen mit dieser Einordnung gegebenenfalls für mich als Website-Betreiber einher? Darf ich den Facebook-„Gefällt Mir“-Button auf meiner Website einbinden oder nicht? Benötige ich bereits beim Mitschnitt der IP-Adressen meiner Website-Besucher (etwa durch Webtracking-Tools oder schlicht Serverlogs) ohne Anonymisierung eine entsprechende Datenschutzbelehrung und ggf. die vorherige Einwilligung der Besucher?

 

Schutz personenbezogener Daten im Internet: Datenschutz quo vadis?

Schutz personenbezogener Daten im Internet: Datenschutz quo vadis?

 

Die schon oftmals angekündigte Abmahn- und Klagewelle ist aller Kassandra-Rufe zum Trotz bislang ausgeblieben. Damit steht bislang leider auch die dringend erforderliche Klärung der vielfältigen offenen Fragen des Schutzes personenbezogener Daten im Internet und der Grenzen der unternehmerischen Erhebung, Speicherung und Verwertung solcher Daten durch die Rechtsprechung aus. Das Datenschutzrecht ist – jedenfalls gemessen an den real genutzten technischen Möglichkeiten, den und ebenso erfolgreichen wie rechtlich umstrittenen Geschäftsmodellen ganzer Konzerne sowie der (berechtigten) Vehemenz der hierzu geführten Diskussionen innerhalb der Netzgemeinde – vor allem durch eines gekennzeichnet: Ein eklatantes Defizit an Rechtssicherheit und Rechtsklarheit. Dies betrifft die betroffenen natürlichen Personen – jeder, dessen Daten erhoben, gespeichert und verarbeitet werden, also: Jedermann – ebenso wie die zahlreichen Firmen und Unternehmungen, die tagtäglich Daten erheben, speichern, verarbeiten oder sogar als zentrales Unternehmens-Asset verwerten. Den hierzu rechtlich eigentlich originär berufenen Stellen – den Datenschutzbeauftragten der Länder – kann dies hierbei aufgrund der in der Regel deutlichen personellen Unterbesetzung nur bedingt zum Vorwurf gemacht werden.

 

§ 3 BDSG: Schutz personenbezogener Daten

§ 3 BDSG: Schutz personenbezogener Daten

 

Ein eigentlich geeignetes Mittel der Rechtskonkretisierung sui generis ist die Rechtsfortbildung durch die Zivilgerichte, insbesondere durch die Kammern und Senate für Wettbewerbsrecht: Ob die zulässigen Grenzen unternehmerischer elektronischer Werbung (E-Mail-Werbung, Telefon- und Faxwerbung), die Hinweispflichten im Internet tätiger Unternehmen („Impressum“, etc.) und insbesondere Pflichtbelehrungen gegenüber Verbrauchern (Belehrung über das Widerrufsrecht), in all diesen Bereichen wurden und werden die im jeweiligen Anforderungen an redliches unternehmerisches Handeln konkreten Einzelfall genauestens ausgelotet und sukzessive geklärt.

Der Bereich des Datenschutzrechts war hiervon bislang im Wesentlichen ausgeklammert: Zwar wurden vereinzelt Abmahnungen ausgesprochen und Gerichtsverfahren durchgeführt, im Ergebnis wurde die Anwendbarkeit des Bundesdatenschutzgesetzes als sog. „Marktverhaltensregel“ im Sinne des § 4 Nr. 11 des Gesetzes über den unlauteren Wettbewerb (UWG) durch die Gerichte allerdings mehrheitlich abgelehnt. Damit war der Datenschutz der Rechtsfortbildung durch die Wettbewerbskammern und –senate der Zivilgerichte entzogen. So hat beispielsweise das Landgericht Berlin noch in seiner Entscheidung vom 14.03.2011 (91 O 25/11) hinsichtlich der Beurteilung des Facebook-„Gefällt mir“-Buttons die Qualifizierung der ebenfalls dem Bereich des Datenschutzes unterfallenden Regelung des § 13 Telemediengesetz (TMG) sowie der Regelungen des BDSG in seiner Würdigung als Marktverhaltensregelung iSv. § 4 Nr. 11 UWG abgelehnt und unter Berufung auf ein früheres Urteil des Oberlandesgerichts Hamburg (Entscheidung vom 09.06.2004, AZ.: 5 U 186/03) ausgeführt:

„Dies ist indes nicht der Fall. Nach der Rechtsprechung des BGH handelt gemäß § 4 Nr. 11 UWG unlauter, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Die verletzte Norm muss daher jedenfalls auch die Funktion haben, gleiche Voraussetzungen für die auf einem Markt tätigen Wettbewerber zu schaffen (vgl. BGH in GRUR 2000,Seite 1059 – Abgasemissionen). Es reicht nicht aus, dass die Vorschrift ein Verhalten betrifft, das dem Marktverhalten vorausgegangen ist oder ihm erst nachfolgt. Fällt der Gesetzesverstoß nicht mit dem Marktverhalten zusammen, ist eine zumindest sekundäre wettbewerbsbezogene Schutzfunktion der verletzten Norm erforderlich (vgl. BGH in GRUR 2000, Seite 1076 – Abgasemissionen und in GRUR 2010, Seite 656 – Zweckbetrieb). Die Vorschrift muss das Marktverhalten außerdem im Interesse der Marktteilnehmer regeln. Dem Interesse der Mitbewerber dient eine Norm dann, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt (Köhler/Bornkamm, UWG, 29.Auflage, § 4 Randnummer 11.35c). Nach diesen Grundsätzen ist die Vorschrift des § 13 TMG nicht als Marktverhaltensvorschrift zu qualifizieren. Nach dem Gesetzeswortlaut hat der Diensteanbieter “ den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist“. Im Kern dienen die Vorschriften zum Datenschutz wie auch der § 13 TMG anders als Verbraucherschutzvorschriften zum Internethandel dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen. So hat das OLG Hamburg in seiner Entscheidung vom 9.Juni 2004 zu 5 U 186/03 entschieden, dass die Vorschrift des § 28 Abs.4 Satz 2 BDSG, wonach der Versender eines Werbeschreibens die Empfänger darüber zu belehren hat, dass sie einer Verwendung ihrer Daten widersprechen können, keine Marktverhaltensregel sei, weil es sich um eine Datenschutzbestimmung handele.“

Die Entscheidung wurde durch das Kammergericht Berlin mit Beschluss vom 29. 4. 2011 (5 W 88/11 Gefällt-mir-Button) bestätigt:

In diesem Sinne betrifft ein Verstoß gegen § 13 Absatz I TMG ein Verhalten, das dem Marktverhalten vorausgegangen ist und nur dann als Marktverhaltensvorschrift i.S. des § UWG § 4 Nr. 11 UWG anzusehen ist, wenn ihm eine zumindest sekundäre wettbewerbsbezogene Schutzfunktion innewohnt (vgl. BGH, GRUR 2010, Seite 654 Rdnr. 18 – Zweckbetrieb).
a) Diese Schutzfunktion ist im Hinblick auf die Mitbewerber des nach § 13 Absatz I TMG Informationspflichtigen nicht zu erkennen.
Die Vorschriften im vierten Abschnitt des TMG mit der Überschrift „Datenschutz” verfolgen ebenso wie bereits die Vorgängerregelungen in dem bis zum 28. 2. 2007 gültigen TDDSG das Ziel, „eine verlässliche Grundlage für die Gewährleistung des Datenschutzes im Bereich der Teledienste zu bieten und einen Ausgleich zwischen dem Wunsch nach freiem Wettbewerb, berechtigten Nutzerbedürfnissen und öffentlichen Ordnungsinteressen zu schaffen” (vgl. BT-Dr 13/7385, S. 21, zum TDDSG; Schmitz, in: Hoeren/Sieber, Hdb. MultimediaR, 16.2 Rdnr. 15).
Die durch § 13 Absatz I TMG wie in ähnlicher Weise zuvor durch § 3 Absatz V TDDSG auferlegte Informationspflicht soll konkret gewährleisten, dass der Nutzer „sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann” (vgl. BT-Dr 13/7385, S. 22, zum TDDSG).
Der Gesetzgeber hat mithin allein überindividuelle Belange des freien Wettbewerbs bei der Gesetzgebung berücksichtigt, um Beschränkungen der Persönlichkeitsrechte der Nutzer von Telediensten zu rechtfertigen, nicht aber Interessen einzelner Wettbewerber.
Für die Beurteilung, ob ein Verstoß i.S. des § 4 Nr. 11 UWG vorliegt, ist es unerheblich, ob sich ein Unternehmer durch die Missachtung einer derart auf den Datenschutz bezogenen Informationspflicht einen Vorsprung im Wettbewerb verschafft (vgl. BGH, GRUR 2010, Seite 654 Rdnr. 19 – Zweckbetrieb; Köhler, in: Köhler/Bornkamm, § 4 Rdnr. 11.35c).
b) Im Hinblick auf Verbraucher mag § 13 Absatz I TMG die erforderliche wettbewerbsbezogene Schutzfunktion insoweit zuzugestehen sein, als die Informationsverpflichtung auch dazu dienen kann, Beeinträchtigungen der Privatsphäre durch unerwünschte Werbung abzuwehren und zu unterbinden.
Wie § 7 UWG zeigt, wird der Verbraucher durch unerwünschte Werbung nicht nur in seinem allgemeinen Persönlichkeitsrecht, sondern auch in seiner Stellung als Marktteilnehmer beeinträchtigt (vgl. Schaffert, in: MünchKomm-LauterkeitsR, § 4 Nr. 11 Rdnr. 69).

Auch das Oberlandesgericht München hatte dies zuletzt in seiner Entscheidung vom 12.01.2012 (Az. 29 U 3926/11) so beurteilt und die Anwendung von Regelungen des BDSG als Marktverhaltensregel im Sinne von § 4 Nr. 11 UWG abgelehnt.

Anders hatte dies im Jahr 2009 noch das Oberlandesgericht Köln (Entscheidung vom 14.08.2009, Az. 6 U 70/09) entschieden und geurteilt:

Das Verbot gem. § 4 Absatz 1 BDSG, personenbezogene Daten zu nutzen, wenn der Betroffene nicht eingewilligt oder dies durch das BDSG oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist, ist insoweit eine gesetzliche Vorschrift i.S.d. § 4 Nr. 11 UWG, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, als § 28 BDSG die Grenzen der Zulässigkeit der Nutzung der Daten für Zwecke der Werbung bestimmt. Zwar zielt das in § 4 Absatz 1 BDSG enthaltene Verbot mit Erlaubnisvorbehalt (vgl. Gola/Schomerus, BDSG, 9. Aufl., § 4 Rdnr. 3) weitaus überwiegend nicht darauf ab, Marktverhalten zu regeln. Soweit jedoch ein Marktteilnehmer sich auf einen Erlaubnistatbestand beruft, um diese Erlaubnis dazu zu nutzen, Werbung für sich zu machen, bezwecken die Grenzen, die das BDSG einem solchen Marktverhalten setzt, den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer.

Diese Ansicht hatte das Oberlandesgericht Köln in einer weiteren Entscheidung vom 19.11.2010 (6 U 73/10) bestätigt.

Die Waage der Justitia könnte in diesem Punkt zukünftig endgültig zur anderen Seite ausschlagen:

 

Justitia: Klärung der Klärung der offenen Fragen des Schutzes personenbezogener Daten im Internet durch die Zivilgerichte?

Justitia entscheidet: Klärung der offenen Fragen des Schutzes personenbezogener Daten im Internet durch die Zivilgerichte?

 

Das Oberlandesgericht Karlsruhe hat sich in einer jüngst veröffentlichten Entscheidung vom 09.05.2012 –(6 U 38/11) nunmehr der Ansicht des Oberlandesgerichts Köln angeschlossen und die Regelungen § 4 (Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung, Einwilligungsvorbehalt des Betroffenen) und § 28 (Datenerhebung und -speicherung für eigene Geschäftszwecke) des Bundesdatenschutzgesetzes als Marktverhaltensregeln im Sinne des § 4 Nr. 11 UWG angesehen:

„Der Senat teilt aber die Auffassung des Oberlandesgerichts Köln (Urt. v. 19.11.2010, Az. 6 U 73/10, auszugsweise veröffentlicht in CR 2011, 680, abrufbar in juris), dass für die Verfolgung dieses Interesses die Nutzung der Information, dass der ehemalige Kunde zur Beklagten gewechselt hat, nicht „erforderlich“ im Sinne des § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. ist und dass das schutzwürdige Interesse des Kunden am Ausschluss der Nutzung überwiegt. Das Merkmal der Erforderlichkeit setzt voraus, dass die berechtigten Interessen auf andere Weise nicht bzw. nicht angemessen gewahrt werden können. Es geht also um ein bei vernünftiger Betrachtung zu bejahendes Angewiesensein auf die Nutzung der fraglichen Information, nicht um eine absolut zwingende Notwendigkeit; die Nutzung ist dann erforderlich, wenn es, um das berechtigte Interesse verfolgen zu können, zur Nutzung der jeweiligen Information keine zumutbare Alternative gibt (vgl. Gola/Schomerus, a. a. O., § 28 Rn. 34 m. w. N.). Damit kann Erforderlichkeit im Zusammenhang mit der Nutzung für Werbung aber nicht mit bestmöglicher Effizienz gleichgesetzt werden (OLG Köln a. a. O.). Zudem zeigen die oben genannten Kriterien, dass die Beurteilung der Erforderlichkeit nicht getrennt betrachtet werden kann von den Interessen des Betroffenen am Schutz seiner personenbezogenen Daten. Wann die Nutzung personenbezogener Daten für die Verfolgung eines berechtigten Interesses erforderlich im genannten Sinne ist, hängt auch davon ab, in welchem Maße die Interessen des Betroffenen Schutz verdienen; je mehr Schutz sie verdienen, desto eher kann dem Nutzenden eine alternative, wenn auch weniger effiziente Art der Verfolgung seines berechtigten Interesses ohne Nutzung der personenbezogenen Daten zugemutet werden. Wie weit der Kreis der in Betracht kommenden Alternativen zu ziehen ist, hängt ebenfalls vom Grad der Schutzwürdigkeit der Interessen des Betroffenen und von der Intensität des Eingriffs ab (vgl. Simitis, Kommentar zum BDSG, 5. Aufl., § 28 Rn. 159). Die Prüfung der Erforderlichkeit ist also Teil der Interessenabwägung, die § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. verlangt.

Schließlich hat das Merkmal der Erforderlichkeit auch Rückwirkungen darauf, was als Gegenstand des berechtigten Interesses des Nutzenden in Betracht kommt. Denn das Merkmal der Erforderlichkeit wäre obsolet, wenn das berechtigte Interesse gerade auf die spezifische, die Verwertung personenbezogener Daten voraussetzende Nutzungsform bezogen würde; dann wäre die Nutzung eben stets „erforderlich“. Das gebietet eine Abstrahierung dessen, woran der Nutzende ein berechtigtes Interesse hat, im Streitfall auf die gezielte werbliche Ansprache ehemaliger Kunden (vgl. OLG Köln a. a. O.).

Vorliegend kann der Beklagten bei Berücksichtigung der wechselseitigen Interessen zugemutet werden, auf die Nutzung der Information über die Identität des neuen Versorgers und damit auf einen spezifisch auf den neuen Versorger des Kunden zugeschnittenen Vergleich in der Werbung zu verzichten. Dabei kommt es nicht entscheidend darauf an, ob es für den ehemaligen Kunden günstig ist, vergleichende Preiswerbung unter Bezugnahme auf seinen aktuellen Stromanbieter zu erhalten. Maßgeblich für das Interesse des Kunden als „Betroffenen“ im Sinne des § 28 BDSG muss vielmehr eine datenschutzrechtliche Betrachtung sein; dass der Anbieter mit einer solchen Werbung ein berechtigtes Anliegen verfolgt, wurde oben bereits ausgeführt.

Die Information, für welchen Stromanbieter sich ein individualisierter Kunde entschieden hat, ist ein personenbezogenes Datum, welches den Schutz des Art. 2 Abs. 1 GG (Grundrecht auf informationelle Selbstbestimmung) und des BDSG genießt. Bei der Würdigung der datenschutzrechtlich maßgeblichen Interessen des Betroffenen fällt aus Sicht des Senats in der vorliegenden Konstellation erheblich ins Gewicht, dass ein Stromkunde, der den Versorger wechselt und mit der Kündigung des Altvertrages den neuen Versorger beauftragt, regelmäßig nicht damit rechnet und nicht damit rechnen muss, dass der alte Versorger das personenbezogene Datum seines neuen Versorgers speichern und noch lange nach erfolgter Umstellung des Vertrags zu Zwecken der Werbung nutzen wird. Der Kunde gibt eine Erklärung gegenüber dem neuen Versorger ab, um dessen Service bei der Vertragsumstellung in Anspruch zu nehmen. Dies geschieht allein zum Zweck der reibungslosen Umstellung des Stromlieferungsvertrages. Der Kunde, dessen personenbezogene Daten durch das Grundrecht auf informationelle Selbstbestimmung und durch das BDSG geschützt sind, darf darauf vertrauen, dass die bei der Beauftragung des neuen Versorgers mit der Kündigung notwendigerweise preisgegebene Information über seinen neuen Versorger nur insoweit genutzt wird, wie es im Rahmen dieser üblichen und energierechtlich vorgesehenen Vorgehensweise (vgl. Eckhardt CR 2011, 684) unumgänglich ist, nämlich im Rahmen technischen Abwicklung des Versorgerwechsels (vgl. auch OLG Köln a. a. O.). Ob der alte Versorger die Information, wer der neue Versorger seines ehemaligen Kunden ist, sogar gemäß § 35 Abs. 2 S. 2 Nr. 3 BDSG zu löschen oder zumindest nach § 35 Abs. 3 Nr. 1 BDSG zu sperren hat (so Eckhardt a. a. O.; wohl a. A., aber mit Blick auf andere Fallgestaltungen, Gola/Schomerus, BDSG, 10. Aufl., § 35 Rn. 13), bedarf letztlich keiner Entscheidung.

Denn auch wenn eine Lösch- oder Sperrpflicht der Beklagten nicht bestünde, überwöge dennoch das dargestellte Interesse des ehemaligen Kunden am Schutz seiner Daten dasjenige des alten Versorgers an der Nutzung der Information über den neuen Versorger des Kunden. Überzeugend weist das Oberlandesgericht Köln in der zitierten Entscheidung darauf hin, dass dem Anbieter weder eine werbliche Ansprache speziell seiner ehemaligen Kunden noch ein dabei unterbreiteter genereller Preisvergleich unmöglich gemacht wird, wenn er die genannte Information nicht nutzen darf. Ihm wird lediglich die Möglichkeit genommen, den Preisvergleich gerade auf denjenigen Stromanbieter zuzuschneiden, zu dem der jeweilige Kunde gewechselt hat. Dieser Verzicht kann und muss ihm im Rahmen der Abwägung angesichts des Schutzes, den personenbezogene Daten genießen, zugemutet werden. Damit liegen die Voraussetzungen des § 28 Abs. 1 S. 2 Nr. 2 BDSG a. F. nicht vor. Gleiches gilt für § 28 Abs. 1 S. 2 Nr. 3 BDSG a. F., der sich auf den hier nicht einschlägigen Fall der Daten aus“

Das Oberlandesgericht Karlsruhe hat in Hinblick auf die grundsätzliche Bedeutung der Frage sowie die Sicherung einer einheitlichen Rechtsprechung die Revision zum Bundesgerichtshof (BGH) zugelassen. Das Verfahren ist beim BGH mittlerweile auch unter dem Aktenzeichen I ZR 224/10 anhängig. Es steht daher zu hoffen, dass der BGH insoweit alsbald eine Grundsatzentscheidung fällt und den Weg zur Klärung der der vielfältigen offenen Fragen des Schutzes personenbezogener Daten durch die Wettbewerbskammern und –senate der Zivilgerichte eröffnet. Dies erhöht bereits jetzt die Relevanz einer Prüfung und Klärung des Umgangs mit personenbezogenen Daten insbesondere im Internet für Unternehmen und die Anpassung oder Einführung entsprechender Compliance-Richtlinien und sonstiger vorbeugender Maßnahmen.

Schließen sich andere Gerichte der Einschätzung des OLG Karlsruhe an, drohen bei Datenschutzverstößen künftig nicht mehr nur Maßnahmen der Aufsichtsbehörden (Untersagungsverfügung, Audit, Bußgeld). Vielmehr könnten Wettbewerber, Verbraucherzentralen und Wettbewerbsverbände gegen Datenschutzverstöße von Unternehmen und Gewerbetreibenden zivilrechtlich vorgehen. Wer sich jetzt richtig aufstellt, kann also auch Abmahnungen, Einstweilige Verfügungen, Unterlassungsklagen und andere „Hässlichkeiten“ – und natürlich auch gegen die damit verbundenen Kosten – wappnen. Dabei haben die Erfahrungen der Vergangenheit gezeigt, dass ein gutes und damit professionelles Datenschutzmanagement eben auch Vertrauen schafft und Kunden binden kann.

Update 27.06.2013 – OLG Hamburg: Mit Urteil vom 27.06.2013, Az.: 3 U 26/12 hat das Hanseatische Oberlandesgericht nunmehr ebenfalls datenschutzrechtliche Regelungen als Marktverhaltensregeln iSd. Wettbewerbsrechts beurteilt. Das Urteil erging zu der speziellen Datenschutzregelung des § 13 TMG, wonach der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs u. a. über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten hat. Dies eine im Sinne des § 4 Nummer 11 UWG das Marktverhalten regelnde Norm, da nach den Erwägungsgründen der dieser Norm zugrunde liegenden Datenschutzrichtlinie 95/46/EG durch die Schaffung gleicher Wettbewerbsbedingungen jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers geschützt werden soll. Den Erwägungsgründen zur Richtlinie sei darüber hinaus zu entnehmen, dass die in § 13 TMG geregelten Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme dienen, weil sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen.

Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Sie möchten eine unternehmenskritische datenschutzrechtliche Fragestellung durch eine zivilgerichtliche Entscheidung klären lassen oder sich gegen eine wettbewerbsrechtliche Abmahnung mit datenschutzrechtlichem Bezug wehren? Für alle Fragen des Datenschutzrechts, des Wettbewerbsrechts aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?

Aufsichtsbehörde sucht Datenschutzverstöße künftig automatisiert

, , ,

Online-Datenschutz: google-analytics, Facebook und die Folgen

Ob es um die Nutzung des Webtracking-Tools google-analytics ging oder um die Einbindung des Facebook-Buttons, um die § 13 Abs. 1 Telemediengesetz (TMG) erforderliche Datenschutzerklärung oder die Gestaltung der Einwilligung des Nutzers zur Verwendung seiner Daten für Zwecke der Werbung und Marktforschung (opt-in) – Betreiber von Internetseiten müssen gegenwärtig einige rechtliche Herausforderungen meistern.

Aufsichtsbehörden bislang eher zurückhaltend

Da war es gut, dass die Aufsichtsbehörden in der Vergangenheit eher passiv mit dem Thema Datenschutz im Internet gegangen sind. Nur in extremen Fällen sind bislang die Behörden eingeschritten. Selbst wenn eine Aufsichtsbehörde tätig wurde, hatte dies in der Vergangenheit selten handfeste Folgen. Die durchaus möglichen Bußgelder wurden nur sehr zurückhaltend verhängt.

Neue Software findet Verstöße automatisiert

Das könnte sich nun grundlegend ändern:

Der Bundesdatenschutzbeauftragte Peter Schaar hat am 25.03.2011 ein vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickeltes Werkzeug zur automatisierten Erkennung von Datenschutzverstößen auf Internetseiten vorgestellt. Das Tool soll unter der Bezeichnung „Privacy Violation Detector“ (Prividor) für die Datenschutzaufsicht zum Einsatz kommen.

Zu den erkannten Rechtsverstößen gehören beispielsweise problematische Tracking-Dienste und die Verwendung unverschlüsselter Online-Formulare.

Zunächst soll das Tool nur vom Datenschutzbeauftragten des Bundes eingesetzt werden. Da der Bundesdatenschutzbeauftragte vorrangig für die Bundesbehörden zuständig ist, steht ein Einsatz den Internetseiten privater Anbieter noch nicht unmittelbar bevor. Es wird jedoch allenfalls eine Frage der Zeit sein, bis die für private Telemedien zuständigen Datenschutzbeauftragten der Länder mit Prividor auf die Jagd nach privaten Rechtsverletzungen gehen.

Angst vor Abmahnwelle

Der Bundesdatenschutzbeauftragte kann sich vorstellen, Prividor als Open-Source-Software jedermann bereitzustellen. Diese Ankündigung führte zu einiger Unruhe. Es wird befürchtet, dass Abmahn-Anwälte mit Prividor neue abzumahnende Rechtsverstöße bequem und in großer Zahl automatisiert auffinden und bearbeiten können.

Im Hinblick auf den Facebook-Button kann zwar in dieser Hinsicht ein neues, für online Anbieter positives Urteil aus Berlin verzeichnet werden:

Landgericht Berlin: Facebook-Button nicht wettbewerbswidrig

Das Landgericht Berlin hat (Beschluss v. 13.03.2011, Aktenzeichen: 91 O 25/11) entschieden, dass die Integration des „Gefällt mir“-Buttons der Plattform facebook auf der Internetseite eines Onlinehändlers ohne Hinweis auf die damit einhergehende Datenübermittlung nicht wettbewerbswidrig ist. Der datenschutzrechtlich einschlägige § 13 TMG stelle keine Marktverhaltensnorm im Sinne von § 4 Nr. 11 UWG dar. Ein Verstoß gegen § 13 TMG könne daher – so das Gericht – nicht von Wettbewerbern mit Abmahnungen, einstweiligen Verfügungen oder Klagen verfolgt werden. Natürlich können Betroffene ihre eigenen Rechte wegen des Rechtsverstoßes gegen den Betreiber der Internetseite geltend machen.

Keine Entwarnung

Die Berliner Entscheidung ist mit Vorsicht zu genießen. Die Frage, ob datenschutzrechtliche Bestimmungen Marktverhaltensnormen sind, ist nicht höchstrichterlich entschieden. Es ist denkbar, dass andere Gerichte und insbesondere übergeordnete Instanzen die Rechtslage anders einschätzen als das Landgericht Berlin. Nach der letzten großen Reform des Wettbewerbsrechts wurde der Verbraucherschutz als wesentliches Ziel des Gesetzes gegen den Unlauteren Wettbewerb in § 1 UWG aufgenommen. Datenschutz und Verbraucherschutz sind eng verwobene Regelungsbereiche. Eine anderweitige Einschätzung als die des Landgerichts Berlin lässt sich daher durchaus begründen. Von Entwarnung kann daher bis zu einer klärenden Entscheidung des Bundesgerichtshofs (oder des Gesetzgebers) keine Rede sein.

Sie möchten sicher gehen? Ihr Online-Auftritt soll praxisgerecht und profitabel sein, aber auch die datenschutzrechtlichen Anforderungen erfüllen? BBS hilft. Bei Fragen zum Datenschutz, aber auch zu allen anderen Herausforderungen im Bereich des IT- und Wettbewerbsrechts sind wir Ihr direkter und kompetenter Ansprechpartner. Sprechen Sie uns an.

 

 

Auf Knopfdruck Ärger? Der Facebook-Button und das Datenschutzrecht

, , ,

Viele Fragen, wenig belastbare Antworten

Bisher sah man in dem sog. „Facebook-Button“ vor allem eine Chance für Betreiber von Internetseiten, auf ihre Inhalte (und auch auf ihre Waren und Dienstleistungen) aufmerksam zu machen. „Spread the word“ – die Kunden sollten Angebote und Inhalte über ihr soziales Netzwerk bei Facebook publik machen.

Doch mit der Verwendung und Nutzung des Buttons stellen sich eine Reihe rechtlicher Fragen. Zum einen die Frage, ob durch den Button Datenschutzrechte derjenigen verletzt werden, die ihn anklicken und zum anderen, wer im Falle des Vorliegens einer Datenschutzrechtsverletzung die Verantwortung hierfür trägt. Hinzu kommt die Frage, ob die Nutzung des Buttons vielleicht sogar wettbewerbswidrig ist. All diese Fragen stellen sich aktuell dringlicher denn je, seit vor Kurzem bekannt geworden ist, dass der erste Verwender eines Facebook-Buttons von einem Konkurrenten wegen der Bereitstellung der Funktion abgemahnt wurde.

Eine Vielzahl von Veröffentlichungen im Internet befasst sich mit dieser heiß diskutierten Frage. Leider lässt der Großteil der Beiträge das datenschutzrechtliche Fundament vermissen. Wir wollen mit diesem Beitrag für Sie ein wenig Licht in Dunkle bringen.

Was ist der Facebook-Button?

Die Betätigung des Buttons ermöglicht es dem Webseiten-Besucher, seine Facebook-Freunde auf eben diese Seite oder einen bestimmten auf dieser Seite enthaltenen Inhalt hinzuweisen. Das geschieht durch das Anklicken des Buttons, wodurch die Information „gefällt mir“ dem Profil des Klickenden zugeordnet und dementsprechend im Facebook-Profil veröffentlicht wird. Der Facebook-Button wird dabei rein technisch gesehen nicht vom dem jeweiligen Internetseitenbetreiber, sondern von Facebook selbst bereitgestellt. Der Button wird als Inlineframe („iframe“) in die HTML-Seite eingebunden, der eigentliche Code liegt also auf dem Server von Facebook. Dort findet auch die Verarbeitung der mittels des Frames erhobenen Daten statt.

Datenschutzrechtliche Probleme

Um die Frage, ob die Verwendung des Facebook-Buttons gegen geltendes Datenschutzrecht verstößt, beantworten zu können, ist zunächst einmal zu klären, welche Daten des Webseiten-Besuchers von wem und an wen übermittelt werden.

Hierin liegt allerdings schon eines der größten Probleme der rechtlichen Analyse, da dies derzeit noch nicht vollständig bekannt ist und auch das Unternehmen Facebook selbst bislang in dieser Angelegenheit wenig zur Aufklärung beiträgt. Hier also der Versuch, anhand der gegenwärtig bekannten Informationen aufzuzeigen, welche Daten möglicherweise verarbeitet werden:

Diesbezüglich ist zu unterscheiden zwischen einem bereits bei Facebook eingeloggten und einem nicht eingeloggten Facebook-Nutzer bzw. einem Internetnutzer, der gar nicht über einen Facebook-Account verfügt. Bei dem nicht-eingeloggten Facebook-Nutzer beziehungsweise einem Internetnutzer ohne Facebook-Account wird durch das Facebook-Widget als programmtechnische Grundlage des Buttons nach der überwiegenden Zahl der dazu verbreiteten Informationen im Wesentlichen „nur“ die IP-Adresse erhoben. Dieser Vorgang stellt sowohl eine Datenerhebung durch Facebook als auch eine Datenübermittlung durch den jeweiligen Website-Betreiber dar.

Der Tatbestand der Übermittlung von Daten kann nicht nur dadurch erfüllt werden, dass die verantwortliche Stelle personenbezogene Daten an den Dritten weitergibt, sondern auch dadurch, dass der Dritte dazu bereitgestellte Daten einsieht oder abruft (Gola/Schomerus , Kommentar zum Bundesdatenschutzgesetz, 10. Auflage 2010, § 3 Randnummer 32).

Ob eine Betätigung des Facebook-Buttons für nicht eingeloggte Nutzer oder gar Nutzer ohne Facebook-Account überhaupt sinnvoll ist, muss eingedenk der Tatsache, dass die „Gefällt-mir“ Funktion nur bei einem eingeloggten Facebook-Nutzer ausgeführt werden kann, hier mangels Informationen von Facebook unbeantwortet bleiben. Wichtig in datenschutzrechtlicher Hinsicht ist einzig die Tatsache, dass das Anklicken des Buttons durch diese beiden Nutzertypen eine Datenerhebung respektive eine Datenübermittlung beinhaltet.

Für den eingeloggten Facebook-Nutzer gilt das soeben Gesagte entsprechend, allerdings mit der Besonderheit, dass der Datenübertragungsvorgang bereits dann beginnt, wenn dieser eine Webseite aufsucht, die einen „Gefällt-mir“-Button enthält. Bereits dann und ohne das Zutun des Nutzers erfolgt eine Übermittlung von Nutzerdaten durch den Browser an Facebook. Es ist davon auszugehen, dass sich die Tätigkeit des Internetseitenbetreibers bei der Button-Nutzung durch einen eingeloggten Facebook-Nutzer wie bei den anderen beiden Nutzertypen auf die Übermittlung der IP-Adresse beschränkt und keine Übermittlung weiterer Nutzerdaten an Facebook erfolgt. Diese Annahme fußt auf der Überlegung, dass ein Website-Betreiber wohl zumeist gar nicht über mehr Informationen zur Facebook-Mitgliedschaft der Besucher seiner Internetseite verfügt. Die Zuordnung des Facebook-Nutzeraccounts wird nach diesseitiger Einschätzung über einen auf dem Rechner des Nutzers vorhandenen „Cookie“ erfolgen, der im Rahmen der Datenzuordnung abgefragt wird.

Einwilligung erforderlich?

Und nun zur entscheidenden Frage der rechtlichen Zulässigkeit dieser Datenverarbeitungsvorgänge: Im Anwendungsbereich des Telemediengesetzes (TMG) sind Internetseitenbetreiber als Betreiber von Telemediendiensten anzusehen. Diese dürfen personenbezogene Daten nur erheben und verarbeiten, soweit dies zur Erbringung des Dienstes notwendig ist. Im Übrigen ist eine Datenverarbeitung nur mit Einwilligung des Betroffenen zulässig (§ 12 TMG).

Eine Ausnahme besteht im Bereich pseudonymisierter Daten, wenn diese zur Optimierung und bedarfsgerechten Gestaltung des Internetangebots verwendet werden (§ 15 Abs. 3 TMG). Diese Ausnahme kommt allerdings hier bereits deshalb nicht zum Tragen, weil die Daten ja nicht vom Betreiber der Website, sondern von Facebook erhoben und verarbeitet werden.

Mit Beschluss vom  26./27. November 2009 haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, beschlossen, „dass bei Erstellung von Nutzungsprofilen durch Webseiten-Betreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind”. Mit diesem Beschluss wurde für die Praxis bestätigt, dass die Aufsichtsbehörden IP-Adressen als ein personenbezogenes Datum ansehen (wer näheres zu diesem Streit und zu weiteren Fragen des Datenschutzes erfahren möchte, dem sei der Artikel „Wichtig für Shopbetreiber: Datenschützer bricht Verhandlungen über Google Analytics ab“ auf dieser Website ans Herz gelegt). Die Ansicht der Aufsichtsbehörden zugrunde gelegt, stellt also schon die Übermittlung der IP-Adresse einen datenschutzrechtlich relevanten Vorgang dar.

Dass die Weitergabe der IP-Adresse des Nutzers an Facebook seitens des jeweiligen Internetseitenbetreibers nicht im Sinne von § 15 TMG zur Erbringung des Telemediendienstes notwendig bzw. erforderlich ist, liegt auf der Hand. Vom bei Facebook eingeloggten Nutzer muss keine IP-Adresse bei Aufruf der Website übermittelt werden. Vom nicht eingeloggten Nutzer bzw. vom Nutzer ohne Facebook-Account muss ebenfalls keine IP-Adresse an Facebook übermittelt werden, wenn dieser den Button anklickt. Von daher stellt sich die Frage, ob der jeweilige Nutzer in die Datenübermittlung eingewilligt hat. Eine wirksame Einwilligung muss klar, eindeutig und jederzeit widerruflich sein sowie abgespeichert werden. Diese Anforderungen sind gesetzlich vorgeschrieben, und zwar in § 13 Absatz 2 TMG.

Eine solche Einwilligung könnte hinsichtlich der Facebook-Nutzer zum einen darin zu sehen sein, dass diese im Rahmen ihrer Registrierung bei Facebook bereits die Einwilligung in die Erhebung bzw. Übermittlung von Daten auch durch andere Seiten erteilt haben. Die in diesem Zusammenhang einzig in Betracht kommende Passage in der Datenschutzerklärung von Facebook unter dem Punkt „Informationen die wir erhalten“ ist jedoch, unabhängig von der Frage, ob diese Einwilligung den oben genannten Kriterien gerecht wird, in inhaltlicher Sicht reichlich nebulös. Dies hat zur Folge, dass es schlicht nicht möglich ist, rechtlich zuverlässig und verbindlich zu beurteilen, ob die Daten, welche bei der Betätigung des Facebook-Buttons verarbeitet werden, von dieser „Einwilligung“ erfasst sind oder nicht. Für diejenigen Webseiten-Besucher, die nicht bei Facebook registriert ist, gilt diese etwaige Einwilligung jedoch mangels Zustimmung zu den Facebook-Bedingungen für ohnehin nicht.

Zum anderen könnte eine Einwilligung aller Nutzergruppen in die Datenübermittlung in dem Anklicken des Facebook-Buttons selbst zu sehen sein. Hiergegen spricht jedoch wiederum der bereits oben beschriebene gesetzlich vorgesehene Umfang der Einwilligung, der durch bloßes Anklicken des Buttons nicht gewährleistet wird.

Zusammenfassend lässt sich sagen, dass das Vorliegen einer Datenschutzrechtsverletzung durch die Datenübermittlung seitens des jeweiligen Internetseitenbetreibers wahrscheinlicher ist als die Gesetzeskonformität.

Wer ist verantwortlich?

Es stellt sich sodann die Frage, ob bzw. in welchem Umfang der jeweilige Internetseitenbetreiber für diese wahrscheinliche Datenschutzrechtsverletzung verantwortlich ist. Im Hinblick auf die Verwendung des Facebook-Buttons liegt kein Fall einer sogenannten „Auftragsdatenverarbeitung“ im Sinne von § 11 BDSG vor. Darunter versteht man die Verarbeitung personenbezogener Daten durch einen Dritten für eine datenschutzrechtlich verantwortliche Stelle. Eine Auftragsdatenverarbeitung setzt jedoch voraus, dass ein solches Auftragsverhältnis vorliegt. Facebook verarbeitet jedoch keine personenbezogenen Daten im Auftrag der Betreiber der Internetseiten, in welche der Facebook-Button eingebunden ist. Die Übermittlung der IP-Adresse, die Zuordnung der „gefällt mir“-Information und sämtliche etwaig weiter damit verbundenen Datenverarbeitungsvorgänge finden nicht auf Weisung des Webseitenbetreibers statt (und können von diesem auch nicht kontrolliert werden).

Der Betreiber der Webseite könnte jedoch als so genannter „Störer“ für eine rechtswidrige Datenverarbeitung verantwortlich sein. Störer ist, wer gegen zumutbare Prüfungspflichten verstößt und damit eine Rechtsverletzung fördert oder ermöglicht. Juristisch lässt sich durchaus argumentieren, dass durch die Einbindung des iframes ein wesentlicher Beitrag zu einer Rechtsverletzung geleistet wird. Beurteilt man die Übermittlung der IP-Adresse an Facebook als rechtswidrige Datenverarbeitung, käme eine Störerhaftung zumindest grundsätzlich in Betracht. Ob durch die Einbindung zumutbare Prüfungspflichten verletzt werden, ist bislang nicht gerichtlich entschieden. Zu Gunsten der Websitebetreiber lässt sich ausführen, dass die datenschutzrechtliche Beurteilung reichlich kompliziert und mangels ausreichender bekannter Fakten auch in tatsächlicher Hinsicht nicht vollständig geklärt werden kann. Die höchstrichterliche Rechtsprechung zum Wettbewerbsrecht ist allerdings in derartigen Konstellationen keineswegs „zimperlich“ und erlegt den Marktteilnehmern hohe Sorgfaltsanforderungen auf. Nach der Rechtsprechung des Bundesgerichtshofs handelt beispielsweise ein Marktteilnehmer fahrlässig, wenn er sich trotz rechtlicher Zweifel an der Zulässigkeit für eine bestimmte Handlung entscheidet (BGH, Urteil vom 06.05.1999 – I ZR 199 / 96 – „Tele-Info-CD“). Das Risiko, dass sich ein Handeln als rechtswidrig erweist, soll der Handelnde tragen.

Risiken minimieren – Lösungsansätze

Die Tatsache, dass die Rechtslage bzgl. der Frage einer etwaigen Datenschutzrechtsverletzung nicht eindeutig ist und insoweit nur Prognosen abgegeben werden können, führt dazu, dass diejenigen Internetseitenbetreiber, die das rechtliche Risiko einer Rechtsverletzung ausschließen bzw. minimieren wollen, handeln sollten. Insbesondere sind dabei die folgenden Maßnahmen denkbar:

  • Verzicht auf die Einbindung des Facebook-Buttons;
  • Bevor auf den Button geklickt wird, muss der Nutzer einen Hinweis „wegklicken“. In dem Hinweis wird darüber informiert, dass Daten an Facebook übermittelt werden;
  • Die Webseite enthält einen datenschutzrechtlichen Hinweis, der unmittelbar dem Button zugeordnet wird und welcher Klarheit über die mit dem Button verbundene Datenverarbeitung schafft. Das könnte beispielsweise auch in der ohnehin aufgrund § 13 Abs. 1 TMG erforderlichen Datenschutzerklärung der Internetseite stattfinden.

Die zuletzt aufgeführte Maßnahme sollte in jedem Fall ergriffen werden, da ein solcher Hinweis nach § 13 Abs. 1 TMG für den jeweiligen Internetseitenbetreiber sogar Pflicht sein dürfte. Denn nach dem Wortlaut der genannten Vorschrift hat der Anbieter den Nutzer stets über „Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ in allgemein verständlicher Form zu unterrichten.

Absolute Rechtssicherheit kann nach diesseitigen Dafürhalten nur durch das einstweilige Entfernen des Facebook-Buttons erzielt werden. Schließlich würde die Implementierung der oben genannten Hinweise nichts an der Datenübermittlung ändern. Wenn diese bereits stattfindet, bevor irgendein Hinweis wahrgenommen werden kann (also bereits beim Aufruf der Internetseite, in welche der Button integriert ist), kann der Hinweis seine Funktion nicht erfüllen. Nach dem datenschutzrechtlichen Leitbild soll der Nutzer gerade selbst entscheiden können ob und in welcher Form seine personenbezogenen Daten verarbeitet werden. Ist das Kind erst in den Brunnen gefallen, hilft auch ein noch so detaillierte Hinweis nicht weiter. Überdies kann hinsichtlich der IP-Adresse auch durch einen Hinweis keine Einwilligung eingeholt werden, die den formellen Erfordernissen des § 13 Abs. 2 TMG entspricht. Das Aufrufen einer Internetseite kann nicht als eindeutige Zustimmungserklärung zur Datenverarbeitung gewertet werden.

Wettbewerbsrechtliche Probleme

Wettbewerbswidrig wird ein Verstoß gegen Datenschutzvorschriften nur dann, wenn die Datenschutzvorschriften so genannte Marktverhaltensregeln darstellen. Da die Vorschriften zum Datenschutz aber vorrangig dem Persönlichkeitsschutz der Betroffenen dienen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen, dürfte dies eher die Ausnahmekonstellation sein, wenngleich darauf hinzuweisen ist, dass der BGH in dieser Frage noch keine Entscheidung zu treffen hatte.

Fazit: kein „like“ zur Rechtsklarheit

Klar ist nur, dass vieles unklar ist. Die Frage, ob die Verwendung und Betätigung des Facebook-Buttons gegen datenschutzrechtliche und/oder wettbewerbsrechtliche Bestimmungen verstößt, lässt sich auf Grund der undurchsichtigen Sach- und Rechtslage derzeit schlichtweg nicht abschließend beurteilen. Wer nicht auf eigene Kosten an der Rechtsfortbildung teilhaben möchte (also eine Abmahnung, einstweilige Verfügung oder ein sonstiges Gerichtsverfahren oder zumindest denkbare Schritte der Aufsichtsbehörde riskieren möchte), kann nur durch den Verzicht auf die Funktion sicher gehen. Auch allen anderen Anbietern empfiehlt sich in jedem Fall eine genaue Beobachtung des Fortgangs der Entwicklung. Es bleibt zu hoffen, dass Facebook durch eine rechtlich zweifelsfreie Ausgestaltung der Funktion den Sorgen der Website-Betreiber Rechnung trägt.

Ein abschließendes Wort für viele von Zweifeln gebeutelte Internetseitenbetreiber: die deutschen Regelungen zum Datenschutz beruhen großteils auf den Vorgaben europäischer Richtlinien. Wenngleich die deutschen Aufsichtsbehörden manches strenger sehen als deren Kollegen im europäischen Ausland, sind viele Grundregeln des Datenschutzrechts in Europa gleich. Hiermit kollidieren oftmals die weniger strengen Anforderungen des außereuropäischen Auslands. Da das Herz der Entwicklung des Internets und seiner Technologien aber genau in diesem weniger strikten Umfeld schlägt, stellt sich vielfach ein grundlegendes Problem: Technologien sind weit verbreitet und werden von vielen genutzt, entsprechen aber nicht den hiesigen Rechtsvorschriften. Dieses Dilemma lässt sich nur durch Umsicht und oftmals Kreativität lösen. Der Hinweis darauf, dass eine bestimmte Technologie von vielen anderen Wettbewerbern genutzt wird, hilft demjenigen nicht, der rechtlich zur Verantwortung gezogen wird. Es bleibt die Hoffnung, dass ein sinnvolles und allen Interessen gerecht werdendes Schutzniveau im Zuge der technischen und rechtlichen Entwicklung gefunden werden kann.

Update 

Das Kammergericht (Oberlandesgericht) Berlin hat zwischenzeitlich einen weiteren Beitrag zum Diskussionsstand geleistet:

Mit Beschluss vom 29.04.2011 (Aktenzeichen: 5 W 88/11) befand das Kammergericht, dass die Verwendung des Facebook-Buttons nicht als Wettbewerbsverstoß anzusehen ist,  jedoch sehr wohl möglicherweise als Verstoß gegen das Datenschutzrecht. das Gericht stellte fest, dass die Antragsgegnerin (die auf ihrer Internetseite die „Taufe“ von Sternen nach dem Wunsch der Kunden anbietet) zumindest auf die eine Bindung des Facebook-Buttons und die damit verbundene Datenübermittlung hätte hinweisen müssen. Das unterbleiben eines solchen Hinweises sei jedoch im konkreten Fall kein Wettbewerbsverstoß, da die verletzte Rechtsnorm (§ 13 Abs. 1 Telemediengesetz) nicht dem Schutz des Wettbewerbs, sondern nur den Schutz der individuellen Interessen der Besucher der Internetseite bedient.

Weitere Aktualisierung: Die vorstehend zitierte Einschätzung des Kammergerichts Berlin dürfte mittlerweile erheblichen Zweifeln unterliegen. Die meisten Gerichte haben sich mittlerweile der Leitlinie angeschlossen, dass Verstöße gegen das Datenschutzrecht gleichzeitig auch als Wettbewerbsverstöße anzusehen sind. Dies hat beispielsweise das Landgericht Köln ausdrücklich so für die datenschutzwidrige Verwendung von E-Mail-Adressen entschieden (LG Köln, Urteil vom 29.08.201331 O 225/13). Und auch das Kammergericht hat in einer jüngeren Entscheidung ausdrücklich bestätigt, dass datenschutzrechtliche Vorschriften als sogenannte Marktverhaltensregelungen auch in den Anwendungsbereich des Wettbewerbsrechts fallen können (KG, Urteil vom 24.01.20145 U 42/12).

Dies sieht offensichtlich aufgrund neuester Presseberichte (http://www.spiegel.de/netzwelt/web/facebook-klagen-gegen-gefaellt-mir-buttons-a-1034967.html) auch die Verbraucherzentrale Nordrhein-Westfalen so, welche wegen der vorgenannten problematischen Einbindung des Facebook-Like-Buttons offensichtlich gegenwärtig mit Abmahnungen und gerichtlichen Verfahren gegen Datenschutzverletzungen vorgeht. Dies überschneidet sich gleichzeitig mit einem Vorhaben des Gesetzgebers, den Datenschutz ausdrücklich in die Domäne der Verbraucherschutz- und Wettbewerbsverbände aufzunehmen.

Es ist durchaus denkbar, dass sich andere Oberlandesgerichte nicht der Einschätzung des Kammergerichts anschließen. Auch ist keinesfalls Entwarnung in datenschutzrechtlicher Hinsicht zu geben. Das Kammergericht stellte klar, dass die Einbindung des Facebook-Buttons einen entsprechenden datenschutzrechtlichen Hinweis erfordert. Selbst wenn wettbewerbsrechtliche Ansprüche ausscheiden, können Besucher der Internetseite im eigenen Namen Ansprüche erheben, wenn die datenschutzrechtlichen Anforderungen nicht eingehalten werden. Darüber hinaus sind Schritte der Aufsichtsbehörden möglich. Nicht zuletzt gebietet es aber die Professionalität eines Anbieters, derart grundlegende gesetzliche Vorgaben einzuhalten.

BBS ist Partner und rechtlicher Begleiter großer und kleiner Online-Anbieter. Für Ihre datenschutzrechtlichen Fragen haben wir praxisgerechte Lösungen paratund sind für Sie rechtlich am Puls der Zeit. Was können wir für Sie tun?