OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.

ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Europäische Kommission: Vereinigtes Königreich ist ab dem 30.3.2019 ein Drittland – Handlungsbedarf für Unternehmen

Die Europäische Kommission hat in einer Mitteilung (pdf) vom 9.1.2018 bestätigt, wovon die meisten Beobachter ohnehin bereits ausgegangen sind. Ab dem 30.3.2019 ist das Vereinigte Königreich aufgrund seines erklärten Austritts aus der Europäischen Union als „Drittland“ im Sinne der dann geltenden EU Datenschutz-Grundverordnung (DSGVO) zu behandeln. Datenschutzrechtlich betrachtet steht das Vereinigte Königreich dann auf einer Stufe mit Ländern wie USA, China oder auch Russland, für die kein Angemessenheitsbeschluss der Europäischen Kommission zum Schutzniveau für personenbezogene Daten existiert.

Die nun vorliegende schriftliche Klarstellung der Kommission macht deutlich, dass es keine automatische Anerkennung des Datenschutzniveaus im Vereinigten Königreich nach dem Austritt geben wird. Manch einer mag gehofft haben, dass das Schutzniveau des Datenschutzrechts im Vereinigten Königreich quasi automatisch als angemessen angesehen wird, da ja zumindest bis zum Austritt aus der Union auch dort die DSGVO gilt. Einem solchen Automatismus erteilt die Kommission jedoch eine Absage. Gegen die automatische Anerkennung des Schutzniveaus spricht im Übrigen auch der veränderte Prüfungsmaßstab der Kommission, wenn sie die Angemessenheit des Schutzniveaus nach Art. 45 Abs. 2 DSGVO prüft. Denn sie muss dann auch nationale Rechtsvorschriften in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten prüfen (Art. 45 Abs. 2 lit. a) DSGVO). Solange das Vereinigte Königreich aber Mitglied der Europäischen Union ist, ist die Frage der nationalen Sicherheit aber der Kompetenz der Kommission entzogen.

Zu Recht macht die Kommission in ihrer Mitteilung auf die Konsequenzen für Unternehmen aufmerksam, wenn diese personenbezogene Daten auch nach dem Stichtag an Stellen im Vereinigten Königreich übermitteln möchten. Für die Zulässigkeit solcher Übermittlungen müssen bestimmte Voraussetzungen erfüllt werden, die in den Art. 44 ff DSGVO näher beschrieben sind. Mangels eines Angemessenheitsbeschlusses der Kommission (Art. 45 DSGVO) werden für Unternehmen also vor allem die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) DSGVO, jetzige EU Standardvertragsklauseln) eine wichtige Rolle spielen. Diese Verträge sind dann mit Unternehmen im Vereinigten Königreich abzuschließen.

Daneben kommen in Zukunft unter der DSGVO auch weitere Instrumente, wie etwa genehmigte Verhaltensregeln oder genehmigte Zertifizierungsmechanismen als Grundlage für eine Übermittlung in Betracht.

Unternehmen in der Europäischen Union müssen sich also innerhalb des nächsten Jahres darum kümmern, Datenübermittlungen in das Vereinigte Königreich aus rechtssichere Füße zu stellen.

Datenschutz-Grundverordnung in der Arztpraxis – Fragebogen der Datenschutzbehörde zur Praxisorganisation

Die ab dem 25.5.2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO) gilt nicht nur für große, internationale Unternehmen. Auch mittelständische Betriebe und Selbstständige müssen sich mit den, teilweise neuen, Vorgaben zum Umgang mit personenbezogenen Daten befassen. In Deutschland kommen zudem die Regelungen des ebenfalls ab dem 25.5.2018 geltenden neuen Bundesdatenschutzgesetzes hinzu.

Der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern hat Ende 2017 einen Fragebogen (pdf) an zufällig ausgewählte Arztpraxen versendet, in dem er die Erfüllung verschiedenster Anforderungen der DSGVO abfragt. Die Ergebnisse der Befragung sollen der Behörde helfen, den Beratungsbedarf bei Arztpraxen einzuschätzen.

Arztpraxen (aber selbstverständlich auch andere datenverarbeitende Stellen) sollten sich, auch wenn sie den Fragebogen nicht selbst erhalten haben, mit den Fragen auseinandersetzen und für sich prüfen, ob sie entsprechende Antworten geben könnten. Die Fragen der Behörde stellen eine erste Richtungsvorgabe dafür dar, was Unternehmen ab dem 25.5.2018 für Anfragen von Seiten der Aufsichtsbehörden erwarten könnten und welche Regelungsbereiche der DSGVO aus Sicht der Behörde besondere Relevanz haben.