Category Archives: Einwilligung

ePrivacy: neuer Vorschlag im Rat zur Aufnahme „berechtigter Interessen“ als Grundlage des Trackings

Posted on by

Mit Datum vom 21.02.2020 hat die aktuelle Ratspräsidentschaft neue Vorschläge zur Anpassung der Art. 6 und 8 des Entwurfs der ePrivacy-Verordnung vorgelegt (PDF). Hiervon erfasst ist auch eine Anpassung von Art. 8 („Schutz von Informationen im Zusammenhang mit Endeinrichtungen“), also die Regelungen zum Einsatz von Tracking-Technologien.

In Art. 8(1)(g) des Vorschlags hat die Präsidentschaft eine neue Grundlage für die Verarbeitung von Informationen auf der Grundlage von „berechtigten Interessen“ eingeführt. Dies ist deshalb relevant, da die ePrivacy-Verordnung bislang ihren Fokus sehr stark auf die Einwilligung von betroffenen Personen gelenkt hatte. Hiermit zusammenhängende Änderungen sind auch in den begleitenden Erwägungsgründen 20, 21, 21b und 21c enthalten.

Nach Art. 8 (1)(g) des Entwurfs ist jede Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer grundsätzlich untersagt. Dies gilt nicht, wenn es für die von einem Diensteanbieter verfolgten berechtigten Interessen erforderlich ist, die Verarbeitungs- und Speichermöglichkeiten von Endgeräten zu nutzen oder Informationen von den Endgeräten eines Endnutzers zu sammeln, es sei denn, dieses Interesse wird von den Interessen oder den Grundrechten und -freiheiten des Endnutzers überlagert.

Der Vorschlag zieht hier also die aus der DSGVO bekannt Interessenabwägung in die ePrivacy-Verordnung. Dies auch nicht nur bezogen auf spezifische Zwecke, wie etwa statistische Analysen, sondern ganz generell.

Diese Anpassung würde für die Wirtschaft sicherlich eine begrüßenswerte und pragmatische Öffnung der strengen und engen Vorgaben des Art. 8 des Entwurfs bedeuten. Aufgrund der fehlenden Beschränkung auf bestimmte Zwecke des Zugriffs auf Informationen in Endgeräten oder des Auslesens, würde dies also wohl auch den Einsatz von Cookies oder Pixeln zum Zweck der Werbeausspielung umfassen.

Man mag nun direkt in kritische Würdigungen verfallen, da diese Anpassung ad hoc natürlich sehr weit und unbestimmt klingt. Jedoch scheint sich die Ratspräsidentschaft hierzu einige Gedanken gemacht zu haben und verengt die Möglichkeit der Nutzung der Interessenabwägung dadurch, dass sie gesetzliche Vermutungen aufstellt, wann die Interessen der Endnutzer überwiegen sollen.

Es wird davon ausgegangen, dass die Interessen des Endnutzers die Interessen des Diensteanbieters überwiegen, wenn

  • der Endnutzer ein Kind ist oder
  • wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um das Wesen und die Eigenschaften des Endnutzers zu bestimmen oder
  • um ein individuelles Profil des Endnutzers zu erstellen, oder
  • wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs.1 DSGVO enthält.

Insbesondere die Ausschlussgründe der Bestimmung des „Wesens oder der Eigenschaften eines Endnutzers“ sowie der Erstellung eines „individuellen Profils“ dürften für den Einsatz von Tracking-Technologien für Werbezwecke von Relevanz sein. Interessant ist übrigens auch die entsprechende Änderung hierzu in Erwägungsgrund 21b. Denn dort werden “Wesen” und “Merkmale” alternativ genannt (“oder”), wohingegen in dem Vorschlag zu Art. 8 beide Merkmale kumulativ (verbunden mit „und“) aufgezählt werden.

Nach dem neuen Erwägungsgrund 21b sind bei der Abwägung die berechtigten Erwartungen der Endnutzer zu berücksichtigen. Beispielhaft nennt der Vorschlag den Zugriff auf Informationen in Endgeräten zum Zweck der Behebung von Sicherheitslücken als vom berechtigten Interesse umfasst. Zusätzlich verweist der Vorschlag auch darauf, dass Diensteanbieter sich auf berechtigte Interessen stützen könnten, wenn der Dienst (etwa eine Webseite) und seine Inhalte ohne zusätzliche Zahlung zugänglich ist und teilweise oder gänzlich durch Werbung finanziert wird.

Zusätzlich verengt der Vorschlag in Erwägungsgrund 21b die Möglichkeit des Einsatzes von Trackingtechnologien aber weiter, indem hinsichtlich der angesprochenen Dienste ganz konkrete Arten benannt werden, die sich auf berechtigte Interessen stützen könnten. Hierbei handelt es sich um Dienste zur Wahrung der Meinungs- und Informationsfreiheit, einschließlich zu journalistischen Zwecken, wie Online-Zeitungen oder anderen Presseveröffentlichungen.

Zum anderen sieht der Vorschlag weitere Schutzmechanismen für Endnutzer in dem neuen Abs. 1a vor, wenn ein Diensteanbieter die Interessenabwägung als Erlaubnis nutzen möchte. Weitere Erläuterungen ergeben sich aus Erwägungsgrund 21c. Danach dürfen Diensteanbieter die aus Endgeräten gewonnen Informationen nicht mit Dritten teilen, es sei denn, die Informationen wurden zuvor anonymisiert. Dies gilt jedoch nicht in Bezug auf Auftragsverarbeiter, die in diesem Zusammenhang eingesetzt werden und auf der Grundlage von Art. 28 DSGVO eingeschaltet werden.

Interessant an diesem Vorschlag ist, dass anscheinend davon ausgegangen wird, dass bei dem in Art. 8 (1)(g) ePrivacy-Verordnung als potentiell zulässig anerkannten Zugriff auf Informationen und deren Nutzung stets personenbezogene Daten (iSd DSGVO) vorliegen. Denn ansonsten würde der Verweis auf eine vorzunehmende Anonymisierung der Daten keinen Sinn ergeben. Ebenfalls dafür spricht der Hinweis auf die Vorgaben des Art. 28 DSGVO (also zur Auftragsverarbeitung), die eingehalten werden sollen.

Zusätzlich sieht der Vorschlag vor, dass Endnutzern eine Widerspruchsmöglichkeit (Opt-out) angeboten werden muss.

OLG Naumburg: Abmahnbarkeit von Datenschutzverstößen durch Wettbewerber und Verarbeitung von „Gesundheitsdaten“ bei Online-Bestellungen

Posted on by

Das OLG Naumburg hatte in einem aktuellen Urteil (abrufbar bei der Deutsche Apotheker Zeitung (DAZ), Urteil vom 07.11.2019 – 9 U 6/19, pdf) gleich mehrere interessante datenschutzrechtliche Fragen zu prüfen. Es ging unter anderem um den Streit zum wettbewerbsrechtlichen Vorgehen gegen Datenschutzverstöße durch Wettbewerber und auch die Reichweite des Begriffs „Gesundheitsdaten“ bei Internetbestellungen.

Sachverhalt

Der Kläger macht gegen den Beklagten Unterlassungsansprüche, Auskunftsansprüche und die Feststellung einer Schadensersatzverpflichtung aus Wettbewerbsrecht wegen des Vertriebes apothekenpflichtiger rezeptfreier Medikamente über eine Internethandelsplattform geltend.

Sowohl der Kläger als auch der Beklagte betreiben Apotheken. Der Beklagte handelt sein Sortiment, also auch apothekenpflichtige Medikamente, außerdem auch über die Internet-Plattform „Amazon-Marketplace“.

In der Vorinstanz hatte das LG Magdeburg (Urt. v. 18. 01. 2019 – 36 O 48/18) vertreten, dass wegen möglichen Verstößen gegen die DSGVO keine Ansprüche aus dem UWG geltend gemacht werden können. Dies sieht das OLG nun, zumindest grundsätzlich, anders.

Entscheidung

Nach Ansicht des OLG steht dem Kläger ein Unterlassungsanspruch (§ 8 Abs. 1 S. 1 i.V.m. 3 a UWG) wegen Verstoßes gegen Art. 9 Abs. 1 DSGVO zu.

Hierzu prüft das Gericht im Grunde drei aufeinander aufbauende Voraussetzungen.

  • Einordnung der Regeln der DSGVO als Marktverhaltensregeln im Sinne des § 3 a UWG
  • Bei den erfassten Daten handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO
  • Der Beklagte verarbeitet die Daten ohne ausdrückliche Einwilligung im Sinne des Art. 9 Abs. Absatz 2 lit. a DSGVO

UWG

Nach Auffassung des Gerichts sind die Regelungen der DSGVO zumindest in der vorliegenden Fallkonstellation als Marktverhaltensregeln im Sinne des § 3 a UWG aufzufassen.

Zunächst stellt das OLG dar, dass die Frage, ob Datenschutzbestimmungen nach Anwendbarkeit der DSGVO Marktverhaltensregeln darstellen, bisher in Literatur und Rechtsprechung nicht abschließend geklärt ist. Das Gericht verweist für seine Begründung dann auf das bekannte Urteil des OLG Hamburg (Urteil vom 25. Oktober 2018 – 3 U 66/17). Dort nahm das OLG Hamburg, im Grunde der Ansicht unter dem alten Datenschutzrecht folgend, an, dass die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Das OLG Naumburg schließt sich dieser Auffassung an. Zwar verweist das OLG darauf, dass die DSGVO in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen schütze. Dennoch verfolge die DSGVO auch andere Zielsetzungen.

Etwas irritierend ist hierbei der Verweis auf die Erwägungsgründe der alten, nicht mehr anwendbaren Richtlinie 95/46/EG. Das OLG verweist auf die dortigen Erwägungsgründe 6 bis 8, bezieht sich hierbei aber auf die DSGVO.

Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2).

Das OLG geht hier davon aus, dass der Beklagte die Popularität der Plattform nutzt, um Kunden zu gewinnen. Er setze damit die Plattform als Werbeträger ein. Zudem geht das OLG für seine Begründung davon aus, dass Amazon selbst Daten auswerte – wenn auch anonym -, um zu werben: „Kunden, die sich Produkt A angesehen haben, interessieren sich auch für Produkte B“. Dies ziele auf den Markt ab und berühre die wettbewerblichen Interessen der Marktteilnehmer.

Gesundheitsdaten

Im nächsten Prüfschritt befasst sich das OLG dann mit der Frage, ob Bestelldaten von Kunden des Beklagten als „Gesundheitsdaten“ iSd DSGVO einzuordnen sind. Hierbei geht das OLG, meines Erachtens zu Unrecht, von einem sehr weiten Begriff aus.

Zwar gesteht das OLG zu, dass die Daten, die Amazon für den Bestellvorgang erfasst, sicher keine Gesundheitsdaten im engeren Sinne darstellen, wie z.B. ärztliche Befunde. Gleichwohl, so das OLG,

können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden.

Meines Erachtens zurecht wandte der Beklagte ein, dass eine Internetbestellung auch für Mitglieder der Familie und andere Personen erfolgen könne. Die Person, die ein Medikament bestellt, kann dies auch für Dritte tun. Nach Ansicht des OLG senke dies aber nur die Wahrscheinlichkeit, mit der der gezogene Rückschluss zutrifft. Dies reiche nach Auffassung des Senates nicht aus, um die Gesundheitsbezogenheit der Daten entfallen zu lassen. Denn dies würde zu einer Absenkung des Schutzniveaus führen.

Meiner Auffassung nach ist der hier vom OLG angelegte Maßstab zu weit. Nach Erwägungsgrund 35 DSGVO zählen zu den personenbezogenen Gesundheitsdaten alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Genau diese Anforderung ist hier, wenn eine Bestellung für Dritte vorgenommen wird, aber nicht erfüllt. Die betroffene Person ist der Käufer des Medikaments. Wenn diese Person das Medikament etwa für ein Familienmitglied erwirbt, ergibt sich aus dem Kauf noch keine Information zu dem früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person.

Gerne bemühe ich in dieser Diskussion auch oft die Ansicht des OVG Saarlouis (Urteil vom 14.12.2017 – 2 A 662/17). Dort ging es um die Videoüberwachung einer Apotheke und die Frage, ob allein durch Aufnahme der Personen, die die Apotheke betreten, Gesundheitsdaten verarbeitet werden. Dies lehnte das OVG ab.

Bereits das Aufsuchen einer Apotheke, in der heutzutage außer Medikamenten auch ein breites Sortiment an Kosmetika und sonstigen „Wellness“- oder Convenient-Produkten angeboten wird, stellt aber kein Indiz für das Vorliegen einer Erkrankung dar und bewirkt daher keine Bloßstellung.

Übertragen auf den hiesigen Fall könnte man also argumentieren, dass allein der Kauf eines Medikaments noch kein Indiz für das Vorliegen einer Erkrankung darstelle.

Ebenfalls nicht zu folgen ist der Argumentation das OLG, dass es sich hier nicht um Gesundheitsdaten im engeren Sinne, wohl aber im weiteren Sinne handeln soll. Eine solche Differenzierung kennt die DSGVO nicht.

Geht man vom Vorliegen von Gesundheitsdaten aus, hat dies weitreichende Konsequenzen für die Frage der Zulässigkeit der Verarbeitung dieser Daten, wie sich in der darauffolgenden Prüfung des OLG zeigt.

Verstoß gegen Art. 9 Abs. 1 DSGVO

Das OLG prüft nun konsequenterweise, ob der Beklagte die Gesundheitsdaten rechtmäßig verarbeitet hat.

In einem kleinen einleitenden Teil stellt das OLG fest:

Die Datenverarbeitung durch die Plattform Amazon Marketplace ist keine Auftragsdatenverarbeitung für den Beklagten im Sinne der DSGVO.

In dem hiesigen Verfahren ging es aber nicht um die Datenverarbeitung durch Amazon, sondern um jene des Apothekers. Nach Ansicht des OLG fehlt eine wirksame Einwilligung im Sinne des Art. 9 Abs. 2 lit. a DSGVO.

Hier zeigt sich die Folge der Einordnung der Bestelldaten bzw. Kaufdaten eines Kunden als Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO. In diesem Fall muss zwingend eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen. Das Gericht stellt fest, dass lit. a eine „ausdrückliche Einwilligung“ vorsieht, die hier nicht vorliegt.

Hinsichtlich der Form der Einwilligung verweist das OLG dann auch noch zusätzlich auf die Verpflichtung des Apothekers zur Einholung einer schriftlichen Einwilligung. Diese ergebe sich berufsrechtlich aus § 15 Abs. 2 der Berufsordnung der Apothekenkammer Sachsen-Anhalt.

Die Speicherung und Nutzung patientenbezogener Daten bedarf der vorherigen schriftlichen Einwilligung des Betroffenen, sofern sie nicht nach dem Bundesdatenschutzgesetz und anderen Ermächtigungsgrundlagen zulässig sind oder von gesetzlichen Bestimmungen gefordert werden.

Sollte man hieraus wirklich ein Schriftformerfordernis der datenschutzrechtlichen Einwilligung ableiten, wäre diese nationale Vorgabe meines Erachtens europarechtswidrig. Denn die DSGVO kennt, auch für eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, kein Formerfordernis.

Irritierender Weise geht das OLG in seiner Prüfung allein auf die Ausnahme nach Art. 9 Abs. 2 lit. a DSGVO, die Einwilligung, ein. Nach Art. 9 Abs. 2 lit. h DSGVO dürfen Gesundheitsdaten ohne Einwilligung verarbeitet werden, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich ist. Gerade die Arbeit der Apotheker wird unter die Alternative der „Versorgung oder Behandlung im Gesundheitsbereich“ fallen. Grundlage der Verarbeitung ist dann entweder nationales Recht (ins. § 22 Abs. 1 Nr. 1 lit. b BDSG) oder ein Vertrag zwischen Betroffenem und dem Angehörigen eines Gesundheitsberufs. Hierzu zählen auch die Apotheker. Meines Erachtens bedurfte es hier also gar keine Einwilligung für die Verarbeitung der Gesundheitsdaten (so man denn von ihrem Vorliegen ausgeht). Leider befasst sich das OLG in seinem Urteil nicht mit diesen weiteren Alternativen in Art. 9 Abs. 2 DSGVO.

Ging man davon aus, dass hier nur eine Einwilligung als Ausnahme eingreifen würde, wäre praktische Probleme vorprogrammiert. Was geschieht etwas bei einem Widerruf der Einwilligung? Dürfen Daten aus dem Vertragsverhältnis dann nicht mehr verarbeitet werden?

Kein Schadensersatzanspruch

Zuletzt schließt das OLG dann aber zumindest noch das Vorliegen eines möglichen Schadensersatzanspruches nach § 9 UWG und eines vorbereitenden Auskunftsanspruches aus. Beide setzen ein Verschulden voraus. Das OLG geht hier jedoch, aufgrund der umstrittenen Rechtslage davon aus, dass ein unvermeidbarer Verbotsirrtum anzunehmen ist.

Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigt der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

Die Europäisierung des Datenschutzrechts – ein alternativer Kommentar zu dem Planet49-Urteil des EuGH

Posted on by

Nach dem EuGH-Urteil in der Sache Planet49 (C?673/17), haben viele Kolleginnen und Kollegen lesenswerte Besprechungen der Entscheidung veröffentlicht. Z.B. Simon Assion, Stephan Hansen-Oest, Thomas Schwenke oder Nina Diercks.

In diesem Beitrag möchte ich mich mit ein paar „Randthemen“ des Urteils befassen, die jedoch meiner Ansicht nach nicht minder relevant sind. Es soll hier also nicht um die konkreten Anforderungen einer Einwilligung gehen, sondern um Aussagen des EuGH, die das Gericht daneben getroffen hat, die für die Praxis im Datenschutzrecht aber meines Erachtens über den Themenkomplex „Cookies und Einwilligung“ Relevanz haben.

Findet bei dem Einsatz von Cookies immer auch eine Verarbeitung personenbezogener Daten statt?

Der EuGH geht in seiner Prüfung, aufgrund der durch den BGH vorgegebenen und auch durch Planet49 bestätigten Sachverhaltsangaben davon aus, dass in dem zu beurteilenden Fall personenbezogene Daten verarbeitet wurden (Rz. 45 und 67). Dieser Personenbezug wird über eine Zuordnung von Registrierungsdaten der Nutzer (Name und Adresse im Teilnahmeformular) zu der Nummer des Cookies hergestellt (Rz. 45).

Für die Frage der Anwendbarkeit des Art. 5 Abs. 3 RL 2002/58 ist die Unterscheidung, ob personenbezogene Daten verarbeitet werden oder nicht, irrelevant (vgl. Rz. 70).

Aus der reinen „Datenschutz-Brille“ betrachtet, sind die Erwägungen des EuGH aber durchaus interessant. Denn insbesondere die Begründung in Rz. 45, warum in den Cookies auch personenbezogene Daten verarbeitet werden, lässt argumentativen Spielraum für Konstellationen, in denen durch Cookies keine personenbezogenen Daten verarbeitet bzw. den Cookies keine personenbezogenen Daten zugeordnet werden. Man stelle sich eine Situation vor, in der „nur“ ein Cookie gesetzt wird und in diesem Cookie statistische Daten gespeichert werden (z.B. Browserversion, Herkunftsland, Bildschirmauflösung o.ä.). Ob auch in diesem Fall per se ein Personenbezug vorliegen würde, hat der EuGH nicht entschieden (da er es auch nicht entscheiden musste). Oder anders ausgedrückt: nicht jeder Einsatz von Cookies ist gleichbedeutend mit der Verarbeitung personenbezogener Daten.

Die Erwägungen des EuGH lassen sich meines Erachtens durchaus so verstehen, dass im Fall des Setzens eines Cookie auf dem Gerät eines Nutzers, dies noch nicht zwangsläufig bedeutet, dass damit auch personenbezogene Daten im Spiel sind und die DSGVO Anwendung findet.

Warum ist dies relevant? Meines Erachtens insbesondere mit Blick auf die vielen Folgepflichten, die sich aus der DSGVO ergeben würden. Man denke etwa an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder die Pflicht, Verarbeitungen in ein Verzeichnis der Verarbeitungstätigkeiten aufzunehmen oder auch die Betroffenenrechte. Ist die DSGVO nicht anwendbar, würde auch kein Auskunftsanspruch nach Art. 15 DSGVO bestehen. Dies ist am Ende natürlich nur folgerichtig, denn wenn keine personenbezogenen Daten verarbeitet werden, kann ein Unternehmen auch keine Person identifizieren und dieser Person Auskunft zu ihren Daten erteilen.

Zur Auslegung und Anwendung europäischen (Datenschutz)Rechts

Bevor der EuGH in seinem Urteil in die Prüfung der einzelnen Merkmale einer Einwilligung einsteigt, legt er den Rahmen und die Methoden dar, innerhalb dessen und wie die europäischen Vorgaben auszulegen sind. Die Ausführungen des EuGH in den Rz. 47 und 48 haben daher ganz generelle Bedeutung für die Anwendung der RL 2002/58 und auch der DSGVO. Gerade in der deutschen Literatur und Diskussion findet man häufig sehr national geprägte Interpretation des europäischen Rechts.

Der EuGH macht zunächst deutlich, dass „Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen“. Das Gericht begründet dies mit den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes.

Dies bedeutet für die Datenschutzpraxis, dass Begriffe der DSGVO gerade nicht aus einem rein nationalen Blickwinkel betrachtet und ausgelegt werden dürfen. Diese müssen, nach dem EuGH, vielmehr in der gesamten Union eine autonome und einheitliche Auslegung erhalten.

Plastische Bespiele für solche Begriffe finden sich in der DSGVO an vielen Stellen. Hier ein paar Beispiele:

Art. 12 Abs. 1 DSGVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“. Was „schriftlich“ oder „elektronisch“ bedeutet, kann daher nicht allein mit Blick auf nationales Recht beantwortet werden. Ein Verweis, etwa auf Vorgaben des BGB, wäre mithin verfehlt.

Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, …“. Man ist sicherlich geneigt, den „Stand der Technik“ in Deutschland im Sinne der Interpretation dieses Begriffs z.B. durch die deutsche Rechtsprechung zu verstehen. Auch hier ist jedoch Vorsicht geboten. Der „Stand der Technik“ im Sinne der DSGVO muss nicht gleichbedeutend mit dem Verständnis des BVerfG (BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77, Kalkar I) sein. Nach den Vorgaben des EuGH in dem aktuellen Urteil, wäre dieser nationale Blick in jedem Fall zu eng.

Art. 33 Abs. 2 DSGVO: „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich“. Die Frage, was „unverzüglich“ bedeutet (vgl. auch Art. 34 Abs. 1 DSGVO), kann daher ebenfalls nicht allein aus Sicht des deutschen Zivilrechts und der zu diesem Begriff ergangenen Rechtsprechung beantwortet werden.

Zudem verweist der EuGH in Rz. 48 darauf, welche verschiedenen Auslegungsmethoden bei der Anwendung europäischen Rechts zu berücksichtigen sind.

Bei der Auslegung einer Vorschrift des Unionsrechts sind:

  • der Wortlaut,
  • die mit ihr verfolgten Ziele,
  • ihr Kontext und
  • das gesamte Unionsrecht zu berücksichtigen.

Daneben kann auch die Entstehungsgeschichte einer Vorschrift relevante Anhaltspunkte für ihre Auslegung liefern. Oder um es anders zu formulieren: die Vorschriften der DSGVO und ihr Verständnis sind aus mehreren Blickwinkeln zu betrachten.

Keine Entscheidung zur Zulässigkeit der Kopplung einer Einwilligung

Zuletzt sei noch darauf hingewiesen, dass der EuGH in seinem Urteil alle Tatbestandsmerkmale der datenschutzrechtlichen Einwilligung auslegt. Bis auf eines: die Freiwilligkeit.

Art. 4 Nr. 11 DSGVO definiert die Einwilligung u.a. als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“. Der EuGH musste hierzu auch nichts sagen, da der BGH ihn nicht danach gefragt hatte. In Rz. 64 des Urteils stellt der EuGH ausdrücklich heraus, dass er sich nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO) erteilten Einwilligung vereinbar ist, „wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt“.

Die angesprochene Situation ist jene, die das sog. „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO avisiert. Auf die entsprechende Vorschrift verweist der EuGH sogar. Ob oder wann es jedoch europarechtlich unter der DSGVO (un)zulässig ist, die Teilnahme an einem Gewinnspiel davon abhängig zu machen, dass man in die werbliche Nutzung seiner Daten einwilligt, hat der EuGH nicht entschieden. Die Antwort auf diese Frage (nicht nur speziell in Bezug auf Gewinnspiele), dürfte also zunächst weiter national umstritten bleiben.

Bayerisches Landesamt für Datenschutzaufsicht zu Facebook Custom Audience: Einwilligung nicht zwingend erforderlich?

Posted on by

Das Bayerische Landesamt für Datenschutzaufsicht hat am 30.08.2019 eine Pressemitteilung (pdf) zur aktuellen Prüfung der Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes.

Dass diese Prüfung stattfindet, wurde bereits letzte Woche bekannt. Daher ist die Mitteilung meines Erachtens auch nicht überraschend.

Interessant sind jedoch meines Erachtens zwei Aussagen des BayLDA bzw. seines Präsidenten zum Einsatz von Tracking-Tools und den datenschutzrechtlichen Anforderungen.

Zum einen wird in der der Pressemitteilung zu den datenschutzrechtlichen Pflichten von Webseiten-Betreibern ausgeführt:

Der Website-Betreiber muss auch sicherstellen, dass er die Tracking-Tools rechtmäßig einbindet, d. h. dass eine Rechtsgrundlage die Einbindung erlaubt oder der Nutzer vorab seine Einwilligung erklärt hat.

Interessant hierbei ist, dass das BayLDA ausdrücklich alternativ neben der Einwilligung auch andere Rechtsgrundlagen (also etwa eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO) als möglichen Erlaubnistatbestand für eine Datenverarbeitung anspricht. Die Behörde geht anscheinend nicht davon aus, dass werbliche Tracking-Tools (wie in dieser Prüfung wohl Facebook Custom Audience) nur mit Einwilligung der Besucher genutzt werden können.

Diese Aussage bedeutet wohl nicht, dass der Einsatz werblicher Tracking-Tools per se auch auf der Grundlage einer Interessenabwägung zulässig wäre. Jedoch lassen die Ausführungen des BayLDA erkennen, dass man sich nicht vorab allein auf die Einwilligung der Betroffenen als einzig mögliche Rechtsgrundlage festlegen möchte. Zudem ist noch zu bemerken, dass das BayLDA ganz allgemein auf „eine Rechtsgrundlage“ verweist, also auch nicht allein nur auf die Interessenabwägung.

Zudem wird Herr Kranig, der Präsident des BayLDA wie folgt zitiert:

Was vielen nicht klar ist: nicht der Website-Betreiber, der ein Tracking-Tool auf der Website einbindet, übermittelt Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtsdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Diese Aussage ist insbesondere vor dem Hintergrund des aktuellen EuGH-Urteils in Sachen Like-Button (FashionID, Urt. v. 29. Juli 2019, C-40/17) interessant. Dort hatte der EuGH ausgeführt, dass „der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden“ kann. Das BayLDA geht also wohl davon aus, dass der Webseiten-Betreiber selbst nicht die Übermittlung durchführt. Jedoch wird für die Verantwortlichkeit des Betreibers, anders als im Urteil des EuGH, auch gar nicht auf die Übermittlung (hier stellt sich die Frage, von wem? Dem Besucher selbst? Seinem Browser / dem Browser-Hersteller?) abgestellt, sondern allein auf die Ermöglichung der Erhebung von Daten der Besucher durch den Anbieter des Tools.

Zum Schluss fügt Herr Kranig einen, meines Erachtens zutreffenden und bei vielen Unternehmen immer noch nicht ausreichend gewürdigten Hinweis an:

Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Posted on by

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO – Unter anderem: vorsorgliche Einwilligung ist möglich

Posted on by

Immer noch sind viele Fragen bei der Anwendung der DSGVO unbeantwortet und umstritten. Die hessische Datenschutzbehörde hat, aufgrund „einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI)“, Antworten zu den am häufigsten gestellten Fragen auf ihrer Webseite veröffentlicht.

Natürlich findet man dort als Suchender sicherlich nicht die Antwort auf jede Frage zur DSGVO. Dennoch sind die Antworten des HBDI, insbesondere für Unternehmen mit Hauptsitz in Hessen, sicherlich eine lesenswerte Ressource.

Interessant ist etwas die Aussage der Behörde zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird.

Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes nicht sicher ist.

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Der HBDI scheint also davon auszugehen, dass eine Verarbeitung aus Sicht des Verantwortlichen auf zwei Erlaubnistatbestände, wovon einer die Einwilligung ist, gestützt werden kann, wenn man unsicher ist, ob die eigentlich avisierte Rechtsgrundlage wirklich eingreift. Der Kollege Tim Wybitul hat genau zu diesem Thema heute in einem Beitrag auf LinkedIn darauf hingewiesen, dass aus dem neues Kurzpapier (PDF) der DSK zur Einwilligung wohl eine andere Ansicht ableitbar ist. Eventuell vertritt der HBDI hier also eine nicht ganz so strenge Auffassung.

Oberster Gerichtshof in Österreich zur Kopplung der Einwilligung nach der DSGVO – grundsätzlich unzulässig?

Posted on by

Mit Urteil vom 31.08.2018 (Az. 6Ob140/18h) hat der Oberste Gerichtshof in Österreich (OGH) eine interessante und auch für andere Mitgliedstaaten sicherlich relevante Entscheidung zur Einwilligung und dem „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO gefällt.

Sachverhalt

Gegenstand des Verfahrens war eine Verbandsklage wegen gesetzwidriger AGB-Bestimmungen und einer Geschäftspraktik, welche von der Beklagten, einem Unternehmen, welches den Empfang digitaler Fernsehprogramme ermöglicht, eingesetzt wurde.

Für die hiesige Besprechung sind jedoch allein die AGB-Klauseln relevant. Diese lauteten auszugsweise wie folgt:

2. Der Kunde stimmt zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, EMail-Adresse, Gerätenummer (Client ID) des TVEmpfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über das Produktportfolio von s*****TV (Aktionen, neue Angebote, neue Programme, Programmhighlights), s***** Internet, TV-Empfangsgeräte, terrestrische Empfangsmöglichkeiten, per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen sowie…Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

3. Der Kunde stimmt weiters zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse, Gerätenummer (Client ID) des TV-Empfangsgeräts, Internet ID) von s***** verwendet werden, um dem Kunden Informationen über Angebote (Produkte und Leistungen) der Kooperationspartner von s***** per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen. Kooperationspartner von s***** sind Unternehmen mit Sitz in Österreich, mit welchen s***** bei der Vermarktung der Angebote (Produkte und Leistungen) von s***** zusammenarbeitet und/oder welche ergänzende Leistungen zu den Angeboten von s***** anbietet. Kooperationspartner sind F***** GmbH, O***** GmbH & Co KG, Ö***** GmbH & Co KG, Ö***** Kundenservice GmbH & Co KG und G***** GmbH.Firmenbuchnummer *****. Diese Zustimmung kann der Kunde jederzeit schriftlich mit Brief oder E-Mail an s***** widerrufen.

Die Vorinstanzen verboten die Verwendung beider Klauseln, u.a. mit der Begründung, dass Klauseln 2 und 3 benachteiligend seien,

weil sie den Vertragsabschluss von der Zustimmung zu einer (für die Vertragserfüllung nicht erforderlichen) Datenverwendung (nämlich zu Werbezwecken) abhängig machen, womit es an einer Freiwilligkeit der Zustimmung nach § 4 Z 14 DSG 2000 („ohne Zwang“) mangle.

Urteil des OGH

Der OGH verweist zunächst, neben allgemeinen Ausführungen zum Datenschutzrecht, darauf, dass die Frage des „Koppelungsverbotes“, also ob der Vertragsabschluss von einer Zustimmung zu einer (dafür nicht erforderlichen) Datenverarbeitung abhängig gemacht werden kann, in der österreichischen höchstgerichtlichen Judikatur noch nicht behandelt wurde. Anders als in Deutschland (§ 28 Abs 3b BDSG aF) bestand in Österreich nach altem Datenschutzrecht auch keine diesbezügliche ausdrückliche Bestimmung.

Der OGH prüft den Fall jedoch nicht nur nach der alten Rechtslage, sondern auch unter Anwendbarkeit der DSGVO. Und hier wird es natürlich interessant.

Das Gericht erläutert, dass die materiell rechtlichen Voraussetzungen einer Einwilligung im Wesentlichen unverändert blieben. Jedoch enthalte die DSGVO nunmehr zusätzliche Regelungen zur Freiwilligkeit der Einwilligung in Art. 7 Abs 4 DSGVO:

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Der OGH nutzt zur Auslegung des Art. 7 Abs. 4 DSGVO auch den korrespondierenden Erwägungsgrund, ErwG 43 DSGVO. In diesem heißt es:

Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Danach spricht das Gericht richtigerweise einen sehr relevanten Punkt bei der Auslegung und Anwendung dieser Normen an. Nach dem Verordnungstext (Art. 7 Abs. 4 DSGVO) muss dem Umstand der Koppelung bei der Beurteilung der Freiwilligkeit größtmöglich Rechnung getragen werden. Der Artikel verbietet eine Kopplung mithin nicht per se, sondern verlangt, dass im Rahmend es Tatbestandsmerkmals der „Freiwilligkeit“ den Umständen des Einzelfalls Rechnung zu tragen ist.

ErwG 43 DSGVO hingegen formuliert das Verbot einer Kopplung finaler. Nach Ansicht des OGH

spricht der Erwägungsgrund eindeutig für ein unbedingtes Verbot der Koppelung.

Dem folgend verweist der OGH kurz auf den Meinungsstand in der Literatur. Die Stellungnahmen, ob nun ein unbedingtes Kopplungsverbot bestehe, seien nicht eindeutig.

Danach entscheidet sich der OGH, ohne größere Begründung (konkret in einem Absatz), für eine restriktive Auslegung der Vorschriften.

Das Spannungsverhältnis zwischen dem Text der Verordnung und dem Erwägungsgrund 43 ist offensichtlich dahin aufzulösen, dass an die Beurteilung der „Freiwilligkeit“ der Einwilligung strenge Anforderungen zu stellen sind. Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

Leider führt der OGH für diese Sichtweise keine nähere Begründung an. Meines Erachtens kann man diese Auslegungskonflikt zwischen Artikel und Erwägungsgrund aber auch genau entgegengesetzt lösen. Denn die Bestimmungen in den Erwägungsgründen sind jener Teil des Rechtsakts, der die Begründung enthält und zwischen den Bezugsvermerken und dem verfügenden Teil des Rechtsakts steht. ErwG 43 DSGVO ist gerade nicht Inhalt des verfügenden Teils der DSGVO. Wenn man so will, kann man aus Sicht der verpflichtet Verantwortlichen auch davon ausgehen, dass zwingend bindend nur die Artikel sind, wohingegen die ErwG die Begründung des verbindlichen Teils darstellen.

Dieses Verhältnis zwischen ErwG und Artikel ergibt sich auch eindeutig aus dem „Gemeinsamen Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken“ (Stand, 2015):

Die Erwägungsgründe werden im Gegensatz zum verfügenden Teil so formuliert, dass ihre Unverbindlichkeit deutlich wird.

Zumindest lässt sich der Entscheidung des OGH entnehmen, dass das Gericht nicht von einem absoluten Kopplungsverbot auszugehen scheint („grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt“). Für die Ausnahmefälle, in denen eine Freiwilligkeit gegeben ist, verengt der OGH aber meines Erachtens den Spielraum massiv. Es müssten „besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen“. Nach Ansicht des OGH ist die fehlende Freiwilligkeit (und damit die Unzulässigkeit der Kopplung) also wohl die Regel.

Selbst wenn man der Ansicht des OGH folgen möchte, verwundert es doch, dass das Gericht eine Vorlage an den EuGH zu dieser Frage ablehnt, „weil sich das vorstehende Ergebnis bereits aus dem Wortlaut der DSGVO und dem zitierten Erwägungsgrund ergibt“. Im Grunde hat der OGH in seinem Urteil, ein paar Randziffern zuvor, bei dem Verweis auf die umstrittene und unklare Meinungslage in der Literatur, selbst schon deutlich gemacht, dass die Rechtslage in dieser Frage nicht eindeutig ist und die Klärung durch den EuGH wünschenswert wäre. Leider hält er dies hier aber nicht für geboten.

Relevant ist die Entscheidung meines Erachtens in jedem Fall, da es sich hier um eine höchstrichterliche Befassung mit den Vorgaben des Art. 7 Abs. 4 DSGVO handelt. Inhaltlich halte ich die Interpretation der DSGVO durch den OGH auf jeden Fall für angreifbar. Eventuell müssen wir uns aber noch ein wenig gedulden, bis der EuGH zu dieser Vorschrift entscheiden kann. Auch in Italien wurde in diesem Jahr bereits zu Art. 7 Abs. 4 DSGVO entschieden (Corte Suprema Di Cassazione, 2.7.2018, 17278/2018, S. 9 ff.).

Deutsche Datenschutzbehörden veröffentlichen neue Orientierungshilfe zur Datenverarbeitung für Werbezwecke unter der DSGVO

Posted on by

Vom 6. bis 8.11.2018 trafen sich die deutschen Aufsichtsbehörden zu der 96. Konferenz der Datenschutzkonferenz (DSK). Auf dieser Konferenz haben die Behörden auch die für die Praxis sehr relevante Orientierungshilfe zur Datenverarbeitung für Werbezwecke (pdf) überarbeitet und beschlossen.

Die Orientierungshilfe ist recht umfangreich (14 Seiten), daher möchte ich hier nur ein paar Punkte daraus ansprechen.

Die DSK weist darauf hin, dass Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung nach der DSGVO

abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO

ist. Die Darstellung der DSK mutet leider so an, als ob sie davon ausgeht, dass tatsächlich nur diese beiden Erlaubnistatbestände bei der Verarbeitung für Werbezwecke einschlägig wären. Dies würde aber einer Sperrung der anderen Erlaubnistatbestände (z.B. Vertrag nach Art. 6 Abs. 1 lit. b) DSGVO) mit sich bringen, die so in der DSGVO nicht angelegt ist und auch durch den EuGH zur vormaligen Datenschutz-Richtlinie im Rahmen der Auslegung des TMG als europarechtswidrig angesehen wurde.

Hinsichtlich der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO geht die DSK davon aus, dass sowohl

  • die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind (siehe ErwG 47 DSGVO), als auch
  • zu fragen ist, was objektiv vernünftigerweise erwarten werden kann und darf. Entscheidend sei daher auch, ob die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung in bestimmten Bereichen der Sozialsphäre typischerweise akzeptiert oder abgelehnt wird.

Hinsichtlich der Erwartungen der betroffenen Person geht die DSK davon aus, dass diese auch durch die Informationen nach Art. 13 und 14 DSGVO geformt werden.

Informiert der Verantwortliche transparent und umfassend über eine vorgesehene Verarbeitung von Daten für Zwecke der Direktwerbung, geht die Erwartung der betroffenen Personen in aller Regel auch dahin, dass ihre Kundendaten entsprechend genutzt werden.

Diese Klarstellung ist meines Erachtens als positiv anzusehen, denn sie zeigt, dass die DSK davon ausgeht, dass Unternehmen die Erwartungen der Betroffenen durchaus selbst gestalten können. Zumindest zu einem gewissen Teil. Denn die DSK fügt direkt hinzu, dass die

Erwartungen an dem objektiven Maßstab der Vernunft gemessen werden müssen.

Sehr relevant sind dann die von der DSK aufgestellten Praxisfälle zur Interessenabwägung:

  • Schutzwürdige Interessen dürften in der Regel nicht überwiegen, wenn im Nachgang zu einer Bestellung allen Kunden (ohne Selektion) postalisch ein Werbekatalog oder ein Werbeschreiben zum Kauf weitere Produkte des Verantwortlichen zugesendet wird.
  • Auch bei der Nutzung eines Selektionskriteriums zur Einteilung in Werbegruppen und wen sich kein zusätzlicher Erkenntnisgewinn aus der Selektion ergibt, wird die Interessenabwägung in der Regel ebenfalls zugunsten des Verantwortlichen ausfallen.
  • Im Fall von eingriffsintensiveren Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, überwiege jedoch nach Ansicht der DSK ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung.

Den letztgenannten Fall sieht die DSK als „Profiling“ an, das nicht mehr auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden könne und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht.

Interessant ist auch die Auslegung der Vorschriften der DSGVO im Hinblick auf die Wechselwirkung mit dem UWG. Nach Auffassung der DSK sind

auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mit zu berücksichtigen.

Hinsichtlich der Bestandskundenwerbung (§ 7 Abs. 3 UWG) bestätigt die DSK, dass die damit verbundene Datenverarbeitung auf der Grundlage einer Interessenabwägung zulässig ist. Überwiegende schutzwürdige Interessen

sind insbesondere dann nicht gegeben, wenn die in § 7 Abs. 3 UWG enthaltenen Vorgaben für elektronische Werbung eingehalten werden.

Hinsichtlich der Telefonwerbung, für Anrufe bei Verbrauchern, weist die DSK darauf hin, dass das UWG (§ 7 Abs. 2 Nr. 2) keine Ausnahme vom Einwilligungserfordernis vorsieht. Hieraus leitet die DSK ab, dass

ein solches Nutzen von Telefonnummern ohne vorherige Einwilligung wegen der besonderen Auswirkungen dieser Werbeform (stärkere Belästigung/Störung) datenschutzrechtlich an den überwiegenden schutzwürdigen Interessen der betroffenen Personen gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO scheitert.

Es wird also deutlich, dass die DSK die wettbewerbsrechtlichen Anforderungen des UWG in die Interessenabwägung nach der DSGVO mit hineinliest. Diese Ansicht mag man nicht unbedingt teilen, etwa mit dem Argument, dass es sich um zwei verschiedene Gesetze und auch zugrundeliegende europäischen Gesetze handelt (einmal die RL 2002/58/EG und zum anderen DSGVO), die nebeneinander und voneinander getrennt anzuwenden und zu prüfen sind.

Daneben geht die DSK auch auf die nach Art. 13 und 14 DSGVO zu erteilenden Informationen ein. Hier weisen die Aufsichtsbehörden darauf hin, dass zwar grundsätzlich zum Zeitpunkt der Datenerhebung über alle Themen nach Art. 13 Abs. 1 und 2 DSGVO zu informieren ist. Allerdings bestehe nicht immer die Möglichkeit, der betroffenen Person alle Informationen auf einmal vollständig zu erteilen. In diesem Fall spricht sich die DSK für die Umsetzung eines zweistufigen Informationsmodells aus.

Hinsichtlich der Nachweisbarkeit einer Einwilligung empfehlen die Behörden, das Double-Opt-In-Verfahren zu nutzen. Wie der Nachweis inhaltlich gestaltet sein soll, geben die Behörden nicht vor. Jedoch weisen sie darauf hin, dass die Anforderungen des Art. 5 Abs. 2 DSGVO und des BGH (Urteil vom 10. Februar 2011, I ZR 164/09) bei der Protokollierung zu berücksichtigen sind.

Das bloße Abspeichern der IP-Adressen von Anschlussinhabern und die Behauptung, dass von diesen eine Einwilligung vorliege, genügen dem BGH nicht. Der Nachweis der Einwilligung erfordert mehr, z. B. die Protokollierung des gesamten Opt-In-Verfahrens und des Inhalts der Einwilligung.

Zuletzt möchte ich noch darauf hinwiesen, dass die Behörden auf den „Verfall“ von Einwilligungen eingehen. Die Aufsichtsbehörden weisen darauf hin, dass die Zivilgerichte

bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit“ sehen. Dazu wird auf das LG München I (Urteil vom 8. April 2010, Az. 17 HK O 138/10) verweisen).

Leider weisen die Aufsichtsbehörden in diesem Zusammenhang nicht auf ein aktuelleres Urteil des BGH (Urteil vom 1.2.2018 – III ZR 196/17) hin. In diesem Urteil entschied der BGH zu § 7 UWG:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Verwaltungsgericht: Facebook Custom Audience mit Kundenliste ist ohne Einwilligung unzulässig

Posted on by

Dass der Einsatz von Facebook Custom Audience aus datenschutzrechtlicher Sicht nicht unkritisch ist, dürfte seit einiger Zeit bekannt sein. Zuletzt hatte die bayerische Aufsichtsbehörde für Unternehmen, das BayLDA, im Oktober 2017 in einer Pressemitteilung darauf hingewiesen, dass Unternehmen in Bayern diesbezüglich überprüft wurden. Zudem stellte das BayLDA seine Sichtweise zur Zulässigkeit der verschiedenen Varianten des Werbe-Tools dar.

Die Variante „Facebook Custom Audience über die Kundenliste“ sieht das BayLDA nur als datenschutzrechtlich zulässig an, wenn Betroffene, deren Daten, u.a. auch die E-Mail-Adresse, gehasht an Facebook zum Abgleich mit Facebook-Nutzern weitergegeben wird, zuvor in die Verwendung der Daten für den werblichen Zweck eingewilligt haben.

Nachdem ein bayerisches Unternehmen, welches diese Variante von Facebook Custom Audience nutzte, vom BayLDA geprüft wurde und der Ansicht der Behörde nicht folgte, dass in diesem Fall die Einwilligung er Betroffenen erforderlich sei (diese lag nicht vor), erließ das BayLDA gegen das Unternehmen einen Bescheid, mit dem das Unternehmen verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die erstellten Custom Audiences (Kundenlisten) zu löschen.

Gegen diesen Bescheid ging das Unternehmen, zunächst im Wege des vorläufigen Rechtsschutzes, vor dem Verwaltungsgericht (VG) Bayreuth gerichtlich vor. Das Verwaltungsgericht entschied nun mit Beschluss v. 08.05.2018 – B 1 S 18.105, dass der Antrag des Unternehmens abgelehnt wird, da Sache die in der Hauptsache erhobene Klage Unternehmens voraussichtlich ohne Erfolg bleiben wird.

Oder kurz: das Gericht folgt der Auffassung des BayLDA („folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018“), dass der Einsatz der Variante von Facebook Custom Audience über das Hochladen von Kundenlisten in den eigenen Facebook Account des Unternehmens der vorherigen Einwilligung der Betroffenen bedarf.

Der Beschluss des VG ist sehr ausführlich und durchaus lesenswert. Insbesondere die Darstellung der verschiedenen Rechtspositionen und Begründungen der Parteien ist interessant.

Zudem noch ein Hinweis: der Beschluss erging auf Grundlage der alten Rechtslage vor dem 25.5.2018. Das heißt nicht, dass alle in dem Beschluss benannten Gründe und Erwägungen nun hinfällig wären. Denn wie wir wissen, unterscheidet sich die DSGVO gar nicht so sehr von dem alten BDSG. An der ein oder anderen Stelle, können sich meines Erachtens aber auch Unterschiede ergeben (Beispiel: die DSGVO kennt kein Listenprivileg für Werbezwecke, sondern benennt die Verarbeitung für Zwecke der Direktwerbung als ein mögliches berechtigtes Interesse; das alte BDSG definierte die Anonymisierung von Daten, die DSGVO jedoch nicht).

Nachfolgend möchte ich ganz kurz die Gründe des VG für seine Entscheidung aufführen:

  • Uber die verwendeten E-Mail-Adressen ist ein Personenbezug herstellbar. Durch den Vorgang des „Hashens“ werden die Daten nicht (i.S.v. § 3 Abs. 6 BDSG) anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen.
  • Bei der Übermittlung der gehashten E-Mail-Adressen der Kunden des Unternehmens an Facebook handelt es sich nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte und in der Folge eine Datenverarbeitung.
  • In der vorliegenden Sachverhaltsgestaltung ist nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs, der dann als Teil einer Auftragsdatenverarbeitung angesehen werden könnte, ist nicht zu erkennen.
  • Das Unternehmen kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ (§ 28 Abs. 3 Satz 2 BDSG (alt)) stützen. Bei E-Mail-Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind.
  • Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG (alt), da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält. Darüber hinaus wäre jedoch zusätzlich eine zugunsten des Unternehmens ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG (alt)), die jedoch hier zum Nachteil des Unternehmens ausgeht.
  • Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) (Interessenabwägung) kann die Übermittlung der (gehashten) E-Mail-Adressen nicht gerechtfertigt werden. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind die im § 28 Abs. 3 BDSG (alt) getroffenen Wertungen des Gesetzgebers zu berücksichtigen. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den Regelungen in § 28 Abs. 3 BDSG (alt) selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte.
  • Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Zu berücksichtigen ist daher auch, dass das Unternehmen die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten einzuholen.

Wie gesagt, sind einzelne Begründung aufgrund der neuen Rechtslage nicht per se übertragbar. Es zeigt sich aber insgesamt, dass das VG hier in allen entscheidenden Punkten der Argumentation des BayLDA folgt.

Besonders spannend ist für mich, aus juristischer Sicht, die Frage nach der Auftragsverarbeitung durch Facebook. Das VG verweist hier deutlich darauf, dass es nicht unbedingt auf den zwischen Facebook und dem Unternehmen abgeschlossenen Vertrag ankommt, sondern die faktischen Gegebenheiten entscheiden. Das bedeutet aber auch, dass es wohl faktische Gegebenheiten geben kann, in denen man Facebook durchaus als Auftragsverarbeiter des Unternehmens ansehen könnte.

Zu beachten zudem, dass sich diese Entscheidung nur auf eine Alternative des Werbe-Tools von Facebook bezieht. Daneben gibt es auch noch die Möglichkeit, ein Pixel des Netzwerkes in die eigene Webseite einzubinden (also keine Listen mit Kundendaten hochzuladen).

OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Posted on by

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.