AG München: Zeitlicher Ablauf von Newsletter-Einwilligungen – 4 Jahre Inaktivität nach Vertragsende führen zur Unwirksamkeit

Das AG München entschied in einem Urteil vom 14.02.2023 (Az. 161 C 12736/22), dass der Versand von E-Mail-Werbung wegen fehlender Einwilligung unzulässig sei, da diese Einwilligung infolge Zeitablaufs unwirksam wurde.

Sachverhalt

Der Kläger war bis zum Jahr 2017 Mitglied in einem Golfclub und im Rahmen dieser Mitgliedschaft wohl auch Inhaber eines Accounts bei der Beklagten. Zu diesem Zeitpunkt lag eine ausdrückliche Einwilligung in die Zusendung von Newslettern unstreitig vor. Gleichzeitig geht das AG davon aus, dass das Abonnement wohl an eine Mitgliedschaft in dem Golfclub gekoppelt war.

Nach Ende der Mitgliedschaft im Golfclub sendete die Beklagte dem Kläger keine Newsletter mehr zu, bis der Kläger zum Ende des Jahres 2021, nach Ende der Kooperation der Beklagten mit dem Deutschen Golf Verband, doch wieder einen Newsletter erhielt. Innerhalb der vergangen vier Jahre nutzte der Kläger weder seinen Account bei der Beklagten, noch erhielt er E-Mails.

Entscheidung des Gerichts

Das AG geht davon aus, dass die ursprünglich erteilte Einwilligung „angesichts der Umstände des Einzelfalls infolge Zeitablaufs nicht mehr wirksam“ war.

Das Gericht stellt dar, dass die Frage, ob und ab wann eine ursprünglich erteilte Einwilligung nicht mehr wirksam ist, in der Rechtsprechung und Literatur umstritten und bisher nicht abschließend geklärt sei. Hierzu zitiert das AG auch verschiedenste Ansichten in Rechtsprechung und Literatur.

Das AG bezieht sich in seinen Gründen vor allem auf das BGH-Urteil vom 01.02.2018 (Az. III ZR 196/17). Dort entschied der BGH, dass § 7 UWG eine zeitliche Begrenzung einer einmal erteilten Einwilligung nicht vorsieht. Daher erlischt eine Einwilligung grundsätzlich nicht durch Zeitablauf. In dem konkreten Fall hatte sich der BGH aber mit der Konstellation zu befassen, dass die streitgegenständliche Einwilligung ohnehin nur auf maximal 2 Jahre nach Vertragsbeendigung begrenzt war. Während dieses überschaubaren Zeitraums, so der BGH, könne bei einem Verbraucher, der seine Einwilligung im Rahmen des Vertragsschlusses erteilt, von seinem fortbestehenden Interesse in Erhalt der E-Mails ausgegangen werden.

Das AG musste nun aber zu einem etwas anderen Sachverhalt entscheiden: 4 Jahre waren nach Ende der Mitgliedschaft vergangen und zudem in dieser Zeit gar keine Newsletter versendet worden. Das AG stützt sich in seiner Begründung vor allem auf die vom BGH angeführten „fortbestehenden Interessen“ des Einwilligenden.

Selbst wenn man davon ausgeht, dass eine Einwilligung grundsätzlich zeitlich unbegrenzt gilt, so ist hier nach den Umständen des Einzelfalls nicht mehr von einem Fortbestehen der Einwilligung des Klägers auszugehen.“

Relevante Faktoren sind für das AG der lange Zeitraum von 4 Jahren, ohne Erhalt von Newslettern und fehlende Nutzung des Mitgliedskontos.

Aus diesen Gründen „durfte die Beklagte nicht davon ausgehen, die Einwilligung des Klägers bestehe fort. Sie hätte sich vielmehr zunächst erkundigen müssen, ob dies noch der Fall war“.

Fazit

2 Jahre nach Vertragsende ok, 4 Jahre zu lang? Das könnte man nun evtl. als Leitlinie mitnehmen, wenn es um die Frage der zeitlichen Wirksamkeit von Einwilligungen geht. Jedoch sollte man beachten, dass die Entscheidungen des BGH und hier des AG auf Sachverhaltsebene nicht deckungsgleich und daher auch nicht einfach aufeinander übertragbar sind. Insbesondere ist im Fall des AG nicht klar, wie die Einwilligung konkret ausgestaltet war (ob also, wie beim BGH, in dem Einwilligungstext selbst auf den Zeitraum der Verwendung für den Newsletter hingewiesen wurde).

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung

Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).

Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

Rechtsanwaltskammer Berlin: Tätigkeit als Datenschutzbeauftragter ist für den Rechtsanwalt grundsätzlich kein Nebenberuf, sondern ein Mandat

Anwälte als externe Datenschutzbeauftragte. Ein schon länger berufs- und steuerrechtlich diskutiertes Thema.

In beiden genannten Rechtsgebieten existieren nun auch höchstrichterliche Entscheidungen. Im Oktober 2018 entschied bereits der BGH (Urt. v. 15.10.2018 – AnwZ (Brfg) 20/18) u.a., dass die Tätigkeit als interner Datenschutzbeauftragter grundsätzlich die für eine Zulassung als Syndikusrechtsanwalt erforderlichen Tätigkeitsmerkmale erfülle und das Arbeitsverhältnis von diesen Merkmalen auch geprägt sein kann. Grund war insbesondere die gestiegene Komplexität des Datenschutzrechts auch im Zuge der Einführung der DSGVO. Das Amt des Datenschutzbeauftragten umfasse Tätigkeiten, welche die Merkmale anwaltlicher Tätigkeit nach § 46 Abs. 3 Nr. 1 bis 4 BRAO erfüllen.

Der Bundesfinanzhof (BFH) hat nun Anfang dieses Jahres zu der Frage entschieden (Urt. v. 14.1.2020 – VIII R 27/17), wie Umsätze eines als Datenschutzbeauftragter tätigen Rechtsanwalts steuerrechtlich einzuordnen sind. Nach Ansicht des BFH ist der Rechtsanwalt in Bezug auf seine Tätigkeit als externer Datenschutzbeauftragter gewerblicher Unternehmer i.S. des § 141 Abs. 1 AO. Der BFH geht davon aus, dass die Tätigkeit als Datenschutzbeauftragter weder eine dem Beruf des Rechtsanwalts vorbehaltene noch eine berufstypische Tätigkeit sei. Der BFH nimmt hierbei auch Bezug zum Urteil des BGH, verweist aber darauf, dass die Tätigkeit des (internen) Datenschutzbeauftragten zwar mit den für Rechtsanwälte geltenden berufsrechtlichen Vorschriften in Einklang steht. Dies aber für die steuerliche Qualifizierung der Tätigkeit als solche iSd § 18 EStG nicht maßgebend sei, wie der Umstand, dass eine Zulassung als Syndikusrechtsanwalt im Einzelfall möglich ist.

Man kann daher wohl aktuell folgendes Resümee ziehen: berufsrechtlich ist die Tätigkeit als Datenschutzbeauftragter zulässig. Die steuerrechtliche Beurteilung scheint, nach Ansicht des BFH, jedoch nicht zwingend gleichlaufen zu müssen. Umsätze können daher, auch bei der Tätigkeit als Anwalt, der Gewerbesteuer unterliegen. Insgesamt ist das, mit Blick auf die Rechtssicherheit, natürlich immer noch keine letztlich befriedigende Situation.

Besonders interessant ist vor diesem Hintergrund ein Beschluss des Vorstandes der Rechtsanwaltskammer Berlin vom 8. Mai 2019. Die RAK überträgt die vom BGH aufgestellten Grundsätze zur Einordnung des internen Datenschutzbeauftragten folgerichtig auf die des externen Datenschutzbeauftragten.

Nach Ansicht der RAK Berlin unterscheidet die BRAO

nicht zwischen einer anwaltlichen Tätigkeit des Syndikusrechtsanwalts und einer solchen des Rechtsanwalts. Der Gesetzgeber verfolgt ein einheitliches Berufsbild des Rechtsanwalts. Daher ist schon nach dem Wortlaut des Gesetzes zu schlussfolgern, dass Tätigkeiten, die für den Syndikusrechtsanwalt als anwaltliche gelten, auch anwaltliche Tätigkeiten für den Rechtsanwalt sind.

Daher geht die RAK (meines Erachtens zutreffend) davon aus, dass die Tätigkeit als Datenschutzbeauftragter für den Rechtsanwalt regelmäßig kein Nebenberuf ist, wenn er zugleich als Rechtsanwalt auftritt. Dieser Zusatz ist meines Erachtens wichtig. Diese Feststellung ist insbesondere für ein in der Vergangenheit diskutiertes Tätigkeitsverbot nach § 45 Abs. 1 Nr. 4 BRAO relevant, was, nach dem Beschluss der RAK Berlin, nicht vorliegen dürfte. Auch das Risiko eines Widerrufs der Zulassung nach § 14 Abs. 2 Nr. 8 BRAO besteht vor diesem Hintergrund wohl nicht mehr.

Es handelt sich grundsätzlich um ein Mandat, auf das das Berufsrecht Anwendung findet.

Die RAK weist auf das damals noch anhängige Verfahren am BFH und evtl. folgende steuer- und versicherungsrechtliche Auswirkungen hin.

Sehr aufschlussreich, mit weiterem Inhalt und Begründungen zu dem Beschluss, ist das Protokoll (PDF) zur Sitzung des Vorstandes der RAK. Unter anderem wird dort auch ausgeführt, dass ein Vorstandsmitglied die Auffassung des Berichterstatters bestätigt, dass auch bei einer abweichenden Entscheidung des BFH die Arbeit des externen Datenschutzbeauftragten als  anwaltliche Tätigkeit gewertet werden könne.

Eigentlich wäre diese Situation, dass zwei oberste Gerichtshöfe in einer Rechtsfrage unterschiedlicher Auffassung sind, nun ein Fall für den Gemeinsamen Senat der obersten Gerichtshöfe des Bundes. Dieser existiert, um die Einheitlichkeit der Rechtsprechung zu gewährleisten. Er entscheidet, wenn ein Senat eines obersten Gerichtshofs in einer Rechtsfrage von der Entscheidung eines Senats eines anderen obersten Gerichtshofs abweichen will. Dass der BFH, in Kenntnis der Entscheidung des BGH, jedoch keinen entsprechenden Vorlegungsbeschluss gefasst hat, wird man wohl so interpretieren können, dass der BFH gerade nicht von der Auffassung des BGH in berufsrechtlicher Sicht abweichen wollte.

Datenschutz im Automobilbereich: Datenschutzbehörde Baden-Württemberg zu den datenschutzrechtlichen Anforderungen der Produktbeobachtungspflicht durch Hersteller

Der Landesbeauftragte für den Datenschutz Baden-Württemberg berichtet in seinem aktuellen Tätigkeitsbericht (S. 94 ff., pdf) unter anderem über die Ergebnisse einer Prüfung der Einhaltung datenschutzrechtlicher Voraussetzungen durch Autowerkstätten.

In diesem Zusammenhang befasst sich der Landesdatenschutzbeauftragte auch mit den datenschutzrechtlichen Anforderungen, die bei der einem Hersteller obliegenden Pflicht zur Produktüberwachung/Produktbeobachtung von Fahrzeugen zu beachten sind.

Die Ansicht der Aufsichtsbehörde:

Die datenschutzrechtliche Grundlage für die Datenverarbeitung der erforderlichen Fahrzeugdaten für die Produktüberwachung/Produktbeobachtung und für eventuelle Rückrufaktionen ist Artikel 6 Absatz 1 Buchstabe c DS-GVO.

Nach Auffassung der Aufsichtsbehörde liegt hier die Erfüllung einer rechtlichen „Verpflichtung des Automobilherstellers aus dem Produkthaftungsgesetz“ vor.

Das deutsche Produkthaftungsgesetz basiert auf den Regelungen der Richtlinie 85/374/EWG. Im Produkthaftungsgesetz findet sich jedoch keine ausdrückliche Regelung oder Pflicht zur Beobachtung des Produktes im Markt. Die Produkthaftung ist verschuldensunabhängig ausgestaltet.

Die Produktbeobachtungspflicht wird in Deutschland durch die Rechtsprechung schon seit langem als eine Verkehrssicherungspflicht des Herstellers anerkannt, die jedoch nicht an das Produkthaftungsgesetz anknüpft, sondern Teil der sog. Produzentenhaftung ist. Diese deliktsrechtliche Haftung gründet sich auf dem Prinzip, dass derjenige, der eine Gefahrenquelle eröffnet oder beherrscht, für diese verantwortlich ist. Auch nach Inverkehrgabe des Produkts ist der Hersteller verpflichtet, die Bewährung seines Produkts in der Praxis zu verfolgen.

Die Datenschutzbehörde scheint diese, aus den allgemeinen Haftungsregeln des Zivilrechts entwickelte, Pflicht als Anknüpfungspunkt für die Zulässigkeit der für die Beobachtung des Produkts erforderliche Datenverarbeitung anzusehen.

Meiner Ansicht nach ist die Auffassung im Ergebnis richtig. Auch wenn die Rechtsgrundlage der Datenverarbeitung möglicherweise eher die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist (oder zusätzlich als Rechtsgrundlage herangezogen werden kann). Hersteller sind zivilrechtlich dazu verpflichtet, ihre Produkte im Markt zu beobachten. Hierfür müssen und dürfen sie auch Daten verarbeiten. Mit meinem Kollegen und Partner Philipp Reusch habe ich genau zu diesem Thema „Internet der Dinge: Datenschutzrechtliche Anforderungen bei der Produktbeobachtung“ vor 2 Jahren einen Fachbeitrag in der Zeitschrift BetriebsBerater (15/16, 2017, 841) veröffentlicht.

Daneben müssen Hersteller natürlich beachten, dass auch die übrigen Pflichten der DSGVO zu beachten sind, wenn personenbezogene Daten verarbeitet werden. Insbesondere gehören hierzu die Informationspflichten nach Art. 13 bzw. 14 DSGVO.

 

Gesetzentwurf: Grüne wollen Schufa und Co. strenger regulieren

Die Fraktion BÜNDNIS 90/DIE GRÜNEN hat im Bundestag ein Gesetz zur „Verbesserung der Transparenz und der Bedingungen beim Scoring (Scoringänderungsgesetz, PDF)“ eingebracht. Mit diesem Gesetz zur Änderung verschiedener Vorgaben des Bundesdatenschutzgesetzes (BDSG) möchte die Fraktion laut der Gesetzesbegründung

„insbesondere die Transparenz des statistischen Analyseverfahrens beim Scoring“

grundlegend verbessern werden.

Die Ausgangslage
Der Gesetzesentwurf referenziert unter anderem auf eine Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der GP Forschungsgruppe aus dem Jahre 2014. Beeinflusst ist der Gesetzesentwurf freilich auch durch ein Urteil des Bundesgerichtshofs (BGH) aus dem Jahre 2014 (VI ZR 156/13), in dem es um den Auskunftsanspruch von Prsonen gegenüber der SCHUFA ging und das Gericht entschied, dass

die sogenannte Scoreformel, also die abstrakte Methode der Scorewert berechnung

der Auskunft suchenden Person nicht mitzuteilen ist. Ebenso wenig erstrecke sich der Auskunftsanspruch auf solche Inhalte der Scoreformel, die als Geschäftsgeheimnisse schützenswert sind.

Der Gesetzesentwurf
Nachfolgend möchte ich knapp auf einige Änderungsvorschlage des Gesetzesentwurfs eingehen.

Es soll eine generelle Pflicht der Vorabkontrolle beim Angebot von Scoringverfahren eingefügt werden (§ 4d Abs. 5 S. 2 BDSG-E). Diese Pflicht soll, anders als die bestehende Vorabkontrollverpflichtung, unabhängig davon bestehen, ob eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Zuständig für die Vorabkontrollen ist innerhalb von Unternehmen, wie auch jetzt, der Datenschutzbeauftragte.

Die Informationspflichten im Rahmen der Meldepflicht (und damit des Verfahrensverzeichnisses) sollen um einen neuen Punkt erweitert werden (§ 4e Abs. 1 Nr. 10 BDSG-E). Nach der Nr. 10 sollen im Fall des Scoring „eine Beschreibung des wissenschaftlich anerkannten mathematischstatistischen Verfahrens sowie Angaben zu § 28b Nummer 4“ erfolgen. Nach dem Gesetzesentwurf liegt der Zweck der Meldung darin, die eine Prüfung der Zulässigkeit der beabsichtigten Verfahren zu ermöglichen. Nicht erwähnt wird in dem Entwurf jedoch eine Anpassung von § 4g Abs. 2 S. 2 BDSG, wonach der Datenschutzbeauftragte nur die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar machen muss. Informationen zum anerkannten mathematischstatistischen Verfahren sollen also nicht im öffentlichen Verfahrensverzeichnis erwähnt werden.

Natürlich soll auch der § 28b BDSG geändert werden, der derzeit die Zulässigkeit von Scoring-Verfahren regelt. § 28 BDSG gibt vor, was zur Berechnung des Wahrscheinlichkeitswertes genutzt und nicht genutzt werden darf. Nach dem neuen § 28b Abs. 1 Nr. 4 BDSG-E darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn

für die Berechnung des Wahrscheinlichkeitswerts zum Zwecke der Bonität keine Anschriftendaten, Daten aus sozialen Netzwerken, Daten aus Internetforen, Angaben zur Staatsangehörigkeit, zum Geschlecht, zu einer Behinderung oder Daten nach § 3 Absatz 9 genutzt werden.

Explizit soll also eine Verwendung von besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) ebenso ausgeschlossen werden, wie ein Rückgriff auf Informationen aus „sozialen Netzwerken“ und „Internetforen“. Der Praktiker wird sich fragen: Was ist damit gemeint? Die Begründung definiert „Soziale Netzwerke“ und “Internetforen“ als

Plattformen, auf denen z.B. Kontakte, Meinungen, Interessen und das Einkaufsverhalten der betroffenen Personen mitgeteilt werden.

Plattformen auf denen Meinungen und Interessen mitgeteilt werden. Man möchte sich gar nicht ausmalen, was man (bei einer weiten Auslegung) alles hierunter fassen könnte.

Zudem soll eine neue § 28b Abs. 1 Nr. 5 BDSG-E eingefügt werden. Die Verwendung des Wahrscheinlichkeitswertes wird davon abhängig gemacht, dass

der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung seiner Daten schriftlich unterrichtet worden ist. Die Unterrichtung ist zu dokumentieren. Soll die Unterrichtung zusammen mit anderen Erklärungen erfolgen, ist sie besonders hervorzuheben.

Dies bedeutet: bevor überhaupt irgendeine Datenverarbeitung hinsichtlich des Wahrscheinlichkeitswertes beginnen kann, muss der Betroffene schriftlich(!) informiert werden. Dies soll auch innerhalb von AGB möglich sein, jedoch dann deutlich hervorgehoben. Hier grüßt meines Erachtens der Medienbruch. Denn in dem bisher geltenden § 28b Nr. 4 BDSG ist auch allein von „Unterrichtung“ die Rede. Schriftlich muss diese nicht erfolgen.

Zudem soll ein neuer § 28b Abs. 2 BDSG-E vorgeben, dass das wissenschaftlich anerkannte mathematisch-statistische Verfahren muss dem Stand der Wissenschaft und Forschung entsprechen muss. Wie genau dieser Stand aussieht, dies überlässt der Gesetzesentwurf der Bundesregierung, die hierzu durch eine Rechtsverordnung mit Zustimmung des Bundesrats Vorgaben machen kann.

Auch die Weite des Auskunftsanspruchs soll vergrößert werden. Nach dem neuen § 34 Abs. 2 S. 1 Nr. 2 BDSG-E ist Auskunft zu erteilen, über

die verwendeten Einzeldaten, die Gewichtung der verwendeten Daten, die verwendeten Vergleichsgruppen und die Zuordnung der betroffenen Personen zu den Vergleichsgruppen, die in die Berechnung des Wahrscheinlichkeitswerts einfließen.

Ein solcher Umfang des Auskunftsanspruches ist derzeit nicht vorgesehen.
U
nd noch eine weitere wichtige Änderung soll im Rahmen des Auskunftsanspruchs geregelt werden. § 34 Abs. 2 S. 2 BDSG-E sieht vor, dass der Zugang zu diesen Informationen nicht

unter Berufung auf das Betriebs- und Geschäftsgeheimnis abgelehnt werden“

kann. Diese Änderung referenziert direkt auf das oben erwähnte Urteil des BGH, mit dem die Verfasser des Gesetzentwurfs nicht einverstanden sind und folglich eine gesetzgeberische Anpassung vorschlagen. Interessant ist folgende Klarstellung in der Gesetzesbegründung:

Verlangt werden kann nicht die Offenlegung … des zugrunde liegenden Algorithmus.

Ein berechtigtes Geheimhaltungsinteresse der Unternehmen erkennt der Gesetzesentwurf nicht an. Auch ein unzulässiger Eingriff in das Grundrecht auf Berufsfreiheit in Art. 12 Abs. 1 GG der Scoring-Verwender lehnt die Gesetzesbegründung ab.

Der Gesetzesentwurf sieht noch weitere Änderungen vor. Unter anderem soll eine jährliche Auskunftspflicht (!) der Auskunfteien eingeführt werden.

Zudem soll eine Pflicht für die zuständigen Landesdatenschutzbehörden eingeführt werden, Unternehmen, die Scoring-Verfahren verwenden, mindestens einmal jährlich zu kontrollieren (§ 38 Abs. 1 S. 2 BDSG-E). Hierbei handelt es sich um eine „Sollpflichtprüfung“. Dies bedeutet, dass die Aufsichtsbehörden grundsätzlich prüfen müssen, es sei denn es liegen besondere Umstände vor. Bei der derzeitigen Ausstattung (finanziell als auch personell) der Behörden, darf man sich doch die Frage stellen, inwieweit eine solche Pflicht eventuell weite Teile einer Behörde binden und damit lähmen könnte. Denn eine Prüfung sollte wenn sie denn schon durchgeführt wird doch umfassend erfolgen und nicht etwa als eine Art „Feigenblatt“ dienen. Dies erfordert dann aber auch einigen Einsatz an Personal und Zeit.

Fazit
Es bleibt abzuwarten, inwieweit der vorliegende Gesetzesentwurf im Gesetzgebungsverfahren noch Änderungen erfahren wird und ob sich die Opposition hier gegenüber der Koalition durchsetzen kann. Zudem muss freilich auf die sich bereits abzeichnende Einigung bei der Datenschutz-Grundverordnung hingewiesen werden, die dann Gesetzesnormen schafft, die den hier entstehenden Regelungen grundsätzlich vorgehen.

Markenrecht: Schützt das Bankgeheimnis vor Ansprüchen des Rechteinhabers?

In Deutschland existiert kein (zumindest kein unmittelbar) gesetzlich festgeschriebenes Bankgeheimnis. Nach § 383 Abs. 1 Nr. 6 ZPO sind jedoch Bankinstitute unter Umständen berechtigt, in Zivilprozesse die Auskunft über bestimmt Informationen zu verweigern (den Bankinstituten steht ein Zeugnisverweigerungsrecht zu). Daher spricht man zumindest von einem „mittelbar“ existierenden Bankgeheimnis.
Doch wie verhält sich das Bankgeheimnis zu Rechtsansprüchen von Dritten, die diese gegenüber Kunden der Bank besitzen und durchsetzen möchten, dazu jedoch Gewissheit erlangen müssen, wer der Inhaber eines Bankkontos ist?

Einen solchen Fall hat der Bundesgerichtshof (BGH) im Jahre 2013 dem Europäischen Gerichtshof (EuGH) zur Beantwortung vorgelegt (Rechtssache C-580/13). Hierüber hatte der Kollege Thomas Stadler in seinem Blog berichtet.

Worum geht es: Der exklusive Lizenzinhaber einer Marke (an dem Parfum „Davidoff Hot Water“) kaufte auf einer Internetauktionsplattform einen gefälschten Parfumflakon. Den Preis hierfür zahlte der Lizenzinhaber auf ein Bankkonto bei einer Sparkasse ein. Nachdem der Inhaber des Verkäuferkontos angab, nicht den in Rede stehenden Verkauf getätigt zu haben, wandte sich der Lizenzinhaber an die Sparkasse, um zu erfahren, wer denn hinter dem Bankkonto steckt. Damit machte der Lizenzinhaber einen gesetzlich in § 19 Abs. 2 MarkenG festgeschriebenen Auskunftsanspruch geltend, der wiederum auf Art. 8 der europäischen Richtlinie 2004/48 (PDF) beruht. Die Sparkasse weigerte sich, mit Verweis auf § 383 Abs. 1 Nr. 6 ZPO, die Auskunft zu erteilen.

Das Urteil des EuGH steht noch aus, jedoch hat nun der zuständige Generalanwalt am EuGH seine Stellungnahme abgegeben und seine Entscheidungsempfehlung ausgesprochen. Kurz gesagt: die vorbehaltlose Verweigerung der Auskunftserteilung mit Verweis auf das Bankgeheimnis ist ohne eine gerichtliche Prüfung nicht mit EU-Recht vereinbar.

Art. 8 RL 2004/48 sieht vor, dass die Mitgliedstaaten sicherstellen müssen, „dass die zuständigen Gerichte im Zusammenhang mit einem Verfahren wegen Verletzung eines Rechts des geistigen Eigentums auf einen begründeten und die Verhältnismäßigkeit wahrenden Antrag des Klägers hin anordnen können, dass Auskünfte über den Ursprung und die Vertriebswege von Waren oder Dienstleistungen, die ein Recht des geistigen Eigentums verletzen, von dem Verletzer und/oder jeder anderen Person erteilt werden“. Diese Auskunft erstreckt sich auch auf Namen und Adresse der Vertreiber und Verkaufsstellen.

Nach Ansicht des Generalanwalts hat die Weigerung der Auskunftserteilung durch die Sparkasse die Einschränkung von zwei europäischen Grundrechten zur Folge: das Recht auf geistiges Eigentum (Art. 17 Abs. 2 der Charta der Grundrechte der Europäischen Union) und das Recht auf einen wirksamen Rechtsbehelf nach Art. 47 der Charta, welches gerade ein notwendiges Instrument zum Schutz des ersteren Grundrechts darstellt. Auf Seiten des Bankinstituts stehe hingegen das Recht der Bankkunden auf Schutz personenbezogener Daten (Art. 8 der Charta), welches die Bank durch das Bankgeheimnis zumindest mittelbar zu schätzen versuche.

Art. 52 Abs. 1 der Charta enthält die Voraussetzungen, unter denen die Einschränkung eines Grundrechts rechtmäßig erfolgen kann. Die Grundrechtseinschränkung muss gesetzlich vorgesehen sein, den Wesensgehalt der betroffenen Rechte und Freiheiten achten und schließlich geeignet und erforderlich sein, um die verfolgte Zielsetzung zu erreichen, sowie dem Grundsatz der Verhältnismäßigkeit entsprechen.

Art. 52 Abs. 1 der Charta bestimmt außerdem, dass die Grundrechtseinschränkung den „Wesensgehalt“ des oder der betroffenen Grundrechte achten muss. Hier bestehen für den Generalanwalt „die größten Zweifel“ vor allem hinsichtlich des Rechts des Lizenznehmers auf einen wirksamen Rechtsbehelf.

Die Wirksamkeit des Rechtsschutzes, den die Lizenznehmerin der verletzten Marke verlangt, scheint in Deutschland unter Umständen wie im vorliegenden Fall ausschließlich davon abzuhängen, dass das Bankinstitut, von dem die Auskunft begehrt wird und das vertraglich gegenüber seinen Kunden zur Verschwiegenheit verpflichtet ist, aus welchem Grund auch immer darauf verzichtet, vom Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO Gebrauch zu machen.

Des Weiteren prüft der Generalanwalt, ob es unter den Umständen des vorliegenden Falles geeignet, erforderlich und verhältnismäßig ist, den Lizenznehmer unter Hinweis auf das Bankgeheimnis die Ausübung seines Rechts auf einen wirksamen Rechtsbehelf zu versagen.

Von besonderer Bedeutung ist für den Generalanwalt die Frage, ob die Einschränkung der Grundrechte erforderlich ist. Die Einschränkung der Grundrechte sei hier nur dann erforderlich, wenn der verfolgte Zweck (Schutz der Kundendaten durch die Bank) nicht auch durch eine Maßnahme erreicht werden kann, die diese Rechte in geringerem Maß einschränkt. Insoweit müsse nach dem Generalanwalt geprüft werden, ob die Daten, die von der Sparkasse verlangt werden, möglicherweise auf einem anderen Weg oder aus einer anderen Quelle als über das Bankinstitut erlangt werden können. In jedem Fall müsse das nationale Gericht im Rahmen dieser Verhältnismäßigkeitsprüfung alle betroffenen Grundrechte berücksichtigen und in der Folge eine Abwägung kollidierender Grundrechte vornehmen.

Abmahnung bei Datenschutzverstößen: Bundesrat nimmt Stellung und will noch mehr (Update)

Am 4. Februar 2015 hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Ich berichtete hierzu im Blog. Im Rahmen des ordentlichen Gesetzgebungsverfahrens, hat sich nun auch der Bundesrat mit dem Gesetzesentwurf zu befassen und wird auf seiner nächsten Sitzung am 27. März 2015 über die eigenen Empfehlungen hierzu beraten.

Die Empfehlungen des federführenden Rechtsausschusses, des Ausschusses für Agrarpolitik und Verbraucherschutz, des Ausschuss für Innere Angelegenheiten und des Wirtschaftsausschusses wurden nun veröffentlicht (BR-Drs. 55/1/15, PDF) und bergen einige Überraschungen. Das Dokument enthält die Vorschläge jedes Ausschusses und es werden nicht alle dort aufgeführten Vorschläge in die finale Stellungnahme des Bundesrates aufgenommen, da sich die Vorschläge teilweise auch ausschließen. Dennoch möchte ich nachfolgend auf einige der Empfehlungen der Ausschüsse eingehen, gerade weil auch völlig neue Vorschläge gemacht werden.

Kein genereller Anspruch auf Beseitigung
Der Wirtschaftsausschuss gibt zu bedenken (Ziff. 5), dass bislang kein Bedarf für einen Beseitigungsanspruch im Unterlassungsklagengesetz (UKlag) gesehen wurde und dieser nun im Rahmen des Gesetzesentwurfs neu eingeführt werden soll. Sollte der Beseitigungsanspruch generell und nicht nur spezifisch für Verstöße gegen das Datenschutzrecht eingeführt werden, bestünde vielmehr die Gefahr, dass die Unternehmen in diesem Bereich weitgehenden Forderungen ausgesetzt werden, deren finanzieller und organisatorischer Aufwand in keinem Verhältnis zu der begangenen Verletzung des Verbraucherschutzes stünden.

Erweiterung des Verletzungstatbestandes in § 2 Abs. 2 S. 1 Nr. 11 UKlaG
Der Ausschuss für Agrarpolitik und Verbraucherschutz schlägt vor (Ziff. 6), den Wortlaut der vorgeschlagenen Nr. 11 auf jenen des ursprünglichen Referentenentwurfs zu ändern und damit zu erweitern. Es soll dann heißen:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Dem Ausschuss für Verbraucherschutz ist dabei ein Dorn im Auge, dass der Gesetzesentwurf der Bundesregierung den Anwendungsbereich der Nr. 11 grundsätzlich auf Vorschriften beschränkt, „welche die Zulässigkeit regeln“. Zur Begründung führt der Ausschuss aus, dass insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) erfasst werden sollten. Auch die Beschränkung der vorgeschlagenen Nr. 11 auf Datenverarbeitungen zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken kritisiert der Ausschuss.

Im Ergebnis strebt man hier also erneut jene unbestimmte Ausweitung der Vorschrift an, die bereits nach Veröffentlichung des Referentenentwurfs kritisiert und im Gesetzesentwurf folgerichtig nicht übernommen wurde.

Dieser Vorschlag des Ausschusses für Verbraucherschutz konkurriert mit einem Vorschlag des Ausschuss für Wirtschaft (Ziff. 7), der darum bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie die datenschutzrechtlichen Vorschriften, die für eine Verbandsklage in Betracht kommen sollen, konkretisiert und weiter eingegrenzt werden können. Der im Gesetzesentwurf verwendete Begriff der „vergleichbaren kommerziellen Zwecke“ erscheint nämlich zu weitgehend. Denn haben Unternehmen Kontakt mit Verbrauchern, ist eigentlich per se von einer kommerziellen Verarbeitung von Daten auszugehen. Wäre dann also praktisch jede Datenverarbeitung eines Unternehmens mit Bezug zu einem Verbraucher eine solche für „vergleichbare kommerzielle Zwecke“? Der Anwendungsbereich ist für den Wirtschaftsausschuss damit unklar und stellt für die Unternehmen eine Rechtsunsicherheit dar.

Gefahr paralleler Rechtstreitigkeiten durch Verbraucherverbände und Datenschutzbehörden
Der Innen- als auch der Wirtschaftsausschuss (Ziff. 11) möchten im weiteren Gesetzgebungsverfahren die Pflicht für Gerichte zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen ergänzen. Danach soll die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung unterrichtet und angehört werden. Die Datenschutzbehörden besitzen schließ0lich auch einen gesetzlichen Beratungsauftrag, auch für Unternehmen (§ 38 Abs. 1 S. 2 BDSG). Dieser Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden nach Ansicht der beiden Ausschüsse erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren hätten.

Neu: Einführung eines allgemeinen Koppelungsverbots im BDSG
Sowohl der Rechtsausschuss als auch der Innenausschuss (Ziff. 12) schlagen völlig unabhängig von dem ursprünglichen Gesetzesentwurf eine Anpassung des § 28 Abs. 3b BDSG vor. Es soll ein allgemeines Koppelungsverbots im Datenschutzrecht eingeführt werden. Derzeit sieht § 28 Abs. 3b BDSG noch vor, dass die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen abhängig machen darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Der letzte Teil des Satzes soll nun jedoch gestrichen werden: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen.“

Die mit diesem Vorschlag für die Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit der Unternehmen erscheint für die Ausschüsse gerechtfertigt. Der Vorschlag zur entsprechenden Anpassung des BDSG ist jedoch nicht neu. Bereits im Rahmen der letzten BDSG-Novelle wurde ein solches allgemeines Kopplungsverbot durch den Bundesrat vorgeschlagen (BR-Drs. 4/09), jedoch am Ende nicht in das Gesetz aufgenommen.

Neu: Auskunftsrecht für Betroffene von Persönlichkeitsrechtsverletzungen
Der Rechtsausschuss schlägt zudem apart von den Anpassungen des Gesetzesentwurfs vor (Ziff. 15), dass im weiteren Gesetzgebungsverfahren geprüft werden möge, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs (BGH) vom 1. Juli 2014 (Az. VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann. Der BGH hatte in diesem Urteil entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (hierzu der Kollege Thomas Stadler in seinem Blog). Der Portalbetreiber als Dienstanbieter i. S. d. TMG ist nach der Rechtsprechung daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Für den Rechtsausschuss ist das Fehlen des Auskunftsanspruchs bedenklich und stellt eine Regelungslücke dar, welche durch den Gesetzgeber geschlossen werden muss.

Fazit
Die Ausschüsse im Bundesrat scheinen den Gesetzesentwurf genutzt zu haben, um nicht nur an dem Entwurf selbst inhaltlich Anpassungen vorzuschlagen, sondern auch noch weitere datenschutzrechtliche Themen, die eventuell schon etwas länger auf der gesetzgeberischen To-Do-Liste stehen, in das Gesetzgebungsverfahren einzuführen. Ob ein solches Vorgehen, unabhängig von der inhaltlichen Diskussion, in jeder Hinsicht begrüßenswert erscheint, mag man positiv oder negativ beantworten. Innenminister de Maizère hat erst letzte Woche angekündigt, dass man die Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) bis Juni im Rat abschließen möchte, um dann die Verhandlungen mit dem Parlament und der Kommission aufzunehmen. Wenn dann etwa im Jahre 2015 die Datenschutz-Grundverordnung verbindliches Recht in Europa wird, so müssen sich deutsche Regelungen zum Datenschutz an diesen Vorgaben messen lassen und werden aufgrund des Vorrangs des EU-Rechts im Zweifel unwirksam sein. Auch in der DS-GVO soll es etwa Vorgaben für ein Verbandsklagerecht von Verbraucherorganisationen geben. Die genauen Voraussetzungen und die Reichweite des Klagerechts ist derzeit aber noch umstritten. Bestehende deutsche Regelungen, die nun auf die schnelle noch ins Gesetz gegossen werden, würden dann jedoch ihre Wirksamkeit verlieren. Man würde also gesetzliche Vorgaben mit bereits jetzt bekannter Haltbarkeit schaffen. Der Sinn hinter einem solchen Vorgehen erschließt sich mir nicht unbedingt.

Update vom 27.3.2015:
Heute hat der Bundesrat über die oben erwähnten Ausschussempfehlungen abgestimmt. In der angenommenen Stellungnahme des Bundesrates (BR-Drs. 55/15(B)) sind die von mir oben angesprochenen Änderungswünsche, insbesondere die „Rückkehr“ zum Referentenentuwrf, das Kopplungsverbot und der Vorschlag zur Einführung eines Auskunftsanspruchs im TMG, enthalten. Es bleibt abzuwarten, wie und ob die vom Bundesrat vorgeschlagenen Änderungen im weiteren Gesetzgebungsverfahren Bestand haben werden.

IT-Sicherheitsgesetz: Bundesrat übt Kritik und sieht Gefahr der Vorratsdatenspeicherung

Im Dezember 2014 hat die Bundesregierung den Entwurf für das sog. IT-Sicherheitsgesetz beschlossen. Der Gesetzesentwurf (PDF) sieht vor allem Änderungen im BSI-Gesetz vor und möchte den Betreibern „kritischer Infrastrukturen“ gewisse Pflichten zum Schutz der informationstechnischen Systeme auferlegen. In diesem Zuge werden jedoch auch Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) geändert. Zu den möglichen Änderungen für Webseitenbetreiber hatte ich bereits einen Beitrag geschrieben.

Nun hat der für das IT-Sicherheitsgesetz im Bundesrat federführend zuständige Ausschuss für Innere Angelegenheiten seine Empfehlungen zu möglichen Anpassungen des Gesetzesentwurfs vorgelegt (PDF).

Präzisierung für mehr Rechtssicherheit
Laut der Beschlussempfehlung begrüßt der Bundesrat die „Initiative der Bundesregierung zur Verbesserung der IT-Sicherheit von Unternehmen und zum verstärkten Schutz der Bürgerinnen und Bürger im Internet“. Jedoch sieht die Empfehlung des Ausschusses auch vor, dass der Bundesrat im weiteren Gesetzgebungsverfahren dafür Sorge tragen soll, dass zur Schaffung von Planungs- und auch Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen erfolgt. Laut der Empfehlung gilt dies vor allem für die Begriffe „Kritische Infrastrukturen“, die Definition der Meldeschwelle für Telekommunikationsunternehmen und den Begriff „Stand der Technik“. Gerade eine Einstufung als Betreiber einer kritischen Infrastruktur könne nämlich gravierend wirtschaftliche Folgen nach sich ziehen.

Regelungen zum Schutz der Meldedaten

Zudem sieht die Empfehlung vor, dass der Bundesrat darauf achten möge, „dass eindeutige und transparente Regelungen getroffen werden, die einen angemessenen Schutz und eine sinnvolle Verwendung der umfangreichen Datenmengen sicherstellen“, die das BSI aufgrund der vorgesehenen Meldepflicht erhält. Laut der vorgeschlagenen Begründung des Ausschusses zu seiner Empfehlung beantwortet der Gesetzentwurf nicht die Frage, wie das BSI mit diesen Datenmengen in Zukunft umgehen will.

Gefahr der Vorratsdatenspeicherung
Nach dem im Gesetzentwurf vorgeschlagenen § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die gesetzliche Erlaubnis erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen“ zu erheben und zu verwenden. Der federführende Ausschuss ist hier in seiner Empfehlung klar:

Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

(Hervorhebung durch mich)

Der Ausschuss erkennt in dieser Möglichkeit der Speicherung von Nutzungsdaten jedoch keine Verbesserung der Informationssicherheit. Vielmehr geht er davon aus, dass die Speicherung

zu einer weiteren Gefahrenquelle werden

könnte.

IT-Sicherheitsgesetz: Telemedienanbieter dürfen anlasslos speichern

Heute wurde der Referentenentwurf des Bundesinnenministeriums für ein IT-Sicherheitsgesetz (IT-SG) veröffentlicht (PDF). Viele der dort beschriebenen Änderungen beziehen sich auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Jedoch sollen auch Änderungen am Telemediengesetz (TMG) vorgenommen werden. Eine dieser Änderungen betrifft die anlasslose Erhebung und Speicherung von Nutzungsdaten. Hierzu soll ein neuer § 15 Abs. 9 TMG-E (S. 18) eingefügt werden.

Hier der Wortlaut:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 gilt entsprechend.

Dieser Vorschlag ist nicht neu. Bereits im Jahre 2009 sah der Gesetzentwurf für ein Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BT Drs. 16/11967, PDF) die Ergänzung des TMG um eine identische Regelung vor. Damals wurde die Gesetzesänderung jedoch am Ende nicht vorgenommen. Der Grund: die Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs (so die Beschlussempfehlung und der Bericht des Innenausschusses, BT Drs. 16/13259, PDF).

Nun soll die bereits 2009 anvisierte Änderung doch kommen. Und das ist grundsätzlich auch zu begrüßen. Sinn und Zweck der neuen Vorschrift ist es laut der Begründung zum IT-SG, dass Diensteanbieter die Möglichkeit haben müssen, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen zu erkennen, um entsprechende Schutzmaßnahmen ergreifen zu können (S. 51). Telemediendiensteanbieter sollen in die Lage versetzt werden, rechtmäßig für den Zweck Daten erheben und verwenden zu können, um Angriffe (Denial of Service, Schadprogramme, Veränderung ihrer Werbeangebote von außerhalb) abwehren zu können.

Inhaltlich bezieht sich die geplante Regelung auf Nutzungsdaten (definiert in § 15 Abs. 1 TMG). Hierzu gehören insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Umfasst hiervon ist z. B. auch die IP-Adresse (sei es nun eine solche, die dynamisch oder statisch vergeben wird).

Erlaubt soll die Erhebung und Verwendung der Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen der genutzten technischen Einrichtungen sein. Die Begründung des Referentenentwurfs gibt auch vor, was aus gesetzgeberischer Sicht auf jeden Fall erforderlich ist: die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten.

Die Erlaubnis des neuen § 15 Abs. 9 TMG-E bezieht sich unter anderem auf das „Erkennen“ von Störungen. Die Erhebung und Verwendung der Daten ist daher nicht erst erlaubt, wenn ein Angriff stattgefunden hat und seine Auswirkungen eintreten. Bereits zum Erkennen von Störungen, also proaktiv, soll die Speicherung der Nutzungsdaten erlaubt sein. Die Gesetzesbegründung des IT-SG trennt ausdrücklich zwischen dem „Erkennen“ und einer nachfolgenden „Abwehr“ von Angriffen. Für die Erlaubnis, bereits proaktiv Nutzungsdaten speichern zu können, spricht auch der Verweis in der Gesetzesbegründung auf § 100 Abs. 1 TKG. Zu dieser Vorschrift hat der BGH erst kürzlich entschieden, dass gegen eine proaktive Speicherung von (dort: dynamischen) IP-Adressen durch Telekommunikationsanbieter für eine Woche keine Bedenken bestehen (vgl. die Meldung bei Heise). Auch im TKG spricht das Gesetz, wie nun in der vorgeschlagenen Anpassung des TMG, vom „Erkennen“ von Störungen oder Fehlern.

Die Frage, welche sich freilich zwangsläufig stellen wird, ist diejenige nach der erlaubten Dauer der Speicherung. Die Gesetzesbegründung spricht von „kurzfristig“, ohne konkretere Vorgaben zu machen. Durch den vorgenommenen Verweis auf § 100 Abs. 1 TKG wird eine einwöchige Speicherung vor dem Hintergrund der aktuellen Rechtsprechung sicherlich erlaubt sein. Der Begriff „kurzfristig“ ist aber meines Erachtens nicht auf diese eine Woche beschränkt. Auch eine längere Speicherung erscheint durchaus möglich. Gerade wenn man sich vor Augen führt, dass die Speicherung grundsätzlich unter der Bedingung der Erforderlichkeit steht. Was jedoch erforderlich ist, um einen Angriff zu erkennen oder abzuwehren, wird sich kaum pauschal für alle Situationen festlegen lassen. Es erscheint daher durchaus möglich, dass die „kurzfristige“ Speicherung auch mehr als eine Woche umfasst.

Die vorgeschlagene Regelung ist nach meinem Dafürhalten richtig und wichtig. Kritiker werden sicher bemängeln, dass auf diesem Wege zumindest eine kleine Vorratsdatenspeicherung im TMG Einzug erhält. Auch hier lässt sich jedoch auf die Argumentation des Bundesgerichtshofs im oben benannten Urteil verweisen. Die Zwecke, warum Daten gespeichert und für welche Zwecke sie genutzt werden dürfen, sind in dem Gesetz aber klar umrissen. Es geht nicht um eine Speicherung für eine spätere Verwendung durch Sicherheitsbehörden. Natürlich lässt sich nicht ausschließen, dass dennoch ein Zugriff in Einzelfällen stattfinden könnte. Die Möglichkeit des Zugriffs wird aber nicht durch das IT-SG geschaffen, sondern durch die gesetzlichen Grundlagen für die Arbeit der Sicherheitsbehörden. Wenn man diese Befugnisse ablehnt, muss man dort ansetzen. Die im IT-SG vorgeschlagene Regelung hat den berechtigten Schutz der Telemediendienste (bzw. den von ihnen genutzten technischen Einrichtungen) und damit auch den Schutz der Nutzer und ihrer Daten im Sinn.

Referentenentwurf des BMJV: Klagemöglichkeiten für Verbände bei Datenschutzrechtsverstößen

Nach den Ankündigungen von Bundesjustizminister Heiko Maas Anfang diesen Jahres, Verbraucherschutzverbänden eine Klagemöglichkeit bei Datenschutzrechtsverletzungen durch Unternehmen zur Verfügung stellen zu wollen, liegt nun der Referentenentwurf aus dem BMJV vor.

Durch den Entwurf soll jedoch nicht nur das Unterlassungsklagegesetz (UKlaG) angepasst werden. Auch Änderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) und des Bürgerlichen Gesetzbuches (BGB) sind in dem Entwurf vorgesehen. Im Folgenden möchte ich eine erste grobe Einschätzung der geplanten Änderungen vornehmen.

Ziel des Gesetzes
Nach der Entwurfsbegründung soll insbesondere der Schutz von Verbrauchern gegen die unzulässige Erhebung, Verarbeitung und Nutzung ihrer Daten verbessert werden. Dabei nutzen laut dem Entwurf die besten datenschutzrechtlichen Regelungen wenig, wenn sie nicht wirksam durchgesetzt werden können. Zwar existieren die (Landes-)Datenschutzbehörden, die auch über entsprechende Kontroll- und Durchsetzungsbefugnisse verfügen. Nach dem Entwurf scheide eine flächendeckende Kontrolle aber schon aufgrund der Zahl der Unternehmer und des stetig zunehmenden Umfangs ihrer Datenerhebung, -verarbeitung und -nutzung aus. Dass man hier eventuell die Mittel und Kapazitäten der Datenschutzbehörden stärken könnte, wird anscheinend im BMJV nicht in Erwägung gezogen. Vielleicht auch deshalb, weil man hierfür nicht zuständig ist und die Länder diese Aufstockung vornehmen müssten. Zum besseren Schutz der Rechte der Verbraucher sollen deswegen laut dem Entwurf künftig neben den betroffenen Verbrauchern und den Datenschutzaufsichtsbehörden auch Verbände und (Berufs-)Kammern gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten durch Unternehmer vorgehen können.

Derzeit können Verbraucherschutzverbände gegen, aus ihrer Sicht rechtswidrige Datenverarbeitungen durch Unternehmen nur über den Umweg des § 1 UKlaG vorgehen, wenn nämlich etwa Datenschutzerklärungen als Allgemeine Geschäftsbedingungen (AGB) qualifiziert werden. Dies soll sich nach dem Entwurf nun ändern. Die Entwurfsbegründung stellt hierzu fest, dass Rechte von Verbrauchern nicht nur beeinträchtigt werden, wenn ein Unternehmer durch das Verwenden von AGB datenschutzrechtlichen Vorschriften zuwiderhandelt,

sondern auch wenn der Unternehmer auf andere Weise gegen datenschutzrechtliche Vorschriften verstößt, wenn er Daten von Verbrauchern erhebt, verarbeitet oder nutzt.

Änderungen des UKlaG
§ 2 Abs. 1 S. 1 UKlaG
Der geltende § 2 Abs. 1 S. 1 UKlaG bestimmt, dass derjenige, der in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung in Anspruch genommen werden.

Die erste bedeutende Änderung des Entwurfs soll dadurch vorgenommen werden, dass in Zukunft auch im UKlaG Beseitigungsansprüche geltend gemacht werden können. Der Entwurf begründet dies damit, dass es auch möglich sein müsse, einen Unternehmer auch (neben einer Unterlassung für die Zukunft) dazu zu verpflichten, unzulässig gespeicherte Daten von Verbrauchern zu löschen oder zu sperren. § 2 Abs. 1 S. 1 UKlaG würde danach wie folgt lauten:

Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. (Hervorhebung durch den Autor)

§ 2 Abs. 2 Nr. 11 UKlaG
In der Aufzählung des § 2 Abs. 2 UKlaG, der festlegt, welche gesetzlichen Regelungen Verbraucherschutzgesetze darstellen, soll eine neue Nr. 11 aufgenommen werden. Zu beachten ist, dass die Aufzählung in Abs. 2 nicht abschließend ist. Dies folgt aus dem Wort „insbesondere“ am Anfang der Aufzählung. Die neue Nr. 11 soll wie folgt lauten:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Nach dem Gesetzesentwurf ist derzeit in Literatur und Rechtsprechung umstritten, ob datenschutzrechtliche Vorschriften Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 S. 1 UKlaG darstellen. Diese Streitfrage soll nun „verbindlich beantwortet“ werden und zwar indem „datenschutzrechtliche Vorschriften, die für Unternehmer gelten, wenn sie Daten von Verbrauchern erheben, verarbeiten oder nutzen, ausdrücklich in den Katalog der Verbraucherschutzgesetze aufgenommen werden“. Die Begründung des Entwurfs führt hierzu aus, dass dies solche Vorschriften sind, welche auf

die Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten anwendbar sein. Dies sind sowohl Vorschriften, die ausdrücklich den Umgang mit Verbraucherdaten regeln, als auch Vorschriften, die – wie z. B. die Vorschriften im Bundesdatenschutzgesetz, den Landesdatenschutzgesetzen, dem Telekommunikationsgesetz oder dem Telemediengesetz – nicht nur für den Umgang mit personenbezogenen Daten von Verbrauchern gelten, sondern auch für den Umgang mit anderen personenbezogenen Daten.

Der Anwendungsbereich umfasst damit im Prinzip jegliche Datenschutzvorschrift. Voraussetzung für ein Vorgehen nach den geplanten Regelungen ist allein, dass personenbezogene Daten von Verbrauchern betroffen sind und ein Unternehmer beteiligt ist. Dass unter anderem sogar der BGH (Urt. v. 16.07.2008 – VIII ZR 348/06, Rz. 17) der Meinung war, dass z. B. § 4 Abs. 1 BDSG nicht als Verbraucherschutzgesetz im Sinne von § 2 UKlaG angesehen wird, weil die Vorschrift alle natürlichen Personen, aber nicht speziell Verbraucher schütze, wird in dem Gesetzesentwurf nicht thematisiert (ebenfalls ablehnend, etwa für § 28 Abs. 4 BDSG: OLG Düsseldorf, Az. I-7 U 149/03; für §§ 3a, 4 BDSG: OLG Frankfurt a. M., Az. 6 U 168/04). Schutzgegenstand des Datenschutzrechts sind „personenbezogene Daten“. Diese können in bestimmten Situationen Verbraucher betreffen (so auch die Art. 29 Datenschutzgruppe, Stellungnahme WP 136, PDF, S. 7), jedoch nicht generell.

Kritik
Meines Erachtens ist jedoch fraglich, ob der deutsche Gesetzgeber einfach bestimmen kann, was „Verbraucherschutzgesetze“ im deutschen Recht sind, zumindest wenn diese nationalen Gesetze auf europäischen Grundlagen beruhen und eventuell durch den europäischen Gesetzgeber entsprechend eingeordnet wurden.

DS-RL verbraucherschützend?
Ein Großteil der derzeit geltenden Datenschutzvorschriften, etwa im BDSG (beruht auf Bestimmungen der RL 1995/46/EG, DS-RL) oder im TMG (beruht auf Bestimmungen der RL 2000/31/EG und RL 2002/58/EG in der geänderter Fassung durch RL 2009/136/EG, PDF), beruht auf europäischen Richtlinien.

RL 2009/22/EG (PDF) über Unterlassungsklagen zum Schutz der Verbraucherinteressen, gibt einen ersten Anhaltspunkt, warum sich der durch den Gesetzentwurf geplante pauschale Verweis auf „Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten“ möglicherweise nicht als europarechtskonform darstellen könnte. Ziel der benannten Richtlinie ist laut ihrem Art. 1 Abs. 1, die Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über Unterlassungsklagen im Sinne des Art. 2 der Richtlinie zum Schutz der Kollektivinteressen der Verbraucher, die unter die in Anhang I der Richtlinie aufgeführten europäischen Richtlinien fallen, um so das reibungslose Funktionieren des Binnenmarkts zu gewährleisten. Und in diesem Anhang I findet sich eine Auflistung von vielen verschiedenen Richtlinien, die sich dann auch in der Aufzählung des § 2 Abs. 2 UKlaG wiederfinden (z. B. RL 2000/31/EG).

Das Problem: die DS-RL wird hier nicht benannt. Man könnte meinen, dass dies eigentlich unverständlich ist, da nach Erwägungsgrund 8 DS-RL zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich ist, welches durch die DS-RL geschaffen werden soll. Es geht also bei den Regelungen der DS-RL gerade auch um das Funktionieren des Binnenmarktes.

Doch anscheinend erkannte der europäische Gesetzgeber die DS-RL eben gerade nicht als eine solche Richtlinie an, die dem Schutz der Kollektivinteressen der Verbraucher dient. Eine Aufnahme in die Liste des Anhangs I hätte im Übrigen auch in der Vergangenheit erfolgen können, da die RL 2009/22/EG auf einer alten Richtlinie (RL 98/27/EG) beruht, die mehrfach angepasst wurde.

Ein weiteres Argument dafür, dass die DS-RL (und damit auch deren nationale Umsetzung im BDSG) grundsätzlich nicht verbraucherschützend wirkt, könnte sich aus der Verordnung 2006/2004/EG, der Verordnung über die Zusammenarbeit im Verbraucherschutz, ergeben. In der Verordnung geht es um die Zusammenarbeit der zuständigen Durchsetzungsbehörden in den Mitgliedstaaten bei innergemeinschaftlichen Verstößen gegen Gesetze zum Schutz der Verbraucherinteressen. In Art. 3 a) definiert die Verordnung die „Gesetze zum Schutz der Verbraucherinteressen“ als „die im Anhang aufgeführten Richtlinien in der in die innerstaatliche Rechtsordnung der Mitgliedstaaten umgesetzten Form und die dort aufgeführten Verordnungen“. Und auch hier stellt man fest: die DS-RL wird nicht in der Aufzählung im Anhang erwähnt, sehr wohl aber etwa wieder RL 2000/31/EG.

Diese fehlende Berücksichtigung der DS-RL in beiden europäischen Rechtsakten stellt zumindest ein starkes Indiz dafür dar, dass der europäische Gesetzgeber die DS-RL nicht (zumindest nicht generell) als verbraucherschützend qualifizieren wollte. Anhaltspunkte für einen intendierten Verbraucherschutz finden sich auch nicht in der DS-RL oder ihren Erwägungsgründen selbst.

Schutzgegenstand der DS-RL ist ausweislich ihres Art. 1 Abs. 1 die Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten, nicht der Schutz von Verbrauchern oder ähnlichen besonderen Personengruppen. Anknüpfungspunkt des Datenschutzrechts ist allein die natürliche Person. Natürlich mag diese in gewissen Situationen als Verbraucher handeln. Für diese Situationen ist das Datenschutzrecht aber nicht generell konzipiert worden.

Neue Datenschutzbehörden?
Zudem wird sich nach dem Studium des Referentenentwurfs unweigerlich die Frage nach dem Verhältnis von Verbraucherschutzverbänden zu den staatlichen Datenschutzbehörden stellen. Denn Verbraucherschutzverbände sollen nun rechtliche Möglichkeiten erlangen, die bisher allein dem Betroffenen selbst und den Datenschutzbehörden zustehen. Denn nun können Verbraucherschutzverbände auch gerichtlich gegen Unternehmen vorgehen, wenn es sich nicht um die Überprüfung von Allgemeinen Geschäftsbedingungen, sondern tatsächlich allein um die Rechtmäßigkeit der Datenverarbeitung an sich handelt. Der Entwurf führt hierzu aus: „Die Verbraucherschutzverbände und die anderen anspruchsberechtigten Stellen sollen künftig nicht nur Ansprüche auf Unterlassung und Widerruf nach § 1 UKlaG haben, wenn durch das Verwenden und Empfehlen von Allgemeinen Geschäftsbedingungen gegen datenschutzrechtliche Vorschriften verstoßen wird.

Auch hier stellen sich für mich Fragen der Vereinbarkeit des Entwurfs mit dem Europarecht.

Art. 28 DS-RL bestimmt, dass die Mitgliedstaaten vorsehen müssen, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Zudem müssen diese Stellen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen.
Dabei darf man wohl davon ausgehen, dass der Gesetzesentwurf prinzipiell keine neuen Kontrollstellen schaffen möchte. Oder doch? Der EuGH hat zumindest festgestellt (Az. C-288/12, Rz. 47), dass ein Erfordernis dafür besteht, „die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch eine unabhängige Stelle zu überwachen“. Dies ergibt sich unter anderem aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF). Die entscheidende Frage ist nun, ob allein(!) diese unabhängigen und öffentlichen Stellen zur Überwachung der Einhaltung der jeweiligen nationalen Vorschriften zum Schutz personenbezogener Daten berechtigt sind? In einem anderen Urteil hat der EuGH (Az. C-518/07, Rz. 23) festgestellt, dass die in Art. 28 DS-RL vorgesehenen Kontrollstellen „die Hüter“ der Grundrechte und Grundfreiheiten aus Art. 7 und 8 EU-Charta darstellen. Ob daneben noch Platz für andere Stellen ist, die ebenfalls die Einhaltung der datenschutzrechtlichen Vorschriften überwachen dürfen?

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.
Doch haben Betroffene nach Art. 22 DS-RL auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der DS-RL aber gerade nicht aufgeführt, anders als in Art. 28 Abs. 4 DS-RL. Jedoch würde der vorliegende Referentenentwurf gerade eine solche Möglichkeit, bei einem Gericht einen Rechtsbehelf einzulegen, für Verbände vorsehen.

§ 3 Abs. 1 UWG
Beseitigungs- und Unterlassungsansprüche sollen entsprechend § 8 Abs. 1 UWG zudem möglich sein, wenn durch eine rechtswidrige Datenverarbeitung eine unlautere geschäftliche Handlungen i. S. d. § 3 Abs. 1 UWG begangen wird. Nach § 4 Nr. 11 UWG handelt unlauter wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Nach dem Gesetzesentwurf können auch datenschutzrechtliche Vorschriften nämlich gesetzliche Vorschriften sein, die dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Hier verweist der Entwurf auf einzelne Gerichtsentscheidungen, wonach insbesondere in Bezug auf § 28 BDSG in Verbindung mit §§ 4 Abs. 1, 4a Abs. 1 BDSG festgestellt wurde, dass diese Regelungen als eine solche Marktverhaltensvorschrift angesehen werden können.

Eine generelle Festschreibung, dass es sich bei datenschutzrechtlichen Vorschriften um solche handelt, welche im Interesse der Marktteilnehmer das Marktverhalten regeln, trifft der Entwurf jedoch nicht. Dies erscheint auch richtig. Derzeit wird wohl überwiegend davon ausgegangen, dass datenschutzrechtliche Vorschriften nicht generell eine marktregelnde Funktion besitzen. Ausnahmen werden vor allem dann (in konkreten Einzelfällen!) gemacht, wenn es sich um Situationen der kommerziellen Nutzung von personenbezogenen Daten handelt, vor allem für Werbung (siehe etwa OLG Köln, Az. 6 U 73/10; OLG Stuttgart, Az. 2 U 132/06; OLG Karlsruhe, Az. 6 U 38/11).

In dem Referentenentwurf wird ausdrücklich klargestellt, dass in Zukunft Ansprüche nach dem UKlaG anders als die Ansprüche nach dem UWG, auch dann gegeben sind, wenn gegen eine datenschutzrechtliche Vorschrift verstoßen wird, die keine Marktverhaltensvorschrift ist. Diese Voraussetzung muss i. R. d. UKlaG nicht gegeben sein.

Weitere Änderungen
Um einem Missbrauch der Unterlassungs- und Beseitigungsansprüche des UKlaG besser vorbeugen zu können, soll die bisher in § 2 Abs. 3 UKlaG befindliche Regelung erneuert und in einen § 2b UKlaG transformiert werden. Zum einen soll die Missbrauchsregelung auch für Ansprüche nach § 1 UKlaG (also bei der Verwendung von unwirksamen AGB) gelten. Inhaltlich soll sich die Missbrauchsregelung soll an jener des § 8 Abs. 4 UWG orientieren. Es wird daher (wie in § 8 Abs. 4 S. 2 UWG) in § 2b S. 2 UKlaG ein Anspruch auf Ersatz von Rechtsverfolgungskosten vorgesehen.

Der Referentenentwurf enthält noch andere Änderungen, unter anderem soll die Vorschrift des § 309 Nr. 13 BGB angepasst werden. Es geht hierbei um Formanforderungen, die Verwender durch Bestimmungen in AGB, insbesondere in Verbraucherverträgen, vereinbaren können. Für Erklärungen von Verbrauchern gegenüber dem Verwender von AGB soll nur noch die Textform (und nicht mehr Schriftform) vereinbart werden können.

Fazit
Hier nochmal die aus meiner Sicht wichtigsten geplanten Änderungen:

    • Ergänzung des UKlaG um einen Beseitigungsanspruch
    • Datenschutzrechtliche Vorschriften werden verbindlich als Verbraucherschutzgesetze festgelegt
    • Klagerechte für Verbraucherschutzverbände, Wirtschaftsverbände und Kammern nach dem UKlaG und dem UWG
    • Neuer § 2b UKlaG zur Vermeidung missbräuchlicher Geltendmachung
    • Änderung der Voraussetzungen für Verbände zur Eintragung in die Liste qualifizierter Einrichtungen i. S. d. § 4 UKlaG
    • Änderung des § 309 Nr. 13 BGB (nur noch Textform statt Schriftform vereinbar)
    • Änderung des § 675a BGB (Erleichterte Erfüllung der Informationspflichten im Internet durch Textform)

Für mich stellen sich nach einer ersten Sichtung des Entwurfs teilweise elementare Fragen, sowohl in Bezug auf die Vereinbarkeit mit geltendem europäischem Recht, als auch hinsichtlich der inhaltlichen Reichweite der geplanten Regelungen, gerade von § 2 Abs. 2 Nr. 11 UKlaG. Der Entwurf befindet sich nun in der Ressortabstimmung. Insbesondere könnte ich mir vorstellen, dass das für den Datenschutz federführend zuständige Bundesinnenministerium noch einige Ergänzungsvorschläge vorbringen könnte.