Skip to content

OLG Stuttgart: Verstöße gegen DSGVO sind regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße - § 13 Absatz 1 Satz 1 TMG wird durch DSGVO verdrängt

OLG Stuttgart
Urteil vom 27.2.2020
2 U 257/19

Das OLG Stuttgart hat entschieden, dass Verstöße gegen die Vorgaben der DSGVO regelmäßig auch von Abmahnvereinen abmahnbare Wettbewerbsverstöße sind. Zudem hat das OLG Stuttgart entschieden, dass § 13 Absatz 1 Satz 1 TMG durch DSGVO verdrängt wird.

Aus den Entscheidungsgründen:

"Die Klage ist auch hinsichtlich des Hilfsantrages aus den oben dargestellten Gründen zulässig. Insbesondere steht es dem Kläger zu, gemäß § 8 Absatz 3 Nr. 2 UWG Unterlassungsansprüche zu verfolgen, die sich aus Verstößen gegen die Datenschutz-Grundverordnung ergeben.

Durch die Datenschutz-Grundverordnung werden die Rechtsbehelfe nicht abschließend geregelt, so dass die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar bleiben, wenn es sich um einen Verstoß gegen eine Marktverhaltensregelung handelt (so auch OLG Hamburg, Urteil vom 25. Oktober 2018 – 3 U 66/17, juris Rn. 56 m. zust. Anm. Janßen, jurisPR-ITR 25/2018 Anm. 2; Wolff, ZD 2018, 248; Laoutoumai/Hoppe, K&R 2018, 533; Schreiber, GRUR-Prax 2018, 371).

1. Bestimmungen einer EU-Verordnung sind nicht von sich aus abschließend. Der Rechtsakt einer Verordnung hat eine allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat (Artikel 288 Absatz 2 AEUV). Sieht die Verordnung den Erlass von weitergehenden nationalen Regelungen nicht ausdrücklich vor, können Mitgliedstaaten nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren (EuGH, Urteil vom 14. Oktober 2004 – C-113/02, Rn. 16). Dabei ist unter Bezugnahme auf die einschlägigen Bestimmungen der Verordnung zu prüfen, ob diese Bestimmungen, ausgelegt im Licht ihrer Ziele, es den Mitgliedstaaten verbieten, gebieten oder gestatten, bestimmte nationale Normen anzuwenden, und insbesondere im letztgenannten Fall, ob sie sich in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügen (EuGH, Urteil vom 21. Dezember 2011 – C-316/10, Rn. 43).

2. Bei der Auslegung der Verordnung zur Frage, ob sie den Mitgliedsstaaten die Anwendung bestimmter nationaler Normen zur Rechtsdurchsetzung gestattet, ist von dem maßgeblichen Interesse eines jeden Normgebers auszugehen, dass die von ihm erlassenen Bestimmungen von allen Adressaten befolgt werden. Auf diesem Grundinteresse basiert auch die in Artikel 4 Absatz 3 EUV und Artikel 197 Absatz 1 AEUV verankerte Verpflichtung der Mitgliedstaaten zur effektiven Durchführung des Unionsrechts. Allgemein setzt dies ein wirksames System der Kontrolle und Rechtsverfolgung voraus. Je engmaschiger dieses Netz, desto mehr wird der Willen des Normgebers durchgesetzt.

Die Interessenlage kann sich in diesem Bereich anders darstellen als bei der Harmonisierung des materiellen Rechts. Dort kann der Zweck darauf gerichtet sein, nicht nur Mindest-, sondern auch Höchstanforderungen aufzustellen. Es erleichtert den grenzüberschreitenden Verkehr von Waren und Dienstleistungen, wenn sich der Unternehmer nicht darauf einstellen muss, dass im Ausland noch höhere Anforderungen an ihn gestellt werden als im Mitgliedstaat seines Sitzes. Dass Teile der Datenschutz-Grundverordnung das materielle Recht vollständig harmonisieren, wird in der Literatur angenommen (statt aller: Franzen in Franzen/Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 88 DSGVO Rn. 7 ff). Diese Erwägung lässt allerdings noch keine Rückschlüsse darauf zu, dass dies auch für die Rechtsdurchsetzung gelten soll.

3. Bereits nach dem allgemeinen Kompetenzgefüge der Europäischen Union sind die Mitgliedstaaten verpflichtet, die in einer Verordnung begründeten Rechte zu schützen, namentlich durch die nationalen Gerichte (EuGH, Urteil vom 10. Oktober 1973 – 34/73, Rn. 8). Dieser allgemeinen Aufteilung folgt auch die Datenschutz-Grundverordnung, indem sie die Zuständigkeit der nationalen Gerichte für Klagen begründet (Artikel 78 Absatz 3, Artikel 79 Absatz 2, Artikel 82 Absatz 6 DSGVO) und darüber hinaus die Mitgliedstaaten verpflichtet, Aufsichtsbehörden einzurichten (Artikel 51 Absatz 1 DSGVO). Dabei gibt die Verordnung lediglich vor, dass dem einzelnen ein Zugang zum Rechtsschutz gewährt werden muss durch ein Klagerecht bzw. ein Recht auf Beschwerde bei der Aufsichtsbehörde. Daraus folgt, dass die nähere Ausgestaltung der Rechtsdurchsetzung in die Verantwortung der Mitgliedstaaten fällt.

4. Ist mithin davon auszugehen, dass der Normgeber die effektive Durchsetzung der durch ihn verliehenen Rechte beansprucht und gibt er – wie hier – die Zuständigkeit zur Ausgestaltung des Prozessrechts an die Mitgliedstaaten, muss vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden. Etwas anderes kann nur angenommen werden, wenn sich aus der Verordnung selbst mit hinreichender Klarheit ergibt, dass weitergehende nationale Maßnahmen, die die Rechtsdurchsetzung erleichtern, unzulässig sein sollen.

Aus der Datenschutz-Grundverordnung ergibt sich jedoch nicht – schon gar nicht mit der hierfür gebotenen Klarheit –, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen.

a) Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt. Zwar kommt den Aufsichtsbehörden eine wichtige Rolle bei der Durchsetzung der Datenschutz-Grundverordnung zu. Die Verordnung beschneidet aber auch nicht die Rechtsdurchsetzung privater Rechte auf dem Zivilrechtsweg. Vielmehr stehen Maßnahmen der Aufsichtsbehörde, die u.a. Sanktionen verhängen kann, und die privatrechtliche Durchsetzung von Schadensersatzansprüchen unabhängig nebeneinander und sind gleichrangig.

aa) Durch die Einrichtung der Aufsichtsbehörden wollte der Verordnungsgeber die Rechtsstellung der Unionsbürger verbessern. Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt (Artikel 77 Absatz 1 DSGVO). Die Aufsichtsbehörden sind u.a. dazu befugt, Verantwortliche zu warnen, zu verwarnen, ihnen bestimmte Maßnahmen aufzuerlegen und gegen sie Sanktionen zu verhängen (Artikel 58 Absatz 2 lit. a, b, g, i und Artikel 83 DSGVO).

bb) Eine Einschränkung bestehender Befugnisse zur Rechtsdurchsetzung war nicht bezweckt. Vielmehr sollte durch die Datenschutz-Grundverordnung ersichtlich nur ein Mindeststandard für den Rechtsschutz der betroffenen Person und desjenigen, dem durch Verstöße gegen die Verordnung ein Schaden entstanden ist, geregelt werden.

Das Beschwerderecht der betroffenen Person (Artikel 4 Nr. 1 DSGVO) besteht „unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs“ (Artikel 77 Absatz 1 DSGVO). Die Verordnung stellt die individuelle gerichtliche Geltendmachung von Ansprüchen – etwa vor einem Zivilgericht – der behördlichen Rechtsdurchsetzung gleich. Unabhängig von dem Recht, sich an eine zuständige Aufsichtsbehörde zu wenden, gewährt Artikel 79 Absatz 1 DSGVO jeder betroffenen Person einen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden (vgl. Mundil in Beck’scher Onlinekommentar Datenschutzrecht, 30. Ed. 1.2.2017, Art. 79 DSGVO Rn. 14). Daneben gewährt Artikel 82 Absatz 1 und 6 DSGVO jeder Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen gerichtlich durchsetzbaren Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

cc) Insbesondere enthält Artikel 80 DSGVO keine abschließende Regelung für die privatrechtliche Rechtsdurchsetzung. Nicht gefolgt werden kann der Auffassung, aus einem Gegenschluss zu Artikel 80 Absatz 2 DSGVO ergebe sich, dass Mitbewerber und Wettbewerbsverbände nicht klagebefugt seien. Artikel 80 Absatz 2 DSGVO sei als Öffnungsklausel anzusehen, die die Mitgliedstaaten lediglich dazu ermächtige, sog. Datenschutzverbänden eine Klagebefugnis zu verleihen, nicht jedoch auch Mitbewerbern und Wettbewerbsverbänden im Sinne von § 8 Absatz 3 Nr. 2 UWG (so Köhler, WRP 2018, 1269 Rn. 35; ders., WRP 2019, 1279 Rn. 5; ders. in Köhler/Bornkamm/Feddersen, Kommentar zum UWG, 38. Aufl. 2020, § 3a UWG Rn. 1.40f; Barth, WRP 2018, 790 Rn. 16; Baumgartner/Sitte, ZD 2018, 555 [558]; Schmitt, WRP 2019, 27 Rn. 20; Spittka, GRUR-Prax 2019, 4; differenzierend Uebele, GRUR 2019, 694 [697], der zwar Mitbewerbern eine Klagebefugnis einräumt, nicht aber deren Verbänden).

(1) Artikel 80 Absatz 1 DSGVO räumt der betroffenen Person das Recht ein, auch Dritte damit zu beauftragen, ihre Rechte gegenüber der Aufsichtsbehörde, dem Verantwortlichen oder dem Auftragsverarbeiter wahrzunehmen. Dabei soll es sich allerdings um eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht handeln, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist. Weiter können die Mitgliedstaaten vorsehen, dass ebengenannte Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht haben, die genannten Rechte einzelner unabhängig von einem Auftrag der betroffenen Person wahrzunehmen (Artikel 80 Absatz 2 DSGVO). Die Voraussetzungen des Artikel 80 Absatz 1 DSGVO erfüllt der Kläger als Verband zur Förderung gewerblicher oder selbständiger beruflicher Interessen nicht.

(2) Dem Verlauf der Beratungen in der Ratsarbeitsgruppe lässt sich ein abschließender Charakter von Artikel 80 Absatz 2 DSGVO jedoch nicht entnehmen.

Die Regelung geht auf einen Vorschlag der französischen Delegation zurück, die den Gedanken eingebracht hat, dass die Wahrung der Einhaltung der Datenschutzrechte durch Verbände eine effektive Möglichkeit zu deren Rechtsdurchsetzung darstellt. Dabei schwebte der Initiative vor, die Mitgliedstaaten zum Erlass effektiver Verfahrensregelungen zu verpflichten (Ratsdokument 7586/1/15 REV 1, S. 22/23). Der Vorsitz griff diesen Vorschlag als neuen Artikel 76 Absatz 2 des Entwurfs auf, jedoch ohne eine Umsetzungsverpflichtung vorzusehen (Ratsdokument 7722/15, S. 16). In den Beratungen wurde die Frage erörtert, ob die Mitgliedstaaten zur Einräumung der Klagebefugnis verpflichtet werden sollten, wofür sich neben der französischen Delegation auch die Europäische Kommission einsetzte (Ratsdokument 8371/15, S. 15 Fn. 36). Mit der beschlossenen Fassung fanden die Delegationen einen Kompromiss (Ratsdokument 8383/15, S. 18 Fn. 34).

Aus den Materialien ergibt sich jedoch keine Stellungnahme von Delegationen, die die Bezugnahme auf den Absatz 1 für erforderlich hielten, um auszuschließen, dass anderen Verbänden, die nicht die Anforderungen eines Datenschutzverbandes erfüllten, eine Klagebefugnis eingeräumt wird. Die Europäische Kommission sprach sich für die Bezugnahme auf die Verbandsdefinition in Absatz 1 aus. Den Materialien lässt sich jedoch nicht entnehmen, dass es ihr Ziel war, weitergehende Klagebefugnisse auszuschließen. Vielmehr wollte sie erreichen, dass ein anerkannter Datenschutzverband die Rechte auch in einem anderen Mitgliedstaat verfolgen könnte. Hierin sah die Europäische Kommission den eigentlichen Mehrwert der Regelung (Ratsdokument 8371/15, Seite 15 Fn. 38).

Wie diese Äußerung und auch die weiteren Stellungnahmen zeigen, sind die Delegationen davon ausgegangen, dass eine Regelung der Klagebefugnis in den Kompetenzbereich der Mitgliedstaaten fällt. Die portugiesische Delegation hat darauf hingewiesen, dass die Befugnisse übriger Verbände nicht ausgeschlossen werden sollen (Ratsdokument 8371/15 Fn. 37). Die französische Delegation hat, nachdem sie ihr Ziel einer verpflichtenden Regelung nicht durchsetzen konnte, angemerkt, dass es einer Regelung nicht bedürfe, wenn sie keine Verpflichtung enthalte (Ratsdokument 8383/15 S. 18, Fn. 36).

Aus dem Umstand, dass die Delegationen in dem Willensbildungsprozess als kleinsten gemeinsamen Nenner eine Regelung gefunden haben, die nur das ausdrückt, was allgemein anerkannt ist – nämlich, dass die Mitgliedstaaten Datenschutzverbänden eine Klagebefugnis einräumen können – kann jedoch nicht geschlossen werden, dass andere allgemein anerkannte Befugnisse der Mitgliedstaaten – die Einräumung noch weitergehender Klagebefugnisse – eingeschränkt werden sollten. Die Ratsdokumente enthalten keinen Hinweis darauf, dass eine derartige Regelung getroffen werden sollte.

dd) Auch den Erwägungsgründen 11 und 13 kann nicht entnommen werden, dass die Sanktionen und die Rechtsdurchsetzung in der Datenschutz-Grundverordnung abschließend geregelt seien (so aber Köhler, WRP 2018, 1269 Rn. 24; Ohly, GRUR 2019, 686 [688]).

Zwar ist dort die Rede davon, dass in den Mitgliedstaaten die gleichen Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie die gleichen bzw. gleichwertigen Sanktionen im Falle ihrer Verletzung erforderlich sind. Als Sanktionen in diesem Sinne sind indes die von den Aufsichtsbehörden zu ergreifenden Maßnahmen (Artikel 58 Absatz 2 DSGVO), insbesondere die zu verhängenden Geldbußen (Artikel 58 Absatz 2 lit. i DSGVO), zu verstehen, für die es in Artikel 83 DSGVO eine ausgestaltende Regelung zur Höhe und zu den Bemessungskriterien gibt. Die zivilrechtliche Verfolgung von Ansprüchen durch Private stellt jedoch keine Sanktion in diesem Sinne dar. Wie die Überschrift zu Kapitel VIII belegt, unterscheidet die Verordnung zwischen Rechtsbehelfen, Haftung und Sanktionen (zutreffend Uebele, GRUR 2019, 694 [698]).

5. Die Klagebefugnis der Verbände gemäß § 8 Absatz 3 Nr. 2 UWG fügt sich in den Wertungsrahmen der Datenschutz-Grundverordnung ein.

Die Verfolgung von Wettbewerbsverstößen durch Mitbewerber und Wettbewerbsverbände hat sich als schlagkräftiges Instrument bewährt (Entwurf der Bundesregierung für ein Gesetz gegen den unlauteren Wettbewerb, Bundestag Drucksache 15/1487, S. 22). Zwar sind die Mitgliedstaaten nach Artikel 52 Absatz 4 DSGVO verpflichtet, die Aufsichtsbehörden mit den erforderlichen Ressourcen auszustatten, damit sie ihre Aufgaben effektiv wahrnehmen können. Da allerdings alle Ressourcen begrenzt sind und jede Behörde Schwerpunkte und Prioritäten setzen muss, können die Mitbewerber und Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten. Damit dient die ihnen zustehende Klagebefugnis der effektiven Durchsetzung der Verordnung, die im Interesse des Verordnungsgebers liegt und die sich damit in den in den Rahmen des den einzelnen Mitgliedstaaten eingeräumten Wertungsspielraums einfügt. Da sich aus Artikel 77 ff. DSGVO der Grundsatz entnehmen lässt, dass weitergehende Rechtsbehelfe unberührt bleiben, gilt für die Befugnis von Verbänden nichts anderes (Laoutoumai/Hoppe, K&R 2018, 533 [535]).

II. Die Klage ist auch begründet. Der Unterlassungsanspruch folgt aus § 8 Absatz 1 UWG i.V.m. §§ 3, 3a UWG und Artikel 13 DSGVO.

1. Wer eine nach § 3 UWG unzulässige geschäftliche Handlung vornimmt, kann gemäß § 8 Absatz 1 Satz 1 UWG bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Nach § 3a UWG begeht eine im Sinne von § 3 Absatz 1 UWG unzulässige geschäftliche Handlung, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Die Anwendung von § 3a UWG wird durch die vollharmonisierende UGP-Richtlinie nicht gesperrt, da diese selbst vorsieht, dass Rechtsvorschriften der Gemeinschaft, die besondere Aspekte unlauterer Geschäftspraktiken regeln, vorgehen und maßgebend sind (Artikel 3 Absatz 4 UGP-Richtlinie). Die in Erwägungsgrund Nr. 10 zur UGP-Richtlinie genannten Richtlinien sind nicht abschließend (Micklitz/Namysłowska in Münchener Kommentar zum UWG, 3. Aufl. 2020, Art. 3 UGP-Richtlinie Rn. 35). Auch datenschutzrechtliche Bestimmungen können besondere Aspekte unlauterer Geschäftspraktiken regeln, wie der letzte Satz des Erwägungsgrundes 14 zur UGP-Richtlinie zeigt. Es hängt von den Regelungen im Einzelfall ab, welche Verordnung einen bestimmten Aspekt unlauterer Geschäftspraktiken speziell regelt. Für die datenschutzrechtlichen Informationspflichten ist Artikel 13 DSGVO maßgebend. Nicht erforderlich ist damit ein Rückgriff auf § 5a Absatz 2 und 4 UWG. Diese Bestimmung regelt in Umsetzung von Artikel 7 UGP-Richtlinie den Unlauterkeitstatbestand des Vorenthaltens einer für eine informierte geschäftliche Entscheidung des Verbrauchers erforderlichen wesentlichen Information.

2. Mit dem Inserat auf der Internethandelsplattform hat der Beklagte gegen Artikel 13 DSGVO verstoßen.

a) Es liegt eine geschäftliche Handlung im Sinne von § 3 Absatz 1 UWG vor. Als solche gilt jedes Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen objektiv zusammenhängt. Dies ist bei einem Inserat mit der Möglichkeit der Kontaktaufnahme und Bestellmöglichkeit der Fall.

Der Beklagte hat auch für sein Unternehmen gehandelt. Unternehmer ist nach der Legaldefinition des § 14 Absatz 1 BGB eine Person, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. Eine gewerbliche Tätigkeit setzt ein selbständiges und planmäßiges, auf eine gewisse Dauer angelegtes Anbieten entgeltlicher Leistungen am Markt voraus (BGH, Urteil vom 04. Dezember 2008 – I ZR 3/06, juris Rn. 33 – Ohrclips). Diese Voraussetzungen liegen unstreitig vor, nachdem sich der Beklagte selbst auf der Handelsplattform als gewerblicher Verkäufer präsentiert.

b) Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche zur Erhebung der Daten Informationen zu erteilen. Teilweise hängen die Informationspflichten davon ab, ob bestimmte Umstände vorliegen (Artikel 13 Absatz 1 lit. a (2. Alt.), lit. b, d, e, f, Artikel 13 Absatz 2 lit. c, f und Artikel 13 Absatz 3). Da zu dem Vorliegen solcher Umstände nichts vorgetragen ist, kann lediglich festgestellt werden, dass der Beklagte vor der Entgegennahme personenbezogener Daten der Käufer und Interessenten über folgende Umstände zu informieren hatte:

(1) den Namen und die Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO);

(2) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO);

(3) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO);

(4) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Artikel 13 Absatz 2 lit. b DSGVO);

(5) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO) und

(6) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO).

Unstreitig hat der Beklagte diese Informationen nicht vorgehalten. Er ist als Verantwortlicher im Sinne von Artikel 4 Nr. 7 DSGVO anzusehen, da er Daten der Käufer und Kaufinteressenten, die sich mit ihm in Verbindung setzen, erhebt und über die Zwecke und Mittel der so erhobenen personenbezogenen Daten entscheidet. Die zu erteilenden Informationen waren den Käufern bzw. Interessenten auch nicht auf andere Weise bekannt (Artikel 13 Absatz 3 DSGVO).

c) Bei den genannten Bestimmungen der Datenschutz-Grundverordnung handelt es sich um Marktverhaltensregelungen im Sinne von § 3a UWG.

aa) Teilweise wird den Bestimmungen der Datenschutz-Grundverordnung der Marktbezug allerdings insgesamt abgesprochen (Köhler, WRP 2018, 1269 Rn. 22; zum abgelaufenen Recht: OLG München, Urteil vom 12. Januar 2012 – 29 U 3926/11, juris Rn. 29). Dem wird entgegengehalten, dass die Verordnung nach Erwägungsgrund 9 Satz 3 auch eine wettbewerbsrechtliche Zielsetzung habe (Wolff, ZD 2018, 248).

Vermittelnd wird vertreten, dass datenschutzrechtliche Bestimmungen im Allgemeinen dem Schutz der Persönlichkeitsrechte dienen und sie einen wettbewerbsrechtlichen Bezug nur aufweisen, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (Schaffert in: Münchener Kommentar zum Lauterkeitsrecht, 3. Aufl. 2020, § 3a UWG Rn. 81; Schreiber, GRUR-Prax 2019, 4; diesen Ansatz verfolgend: OLG Frankfurt, Urteil vom 13. Dezember 2000 – 13 U 204/98, juris Rn. 37; zur DSGVO: OLG Sachsen-Anhalt, Urteil vom 07. November 2019 – 9 U 39/18, Rn. 57; Barth, WRP 2018, 790 Rn. 26; Baumgartner/Sitte, ZD 2018, 555 [557]; zur Nutzung personenbezogener Daten ohne Einwilligung: OLG Köln, Urteil vom 19. November 2010 – I-6 U 73/10, juris Rn. 13). In diesem Sinne hat der Senat bereits ausgesprochen, dass die konkrete Norm auf ihren Marktbezug zu untersuchen ist (OLG Stuttgart, Urteil vom 22. Februar 2007 – 2 U 132/06, juris Rn. 27). Das Datenschutzrecht mit seinen facettenreichen Verzweigungen verfolgt nicht allein einen einzelnen Schutzzweck. Daher verbietet sich eine generalisierende Betrachtung (Schmitt, WRP 2019, 27 Rn. 12).

bb) Als Marktverhalten im Sinne von § 3a UWG ist jede Tätigkeit auf einem Markt anzusehen, die objektiv der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen dient und durch die ein Unternehmer auf Mitbewerber, Verbraucher oder sonstige Marktteilnehmer einwirkt (OLG Stuttgart, Urteil vom 08. Juni 2017 - 2 U 127/16, juris Rn. 28 – Extraportion Vitamin C). Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt (BGH, Urteil vom 08. Oktober 2015 – I ZR 225/13, juris Rn. 21 – Eizellspende). Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urteil vom 27. April 2017 – I ZR 215/15, juris Rn. 20 – Aufzeichnungspflicht). Nicht erforderlich ist dabei eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt (BGH, Urteil vom 04. November 2010 – I ZR 139/09, juris Rn. 34). Die Vorschrift muss aber zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken (BGH, Urteil vom 28. November 2019 – I ZR 23/19, juris Rn. 24 – Pflichten des Batterieherstellers).

cc) Nach diesen Maßstäben, denen zufolge nicht nur die Interessen der Mitbewerber, sondern aller Marktteilnehmer einzubeziehen sind, liegt hinsichtlich aller Informationspflichten ein Marktbezug vor.

(1) Die Kenntnis des Namens und der Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO) hat eine verbraucherschützende Funktion und weist den erforderlichen wettbewerblichen Bezug auf. Sie erleichtert die Kommunikation mit dem Unternehmen (zur Anbieterkennzeichnung bei Telemediendiensten: BGH, Urteil vom 20. Juli 2006 – I ZR 228/03, juris Rn. 15). In diesem Sinne auch als verbraucherschützend mit Marktbezug zu werten sind die Information über die in Artikel 13 Absatz 2 lit. b DSGVO angesprochenen Rechte gegen den Verantwortlichen sowie der Hinweis auf das Beschwerderecht gegenüber der Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO).

(2) Einen nicht nur persönlichkeitsschützenden Charakter, sondern auch wettbewerblichen Bezug hat ferner die Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO) und darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO). Einen Marktbezug hat schließlich auch die Pflicht zur Erteilung der Information über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO).

Dem Interesse der Verbraucher und sonstigen Marktteilnehmer dient eine Norm, wenn sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützt (Köhler in: Köhler/Bornkamm/Feddersen/Köhler, a.a.O., § 3a UWG Rn. 1.67). Dies ist hier der Fall. Bereits durch den Geschäftskontakt als solchen werden datenschutzrechtliche Belange des Interessenten berührt und entsprechende Pflichten des Unternehmers begründet.

Die Entscheidung des Interessenten für eine Anbahnung des Vertrages stellt eine geschäftliche Entscheidung dar. Der Begriff der „geschäftlichen Entscheidung“ umfasst nicht nur die Entscheidung über den Erwerb oder Nichterwerb eines Produkts, sondern auch damit unmittelbar zusammenhängende Entscheidungen wie die Kontaktaufnahme mit dem Anbieter (BGH, Urteil vom 28. April 2016 – I ZR 23/15, juris Rn. 34 – Geo-Targeting). Die Entscheidung, mit dem Anbieter über Fernkommunikationsmittel in Kontakt zu treten, ist mithin untrennbar mit der Übermittlung personenbezogener Daten verknüpft ist (in diesem Sinne auch OLG Hamburg, Urteil vom 27. Juni 2013 – 3 U 26/12, juris Rn. 58 zu § 13 TMG). Die zu erteilenden Informationen dienen damit auch der Entscheidung des Verbrauchers, mit dem Unternehmen überhaupt in Kontakt zu treten und in diesem Zuge Daten zu übermitteln.

Für den Verbraucher kann für die Anbahnung des Geschäftes auch von Bedeutung sein, für welchen Zweck die Daten verarbeitet und wie lange sie gespeichert werden sollen. Je weiter die Zweckerklärung reicht und je länger die Daten gespeichert werden, desto eher besteht die Gefahr für eine vom Verbraucher unerwünschte Datenverarbeitung durch den Unternehmer oder gar für einen Datenmissbrauch durch Dritte. Insbesondere in den Fällen einer kostenlosen oder günstigen Gegenleistung erkennen Verbraucher durchaus, dass die Verarbeitung ihrer Daten Teil des Geschäftsmodells ist. Die zu erteilenden Informationen zur Datenerhebung stellen somit Informationen dar, die dem Verbraucher eine informierte Entscheidung über die Geschäftsanbahnung ermöglichen.

Dass die mit dem Geschäftskontakt betroffenen datenschutzrechtlichen Belange nicht getrennt hiervon betrachtet werden können, zeigt auch der Umstand, dass Artikel 13 DSGVO nicht (nur) im Sinne einer persönlichkeitsschützenden Norm dazu dient, dem Verbraucher die notwendigen Informationen zu erteilen, um eine wirksame Einwilligung „in informierter Weise“ (Artikel 4 Nr. 11 DSGVO) zu erteilen (Artikel 7 Absatz 1 DSGVO). Vielmehr ist der Verbraucher auch dann über die Zwecke der Datenverarbeitung und deren Rechtsgrundlagen aufzuklären, wenn seine Einwilligung nicht erforderlich ist, weil bereits die Erforderlichkeit der Datenverarbeitung für die Erfüllung des Vertrags oder zur Durchführung vorvertraglicher Maßnahmen deren Rechtmäßigkeit begründet (vgl. Artikel 6 Absatz 1 Satz 1 lit. b DSGVO).

3. Der Verstoß ist auch geeignet, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Spürbarkeit ist dann zu bejahen, wenn eine Beeinträchtigung der geschützten Interessen nicht nur theoretisch, sondern auch tatsächlich mit einer gewissen Wahrscheinlichkeit eintreten kann (OLG Stuttgart, Urteil vom 05. Juli 2018 – 2 U 167/17, juris Rn. 31).

a) Besteht der Verstoß gegen eine Marktverhaltensregelung darin, dass dem Verbraucher eine wesentliche Information vorenthalten wird, ist dieser Verstoß nur dann spürbar im Sinne von § 3a UWG, wenn er die ihm vorenthaltene wesentliche Information je nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, und deren Vorenthalten geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte (BGH, Urteil vom 31. Oktober 2018 – I ZR 73/17, juris Rn. 31 – Jogginghosen).

Den Unternehmer, der geltend macht, dass der Verbraucher – abweichend vom Regelfall – eine ihm vorenthaltene wesentliche Information für eine Kaufentscheidung nicht benötigt und dass das Vorenthalten dieser Information den Verbraucher nicht zu einer anderen Kaufentscheidung veranlassen kann, trifft insoweit allerdings eine sekundäre Darlegungslast (BGH, Urteil vom 02. März 2017 – I ZR 41/16, juris Rn. 32 – Komplettküchen). Der Verbraucher wird eine wesentliche Information im Allgemeinen für eine informierte geschäftliche Entscheidung benötigen. Ebenso wird, sofern im konkreten Fall keine besonderen Umstände vorliegen, grundsätzlich davon auszugehen sein, dass das Vorenthalten einer wesentlichen Information, die der Verbraucher nach den Umständen benötigt, um eine informierte Entscheidung zu treffen, geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er bei der geboten gewesenen Information nicht getroffen hätte (BGH, Urteil vom 07. März 2019 – I ZR 184/17, juris Rn. 27 – Energieeffizienzklasse III).

b) Aus den Gründen, aus denen die Informationspflichten gemäß Artikel 13 DSGVO als Marktverhaltensregelungen einzuordnen sind, ist ein hiergegen gerichteter Verstoß regelmäßig als spürbar zu bewerten. Der Beklagte hat auch keinen Vortrag dazu gehalten, der in Zweifel ziehen würde, dass der Verbraucher die zu erteilenden Informationen abweichend vom Regelfall nicht für eine informierte Entscheidung, mit ihm über das Internetportal zur Geschäftsanbahnung in Kontakt zu treten, benötigen würde.

5. Der Anspruch ist auch nicht verjährt.

Die vor Ablauf der Verjährungsfrist am 19.10.2018 zugestellte Klage war zunächst darauf gerichtet, die konkrete Verletzungsform unter dem Aspekt untersagen zu lassen, dass eine Webseite betrieben werde, ohne eine Datenschutzerklärung vorzuhalten. Da dieser rechtliche Gesichtspunkt sowohl nach Maßgabe des § 13 TMG als auch nach Maßgabe von Artikel 13 DSGVO zu prüfen war, schadet die spätere Aufteilung in zwei Streitgegenstände nicht. Unerheblich ist, dass die Vorgaben an den Inhalt die zu erteilenden Informationen über die Datenerhebung teilweise voneinander abweichen. Der Kläger hat insoweit die vollständig unterbliebene Erklärung beanstandet; dies deckt die Beurteilung nach beiden Bestimmungen ab. Die nach § 204 Absatz 1 Nr. 1 BGB eintretende Hemmung der Verjährung erfasst damit auch beide rechtliche Gesichtspunkte."

Den Volltext der Entscheidung finden Sie hier:




EuGH: Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für Erhebung und Übermittlung aber nicht für spätere Verarbeitung durch Facebook mitverantwortlich

EuGH
Urteil vom 29.07.2019
C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,


Der EuGH hat entschieden, dass Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für die Erhebung und Übermittlung der Daten an Facebook aber nicht für die spätere Verarbeitung durch Facebook gemeinsam mit Facebook mitverantwortlich sein können.

Zudem stellt der EuGH klar, dass weder die alte Datenschutzrichtlinie noch die DSGVO der gerichtlichen Inanspruchnahme mutmaßlicher Verletzer von Vorschriften zum Schutz personenbezogener Daten durch Verbraucherschutzverbände entgegenstehen.

Tenor der Entscheidung:

1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.

2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein.

Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.

Fashion ID, ein deutscher Online-Händler für Modeartikel, band in ihre Website den „Gefällt mir“- Button von Facebook ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Das mit dem Rechtsstreit befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutz-Grundverordnung von 2016 mit Wirkung vom 25. Mai 2018 ersetzt worden ist).

In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Gerichtshof stellt sodann fest, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Es scheint insbesondere, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.

Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.

Außerdem präzisiert der Gerichtshof noch zwei der sechs in der Richtlinie vorgesehenen Fälle einer rechtmäßigen Verarbeitung personenbezogener Daten.

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der Gerichtshof, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der Gerichtshof, dass jeder der für die Verarbeitung (Mit-)Verantwortlichen, d. h. der Betreiber einer Website und der Anbieter eines Social Plugins, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.


Den Volltext der Entscheidung finden Sie hier:



EuGH-Generalanwalt: Verbraucherschutzvereine dürfen Datenschutzverstöße abmahnen - Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für Gefällt-Mir-Button verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 19.12.2018
C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.

Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.

Ergebnis:
"Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."


Den vollständigen Text finden Sie hier:


LG Hamburg: Einsatz von Google-Analytics ohne ausreichenden Datenschutzhinweis ist ein abmahnfähiger Wettbewerbsverstoß - Streitwert 20.000 EURO

LG Hamburg
Beschluss vom 13.03.2016
312 O 127/16


Das LG Hamburg hat wie erwartet entschieden, dass der Einsatz von Analyse-Software wie Google-Analytics ohne ausreichenden Datenschutzhinweis einen abmahnfähigen Wettbewerbsverstoß darstellt und in diesem Verfahren eine einstweilige Verfügung erlassen. Den Streitwert hat das Gericht auf 20.000 EURO festgesetzt.


LG Köln: Fehlende Datenschutzerklärung nach § 13 TMG ist ein abmahnfähiger Wettbewerbsverstoß

LG Köln
Beschluss vom 26.11.2015
33 O 230/15


Das LG Köln hat in einem einstweiligen Verfügungsverfahren entschieden, dass das Fehlen einer Datenschutzerklärung nach § 13 TMG einen abmahnfähigen Wettbewerbsverstoß darstellt. Eine nähere Begründung enthällt der Beschluss nicht.

Den Volltext der Entscheidung finden Sie hier:

§ 13 Telemediengesetz (TMG):

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.

(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,

2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,

3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,

4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und

6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.

An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

(8) Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.

"Canvas Fingerprinting - Die Grenzen des Trackings" - Neuer Beitrag in der Internet World Business von RA Marcus Beckmann zur Rechtswidrigkeit des Einsatzes derartiger Trackingmethoden

In Ausgabe 16/14, S. 19 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann. In dem Beitrag "Canvas Fingerprinting - Die Grenzen des Trackings" befasst sich RA Beckmann mit den der im Regelfall rechtswidrigen Praxis beim Einsatz von Canvas Fingerprinting / Digital Fingerprinting zum Erfassen des Nutzerverhaltens.


"Tracking ohne Risiko" - Neuer Beitrag in der Internet World Business von RA Marcus Beckmann

In Ausgabe 8/14, S. 18 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann. In dem Beitrag "Tracking ohne Risiko" befasst sich Beckmann mit dem rechtskonformen Einsatz von Tracking-Tools wie Google Analytics und Piwik vor dem Hintergrund der Piwik-Entscheidung des LG Frankfurt - Urteil vom 18.02.2014 - 3-10 O 86-12.


LG Frankfurt: Nutzung von Piwik und anderer Trackingtools ohne Belehrung und Hinweis auf Widerspruchsmöglichkeit ein abmahnfähiger Wettbewerbsverstoß

LG Frankfurt
Urteil vom 18.02.2014
3-10 O 86-12
Piwik


Das LG Frankfurt hat entschieden, dass die Nutzung von Piwik und anderer Trackingtools ohne Belehrung und Hinweis auf Widerspruchsmöglichkeit gemäß §§ 15 Abs. 3, 13 Abs. 1 TMG ein abmahnfähiger Wettbewerbsverstoß ist.

Aus den Entscheidungsgründen:

"b) Die Antragsgegnerin ist aber verpflichtet, den Nutzer zu Beginn des Nutzungsumfangs und später jederzeit abrufbar auf die Widerspruchsmöglichkeit hinzuweisen (§§ 15 Abs. 3, 13 Abs. 1 TMG). Nach § 15 Abs. 3 Satz 1 TMG darf der Diensteanbieter zwar für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Er hat den Nutzer allerdings „im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG" auf sein Widerspruchsrecht hinzuweisen (§ 15 Abs. 3 Satz 1 TMG).
§15 Abs. 3 TMG findet auf die von der Antragsgegnerin mit dem Programm Piwik erstellten Nutzerprofile Anwendung.
[…]
bb) Die Frage, ob § 15 Abs. 3 TMG auch für anonymisierte Daten gilt, kann jedoch letztlich offen bleiben, weil die Antragsgegnerin bei Erstellung der Nutzungsprofile mit Hilfe des Programms Piwik - entgegen der von dem Hersteller von Piwik selbst gewählten Begrifflichkeit (vgl. dazu den Screenshot Anlage 26, Bl. 263 sowie die als Anlage AG 6, Bl. 121 ff. d.A. vorgelegte Stellungnahme eines Mitarbeiters der Vertretung Piwik Deutschland) - Pseudonyme im Sinne des § 15 Abs. 3 TMG verwendet.
[…]
d) Bei § 15 Abs. 3 TMG handelt es sich schließlich auch um eine Marktverhaltersregel im Sinne des § 4 Nr. 11 UWG. Maßgeblich für die Einordnung Ist, ob die Norm das Auftreten auf einem Markt regelt und damit zumindest auch die Interessen der Betroffenen als Marktteilnehmer schützt (vgl. Köhler, in; Köhler/Bornkamm, UWG, 32. Aufl. 2014, § 4 Rdn. 11.42). Der Anwendungsbereich des § 4 Nr. 11 UWG ist nicht auf solche Marktverhaltensregelungen beschränkt, die eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne aufweisen, dass sie die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützen (vgl. BGH, Urteil vom 04.11.2010, l ZR 139/09, zitiert nach Juris Tz. 34-BIO TABAK). Auch eine dem Schutz von Rechten oder Rechtsgütern dienende Vorschrift ist dann eine Marktverhaltensvorschrift, wenn das geschützte Interesse gerade durch die Marktteilnahme berührt wird (OLG Karlsruhe, Urteil vom 09.05.2012, 6 U 38/11, zitiert nach Juris Tz. 34). Auf dieser Grundlage können Datenschutzvorschriften jedenfalls auch Marktverhaltensregeln sein, wenn sie die Grenzen der Zulässigkeit der Nutzung der Daten für Zwecke der Werbung bestimmen (vgl. OLG Köln, Urteil vom 14.08.2009, 6 U 70/09, zitiert nach Juris Tz. 5; zu § 28 Abs. 3 BDSG OLG Karlsruhe, Urteil vom 09.05.2012. 6 U 38/11, zitiert nach Juris Tz. 34; a.A.zu § 28 Abs. 3 BDSG OLG München, Urteil vom 12.01.2012, 29 U 3926/11, zitiert nach Juris Tz. 29; vgl. auch zu § 13 TMG als Marktverhaltensregel OLG Hamburg, Urteil vom 27.06.2013, 3 U 26/12, zitiert nach Juris Tz. 58 unter Verweis auf die Erwägungsgründe zu Art. 10 der Datenschutzrichtlinie 95/46/EG; a.A. zu § 13 TMG KG Berlin, Beschluss vom 29.04.2011, 5 W 88/11, zitiert nach Juris Tz. 38 ff.).
Ausgehend von diesem Maßstab Ist die Regelung des § 15 Abs. 3 TMG auch dazu bestimmt, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. § 15 Abs. 3 TMG regelt den Umgang mit Daten für eigene Geschäftszwecke - einschließlich Werbung - und dient damit jedenfalls auch dem Schutz von Rechtsgütern der Kunden im Zusammenhang mit ihrer Marktteilnahme."

LG München: Kein Anspruch auf Herausgabe der Nutzerdaten gegen Portalbetreiber bei rechtswidrigem Eintrag auf Bewertungsportal

LG München I
Urteil vom 03.07.2013
25 O 23782/12


Das LG München hat entschieden, dass kein Anspruch auf Herausgabe von Nutzerdaten gegen den Betreiber einer Bewertungsplattform besteht (andere Ansicht aber OLG Dresden Beschluss vom 08.02.2012 - 4 U 1850/11). Das Gericht verweist darauf, dass § 13 Abs. 6 TMG ausdrücklich eine anonyme Nutzung von Online-Angeboten vorsieht und ein Auskunftsanspruch nur in den in § 14 TMG vorgesehenen Fällen besteht. Auch das OLG Hamm vertritt eine ähnliche Ansicht (siehe dazu "OLG Hamm: Die Meinungsfreiheit gemäß Artikel 5 GG umfasst auch das Recht seine Meinung im Internet anonym zu äußern")

Die Grundsätze lassen sich natürlich auch auf andere Webangebote (Foren, Blogs, Social Media - Angebote etc. ) übertragen.

Aus den Entscheidungsgründen:


"Nach § 12 II TMG darf der Diensteanbieter die für die Bereitstellung von Telemedien erhobenen personenbezogenen Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
[...]
Diese anonyme Nutzung der von Beklagten betriebenen Bewertungsplattform ist zulässig und in § 13 VI TMG ausdrücklich vorgesehen, dem Diensteanbieter wird insoweit vorgegeben, dass die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen ist, soweit dies technisch möglich und zumutbar ist. Da eine Beschränkung der Meinungsäußerungsfreiheit auf Äußerungen, die einem bestimmten Individuum zugeordnet werden können, mit Art. 5 Abs. 1 Satz 1 GG nicht vereinbar ist (vgl. BGH, Urteil vom 23.06.2009, VI ZR 196/08) und § 13 TMG eine anonyme Nutzung ausdrücklich vorsieht, ist die Handhabung der Beklagten rechtlich zulässig und kann einem sich aus § 242 BGB ergebenden Auskunftsanspruch entgegen gehalten werden.

[...]

In § 14 II TMG ist ein Auskunftsanspruch Dritter ausdrücklich geregelt. Nach dieser Vorschrift darf der Diensteanbieter auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.

[...]

Eine analoge Anwendung dieser Vorschrift scheidet aus, da es sich erkennbar eine Ausnahmeregelung handelt, die keine Erweiterung über den ausdrücklich genannten Anwendungsbereich hinaus finden soll, wie sich aus dem Wortlaut der Vorschrift und der Regelung in § 12 II TMG ergibt."

OLG Hamburg: Erhebung und Verwendung personenbezogener Daten entgegen § 13 Abs. 1 TMG ohne Zustimmung und Belehrung ist wettbewerbswidrig - Abmahnfalle Datenschutz

OLG Hamburg
Urteil vom 27.06.2013
3 U 26/12


Das OLG Hamburg hat entschieden, dass die Erhebung und Verwendung personenbezogener Daten ohne Zustimmung und Belehrung entgegen § 13 Abs. 1 TMG wettbewerbswidrig ist. Das OLG Hamburg kommt letztlich zutreffend zu dem Ergebnis, dass § 13 Abs. 1 TMG eine Marktverhaltensregel im Sinne von § 4 Nr. 11 UWG ist.

Datenschutzverstöße wurden bislang von der Rechtsprechung regelmäßig nicht als abmahnfähiger Wettbewerbsverstoß qualifiziert (siehe z.B. "KG Berlin: Verwendung des Facebook Like-Buttons auf Webseiten ist nicht wettbewerbswidrig - Beschluss vom 29.04.2011, 5 W 88/11").

Verstöße gegen § 13 Abs. 1 TMG oder andere Datenschutzverstöße sind allgegenwärtig. Nachdem sich nun das OLG Hamburg deutlich positioniert hat, muss mit zahlreichen Abmahnungen und rechtlichen Auseinandersetzungen gerechnet werden.

Aus den Entscheidungsgründen:

"Der geltendgemachte Unterlassungsanspruch besteht gemäß §§ 3, 4 Nr. 11, 8 UWG i.V.m. § 13 Abs. 1 TMG, denn die beanstandete Internetseite beinhaltet nicht die nach § 13 Abs. 1 TMG erforderlichen Informationen.

Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Mißachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d)."


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Verstoß gegen datenschutzrechtliche Bestimmungen (hier §§ 4, 28 BDSG) kann ein abmahnfähiger Wettbewerbsverstoß sein

OLG Karlsruhe
Urteil vom 09.05.2012
6 U 38/11


Das OLG Karlsruhe hat entschieden, dass der Verstoß gegen datenschutzrechtliche Bestimmungen (hier §§ 4, 28 BDSG) ein abmahnfähiger Wettbewerbsverstoß sein kann.

Es war nur eine Frage der Zeit, bis es zu einer solchen Entscheidung kommt. Bislang war die Rechtsprechung insoweit eher zurückhaltend (siehe z.B. KG Berlin
Beschluss vom 29.04.2011, 5 W 88/11, Facebook Like-Button
). Allerdings darf aus dieser Entscheidung des OLG Karlsruhe nicht der Schluss gezogen werden, dass nach Ansicht dieses Gerichts jeder datenschutzrechtliche Verstoß automatisch wettbewerbswidrig ist. Das Gericht nimmt vorliegend einen Wettbewerbsverstoß an, da die betroffenen Vorschriften die Nutzung von Daten für Verkaufsförderung und Werbung regeln.


Aus den Entscheidungsgründen:

"Bei §§ 4 Abs. 1, 28 BDSG handelt es sich um Marktverhaltensregeln im Sinne des § 4 Nr. 11 UWG, weil und soweit sie die Zulässigkeit des Erhebens (§ 3 Abs. 3 BDSG), Verarbeitens (§ 3 Abs. 4 BDSG) und Nutzens (§ 3 Abs. 5 BDSG) personenbezogener Daten (§ 3 Abs. 1 BDSG) für Zwecke der Verkaufsförderung, insbesondere der Werbung, regeln.

§ 4 Nr. 11 UWG erfasst nur solche Vorschriften, die zumindest auch den Schutz der Interessen der Marktteilnehmer bezwecken. Marktteilnehmer sind nach § 2 Abs. 1 Nr. 2 UWG neben Mitbewerbern und Verbrauchern alle Personen, die als Anbieter oder Nachfrager von Waren oder Dienstleistungen tätig sind. Der Zweck, Interessen der Marktteilnehmer zu schützen, muss nicht der einzige und nicht einmal der primäre Zweck der jeweiligen Norm sein (Köhler/Bornkamm a.a.O. § 4 Rn. 11.33)."


Den Volltext der Entscheidung finden Sie hier:


Anmerkung zu: Oberste Aufsichtsbehörden für den Datenschutz - Einbindung von Social-Plugins, Facebook-Fanpages etc. verstoßen gegen deutsches Datenschutzrecht

Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08. Dezember 2011)

Der Düsseldorfer Kreis hat einen Beschluss zum Datenschutz in sozialen Netzwerken veröffentlicht. Danach ist die Einbindung von Social-Plugins und das Betreiben von Facebook-Fanpages etc. in der derzeitigen Ausgestaltung mit dem deutschen Datenschutzrecht nicht zu vereinbaren sind.

In dem Beschluss heißt es:
"In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden"


Anmerkung:
Auch wenn wir die zahlreichen datenschutzrechtlichen Probleme in sozialen Netzwerken nicht verharmlosen wollen und Facebook & Co. allzu offenherzig mit dem Datenschutz umgehen, stellt sich die Frage, ob das Datenschutzrecht dazu dienen soll, technische Innovationen und neue Anwendungen, die von Internetnutzern und Unternehmen vielfach genutzt und gewollt werden, zu blockieren. Zudem ist es sehr bedauerlich und nicht hinnehmbar, dass nach Ansicht der Datenschützer nunmehr die Unternehmen, welche Socialmedia-Plattformen nutzen, die Zeche zahlen sollen.

Die Einhaltung datenschutzrechtlicher Vorgaben ist im Internet auch außerhalb von Social-Media-Plattformen praktisch unmöglich. Es ist dringend erforderlich, dass das deutsche Datenschutzrecht komplett erneuert sowie an neue technische und auch gesellschaftliche Gegebenheiten angepasst wird. Dabei gilt es auch die zum Teil fundamentalistisch anmutenden Positionen von Datenschützern und Datennutzern beiderseits zu überdenken und einen interessengerechten Ausgleich zu finden.



Wissenschaftlicher Dienst des Deutschen Bundestages veröffentlicht Gutachten zu Facebook Fanpages, dem Gefällt-Mir-Button und anderen Social-Plugins

Das wissenschaftliche Dienst des Deutschen Bundestages hat ein Gutachten zu Facebook Fanpages, dem Gefällt-Mir-Button und anderen Social-Plugins veröffentlicht. Es überrascht nicht, dass das Gutachten zu dem Ergebnis kommt, dass die Rechtslage unklar ist.

Am Ende des Gutachtens heißt es :

"Vielmehr ist das geltende Datenschutzrecht von Unsicherheiten geprägt und macht die eindeutige Beantwortung rechtlicher Fragen in diesem Bereich schwer. Eine gerichtliche Beurteilung der untersuchten Sachverhalte steht bislang aus. Die zur Frage der Personenbezogenheit einer IP-Adresse auch in der Rechtsprechung vertretenen verschiedenen Auffassungen machen zudem deutlich, dass selbst im Falle einer richterlichen Entscheidung nicht von einer endgültigen Klärung datenschutzrechtlichen Kontroversen ausgegangen werden kann. Es kann daher keine abschließende Empfehlung hinsichtlich einer Entfernung der durch das ULD als datenschutzrechtlich unzulässig bewerteten Angebote gegeben werden."

Das Gutachten zeigt abermals, dass sich das deutsche Datenschutzrecht in einem katastrophalen Zustand befindet. Leider ist nicht damit zu rechnen, dass der Gesetzgeber in der Lage ist, eine zeitgemäßes, klares und funktionales Regelwerk zu schaffen. Es hilft dabei gar nichts, wenn Datenschützer wie das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein mit markigen Worten und Ordnungsgeldern drohen. Es wird Zeit, dass das deutsche Datenschutzrecht und auch zahlreiche Datenschützer das Steinzeitalter hinter sich lassen.

ULD Schleswig-Holstein kündigt Ordnungsgelder und Unterlassungsverfügungen gegen Webseitenbetreiber an, die den Facebook Gefällt Mir - Button verwenden

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hat in einer Pressemitteilung Webseitenbetreiber aufgefordert, den Facebook "Gefällt Mir"-Button von ihren Webseiten zu entfernen. Andernfalls will das ULD Schleswig-Holstein mit Ordnungsgeldern und Unterlassungsverfügungen gegen Webseiten-Betreiber in Schleswig-Holstein vorgehen. In der Pressemitteilung heißt es:

"Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro."


Richtig ist daran, dass die Verwendung des Facebook "Gefällt Mir"-Buttons gegen deutsches Datenschutzrecht vertstößt (aber nicht wettbewerbswidrig ist KG Berlin, Beschluss vom 29.04.2011 - 5 W 88/11 und LG Berlin, Urteil vom 14.03.2011- 91 O 25/11). Allerdings hat es einen äußerst schalen Beigeschmack, wenn das ULD SH nicht gegen den eigentlichen Anbieter Facebook sondern gegen die Webseitenbetreiber vorgehen will.

Es bleibt abzuwarten, ob den markigen Worten auch Taten folgen werden.

Die vollständige Pressemitteilung finden Sie hier:



"ULD Schleswig-Holstein kündigt Ordnungsgelder und Unterlassungsverfügungen gegen Webseitenbetreiber an, die den Facebook Gefällt Mir - Button verwenden" vollständig lesen

KG Berlin: Verwendung des Facebook Like-Buttons auf Webseiten ist nicht wettbewerbswidrig

KG Berlin
Beschluss vom 29.04.2011
5 W 88/11
Facebook
Like-Button


Das Kammergericht Berlin hat richtigerweise die Rechtsansicht des LG Berlin, Urteil vom 14.03.2011 - 91 O 25/11 bestätigt, wonach die Verwendung des Facebook Gefällt-Mir-Buttons (Like-Button) auf Webseiten zwar gegen § 13 TMG verstoßen dürfte, dies aber nicht wettbewerbswidrig und somit auch nicht abmahnfähig ist.