Skip to content

EuGH: Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für Erhebung und Übermittlung aber nicht für spätere Verarbeitung durch Facebook mitverantwortlich

EuGH
Urteil vom 29.07.2019
C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,


Der EuGH hat entschieden, dass Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für die Erhebung und Übermittlung der Daten an Facebook aber nicht für die spätere Verarbeitung durch Facebook gemeinsam mit Facebook mitverantwortlich sein können.

Zudem stellt der EuGH klar, dass weder die alte Datenschutzrichtlinie noch die DSGVO der gerichtlichen Inanspruchnahme mutmaßlicher Verletzer von Vorschriften zum Schutz personenbezogener Daten durch Verbraucherschutzverbände entgegenstehen.

Tenor der Entscheidung:

1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.

2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein.

Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.

Fashion ID, ein deutscher Online-Händler für Modeartikel, band in ihre Website den „Gefällt mir“- Button von Facebook ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Das mit dem Rechtsstreit befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutz-Grundverordnung von 2016 mit Wirkung vom 25. Mai 2018 ersetzt worden ist).

In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Gerichtshof stellt sodann fest, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Es scheint insbesondere, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.

Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.

Außerdem präzisiert der Gerichtshof noch zwei der sechs in der Richtlinie vorgesehenen Fälle einer rechtmäßigen Verarbeitung personenbezogener Daten.

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der Gerichtshof, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der Gerichtshof, dass jeder der für die Verarbeitung (Mit-)Verantwortlichen, d. h. der Betreiber einer Website und der Anbieter eines Social Plugins, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.


Den Volltext der Entscheidung finden Sie hier:



EuGH-Generalanwalt: Verbraucherschutzvereine dürfen Datenschutzverstöße abmahnen - Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für Gefällt-Mir-Button verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 19.12.2018
C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.

Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.

Ergebnis:
"Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."


Den vollständigen Text finden Sie hier:


LG Hamburg: Einsatz von Google-Analytics ohne ausreichenden Datenschutzhinweis ist ein abmahnfähiger Wettbewerbsverstoß - Streitwert 20.000 EURO

LG Hamburg
Beschluss vom 13.03.2016
312 O 127/16


Das LG Hamburg hat wie erwartet entschieden, dass der Einsatz von Analyse-Software wie Google-Analytics ohne ausreichenden Datenschutzhinweis einen abmahnfähigen Wettbewerbsverstoß darstellt und in diesem Verfahren eine einstweilige Verfügung erlassen. Den Streitwert hat das Gericht auf 20.000 EURO festgesetzt.


LG Köln: Fehlende Datenschutzerklärung nach § 13 TMG ist ein abmahnfähiger Wettbewerbsverstoß

LG Köln
Beschluss vom 26.11.2015
33 O 230/15


Das LG Köln hat in einem einstweiligen Verfügungsverfahren entschieden, dass das Fehlen einer Datenschutzerklärung nach § 13 TMG einen abmahnfähigen Wettbewerbsverstoß darstellt. Eine nähere Begründung enthällt der Beschluss nicht.

Den Volltext der Entscheidung finden Sie hier:

§ 13 Telemediengesetz (TMG):

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.

(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,

2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,

3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,

4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und

6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.

An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

(8) Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.

"Canvas Fingerprinting - Die Grenzen des Trackings" - Neuer Beitrag in der Internet World Business von RA Marcus Beckmann zur Rechtswidrigkeit des Einsatzes derartiger Trackingmethoden

In Ausgabe 16/14, S. 19 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann. In dem Beitrag "Canvas Fingerprinting - Die Grenzen des Trackings" befasst sich RA Beckmann mit den der im Regelfall rechtswidrigen Praxis beim Einsatz von Canvas Fingerprinting / Digital Fingerprinting zum Erfassen des Nutzerverhaltens.


"Tracking ohne Risiko" - Neuer Beitrag in der Internet World Business von RA Marcus Beckmann

In Ausgabe 8/14, S. 18 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann. In dem Beitrag "Tracking ohne Risiko" befasst sich Beckmann mit dem rechtskonformen Einsatz von Tracking-Tools wie Google Analytics und Piwik vor dem Hintergrund der Piwik-Entscheidung des LG Frankfurt - Urteil vom 18.02.2014 - 3-10 O 86-12.


LG Frankfurt: Nutzung von Piwik und anderer Trackingtools ohne Belehrung und Hinweis auf Widerspruchsmöglichkeit ein abmahnfähiger Wettbewerbsverstoß

LG Frankfurt
Urteil vom 18.02.2014
3-10 O 86-12
Piwik


Das LG Frankfurt hat entschieden, dass die Nutzung von Piwik und anderer Trackingtools ohne Belehrung und Hinweis auf Widerspruchsmöglichkeit gemäß §§ 15 Abs. 3, 13 Abs. 1 TMG ein abmahnfähiger Wettbewerbsverstoß ist.

Aus den Entscheidungsgründen:

"b) Die Antragsgegnerin ist aber verpflichtet, den Nutzer zu Beginn des Nutzungsumfangs und später jederzeit abrufbar auf die Widerspruchsmöglichkeit hinzuweisen (§§ 15 Abs. 3, 13 Abs. 1 TMG). Nach § 15 Abs. 3 Satz 1 TMG darf der Diensteanbieter zwar für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Er hat den Nutzer allerdings „im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG" auf sein Widerspruchsrecht hinzuweisen (§ 15 Abs. 3 Satz 1 TMG).
§15 Abs. 3 TMG findet auf die von der Antragsgegnerin mit dem Programm Piwik erstellten Nutzerprofile Anwendung.
[…]
bb) Die Frage, ob § 15 Abs. 3 TMG auch für anonymisierte Daten gilt, kann jedoch letztlich offen bleiben, weil die Antragsgegnerin bei Erstellung der Nutzungsprofile mit Hilfe des Programms Piwik - entgegen der von dem Hersteller von Piwik selbst gewählten Begrifflichkeit (vgl. dazu den Screenshot Anlage 26, Bl. 263 sowie die als Anlage AG 6, Bl. 121 ff. d.A. vorgelegte Stellungnahme eines Mitarbeiters der Vertretung Piwik Deutschland) - Pseudonyme im Sinne des § 15 Abs. 3 TMG verwendet.
[…]
d) Bei § 15 Abs. 3 TMG handelt es sich schließlich auch um eine Marktverhaltersregel im Sinne des § 4 Nr. 11 UWG. Maßgeblich für die Einordnung Ist, ob die Norm das Auftreten auf einem Markt regelt und damit zumindest auch die Interessen der Betroffenen als Marktteilnehmer schützt (vgl. Köhler, in; Köhler/Bornkamm, UWG, 32. Aufl. 2014, § 4 Rdn. 11.42). Der Anwendungsbereich des § 4 Nr. 11 UWG ist nicht auf solche Marktverhaltensregelungen beschränkt, die eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne aufweisen, dass sie die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützen (vgl. BGH, Urteil vom 04.11.2010, l ZR 139/09, zitiert nach Juris Tz. 34-BIO TABAK). Auch eine dem Schutz von Rechten oder Rechtsgütern dienende Vorschrift ist dann eine Marktverhaltensvorschrift, wenn das geschützte Interesse gerade durch die Marktteilnahme berührt wird (OLG Karlsruhe, Urteil vom 09.05.2012, 6 U 38/11, zitiert nach Juris Tz. 34). Auf dieser Grundlage können Datenschutzvorschriften jedenfalls auch Marktverhaltensregeln sein, wenn sie die Grenzen der Zulässigkeit der Nutzung der Daten für Zwecke der Werbung bestimmen (vgl. OLG Köln, Urteil vom 14.08.2009, 6 U 70/09, zitiert nach Juris Tz. 5; zu § 28 Abs. 3 BDSG OLG Karlsruhe, Urteil vom 09.05.2012. 6 U 38/11, zitiert nach Juris Tz. 34; a.A.zu § 28 Abs. 3 BDSG OLG München, Urteil vom 12.01.2012, 29 U 3926/11, zitiert nach Juris Tz. 29; vgl. auch zu § 13 TMG als Marktverhaltensregel OLG Hamburg, Urteil vom 27.06.2013, 3 U 26/12, zitiert nach Juris Tz. 58 unter Verweis auf die Erwägungsgründe zu Art. 10 der Datenschutzrichtlinie 95/46/EG; a.A. zu § 13 TMG KG Berlin, Beschluss vom 29.04.2011, 5 W 88/11, zitiert nach Juris Tz. 38 ff.).
Ausgehend von diesem Maßstab Ist die Regelung des § 15 Abs. 3 TMG auch dazu bestimmt, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. § 15 Abs. 3 TMG regelt den Umgang mit Daten für eigene Geschäftszwecke - einschließlich Werbung - und dient damit jedenfalls auch dem Schutz von Rechtsgütern der Kunden im Zusammenhang mit ihrer Marktteilnahme."

LG München: Kein Anspruch auf Herausgabe der Nutzerdaten gegen Portalbetreiber bei rechtswidrigem Eintrag auf Bewertungsportal

LG München I
Urteil vom 03.07.2013
25 O 23782/12


Das LG München hat entschieden, dass kein Anspruch auf Herausgabe von Nutzerdaten gegen den Betreiber einer Bewertungsplattform besteht (andere Ansicht aber OLG Dresden Beschluss vom 08.02.2012 - 4 U 1850/11). Das Gericht verweist darauf, dass § 13 Abs. 6 TMG ausdrücklich eine anonyme Nutzung von Online-Angeboten vorsieht und ein Auskunftsanspruch nur in den in § 14 TMG vorgesehenen Fällen besteht. Auch das OLG Hamm vertritt eine ähnliche Ansicht (siehe dazu "OLG Hamm: Die Meinungsfreiheit gemäß Artikel 5 GG umfasst auch das Recht seine Meinung im Internet anonym zu äußern")

Die Grundsätze lassen sich natürlich auch auf andere Webangebote (Foren, Blogs, Social Media - Angebote etc. ) übertragen.

Aus den Entscheidungsgründen:


"Nach § 12 II TMG darf der Diensteanbieter die für die Bereitstellung von Telemedien erhobenen personenbezogenen Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
[...]
Diese anonyme Nutzung der von Beklagten betriebenen Bewertungsplattform ist zulässig und in § 13 VI TMG ausdrücklich vorgesehen, dem Diensteanbieter wird insoweit vorgegeben, dass die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen ist, soweit dies technisch möglich und zumutbar ist. Da eine Beschränkung der Meinungsäußerungsfreiheit auf Äußerungen, die einem bestimmten Individuum zugeordnet werden können, mit Art. 5 Abs. 1 Satz 1 GG nicht vereinbar ist (vgl. BGH, Urteil vom 23.06.2009, VI ZR 196/08) und § 13 TMG eine anonyme Nutzung ausdrücklich vorsieht, ist die Handhabung der Beklagten rechtlich zulässig und kann einem sich aus § 242 BGB ergebenden Auskunftsanspruch entgegen gehalten werden.

[...]

In § 14 II TMG ist ein Auskunftsanspruch Dritter ausdrücklich geregelt. Nach dieser Vorschrift darf der Diensteanbieter auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.

[...]

Eine analoge Anwendung dieser Vorschrift scheidet aus, da es sich erkennbar eine Ausnahmeregelung handelt, die keine Erweiterung über den ausdrücklich genannten Anwendungsbereich hinaus finden soll, wie sich aus dem Wortlaut der Vorschrift und der Regelung in § 12 II TMG ergibt."

OLG Hamburg: Erhebung und Verwendung personenbezogener Daten entgegen § 13 Abs. 1 TMG ohne Zustimmung und Belehrung ist wettbewerbswidrig - Abmahnfalle Datenschutz

OLG Hamburg
Urteil vom 27.06.2013
3 U 26/12


Das OLG Hamburg hat entschieden, dass die Erhebung und Verwendung personenbezogener Daten ohne Zustimmung und Belehrung entgegen § 13 Abs. 1 TMG wettbewerbswidrig ist. Das OLG Hamburg kommt letztlich zutreffend zu dem Ergebnis, dass § 13 Abs. 1 TMG eine Marktverhaltensregel im Sinne von § 4 Nr. 11 UWG ist.

Datenschutzverstöße wurden bislang von der Rechtsprechung regelmäßig nicht als abmahnfähiger Wettbewerbsverstoß qualifiziert (siehe z.B. "KG Berlin: Verwendung des Facebook Like-Buttons auf Webseiten ist nicht wettbewerbswidrig - Beschluss vom 29.04.2011, 5 W 88/11").

Verstöße gegen § 13 Abs. 1 TMG oder andere Datenschutzverstöße sind allgegenwärtig. Nachdem sich nun das OLG Hamburg deutlich positioniert hat, muss mit zahlreichen Abmahnungen und rechtlichen Auseinandersetzungen gerechnet werden.

Aus den Entscheidungsgründen:

"Der geltendgemachte Unterlassungsanspruch besteht gemäß §§ 3, 4 Nr. 11, 8 UWG i.V.m. § 13 Abs. 1 TMG, denn die beanstandete Internetseite beinhaltet nicht die nach § 13 Abs. 1 TMG erforderlichen Informationen.

Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Mißachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d)."


Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe: Verstoß gegen datenschutzrechtliche Bestimmungen (hier §§ 4, 28 BDSG) kann ein abmahnfähiger Wettbewerbsverstoß sein

OLG Karlsruhe
Urteil vom 09.05.2012
6 U 38/11


Das OLG Karlsruhe hat entschieden, dass der Verstoß gegen datenschutzrechtliche Bestimmungen (hier §§ 4, 28 BDSG) ein abmahnfähiger Wettbewerbsverstoß sein kann.

Es war nur eine Frage der Zeit, bis es zu einer solchen Entscheidung kommt. Bislang war die Rechtsprechung insoweit eher zurückhaltend (siehe z.B. KG Berlin
Beschluss vom 29.04.2011, 5 W 88/11, Facebook Like-Button
). Allerdings darf aus dieser Entscheidung des OLG Karlsruhe nicht der Schluss gezogen werden, dass nach Ansicht dieses Gerichts jeder datenschutzrechtliche Verstoß automatisch wettbewerbswidrig ist. Das Gericht nimmt vorliegend einen Wettbewerbsverstoß an, da die betroffenen Vorschriften die Nutzung von Daten für Verkaufsförderung und Werbung regeln.


Aus den Entscheidungsgründen:

"Bei §§ 4 Abs. 1, 28 BDSG handelt es sich um Marktverhaltensregeln im Sinne des § 4 Nr. 11 UWG, weil und soweit sie die Zulässigkeit des Erhebens (§ 3 Abs. 3 BDSG), Verarbeitens (§ 3 Abs. 4 BDSG) und Nutzens (§ 3 Abs. 5 BDSG) personenbezogener Daten (§ 3 Abs. 1 BDSG) für Zwecke der Verkaufsförderung, insbesondere der Werbung, regeln.

§ 4 Nr. 11 UWG erfasst nur solche Vorschriften, die zumindest auch den Schutz der Interessen der Marktteilnehmer bezwecken. Marktteilnehmer sind nach § 2 Abs. 1 Nr. 2 UWG neben Mitbewerbern und Verbrauchern alle Personen, die als Anbieter oder Nachfrager von Waren oder Dienstleistungen tätig sind. Der Zweck, Interessen der Marktteilnehmer zu schützen, muss nicht der einzige und nicht einmal der primäre Zweck der jeweiligen Norm sein (Köhler/Bornkamm a.a.O. § 4 Rn. 11.33)."


Den Volltext der Entscheidung finden Sie hier:


Anmerkung zu: Oberste Aufsichtsbehörden für den Datenschutz - Einbindung von Social-Plugins, Facebook-Fanpages etc. verstoßen gegen deutsches Datenschutzrecht

Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08. Dezember 2011)

Der Düsseldorfer Kreis hat einen Beschluss zum Datenschutz in sozialen Netzwerken veröffentlicht. Danach ist die Einbindung von Social-Plugins und das Betreiben von Facebook-Fanpages etc. in der derzeitigen Ausgestaltung mit dem deutschen Datenschutzrecht nicht zu vereinbaren sind.

In dem Beschluss heißt es:
"In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden"


Anmerkung:
Auch wenn wir die zahlreichen datenschutzrechtlichen Probleme in sozialen Netzwerken nicht verharmlosen wollen und Facebook & Co. allzu offenherzig mit dem Datenschutz umgehen, stellt sich die Frage, ob das Datenschutzrecht dazu dienen soll, technische Innovationen und neue Anwendungen, die von Internetnutzern und Unternehmen vielfach genutzt und gewollt werden, zu blockieren. Zudem ist es sehr bedauerlich und nicht hinnehmbar, dass nach Ansicht der Datenschützer nunmehr die Unternehmen, welche Socialmedia-Plattformen nutzen, die Zeche zahlen sollen.

Die Einhaltung datenschutzrechtlicher Vorgaben ist im Internet auch außerhalb von Social-Media-Plattformen praktisch unmöglich. Es ist dringend erforderlich, dass das deutsche Datenschutzrecht komplett erneuert sowie an neue technische und auch gesellschaftliche Gegebenheiten angepasst wird. Dabei gilt es auch die zum Teil fundamentalistisch anmutenden Positionen von Datenschützern und Datennutzern beiderseits zu überdenken und einen interessengerechten Ausgleich zu finden.



Wissenschaftlicher Dienst des Deutschen Bundestages veröffentlicht Gutachten zu Facebook Fanpages, dem Gefällt-Mir-Button und anderen Social-Plugins

Das wissenschaftliche Dienst des Deutschen Bundestages hat ein Gutachten zu Facebook Fanpages, dem Gefällt-Mir-Button und anderen Social-Plugins veröffentlicht. Es überrascht nicht, dass das Gutachten zu dem Ergebnis kommt, dass die Rechtslage unklar ist.

Am Ende des Gutachtens heißt es :

"Vielmehr ist das geltende Datenschutzrecht von Unsicherheiten geprägt und macht die eindeutige Beantwortung rechtlicher Fragen in diesem Bereich schwer. Eine gerichtliche Beurteilung der untersuchten Sachverhalte steht bislang aus. Die zur Frage der Personenbezogenheit einer IP-Adresse auch in der Rechtsprechung vertretenen verschiedenen Auffassungen machen zudem deutlich, dass selbst im Falle einer richterlichen Entscheidung nicht von einer endgültigen Klärung datenschutzrechtlichen Kontroversen ausgegangen werden kann. Es kann daher keine abschließende Empfehlung hinsichtlich einer Entfernung der durch das ULD als datenschutzrechtlich unzulässig bewerteten Angebote gegeben werden."

Das Gutachten zeigt abermals, dass sich das deutsche Datenschutzrecht in einem katastrophalen Zustand befindet. Leider ist nicht damit zu rechnen, dass der Gesetzgeber in der Lage ist, eine zeitgemäßes, klares und funktionales Regelwerk zu schaffen. Es hilft dabei gar nichts, wenn Datenschützer wie das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein mit markigen Worten und Ordnungsgeldern drohen. Es wird Zeit, dass das deutsche Datenschutzrecht und auch zahlreiche Datenschützer das Steinzeitalter hinter sich lassen.

ULD Schleswig-Holstein kündigt Ordnungsgelder und Unterlassungsverfügungen gegen Webseitenbetreiber an, die den Facebook Gefällt Mir - Button verwenden

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hat in einer Pressemitteilung Webseitenbetreiber aufgefordert, den Facebook "Gefällt Mir"-Button von ihren Webseiten zu entfernen. Andernfalls will das ULD Schleswig-Holstein mit Ordnungsgeldern und Unterlassungsverfügungen gegen Webseiten-Betreiber in Schleswig-Holstein vorgehen. In der Pressemitteilung heißt es:

"Das ULD erwartet von allen Webseitenbetreibern in Schleswig-Holstein, dass sie umgehend die Datenweitergaben über ihre Nutzenden an Facebook in den USA einstellen, indem sie die entsprechenden Dienste deaktivieren. Erfolgt dies nicht bis Ende September 2011, wird das ULD weitergehende Maßnahmen ergreifen. Nach Durchlaufen des rechtlich vorgesehenen Anhörungs- und Verwaltungsverfahrens können dies bei öffentlichen Stellen Beanstandungen nach § 42 LDSG SH, bei privaten Stellen Untersagungsverfügungen nach § 38 Abs. 5 BDSG sowie Bußgeldverfahren sein. Die maximale Bußgeldhöhe liegt bei Verstößen gegen das TMG bei 50.000 Euro."


Richtig ist daran, dass die Verwendung des Facebook "Gefällt Mir"-Buttons gegen deutsches Datenschutzrecht vertstößt (aber nicht wettbewerbswidrig ist KG Berlin, Beschluss vom 29.04.2011 - 5 W 88/11 und LG Berlin, Urteil vom 14.03.2011- 91 O 25/11). Allerdings hat es einen äußerst schalen Beigeschmack, wenn das ULD SH nicht gegen den eigentlichen Anbieter Facebook sondern gegen die Webseitenbetreiber vorgehen will.

Es bleibt abzuwarten, ob den markigen Worten auch Taten folgen werden.

Die vollständige Pressemitteilung finden Sie hier:



"ULD Schleswig-Holstein kündigt Ordnungsgelder und Unterlassungsverfügungen gegen Webseitenbetreiber an, die den Facebook Gefällt Mir - Button verwenden" vollständig lesen

KG Berlin: Verwendung des Facebook Like-Buttons auf Webseiten ist nicht wettbewerbswidrig

KG Berlin
Beschluss vom 29.04.2011
5 W 88/11
Facebook
Like-Button


Das Kammergericht Berlin hat richtigerweise die Rechtsansicht des LG Berlin, Urteil vom 14.03.2011 - 91 O 25/11 bestätigt, wonach die Verwendung des Facebook Gefällt-Mir-Buttons (Like-Button) auf Webseiten zwar gegen § 13 TMG verstoßen dürfte, dies aber nicht wettbewerbswidrig und somit auch nicht abmahnfähig ist.