Skip to content

EuGH: TC-Strings der IAB Europe sind personenbezogene Daten im Sinne der DSGVO - Zur Zulässigkeit von Werbung per Real Time Bidding

EuGH
Urteil vom 07.03.2024
C-604/22
IAB Europe gegen Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die TC-Strings der IAB Europe personenbezogene Daten im Sinne der DSGVO sind.

Tenor der Entscheidung:
1. Art. 4 Nr. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC‑String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern im Rahmen der von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt.

2. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass

– zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann;

– zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft.

Die Pressemitteilung des EuGH:
Versteigerung von personenbezogenen Daten für Werbezwecke: der Gerichtshof stellt die Regeln auf der Grundlage der DSGVO klar

Wenn ein Nutzer eine Website oder eine Anwendung mit einem Werbeplatz aufruft, können Werbeunternehmen, Datenbroker und Werbeplattformen, die Tausende von Werbetreibenden vertreten, anonym in Echtzeit Gebote abgeben, um diesen Werbeplatz zu erhalten und dort auf das Profil des Nutzers abgestimmte Werbung anzuzeigen (Real Time Bidding).

Bevor jedoch eine solche gezielte Werbung angezeigt wird, muss die vorherige Einwilligung des Nutzers zur Erhebung und Verarbeitung seiner Daten (insbesondere seinen Standort, sein Alter, den Verlauf seiner Suchanfragen und seine zuletzt getätigten Einkäufe betreffend) für bestimmte Zwecke, wie u. a. Marketing oder Werbung, oder zum Austausch dieser Daten mit bestimmten Anbietern eingeholt werden. Der Nutzer kann dem auch widersprechen.

IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. IAB Europe hat eine Lösung entwickelt, die dieses Versteigerungssystem mit der DSGVO in Einklang bringen können soll. Die Nutzerpräferenzen werden in einem aus einer Kombination von Buchstaben und Zeichen bestehenden String kodiert und gespeichert, der als „Transparency and Consent String“ (TC-String) bezeichnet wird und der mit Brokern für personenbezogene Daten und Werbeplattformen geteilt wird, damit diese wissen, worin der Nutzer eingewilligt oder wogegen er Widerspruch eingelegt hat. Auf dem Gerät des Nutzers wird auch ein Cookie gespeichert. Miteinander kombiniert, können der TC-String und das Cookie der IP-Adresse dieses Nutzers zugeordnet werden.

Im Jahr 2022 stellte die belgische Datenschutzbehörde fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO darstelle und dass IAB Europe als Verantwortlicher aufgetreten sei, ohne die Vorschriften der DSGVO vollständig einzuhalten. Die Behörde verhängte gegen IAB Europe mehrere Abhilfemaßnahmen sowie eine Geldbuße. IAB Europe focht diese Entscheidung an und wandte sich an den Appellationshof Brüssel, der dem Gerichtshof Fragen zur Vorabentscheidung vorgelegt hat.

Mit seinem Urteil bestätigt der Gerichtshof, dass der TC-String Informationen über einen identifizierbaren Nutzer enthält und somit ein personenbezogenes Datum im Sinne der DSGVO darstellt. Anhand der in einem TC-String enthaltenen Informationen kann nämlich, wenn sie einer Kennung wie insbesondere der IP-Adresse des Geräts des Nutzers zugeordnet werden, ein Profil dieses Nutzers erstellt und die betreffende Person identifiziert werden.

Darüber hinaus ist IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen. Vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen scheint diese Organisation nämlich bei der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String auf die Verarbeitungen personenbezogener Daten Einfluss zu nehmen und gemeinsam mit ihren Mitgliedern sowohl die Zwecke dieser Verarbeitungen als auch die ihnen zugrunde liegenden Mittel festzulegen. Allerdings kann, unbeschadet einer etwaigen im nationalen Recht vorgesehenen zivilrechtlichen Haftung, IAB Europe für Datenverarbeitungen, die nach der Speicherung der Einwilligungspräferenzen der Nutzer in einem TC-String erfolgen, nur dann als im Sinne der DSGVO verantwortlich angesehen werden, wenn nachgewiesen werden kann, dass dieser Verband Einfluss auf die Festlegung der Zwecke und Modalitäten dieser Weiterverarbeitungen ausgeübt hat.


Den Volltext der Entscheidung finden Sie hier:

OLG Köln: Wettbewerbswidrige Irreführung durch per Cookie gesteuerten angeblich zeitlich begrenzten individuellen Erstkäuferrabatt

OLG Köln
Urteil vom 03.12.2021
6 U 62/21


Das OLG Köln hat entschieden, dass eine wettbewerbswidrige Irreführung durch per Cookie gesteuerten angeblich zeitlich begrenzten individuellen Erstkäuferrabatt besteht.

Aus den Entscheidungsgründen:
Die zulässige Berufung hat auch in der Sache Erfolg. Der Klägerin steht ein Unterlassungsanspruch gem. §§ 3, 5 Abs. 1, 8 Abs. 1, 3 Nr. 1 UWG zu. Die Werbung mit zeitlich befristeten Preisreduzierungen, die nahtlos bzw. kurz hintereinander geschaltet werden, stellt eine unzulässige irreführende geschäftliche Handlung dar, die unlauter ist.

1. Die Anträge, soweit sie sich auf „Bettwaren“ beziehen, sind nicht deshalb zu weitgehend, weil die Klägerin selbst keine Bettwaren außer Matratzen anbieten würde und insoweit nicht aktivlegitimiert wäre. Denn letztlich ist es unstreitig geworden, dass beide Parteien nicht nur Matratzen, sondern auch Bettwaren vertreiben. Zu ihrem eigenen Vertrieb hat die Klägerin zwar erst in der Berufungsinstanz kurz vor der mündlichen Verhandlung vorgetragen, obwohl das Landgericht im angefochtenen Urteil Bedenken angemeldet hatte. Die Beklagte hat jedoch im nachgelassenen Schriftsatz letztlich unstreitig gestellt, dass die Klägerin generell neben Matratzen auch Bettwaren angeboten hat. Dass sie über die genauen Zeiträume keine Kenntnis habe, weil sie die Klägerin nicht überwache, stellt bereits kein ernsthaftes Bestreiten dar. Auf ein Bestreiten mit Nichtwissen kann sie sich schon deshalb nicht zurückziehen, weil sie jedenfalls im April 2020 selbst die Klägerin im Wege der einstweiligen Verfügung wegen Wettbewerbsverstößen bei dem Vertrieb von Bettwaren wie Bettwäsche, Topper und Lattenroste angegriffen hat.

Da danach unstreitig ist, dass die Klägerin jedenfalls auch andere Bettwaren im Angebot hat, ist eine Einschränkung des Tenors nur auf Matratzen nicht gerechtfertigt.

2. Der Antrag zu Ziff. 1, den die Klägerin ursprünglich mit „oder“ verbunden hatte, ist erst in der mündlichen Verhandlung vor dem Landgericht Köln umgestellt worden in einen „und/oder“-Antrag. Diese Änderung der Antragsfassung war aus Sicht des Senats nicht erforderlich; sie war jedenfalls aber unschädlich.

Denn im vorliegenden Fall wirkt sich die Umstellung auf den Umfang des Verbots nicht aus. Der ursprüngliche „oder“-Antrag hätte das Begehren der Klägerin in gleicher Weise erfasst wie jetzt der „und/oder“-Antrag. Es mag grundsätzlich einen Unterschied machen, ob konkrete Verletzungsformen mit „oder“ oder „und/oder“ verbunden werden. Im vorliegenden Fall spielt es hingegen keine Rolle, ob jeweils die Anlage K2 nur im Zusammenhang mit der Vorgängeraktion Anlage K1 und die Aktion Anlage K3 nur im Zusammenhang mit der Vorgängeraktion Anlage K2 etc. zu betrachten sind oder ob darüber hinaus – wegen der Verbindung durch „und“ - alle Aktion mit ihren jeweiligen Vorgängeraktionen in Kombination streitgegenständlich und insgesamt betrachtet werden müssen. Die Auslegung des ursprünglichen sowie des angepassten Antrags ergibt, dass das Begehren der Klägerin von Anfang darauf gerichtet war, eine Rabattaktion zu untersagen, wenn vor dieser bereits unmittelbar zuvor eine vergleichbare Rabattaktion stattgefunden hat. Mit dem Antrag zu Ziff. 1 ging es der Klägerin nicht darum, die Aktionen, die sich aus den Anlagen K2 bis K6 ergeben, als Einheit betrachtet zu untersagen. Vielmehr ging es der Klägerin von vornherein darum, – wie es ausdrücklich im Antrag heißt – nicht „mit einer vorübergehenden Preisherabsetzung (…) zu werben, wenn es bereits eine vorherige Rabattaktion gab, nach der keine oder nur eine unangemessen kurze Pause gemacht wurde (wenn das geschieht wie…)“. Es sollte also von Anfang an die Kombination aus jeweils (nur) zwei hintereinander geschalteten Rabattaktionen untersagt werden. Für den Fall, dass nicht nur die erste, sondern auch die weiteren Zweier-Kombinationen unzulässig sind, ist die Gesamtheit erst recht unzulässig, und wäre dies auch dann, wenn die Kombinationen jeweils nur mit „oder“ verbunden wären. Vor diesem Hintergrund führt vorliegend die „Erweiterung“ durch „und/oder“ im Vergleich zum ursprünglichen Begehren zu keinem weitergehenden Verbot, sodass sich weder Fragen in Bezug auf § 308 ZPO noch auf Verjährung stellen.

3. Indem die Beklagte eine zeitliche Befristung für Rabattaktionen angegeben hat, ohne dass erkennbar war, dass es sich um individuell zugeschnittene Fristen handelt, hat die Beklagte gegen § 5 UWG verstoßen.

a. Die Bewerbung einer befristeten Rabattaktion gem. Anlage K1, bei der es sich um einen bis zum 16.12.2019 befristeten 30%-igen Rabatt mit einem individuellen Code handelt, der sich jedenfalls bereits 3 Tage nach Ablauf der Frist am 19.12.2019 eine weitere bis zum 23.12.2019 befristete allgemeine Rabattaktion über 30% gem. Anlage K2 (Weihnachtszeit30) anschließt, stellt eine irreführende geschäftliche Handlung i.S.d.§ 5 UWG dar.

Nach § 5 Abs. 1 S. 2 Nr. 2 UWG ist eine geschäftliche Handlung irreführend und damit unlauter, wenn sie unwahre oder sonstige zur Täuschung geeignete Angaben enthält, u.a. über das Vorhandensein eines besonderen Preisvorteils.

Bei der Prüfung, ob eine Angabe geeignet ist, den Verkehr irrezuführen, ist die Auffassung der Verkehrskreise entscheidend, an die sich die Werbung richtet, (st. Rspr.: s. nur BGH GRUR 2015, 1019 Rn. 19 - Mobiler Buchhaltungsservice). Soweit sich die Werbung an den Endverbraucher richtet, ist auf den durchschnittlich informierten und verständigen Verbraucher abzustellen, der einer Werbung die der Situation angemessene Aufmerksamkeit entgegenbringt (vgl. Begr. RegE zu § 5, BT-Drs. 15/1487, 19; BGH GRUR 2003, 626, juris Rn. 22 – Umgekehrte Versteigerung II).

aa. Ein Verbraucher, der sich für Matratzen und Bettwaren interessiert, wird in der 1. Rabattaktion einen erheblichen Preisvorteil erblicken, der jedoch nur befristet gewährt wird. Er wird daher durch die Angabe der Frist einem Druck ausgesetzt, möglichst schnell innerhalb der kurzen Frist eine geschäftliche Entscheidung zu treffen. Wenn der Verbraucher nach Ablauf der Frist jedoch erkennt, dass er unmittelbar im Anschluss daran wieder einen vergleichbaren Rabatt erhalten hätte, ist er in seiner Erwartung enttäuscht. Der Verkehr wird irregeführt, wenn für eine Sonderaktion mit einer zeitlichen Befristung geworben wird, dann aber kurz nach Ablauf der Frist weiterhin der reduzierte Preis verlangt wird (vgl. Bornkamm/Feddersen in: KBF, UWG, 39. Aufl. § 5 Rn. 3.8 m.w.N.). Daraus folgt, dass die Kombination einer befristeten Rabattaktion mit einer unmittelbar oder in engem zeitlichen Zusammenhang durchgeführten weiteren Rabattaktion mit demselben oder einem vergleichbaren Preisnachlass irreführend ist, weil ein Kunde sich möglicherweise nicht zu einem Kauf entschlossen oder sich intensiver mit dem Angebot befasst hätte, wenn er gewusst hätte, dass er mehr Zeit hatte als die ihm in der ersten Rabattaktion ausdrücklich mitgeteilte Frist.
bb. Da es sich bei der Rabattaktion gem. Anlage K2 um einen allgemeinen Weihnachtsrabatt handelte, ist auch unstreitig, dass dieser Rabatt allen Besuchern angezeigt wurde und von allen hätte in Anspruch genommen werden können. Gleiches gilt für die Kombination Anlage K5 und K6, weil es sich bei der Rabattaktion gem. Anlage K6 ebenfalls um eine allgemeine, für alle sichtbare Aktion gehandelt hat.

Damit ist der Antrag zu Ziff. 1 bezogen auf die Kombinationen a) und e), bei denen eine individuelle Rabattaktion mit einer allgemeinen für jedermann sichtbaren und geltenden kombiniert wurde, jedenfalls irreführend.

b. Bei den anderen Varianten handelt es sich um die Kombination von zwei individuellen Rabattaktionen, die von Seiten der Beklagten derart durch Cookies gesteuert werden, dass derjenige, der zum ersten Mal auf der Seite der Beklagten landet, eine individuelle Rabattaktion angezeigt bekommt. Hinterlässt er – was regelmäßig der Fall ist – bei seinem Besuch Cookies, erkennt dies das System der Beklagten bei einem weiteren Besuch desselben Internetnutzers von demselben Gerät. In diesem Fall wird diesem Nutzer die individuelle Rabattaktion nach Ablauf der Frist nicht mehr angezeigt. Einem neuen Nutzer bzw. einem Nutzer, der nicht anhand von Cookies wiedererkannt wird, wird hingegen erneut die individuelle Rabattaktion angezeigt.

aa. Auch diese Art der Hintereinanderschaltung zweier individueller Rabattaktionen ist irreführend. Denn auch hier erwartet der Nutzer, der zum ersten Mal auf der Seite der Beklagten ist, dass die Rabattaktion nur innerhalb der angezeigten Frist angeboten und in Anspruch genommen werden kann. Tatsächlich handelt es sich jedoch nicht um eine allgemein befristete Rabattaktion. Denn auch nach Ablauf der Frist wurde jedem Nutzer eine entsprechende Rabattaktion angezeigt und konnte von diesem in Anspruch genommen werden, solange er erstmalig auf der Seite war bzw. nicht über Cookies vom System wiedererkannt wurde. Der durchschnittliche Nutzer, der von diesen technischen Hintergründen keine Kenntnis hat, versteht die Rabattwerbung aber dahingehend, dass es einen besonderen Preisnachlass nur in der angegebenen Frist gibt, und zwar generell. Er nimmt die Frist als allgemeingültig ernst und geht davon aus, dass es diesen Rabatt nach Ablauf der ihm angezeigten Frist nicht mehr gibt, wodurch ihm die Attraktivität des Rabattangebots, aber auch die Dringlichkeit besonders hoch erscheint. Dass die Frist individuell auf ihn zugeschnitten ist, weiß er nicht und kann dies weder am Ankündigungstext noch anhand der Verwendung von Code-Buchstabenkombinationen erkennen, zumal in vielen Fällen Gutschriften oder Vergünstigungen im Internet durch Eingabe eines Codes einzulösen sind.

Wenn der Verbraucher wüsste, dass es sich tatsächlich nicht um einen allgemein befristeten Rabatt handelt, sondern um einen im Grunde von der ihm genannten Frist unabhängigen Rabatt, der jedem nicht anhand von Cookies wiedererkannten Besucher gewährt wird, wird er über den Anwendungsbereich und aus seiner Sicht über die Ernsthaftigkeit der Befristung getäuscht. Dass die genannte Frist nur für ihn persönlich gilt, kann er nicht erkennen und muss daher auch nicht damit rechnen. Die Formulierung oder Gestaltung des Rabattbanners gibt ihm keine Veranlassung, die in seiner Rabattaktion genannte Frist nur als individuell auf ihn bezogene und nicht als für alle geltende aufzufassen.

bb. Die Beklagte wendet zwar ein, dass es für den einzelnen – nämlichen - Verbraucher keinen Unterschied mache, ob die Frist nur ihm gelte oder allgemein, weil der nämliche Verbraucher tatsächlich nur einmal den individuellen Rabattcode erhalte. Würde er nach Ablauf der Frist erneut auf die Internetseite der Beklagten gehen, würde ihm die individuelle Rabattaktion nicht angezeigt, sodass die Rabattaktion für den nämlichen Verbraucher tatsächlich beendet sei. Die Cookie-gesteuerte Rabattaktion sei vergleichbar mit Werbeaktionen per Flyer, die zu unterschiedlichen Zeiten an unterschiedliche Adressaten, wie Bewohner unterschiedlicher Straßenzüge, verteilt würden.

Dieser Sicht kann nicht gefolgt werden. Denn auch eine solche „analoge“ Aktion wäre nur dann zulässig, wenn für den Verbraucher der Charakter der Aktion erkennbar wäre und er erkennen könnte, dass die Frist, die für seinen Straßenzug genannt ist, auch nur für seinen Straßenzug gilt. Wenn er einen Flyer nur mit einer befristeten Rabattaktion bekommt, die aber allgemeingültig erscheint, und er später feststellt, dass Bewohner anderer Straßenzüge den Rabatt auch außerhalb der genannten Frist bekommen haben, wird er gleichermaßen enttäuscht sein.

Denn bei den individualisierten Rabattaktionen handelt es sich tatsächlich nicht um befristete Aktionen, wie sie der angesprochene Verkehr versteht. Entgegen der ausdrücklichen Ankündigung geht es der Beklagten nicht in erster Linie um eine zeitliche Beschränkung, denn die Beklagte ist bereit, über den angegebenen Zeitraum hinaus quasi jedermann einen Rabatt in derselben Höhe zu gewähren. Die Voraussetzung dabei ist – entgegen der Ankündigung in der Rabattwerbung - nicht die Einhaltung der Frist, sondern der erstmalige Besuch der Seite bzw. ein Besuch, den die Beklagte mangels wiedererkennbarer Cookies als erstmalig annimmt. Sie erweckt durch ihre Rabattaktionen aber den Anschein, als sei ein zeitlicher Druck gegeben, den es in Wirklichkeit nicht gibt, weil die Beklagte grundsätzlich bereit ist, jedem neuen und jedem nicht erkannten Besucher den Rabatt zu gewähren und zwar auch nach Ablauf der in der Anzeige genannten Frist..

Der Verbraucher X, der die Befristung der Rabattaktion mangels anderweitiger Anhaltspunkte nur als allgemein gültig verstehen kann, fühlt sich unter Druck gesetzt, weil er denkt, dass die Einhaltung der Frist erforderlich sei, um den Rabatt zu erhalten.

cc. Es kommt – worauf die Klägerin zutreffend hinweist – auch nicht darauf an, wie viele Verbraucher die Rabattaktion tatsächlich mehrfach angezeigt bekommen, d.h. konkret mit verschiedenen Geräten mehrfach dieselbe Seite aufsuchen, sich im anonymisierten Modus im Internet bewegen oder regelmäßig Cookies löschen. Der Senat geht zwar davon aus, dass nicht nur Internetnutzer, die „etwas zu verbergen haben“, versuchen, möglichst ohne Spuren im Internet unterwegs zu sein, sondern auch Verbraucher, die besonders auf Datenschutz bedacht sind. Auch dürften 2019/2020 genügend Verbraucher neben Smartphones über einen PC oder Laptop verfügt haben, um eine Seite mit mehreren Geräten zu besuchen. Letztlich bedarf es aber keiner Feststellung darüber, wie groß der Anteil derer ist, denen die Rabattaktionen tatsächlich wiederholt angezeigt werden. Letzteres spielt zwar auch eine Rolle, entscheidend ist jedoch, dass jedem neuen Besucher der dem Verbraucher X angekündigte Rabatt – unabhängig von der diesem angezeigten Frist - gewährt wird und die dem Verbraucher X angezeigte Frist nur für ihn gilt und dies auch nur für den Fall, dass er keine Cookies löschen oder verhindern kann und ihm auch kein anderes Gerät zur Verfügung steht. In allen anderen Fällen und für alle anderen Verbraucher hat die Frist keine Wirkung.

dd. Die Beklagte vertritt die Ansicht, der Verbraucher X mache sich keine Gedanken darüber, ob ein Verbraucher Y später denselben Rabatt erhalte. Für Verbraucher X seien nur die für ihn geltenden Konditionen von Interesse und über diese irre er nicht. Auch diesem Ansatz kann nicht gefolgt werden. Denn für die geschäftliche Entscheidung eines Verbrauchers ist es wichtig, die Attraktivität und Günstigkeit eines Angebots einschätzen zu können. Sieht er – wie hier – ein auf einen nur kurzen Zeitraum befristetes Angebot mit einem Preisnachlass, wird er – besonders bei einem erheblichen Preisnachlass – annehmen, dass es sich um ein besonders günstiges Angebot handelt, welches der Unternehmer deshalb nur für kurze Zeit anbietet. Wüsste der Verbraucher X, dass der Preisnachlass in gleicher Höhe jedem weiteren Verbraucher, der neu oder „unerkannt“ die Seite der Beklagten besucht, angeboten wird, stellt sich der „Schnäppchen“-Charakter der Rabattaktion für Verbraucher X anders dar als ohne diese Kenntnis. Ein Preisnachlass, der nach und nach allen Neubesuchern und nicht erkannten Besuchern angeboten wird, ist aus seiner Sicht in seiner Attraktivität nicht vergleichbar mit einem „Schnäppchen“, das insgesamt nur für kurze Zeit angeboten wird.

c. Die Täuschung ist auch relevant. Denn wüsste ein Verbraucher, dass die in der ihm angezeigten Rabattaktion angegebene Frist keine allgemeingültige Begrenzung darstellt, sondern nur für ihn gilt und anderen der Rabatt auch nach Ablauf der Frist weiterhin gewährt würde, würde er die Günstigkeit des Angebots als geringer einschätzen. So wie die Aktion ihm entgegentritt, muss er aber annehmen, dass er sich – wie alle anderen - zwingend innerhalb der Frist entscheiden muss, dafür aber auch auf ein besonders günstiges Angebot hoffen darf.

4. Mit dem zweiten Antrag geht es der Klägerin um denselben Irreführungsaspekt. Sie trägt mit ihrer getrennten Antragstellung lediglich der geänderten Werbung der Beklagten Rechnung, die die nachfolgenden Rabatte konkret als „Erstbesucherrabatt“ oder „persönlicher Rabatt“ bezeichnet hat. Dies betrifft die Aktionen gem. den Anlagen K8 bis K10. Die ebenfalls erwähnte Rabattaktion gem. Anlage K7 war nicht gesondert als „Erstbesucherrabatt“ oder „persönlicher Rabatt“ bezeichnet und deshalb nicht als konkrete Verletzungsform zum Antrag zu Ziff. 2 in den Tenor zu übernehmen. Insoweit dürfte es sich um ein Versehen handeln, und die Anlage K7 noch zum Antrag zu Ziff. 1 gehören.

Auch durch die Benennung der Rabattaktionen ändert sich nichts an der Tatsache, dass verschiedene Erstbesucher- bzw. persönliche Rabatte als befristet angekündigt wurden, obwohl auch Erstbesucher, die nach der angegebenen Frist die Seite der Beklagten besucht haben, den entsprechenden Rabatt von 35% erhalten haben. Auch diese Bezeichnungen geben dem Verbraucher keinen Hinweis auf den Umstand, dass die angegebene Frist nur für ihn gilt.

5. Auch der Antrag zu Ziff. 3 orientiert sich an der veränderten Handhabung durch die Beklagte, nachdem sie nunmehr „Erstkäuferrabatte“ gewährt und diese beim Anklicken auf das Fragezeichen im Kreis erläutert. Die Anlage K11 war nicht in den Tenor aufzunehmen, weil es sich dabei nicht um eine ausdrückliche „Erstkäuferrabatt“-Aktion handelte.

Die in den Anlagen K12 und K14 wiedergegebenen „Erstkäuferrabatte“ werden zwar näher erläutert, wie in Anlage K13 dargestellt. Die Erläuterung betrifft jedoch lediglich die Voraussetzungen, unter denen ein „Erstkäuferrabatt“ gewährt wird. Nicht erläutert wird, dass die gesetzte Frist nur für den Verbraucher X, der „Erstkäufer“ ist, gilt, aber alle weiteren „Erstkäufer“ den Rabatt auch nach Ablauf der angezeigten Frist erhalten. Es besteht daher auch hier die gleiche Irreführungsgefahr wie in den zuvor genannten Fallvarianten.


Den Volltext der Entscheidung finden Sie hier:

LG Frankfurt: Abmahnfähiger Wettbewerbsverstoß durch Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers

LG Frankfurt
Urteil vom 19.10.2021
3-06 O 24/21


Das LG Frankfurt hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß durch Setzen technisch nicht notwendiger Cookies ohne vorherige rechtskonforme Einholung der Einwilligung des Nutzers vorliegt. Insofern liegt ein Verstoß gegen § 3a UWG i.V.m § 15 Abs. 3 TMG vor. Ein Website-Betreiber haftet dabei für etwaige Fehler seines Cookie-Banner-Dienstleisters. Geklagt hatte die Wettbewerbszentrale.


Cookie-Einwilligung - BGH legt EuGH Fragen zu Voraussetzungen und Anforderungen hinsichtlich der Belehrung über Verwendung von Cookies vor

BGH
Beschluss vom 05.10.2017
I ZR 7/16
Cookie-Einwilligung
Richtlinie 2002/58/EG Art. 5 Abs. 3 und Art. 2 Buchst. f; Richtlinie 2009/136/EG Art. 2 Nr. 5; Richtlinie 95/46/EG Art. 2 Buchst. h; Verordnung (EU) 2016/679 Art. 6 Abs. 1 Buchst. a; UKlaG
§ 1; BGB § 307; TMG § 12 Abs. 1, § 13 Abs. 1, § 15 Abs. 3


Wann und in welcher Form bzw. in welchem Umfang Website-Betreiber ihre Webseitenbesucher über die Nutzung von Cookies aufklären müssen, wird nicht einheitlich beantwortet. Der BGH hat dem EuGH nun einige Fragen zu Voraussetzungen und Anforderungen hinsichtlich Belehrung über die Verwendung von Cookies vorgelegt.

Leitsatz des BGH:

Dem Gerichtshof der Europäischen Union werden zur Auslegung der Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Ratesvom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ABl. Nr. L 201 vom 31. Juli 2002, S. 37) in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnezen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz (ABl. Nr. L 337 vom 18. Dezember 2009, S. 11) geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23. November 1995, S. 31) sowie des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. Nr. L 119/1 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

1. a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?

c) Liegt unter den in Vorlagefrage 1 a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 vor?

2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten

BGH, Beschluss vom 5. Oktober 2017 - I ZR 7/16 - OLG Frankfurt am Main - LG Frankfurt am Main

Den Volltext der Entscheidung finden Sie hier:




BVerwG: Facebook oder Fanpagebetreiber - EuGH muss Streit um datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten klären

BVerwG
Beschluss vom 25.02.2016
1 C 28.14


Das BVerwG hat den Streit um die Frage, wer die datenschutzrechtliche Verantwortlichkeit für Facebook-Seiten trägt, dem EuGH zur Entscheidung vorgelegt.

Die Pressemitteilung des BVerwG:

EuGH soll datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären

Das Bun­des­ver­wal­tungs­ge­richt in Leip­zig hat in einem Ver­fah­ren, in dem es um die Be­an­stan­dung des Be­triebs einer Face­book-Fan­page sei­tens der pri­vat­recht­lich or­ga­ni­sier­ten Wirt­schafts­aka­de­mie Schles­wig-Hol­stein durch die Da­ten­schutz­auf­sichts­be­hör­de geht, den Ge­richts­hof der Eu­ro­päi­schen Union (EuGH) an­ge­ru­fen. Die dem EuGH zur Vor­ab­ent­schei­dung vor­ge­leg­ten Fra­gen be­tref­fen die Aus­le­gung der Richt­li­nie 95/46/EG zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Da­ten­ver­kehr (Da­ten­schutz­richt­li­nie). Diese dient u.a. dazu, im Be­reich der Eu­ro­päi­schen Union ein gleich­wer­ti­ges Schutz­ni­veau hin­sicht­lich der Rech­te und Frei­hei­ten von Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten.

Die Klä­ge­rin des Aus­gangs­ver­fah­rens ist eine Trä­ge­rin der be­ruf­li­chen Aus- und Wei­ter­bil­dung, die neben einer ei­ge­nen Home­page eine sog. Fan­page bei Face­book un­ter­hält. Das be­klag­te Un­ab­hän­gi­ge Lan­des­zen­trum für Da­ten­schutz (ULD) hat im No­vem­ber 2011 ge­gen­über der Klä­ge­rin die De­ak­ti­vie­rung die­ser Fan­page an­ge­ord­net. Die Nut­zungs­da­ten der Be­su­cher wür­den von Face­book über ein „Coo­kie“ bei einem Auf­ruf der Fan­page er­ho­ben. Sie wür­den von Face­book u.a. für Zwe­cke der Wer­bung sowie für eine auch der Klä­ge­rin be­reit­ge­stell­te Nut­zer­sta­tis­tik ge­nutzt, ohne dass die Nut­zer hier­über hin­rei­chend auf­ge­klärt wür­den und in diese Nut­zung ein­ge­wil­ligt hät­ten. Das Ver­wal­tungs­ge­richt hat der Klage statt­ge­ge­ben. Das Ober­ver­wal­tungs­ge­richt hat die Be­ru­fung zu­rück­ge­wie­sen, weil es das in § 38 Abs. 5 BDSG vor­ge­se­he­ne ge­stuf­te Ver­fah­ren nicht ein­ge­hal­ten habe. Die Klä­ge­rin sei als Fan­page­be­trei­be­rin auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG ver­ant­wort­li­che Stel­le im Hin­blick auf die von Face­book er­ho­be­nen Daten.

Der 1. Re­vi­si­ons­se­nat des Bun­des­ver­wal­tungs­ge­richts hat eine Vor­la­ge an den EuGH be­schlos­sen. Nach sei­ner Auf­fas­sung wer­fen u.a. die Reich­wei­te der Prüf- und Hand­lungs­be­fug­nis­se des ULD sowie die Frage, ob die Klä­ge­rin als Fan­page­be­trei­be­rin eine da­ten­schutz­recht­li­che Ver­ant­wort­lich­keit für die Aus­wahl des Be­trei­bers ihrer In­ter­ne­tre­prä­sen­tanz und des­sen da­ten­schutz­rechts­kon­for­men Um­gang mit per­so­nen­be­zo­ge­nen Daten trifft, uni­ons­recht­li­che Zwei­fels­fra­gen in Bezug auf die Richt­li­nie 95/46/EG auf. Dabei hat es - wie das OVG - keine Be­ur­tei­lung der Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch Face­book vor­ge­nom­men.

Hier­zu hat der Senat dem EuGH fol­gen­de Fra­gen zur Vor­ab­ent­schei­dung gemäß Art. 267 AEUV vor­ge­legt:

1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin aus­zu­le­gen, dass er Haf­tung und Ver­ant­wort­lich­keit für Da­ten­schutz­ver­stö­ße ab­schlie­ßend und er­schöp­fend re­gelt oder ver­bleibt im Rah­men der „ge­eig­ne­ten Maß­nah­men“ nach Art. 24 RL 95/46/EG und der „wirk­sa­men Ein­griffs­be­fug­nis­se“ nach Art. 28 Abs. 3 Spie­gel­strich 2 RL 95/46/EG in mehr­stu­fi­gen In­for­ma­ti­ons­an­bie­ter­ver­hält­nis­sen Raum für eine Ver­ant­wort­lich­keit einer Stel­le, die nicht i.S.d. Art. 2 Buchst. d) RL 95/46/EG für die Da­ten­ver­ar­bei­tung ver­ant­wort­lich ist, bei der Aus­wahl eines Be­trei­bers für sein In­for­ma­ti­ons­an­ge­bot?

2. Folgt aus der Pflicht der Mit­glied­staa­ten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Da­ten­ver­ar­bei­tung im Auf­trag vor­zu­schrei­ben, dass der für die Ver­ar­bei­tung Ver­ant­wort­li­che einen ‚Auf­trags­ver­ar­bei­ter aus­zu­wäh­len hat, der hin­sicht­lich der für die Ver­ar­bei­tung zu tref­fen­den tech­ni­schen Si­cher­heits­maß­nah­men und or­ga­ni­sa­to­ri­schen Vor­keh­run­gen aus­rei­chend Ge­währ bie­tet‘, im Um­kehr­schluss, dass bei an­de­ren Nut­zungs­ver­hält­nis­sen, die nicht mit einer Da­ten­ver­ar­bei­tung im Auf­trag i.S.d. Art. 2 Buchst. e) RL 95/46/EG ver­bun­den sind, keine Pflicht zur sorg­fäl­ti­gen Aus­wahl be­steht und auch nach na­tio­na­lem Recht nicht be­grün­det wer­den kann?

3. Ist in Fäl­len, in denen ein au­ßer­halb der Eu­ro­päi­schen Union an­säs­si­ger Mut­ter­kon­zern in ver­schie­de­nen Mit­glied­staa­ten recht­lich selb­stän­di­ge Nie­der­las­sun­gen (Toch­ter­ge­sell­schaf­ten) un­ter­hält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kon­troll­stel­le eines Mit­glied­staa­tes (hier: Deutsch­land) zur Aus­übung der nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen Be­fug­nis­se gegen die im ei­ge­nen Ho­heits­ge­biet ge­le­ge­ne Nie­der­las­sung auch dann be­fugt, wenn diese Nie­der­las­sung al­lein für die För­de­rung des Ver­kaufs von Wer­bung und sons­ti­ge Mar­ke­ting­maß­nah­men mit Aus­rich­tung auf die Ein­woh­ner die­ses Mit­glied­staa­tes zu­stän­dig ist, wäh­rend der in einem an­de­ren Mit­glied­staat (hier: Ir­land) ge­le­ge­nen selb­stän­di­gen Nie­der­las­sung (Toch­ter­ge­sell­schaft) nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung die aus­schließ­li­che Ver­ant­wor­tung für die Er­he­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im ge­sam­ten Ge­biet der Eu­ro­päi­schen Union und damit auch in dem an­de­ren Mit­glied­staat (hier: Deutsch­land) ob­liegt, wenn tat­säch­lich die Ent­schei­dung über die Da­ten­ver­ar­bei­tung durch den Mut­ter­kon­zern ge­trof­fen wird?

4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen der für die Ver­ar­bei­tung Ver­ant­wort­li­che eine Nie­der­las­sung im Ho­heits­ge­biet eines Mit­glied­staa­tes (hier: Ir­land) be­sitzt und eine wei­te­re, recht­lich selb­stän­di­ge Nie­der­las­sung in dem Ho­heits­ge­biet eines an­de­ren Mit­glied­staa­tes (hier: Deutsch­land) be­steht, die u.a. für den Ver­kauf von Wer­be­flä­chen zu­stän­dig ist und deren Tä­tig­keit auf die Ein­woh­ner die­ses Staa­tes aus­ge­rich­tet ist, die in die­sem an­de­ren Mit­glied­staat (hier: Deutsch­land) zu­stän­di­ge Kon­troll­stel­le Maß­nah­men und An­ord­nun­gen zur Durch­set­zung des Da­ten­schutz­rechts auch gegen die nach der kon­zern­in­ter­nen Auf­ga­ben- und Ver­ant­wor­tungs­ver­tei­lung für die Da­ten­ver­ar­bei­tung nicht ver­ant­wort­li­che wei­te­re Nie­der­las­sung (hier: in Deutsch­land) rich­ten kann oder sind Maß­nah­men und An­ord­nun­gen dann nur durch die Kon­troll­be­hör­de des Mit­glied­staa­tes (hier: Ir­land) mög­lich, in des­sen Ho­heits­ge­biet die kon­zern­in­tern ver­ant­wort­li­che Stel­le ihren Sitz hat?

5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen die Kon­troll­be­hör­de eines Mit­glied­staa­tes (hier: Deutsch­land) eine in ihrem Ho­heits­ge­biet tä­ti­ge Per­son oder Stel­le nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorg­fäl­ti­gen Aus­wahl eines in den Da­ten­ver­ar­bei­tungs­pro­zess ein­ge­bun­de­nen Drit­ten (hier: Face­book) in An­spruch nimmt, weil die­ser Drit­te gegen Da­ten­schutz­recht ver­sto­ße, die tätig wer­den­de Kon­troll­be­hör­de (hier: Deutsch­land) an die da­ten­schutz­recht­li­che Be­ur­tei­lung der Kon­troll­be­hör­de des an­de­ren Mit­glied­staa­tes, in dem der für die Da­ten­ver­ar­bei­tung ver­ant­wort­li­che Drit­te seine Nie­der­las­sung hat (hier: Ir­land), in dem Sinne ge­bun­den ist, dass sie keine hier­von ab­wei­chen­de recht­li­che Be­ur­tei­lung vor­neh­men darf, oder darf die tätig wer­den­de Kon­troll­stel­le (hier: Deutsch­land) die Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch den in einem an­de­ren Mit­glied­staat (hier: Ir­land) nie­der­ge­las­se­nen Drit­ten als Vor­fra­ge des ei­ge­nen Tä­tig­wer­dens selb­stän­dig auf seine Recht­mä­ßig­keit prü­fen?

6. So­weit der tätig wer­den­den Kon­troll­stel­le (hier: Deutsch­land) eine selb­stän­di­ge Über­prü­fung er­öff­net ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin aus­zu­le­gen, dass diese Kon­troll­stel­le die ihr nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen wirk­sa­men Ein­wir­kungs­be­fug­nis­se gegen eine in ihrem Ho­heits­ge­biet nie­der­ge­las­se­ne Per­son oder Stel­le wegen der Mit­ver­ant­wor­tung für die Da­ten­schutz­ver­stö­ße des in einem an­de­ren Mit­glied­staat nie­der­ge­las­se­nen Drit­ten nur und erst dann aus­üben darf, wenn sie zuvor die Kon­troll­stel­le die­ses an­de­ren Mit­glied­staa­tes (hier: Ir­land) um die Aus­übung ihrer Be­fug­nis­se er­sucht hat?

Bis zur Ent­schei­dung des Ge­richts­hofs hat das BVerwG das Re­vi­si­ons­ver­fah­ren aus­ge­setzt.

BVerwG 1 C 28.14 - Be­schluss vom 25. Fe­bru­ar 2016

Vor­in­stan­zen:
OVG Schles­wig 4 LB 20/13 - Ur­teil vom 04. Sep­tem­ber 2014
VG Schles­wig 8 A 14/12 - Ur­teil vom 09. Ok­to­ber 2013


BVDW: "Whitepaper Webanalyse und Datenschutz" - Hilfestellung für den rechtskonformen Einsatz von Analyse-Tools

Der Bundesverband Digitale Wirtschaft e.V. (BVDW) hat ein Whitepaper zum Thema "Webanalyse und Datenschutz" als PDF-Datei veröffentlicht. DIe Publikation bietet einen Hilfestellung beim Einsatz von Webanalyse-Tools wie Google Analytics oder Piwik.

Article 29 Data Protection Working Party veröffentlicht Übersicht zum Einsatz von Cookies nach der EU-Cookie-Richtlinie

Die Article 29 Working Party der europäischen Datenschutzbeauftragten hat eine Übersicht zum Einsatz von Cookies nach der EU-Cookie-Richtlinie veröffentlicht. Die Richtlinie wurde trotz Ablauf der Umsetzungsfrist bislang nicht in deutsches Recht umgesetzt, ist aber nach Ansicht zahlreicher Datenschützer dennoch unmittelbar anzuwenden.