Skip to content

EuGH-Generalanwalt: Verbraucherschutzvereine dürfen Datenschutzverstöße abmahnen - Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für Gefällt-Mir-Button verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 19.12.2018
C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.

Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.

Ergebnis:
"Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."


Den vollständigen Text finden Sie hier:


LG München: Abmahnfähige Einwilligungs-Klausel wegen Verstoß gegen Art. 6 Abs. 1 DSGVO in AGB eines Online-Dating-Portals

LG München
Urteil vom 11.10.2018
12 O 19277/17


Das LG München hat entschieden, dass die Einwilligungsklausel für die Verarbeitung personenbezogener Daten in den AGB eines Online-Dating gegen Art. 6 Abs. 1 DSGVO verstößt und einen abmahnfähigen Wettbewerbsverstoß darstellt.

Aus den Entscheidungsgründen:

"Im Rahmen des Anmeldevorgangs heißt es auf der Startseite unterhalb einer „Weiter“-Schaltfläche: „Mit meiner Anmeldung erkläre ich mich mit den Nutzungsbedingungen, der Datenschutzerklärung und der Verwendung sowie Weitergabe meiner Daten einverstanden.“

Auf die Anlagen K 2 bis K 4 wird Bezug genommen. In den Nutzungsbedingungen der verschiedenen von der Beklagten betriebenen Plattformen finden sich - jeweils gleichlautend - unter § 2 Abs. 2 unter anderen folgende Passage:
„[...] Der Nutzer erkennt an und stimmt dem ausdrücklich zu, dass ... zur Erleichterung des Einstiegs für neue Nutzer in die Plattform und zur Unterstützung der Kommunikation zwischen den Nutzern, Nachrichten im Namen des Nutzers verschicken kann. [...] Mit der Registrierung bei [Angabe der jeweiligen Plattform] erklärt sich der Nutzer einverstanden auf anderen, thematisch passenden, Seiten des ... Netzwerkes angezeigt zu werden.“

Auf die Anlagen K 5 und K 7 wird Bezug genommen.

Die von der Beklagten für die einzelnen Plattformen verwendete Datenschutzerklärung enthält unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ unter anderem folgende Passage:
„Ich willige ferner ein, dass ... meine personenbezogenen Daten den Kooperationspartnern zur Verfügung stellt, die [Angabe der jeweiligen Plattform] organisatorisch betreuen und vermarkten.“

Auf die Anlagen K 6 und K 8 wird Bezug genommen.

[...]

2. Die Klausel 2 begründet daneben eine rechtswidrige und damit unzulässige Verarbeitung personenbezogener Daten durch die Beklagte.

Durch die Verwendung der Klausel verstößt die Beklagte gegen Art. 6 Abs. 1 DSGVO. Sie erlaubt die Weitergabe personenbezogener Daten an andere Internetplattformen und die Verarbeitung durch diese. An einer wirksamen Einwilligung fehlt es schon deswegen, weil die Klausel unter § 2 Abs. 2 S. 8 der Nutzungsbedingungen nicht Teil der von der Beklagten verwendeten „Einwilligung“ im Bereich „Datenschutz“ (Anlage K 8) ist. Sie ist auch sonst in keiner Weise hervorgehoben. Eine Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO, der eine bewusste Handlung eines informierten Nutzers voraussetzt, liegt damit nicht vor. Zudem fehlt es mangels Nennung der Plattformen, an die Daten weitergegeben werden, sowie mangels Benennung der konkreten Daten, die weitergegeben werden, an einer transparenten Verarbeitung im Sinne des Art. 5 Abs. 1 a) DSGVO. Auch dies führt zur Rechtswidrigkeit und Unwirksamkeit der Klausel.

IV. Auch die in der Datenschutzerklärung der Beklagten (vgl. Anlagen K 6, K 8) unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ enthaltene Klausel 3, wonach der Nutzer einwilligt, dass die Beklagte seine personenbezogenen Daten Kooperationspartnern und Vermarktern zur Verfügung stellt, ist unwirksam.

1. Soweit die Beklagte die Auffassung vertritt, eine Einwilligung des Nutzers sei nicht erforderlich, überzeugt dies nicht. Zum einen geht die Beklagte ausweislich der Überschrift und des Wortlauts ihrer Datenschutzerklärung offenbar selbst davon aus, eine Einwilligung des Nutzers zu benötigen. Zum anderen liegen die Voraussetzungen eines der anderen Erlaubnistatbestände des Art. 6 DSGVO nicht vor. Insbesondere erschließt sich nicht, weshalb die Weitergabe von Daten an irgendwelche „Kooperationspartner“ hier schlicht Werbekunden der Beklagten - zur Erfüllung des Vertrags zwischen dem Nutzer und der Beklagten erforderlich sein sollte (Art. 6 Abs. 1 S. 1 b) DSGVO), oder wie eine solche Weitergabe an Werbekunden die Interessen der Nutzer wahren könnte (Art. 6 Abs. 1 S. 1 f) DSGVO).

2. Die Klausel verstößt gegen geltendes Datenschutzrecht. Eine wirksame Einwilligung des Nutzers nach Art. 6 DSGVO liegt in der streitgegenständlichen Klausel nicht. Die Wirksamkeit einer Einwilligung nach Art. 6 DSGVO setzt voraus, dass diese für den konkreten Fall und in Kenntnis der Sachlage abgegeben wird. Die betroffene Person muss wissen, was mit ihren Daten geschehen soll. Dazu muss sie zunächst wissen, auf welche personenbezogenen Daten sich die Einwilligung bezieht. Unspezifische Pauschal- oder Blankoeinwilligungen sind nicht statthaft (vgl. Schulz in: Gola, DSGVO, 2. Auflage, Rdnr. 34).

Daran fehlt es hier. Die streitgegenständliche Klausel konkretisiert weder, welche genauen personenbezogenen Daten des Nutzers weitergegeben werden. Sie verschweigt auch, wem diese Daten überlassen werden sollen. Die streitgegenständliche Klausel stellt letztlich den Versuch dar, der Beklagten eine pauschale Möglichkeit der Datenweitergabe an nicht näher benannte Vertragspartner zu verschaffen. Dies stellt eine unangemessene Benachteiligung im Sinne des § 307 Abs. 1 S. 1 BGB dar. Die Klausel ist unwirksam.


Den Volltext der Entscheidung finden Sie hier


VG München: Airbnb muss Stadt München Vermieterdaten herausgeben damit Verstöße gegen bayerisches Zweckentfremdungsrecht verfolgt werden können

VG München
Urteil vom 12.12.2018
M 9 K 18.4553

Das VG München hat entschieden, dass Airbnb der Stadt München Vermieterdaten herausgeben muss, damit Verstöße gegen das bayerische Zweckentfremdungsrecht verfolgt werden können.

Die Pressemitteilung des VG München:

Airbnb Ireland muss Identität von Gastgebern preisgeben

Airbnb Ireland muss Daten zu Gastgebern von vermittelten Wohnungen an die Landeshauptstadt München herausgeben. Dies hat die 9. Kammer des Bayerischen Verwaltungsgerichts München mit heute bekanntgegebenem Urteil vom 12. Dezember 2018 entschieden und damit die Klage der Airbnb Ireland UC abgewiesen (Az. M 9 K 18.4553).

Die Klägerin betreibt eine weltweite Online-Plattform zur Vermittlung von privaten Unterkünften. Hierauf inserieren Gastgeber anonym Wohnräume zum zeitweisen Aufenthalt. Nach dem bayerischen Zweckentfremdungsrecht ist eine Vermietung von privaten Wohnräumen länger als acht Wochen im Kalenderjahr für Zwecke der Fremdbeherbergung genehmigungspflichtig. Dadurch soll vermieden werden, dass Wohnraum dem Wohnungsmarkt entzogen wird. Darum hat die beklagte Landeshauptstadt München die Klägerin aufgefordert, sämtliche das Stadtgebiet betreffende Inserate, welche die zulässige Höchstvermietungsdauer überschreiten, mitzuteilen. Konkret soll die Klägerin für den Zeitraum Januar 2017 bis einschließlich Juli 2018 die Anschriften der angebotenen Wohnungen sowie die Namen und Anschriften der Gastgeber mitteilen.

Das Verwaltungsgericht hat entschieden, dass sich die Klägerin trotz ihres Firmensitzes in Irland aufgrund ihrer Tätigkeit im Bundesgebiet an nationale Vorschriften halten muss. Weder sei die Republik Irland für die Überwachung des Zweckentfremdungsrechts in München zuständig noch gelte irisches Recht. Das Auskunftsverlangen sei als Maßnahme zur Überwachung des Zweckentfremdungsrechts nach EU-Recht zulässig. Auch sei die Klägerin als Vermittlerin der Wohnungen verpflichtet mitzuwirken, indem sie der Beklagten die hierfür erforderlichen Daten zur Verfügung stellt. Weniger einschneidende Aufklärungsmöglichkeiten habe die Beklagte nicht. Das Zweckentfremdungsrecht und das darauf beruhende Auskunftsverlangen seien zudem verfassungsgemäß. Der Herausgabe der personenbezogenen Daten stünden keine datenschutzrechtlichen Bedenken entgegen. Auch die Androhung des Zwangsgeldes i.H.v. 300.000 Euro für den Fall der Zuwiderhandlung sei rechtmäßig.

Gegen das Urteil kann die Klägerin innerhalb eines Monats nach Bekanntgabe der vollständigen Entscheidungsgründe beim Bayerischen Verwaltungsgerichtshof in München die Zulassung der Berufung beantragen. Die Verpflichtung zur Herausgabe der Daten besteht ab Rechtskraft des Urteils.




LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen

In Ausgabe 22/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO: Lage bleibt heikel - Uneinheitliche Entscheidungen zur Abmahnfähigkeit von DSGVO-Verstößen".

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein


OLG München: DSGVO steht Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen - Berechtigte Interessen nach Art. 6 Abs. 1 Satz 1 lit f DGSVO

OLG München
Teilurteil vom 24.10.2018
3 U 1551/17


Das OLG München hat entschieden, dass die Vorgaben der DSGVO einem Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen steht. Insofern greift Art. 6 Abs. 1 Satz 1 lit f DGSVO.

Aus den Entscheidungsgründen:

Soweit die Beklagte die Auffassung vertritt, der Auskunftserteitung stünden Bestimmungen der Datenschutz-Grundverordnung entgegen, ist auf Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO zu verweisen. Hiernach ist die Verarbeitung personenbezogener Daten dann rechtmäßig, wenn sie zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Ein Abwägungsgesichtspunkt ist der Hinweis des europäischen Gesetzgebers in den Erwägungsgründen, dass die vernünftigen Erwartungen der betroffenen Person, die auf der Beziehung zu den Verantwortlichen beruhen, zu berücksichtigen sind (vgl. Erwägungsgrund 47 Satz 1 Halbsatz 2). In Satz 2 wird als Beispiel für eine solche Beziehung genannt, dass der Betroffene ein Kunde des Verantwortlichen ist oder in seinen Diensten steht (BeckOK Datenschutzrecht, 25. Edition, Stand 01.05.2018, Bearbeiter Albers/Veit, DS-GVO, Art. 6, Rn. 48).

Vor dem teleologischen Hintergrund von Art. 6 Abs. 1 Satz 1 Buchst. DS-GVO, einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen, können dabei nicht nur rechtliche Interessen von Bedeutung sein, sondern müssen auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden. Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten, wobei das Recht auf Berufsfreiheit hervorzuheben ist (BeckOK, a.a.O., Rn. 49). Geht man davon aus, dass die von seiten der Klägerin erteilte Information der Beklagten zur Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags dient und die Klagepartei gemäß § 242 BGB zur Erteilung einer solchen Information gehalten ist, kann der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden. Insoweit ist besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin - durch Einsatz der Kräne bzw, Aufbauten - nicht verborgen bleibenden Kaufvorgang. Auch stehen Interessen der Kunden an wirtschaftlicher Geheimhaltung nicht inmitten: Daten wie Ratenzahlung, Kreditfinanzierung u.ä. sind nicht Gegenstand der geschuldeten Auskunft.


Den Volltext der Entscheidung finden Sie hier:


Datenschutzkonferenz: Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO) veröffentlicht.


OLG Hamburg: Verstoß gegen Vorgaben der DSGVO kann abmahnfähiger Wettbewerbsverstoß sein

OLG Hamburg
Urteil vom 25.10.2018
3 U 66/17


Das OLG Hamburg hat entschieden, dass ein Verstoß gegen die DSGVO ein abmahnfähiger Wettbewerbsverstoß sein kann. Dabei ist im Einzelfall zu schauen, ob die konkrete verletzte Norm eine Marktverhaltensregel ist, was das Gericht im hier entschiedenen Fall ( Bestellbogen für Therapieallergene ohne Patienteneinwilligung ) verneint hat.

Siehe auch zum Thema
LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

Aus den Entscheidungsgründen:

Die Klägerin ist aber auch unter der Geltung der DSGVO klagebefugt. Der Senat ist entgegen der von der Beklagten vertretenen Auffassung nicht der Ansicht, dass die DSGVO ein abgeschlossenes Sanktionssystem enthält, das die Verfolgung datenschutzrechtlicher Verletzungshandlungen auf lauterkeitsrechtlicher Grundlage durch Mitbewerber ausschlösse.

Diese insbesondere auch von Köhler (ZD 2018, 337 ders. in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40 a, 1.74 b; ebenso: Barth, WRP 2018, 790 (791); Holländer in: BeckOK Datenschutzrecht, 25. Edition 1. August 2018, Art. 84 Rn. 3.2) vertretene Auffassung ist auf Kritik gestoßen. Sie basiert vor allem darauf, dass die Art. 77-79 DSGVO der „betroffenen Person“, also derjenigen Person, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 1 DSGVO), Rechtsbehelfe zur Seite stellt und die betroffene Person nach Art. 80 Abs. 1 der Verordnung berechtigt ist, Organisationen zu beauftragen, die in ihrem Namen die genannten Rechte wahrnimmt. Die Öffnungsklausel des Art. 80 Abs. 2 der Verordnung sehe nur vor, dass die Mitgliedsstaaten diesen Organisationen auch das Recht einräumen können, ohne einen Auftrag der betroffenen Person eine Rechtsverletzung zu verfolgen. Dem entnimmt die Beklagte mit Köhler, dass Wettbewerbern die Befugnis, eigene Rechte geltend machen können, nicht zukommt.

Dagegen wird zu Recht eingewendet, dass Art. 80 Abs. 2 DSGVO die Frage der Verbandsklage regeln will, aber keinen abschließenden Charakter wegen der Rechtsdurchsetzung durch andere hat (Wolff, ZD 2018, 248, 252; ebenso Schreiber, GRUR-Prax 2018, 371 Laoutoumai/Hoppe, K & R 2018, 533, 534 ff.). Dafür spricht auch, dass zwar in den Art. 77-79 DSGVO Rechtsbehelfe betroffener Personen (Art. 77, 78 Abs. 2, 79 DSGVO) oder jeder anderen Person (Art. 78 Abs. 1 DSGVO) geregelt sind, insoweit aber stets unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen (Art. 77 Abs. 1 DSGVO) bzw. eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen (Art. 78 Abs. 1 und 2, 79 Abs. 1 DSGVO) Rechtsbehelfs. Und Art. 82 DSGVO spricht wiederum „jeder Person“, die wegen des Verstoßes gegen die Verordnung einen Schaden erlitten hat, Schadensersatzansprüche zu. Auch das lässt klar erkennen, dass die DSGVO die Verfolgung von datenschutzrechtlichen Verletzungshandlungen durch andere als die „betroffenen Personen“, deren Daten verarbeitet werden (vgl. Art. 4 Nr. 2 DSGVO), nicht ausschließt.

Schließlich heißt es in Art. 84 Abs. 1 DSGVO, dass die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Auch das spricht dafür, dass die Verordnung nur einen Mindeststandard an Sanktionen vorsieht (ebenso Wolff, ZD 2018, 248, 251 m.w.N.).

Der Umstand, dass die Vorschrift mit „Sanktionen“ überschrieben ist, spricht entgegen Köhler (ZD 2018, 337, 338) nicht schon gegen diese Feststellung (vgl. Bergt in Kühling/Buchner, DSGVO BDSG, 2. Auflage 2018, Art. 84 Rn. 2). Gerade im Kontext der Vorschrift des Art. 77 DSGVO, die für jede betroffene Person auch anderweitige – also nicht in der DSGVO selbst geregelte – gerichtliche Rechtsbehelfe offen lässt, sowie der Vorschrift des Art. 82 Abs. 1 DSGVO, die nicht nur der betroffenen Person, sondern jeder Person ein Recht auf Schadensersatz einräumt, wird deutlich, dass die DSGVO wegen anderweitiger, in der Verordnung selbst nicht geregelter Rechtsbehelfe und Sanktionen offen gestaltet ist.


Den Volltext der Entscheidung finden Sie hier:



OLG Nürnberg: DSGVO gilt nicht für personenbezogene Daten Verstorbener - Datenschutzgrundverordnung

OLG Nürnberg
Beschluss vom 09.10.2018
11 W 717/18

Das OLG Nürnberg hat bestätigt, dass die Normen der DSGVO nicht für personenbezogene Daten Verstorbener gelten.

Aus den Entscheidungsgründen:

"Benutzungsbeschränkungen können sich nur aus dem PStG selbst oder aus anderen Gesetzen ergeben, die dem Schutz von Adoptierten (§ 1758 Abs. 1 BGB, § 63 Abs. 1 PStG), Transsexuellen (§ 5 Abs. 1 TSG, § 63 Abs. 2 PStG) oder sonst gefährdeten Personen dienen (§ 64 PStG). Derartige gesetzliche Vorschriften sind jedoch nicht ersichtlich. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung) ist auf den Fall nicht anwendbar, da sie nach ihrem Erwägungsgrund 27 nicht die personenbezogenen Daten Verstorbener betrifft."

Den Volltext der Entscheidung finden Sie hier:


Bundesnetzagentur sperrt per Fax-Spam beworbene Rufnummer der Datenschutzauskunft-Zentrale - DSGVO-Abzocke

Die Bundesnetzagentur hat die per Fax-Spam beworbene Rufnummer der Datenschutzauskunft-Zentrale im Zusammenhang mit der DSGVO-Vertrags-Abzocke gesperrt.

Die Pressemitteilung der Bundesnetzagentur:

Ak­tu­el­ler Hin­weis Rufnummern­missbrauch Bundesnetzagentur bekämpft Fax-Spam der „Datenschutzauskunft-Zentrale“ - beworbene Rufnummer 00800 / 77 000 777 deaktiviert

Anfang Oktober wurden bundesweit massenhaft Spam-Faxe von der sogenannten DAZ Datenschutzauskunft-Zentrale überwiegend an Gewerbetreibende versandt. Darin wurden die Empfänger aufgefordert, ein offiziell erscheinendes Faxformblatt unterschrieben zurückzusenden. Es wurde der Eindruck erweckt, es bestünde eine gesetzliche Pflicht zur Antwort, um vermeintliche Anforderungen der neuen Datenschutzgrundverordnung (DSGVO) zu erfüllen. Die zugesandten Faxformulare enthielten jedoch einen im Kleingedruckten versteckten Vertrag über 1.494 Euro netto, der gutgläubig Antwortenden untergeschoben werden sollte. Für eine Antwort auf diese irreführenden Schreiben wurde die internationale Servicerufnummer 00800 / 77 000 777 angegeben. Bei der Bundesnetzagentur gingen hierzu über 550 Beschwerden ein.

Umfangreiche Ermittlungen ergaben, dass an die 00800er-Rufnummer gerichtete Faxsendungen über eine deutsche Rufnummer an den eigentlichen Versender der Werbe-Faxe weitergeleitet wurden. Auf Betreiben der Bundenetzagentur wurden die deutsche Rufnummer und die 00800er-Rufnummer deaktiviert und sind nicht mehr erreichbar. Seither kann der für die Fax-Werbung Verantwortliche keine Zusendungen mehr von getäuschten Empfängern erhalten.

Die Bundesnetzagentur warnt davor, auf unverlangt zugesandte Faxschreiben ungeprüft zu antworten. Die Zusendung von Faxwerbung ohne vorherige Einwilligung stellt eine unzumutbare Belästigung von Verbrauchern und Gewerbetreibenden dar und ist rechtswidrig.

LG Bochum: Verstoß gegen DSGVO ist kein Wettbewerbsverstoß der von Mitbewerbern abgemahnt werden kann

LG Bochum
Urteil vom 07.08.2018
I-12 O 85/18


Das LG Bochum hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO kein Wettbewerbsverstoß ist, der von Mitbewerbern abgemahnt werden kann.

Das LG Würzburg vertritt die gegenteilige Ansicht (siehe dazu LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß ).

Da bei Rechtsverstößen im Internet der Grundsatz des fliegenden Gerichtsstands gilt, werden Abmahner das LG Bochum meiden und ggf. in Würzburg gerichtliche Schritte einleiten.

Aus den Entscheidungsgründen:

"Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.


Den Volltext der Entscheidung finden Sie hier:


LG Frankfurt: Veröffentlichung von Fotos und Videos auf Facebook-Fanpage eines Friseursalons ohne Einwilligung des Abgebildeten verstößt gegen Vorgaben der DSGVO und KUG

LG Frankfurt
13.09.2018
2-03 O 283/18


Das LG Frankfurt hat entschieden, dass die Veröffentlichung von Fotos und Videos auf der Facebook-Fanpage eines Friseursalons ohne Einwilligung des Abgebildeten gegen Vorgaben der DSGVO und des KUG verstoßen.

Aus den Entscheidungsgründen:

Die Parteien streiten über Ansprüche wegen Verletzung des Persönlichkeitsrechts durch eine Bildnisveröffentlichung.

Der Verfügungsbeklagte (nachfolgend: Beklagter) betreibt einen Frisörsalon in Frankfurt am Main. Am 29.06.2018 begab sich die Verfügungsklägerin (nachfolgend: Klägerin) mit ihrem Lebenspartner, ... , in den Frisörsalon des Beklagten, um eine Haarverlängerung vornehmen zu lassen. Während der Behandlung fotografierte ein der Klägerin unbekannter Mann die Klägerin. Zudem wurde das streitgegenständliche Video (Anl. AS 1, Bl. 16 der Akte), auf dem die Klägerin erkennbar ist, erstellt, wobei streitig ist, ob dies am 29.06.2018 oder am Folgetag geschah.

Kurze Zeit später stellte die Klägerin fest, dass der Beklagte am 04.07.2018 (16:42 Uhr) auf seiner Facebook Fanpage unter der URL

...............

unter anderem das streitgegenständliche Video (Anlage AS 1, Bl. 16 d.A.) postete/veröffentlichte, auf dem die Klägerin - wie auch auf dem nachstehenden Screenshot zu sehen - klar und eindeutig erkennbar ist.

[Foto]

Auf der Facebook Seite befanden sich zum damaligen Zeitpunkt auch Lichtbilder der Klägerin.

Die Klägerin forderte den Beklagten persönlich auf, die Lichtbilder und das Video zu entfernen. Der Beklagte kam der Aufforderung lediglich hinsichtlich der Lichtbilder nach, hinsichtlich des Videos reagierte er - trotz desanwaltlichen Schreibens vom 11.07.2018 (Anlage AS 3, Bl. 8 f. d.A.) - vorgerichtlich nicht.

Die Kammer hat dem Beklagten durch einstweilige Verfügung - Beschluss - vom 27.07.2018 (Bl. 17 ff. d.A.) untersagt, das Bildnis der Klägerin in Form eines Fotos oder als Filmaufnahme/Video öffentlich zur Schau zu stellen, wie dies auf der Website ... mit dem Film wie in Anlage AS 1 geschehen ist. Die Kosten des Eilverfahrens hat die Kammer dem Beklagten auferlegt.

Gegen den Beschluss hat der Beklagte mit Schriftsatz vom 22.08.2018 Widerspruch eingelegt.

Die Klägerin behauptet, ein Hinweis auf etwaige Foto- und/oder Videoaufnahmen oder darauf, dass es sich um einen der sogenannten "Haarmodell-Termine" handele, sei nicht erteilt worden.

Während der Haarverlängerung am 29.06.2018 habe sie mehrfach ausdrücklich darum gebeten, die Fotoaufnahmen zu unterlassen, als ein ihr unbekannter Mann sie aus etwa 1 m Entfernung fotografiert habe.

Die angebliche Videoaufnahme am 30.06.2018 sei heimlich, unbemerkt und gegen ihren Willen erfolgt. Sie habe weder ausdrücklich noch konkludent in die Aufnahme oder die Veröffentlichung des Videos eingewilligt.

Durch die Veröffentlichung des Videos sei sie in ihrem Recht am eigenen Bild gemäß §§ 22, 23 ff. KUG verletzt worden. Eine Ausnahme vom Einwilligungsvorbehalt gemäß § 23 KUG liege nicht vor.

Die Klägerin beantragt,

die einstweilige Verfügung - Beschluss - vom 27.07.2018 zu bestätigen.

Der Beklagte beantragt,

die einstweilige Verfügung des Landgerichts Frankfurt am Main, Az. 2-03 O 283/18 vom 27.07.2018 aufzuheben und den Antrag auf ihren Erlass zurückzuweisen.

Der Beklagte behauptet, dass in seinem Frisörsalon regelmäßig Video- und Bildaufnahmen erfolgten, welche die Arbeiten der Angestellten im Bereich der unterschiedlichsten Frisurentechniken an dafür vorgesehenen Haarmodellen dokumentierten. Diese Aufnahmen würden zu Werbezwecken auf der Internetplattform Facebook veröffentlicht, um dadurch den Frisörsalon der Allgemeinheit vorzustellen und die Vielfältigkeit der Arbeiten zu präsentieren. Diese Aufnahmen erfolgten stets ausschließlich im Beisein der Haarmodelle und grundsätzlich unter Ausschluss weiterer Kunden an dafür bestimmten ausgewählten Terminen.

Als die Klägerin den Frisörsalon des Beklagten am 29.06.2018 aufgesucht habe, hätten die vorbezeichneten Videoaufzeichnungen stattgefunden. Sie habe an diesem Tag keinen Termin zur Haarverlängerung gehabt. Die Klägerin sei von dem Beklagten selbst in Anwesenheit seiner zwei Angestellten, Frau ... und Frau ...,

darauf hingewiesen worden, dass zu diesem Zeitpunkt Videoaufnahmen zum Zwecke der Veröffentlichung durchgeführt würden. Die Klägerin habe der Mitarbeiterin signalisiert, dass es für sie kein Problem darstelle und sie damit einverstanden sei. Sie habe ausdrücklich ihre Einwilligung in die streitgegenständliche Videoaufnahme und deren Veröffentlichung erklärt und werde daher nicht in ihrem Recht am eigenen Bild gemäß §§ 22, 23 ff. KUG verletzt. Die mündlich erteilte Einwilligung habe bis zum Ende der Filmaufnahmen bestanden.

Die Zustimmung sei jedoch zumindest als stillschweigend erteilt anzunehmen, da die Klägerin trotz der ausdrücklichen Unterrichtung über die Aufnahmen zum Zwecke der Veröffentlichung darauf bestanden habe, zu diesem Zeitpunkt behandelt zu werden. Hierdurch habe sie ein Verhalten an den Tag gelegt, das für den objektiven Erklärungsempfänger nur als Einwilligung habe verstanden werden können.

Auch habe die Klägerin ihre Einwilligung zur Veröffentlichung der Aufnahmen nicht wirksam widerrufen. Eine bereits erteilte Einwilligung sei nicht frei widerruflich, da hier kein Widerrufsgrund gemäß § 42 UrhG analog vorläge.

Wegen der weiteren Einzelheiten wird ergänzend auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie den sonstigen Akteninhalt Bezug genommen.

Gründe
Die einstweilige Verfügung der Kammer ist zu bestätigen, denn es besteht sowohl ein Verfügungsanspruch (hierzu nachstehend unter I.) als auch ein Verfügungsgrund (hierzu nachstehend unter II.).

I. Die Klägerin kann von dem Beklagten die Unterlassung der weiteren Veröffentlichung des streitgegenständlichen Videos aus den §§ 823, 1004 BGB, 22 f. KUG bzw. Art. 6 Abs. 1 DSGVO, jeweils i.V.m. Art. 79 Abs. 1, 85 DSGVO verlangen.

Insoweit kann letztlich offen bleiben, ob die §§ 22, 23 KUG als Normen im Sinne von Art. 85 Abs. 1 DSGVO (VO (EU) 2016/679), die am 25.05.2018 Geltung erlangt hat und nationale Regelungen zum Datenschutz grundsätzlich verdrängt, für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Art. 85 Abs. 1 DSGVO einen - zwingend durch die Mitgliedstaaten auszuübenden - Regelungsauftrag enthält oder die §§ 22, 23 KUG insoweit fortgelten können, s. Specht/Bienemann in: Sydow, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 9; Albrecht/Janson, CR 2016, 500; Hansen/Brechtel, GRUR-Prax 2018, 369; Kahl/Piltz, K&R 2018, 289, 292; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1061; Ziebarth/Elsaß, ZUM 2018, 578; Paschke, jurisPR-ITR 15/2018, Anm. 3; jew. m.w.N.; zur weiteren Anwendung von §§ 22, 23 KUG im Falle von Pressemedien vgl. OLG Köln, ZD 2018, 434 m. Anm. Hoeren). Denn sowohl nach den §§ 22, 23 KUG als auch unter Berücksichtigung von Art. 6 Abs. 1 lit. a), f), 7 DSGVO war die Veröffentlichung rechtswidrig.

1.
a) Das streitgegenständliche Video ist ein Bildnis der Klägerin im Sinne von § 22 KUG. Ein solches ist jede Abbildung einer natürlichen Person, welche bestimmt und geeignet ist, sie dem Betrachter in ihrer dem Leben nachgebildeten äußeren Erscheinung vor Augen zu führen und das Aussehen, wie es gerade dieser Person zu Eigen ist, im Bilde wiederzugeben (BGH, NJW 1965, 2148 [BGH 09.06.1965 - Ib ZR 126/63] - Spielgefährtin I; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, Urheberrecht, 4. Aufl. 2018, § 22 Rn. 5). Dies ist bei dem streitgegenständlichen Video der Fall, denn in diesem wird die Klägerin in vielen aufeinanderfolgenden Bildern im Zusammenhang mit der Haarverlängerung abgebildet.

b) Zudem handelt es sich bei dem Video, bzw. dessen Inhalt, um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, da die Klägerin durch das von dem Beklagten veröffentlichte Video identifizierbar ist (vgl. insoweit zur Datenschutz-RL 95/46/EG EuGH, NJW 2015, 463 Rn. 22 ff. - Rynes).

Zu Gunsten des Beklagten greift insbesondere nicht die Haushaltsausnahme gemäß Art. 2 Abs. 2 lit. c) DSGVO, da die streitgegenständliche Veröffentlichung nicht im Rahmen ausschließlich persönlicher Verarbeitung erfolgte, sondern im gewerblichen Kontext und zudem öffentlich im Internet (dazu EuGH, EuZW 2004, 245 Rn. 47 - Lindqvist).

2.
a)
Das Bildnis der Klägerin wurde auch verbreitet im Sinne des KUG, denn der Beklagte hat es auf seiner öffentlich zugänglichen Fanpage bei Facebook im Internet abrufbar gemacht (vgl. hierzu auch OLG Frankfurt a.M. Urt. v. 19.4.2012 - 16 U 189/11, BeckRS 2013, 11801; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, a.a.O., § 22, Rn. 12 m.w.N.).

b)
Damit wurden zugleich personenbezogene Daten verarbeitet im Sinne von Art. 4 Nr. 2 DSGVO.

3. Die Veröffentlichung bzw. Verarbeitung stellt sich sowohl unter Zugrundelegung des Maßstabs des § 22 KUG i.V.m. Art. 85 Abs. 1 DSGVO als auch unter Zugrundelegung des Maßstabs von Art. 6 Abs. 1 lit. a) i.V.m. Art. 7 DSGVO als unzulässig dar, da die Klägerin in die Veröffentlichung ihres Bildnisses nicht eingewilligt hat.

a) Nach dem abgestuften Schutzkonzept der §§ 22, 23 KUG (BGH, GRUR 2007, 527 [BGH 06.03.2007 - VI ZR 51/06] - Winterurlaub m.w.N.; OLG Frankfurt, Urt. vom 07.08. 2018 - 11 U 156/16 -, Rn. 32, juris) dürfen Bildnisse einer Person grundsätzlich nur mit ihrer Einwilligung verbreitet werden (§ 22 S. 1 KUG). Hiervon besteht allerdings gemäß § 23 Abs. 1 KUG eine Ausnahme, z.B. wenn es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt (§ 23 Abs. 1 Nr. 1 KUG). Diese Ausnahme gilt aber nicht für eine Verbreitung, durch die berechtigte Interessen des Abgebildeten gemäß § 23 Abs. 2 KUG verletzt werden (BGH, GRUR 2013, 1065 [BGH 28.05.2013 - VI ZR 125/12] Rn. 10 - Eisprinzessin Alexandra).

Der insoweit darlegungs- und glaubhaftmachungsbelastete Beklagte (vgl. OLG Hamm, AfP 1998, 304 [OLG Hamm 03.03.1997 - 3 U 132/96]; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, a.a.O., § 22, Rn. 32) hat nicht zur Überzeugung der Kammer glaubhaft gemacht, dass die Klägerin in die Aufnahme und Veröffentlichung des streitgegenständlichen Videos eingewilligt hat. Obwohl die Klägerin die eidesstattliche Versicherung vom 26.07.2018 (AS 2, Bl. 6 f. d.A.) vorgelegt hat, welche besagt, dass das Video heimlich und ohne ihre Einwilligung gedreht worden sei, hat der Beklagte keine Glaubhaftmachungsmittel vorgelegt. Auch waren weder die von ihm in diesem Zusammenhang benannten Zeuginnen noch er selbst im Termin zur mündlichen Verhandlung zugegen.

Sofern der Beklagte sich darauf beruft, dass die Klägerin zumindest konkludent eingewilligt habe, da sie trotz ausdrücklicher Unterrichtung über die Aufnahmen zum Zwecke der Veröffentlichung darauf bestanden habe, zu diesem Zeitpunkt behandelt zu werden, so ist dieser Vortrag des Beklagten widersprüchlich, da er zuvor die ausdrückliche Zustimmung der Klägerin behauptet hat. Darüber hinaus hat der Beklagte auch die vorstehenden Behauptungen nicht glaubhaft gemacht.

b) Auch gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche - hier der Beklagte - nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (zur Definition der Einwilligung s. Art. 4 Nr. 11 DSGVO). Dies ist - wie zuvor dargestellt - nicht der Fall.

4.
Die Veröffentlichung bzw. Datenverarbeitung erfolgte in rechtswidriger Weise.

a) Die Veröffentlichung des streitgegenständlichen Videos war gemäß § 23 KUG i.V.m. Art. 85 Abs. 1 DSGVO unzulässig, da es sich bei dem Video offensichtlich nicht um ein Bildnis aus dem Bereich der Zeitgeschichte (§ 23 Abs. 1 Nr. 1 KUG) handelt und auch die sonstigen dort genannten Ausnahmen nicht greifen. Die Einwilligung gemäß § 23 Abs. 2 KUG war daher nicht entbehrlich.

b) Die Verarbeitung des Videos in Form der Veröffentlichung war auch nicht gemäß Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt.

Gemäß Art. 6 Abs. 1 S. 1 DSGVO bzw. Art. 8 Abs. 2 S. 1 GRCh unterliegt die Verarbeitung personenbezogener Daten einem sogenannten "Verbot mit Erlaubnisvorbehalt" (vgl. Reimer in: Sydow, a.a.O., Art. 6 Rn. 1 m.w.N.). In Betracht käme hier - neben einer nicht vorliegenden Einwilligung, wie vorstehend erläutert - lediglich die Ausnahme gemäß Art. 6 Abs. 1 lit. f) DSGVO. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (vgl. hierzu mit Beispielen ErwGr 47-49 DSGVO).

Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung - unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) - als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3). In Anwendung dieser Grundsätze überwiegt vorliegend - wie vorstehend erläutert - das Interesse der Klägerin an der Unterlassung der streitgegenständlichen Verarbeitung in Form der Veröffentlichung.

Selbst ohne Anwendung der Grundsätze der §§ 22, 23 KUG im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO erachtet die Kammer die Interessen der Klägerin gegenüber dem Werbeinteresse des Beklagten hier als überwiegend. Zwar ist die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung grundsätzlich als berechtigtes Interesse anzuerkennen (vgl. ErwGr 47 DSGVO). Es ist jedoch bereits fraglich, ob diese Werbung unter Verwendung von bildlichen Aufnahmen von Kunden ohne weiteres als erforderlich im Sinne von Art. 6 Abs. 1 lit. f) DSGVO anzusehen sind. Darüber hinaus widerspricht es den vernünftigen Erwartungen (vgl. ErwGr 47 DSGVO) eines Kunden in einem Frisörsalon, dass sein Besuch im Salon filmisch festgehalten und zur Bewerbung im Internet verwendet wird.

5. Auch die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr ist gegeben. Im Regelfall indiziert die Erstbegehung die Wiederholungsgefahr (ständige Rechtsprechung BGH, GRUR 1997, 379, 380 [BGH 16.11.1995 - I ZR 229/93] - Wegfall der Wiederholungsgefahr II). Im Allgemeinen gelingt eine Widerlegung der Wiederholungsgefahr durch Abgabe einer strafbewehrten Unterlassungserklärung, die jedoch beklagtenseits verweigert wurde. Damit zeigt der Beklagte, dass nach wie vor Wiederholungsgefahr besteht (vgl. BGH, GRUR 1998, 1045, 1046 [BGH 19.03.1998 - I ZR 264/95] - Brennwertkessel).

6. Die Entscheidung über die Androhung eines Ordnungsmittels beruht auf § 890 ZPO.

II. Es besteht auch ein Verfügungsgrund. Ohne den Erlass einer einstweiligen Verfügung würde das Persönlichkeitsrecht der Klägerin für einen nicht unerheblichen Zeitraum gravierend beeinträchtigt. Dass mit dem Erlass der einstweiligen Verfügung die Hauptsache zumindest für den Zeitraum bis zur Entscheidung in einem Hauptsacheverfahren vorweggenommen wird, liegt in der Natur einer Unterlassungsverfügung.

Auch liegt die erforderliche Dringlichkeit vor. Die einstweilige Verfügung wurde nach weniger als einem Monat nach der Veröffentlichung des streitgegenständlichen Videos bei Facebook beantragt.


Den Volltext der Entscheidung finden Sie hier:

LG Würzburg: Unzureichende Datenschutzerklärung nach DSGVO ist abmahnfähiger Wettbewerbsverstoß

LG Würzburg
Beschluss vom 13.09.2018
11 O 1741/18


Das LG Würzburg hat entschieden, dass eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO genügt, einen abmahnfähigen Wettbewerbsverstoß darstellt.

Die Entscheidung ist keineswegs überraschend, als die Rechtsprechung in den vergangenen Jahren vermehrt dazu übergegangen ist, bei Datenschutzverstößen zugleich einen Wettbewerbstverstoß zu bejahen.

Aus den Entscheidungsgründen:

Die Zuständigkeit des Gerichts ergibt sich hier aus § 14 Abs. 2 UWG (Begehungsort, fliegender Gerichtsstand bezüglich des Internets) und nicht aus § 32 ZPO wie von Antragstellerseite angegeben.

Dem Antragsteller steht ein Verfügungsanspruch auf Unterlassung zu, das der Antragsteller glaubhaft gemacht hat, dass die Antragsgegnerin bezüglich ihrer Homepage gegen die Datenschutzgrundverordnung (DSGVO), die spätestens seit 25.05.2018 umzusetzen ist verstößt. Die im Impressum der Antragsgegnerin enthaltene 7-zeilige Datenschutzerklärung genügt der neuen DSGVO nicht. Es fehlen Angaben zum/zur Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten sowie Art und Zweck deren Verwendung, eine Erklärung zur Weitergabe von Daten, über Cookies, Analysetools, aber vor allem die Belehrung über die Betroffenenrechte, insbesondere Widerspruchsrecht, Datensicherheit und ein Hinweis zur Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren. Mit dem OLG Hamburg (3 U 26/12) und dem OLG Köln (6 U 121/15) geht das erkennende Gericht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht gemäß § 4 Nr. 11 UWG bzw. jetzt § 3 a UWG darstellt und somit vom Antragsteller abgemahnt werden konnte. Dass die Antragsgegnerin Daten erhebt wird schon aus der gleichzeitigen Verwendung eines Kontaktformulars auf der Homepage indiziert. Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.

Gem. § 8 Abs. 3 UWG ist der Antragsteller aktiv legitimiert die beanstandeten Gesetzesverstöße geltend zu machen. Es besteht das erforderliche Wettbewerbsverhältnis aufgrund der Möglichkeit als Rechtsanwalt bundesweit tätig zu werden.

Die erforderliche Wiederholungsgefahr wird durch das rechtsverletzende Verhalten indiziert. Somit ist der Verfügungsanspruch gegeben.

Ein Verfügungsgrund ist bei wettbewerbsrechtlichen Unterlassungsansprüchen gem. § 12 Abs. 2 UWG indiziert. Es besteht damit eine widerlegliche tatsächliche Vermutung der Dringlichkeit. Nach Aufforderung des Gerichts hat der Antragsteller zudem glaubhaft gemacht, dass er innerhalb der von der Rechtsprechung angenommenen Monatsfrist erst von den Verstößen Kenntnis erlangt hat und dass somit keine Selbstwiderlegung der Dringlichkeit durch zu langes Zuwarten vorliegt.

Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.


Den Volltext der Entscheidung finden Sie hier:



Datenschutzkonferenz: Betrieb einer Facebook-Fanpage wie sie derzeit von Facebook angeboten wird ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.

Siehe auch zum Thema: EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Aus dem Beschluss:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können



Den vollständigen Beschluss finden Sie hier:




BMI: Anpassung Datenschutzrecht DSGVO - Entwurf Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU

Das BMI hat denEntwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUGEU)
zur weiteren Anpassung der datenschutzrechtlichen Vorschriften an die DSGVO vorgelegt.