Skip to content

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Angekreuzt git nicht - Vorab markierte Checkboxen stellen keine wirksame Einwilligung dar

In Ausgabe 8/2019, S. 15 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Angekreuzt git nicht - Vorab markierte Checkboxen stellen keine wirksame Einwilligung dar".

Zum Thema: EuGH-Generalanwalt: Keine datenschutzrechtliche Einwilligung wenn Checkbox voreingestellt angekreuzt ist - Diensteanbieter muss bei Cookies über Funktionsdauer und Zugriff Dritter informieren

KG Berlin: Zahlreiche Klauseln in Datenschutzerklärung und Nutzungsbedingungen von Google unzulässig und damit unwirksam

KG Berlin
Urteil vom 21.03.2019
23 U 268/13


Das KG Berlin hat entschieden, dass zahlreiche Klausen in der Datenschutzerklärung (Fassung 2012) und Nutzungsbedingungen von Google unzulässig und damit unwirksam sind.

Siehe zur Vorinstanz: LG Berlin: Verbraucherschützer vs Google - Zahlreichen Klauseln in Datenschutzerklärung und Nutzungsbedingungen von Google unzulässig

Aus der Pressemitteilung des vzbv:

"Verstoss gegen Datenschutzgrundverordnung
Nach Auffassung des Gerichts verstoßen die beanstandeten Teile der Datenschutzerklärung gegen die Datenschutzgrundverordnung (DSGVO). Google erwecke den Eindruck, als sei die beschriebene Datenverarbeitung ohne Zustimmung der Kunden erlaubt. Tatsächlich sei für die Nutzung personenbezogener Daten in den vom vzbv beanstandeten Fällen jedoch eine informierte und freiwillige Einwilligung erforderlich. Die einfache Bestätigung von Verbrauchern, die Datenschutzerklärung gelesen zu haben, reiche hierfür nicht aus.

Für das Gericht sind Teile der Datenschutzerklärung auch deshalb unwirksam, weil sie „so verschachtelt und redundant ausgestaltet“ seien, dass durchschnittliche Leser sie kaum noch durchschauen könnten. Diese müssten davon ausgehen, dass letztlich jede Nutzung der personenbezogenen Daten erlaubt ist, die Google für zweckmäßig hält.

Unwirksame Nutzungsbedingungen
Für unwirksam erklärte das Gericht auch eine Reihe von Klauseln in den Google-Nutzungsbedingungen. Das Unternehmen behielt sich zum Beispiel vor, einzelne Dienste nach eigenem Ermessen einzustellen oder zu ändern. Darin sah das Kammergericht einen gesetzlich nicht zulässigen Änderungsvorbehalt. Google könne die versprochenen Leistungen nur ändern, wenn dies für die Verbraucher auch zumutbar sei. Eine solche Einschränkung enthielt die Klausel nicht.

Insgesamt erklärte das Kammergericht 13 Klauseln in der Datenschutzerklärung und 12 Klauseln in den Nutzungsbedingungen für unwirksam. Damit gab das Gericht der Klage des vzbv in vollem Umfang statt – wie zuvor schon das Landgericht Berlin in erster Instanz. Das Unternehmen hat inzwischen Nichtzulassungsbeschwerde beim Bundesgerichtshof eingelegt."


Den Volltext der Entscheidung finden Sie hier:

BGH setzt Verfahren gegen Facebook wegen möglicher Datenschutzverstöße durch Weitergabe von Nutzer-Daten an Online-Spiele-Anbieter bis zur EuGH-Entscheidung zum Gefällt-Mir-Button aus

BGH
Beschluss vom 11.04.2019
I ZR 186/17


Der BGH hat das Verfahren gegen Facebook wegen möglicher Datenschutzverstöße durch Weitergabe von Nutzer-Daten an Online-Spiele-Anbieter bis zur Entscheidung des EuGH zur datenschutzrechtlichen Problematik des Facebook Gefällt-Mir-Buttons ausgesetzt (siehe dazu OLG Düsseldorf legt EuGH Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Buttons auf Unternehmenswebseiten vor ).

Die Pressemitteilung des BGH:

Bundesgerichtshof setzt Verfahren gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zu einer Entscheidung des EuGH aus

Der unter anderem für Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb zuständige I. Zivilsenat des Bundesgerichtshofs hat heute ein bei ihm anhängiges Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zur Entscheidung des Gerichtshofs der Europäischen Union in einem diesem vom Oberlandesgericht Düsseldorf vorgelegten Vorabentscheidungsverfahren ausgesetzt.

Sachverhalt:

Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er ist der Ansicht, die Beklagte verstoße mit dieser Präsentation der Spiele im "App-Zentrum" gegen § 13 Abs. 1 Satz 1 TMG und § 4a Abs. 1 Satz 2 BDSG aF, weil die den Nutzern erteilten Hinweise zu Umfang und Zweck der Erhebung und Verwendung ihrer Daten unzureichend seien und daher keine Grundlage für eine nach § 4a Abs. 1 Satz 1 BDSG aF wirksame Einwilligung in die Nutzung der Daten bilden könnten. Der Kläger ist ferner der Auffassung, dass es sich bei den verletzten datenschutzrechtlichen Vorschriften um Marktverhaltensregelungen im Sinne von § 3 Abs. 1, § 4 Nr. 11 UWG aF (jetzt § 3 Abs. 1, § 3a UWG) handele und ein Verstoß daher wettbewerbsrechtliche Unterlassungsansprüche nach § 8 Abs. 1 Satz 1 UWG begründe, zu deren Geltendmachung er als qualifizierte Einrichtung im Sinne von § 8 Abs. 3 Nr. 3 UWG berechtigt sei.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union in der Rechtssache C-40/17 über das Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf vom 19. Januar 2017 (Beschluss vom 19. Januar 2017 - I-20 U 40/16) ausgesetzt. Das Oberlandesgericht hat dem Gerichtshof der Europäischen Union in diesem Verfahren, in dem es um den "Gefällt mir"-Button von Facebook geht, die Frage zur Vorabentscheidung vorgelegt, ob die Regelungen in Art. 22 bis 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie) einer nationalen Regelung entgegenstehen, die - wie § 8 Abs. 3 Nr. 3 UWG - gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle einer Verletzung von Datenschutzvorschriften gegen den Verletzer vorzugehen. Diese Frage ist auch im vorliegenden Rechtsstreit entscheidungserheblich und nicht zweifelsfrei zu beantworten. Möglicherweise lässt die Datenschutz-Richtlinie eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zu.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

Die maßgeblichen Vorschriften lauten:

§ 13 Abs. 1 Satz 1 TMG

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

§ 4a Abs. 1 Satz 1 und 2 BDSG aF

Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen.

§ 3 Abs. 1 UWG

Unlautere geschäftliche Handlungen sind unzulässig.

§ 3a UWG

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 8 Abs. 1 Satz 1 UWG

Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden.

§ 8 Abs. 3 Nr. 3 UWG

Die Ansprüche aus Absatz 1 stehen zu: qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 des Unterlassungsklagengesetzes oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABl. L 110 vom 1.5.2009, S. 30) eingetragen sind.

§ 148 Abs. 1 ZPO

Das Gericht kann, wenn die Entscheidung des Rechtsstreits ganz oder zum Teil von dem Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt, das den Gegenstand eines anderen anhängigen Rechtsstreits bildet oder von einer Verwaltungsbehörde festzustellen ist, anordnen, dass die Verhandlung bis zur Erledigung des anderen Rechtsstreits oder bis zur Entscheidung der Verwaltungsbehörde auszusetzen sei.


Datenschutzkonferenz: Datenschutzkonforme Facebook-Fanpage nach wie vor nicht möglich - Positionspapier zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Positionspapier zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit veröffentlicht.

Nach wie vor kommen die Datenschützer zu dem Ergebnis, dass ein datenschutzkonformer Betrieb einer Facebook-Fanpage nicht möglich ist.


EuGH-Generalanwalt: Keine datenschutzrechtliche Einwilligung wenn Checkbox voreingestellt angekreuzt ist - Diensteanbieter muss bei Cookies über Funktionsdauer und Zugriff Dritter informieren

EuGH-Generalanwalt
Schlussanträge vom 21.03.2019
C‑673/17
Planet49 GmbH gegen Bundesverband der Verbraucherzentralen und Verbraucherverbände –Verbraucherzentrale Bundesverband e. V

Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass keine wirksame datenschutzrechtliche Einwilligung vorliegt, wenn die dafür vorgesehene Checkbox voreingestellt bereits angekreuzt ist und der Nutzer diese abwählen muss, wenn er die Einwilligung nicht erteilen möchte. Zudem hat ist der EuGH-Generalanwalt der Ansicht, dass ein Diensteanbieter bei Cookies über Funktionsdauer und einen etwaigen Zugriff Dritter informieren muss.

Die Schlussanträge sind für den EuGH nicht bindend. Überwiegend folgt dieser aber dem EuGH-Generalanwalt.

Schlussanträge:

1. In einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, liegt keine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vor.

2. Das Gleiche gilt für die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung).

3. Bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 macht es keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.

4. Zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, zählen die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten oder nicht.

Den Volltext der Schlussanträge finden Sie hier:


KG Berlin: Diverse unzulässige Klauseln in Apple-Datenschutzrichtlinie - Verarbeitung und Weitergabe personenbezogener Daten

KG Berlin
Urteil vom 27.12.2018
23 U 196/13


Das KG Berlin hat bestätigt, dass die diverse Klauseln in der Apple-Datenschutzrichtlinie unzulässig waren. Insbesondere ging es um die Weitergabe personenbezogener Daten. Streitgegenständlich war die Apple-Datenschutzrichtlinie aus dem Jahr 2011.

Den Volltext der Entscheidung finden Sie hier:

Siehe zur Vorinstanz: LG Berlin: Apple unterliegt der Verbraucherzentrale - zahlreiche AGB-Klauseln zum Datenschutz unwirksam

EuGH-Generalanwalt: Verbraucherschutzvereine dürfen Datenschutzverstöße abmahnen - Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für Gefällt-Mir-Button verantwortlich

EuGH-Generalanwalt
Schlussanträge vom 19.12.2018
C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.

Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.

Ergebnis:
"Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."


Den vollständigen Text finden Sie hier:


LG München: Abmahnfähige Einwilligungs-Klausel wegen Verstoß gegen Art. 6 Abs. 1 DSGVO in AGB eines Online-Dating-Portals

LG München
Urteil vom 11.10.2018
12 O 19277/17


Das LG München hat entschieden, dass die Einwilligungsklausel für die Verarbeitung personenbezogener Daten in den AGB eines Online-Dating gegen Art. 6 Abs. 1 DSGVO verstößt und einen abmahnfähigen Wettbewerbsverstoß darstellt.

Aus den Entscheidungsgründen:

"Im Rahmen des Anmeldevorgangs heißt es auf der Startseite unterhalb einer „Weiter“-Schaltfläche: „Mit meiner Anmeldung erkläre ich mich mit den Nutzungsbedingungen, der Datenschutzerklärung und der Verwendung sowie Weitergabe meiner Daten einverstanden.“

Auf die Anlagen K 2 bis K 4 wird Bezug genommen. In den Nutzungsbedingungen der verschiedenen von der Beklagten betriebenen Plattformen finden sich - jeweils gleichlautend - unter § 2 Abs. 2 unter anderen folgende Passage:
„[...] Der Nutzer erkennt an und stimmt dem ausdrücklich zu, dass ... zur Erleichterung des Einstiegs für neue Nutzer in die Plattform und zur Unterstützung der Kommunikation zwischen den Nutzern, Nachrichten im Namen des Nutzers verschicken kann. [...] Mit der Registrierung bei [Angabe der jeweiligen Plattform] erklärt sich der Nutzer einverstanden auf anderen, thematisch passenden, Seiten des ... Netzwerkes angezeigt zu werden.“

Auf die Anlagen K 5 und K 7 wird Bezug genommen.

Die von der Beklagten für die einzelnen Plattformen verwendete Datenschutzerklärung enthält unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ unter anderem folgende Passage:
„Ich willige ferner ein, dass ... meine personenbezogenen Daten den Kooperationspartnern zur Verfügung stellt, die [Angabe der jeweiligen Plattform] organisatorisch betreuen und vermarkten.“

Auf die Anlagen K 6 und K 8 wird Bezug genommen.

[...]

2. Die Klausel 2 begründet daneben eine rechtswidrige und damit unzulässige Verarbeitung personenbezogener Daten durch die Beklagte.

Durch die Verwendung der Klausel verstößt die Beklagte gegen Art. 6 Abs. 1 DSGVO. Sie erlaubt die Weitergabe personenbezogener Daten an andere Internetplattformen und die Verarbeitung durch diese. An einer wirksamen Einwilligung fehlt es schon deswegen, weil die Klausel unter § 2 Abs. 2 S. 8 der Nutzungsbedingungen nicht Teil der von der Beklagten verwendeten „Einwilligung“ im Bereich „Datenschutz“ (Anlage K 8) ist. Sie ist auch sonst in keiner Weise hervorgehoben. Eine Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO, der eine bewusste Handlung eines informierten Nutzers voraussetzt, liegt damit nicht vor. Zudem fehlt es mangels Nennung der Plattformen, an die Daten weitergegeben werden, sowie mangels Benennung der konkreten Daten, die weitergegeben werden, an einer transparenten Verarbeitung im Sinne des Art. 5 Abs. 1 a) DSGVO. Auch dies führt zur Rechtswidrigkeit und Unwirksamkeit der Klausel.

IV. Auch die in der Datenschutzerklärung der Beklagten (vgl. Anlagen K 6, K 8) unter der Überschrift „Einwilligung“ und der Unterüberschrift „Erklärung“ enthaltene Klausel 3, wonach der Nutzer einwilligt, dass die Beklagte seine personenbezogenen Daten Kooperationspartnern und Vermarktern zur Verfügung stellt, ist unwirksam.

1. Soweit die Beklagte die Auffassung vertritt, eine Einwilligung des Nutzers sei nicht erforderlich, überzeugt dies nicht. Zum einen geht die Beklagte ausweislich der Überschrift und des Wortlauts ihrer Datenschutzerklärung offenbar selbst davon aus, eine Einwilligung des Nutzers zu benötigen. Zum anderen liegen die Voraussetzungen eines der anderen Erlaubnistatbestände des Art. 6 DSGVO nicht vor. Insbesondere erschließt sich nicht, weshalb die Weitergabe von Daten an irgendwelche „Kooperationspartner“ hier schlicht Werbekunden der Beklagten - zur Erfüllung des Vertrags zwischen dem Nutzer und der Beklagten erforderlich sein sollte (Art. 6 Abs. 1 S. 1 b) DSGVO), oder wie eine solche Weitergabe an Werbekunden die Interessen der Nutzer wahren könnte (Art. 6 Abs. 1 S. 1 f) DSGVO).

2. Die Klausel verstößt gegen geltendes Datenschutzrecht. Eine wirksame Einwilligung des Nutzers nach Art. 6 DSGVO liegt in der streitgegenständlichen Klausel nicht. Die Wirksamkeit einer Einwilligung nach Art. 6 DSGVO setzt voraus, dass diese für den konkreten Fall und in Kenntnis der Sachlage abgegeben wird. Die betroffene Person muss wissen, was mit ihren Daten geschehen soll. Dazu muss sie zunächst wissen, auf welche personenbezogenen Daten sich die Einwilligung bezieht. Unspezifische Pauschal- oder Blankoeinwilligungen sind nicht statthaft (vgl. Schulz in: Gola, DSGVO, 2. Auflage, Rdnr. 34).

Daran fehlt es hier. Die streitgegenständliche Klausel konkretisiert weder, welche genauen personenbezogenen Daten des Nutzers weitergegeben werden. Sie verschweigt auch, wem diese Daten überlassen werden sollen. Die streitgegenständliche Klausel stellt letztlich den Versuch dar, der Beklagten eine pauschale Möglichkeit der Datenweitergabe an nicht näher benannte Vertragspartner zu verschaffen. Dies stellt eine unangemessene Benachteiligung im Sinne des § 307 Abs. 1 S. 1 BGB dar. Die Klausel ist unwirksam.


Den Volltext der Entscheidung finden Sie hier


LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

OLG München: DSGVO steht Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen - Berechtigte Interessen nach Art. 6 Abs. 1 Satz 1 lit f DGSVO

OLG München
Teilurteil vom 24.10.2018
3 U 1551/17


Das OLG München hat entschieden, dass die Vorgaben der DSGVO einem Auskunftsanspruch über Abnehmer von Waren regelmäßig nicht entgegen steht. Insofern greift Art. 6 Abs. 1 Satz 1 lit f DGSVO.

Aus den Entscheidungsgründen:

Soweit die Beklagte die Auffassung vertritt, der Auskunftserteitung stünden Bestimmungen der Datenschutz-Grundverordnung entgegen, ist auf Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO zu verweisen. Hiernach ist die Verarbeitung personenbezogener Daten dann rechtmäßig, wenn sie zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Ein Abwägungsgesichtspunkt ist der Hinweis des europäischen Gesetzgebers in den Erwägungsgründen, dass die vernünftigen Erwartungen der betroffenen Person, die auf der Beziehung zu den Verantwortlichen beruhen, zu berücksichtigen sind (vgl. Erwägungsgrund 47 Satz 1 Halbsatz 2). In Satz 2 wird als Beispiel für eine solche Beziehung genannt, dass der Betroffene ein Kunde des Verantwortlichen ist oder in seinen Diensten steht (BeckOK Datenschutzrecht, 25. Edition, Stand 01.05.2018, Bearbeiter Albers/Veit, DS-GVO, Art. 6, Rn. 48).

Vor dem teleologischen Hintergrund von Art. 6 Abs. 1 Satz 1 Buchst. DS-GVO, einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen, können dabei nicht nur rechtliche Interessen von Bedeutung sein, sondern müssen auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden. Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten, wobei das Recht auf Berufsfreiheit hervorzuheben ist (BeckOK, a.a.O., Rn. 49). Geht man davon aus, dass die von seiten der Klägerin erteilte Information der Beklagten zur Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags dient und die Klagepartei gemäß § 242 BGB zur Erteilung einer solchen Information gehalten ist, kann der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden. Insoweit ist besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin - durch Einsatz der Kräne bzw, Aufbauten - nicht verborgen bleibenden Kaufvorgang. Auch stehen Interessen der Kunden an wirtschaftlicher Geheimhaltung nicht inmitten: Daten wie Ratenzahlung, Kreditfinanzierung u.ä. sind nicht Gegenstand der geschuldeten Auskunft.


Den Volltext der Entscheidung finden Sie hier:


OLG Nürnberg: DSGVO gilt nicht für personenbezogene Daten Verstorbener - Datenschutzgrundverordnung

OLG Nürnberg
Beschluss vom 09.10.2018
11 W 717/18

Das OLG Nürnberg hat bestätigt, dass die Normen der DSGVO nicht für personenbezogene Daten Verstorbener gelten.

Aus den Entscheidungsgründen:

"Benutzungsbeschränkungen können sich nur aus dem PStG selbst oder aus anderen Gesetzen ergeben, die dem Schutz von Adoptierten (§ 1758 Abs. 1 BGB, § 63 Abs. 1 PStG), Transsexuellen (§ 5 Abs. 1 TSG, § 63 Abs. 2 PStG) oder sonst gefährdeten Personen dienen (§ 64 PStG). Derartige gesetzliche Vorschriften sind jedoch nicht ersichtlich. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung) ist auf den Fall nicht anwendbar, da sie nach ihrem Erwägungsgrund 27 nicht die personenbezogenen Daten Verstorbener betrifft."

Den Volltext der Entscheidung finden Sie hier:


LG Frankfurt: Veröffentlichung von Fotos und Videos auf Facebook-Fanpage eines Friseursalons ohne Einwilligung des Abgebildeten verstößt gegen Vorgaben der DSGVO und KUG

LG Frankfurt
13.09.2018
2-03 O 283/18


Das LG Frankfurt hat entschieden, dass die Veröffentlichung von Fotos und Videos auf der Facebook-Fanpage eines Friseursalons ohne Einwilligung des Abgebildeten gegen Vorgaben der DSGVO und des KUG verstoßen.

Aus den Entscheidungsgründen:

Die Parteien streiten über Ansprüche wegen Verletzung des Persönlichkeitsrechts durch eine Bildnisveröffentlichung.

Der Verfügungsbeklagte (nachfolgend: Beklagter) betreibt einen Frisörsalon in Frankfurt am Main. Am 29.06.2018 begab sich die Verfügungsklägerin (nachfolgend: Klägerin) mit ihrem Lebenspartner, ... , in den Frisörsalon des Beklagten, um eine Haarverlängerung vornehmen zu lassen. Während der Behandlung fotografierte ein der Klägerin unbekannter Mann die Klägerin. Zudem wurde das streitgegenständliche Video (Anl. AS 1, Bl. 16 der Akte), auf dem die Klägerin erkennbar ist, erstellt, wobei streitig ist, ob dies am 29.06.2018 oder am Folgetag geschah.

Kurze Zeit später stellte die Klägerin fest, dass der Beklagte am 04.07.2018 (16:42 Uhr) auf seiner Facebook Fanpage unter der URL

...............

unter anderem das streitgegenständliche Video (Anlage AS 1, Bl. 16 d.A.) postete/veröffentlichte, auf dem die Klägerin - wie auch auf dem nachstehenden Screenshot zu sehen - klar und eindeutig erkennbar ist.

[Foto]

Auf der Facebook Seite befanden sich zum damaligen Zeitpunkt auch Lichtbilder der Klägerin.

Die Klägerin forderte den Beklagten persönlich auf, die Lichtbilder und das Video zu entfernen. Der Beklagte kam der Aufforderung lediglich hinsichtlich der Lichtbilder nach, hinsichtlich des Videos reagierte er - trotz desanwaltlichen Schreibens vom 11.07.2018 (Anlage AS 3, Bl. 8 f. d.A.) - vorgerichtlich nicht.

Die Kammer hat dem Beklagten durch einstweilige Verfügung - Beschluss - vom 27.07.2018 (Bl. 17 ff. d.A.) untersagt, das Bildnis der Klägerin in Form eines Fotos oder als Filmaufnahme/Video öffentlich zur Schau zu stellen, wie dies auf der Website ... mit dem Film wie in Anlage AS 1 geschehen ist. Die Kosten des Eilverfahrens hat die Kammer dem Beklagten auferlegt.

Gegen den Beschluss hat der Beklagte mit Schriftsatz vom 22.08.2018 Widerspruch eingelegt.

Die Klägerin behauptet, ein Hinweis auf etwaige Foto- und/oder Videoaufnahmen oder darauf, dass es sich um einen der sogenannten "Haarmodell-Termine" handele, sei nicht erteilt worden.

Während der Haarverlängerung am 29.06.2018 habe sie mehrfach ausdrücklich darum gebeten, die Fotoaufnahmen zu unterlassen, als ein ihr unbekannter Mann sie aus etwa 1 m Entfernung fotografiert habe.

Die angebliche Videoaufnahme am 30.06.2018 sei heimlich, unbemerkt und gegen ihren Willen erfolgt. Sie habe weder ausdrücklich noch konkludent in die Aufnahme oder die Veröffentlichung des Videos eingewilligt.

Durch die Veröffentlichung des Videos sei sie in ihrem Recht am eigenen Bild gemäß §§ 22, 23 ff. KUG verletzt worden. Eine Ausnahme vom Einwilligungsvorbehalt gemäß § 23 KUG liege nicht vor.

Die Klägerin beantragt,

die einstweilige Verfügung - Beschluss - vom 27.07.2018 zu bestätigen.

Der Beklagte beantragt,

die einstweilige Verfügung des Landgerichts Frankfurt am Main, Az. 2-03 O 283/18 vom 27.07.2018 aufzuheben und den Antrag auf ihren Erlass zurückzuweisen.

Der Beklagte behauptet, dass in seinem Frisörsalon regelmäßig Video- und Bildaufnahmen erfolgten, welche die Arbeiten der Angestellten im Bereich der unterschiedlichsten Frisurentechniken an dafür vorgesehenen Haarmodellen dokumentierten. Diese Aufnahmen würden zu Werbezwecken auf der Internetplattform Facebook veröffentlicht, um dadurch den Frisörsalon der Allgemeinheit vorzustellen und die Vielfältigkeit der Arbeiten zu präsentieren. Diese Aufnahmen erfolgten stets ausschließlich im Beisein der Haarmodelle und grundsätzlich unter Ausschluss weiterer Kunden an dafür bestimmten ausgewählten Terminen.

Als die Klägerin den Frisörsalon des Beklagten am 29.06.2018 aufgesucht habe, hätten die vorbezeichneten Videoaufzeichnungen stattgefunden. Sie habe an diesem Tag keinen Termin zur Haarverlängerung gehabt. Die Klägerin sei von dem Beklagten selbst in Anwesenheit seiner zwei Angestellten, Frau ... und Frau ...,

darauf hingewiesen worden, dass zu diesem Zeitpunkt Videoaufnahmen zum Zwecke der Veröffentlichung durchgeführt würden. Die Klägerin habe der Mitarbeiterin signalisiert, dass es für sie kein Problem darstelle und sie damit einverstanden sei. Sie habe ausdrücklich ihre Einwilligung in die streitgegenständliche Videoaufnahme und deren Veröffentlichung erklärt und werde daher nicht in ihrem Recht am eigenen Bild gemäß §§ 22, 23 ff. KUG verletzt. Die mündlich erteilte Einwilligung habe bis zum Ende der Filmaufnahmen bestanden.

Die Zustimmung sei jedoch zumindest als stillschweigend erteilt anzunehmen, da die Klägerin trotz der ausdrücklichen Unterrichtung über die Aufnahmen zum Zwecke der Veröffentlichung darauf bestanden habe, zu diesem Zeitpunkt behandelt zu werden. Hierdurch habe sie ein Verhalten an den Tag gelegt, das für den objektiven Erklärungsempfänger nur als Einwilligung habe verstanden werden können.

Auch habe die Klägerin ihre Einwilligung zur Veröffentlichung der Aufnahmen nicht wirksam widerrufen. Eine bereits erteilte Einwilligung sei nicht frei widerruflich, da hier kein Widerrufsgrund gemäß § 42 UrhG analog vorläge.

Wegen der weiteren Einzelheiten wird ergänzend auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie den sonstigen Akteninhalt Bezug genommen.

Gründe
Die einstweilige Verfügung der Kammer ist zu bestätigen, denn es besteht sowohl ein Verfügungsanspruch (hierzu nachstehend unter I.) als auch ein Verfügungsgrund (hierzu nachstehend unter II.).

I. Die Klägerin kann von dem Beklagten die Unterlassung der weiteren Veröffentlichung des streitgegenständlichen Videos aus den §§ 823, 1004 BGB, 22 f. KUG bzw. Art. 6 Abs. 1 DSGVO, jeweils i.V.m. Art. 79 Abs. 1, 85 DSGVO verlangen.

Insoweit kann letztlich offen bleiben, ob die §§ 22, 23 KUG als Normen im Sinne von Art. 85 Abs. 1 DSGVO (VO (EU) 2016/679), die am 25.05.2018 Geltung erlangt hat und nationale Regelungen zum Datenschutz grundsätzlich verdrängt, für Fälle wie den vorliegenden, der nicht unter journalistische, wissenschaftliche, künstlerische oder literarische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO fällt, weiter gelten oder nicht (zum Streit darüber, ob Art. 85 Abs. 1 DSGVO einen - zwingend durch die Mitgliedstaaten auszuübenden - Regelungsauftrag enthält oder die §§ 22, 23 KUG insoweit fortgelten können, s. Specht/Bienemann in: Sydow, DSGVO, 2. Aufl. 2018, Art. 85 Rn. 9; Albrecht/Janson, CR 2016, 500; Hansen/Brechtel, GRUR-Prax 2018, 369; Kahl/Piltz, K&R 2018, 289, 292; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1061; Ziebarth/Elsaß, ZUM 2018, 578; Paschke, jurisPR-ITR 15/2018, Anm. 3; jew. m.w.N.; zur weiteren Anwendung von §§ 22, 23 KUG im Falle von Pressemedien vgl. OLG Köln, ZD 2018, 434 m. Anm. Hoeren). Denn sowohl nach den §§ 22, 23 KUG als auch unter Berücksichtigung von Art. 6 Abs. 1 lit. a), f), 7 DSGVO war die Veröffentlichung rechtswidrig.

1.
a) Das streitgegenständliche Video ist ein Bildnis der Klägerin im Sinne von § 22 KUG. Ein solches ist jede Abbildung einer natürlichen Person, welche bestimmt und geeignet ist, sie dem Betrachter in ihrer dem Leben nachgebildeten äußeren Erscheinung vor Augen zu führen und das Aussehen, wie es gerade dieser Person zu Eigen ist, im Bilde wiederzugeben (BGH, NJW 1965, 2148 [BGH 09.06.1965 - Ib ZR 126/63] - Spielgefährtin I; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, Urheberrecht, 4. Aufl. 2018, § 22 Rn. 5). Dies ist bei dem streitgegenständlichen Video der Fall, denn in diesem wird die Klägerin in vielen aufeinanderfolgenden Bildern im Zusammenhang mit der Haarverlängerung abgebildet.

b) Zudem handelt es sich bei dem Video, bzw. dessen Inhalt, um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, da die Klägerin durch das von dem Beklagten veröffentlichte Video identifizierbar ist (vgl. insoweit zur Datenschutz-RL 95/46/EG EuGH, NJW 2015, 463 Rn. 22 ff. - Rynes).

Zu Gunsten des Beklagten greift insbesondere nicht die Haushaltsausnahme gemäß Art. 2 Abs. 2 lit. c) DSGVO, da die streitgegenständliche Veröffentlichung nicht im Rahmen ausschließlich persönlicher Verarbeitung erfolgte, sondern im gewerblichen Kontext und zudem öffentlich im Internet (dazu EuGH, EuZW 2004, 245 Rn. 47 - Lindqvist).

2.
a)
Das Bildnis der Klägerin wurde auch verbreitet im Sinne des KUG, denn der Beklagte hat es auf seiner öffentlich zugänglichen Fanpage bei Facebook im Internet abrufbar gemacht (vgl. hierzu auch OLG Frankfurt a.M. Urt. v. 19.4.2012 - 16 U 189/11, BeckRS 2013, 11801; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, a.a.O., § 22, Rn. 12 m.w.N.).

b)
Damit wurden zugleich personenbezogene Daten verarbeitet im Sinne von Art. 4 Nr. 2 DSGVO.

3. Die Veröffentlichung bzw. Verarbeitung stellt sich sowohl unter Zugrundelegung des Maßstabs des § 22 KUG i.V.m. Art. 85 Abs. 1 DSGVO als auch unter Zugrundelegung des Maßstabs von Art. 6 Abs. 1 lit. a) i.V.m. Art. 7 DSGVO als unzulässig dar, da die Klägerin in die Veröffentlichung ihres Bildnisses nicht eingewilligt hat.

a) Nach dem abgestuften Schutzkonzept der §§ 22, 23 KUG (BGH, GRUR 2007, 527 [BGH 06.03.2007 - VI ZR 51/06] - Winterurlaub m.w.N.; OLG Frankfurt, Urt. vom 07.08. 2018 - 11 U 156/16 -, Rn. 32, juris) dürfen Bildnisse einer Person grundsätzlich nur mit ihrer Einwilligung verbreitet werden (§ 22 S. 1 KUG). Hiervon besteht allerdings gemäß § 23 Abs. 1 KUG eine Ausnahme, z.B. wenn es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt (§ 23 Abs. 1 Nr. 1 KUG). Diese Ausnahme gilt aber nicht für eine Verbreitung, durch die berechtigte Interessen des Abgebildeten gemäß § 23 Abs. 2 KUG verletzt werden (BGH, GRUR 2013, 1065 [BGH 28.05.2013 - VI ZR 125/12] Rn. 10 - Eisprinzessin Alexandra).

Der insoweit darlegungs- und glaubhaftmachungsbelastete Beklagte (vgl. OLG Hamm, AfP 1998, 304 [OLG Hamm 03.03.1997 - 3 U 132/96]; Dreyer in: Dreyer/Kotthoff/Meckel/Hentsch, a.a.O., § 22, Rn. 32) hat nicht zur Überzeugung der Kammer glaubhaft gemacht, dass die Klägerin in die Aufnahme und Veröffentlichung des streitgegenständlichen Videos eingewilligt hat. Obwohl die Klägerin die eidesstattliche Versicherung vom 26.07.2018 (AS 2, Bl. 6 f. d.A.) vorgelegt hat, welche besagt, dass das Video heimlich und ohne ihre Einwilligung gedreht worden sei, hat der Beklagte keine Glaubhaftmachungsmittel vorgelegt. Auch waren weder die von ihm in diesem Zusammenhang benannten Zeuginnen noch er selbst im Termin zur mündlichen Verhandlung zugegen.

Sofern der Beklagte sich darauf beruft, dass die Klägerin zumindest konkludent eingewilligt habe, da sie trotz ausdrücklicher Unterrichtung über die Aufnahmen zum Zwecke der Veröffentlichung darauf bestanden habe, zu diesem Zeitpunkt behandelt zu werden, so ist dieser Vortrag des Beklagten widersprüchlich, da er zuvor die ausdrückliche Zustimmung der Klägerin behauptet hat. Darüber hinaus hat der Beklagte auch die vorstehenden Behauptungen nicht glaubhaft gemacht.

b) Auch gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche - hier der Beklagte - nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (zur Definition der Einwilligung s. Art. 4 Nr. 11 DSGVO). Dies ist - wie zuvor dargestellt - nicht der Fall.

4.
Die Veröffentlichung bzw. Datenverarbeitung erfolgte in rechtswidriger Weise.

a) Die Veröffentlichung des streitgegenständlichen Videos war gemäß § 23 KUG i.V.m. Art. 85 Abs. 1 DSGVO unzulässig, da es sich bei dem Video offensichtlich nicht um ein Bildnis aus dem Bereich der Zeitgeschichte (§ 23 Abs. 1 Nr. 1 KUG) handelt und auch die sonstigen dort genannten Ausnahmen nicht greifen. Die Einwilligung gemäß § 23 Abs. 2 KUG war daher nicht entbehrlich.

b) Die Verarbeitung des Videos in Form der Veröffentlichung war auch nicht gemäß Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt.

Gemäß Art. 6 Abs. 1 S. 1 DSGVO bzw. Art. 8 Abs. 2 S. 1 GRCh unterliegt die Verarbeitung personenbezogener Daten einem sogenannten "Verbot mit Erlaubnisvorbehalt" (vgl. Reimer in: Sydow, a.a.O., Art. 6 Rn. 1 m.w.N.). In Betracht käme hier - neben einer nicht vorliegenden Einwilligung, wie vorstehend erläutert - lediglich die Ausnahme gemäß Art. 6 Abs. 1 lit. f) DSGVO. Danach ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (vgl. hierzu mit Beispielen ErwGr 47-49 DSGVO).

Die Kammer erachtet insoweit die Grundsätze der §§ 22, 23 KUG und die dazu ergangene Rechtsprechung - unter Berücksichtigung einer entsprechenden europarechtsautonomen Auslegung (vgl. Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1060) - als Gesichtspunkte, die im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO und der Abwägung der Interessen und Grundrechte einzubeziehen sind (vgl. insoweit Specht in: Dreier/Schulze, UrhG, 6. Aufl. 2018, § 23 Rn. 1 KUG Rn. 1; Hansen/Brechtel, GRUR-Prax 2018, 369, 370; Paschke, jurisPR-ITR 15/2018, Anm. 3; Ziebarth/Elsaß, ZUM 2018, 578, 581; Plath/Grages, DSGVO/BDSG, 3. Aufl. 2018, Art. 85 DSGVO Rn. 3). In Anwendung dieser Grundsätze überwiegt vorliegend - wie vorstehend erläutert - das Interesse der Klägerin an der Unterlassung der streitgegenständlichen Verarbeitung in Form der Veröffentlichung.

Selbst ohne Anwendung der Grundsätze der §§ 22, 23 KUG im Rahmen von Art. 6 Abs. 1 lit. f) DSGVO erachtet die Kammer die Interessen der Klägerin gegenüber dem Werbeinteresse des Beklagten hier als überwiegend. Zwar ist die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung grundsätzlich als berechtigtes Interesse anzuerkennen (vgl. ErwGr 47 DSGVO). Es ist jedoch bereits fraglich, ob diese Werbung unter Verwendung von bildlichen Aufnahmen von Kunden ohne weiteres als erforderlich im Sinne von Art. 6 Abs. 1 lit. f) DSGVO anzusehen sind. Darüber hinaus widerspricht es den vernünftigen Erwartungen (vgl. ErwGr 47 DSGVO) eines Kunden in einem Frisörsalon, dass sein Besuch im Salon filmisch festgehalten und zur Bewerbung im Internet verwendet wird.

5. Auch die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr ist gegeben. Im Regelfall indiziert die Erstbegehung die Wiederholungsgefahr (ständige Rechtsprechung BGH, GRUR 1997, 379, 380 [BGH 16.11.1995 - I ZR 229/93] - Wegfall der Wiederholungsgefahr II). Im Allgemeinen gelingt eine Widerlegung der Wiederholungsgefahr durch Abgabe einer strafbewehrten Unterlassungserklärung, die jedoch beklagtenseits verweigert wurde. Damit zeigt der Beklagte, dass nach wie vor Wiederholungsgefahr besteht (vgl. BGH, GRUR 1998, 1045, 1046 [BGH 19.03.1998 - I ZR 264/95] - Brennwertkessel).

6. Die Entscheidung über die Androhung eines Ordnungsmittels beruht auf § 890 ZPO.

II. Es besteht auch ein Verfügungsgrund. Ohne den Erlass einer einstweiligen Verfügung würde das Persönlichkeitsrecht der Klägerin für einen nicht unerheblichen Zeitraum gravierend beeinträchtigt. Dass mit dem Erlass der einstweiligen Verfügung die Hauptsache zumindest für den Zeitraum bis zur Entscheidung in einem Hauptsacheverfahren vorweggenommen wird, liegt in der Natur einer Unterlassungsverfügung.

Auch liegt die erforderliche Dringlichkeit vor. Die einstweilige Verfügung wurde nach weniger als einem Monat nach der Veröffentlichung des streitgegenständlichen Videos bei Facebook beantragt.


Den Volltext der Entscheidung finden Sie hier:

Datenschutzkonferenz: Betrieb einer Facebook-Fanpage wie sie derzeit von Facebook angeboten wird ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat wenig überraschend in einem Beschluss vom 05.09.2018 die Ansicht geäußert, dass der Betrieb einer Facebook-Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DSGVO rechtswidrig ist.

Siehe auch zum Thema: EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich

Aus dem Beschluss:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig. Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass FanpageBetreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Insbesondere die im Anhang aufgeführten Fragen müssen deshalb sowohl von Facebook als auch und von Fanpage-Betreiberinnen und Betreibern beantwortet werden können



Den vollständigen Beschluss finden Sie hier:




VGH Kassel: Speicherung personenbezogener Daten von Anlageberatern durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig

VGH Kassel
Urteil vom 25.07.2018
6 A 673/15


Der VGH Kassel hat entschieden, dass die Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig ist.

Die Pressemitteilung des VGH Kassel:

Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) grundsätzlich zulässig

Der Hessische Verwaltungsgerichtshof hat mit heute verkündetem Urteil die Berufung von Anlageberatern bzw. Betriebsbeauftragten, die bei unterschiedlichen Sparkassen beschäftigt waren, gegen ein Urteil des Verwaltungsgerichts Frankfurt am Main zurückgewiesen.

Die Kläger wenden sich gegen die Speicherung personenbezogener Daten in einer bei der BaFin eingerichteten Datenbank.

Die als Anlageberater bzw. Betriebsbeauftragte bei unterschiedlichen Sparkassen beschäftigten Kläger baten bei der Beklagten um Auskunft über die zu ihrer Person gespeicherten Daten und beantragten deren Löschung. Die BaFin erteilte Auskunft über die gespeicherten Daten, die den Namen - einschließlich Vornamen -, das Geburtsdatum, den Geburtsort, den Beginn der Tätigkeit und die jeweilige Funktion im Sparkassenwesen sowie die Namen der zuständigen Anlageberater oder Vertriebsbeauftragten in der Datenbank der BaFin umfasste. Die beantragte Löschung der Daten lehnte die BaFin jedoch ab.

Die hiergegen erhobene Klage wurde durch das Verwaltungsgericht Frankfurt am Main mit Urteil vom 2. Juli 2014 abgewiesen.

Die Berufung der Kläger gegen diese erstinstanzliche Entscheidung hat der 6. Senat des Hessischen Verwaltungsgerichtshofs zurückgewiesen. Zur Begründung hat er ausgeführt, die Voraussetzungen eines Löschungsanspruches nach Maßgabe der datenschutzrechtlichen Bestimmungen seien nicht erfüllt. Auch aus einer etwaigen Verfassungswidrigkeit der Rechtsgrundlagen ergebe sich kein Löschungsanspruch.

Aus den gesetzlichen Regelungen ergebe sich hinreichend, welche Daten von der BaFin im Mitarbeiter- und Beschwerderegister zu speichern seien. Es sei erkennbar, dass der Gesetzgeber insoweit die Daten erfasst sehen wollte, die eine Identifikation der betreffenden Mitarbeiter ermögliche. Hierfür sei die Angabe von Vorname, Familien- und Geburtsname, Tag und Ort der Geburt erforderlich. Dies seien die Daten, die zu einer Identifikation der Person notwendig seien. Dass sich die Dauer der Speicherung nicht bereits aus dem Gesetz ergibt, ist verfassungsrechtlich unbedenklich.

Die Revision gegen das Urteil wurde nicht zugelassen. Gegen die Nichtzulassung der Revision haben die Kläger die Möglichkeit der Beschwerde, über die das Bundesverwaltungsgericht in Leipzig zu entscheiden hätte.

Aktenzeichen: 6 A 673/15


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht

In Ausgabe 12/2018, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Fanpages vor dem Aus ? EuGH-Entscheidung nimmt Seitenbetreiber und Facebook beim Datenschutz in die Pflicht".

Siehe auch zum Thema:
EuGH: Betreiber einer Facebook-Seite / Facebook-Fanpage gemeinsam mit Facebook für Verarbeitung der personenbezogenen Daten der Besucher verantwortlich
und
Datenschutzbehörden: Nach EuGH-Entscheidung ist rechtskonformer Betrieb von Facebook-Fanpage bzw. Facebook-Seite nicht möglich