Was bedeutet die Fashion ID-Entscheidung des EuGH?

Am 29.07.2019 hat der EuGH eine lange erwartete Entscheidung zum Thema Social Media Plugins gefällt.

Bereits im März 2019 hatten sich die deutschen Aufsichtsbehörden entsprechend dahingehend positioniert, dass die Nutzung von Google Analytics, nicht auf die Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) gestützt werden könne, wenn eine Weitergabe der Daten an einen Dritten erfolge. Es liege zwar ein berechtigtes Interesse vor (1. Stufe), aber es scheitere an der Erforderlichkeit der Verarbeitung zur Wahrnehmung des Interesses (2. Stufe). Die Reichweitenmessung könne auch auf dem eigenen Server erfolgen. Es müsse daher zwingend eine Einwilligung eingeholt werden. Diese Ansicht lässt sich wohl auch auf Social Media Plugins, also z.B. Facebook Like-Buttons, übertragen.

Nun hat sich der Europäische Gerichtshof zu Social Media Plugins geäußert. Das Urteil erging zwar noch zur Datenschutzrichtlinie und noch nicht zur DSGVO, ist aber übertragbar.

Datenschutz ist abmahnfähig

Der EuGH positioniert sich zu einer seit Anwendbarkeit der DSGVO umstrittenen Frage, nämlich ob die DSGVO eine Sperrwirkung hinsichtlich der Sanktionen entfalte und damit Ansprüche nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ausscheiden.

Dem sei nicht so. Damit ist also europarechtlich klar, dass Datenschutzverstöße nach dem UWG abgemahnt werden können. Die Frage, ob Datenschutz Marktverhaltensregeln im Sinne von § 3a UWG sind, hat der EuGH natürlich hier nicht entschieden, ist aber nach herrschender Meinung ebenso zu bejahen, sodass Datenschutzverstöße grundsätzlich abmahnfähig sind.… Weiterlesen

Datenschutzbeauftragter künftig erst ab 20 Mitarbeiter

Überraschend schnell wurde am Donnerstag, 27.06.2019, nun ein Gesetz verabschiedet, mit dem kleinere Unternehmen beim Datenschutz entlastet werden sollen.

Künftig ist ein Unternehmen erst ab 20 Mitarbeitern, die automatisiert personenbezogene Daten verarbeiten, zur Bestellung eines Datenschutzbeauftragten verpflichtet (wenn nicht ein sonstiger Fall des Art. 37 DSGVO vorliegt: Kerntätigkeit umfangreiche regelmäßige und systematische Überwachung bzw. umfangreiche Verarbeitung besondere Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen). Geändert wird also der jetzige § 38 Abs. 1 BDSG.

Der Bundestag konnte das Gesetz beschließen, da die Regelung eine deutsche ist; Deutschland geht bei der Bestellpflicht eines Datenschutzbeauftragten also über die Regelungen der DSGVO hinaus.

Das Gesetz bedarf noch der Zustimmung des Bundesrats.

Worauf man sich noch nicht einigen konnte, sind Regelungen hinsichtlich der Meinungsfreiheit im Rahmen von Art. 85 DSGVO, insbesondere im Hinblick auf das Kunsturhebergesetz. Dies führt noch zu erheblicher Rechtsunsicherheit. Dies soll noch folgen. Das Kunsturhebergesetz stammt von 1907 und regelt insbesondere die Veröffentlichung von Fotos. Es sieht eine ganze Reihe von Regelungen vor, bei denen eine Einwilligung nicht erforderlich ist (§ 23 KunstUrhG). Diese Regelungen enthält die DSGVO, unter die die Bildveröffentlichung auch fällt, nicht. Das OLG Köln war eines der ersten Gerichte, welches das Gesetz weiterhin für anwendbar befunden hat (OLG Köln, Beschluss vom 18.06.2018 – 15 W 27/18).… Weiterlesen

DSGVO-Bußgeld gegen Beamten und somit auch gegen Arbeitnehmer?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat erstmals ein Bußgeld gegen einen Polizeibeamten verhängt. Und dieses Bußgeld zeigt, dass auch Arbeitnehmer für DSGVO-Verstöße mit einem Bußgeld sanktioniert werden können.

Sachverhalt

Ein Polizeibeamter hatte über seine dienstliche Benutzerkennung eine Halterabfrage beim Kraftfahrbundesamt und anschließend eine Anfrage bei der Bundesnetzagentur getätigt, um an die Handynummer einer privaten Zufallsbekannten zu kommen. Diese verwendete er dann, um sie zu kontaktieren.

Bußgeld der Aufsichtsbehörde

Die Aufsichtsbehörde verhängte gegen den Polizisten ein Bußgeld in Höhe von 1.400 € wegen Verstoßes gegen die DSGVO. Die Entscheidung ist aus zwei Gründen interessant: Normalerweise ist Adressat eines DSGVO-Bußgeldes immer der Arbeitgeber, nicht der Arbeitnehmer. Und öffentliche Stellen in Deutschland müssen sich zwar an das Datenschutzrecht halten, erhalten aber kein Bußgeld, da aufgrund gesetzlicher Regelungen (in Baden-Württemberg: § 28 LDSG) ein solches ausgeschlossen ist. Man möchte also nicht, dass öffentliche Stellen Bußgelder zahlen, die dann sozusagen von der linken in die rechte Tasche des Staates wandern.

Bußgeld für den Arbeitnehmer

Warum erhielt der Polizist das Bußgeld? Die meisten Menschen denken, ein Bußgeld treffe den Arbeitgeber, nicht den Arbeitnehmer. Dies ist grundsätzlich auch richtig, wenn ein Arbeitnehmer einen Datenschutzverstoß begeht im Rahmen der Datenverarbeitung des Arbeitgebers. In diesem Fall ist der Arbeitgeber grundsätzlich der Verantwortliche, den das Bußgeld trifft.… Weiterlesen

Duty-Free-Shop und die Boardkarte

Wer in einem Duty-Free-Shop einkauft, muss seine Boardkarte vorzeigen; diese wird dann gescannt. Ein Datenschützer, der in den Urlaub fliegen will, hat dann ein Problem: Er sucht nach der Rechtsgrundlage für die Datenverarbeitung.

Die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) scheidet aus: Es ist für den Kauf einer Zahnbürste nicht erforderlich, Flugdaten zu erfassen.

In Betracht kämen noch die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Solche sind aber nicht ersichtlich und müssten ohnehin von dem Shopbetreiber gegenüber dem Käufer dargelegt und eine Interessenabwägung vorgenommen werden. Es müsste also gemäß Art. 13 DSGVO informiert und auf das Widerspruchsrecht (Art. 21 DSGVO) hingewiesen werden.

Auch eine Einwilligung, die ja immer freiwillig sein muss, liegt nicht vor. Dies sieht man daran, wenn man die Boardkarte nicht zeigt: Man bekommt dann keine Zahnbürste.

Es ist aber einfacher: Rechtsgrundlage ist die rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO). Im Duty-Free-Shop kommt man ggf. in den Genuss von umsatzsteuer- und/oder zollfreier Waren. Diese sind abhängig vom Reiseziel. Die Duty-Free-Shop-Betreiber sind verpflichtet, gegenüber den Finanzämtern bestimmte Nachweispflichten zu erfüllen.

Was allerdings auffällt: Eine Information über die Datenverarbeitung nach Art. 13 DSGVO erfolgt nicht.… Weiterlesen

Happy Birthday, Grundgesetz!

Heute vor 70 Jahren ist das Grundgesetz in Kraft getreten. Was ursprünglich nur als Provisorium gedacht war (daher auch der Name Grundgesetz und nicht Verfassung), gilt heute als eine der besten Verfassungen der Welt und als Vorbild für die Verfassung vieler anderer Staaten.

Bereits der erste Artikel ist eine Botschaft:

„Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.“ (Art. 1 Abs. 1 GG).

Niemals sollten nochmals solche Verbrechen wie in der Nazizeit geschehen.

Dem Bundesverfassungsgericht kommt bis heute die Aufgabe zu, über die Einhaltung des Grundgesetzes, vor allem der Grundrechte, zu wachen. Auch das Bundesverfassungsgericht ist heute Vorbild in aller Welt. Es hat die Mammutaufgabe geschafft, den wenigen Text der in Art. 1 bis 19 GG niedergelegten Grundrechte mit Leben zu füllen. Einen sehr guten Eindruck hierzu gibt das hervorragende und äußerst lesenwerte Buch von Thomas Darnstädt, Verschlusssache Karlsruhe: Die internen Akten des Bundesverfassungsgerichts.

Die Lektüre des Grundgesetzes lohnt sich immer. Gerade jetzt. Und wer Herrenchiemsee besucht, sollte unbedingt die Verfassungskonventaustellung besuchen.

Herzlichen Glückwunsch, Grundgesetz!… Weiterlesen

EuGH zur Frage der Anwendbarkeit des Datenschutzrechts auf private YouTube-Videos

Der EuGH hat am 14. Februar 2019 ein Urteil gefällt, welches zwar noch unter der alten Datenschutzrichtlinie (Datenschutz-RL) spielte, allerdings auch für die Datenschutzgrundverordnung Geltung haben dürfe (Az. C-345/17).

Der Fall spielte in Lettland. Dort hatte ein Mann seine Befragung zu einer Ordnungswidrigkeit auf einer Polizeidienststelle gefilmt und anschließend auf YouTube veröffentlicht.

Der Fall warf zwei Fragen auf:

  1. Ist die Datenschutz-RL auch hier anwendbar, obwohl es sich um einen Privatmann und einen privaten Account handelt oder greift hier die Haushaltsausnahme (Art. 3 Abs. 2 Datenschutz-RL), wonach Datenschutzrecht keine Anwendung findet, wenn die Verarbeitung von natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird?
  2. Kann sich der Mann auf das Medienprivileg (Art. 9 Datenschutz-RL) berufen?

Der EuGH stellte wenig überraschend nochmals klar, dass bereits das Filmen eine Verarbeitung personenbezogener Daten darstelle, ebenso das Veröffentlichen des Films auf YouTube.

Die Haushaltsausnahme greife nicht, da die durch die Veröffentlichung auf YouTube eine Zugänglichmachung für eine unbestimmte Vielzahl von Personen erfolge. Der private bzw. familiäre Bereich werde damit überschritten.

Das Medienprivileg greife nur, wenn eine Veröffentlichung ausschließlich zum Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten. Ob dies vorliegt, müssen die Instanzgerichte klären.

Da beide Vorschriften ähnlich in der DSGVO geregelt sind (Haushaltsausnahme: Art.Weiterlesen

Kein Hygieneproblem beim Widerruf von Matratzen?

Der Bundesgerichtshof hat dem EuGH die Frage vorgelegt, ob ein Widerrufsrecht auch bei Matratzen bestehe oder ob die Hygieneausnahme des Art. 16 lit. e) der Verbraucherrechterichtlinie (VRRL, RL 2011/83/EU) greife (BGH, Vorlagebeschl. v. 15.11.2017 – VIII ZR 194/16). Nun liegen die Schlussanträge des Generalanwalts vor.

Im deutschen Recht findet sich die Umsetzung der Ausnahme in § 312g Abs. 2 Nr. 3 BGB:

§ 312g Widerrufsrecht
(1) (…)

(2) Das Widerrufsrecht besteht, soweit die Parteien nichts anderes vereinbart haben, nicht bei folgenden Verträgen:

(…)

3.Verträge zur Lieferung versiegelter Waren, die aus Gründen des Gesundheitsschutzes oder der Hygiene nicht zur Rückgabe geeignet sind, wenn ihre Versiegelung nach der Lieferung entfernt wurde,

Im vorliegenden Fall hatte der Kläger auf Rückzahlung des Kaufpreises geklagt, nachdem er eine Matratze in einem Online-Shop bestellt und dann den Vertrag widerrufen hatte. Der Shopbetreiber hatte sich auf die Ausnahme gestützt, da die Matratze versiegelt gewesen war und das Siegel entfernt wurde. Die Ausnahme war auch in der Widerrufsbelehrung und den AGB aufgeführt. Das Amtsgericht und das Landgericht Mainz hatten dem Kläger recht gegeben, die Ausnahme greife nicht, da die Matratze kein Hygieneartikel sei, der von der Vorschrift umfasst sei.

Nun liegen die Schlussanträge des Generalanwalts vor.… Weiterlesen

Werbeanzeige im Freemail-Postfach keine unzulässige Werbung

Das OLG Nürnberg hat entschieden, dass eine Werbeanzeige im Posteingang eines kostenlosen E-Mail-Dienstes keine unzumutbare Belästigung im Sinne von § 7 Abs. 1 S. 1 UWG darstellt (Urt. v. 15.01.2019 – 3 U 724/18).

Anders hatte es noch das LG Nürnberg-Fürth (Urt. v. 22.03.2018 – 3 HK O 4495/17) gesehen: Da die Werbeanzeige wie eine E-Mail im Posteingang, eingereiht unter den E-Mails, dargestellt werde, seien die Voraussetzungen des Anspruchs erfüllt.

Das OLG sah die Voraussetzung der elektronischen Post für nicht erfüllt und greift auf die Definition der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) zurück:

„Aus der Gesamtschau der in der Definition von Art. 2 S. 2 lit. h Datenschutzrichtlinie verwendeten Begriffe „Post“, „Kommunikationsnetz“ und „Verschicken“ ergibt sich, dass elektronische Post nur bei der Versendung einer Nachricht von einem Nutzer an einen anderen Nutzer durch ein Dienstleistungsunternehmen (wie beispielsweise ein E-Mail-Provider), welches die elektronische Beförderung an die elektronische „Anschrift“ (wie beispielsweise eine E-Mail-Adresse) des zweiten Nutzers übernimmt, vorliegt. Diese Bedeutung wird bestätigt durch Erwägungsgrund 44, der von einem elektronischen Postsystem – welches begriffsnotwendig die Möglichkeit von Kommunikation voraussetzt – spricht. Auch aus den Erwägungsgründen 1, 12 und 40 sowie Art. 1 Abs. 1 Datenschutzrichtlinie ergibt sich, dass diese Regelungen dem Schutz der Privatsphäre der Nutzer im Bereich der elektronischen Kommunikation dienen sollen (vgl.

Weiterlesen

BGH: Kundenzufriedenheits-Umfrage ist Werbung

Der Versand von E-Mail-Newslettern wurde die letzten Monate fälschlicherweise immer im Rahmen der neu anwendbaren Datenschutzgrundverordnung (DSGVO) problematisiert. Dabei ist dies weniger ein Problem des Datenschutzrechts als ein Problem des Wettbewerbsrechts – die Direktwerbung ist als berechtigtes Interesse im Rahmen des Art 6 Abs. 1. S. 1 lit f) DSGVO anerkannt, wie Erwägungsgrund 47 zeigt. § 7 UWG stuft aber Werbung unter Verwendung elektronischer Post ohne Einwilligung als unzumutbare Belästigung und damit als unlautere Handlung ein.

Eine aktuelle Entscheidung hierzu hat nun der Bundesgerichtshof getroffen (BGH, Urteil vom 10. Juli 2018 – VI ZR 225/17): Danach ist auch dann der Tatbestand der Werbung erfüllt, wenn zwar per E-Mail eine Rechnung übermittelt wird, in dieser E-Mail aber zugleich eine Kundenzufriedenheits-Umfrage durchgeführt wird. Dies zeigt nochmals, wie schnell man als Versender von E-Mails unter den Begriff der Werbung fällt. Hier sollte man genau aufpassen, um sich nicht Unterlassungs- und Aufwendungsersatzansprüchen auszusetzen.

Der BGH stellt in dieser Entscheidung übrigens auch noch einmal etwas klar, was in der Praxis oft falsch gemacht wird: Der Empfänger einer solchen Werbung kann seine Ansprüche nicht auf das UWG stützen, da er weder Mitbewerber noch Verbraucherschutzverband nach dem Unterlassungsklagensgesetz ist. Sein Anspruch ergibt sich allein aus dem Allgemeinen Persönlichkeitsrecht im Rahmen des § 823 Abs.Weiterlesen

OLG Frankfurt zur Verlinkung von Gesundheitsdaten durch Google

Jetzt ergehen die ersten Urteile zur neuen Datenschutzgrundverordnung (DSGVO). Auch wenn die Abmahnungen noch ausgeblieben sind, was vermutlich daran liegt, dass erstens ein konkretes Wettbewerbsverhältnis vorliegen muss und zweitens auch die Abmahner aufgrund der noch bestehenden Rechtsunsicherheit in vielen Punkten keine unberechtigte Abmahnung aussprechen möchten (diese würde nach einem Teil der Rechtsprechung einen Kostenerstattungsanspruch des Abgemahnten auslösen), kommt der ein oder andere datenschutzrechtliche Fall nun trotzdem vor die Gerichte.

Überraschend hat das Oberlandesgericht Frankfurt am Main (OLG Frankfurt am Main, Urt. v. 06.09.2018, Az. 16 U 193/17, zur Pressemitteilung) entschieden, dass durch Google verlinkte Gesundheitsdaten nicht gelöscht werden müssen, wenn sich im Rahmen einer Interessenabwägung ergebe, dass das Interesse der Presse an der Berichterstattung überwiegt. Hintergrund waren Berichte in Online-Medien über die Krankschreibung des Geschäftsführers einer bekannteren gemeinnützigen Organisation, welche über Google auffindbar waren. Das OLG Frankfurt hat entschieden, dass Google sie nicht löschen muss.

Die Entscheidung ist insofern interessant, als an die Verarbeitung von Gesundheitsdaten (und dazu gehört schon, ob jemand krank ist oder nicht, ohne die Krankheit näher zu bezeichnen), besonders hohe Anforderungen durch die DSGVO gestellt werden. Art. 9 DSGVO enthält hier einen abschließenden Katalog von gesetzlichen Erlaubnistatbeständen für die Verarbeitung. Ist hier keiner dabei, dürfen die Daten nicht verarbeitet werden.… Weiterlesen