Datenschutz Archive - Wolfgang Riegger

Datenschutz im Internet: TTDSG tritt ab 01.12.2021 in Kraft

23. November 202123. November 2021Wolfgang Riegger

Ab 01. Dezember 2021 tritt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel des Gesetzes ist es, die bereichspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz zu überführen und diese den Vorgaben der DSGVO und der sog. ePrivacy-Richtlinie anzupassen.

Einer der Schwerpunkte des neuen Gesetzes ist – bezogen auf den Datenschutz bei Webseiten – die (Neu-)Regelung von Cookies bzw. Cookie-Bannern.

Jeder Internetnutzer kennt die Cookie-Banner, die auf das Setzen sog. Cookies hinweisen. Die wenigsten Nutzer beschäftigten sich auch wirklich mit dem Inhalt der entsprechenden Cookie-Banner und klicken auf „Zustimmen“ oder ähnliche vorformulierte Einwilligungserklärungen, um die Webseite auch nutzen zu können. Gerade auch wegen dieses typischen Nutzerverhaltens waren diverse Gestaltungen von Cookie-Bannern in den letzten zwei bis drei Jahren vermehrt Gegenstand gerichtlicher Entscheidungen.

Das neue TTDSG erlaubt nun explizit den Einsatz sog. „Personal Information Management-Systeme“ (kurz „PIMS“). „PIMS“ ist eine Software, die Nutzern mehr Kontrolle über ihre Daten geben soll. Der Anwender kann mithilfe von „PIMS“ auf seinem jeweiligen Endgerät abspeichern, welche Einwilligungen er erteilen möchte und welche nicht. Es können also Voreinstellungen für die Nutzung von Cookies für alle Webseiten festgelegt werden, so dass nicht auf jeder Webseite eine gezielte Auswahl der zu setzenden Cookies getroffen werden muss. Die Webseite erkennt beim Aufrufen der Webseite das benutzte „PIMS“, so dass der für viele lästige Cookie-Banner erst gar nicht erscheint und weggeklickt werden muss.

Allerdings wird nicht jedes „PIMS“ vom neuen TTDSG akzeptiert. Das Gesetz sieht ein Anerkenntnisverfahren für solche Software vor. Das bedeutet, dass der jeweilige Softwareanbieter eines „PIMS“ künftig ein Anerkennungsverfahren durchlaufen muss. Dieses kann nur erfolgreich durchlaufen werden, wenn bestimmte Anforderungen an das „PIMS“ erfüllt werden: So muss die Software insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Das genaue Verfahren dazu soll in einer Rechtsverordnung geregelt werden.

Damit die lästigen Cookie-Banner tatsächlich verschwinden, muss die Bundesregierung also zunächst eine (wirksame) Verordnung erlassen, in der die verschiedenen Voraussetzungen festgelegt werden. Sodann muss es natürlich ausreichend Anbieter solcher Software geben, die auch bereit sind, das Anerkennungsverfahren zu durchlaufen. Und schließlich müssen die Nutzer die „PIMS“ auch tatsächlich nutzen. Es dürfte also noch eine Weile dauern, bis die lästigen Cookie-Banner tatsächlich verschwinden.

Sofern kein „PIMS“ eingesetzt wird, enthält das TTDSG die Vorgabe, dass Cookies nur mit Einwilligung des Nutzers gesetzt werden dürfen.

§ 25 Abs. 1 Satz 1 TTDSG bestimmt dies explizit. Allerdings gibt es auch Ausnahmen. § 25 Abs. 2 TTDSG regelt, dass eine Einwilligung nicht erforderlich ist, wenn der alleinige Zweck der Speicherung die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder – dies ist die wichtige Ausnahme für die Webseitenbetreiber – die Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Letztgenannte Ausnahme sind die “technisch notwendigen Cookies“.

Dies sind z.B. Cookies, die einen Login auf eine Seite ermöglichen oder die für die Nutzung eines Warenkorbs eines Onlineshops nötig sind. Eine konkrete Definition im Gesetz, wann ein Cookie „unbedingt erforderlich“ ist, findet sich allerdings nicht.

Hier wird es also weiterhin Aufgabe der Gerichte sein, die „unbedingte Erforderlichkeit“ von Cookies zu bestimmen. Mit sehr großer Wahrscheinlichkeit gehören allerdings Tracking-Cookies, die lediglich Marketingzwecken dienen oder personalisierte Werbung ermöglichen sollen, nicht dazu.

Kein immaterieller Schadenersatz nach DSGVO bei unerlaubter E-Mail-Werbung

19. Mai 202119. Mai 2021Wolfgang Riegger

Das Amtsgericht Hamburg-Bergedorf musste über die Frage entscheiden, ob die unerlaubte Zusendung eines Werbe-E-Mails einen immateriellen Schadenersatzanspruch nach DSGVO auslöst (Urteil vom 07.12.2020, Az.: 410d C 197/20).

Art. 82 Abs. 1 DSGVO regelt, dass bei Verstößen gegen die DSGVO ein Anspruch auf materiellen oder immateriellen Schadenersatz bestehen kann.

Da in aller Regel der Nachweis eines tatsächlichen materiellen Schadens in der Praxis sehr schwierig ist, stellt sich nun die Frage, unter welchen Voraussetzungen ein sog. immaterieller Schadenersatz – auch landläufig als Schmerzensgeld bezeichnet – geltend gemacht werden kann.

Der Datenschutz wird abgeleitet aus dem sog. informationellen Selbstbestimmungsrecht einer Person und ist somit Teil des allgemeinen Persönlichkeitsrechts. Bis zum Inkrafttreten der DSGVO gewährte die Rechtsprechung nur dann einen Anspruch auf immateriellen Schadenersatz – im Persönlichkeitsrecht als Geldentschädigung bezeichnet -, wenn eine besonders schwere Persönlichkeitsrechtsverletzung vorlag.

Nachdem nach Inkrafttreten der DSGVO das Gesetz für Datenschutzverstöße einen solchen Anspruch auf Zahlung eines immateriellen Schadenersatzes dem Grunde nach vorsieht, stellt sich die Frage, unter welchen Voraussetzungen ein solcher immaterieller Schadenersatz zu gewähren ist.

Der Großteil der juristischen Fachliteratur und zum Teil auch der Gerichte vertritt dabei die Auffassung, dass – anders als noch nach altem deutschem Recht – für die Gewährung eines solchen immateriellen Schadenersatzes bei Datenschutzverstößen keine besonders schwere Persönlichkeitsrechtsverletzung vorliegen muss.

Allerdings wird auch das Problem gesehen, dass nicht jeglicher Datenschutzverstoß – quasi automatisch – einen immateriellen Schadenersatz nach sich ziehen kann. Die genauen Voraussetzungen dafür, wann ein solcher immaterieller Schadenersatz zu gewähren ist und wann nicht, sind im Einzelnen aber umstritten.

Das Amtsgericht hat sich nun in seinem Urteil der Rechtsauffassung angeschlossen, dass jedenfalls derjenige, der einen immateriellen Schadenersatzanspruch geltend macht, darlegen und gegebenenfalls auch beweisen muss, dass er einen solchen Schaden tatsächlich erlitten habe. Ob dann ein immaterieller Schadenersatz zu gewähren sei, hänge sodann von den objektiv benennbaren Beeinträchtigungen des Geschädigten ab, so das Amtsgericht. Ein bloßer Ärger oder Unannehmlichkeiten genügen nach Auffassung des Amtsgerichtes dafür nicht.

Da es im vorliegenden Fall lediglich um die unerlaubte Zusendung eines Werbe-E-Mails ging, stufte das Amtsgericht den Verstoß als nicht schwer genug ein. Eine solche Werbe-E-Mail sei zwar eventuell belästigend, jedoch sei dies keine Beeinträchtigung, die für einen immateriellen Schadenersatzanspruches ausreiche, so das Amtsgericht.

Den gleichzeitig geltend gemachten Unterlassungsanspruch bejahte das Gericht aber.

Die Frage, wann und unter welchen Voraussetzungen ein immaterieller Schadenersatz zu gewähren ist und v.a. auch, in welcher Höhe immaterieller Schadensersatz zu gewähren ist, wird sicherlich auch noch in den nächsten Jahren, und zwar bis zu einer grundlegenden Entscheidung durch den Europäischen Gerichtshof sicherlich noch lange umstritten sein.

Neues zur DSGVO

3. September 20193. September 2019Wolfgang Riegger

Zwei aktuelle Urteile gibt es zu Fragen des Datenschutzes auf Grundlage der DSGVO, die unterschiedlicher nicht sein könnten:

Zum einen ein Urteil des Europäischen Gerichtshofes (EuGH), der zur Frage der Haftung für die Integrierung des Facebook-Like-Buttons auf die eigene Webseite sehr strenge Maßstäbe anlegt. Zum anderen ein Urteil des Oberlandesgerichts (OLG) Frankfurt/Main, in dem insbesondere ein Instrument aus dem Online-Marketing nach wie vor für zulässig erachtet wird.

Mit Urteil vom 29.07.2019, Az.: C-40/17, hat der EuGH – eigentlich wenig überraschend – klargestellt, dass der Betreiber einer Webseite, welcher den Facebook-Like-Button auf seine Seite einbindet, für Datenschutzverstöße, die von Facebook begangen werden, mithaftet.

Dies bedeutet also, dass der Webseitenbetreiber in Fällen, in denen er den Facebook-Like-Button auf seine Webseite einbindet, den Nutzer über den Umfang der Nutzung seiner Daten aufklären und insbesondere auch eine Einwilligung für die Übertragung der Daten an Facebook in die USA einholen muss. Das Problem: Da Facebook nicht aufklärt, was genau mit den Nutzerdaten dort geschieht, kann natürlich auch ein Webseitenbetreiber nicht korrekt aufklären. Dies hat zur Folge, dass ein Unternehmen den Facebook-Like-Button auf seine eigene Webseite am besten nicht einbindet. Was natürlich möglich ist, ist die Verlinkung auf die eigene Facebook-Seite, wobei allerdings auch hier gewisse Zweifel daran bestehen, ob derzeit überhaupt ein Unternehmen auf Facebook eine entsprechende Seite betreiben kann, ohne gegen die DSGVO zu verstoßen. Insoweit bleibt es bei der bisherigen Unsicherheit.

Aus dem EuGH-Urteil gehen noch zwei weitere Punkte hervor, die bislang umstritten waren und die sicherlich auch nicht zugunsten eines Unternehmens entschieden worden sind:

So hat der EuGH klargestellt, dass für sog. Tracking-Cookies der Webseitenbetreiber immer eine Einwilligung einzuholen hat. Alleine der Hinweis auf die Verwendung entsprechender Cookies auf der eigenen Webseite und das typische „Wegklicken“ des Cookie-Hinweises dürfte also wohl nicht mehr ausreichen.

Darüber hinaus hat der EuGH klargestellt, dass ein Verbraucherschutzverband einen Verstoß gegen die DSGVO abmahnen darf. Dies könnte natürlich dazu führen, dass sich Wettbewerbs- und Verbraucherschutzverbände nun vermehrt um solche möglichen DSGVO-Verstöße kümmern werden und also Abmahnungen drohen.

Ein Lichtblick dagegen ist das Urteil des OLG Frankfurt für den Bereich des Online-Marketings:

Bei der Entscheidung ging es u.a. um das in der Vergangenheit typische verwendete „datenschutzrechtliche Geben und Nehmen“: Der Nutzer darf an einem Gewinnspiel des Unternehmens teilnehmen, gibt dafür im Gegenzug seine Einwilligung zum Erhalt von Newslettern.

Nach Inkrafttreten der DSGVO war vielfach die Meinung zu lesen, dass eine solche Kopplung zwischen Teilnahme an einem Gewinnspiel gegen Einwilligung zum Newsletter-Erhalt eine unzulässige Kopplung sei, weil eine Einwilligung stets freiwillig erteilt werden müsse und es in einem solchen Fall an der Freiwilligkeit fehle.

Das OLG Frankfurt hat mit Urteil vom 27.06.2019, Az.: 6 U 6/19, jedoch den Deal „Daten gegen Leistung“ nicht grundsätzlich verboten, sondern erlaubt. In dem vorliegenden Fall hatte ein Energieunternehmen ein Gewinnspiel angeboten. Der Nutzer konnte daran teilnehmen, musste allerdings dafür eine Einwilligung in Werbeanrufe des Energieversorgers erteilen. Zwar wurde dem Energieunternehmen diese Praxis untersagt. In diesem Fall allerdings nur deshalb, weil das Unternehmen die Einwilligung des Nutzers nicht nachweisen konnte.

Da es im vorliegenden Fall um einen Werbeanruf ging und keine Verifikation der Telefonnummer erfolgte, untersagte das OLG diese Praxis, urteilte jedoch auch, dass eine typische Einwilligung im Wege des Double-Opt-Ins (wie sie insbesondere bei der Newsletter-Werbung verwendet wird) in Ordnung sei. Auch hatte das OLG grundsätzlich keine Probleme mit der Freiwilligkeit. Das Gericht stellte klar, dass jeder Nutzer freiwillig entscheiden könne, ob er seine Daten preisgibt, um am Gewinnspiel teilzunehmen oder eben nicht.

Wichtig ist aber weiterhin zweierlei:

Zum einen muss die Einwilligungserklärung für den Nutzer klar formuliert sein und er muss wissen, in welche Art der Werbung er einwilligt, ob seine E-Mail-Adresse an Dritte weitergegeben wird, wenn ja, an wen etc.

Des Weiteren muss die Einwilligung im Wege des Douple-Opt-Ins erfolgen, damit nachher eine Einwilligung auch für das Unternehmen nachweisbar ist.

Neues aus der Welt der DSGVO

22. Oktober 201822. Oktober 2018Wolfgang Riegger

In den letzten Monaten gab es nach Inkrafttreten der DSGVO auch einiges an Kuriosem zu lesen:

Angefangen von einem Zeitungsbericht über einen Apotheker, der der Meinung ist, dass er und seine Mitarbeiter keine Namensschilder im Ladengeschäft mehr tragen und auch keine namentlich bekannten Kunden mit Namen ansprechen dürfen, weil dies gegen die DSGVO verstoße, bis hin zu einem Bericht über eine Beschwerde eines Mieters in Wien darüber, dass sein Vermieter den Namen des Mieters am Klingelschild angebracht habe und der Vermieter daraufhin die Konsequenz ziehen und in bei 220.000 Mietern in rd. 2.000 Wohnanlagen alle Namensschilder entfernen will und sich im Anschluss daran die Frage stellt, ob dies auch in Deutschland so gelte. Nichts scheint sicher vor Datenschützern und es bestehen weiterhin zahlreiche Unsicherheiten.

Neben dem bereits in meiner Newsmeldung vom 26.09.2018 genannten Urteil des LG Würzburg zur Frage, ob ein Verstoß gegen die DSGVO gleichzeitig ein Wettbewerbsverstoß ist, gibt es ein weiteres, neues Urteil mit Bezügen zur DSGVO.

Im Ergebnis nicht überraschend hat das LG Frankfurt/Main mit Urteil vom 13.09.2018, Az.: 2-03 O 283/18, entschieden, dass ein werbetreibendes Unternehmen eine Einwilligung eines Kunden nachweisen muss, wenn der Kunde in einem Werbevideo des Unternehmens zu sehen ist.

Der beklagte Unternehmer betrieb in Frankfurt einen Frisör-Salon. Bei der Klägerin handelte es sich um eine Kundin des Frisör-Salons. Der beklagte Unternehmer gab an, dass er in seinem Frisör-Salon regelmäßig Video- und Bildaufnahmen über die Arbeiten von ihm und seinen Angestellten anfertige, um unterschiedlichste Frisur-Techniken an dafür vorgesehenen Haarmodellen zu veranschaulichen. Die Klägerin gab an, dass sie im Frisör-Salon weder einen Hinweis auf Film- oder Bildaufnahmen gesehen und dass sie sich zudem gegen eine Anfertigung einer Fotografie explizit gewehrt habe.

Auf seiner Facebook-Seite veröffentlichte der beklagte Unternehmer ein Video, auf dem u.a. auch die Klägerin zu sehen war. Die Klägerin mahnte den beklagten Frisör ab und forderte die Abgabe einer strafbewehrten Unterlassungs- und Verpflichtungserklärung und die Entfernung des Videos von der Facebook-Seite. Nachdem der Frisör der Aufforderung nicht nachkam, beantragte die Klägerin eine einstweilige Verfügung, die dann auch vom Landgericht Frankfurt/Main erlassen wurde.

Das Landgericht Frankfurt begründete seine Entscheidung damit, dass der beklagte Unternehmer beweisen müsse, dass er eine Einwilligung seiner Kundin dafür eingeholt habe, dass das verwendete Video von ihm im Internet veröffentlicht werden darf. Da der Frisör dies nicht beweisen konnte, ging das Gericht von einem Verstoß u.a. auch gegen die Vorschriften der DSGVO aus. Interessant in diesem Zusammenhang ist, dass das Gericht auch auf die Frage eingegangen ist, ob die Veröffentlichung des Videos durch sog. berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO abgedeckt sei. Im Rahmen der Abwägung erkannte das Landgericht zwar, dass „Werbung“ ein berechtigtes Interesse eines Unternehmers sei. Allerdings überwiege hier das Interesse der klagenden Kundin, weil eine Kundin eines Frisör-Salons nach Auffassung des Landgericht nicht damit rechnen müsse, während eines Besuchs beim Frisör gefilmt zu werden und sodann ohne ihre Einwilligung auch zur Werbung für das Unternehmen benutzt werde.

Das Landgericht hat dabei auch die „alten Abwägungsvorgaben“ aus dem Kunsturhebergesetz (KUG), dort §§ 22, 23 KUG, hinzugezogen und bei der Abwägung der jeweiligen Interessen berücksichtigt.

Mit anderen Worten:

Das Landgericht ist der Auffassung, dass auch schon vor Inkrafttreten der DSGVO die Werbung des Frisörs als Persönlichkeitsrechtsverletzung unzulässig gewesen wäre.

An sich kein allzu überraschendes Urteil. Interessant ist aber, dass das Landgericht im Rahmen der Begründung eine in der juristischen Fachliteratur vertretene Auffassung aufnimmt, dass die „alten Abwägungsgrundsätze“ des KUG bei Bildnis-Veröffentlichungen auch im Rahmen der DSGVO heranzuziehen sind, so dass man zumindest vom Grundsatz ausgehen kann „Alles was nach dem KUG verboten war, bleibt auch nach der DSGVO untersagt“. Ob dann aber auch umgekehrt die Aussage „Alles was nach dem KUG erlaubt war, ist auch nach der DSGVO erlaubt“ greift, ist damit noch nicht gesagt. Hier wird wiederum die Auffassung vertreten, dass die DSGVO strengere Maßstäbe an die Bildnis-Veröffentlichung anlege, als das „alte“ KUG.

LG Würzburg: Verstoß gegen DSGVO stellt auch Wettbewerbsverstoß dar

26. September 201826. September 2018Wolfgang Riegger

Das LG Würzburg hat am 13.09.2018 eine einstweilige Verfügung erlassen und geurteilt, dass der Betrieb einer ungesicherten Webseite ohne Datenschutzerklärung wettbewerbswidrig ist (AZ: 11 O 1741/18).

Ohne dass dies detailliert begründet wird, meint das LG Würzburg, dass ein Vertsoß gegen Vorschriften der DSGVO gleichzeitig gem. § 3a UWG unlauter sei.

Soweit ersichtlich, ist das LG Würzburg das bislang erste Gericht, dass explizit einen Verstoß gegen die DSGVO als Wettbewerbsverstoß nach § 3a UWG einstuft. Leider begründet das Gericht seine Rechtsauffassung nicht, sondern verweist lediglich auf Urteile, die noch auf altem Datenschutzrecht beruhen. Dabei gibt es einige Stimmen in der juristischen Fachliteratur, die eine andere Auffassung vertreten und der Meinung sind, dass aufgrund der Vorschrift von Art. 80 DSGVO eine gleichzeitige Verfolgung durch Mitbewerber, gestützt auf Vorschriften des UWG, nicht möglich ist.

Mithaftung bei Datenschutzverstößen von Facebook

6. Juni 20187. Juni 2018Wolfgang Riegger

Der Europäische Gerichtshof hat am 05.06.2018 entschieden, dass Betreiber von Facebook-Seiten für mögliche Datenschutzverstöße von Facebook mithaften (EuGH, Urteil vom 05.06.2018, Az.: C-210/16).

Der EuGH musste über eine Vorlagefrage in einem derzeit beim Bundesverwaltungsgericht anhängigen Rechtsstreit entscheiden. In dieser Vorlagefrage ging es um die grundsätzliche (Mit-)Verantwortlichkeit des Betreibers einer Facebook-Seite (im Urteil des EuGH wird eine Facebook-Seite als „Fanpage“ bezeichnet) für mögliche Datenschutzverstöße, die von Facebook selbst begangen werden.

Das Verfahren, mit dem sich das Bundesverwaltungsgericht beschäftigt hatte, ist schon seit etlichen Jahren anhängig und betrifft (eigentlich) Rechtsvorschriften, die nicht mehr in Kraft sind und durch die seit kurzem geltende DSGVO ersetzt worden sind.

Um es kurz zu machen:

Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite oder „Fanpage“ auf Facebook für Datenschutzverstöße mithaftet, die von Facebook begangen werden.

Der EuGH hat seine Entscheidung ausführlich begründet. Und unter juristischen – in diesem Fall vor allem theoretischen – datenschutzrechtlichen Aspekten lässt sich eine solche Mithaftung sicherlich begründen.

Unter praktischen Aspekten ist diese Entscheidung natürlich – man muss es so sagen – katastrophal. Das aus meiner Sicht Schlimme daran ist, dass die deutschen Datenschutzbehörden, die das Verfahren vor dem Bundesverwaltungsgericht in Gang gesetzt haben, mit ihrem Vorgehen eigentlich Facebook dazu zwingen wollten, sich an die deutschen bzw. jetzt europäischen Datenschutzvorschriften zu halten und ihr Geschäftsmodell entsprechend anzupassen. Weil es seinerzeit, als das Verfahren in Gang gesetzt wurde, keine oder nur wenige Möglichkeiten gab, gegen Facebook direkt vorzugehen, hat sich die Datenschutzbehörde des Bundeslandes Schleswig-Holstein, die das Verfahren in Gang gesetzt hatte, entschieden, ein Unternehmen wegen des Betriebs seiner Facebook-Seite anzugehen und hatte eine entsprechende Verfügung erlassen, gegen die das betroffene Unternehmen dann vor einem Verwaltungsgericht geklagt hatte. Der Instanzenzug hat beide Seiten vor das Bundesverwaltungsgericht geführt, welches die grundlegende Frage der Mithaftung des Betreibers einer Facebook-Seite dem Europäischen Gerichtshof zur Entscheidung vorgelegt hatte.

Der schon seit Jahren bestehende Streit zwischen den deutschen und europäischen Datenschutzbehörden sowie Facebook wurde und wird also damit nun auf dem Rücken von Unternehmen, Vereinen und sonstigen Personen, die Facebook-Seiten nicht nur ausschließlich zu privaten Zwecken betreiben, ausgetragen.

Egal, ob man nun die Schuld dafür bei den Datenschutzbehörden oder bei Facebook oder bei beiden sucht: Es stellt sich die Frage, welche Auswirkungen diese Entscheidung hat.

Auch wenn derzeit die konkreten Folgen noch nicht vollkommen absehbar sind, können diese Auswirkungen immens sein.

Zunächst stellt sich natürlich die Frage, ob sich die Rechtslage zur Frage der Mithaftung durch das Inkrafttreten der neuen DSGVO geändert hat. Diese Frage ist aus meiner Sicht mit einem klaren „Nein“ zu beantworten. Wie das „alte“ Bundesdatenschutzgesetz sieht auch die DSGVO jedenfalls die generelle Möglichkeit einer solchen Mithaftung vor. Insoweit hat sich die Rechtslage nicht geändert.

Des Weiteren stellt sich jetzt die Frage, ob diese Entscheidung ausschließlich ein „Facebook-Problem“ ist oder ob man die Entscheidungsgründe auch auf andere soziale Netzwerke ausdehnen kann. Diese Frage wird man auch meiner Meinung nach mit einem „wahrscheinlich“ beantworten müssen. Man kann es letztendlich so zusammenfassen: Derjenige, der in einem sozialen Netzwerk eine Seite betreibt – egal ob auf Facebook, Instagram, YouTube, XING, Linkedin etc. -, haftet für mögliche Datenschutzverstöße, die vom Plattformbetreiber selbst begangen werden, jedenfalls mit.

Das einzig Gute an der Entscheidung des EuGH ist, dass es sich hier nur um eine Vorabentscheidung handelt, die noch keine allgemein bindende Wirkung dergestalt hat, dass damit die Betreiber einer Facebook-Seite quasi automatisch sofort haften. Denn das Verfahren geht nun zurück ans Bundesverwaltungsgericht und das Bundesverwaltungsgericht muss noch über zwei Fragen entscheiden: Zum einen, ob Facebook überhaupt Datenschutzverstöße begeht (dafür spricht aber Einiges). Zum anderen, ob jedenfalls eine Datenschutzbehörde aufgrund eines von einer Behörde auszuübenden Ermessens gehalten ist, sich nicht sofort an den Betreiber einer Facebook-Seite zu wenden, sondern quasi gezwungen ist, diese Verstöße direkt bei Facebook geltend zu machen. Die Antwort auf diese Frage dürfte offen sein.

Trotz der gerade eben beschriebenen noch offenen Punkte treffen bereits jetzt jeden Betreiber einer Facebook-Seite Unsicherheiten.

Aus meiner Sicht ist dabei noch nicht einmal die größte Gefahr, dass jetzt die Datenschutzbehörden der Bundesländer quasi alle Unternehmen, die Facebook-Seiten betreiben, anschreiben oder sogar mit Bußgeldbescheiden überziehen. Sofern es den Datenschutzbehörden, wie von mir oben vermutet, vor allem darum geht, dass sie Facebook zwingen wollen, sich an die europäischen Datenschutznormen zu halten, setzen die Datenschutzbehörden vermutlich eher darauf, dass Unternehmen nun ihre Facebook-Seiten freiwillig deaktivieren. Und dass Facebook deswegen handeln muss, damit Facebook nicht die Nutzer verliert.

Der aus meiner Sich größere Unsicherheitsfaktor ist der, ob nicht durch das EuGH-Urteil nun wieder versucht wird, über Abmahnungen Geld zu verdienen.

Die größte Gefahr wäre dann gegeben, wenn ein möglicher Mitbewerber oder ein Wettbewerbsverband einen entsprechenden Datenschutzverstoß, der von Facebook begangen wird, abmahnt, und zwar beim Betreiber der Facebook-Seite selbst, der z.B. Mitbewerber des Abmahners ist. Auch wenn noch nicht entschieden ist, ob bei einem Verstoß gegen Vorschriften aus der DSGVO auch zugleich ein wettbewerbsrechtlich relevanter sog. Rechtsbruch vorliegt, so ist dies ein durchaus realistisches Szenario: Denn auch bereits vor Inkrafttreten der DSGVO gab es Gerichte, die bei Verstößen gegen Datenschutzrecht zugleich Wettbewerbsverstöße angenommen haben. Da die DSGVO vor allem auch den Verbraucherschutz im Auge hat, dürfte es aus meiner Sicht wahrscheinlicher sein, dass Gerichte künftig bei Verstößen gegen die DSGVO auch gleichzeitig einen Wettbewerbsverstoß annehmen. Zudem stellt sich bei einem Vorgehen eines Wettbewerbers oder eines Verbandes auch nicht die noch offene Frage, ob eine Behörde gezwungen ist, direkt gegen Facebook vorzugehen; denn ein Wettbewerber oder ein Verband muss ein solches Ermessen nicht ausüben oder gar eine Ermessensentscheidung begründen. Das Szenario einer neuen „Abmahnwelle“ ist also nicht unrealistisch.

Zudem gibt es natürlich ebenfalls die zumindest theoretische Möglichkeit, dass ein einzelner Verbraucher auf ein Unternehmen „losgeht“, welches eine Facebook-Seite betreibt, etwa mit der Argumentation, dass der Verbraucher die Facebook-Seite des Unternehmens besucht hat und dadurch von einem Datenschutzverstoß von Facebook betroffen ist, weswegen nun der Verbraucher Unterlassungs- und Schadenersatzansprüche direkt beim Unternehmen geltend macht. Auch dies erscheint nicht ausgeschlossen, wenngleich das Risiko in einem solchen Fall aus meiner Sicht deutlich geringer ist, als bei Abmahnungen von Wettbewerbern oder von Wettbewerbsverbänden.

Es stellt sich natürlich nun die Frage, was ein Unternehmen tun kann.

Wer auf „Nummer Sicher“ gehen will, der deaktiviert seine Unternehmens-Facebook-Seite und beschränkt sich bei der Nutzung von Facebook auf eine rein private Nutzung. Oder er nutzt Facebook künftig gar nicht mehr.

Die zweite Alternative ist, dass ein Unternehmen die Ruhe bewahrt und abwartet, wie sich die Sache künftig weiterentwickelt und letztlich auch darauf hofft, dass weder Behörden, noch Wettbewerber, noch Verbände oder gar irgendwelche Verbraucher gerade gegen ihn Ansprüche geltend machen.

Betreibt man weiter seine Facebook-Seite ist das Einzige, was man in einem solchen Fall vielleicht tun könnte, Folgendes:

Zum einen könnte man in der Datenschutzerklärung seiner eigenen Webseite unter dem Punkt „Onlinepräsenz auf sozialen Netzwerken“ (oder ähnlichen Überschriften) darauf hinweisen, dass man eine Seite bei Facebook betreibt und dass man selbst nicht so genau weiß, was Facebook mit den personenbezogenen Daten von Nutzern macht, die die Facebook-Seite besuchen, quasi nach dem Motto „Betreten auf eigene Gefahr“. Ob das in einem möglichen Rechtsstreit wirklich hilft, ist allerdings stark zu bezweifeln. Aber möglicherweise gilt hier das Motto „Besser als nichts“.

Zum anderen könnte man in Fällen, in denen man von der eigenen Webseite zur eigenen Facebook-Seite mithilfe einer Verlinkung arbeitet, bei Anklicken des „Facebook-Symbols“ auf der eigenen Webseite eine Art „Disclaimer“ öffnen lassen, in dem der Nutzer (wie oben beschrieben) darauf hingewiesen wird, dass das Unternehmen eine Facebook-Seite betreibt, allerdings dem Nutzer nicht mitteilen kann, welche konkreten personenbezogenen Daten Facebook erhebt, verarbeitet und in welcher Weise Facebook diese personenbezogenen Daten eventuell selbst zu eigenen Werbezwecken oder zu Werbezwecken Dritter nutzt. Zugleich könnte man den Nutzer im Disclaimer darauf hinweisen, dass er in Fällen, in denen er das nicht möchte, nicht die Facebook-Seite des Unternehmens besuchen soll, sondern alle Informationen von der eigenen Webseite des Unternehmens holen sollte.

Es stellt sich natürlich die Frage, ob ein solcher Disclaimer tatsächlich rechtliche Relevanz haben wird. Auch dies ist nicht klar und es bestehen gewisse Zweifel, insbesondere dann, wenn man nicht nachweisen kann, dass der Nutzer über die Verlinkung auf der eigenen Webseite zur Facebook-Seite des Unternehmens gelangt und damit den Disclaimer zur Kenntnis nehmen konnte.

Fazit:

Leider eine Entscheidung des EuGH mit möglicherweise sehr weitreichenden Folgen für Unternehmen mit Facebook-Seiten.

Es muss nun jedes Unternehmen die Entscheidung treffen, ob es die eigene Facebook-Seite Wert ist, das oben beschriebene mögliche Risiko einzugehen oder ob man auf „Nummer Sicher“ gehen möchte und die Facebook-Seite deaktiviert.

Update am 07.06.2018:

Es liegt nun eine Stellungnahme der der Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder vor:

https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/20180605_EntschliessungFanpagesEuGHUrteil.html;jsessionid=A7CEEE7FAF4CB3DA90C78D6EE16DD6B1.1_cid319?nn=5217016

Zum Abschluss heißt es:

„Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.“

Was folgt daraus?

Leider nichts, was einem wriklich weiterhilft. Außer das es die Datenschützer tatsächlich auf Facebook abgesehen haben. Aber auch kein eindeutiger Hinweis darauf, dass die Behörden die Facebookseitenbetreiber nicht angehen werden.

DSGVO

9. Mai 201822. Mai 2018Wolfgang Riegger

Ab dem 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) sowie ergänzend das neue Bundesdatenschutzgesetz (BDSG) in Kraft.

Zahlreiche Anfragen habe ich deswegen bereits erhalten. Einige dieser Anfragen resultieren daraus, dass irgendjemand irgendetwas über die neue DSGVO gehört oder gelesen hat. Und in der Tat wurde in den letzten Wochen und Monaten vieles über die neue DSGVO geschrieben, insbesondere im Internet. Einiges, was geschrieben wurde, ist – man muss es auch in dieser Deutlichkeit sagen – der blanke Unsinn. Manches soll gewisse Ängste bei Unternehmen schüren – insbesondere in Veröffentlichungen, in denen immer wieder plakativ auf drohende horrende Bußgelder, die ab dem 25. Mai 2018 verhängt werden können, hingewiesen wird.

Falls Sie sich bereits umfassend mit den Voraussetzungen der kommenden DSGVO auseinander gesetzt und Ihr Unternehmen bereits entsprechend vorbereitet haben, müssen Sie nicht mehr weiterlesen.

Sollten Sie sich noch nicht oder noch nicht ausreichend mit der Thematik befasst haben, so gibt es tatsächlich etwas zu tun.

Durch die neue DSGVO entsteht ein gewisser Verwaltungsaufwand, der betrieben werden sollte. Denn der – in diesem Fall europäische – Gesetzgeber setzt beim Datenschutz auf Information und Transparenz. Dies bedeutet wiederum, dass im Vergleich zur noch geltenden Gesetzeslage ein Unternehmen umfangreichere Informations- und Aufklärungspflichten ab dem 25. Mai 2018 treffen werden.

Als erste „Sofortmaßnahme“ sind aus meiner Sicht zwei Punkte bis zum 25. Mai 2018 zu erledigen:

Zum einen sollte derjenige, der eine Webseite betreibt, die nicht nur rein privaten Zwecken dient, die auf einer Webseite online abrufbare „Datenschutzerklärung“ unbedingt überarbeiten. Denn die DSGVO stellt umfassendere Informationspflichten gerade auch für Webseitenbetreiber auf, so dass eine Datenschutzerklärung auf einer Internetseite, die den jetzigen Maßstäben genügt, ab dem 25. Mai 2018 nicht mehr ausreichend sein kann.

Zum anderen sollte ein Unternehmen einer Person, mit der es erstmals geschäftlich in Kontakt tritt, ab dem 25. Mai 2018 darüber informieren, was mit den personenbezogenen Daten des Anfragenden (z.B. mit seiner E-Mail-Adresse) im Unternehmen passiert. Dafür könnte man z.B. ein einfach gehaltenes Infoblatt erstellen, das man dem ersten Antwortschreiben an den Anfragenden übermittelt, z.B. als pdf-Datei.

Sofern Sie diese „Sofortmaßnahmen“ ab dem 25. Mai 2018 beachten und umsetzen, zeigen Sie „nach außen“, dass Sie die neue DSGVO „auf dem Schirm“ haben.

Die dritte Maßnahme, die getroffen werden sollte, ist die Erstellung eines „Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO“. Das ist eigentlich nichts Neues. Denn auch das BDSG in der jetzigen Fassung verlangte bereits die Erstellung eines sog. Verfahrensverzeichnisses. Jeder, der sich an die bisherigen gesetzlichen Regelungen gehalten und bereits ein Verfahrensverzeichnis erstellt hat, kann daher beruhigt sein, da nur bestimmte Anpassungen an die neue Gesetzeslage notwendig sind. Da bislang das Fehlen eines solchen Verfahrensverzeichnisses quasi sanktionslos war, habe ich die Erfahrung gemacht, dass viele Unternehmen nicht über ein solches Verzeichnis verfügen. Auf diese Unternehmen kommt in der Tat ein gewisser Verwaltungsaufwand zu: Denn in diesem Verzeichnis muss ein Unternehmen dokumentieren, welche Daten von welchen Personen in welcher Weise erfasst und verarbeitet werden, auf welcher Rechtsgrundlage die Verarbeitung beruht, welche Hard- und Software zur Datenverarbeitung eingesetzt wird sowie schließlich welche Maßnahmen zur Datensicherheit getroffen werden. Dabei sollte beachtet werden, dass der Begriff der personenbezogenen Daten nicht nur die digitalen Daten erfasst, sondern auch die „analogen Daten“. Also auch der Akten-Ordner mit Angeboten oder Rechnungen enthält personenbezogene Daten, so dass auch in einem Verfahrensverzeichnis dokumentiert werden muss, wo z.B. diese Akten-Ordner aufbewahrt und wie diese gesichert werden.

Auch dieses Verzeichnis sollte bis zum 25. Mai 2018 eigentlich vorhanden sein. In Anbetracht der Tatsache, dass – mit Ausnahme der zuständigen Datenschutzbehörden – kein Dritter ein Recht hat, dieses Verzeichnis ausgehändigt zu bekommen, kann man die Erstellung eines solchen Verzeichnisses hinter die oben beschriebenen „Sofortmaßnahmen“ anstellen, falls man nicht mehr rechtzeitig vor dem 25. Mai 2018 damit fertig wird.

Gerade die bei mir eingegangenen Anfragen von Mandanten zeigen, dass größere Unternehmen, die über eine eigene Rechtsabteilung oder einen (internen oder externen) Datenschutzbeauftragten verfügen, sich mit der Umsetzung der Vorgaben der DSGVO leichter tun als kleinere Unternehmen oder Freiberufler. Gerade Unternehmen, in denen sich „der Chef“ oder „die Chefin“ um alles kümmert, trifft die zusätzliche Arbeit besonders hart, weil man diesen Aufwand neben dem normalen Arbeitsalltag bewältigen muss.

Sollte Ihnen der Aufwand zu viel sein, kann ich Ihnen helfen. Gerne dürfen Sie mich deswegen kontaktieren.