Urteile

Löschungspflichten von Facebook

Schlussanträge des Generalanwalts beim EuGH vom 4.6.2019 in Sachen C-18/18 – Quelle: https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-06/cp190069de.pdf

Der EuGH-Generalanwalt Maciej Szpunar hat mit Schlussantrag vom 4.6.2019 im Rechtsfall C-18/18 dem Gerichtshof vorgeschlagen, in Anwendung der Richtlinie über den elektronischen Geschäftsverkehr Facebook zu zwingen, auch wortgleiche bzw. sinngleiche Kommentare, deren Rechtswidrigkeit festgestellt wurde, zu eruieren und zu identifizieren.


Der EuGH-Generalanwalt Maciej Szpunar hat mit Schlussantrag vom 4.6.2019 im Rechtsfall C-18/18 dem Gerichtshof vorgeschlagen, die Richtlinie über den elektronischen Geschäftsverkehr dahin auszulegen, dass Facebook ohne Weiteres gezwungen werden, sämtliche Kommentare, die mit einem ehrverletzenden Kommentar, dessen Rechtswidrigkeit festgestellt wurde, wortgleich sind, sowie damit sinngleiche Kommentare, sofern sie von demselben Nutzer herrühren, zu eruieren und zu identifizieren. Letzteres Kriterium, dass also keine Pflicht besteht, von allen Nutzern gepostete sinngleiche Informationen zu identifizieren spiegelt den Grundsatz der Verhältnismässigkeit wider.

Maciej Szpunar vertritt die Ansicht, dass die Richtlinie über den elektronischen Geschäftsverkehr nicht daran hindere, dass einem Host-Provider, der eine Social-Media-Plattform wie Facebook betreibe, im Wege einer gerichtlichen Verfügung aufgegeben werde, dass er sämtliche und damit weltweite von den Nutzern dieser Plattform geposteten Informationen durchsuche und darunter diejenigen identifiziere, die mit der Information wortgleich seien, die von dem Gericht, das die Verfügung erlassen habe, als rechtswidrig eingestuft worden sei. 

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-06/cp190069de.pdf

_____________________________________________________________________

Preisbezeichnung bei Kaffeekapseln

Urteil des BGH vom 28.3.2019 – I ZR 85/18 – Quelle: Internet World Business 9/19 vom 6.5.2019.

Der BGH hat mit Urteil vom 28.3.2019 entschieden, dass der Verkäufer von Kaffeekapseln den Grundpreis pro in der einzelnen Kapsel enthaltenem Kaffeepulver auszuzeichnen hat.


Der Bundesgerichtshof hat entschieden, dass ein Online-Händler auch beim Verkauf von Kaffeekapseln gemäss der Preisangabeverordnung stets verpflichtet ist, den Preis je 100 Gramm oder je Kilogramm des in den Kapseln enthaltenen Kaffees zu informieren. 

Ein Elektrohändler bot in seinem Markt Kaffeekapseln diverser Hersteller zum Kauf an. Dabei deklarierte er die Art der Kapseln, die Menge von zehn Stück pro Packung, das Füllgewicht aller in einer Packung enthaltenen Kapseln und den Preis pro Packung. Nicht deklariert wurde vom besagten Händler jedoch der Grundpreis in Bezug auf das in den Kapseln enthaltene Kaffeepulver. 

Der Bundesgerichtshof sah darin einen Verstoss gegen die Preisangabeverordnung. Kaffeekapseln seien «Fertigverpackungen» im Sinne des § 2 der Preisangabeverordnung, sodass der Inhalt nach Gewicht anzugeben sei. Die Preisangabeverordnung unterscheidet somit nicht zwischen stationärem und Internet-Handel. 

http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&az=I%20ZR%2085/18&nr=94560

______________________________________________________________________

Ein GPS-Ortungssystem für die Überwachung des eigenen Fuhrparks ist verboten

Urteil des VerwG Lüneburg vom 19.3.2019 – 4 A 12/19 – Quelle: https://www.datenschutz.eu/urteile/GPS-Ortungssystems-des-eigenen-Fuhrparks-datenschutzrechtlich-unzulaessig-Verwaltungsgericht-Lüneburg-20190319/

Das VerwG Lüneburg hat mit Urteil vom 19.3.2019 entschieden, dass der Einsatz eines GPS-Ortungssystems die Lokalisierung des eigenen Fuhrparks datenschutzrechtlich unzulässig ist, sofern keine gültige Einwilligung des Nutzers resp. des Arbeitnehmers vorliegt. 

Das Verwaltungsgericht Lüneburg hat entschieden, dass ein Gebäudereinigungsunternehmen für seinen Fuhrpark kein GPS-Ortungssystem betreiben darf, da dies gegen die DSGVO verstösst. 

Die Klägerin, ein Gebäudereinigungsunternehmen, stattete Firmenfahrzeuge, die die Objektbetreuer, Reinigungskräfte und der Hausmeister nutzen, mit GPS-Systemen aus. Das verwendete GPS-System speichert für einen Zeitraum von 150 Tagen ständig jegliche gefahrene Strecke mit Start- und Zielpunkten einschliesslich der gefahrenen Zeit sowie den Status der Zündung. Eine Taste zum Ein- und Ausschalten des Ortungssystems ist nicht vorhanden. Das Ortungssystem erfasst die Kennzeichen der betroffenen Fahrzeuge. Die Fahrzeuge sind den jeweiligen betrieblichen Nutzern zugeordnet. Eine entsprechende Einwilligungserklärung für diese Installation genügte allerdings nicht den datenschutzrechtlichen Anforderungen.

Einer wirksamen Einwilligung stünde gemäss dem Verwaltungsgericht bei den vorliegenden Vereinbarungen in allen Varianten entgegen, dass es auch an der informierten Willensbekundung fehlt, die nach aktueller Rechtslage erforderlich ist: Zum einen hat die Klägerin über den mit der Datenverarbeitung verfolgten Zweck die Beschäftigten nur partiell informiert. Zum anderen fehlt der Hinweis auf das Widerrufsrecht vollständig.

http://www.rechtsprechung.niedersachsen.juris.de/jportal/portal/page/bsndprod.psml?doc.id=MWRE190000986&st=null&doctyp=juris-r&showdoccase=1¶mfromHL=true#focuspoint

______________________________________________________________________

Verbot von Schleichwerbung durch „Taggen“ von Fotos ohne Werbekennzeichnung

Urteil des LG Karlsruhe vom 21.3.2019 – 13 O 38/18 KfH – Quelle: https://www.jurpc.de/jurpc/show?id=20190048

Das LG Karlsruhe hat mit Urteil vom 21.3.2019 entschieden, dass ein im Rahmen eines Instagram-Posts eingebetteter Tag im Foto mit der Verlinkung zum Marken-Herstellerseiten eine geschäftliche Handlung darstellt und daher eine entsprechende Werbekennzeichnung benötigt.  

Das Landgericht Karlsruhe hat entschieden, dass ein Instagram-Post, bei dem in das Foto eingebettete Tags mit Marken-Herstellerseiten verlinkt sind, eine geschäftliche Handlung im Sinne von § 2 Abs. 1 Nr. 1 UWG darstellt. Durch sie fördert der Betreiber des Accounts - i.d.R. ein sog. Influencer - die beworbenen Unternehmen ebenso wie sein eigenes, auf Werbeeinahmen zielendes Unternehmen. Die Kennzeichnung eines solchen Instagram-Auftritts als Werbung ist nicht entbehrlich. Insbesondere ist der werbliche Charakter nicht für alle - oft jugendlichen, teilweise kindlichen - Nutzer offensichtlich. Dies gilt umso mehr, als es das Geschäftsmodell von Influencern darstellt, (scheinbar) private mit kommerziellen Posts zu mischen.


______________________________________________________________________

Online-Verkauf von Alkohol an Minderjährige

Urteil des LG Bochum vom 23.1.2019 – I-13 O 1/19 – Quellehttps://www.justiz.nrw.de/nrwe/lgs/bochum/lg_bochum/j2019/13_O_1_19_Urteil_20190123.html

Das LG Bochum hat mit Urteil vom 23.1.2019 entschieden, dass der Verkauf von Alkohol über das Internet gegenüber Minderjährigen ohne Altersverifikation verboten ist. 


Das Landgericht Bochum hat einem Online-Händler unter Androhung eines Ordnungsgeldes in der Höhe von bis zu EUR 250'000.— oder einer ersatzweisen Ordnungshaft von bis zu sechs Monaten untersagt, zum Zwecke des Versandhandels alkoholische Getränke innerhalb der Bundesrepublik Deutschland aktiv oder passiv zu bewerben, feil zu bieten oder zu verkaufen, sofern nicht vor dem Versand zuverlässig sichergestellt wird, dass der Verbraucher bei Bier, Wein, weinähnlichen Getränken oder Mischungen von Bier etc. das sechzehnte Lebensjahr vollendet und bei anderen alkoholischen Getränken volljährig ist. Zudem müssen die alkoholischen Getränke in einer Weise versandt werden, die regelmässig sicherstellt, dass sie dem volljährigen Kunden, an den sie adressiert ist, persönlich ausgehändigt wird. 

Ob die Versandhändler sich hierbei des Verfahrens Post Ident der Deutschen Post oder der Zusatzleistung „persönliche Übergabe“ bedienen oder andere geeignete Massnahmen ergreifen, um sicherzustellen, dass alkoholhaltige Getränke nur an Personen abgegeben werden, die über das erforderliche Mindestalter verfügen, bleibt ihnen überlassen. Das Urteil ist vorläufig vollstreckbar. 

______________________________________________________________________

Koppelungsverbot und seine Auswirkungen

Erklärung der niederländischen Datenschützer vom 7.3.2019 – Quellehttps://t3n.de/news/cookies-verstoesst-ein-zwang-gegen-etwa-die-dsgvo-1149428/?etcc_cmp=Newsletter_Mar19&etcc_med=Newsletter&etcc_par=Cleverreach&et_cmp_seg4=DE_Alle&et_cmp_seg3=t3n_DSGVO

Mittels Tracking-Software und damit der Aufzeichnung des Surfverhaltens im Internet werden die meisten personenbezogenen Daten von Internetbenutzern erfasst. Die Rede ist von sogenannten «Tracking-Cookies». Umso mehr drängt sich eine Überprüfung der Einhaltung von Datenschutzbestimmungen im Zusammenhang mit Tracking-Cookies auf. 

Daher stellt sich aktuell die Ausgangsfrage, ob Nutzer, die einer Speicherung von Cookies auf Websites nicht zustimmen, am Besuch dieser Website gehindert werden dürfen. Ginge es nach den niederländischen Datenschützern, wäre die Antwort auf diese Frage ein klares Nein. Nach zahlreichen Beschwerden von Internetnutzern in Bezug zu der oben erwähnten Fragestellung haben die niederländischen Datenschützer nämlich reagiert und machten auf ihrer Website in einer Leitlinie deutlich, was erlaubt ist und was nicht. Erstens müssten demnach Internetbenutzer im Voraus um Erlaubnis gefragt werden, damit Tracking-Software platziert werden kann. Internetnutzer müssten nämlich darauf vertrauen können, dass ihre persönlichen Daten DSGVO-konform geschützt werden. Zweitens müsse diese Erlaubnis frei eingeholt werden. Konkret bedeutet Letzteres, dass eine nicht erteilte Erlaubnis des Internetbenutzers zur Ablage von Cookies auf seinem Rechner nicht dazu führen darf, dass dem Internetbenutzer gleich der Zugang zur Site verwehrt wird. Mit als Zugangsschranken konstruierten Cookie-Nachfragen (sog. «Cookie Wall») gäben die Internetnutzer ihre personenbezogenen Daten unter Druck frei und deshalb seien solche Schranken nicht DSGVO-konform. 

Die niederländischen Datenschützer betonen, dass zwar nichts dagegenspricht, entsprechende Tracking-Software zu verwenden, damit das einwandfreie Funktionieren der Site oder die allgemeine Analyse von Website-Besuchen gewährleistet werden kann. Weitergehende Überwachungen und Analysen der Internetnutzer sowie die Weitergabe dieser Informationen an Dritte seien jedoch stets ausschliesslich mit deren freiwilligen Einwilligung zulässig. 


_____________________________________________________

Videoüberwachung des Treppenhauses eines Mehrfamilienhauses (Urteil des LG Essen vom 30.01.2019, 12 O 62/18) 

Eine Videoüberwachung eines Treppenhauses eines Mehrfamilienhauses durch einen Wohnungseigentümer verletzt die anderen Eigentümer und Mieter in ihrem Allgemeinen Persönlichkeitsrecht, wenn sie in die Videoüberwachung nicht eingewilligt haben. Die Kosten für eine Anzeige beim Landesdatenschutzbeauftragten sind nicht erstattungsfähig.
Zum Volltext

_____________________________________________________

Bundeskartellamt untersagt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen - Bonn, 7. Februar 2019

Nach den Geschäftsbedingungen von Facebook können Nutzer das soziale Netzwerk bislang nur unter der Voraussetzung nutzen, dass Facebook auch ausserhalb der Facebook-Seite Daten über den Nutzer im Internet oder auf Smartphone-Apps sammelt und dem Facebook-Nutzerkonto zuordnet. Alle auf Facebook selbst, den konzerneigenen Diensten wie z.B. WhatsApp und Instagram sowie den auf Drittwebseiten gesammelten Daten können mit dem Facebook-Nutzerkonto zusammengeführt werden.


Die Entscheidung des Amtes umfasst verschiedene Datenquellen:


(i) Künftig dürfen die zum Facebook-Konzern gehörenden Dienste wie WhatsApp und Instagram die Daten zwar  weiterhin sammeln. Eine Zuordnung der Daten zum Nutzerkonto bei Facebook ist aber nur noch mit freiwilliger Einwilligung des Nutzers möglich. Wenn die Einwilligung nicht erteilt wird, müssen die Daten bei den anderen Diensten verbleiben und dürfen nicht kombiniert mit den Facebook-Daten verarbeitet werden.


(ii) Eine Sammlung und Zuordnung von Daten von Drittwebseiten zum Facebook-Nutzerkonto ist in Zukunft ebenfalls nur noch dann möglich, wenn der Nutzer freiwillig in die Zuordnung zum Facebook-Nutzerkonto einwilligt.

Fehlt es bei den Daten von konzerneigenen Diensten und Drittwebseiten an der Einwilligung, kann Facebook die Daten nur noch stark eingeschränkt dem Nutzerkonto zuordnen. Entsprechende Lösungsvorschläge hierfür muss Facebook erarbeiten und dem Amt vorlegen.

________________________________________________________________________

Anonymisierung von Personendaten als zulässige Form der Löschung

In der Praxis stellt sich häufig die Frage, ob anstelle einer Löschung von Personendaten auch ihre Anonymisierung genügt. Die DSGVO gibt dazu keine klare Auskunft. Aus dem Sinn des Datenschutzrechts folgt aber eindeutig, dass die Anonymisierung genügen muss:

  • Der Regelungsanspruch des Datenschutzrechts endet prinzipiell mit der Aufhebung des Personenbezugs. Anders formuliert: Das Datenschutzrecht kann seinen sachlichen Anwendungsbereich auch bei der Frage der Löschung nicht überschreiten. 
  • Zwar verfolgt der Verantwortliche bei der Anonymisierung einen bestimmten Zweck – die Weiterverwendung der anonymisierten Daten -, was bei der Löschung nicht der Fall ist. Da sich dieser Zweck aber nicht auf Personendaten bezieht, kann bzw. darf sich das Datenschutzrecht für diesen Zweck nicht interessieren.
  • Der Verantwortliche dürfte sich die anonymen Daten jederzeit beschaffen, ohne datenschutzrechtliche Anforderungen einhalten zu müssen (sofern die Daten auch bei seiner eigenen Verarbeitung anonym bleiben). Es wäre widersprüchlich, ihm die Anonymisierung zu verbieten, wenn ihm die Wiederbeschaffung freigestellt ist.

Daraus muss geschlossen werden, dass die Anonymisierung datenschutzrechtlich der Löschung entspricht, also ein Löschungsäquivalent ist, und demnach immer dann ohne weiteres zulässig ist, wenn eine Löschung erlaubt oder geboten ist.

Mit dieser Frage hat sich nun auch die österreichische Aufsichtsbehörde befasst (Entscheid DSB-D123.270/0009-DSB/2018 vom 5. Dezember 2018). Der Verantwortliche hatte auf ein Löschungsbegehren bestätigt, er habe die Daten des Antragstellers je nach System entweder gelöscht oder „DSGVO-konform anonymisiert“. Diese Vorgehensweise einer Löschung gleichzustellen. Die Datenschutzbehörde gibt dem Verantwortlichen recht: Die DSGVO definiere den Begriff der “Löschung” nicht. Aus Art. 4(2) DSGVO ergebe sich aber, dass das Löschen und die Vernichtung zwei unterschiedliche Dinge sind, woraus wiederum folgt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt. Auch die Entfernung des Personenbezugs könne ein mögliches Mittel zur Löschung i.S.v. Art. 4(2) i.V.m. Art. 17 Abs. 1 DSGVO sein. Die Anonymisierung muss aber eine vollständige sein:

Es muss […] sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann […]. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (vgl. die Stellungnahme 5/2014 zu Anonymisierungstechniken der ehemaligen Art. 29-Datenschutzgruppe, WP216, S. 10).

_____________________________________________________________________


Die Datenschutzbehörde Niedersachsen hält die geschäftliche Nutzung von WhatsApp für illegal. 

Die Landesbeauftragte für den Datenschutz Niedersachsen hat sich in einem Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen klar positioniert: Den Messenger-Dienst im geschäftlichen Kontext, also bei Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) zu nutzen, sei illegal. Dies begründet die Behörde ausführlich. Zusammengefasst werden folgende Punkte moniert:

1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.

Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp sei regelmäßig unzulässig. Das Unternehmen verwende die Metadaten, also wer mit wem wie oft kommuniziert für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen. Im Hinblick auf Nutzer, die selbst WhatsApp nutzen, könne man sich ggf. noch auf die „berechtigten Interessen nach Art. 6 Abs. 1 f) DSGVO stützen. Eine Übermittlung gespeicherter Nummern, die nicht bei dem Dienst angemeldet sind, sei ohne informierte Einwilligung hingegen unzulässig. Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern sei nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Dies führt aber dazu, dass man den Dienst nicht  richtig nutzen kann.

2. Die Übermittlung von personenbezogenen Daten in die USA.

Die Übermittlung von personenbezogenen Daten in die USA sei bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Aktuell sei das Privacy Shield-Abkommen mit den USA auch noch in Kraft. Es bestünden jedoch erhebliche Bedenken gegen die Rechtmäßigkeit des Privacy Shields. Es bestehe daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird.

3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

WhatsApp sei ein Diensteanbieter, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen seien. WhatsApp lege selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden.

4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns

Zwar informieren Facebook und WhatsApp jetzt in ihren Datenschutzerklärungen, darüber, dass Daten zwischen den Unternehmen geteilt werden. Das ändert jedoch nichts an der Rechtswidrigkeit dieses Austauschs. Damit wenden sich die Unternehmen des Konzerns sowohl gegen Entscheidungen deutscher Gerichte als auch die klare Kritik der Europäischen Aufsichtsbehörden.

Merkblatt für die Nutzung von "WhatsApp" in Unternehmen / Landesbeauftragte für den Datenschutz in Niedersachsen

______________________________________________________________________

Google muss 50 Millionen Euro Datenschutzstrafe zahlen

Die französische Datenschutzbehörde CNIL stellt Verstöße gegen die seit dem 25.5.2018 geltende DSGVO fest und verhängt die bisher höchste Strafe mit Euro 50 Millionen gegen Google.

CNIL bemängelte, die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung sei nicht gültig, weil die Nutzer nicht ausreichend informiert würden. So sei die Vielfalt der beteiligten Google-Dienste wie YouTube, Google Maps oder der Internet-Suche nicht ersichtlich. Zudem seien Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum für die Nutzer nicht einfach genug zugänglich, erklärte die Behörde. Sie seien über mehrere Dokumente verteilt und Nutzer müssten sich über mehrere Links und Buttons durchklicken. Zudem seien einige der Informationen unklar formuliert.

Google legt nun aber Widerspruch gegen die Datenschutzstrafe von 50 Millionen Euro in Frankreich ein. Man habe hart an einem Zustimmungsverfahren für personalisierte Werbung gearbeitet, das möglichst transparent sein sollte und auf den Empfehlungen der Regulierer basierte. Die Sache wird wohl die obersten Richter, vermutlich auch den EuGH letztinstanzlich beschäftigen. Jetzt geht der Kampf erst richtig los.

Quelle1: Pressemitteilung über den CNIL-Entscheid vom 22.1.2019:
https://www.internetworld.de/online-marketing/google/google-50-millionen-euro-datenschutzstrafe-zahlen-1670638.html

Quelle 2: Pressemitteilung über den angekündigten Widerspruch von Google vom 24.1.2019:
https://www.internetworld.de/online-marketing/google/google-legt-widerspruch-franzoesische-datenschutzstrafe-1671311.html


____________________________________________________________________________

Koppelungsverbot - Erster Entscheid

Beschluss der österreichischen Datenschutzbehörde vom 30.11.2018 

Mit Beschluss vom 30.11.2018 hat sich die österreichische Datenschutzbehörde zur Problematik der Freiwilligkeit einer Einwilligung des Webseitenbesuchers in die Cookie-Verarbeitung geäußert. 

Bietet der Internetanbieter im Falle der Ablehnung der Einwilligung zu zustimmungspflichtigen Cookies und Werbe-Tracking oder social media Tools eine Alternative (hier: erste Alternative: zahlungspflichtiges Abo ohne Werbung; zweite Alternative: Zugriff auf alternatives Informationsangebot) an, liegt keine Verletzung des Koppelungsverbotes vor. Lesen Sie hier die Details


________________________________________________________________________

Keine Bestandskunden-Mailings an Interessenten / Mögliche Ausnahmen

OLG Düsseldorf, Urteil vom 5.4.2018, Az.: I-20 U 155/16

Die Ausnahmeregelung, wonach Mailings ohne Einwilligung an Bestandskunden versendet werden dürfen, gilt nicht für E-Mail-Werbung an Interessenten, welche noch keine Produkte im Online-Shop bestellt haben und damit noch kein Vertragsabschluss zustande gekommen ist. 

Ein Unternehmer schickte Werbung per E-Mail an die Klägerin ohne deren vorherige Einwilligung. Diese hatte sich zwar in der Vergangenheit über Angebote des Beklagten (Online-Shop-Betreibers) informiert, zu einem Vertragsschluss war es aber nie gekommen. Das OLG Düsseldorf verurteilte das Unternehmen zur Unterlassung. Eine Voraussetzung des § 3 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (Deutschland), wonach E-Mails auch ohne vorheriges Einverständnis versendet werden dürfen, sei, dass der Versender die Adresse des Kunden im Zusammenhang mit dem verkauf einer Ware oder Dienstleistung erhalten habe. Hier sei es jedoch nicht zu einem Vertragsschluss gekommen, sodass die Empfängerin der Werbemail keine Kundin geworden sei. 

E-Mail-Werbung kann nach der Ausnahmeregelung von § 3 Abs. 3 UWG (Deutschland) offenbar ohne Einwilligung an deutsche Konsumenten unter insgesamt vier Voraussetzungen versendet werden, die alle zusammen erfüllt sein müssen. Insbesondere muss ein Vertragsschluss erfolgt sein. 

In § 7 Abs. 3 UWG (Deutschland) sind diese Voraussetzungen zusammengefasst. Abweichend von § 7 Absatz 2 Nummer 3 UWG (Deutschland) ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn 

1.
ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
2.
der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
3.
der Kunde der Verwendung nicht widersprochen hat und
4.
der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.


Also es gibt zwar Möglichkeiten, die Bestandskunden direkt (ohne zusätzliche Einwilligungserklärung) anzuschreiben, dann müssen aber die obgenannten 4 Bedingungen erfüllt sein. In den meisten Fällen dürfte es insbesondere an der Voraussetzung Nr. 4 fehlen, da im damaligen Zeitpunkt der Erhebung der Adresse es unterlassen wurde, klar und deutlich auf die Möglichkeit des jederzeitigen Widerrufs hinzuweisen. Prüfen Sie also genau, ob Sie Ihre Bestandskunden auf der Basis dieser Ausnahmebestimmungen in § 7 Abs. 3 UWG (Deutschland) ohne Einwilligung anschreiben dürfen. 

Tip: Für alle Online-Shop-Betreiber aus der Schweiz sei auch empfohlen, den Anhang zu § 3 Abs. 3 UWG (Deutschland) zu lesen. Darin sind alle unlauteren Werbehandlungen aufgezählt, welche im Werbezusammenhang mit deutschen Konsumenten unter allen Umständen zu unterlassen sind. Den Anhang finden Sie hier.

___________________________________________________________

E-Mails mit Bitte um Bewertung und Kundenzufriedenheit sind SPAM

BGH Urteil Az.: VI ZR 225/17

Werbung per E-Mail ohne Zustimmung des Empfängers ist unzulässig (ausgenommen die Ausnahmetatbestände in § 7 Abs. 3 UWG (Deutschland); vgl. untenstehende  Rubrik "Keine Bestandskunden-Mailing an Interessen / Mögliche Ausnahmen"). Darunter fallen nicht nur Werbemails, sondern auch indirekte Werbeformen wie Fragen, warum ein Kunde eine Bestellung abgebrochen hat. 

Der Bundesgerichtshof in Deutschland hat jetzt entschieden, dass auch die Zusendung der weitverbreiteten E-Mails mit der Bitte um eine Bewertung bzw. Kundenzufriedenheitsbefragung regelmässig unzulässig sind. 

Dies gilt nach der Ansicht des BGH selbst dann, wenn die entsprechende E-Mail auch die Rechnung der Bestellung enthält. Die Übersendung einer Rechnung ist zwar noch keine Werbung, was aber nicht zur Folge hat, dass die in der gleichen E-Mail enthaltene Bitte um Bewertung oder die beigefügte Kundenzufriedenheitsbefragung keine Werbung darstellt. 

Auch die Anwendbarkeit von § 7 Abs. 3 UWG (Deutschland) lehnte der BGH im vorliegenden Fall ab, da der Beklagte schon bei der Erhebung der E-Mail-Adresse und bei jeder weiteren Verwendung den Kunden nicht klar und verständlich darauf hingewiesen hat, dass er der Verwendung jederzeit widersprechen kann, ohne dass dafür andere als die Übermittlungskosten nach den Basistarifen entstehen (vgl. unsere untenstehende  Rubrik "Keine Bestandskunden-Mailing an Interessen / Mögliche Ausnahmen").

Tip: Wer weiterhin an Bewertungsanfragen festhalten will und rechtlich auf Nummer sicher gehen möchte, muss sich dies vom Kunden per Checkbox-Bestätigung (clickwrapping) im Rahmen des Bestellvorgangs bereits im voraus bestätigen lassen und gleichzeitig auf das Widerspruchsrecht hinweisen. 

_______________________________________________________

Haftung des Bewertungsplattformbetreibers für mathematische Algorithmen

OLG München, Urteil vom 13.11.2018 - 18 U 1280/16 

1. Der Betreiber einer Bewertungsplattform haftet für die Darstellung der Gesamtbewertung eines Unternehmens gemäß § 7 Abs. 1 TMG als unmittelbarer Störer, wenn er nicht den nach mathematischen Gesetzmäßigkeiten aus allen Einzelbewertungen errechneten Durchschnitt veröffentlicht, sondern unter den abgegebenen Bewertungen diejenigen auswählt, die er für vertrauenswürdig und nützlich hält, und den Durchschnitt nur aus diesen errechnet. 


2. Wird eine Vielzahl der abgegebenen Bewertungen ausgesondert, ohne dass dies für die Nutzer ohne Weiteres erkennbar ist und ohne dass sich die Aussonderung auf offensichtlich gefälschte Bewertungen beschränkt, entsteht eine verzerrte Gesamtbewertung, welche zum Wesen eines Bewertungsportals im Widerspruch steht, weil sie nicht das Gesamtbild der abgegebenen Bewertungen widerspiegelt und deshalb nicht repräsentativ ist. (Rn. 79) (Rn. 81).


3. Eine Bewertung im Internet kann auch nach irischem Recht untersagt werden, wenn es sich um eine rufschädigende Äußerung im Sinne des Defamation Act 2009 handelt und der Bewertende sich nicht auf einen Rechtfertigungsgrund berufen kann.


Volltext: http://www.gesetze-bayern.de/(X(1)S(utv1u0c5uprhgvsfopslaasy))/Content/Document/Y-300-Z-BECKRS-B-2018-N-29195?hl=true&AspxAutoDetectCookieSupport=1

________________________________________________________

Unerlaubte E-Mail-Werbung begründet im Bagatellfall keinen Schadenersatz nach DSGVO (Art. 82 Abs. 1)

Amtsgericht Diez, Urteil vom 7.11.2018 - 8 C 130/18; vgl. auch Zeitschrift Datenschutz-Berater, 12/2018, Seite 259

Die unerlaubte Versendung einer Werbe-E-Mail löst keinen Anspruch auf Schmerzensgeld im Sinne von Art. 82 Abs. 1 DSGVO aus. Es bedürfe vielmehr einer nicht unerheblichen Beeinträchtigung der Interessen des einzelnen Betroffenen. In dem Fall hat der Versender einer Werbemail (Anlass war eine Re-Opt-In-Kampagne) bereits einen Betrag von 50 € an den Empfänger gezahlt, womit dieser sich aber nicht zufrieden gab und mindestens 500 € forderte. Das Gericht lehnte den Anspruch mit der Begründung ab, dass dem Empfänger kein spürbarer Nachteil entstanden sei und es sich daher um einen Bagatellverstoss handle. Durch die gezahlten 50 € sei darüber hinaus ein etwaig bestehender Schmerzensgeldanspruch als abgegolten anzusehen. 

________________________________________________________

Keine Beschränkung des Auskunftsanspruch durch die DSGVO

OLG München, Teilurteil vom 24.10.2018 - 3 U 1551/17; vgl. auch Zeitschrift für Datenschutz-Berater, 12/2018, Seite 259

Ein Anspruch auf Herausgabe von Kundendaten ist durch die DSGVO nicht grundsätzlich beschränkt. Hintergrund war ein bestehender Händlervertrag zwischen der Klägerin und der Beklagten, aus dem die Beklagte zur Vorbereitung eines Schadenersatzanspruchs wegen Verletzung der Vertragspflichten einen Auskunftsanspruch geltend machte. Von dieser Auskunft waren auch personenbezogene Kundendaten des Klägers betroffen. In einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO gewichtete das OLG München das Interesse der Beklagten an der Durchsetzung möglicher Schadenersatzansprüche höher als die Interessen der betroffenen Kunden und begründete seine Entscheidung damit, dass keine höchstpersönlichen Daten oder besonderes Know-How weitergegeben worden sei, sondern ausschliesslich wirtschaftliche Daten über mehrere Kaufabwicklungen. 

__________________________________________________________________________

Zulässige Datenfernverarbeitung für Direktwerbezwecke

Wer sich mit diesem Thema beschäftigen muss, für den ist die "Orientierungshilfe der deutschen Datenschutz-Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO)" vom November 2018 absolute Pflichtlektüre. Wir empfehlen Ihnen, die 14 Seiten der Empfehlung gut zu lesen. 

__________________________________________________________

Unverschlüsselter E-Mail-Versand von Rechnungen

Zeitschrift Datenschutz-Berater, DSB 12/2018, Seite 257

Nach dem Grundsatz der Vertraulichkeit muss bei der Verarbeitung durch geeignete technische und organisatorische Massnahmen eine angemessene Sicherheit gewährleistet sein, insbesondere bezogen auf den Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust der personenbezogenen Daten. Als zu ergreifende Massnahme benennt Art. 32 Abs. 1 lit. a DSGVO unter anderem die Verschlüsselung der personenbezogenen Daten. Das durch die technischen und organisatorischen Massnahmen gewährleistete Schutzniveau muss gemäss Art. 32 Abs. 1 DSGVO zu dem Risiko der Verarbeitung in einem angemessenen Verhältnis stehen. Im Rahmen dieser Abwägung sind u.a. Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos (vgl. dazu die Datenschutz-Folgeabschätzung) für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. 

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat in seinem Tätigkeitsbericht für 2016/2017 (Seite 44) den unverschlüsselten E-Mail-Versand von Rechnungen und Bestellbestätigungen, in denen auch Kontoinformationen (IBAN, BIC) der betroffenen Personen enthalten sind, als unzulässig bewertet. Gerade die Kombination aus der Identität des Kontoinhabers, seiner IBAN und seiner BIC würden in diesem Fall ein hohes Missbrauchsrisiko begründen. Dokumente, die  Bankverbindungen der Kunden enthalten, sind entweder postalisch oder mit verschlüsselter E-Mail zu versenden oder, wenn dennoch der unverschlüsselte elektronische Versand erfolgen soll, die enthaltene IBAN und/oder BIC zu maskieren

_________________________________________________________

Upload von Kundenvideos auf Facebook ohne Einwilligung verstösst gegen DSGVO

Urteil des Landgerichts Frankfurt am Main vom 13.09.2018 - 2-03 O 283/18 - Quelle: https://www.rdv-online.com/blog/detail/sCategory/120/blogArticle/2424; vgl. auch Zeitschrift Datenschutz-Berater, 12/2018 (Seite 263 mit Kommentar von Prof. Dr. Jürgen Vahle

Ein Friseurgeschäft, das Videos von Haarverlängerungen ihrer Kunden erstellt und über das Netz zum Abruf bereitgestellt, verstösst sowohl gegen das KUG wie auch gegen die Datenschutzgrundverordnung.

Ein Unternehmer, der sich für die Veröffentlichung eines Online-Videos auf eine Einwilligung nach der DSGVO beruft, ist hierfür beweispflichtig.

________________________________________________________________________

Wettbewerbsrechtlicher Unterlassungsanspruch wegen Verstosses gegen die DSGVO

Beschluss des Landgerichts Würzburg vom 13. September 2018 – I-12 O 85/18 – Quelle: http://www.jurpc.de/jurpc/show?id=20180153

Das Landgericht Würzburg hat beschlossen, dass Mitbewerber befugt sind, Datenschutzverstösse gegen die DSGVO im Wege eines wettbewerbsrechtlichen Unterlassungsanspruchs geltend zu machen.

Das Landgericht Würzburg hat beschlossen, dass beim Verstoss gegen die DSGVO infolge einer mangelhafter Datenschutzerklärung ein solcher des Wettbewerbrechts gemäss § 3a UWG vorliegt und somit vom Antragsteller abgemahnt werden konnte. Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin – im vorliegenden Fall eine Anwaltskanzlei – sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.

_______________________________________________________________________

Kein Unterlassungsanspruch von Mitbewerbern aufgrund von Datenschutzrechtsverstössen gemäss DSGVO

Urteil des Landgerichts Bochum vom 7. August 2018 – I-12 O 85/18 – Quelle: http://www.jurpc.de/jurpc/show?id=20180152

Das Landgericht Bochum hat entschieden, dass Mitbewerber Verstösse gegen die Datenschutzgrundverordnung nicht geltend machen können, da die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält.

______________________________________________________________________

DSGVO-Abmahnungen eingeschränkt möglich: OLG Hamburg vertritt vermittelnde Ansicht

Urteil des Oberlandesgerichts Hamburg vom 25. Oktober 2018 – 3 U 66/17 – Quelle: https://www.lhr-law.de/magazin/datenschutzrecht/olg-hamburg-dsgvo-abmahnbar

Das Oberlandesgericht Hamburg hat entschieden, dass im Einzelfall konkret darauf überprüft werden müsse, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Nur dann können Mitbewerber Verstöße dagegen über § 3a UWG bei Konkurrenten monieren und gerichtlich sanktionieren lassen.

Das Oberlandesgericht hat entschieden, dass Datenschutzverstösse im Einzelfall abmahnfähig sein können. Die jeweilige Norm der DSGVO müsse im Einzelfall konkret darauf überprüft werden, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Nur dann können Mitbewerber Verstösse dagegen über § 3a UWG bei Konkurrenten monieren und gerichtlich sanktionieren lassen. Dies ist in der Vergangenheit zum Beispiel für die Nutzung von Daten zu Werbezwecken bejaht worden.

________________________________________________________________________

Kann die DSGVO über das UWG abgemahnt werden? Das Landgericht Wiesbaden sagt nein. 


Bislang unbeantwortet bleibt die Frage, ob DSGVO-Verstösse überhaupt wettbewerbsrechtlich abgemahnt werden können. Zu dieser umstrittenen Frage gibt es nun schon vier unterschiedliche Entscheidungen und eine nicht ganz eindeutige Stellungnahme der EU-Kommission. 

Stellungnahme der EU-Kommission: Die EU-Kommission hat zu dieser Frage geäussert, dass (zumindest) die Rechtsbehelfe für die Betroffenen aus den Art. 77 ff. DSGVO abschliessende Wirkung hätten. Diese Rechte könnten Betroffene selbst wahrnehmen oder durch eine Vereinigung bzw. Organisation geltend machen lassen. Auch könnten Vereinigungen Verstösse auch ohne Beauftragung vor Gericht bringen. Andere Dritte wie etwa Vereine oder konkurrierende Unternehmen hätten hingegen keine Klagebefugnis, um die Betroffenenrechte geltend zu machen.

Erlaubt die DSGVO wettbewerbsrechtliche Abmahnungen?: Der Meinungsstreit hatte sich angesichts der Regelung der DSGVO verschärft – und bislang nicht aufgelöst. In den Art. 77 DSGVO sind verschiedene Möglichkeiten aufgelistet, wie Betroffene gegen Datenschutzverstöße vorgehen können – wettbewerbsrechtliche Ansprüche werden aber nicht genannt. Unklar ist, ob die DSGVO hier abschliessend sein soll oder nicht. Dagegen spricht die Auffassung, die DSGVO enthalte in den Art. 77-84 abschliessende Regelungen über die Rechtsfolgen von Datenschutzverstössen, die eben keine wettbewerbsrechtlichen Ansprüche vorsehen. Dem widerspricht die Verbraucherzentrale und argumentiert mit dem «effet utile» für eine möglichst wirksame Rechtsdurchsetzung der Europäischen Verordnung.

Enthält die DSGVO überhaupt Marktverhaltensregeln?: Die meisten Gerichte haben zumindest vor Anwendbarkeit der DSGVO meist eine vermittelnde Ansicht vertreten und im Einzelfall entschieden, ob die datenschutzrechtliche Norm, um die es geht, eine Marktverhaltensregel ist oder nicht. Hier komme es auf die Frage an, ob die betroffenen personenbezogenen Daten als wirtschaftliches Gut verarbeitet werden – so wie es z.B. bei einer Nutzung zu Werbezwecken der Fall sei.

Diese Frage wird die Gerichte allerdings noch die nächsten Jahre beschäftigen. Urteile deutscher Gerichte aus der Vergangenheit können nur bedingt zur Klärung herangezogen werden, da es sich bei der DSGVO um eine europäische Verordnung handelt, die auch im Lichte des EU-Rechts ausgelegt werden muss. Vollständige Klarheit wird hier letztlich nur die Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) schaffen können.

Erste Gerichtsentscheidungen: Das Landgericht Würzburg hat mit Urteil vom 13.09.2018, Az. 11 O 1741/18, entschieden, dass eine unzureichende Datenschutzerklärung, die nicht den Vorgaben der DSGVO genügt, einen abmahnfähigen Wettbewerbsverstoss darstellt.

Das Landgericht Bochum hat mit Urteil vom 7. August 2018, Az. I-12 O 85/18, entschieden, dass Mitbewerber Verstösse gegen die Datenschutzgrundverordnung nicht geltend machen können, da die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschliessende Regelung enthält.

Das Oberlandesgericht Hamburg hat dagegen mit Urteil vom 25. Oktober 2018, Az. 3 U 66/17, entschieden, dass im Einzelfall konkret darauf überprüft werden müsse, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat. Nur dann können Mitbewerber Verstösse dagegen über § 3a UWG bei Konkurrenten monieren und gerichtlich sanktionieren lassen.

LG Wiesbaden – DSGVO schließt Abmahnungen nach UWG aus: Das LG Wiesbaden hat nun mit Urteil vom 5. November 2018, Az. 5 O 214/18, abgelehnt, dass Wettbewerber Verstösse gegen die DSGVO über das UWG abmahnen können, mit der Argumentation, dass die DSGVO abschliessend sei und für eine Anwendbarkeit des UWG kein Raum bestehe. 
Trotz des Urteils bleibt die Frage der Abmahnfähigkeit von DSGVO-Verstössen weiterhin umstritten.

Was tun, wenn Sie eine Abmahnung erhalten haben?: Trotzdem sollten Betroffene die Abmahnung dringend ernst nehmen. Wer die Abmahnung links liegen lässt, dem droht eine kostspielige Einstweilige Verfügung. In jedem Falle sollten Betroffene die oft nachteilig vorformulierten Unterlassungserklärungen prüfen lassen. Auch die geforderten Rechtsanwaltskosten sollten überprüft werden, ob diese nicht Angriffspunkte bieten, um sie zu verringern.





 .