Urteile zum IT- und Datenschutzrecht
zum Kompetenzbereich IT- und Datenschutz
Beschluss des Bundesarbeitsgerichts zur Kündbarkeit des Datenschutzbeauftragten: Vorlage an den EuGH
Es ist seit der Einführung der DSGVO zwischen den Juristen strittig, ob der in der DSGVO vorgesehene besondere Kündigungsschutz des Datenschutzbeauftragten (Kündigung nur aus wichtigem Grund) auch greift, wenn die Bestellungspflicht auf einer nationalen Sonderregelung beruht. Die DSGVO sieht eine Pflicht zur Bestellung des Datenschutzbeauftragten in bestimmten Situationen gemäß Artikel 37 DSGVO vor. Das deutsche Bundesdatenschutzgesetz hat diese Regelung verschärft und eine Bestellungspflicht ab einer Mitarbeiterzahl von 20 eingeführt.
Im vorliegenden Fall hatte die Arbeitgeberin der Datenschutzbeauftragten wegen einer Betriebsumstrukturierung gekündigt. Diese stellt keinen wichtigen Grund dar. Die Betroffene klagte gegen die Kündigung. Die Arbeitgeberin war nur aufgrund der deutschen Sonderregelung zur Bestellung eines Datenschutzbeauftragten verpflichtet. Nun soll der EuGH entscheiden, ob die deutschen Sonderregelungen europarechtswidrig sind, insbesondere gegen Art 38 Absatz 3 Satz 2 DSGVO verstoßen. Das Urteil wird mit Spannung erwartet, dürfte allerdings noch einige Zeit auf sich warten lassen.
Beschluss des Oberverwaltungsgerichts Lüneburg zur Rechtswidrigkeit der Veröffentlichung eines Veranstaltungsfotos auf einer Facebook-Fanpage
Die zuständige Datenschutz-Aufsichtsbehörde hatte den nun klagenden Ortsverein einer Partei verwarnt, da dieser ein Foto bei Facebook veröffentlicht hatte, auf dem unter anderem ein Ehepaar erkennbar abgebildet war. Dieses Ehepaar hatte mit anderen Personen an einer Ortsbesichtigung (Ampelanlage) teilgenommen. Der Ortsverein berichtete auf seiner Fanpage über die Durchführung des Ampelprojekts zur Verbesserung der Verkehrssicherheit.
Nachdem der Ortsverein dem Löschungsverlangen des Ehepaars nicht nachkam, beschwerten sich diese bei der Aufsichtsbehörde, die den Ortsverein verwarnte, wogegen der Ortsverein gerichtlich vorging, allerdings erfolglos.
Das OVG Lüneburg stützte im Beschluss die Rechtsauffassung der Datenschutzaufsichtsbehörde, dass die Veröffentlichung des Fotos rechtswidrig war. Mangels einer Einwilligung konnte sich der Ortsverein lediglich auf die Rechtsgrundlage des Art. 6 Abs. 1f DSGVO berufen, wonach eine Verarbeitung rechtmäßig ist, wenn sie zur Wahrung der berechtigten Interessen des Ortsvereins oder eines Dritten erforderlich ist, sofern nicht die Interessen der betroffenen Personen überwiegen.
Das OVG Lüneburg stellte fest, dass die Veröffentlichung des Fotos nicht erforderlich gewesen sei, da der Zweck auch in zumutbarer Weise durch andere Mittel hätte erreicht werden können. Man hätte beispielsweise die abgebildeten Personen durch Verwechslung der Gesichter unkenntlich machen können.
Zudem würden auch die Interessen des Ortsvereins nicht die Interessen der abgebildeten Personen überwiegen. Denn die Veröffentlichung sei mit erheblichen Risiken für das Ehepaar verbunden, die sich primär daraus ergeben, dass ein einmal im Internet veröffentlichtes Foto beliebig oft und von einer unbestimmten Vielzahl von Personen gespeichert, vervielfältigt, verfremdet und an andere Person übermittelt werden könne. Hinzu käme, dass es sich bei Facebook um ein weltweit verbreitetes und von Millionen von Menschen genutztes Netzwerk handelt. Dies eröffnet erhebliche Missbrauchsmöglichkeiten und macht es für die Betroffenen aufgrund der großen Reichweite sehr schwierig, den Überblick über sämtliche über sie veröffentlichten Daten zu behalten und dauerhaft und restlos aus dem Internet entfernen zu lassen. Zudem sei das Foto ohne Kenntnis der Personen aufgenommen worden. Irrelevant sei, dass es sich um eine öffentliche Veranstaltung gehandelt habe und nur die Sozialsphäre der Eheleute betroffen sei.
Bundesgericht: Keine Bindung des Marketplace-Verkäufers an die A bis Z-Garantie von Amazon
Amazon bietet unter bestimmten Umständen den Käufern eine sogenannte A bis Z Garantie an, ähnlich des PayPal-Käuferschutzes. Vorliegend hatte ein Käufer eine derartige Garantie erhalten und später wegen angeblicher Mängel des Produkts diese Garantie in Anspruch genommen. Amazon prüfte das Vorbringen des Käufers und buchte den Kaufpreis vom Konto des Marketplace-Verkäufers ab und zahlte das Geld an den Kunden zurück.
Der Verkäufer war hiermit nicht einverstanden und klagte auf Zahlung des Kaufpreises gegen die Käuferin. Das Amtsgericht Leipzig gab dem Kaufpreiszahlungsanspruch des Verkäufers statt, in der anschließenden Berufungsinstanz war das Landgericht Leipzig jedoch anderer Auffassung und wies die Klage ab. Amazon habe für beide Kaufvertragsparteien verbindlich über das Vorliegen des Garantiefalls entschieden, sodass keine Ansprüche des Verkäufers mehr bestünden. Der Verkäufer könne lediglich Amazon in Anspruch nehmen und dort die Annahme eines Garantiefalls monieren.
Der Bundesgerichtshof hat dieses Urteil aufgehoben und die Sache an das Berufungsgericht zurückverwiesen. Er entschied, dass der Kaufpreiszahlungsanspruch des Verkäufers nicht endgültig erloschen sei, sondern durch die Rückbuchung aufgrund des erfolgreichen Garantieantrags des Kunden erneut entstanden sei. Es würde ansonsten eine unangemessene Begünstigung des Käufers dadurch entstehen, dass dieser den Verkäufer nach einem erfolglosen Garantieantrag verklagen könne, der Verkäufer aber daran gehindert sei, den Kaufpreis nach Rückbuchung gegenüber dem Käufer einzuklagen. Der Käufer könne auch keine Bindungswirkung des Amazon-Prüfungsverfahrens erwarten, da der angewandte Prüfungsmaßstab unklar sei und auch nicht geregelt werde, dass und wie der Käufer nachweisen müsse, dass die Garantievoraussetzungen vorgelegen hätten.
Brexit-Verhandlungen: Großbritannien zunächst kein Drittland im Sinne der Artikel 44 DSGVO
Das neue Handelsabkommen sieht für maximal 4 Monate vor, dass Großbritannien kein Drittland im Sinne der Artikel 44 ff DSGVO ist. Diese First kann nochmals um 2 Monate verlängert werden.
Urteil des Landgerichts Rostock vom 15. September 2020: Anspruch auf Unterlassung des Einsatzes von Google Analytics
Gegenstand der Klage sind verschiedene Unterlassungsansprüche des Bundesverbands der Verbraucherzentralen und Verbraucherverbände e.V.. Diese war unter anderem dagegen gerichtet, dass die Homepage-Betreiberin ein Trackingtool, hier Google Analytics, einsetzt, ohne dass hierzu eine informierte und freiwillige Einwilligung der Nutzer gemäß der eprivacy-Richtlinie i.V.m. § 15 Telemediengesetz eingeholt wird. Grundsätzliche Fragen zur Einholung einer Einwilligung wurden zuletzt durch das Urteil des Bundesgerichtshofs vom 28.05.2020 und die vorausgegangene Entscheidung des Europäischen Gerichtshofs vom 1. Oktober 2019 beantwortet, vgl. unsere Urteilsmeldungen weiter unten.
Der Bundesverband warf der Homepagebetreiberin vor, dass bei der Nutzung des Tools Google Analytics Tracking-Cookies eingesetzt werden, die auch personenbezogene Daten an Drittanbieter weiterleiten. Dies wurde seitens der Homepagebetreiberin bestritten, was das Landgericht Rostock als unerheblich ansah. Denn die Beklagte als Homepagebetreiberin trage die Darlegungs- und Beweislast dafür, dass die Gestaltung der Webseite rechtskonform sei, wie dies Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO fordere. Zudem habe die Datenschutzerklärung der Beklagten selbst die Weitergabe der Daten über mehrere Webseiten hinweg an Dritte geschildert, sodass der gegenteilige Vortrag der Homepagebetreiberin kein Gehör finden konnte.
Den verwendeten Cookiebanner der Homepagebetreiberin sah das Gericht als nicht ausreichend an, um hierüber eine wirksame Einwilligung einzuholen. Denn dieser enthielt bereits eine aktivierte Voreinstellung, so dass alle Cookies ausgewählt sind / aktiviert waren. Der Webseitenbesucher musste diese Voreinstellungen mittels eines sogenannten Opt-out deaktivieren, um die Cookies zu verhindern. Dies genügt nicht den Anforderungen der aktuellen Rechtsprechung an eine wirksame, aktive Einwilligung bei der Verwendung von Cookies und wurde somit auch seitens des LG Rostock als unzulässig angesehen.
Die hieraus resultierende Wiederholungsgefahr sei auch nicht durch die erfolgte Änderung des Cookiebanners ausgeräumt. Denn dieser enthalte ebenfalls bereits aktivierte Voreinstellungen, auch wenn der Verbraucher die Möglichkeit habe, sich die Details (Rubriken wie z.B. Komfort) anzusehen und einzelne Cookies abzuwählen. Hieran ändere auch nichts, dass der Nutzer die Möglichkeit habe, über den Link „nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken. Dieser Button sei gar nicht als anklickbare Schaltfläche zu erkennen und träte auch neben der grün unterlegten und hervorgehobenen “Cookie zulassen-Schaltfläche“ in den Hintergrund. Diese Möglichkeit werde daher von einer Vielzahl der Verbraucher gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen.
Des weiteren urteilte das Landgericht Rostock, dass die Angabe mehrerer Rechtsgrundlagen hinsichtlich der Zulässigkeit der Übertragung personenbezogener Daten in ein Drittland nicht den Anforderungen der Datenschutz Grundverordnung im Sinne des Art. 12 Abs. 1 S. 1 erfüllt. Dies sei nicht „präzise“.
Auch die Übertragung der Daten in ein Drittland nach Art. 45 ff DSGVO erfordere eine Einwilligung.
Nicht erforderlich ist es nach Auffassung des LG Rostock jedoch, den Nutzer im Rahmen der Einholung der Einwilligung auf die Möglichkeit des Widerrufs hinzuweisen. Dies müsse im Rahmen des Banners oder der Checkbox nicht erfolgen, da dies zur Wahrung der Nutzerrechte nicht notwendig sei und im Übrigen angesichts des Gesamtumfangs der zu gebenden Informationen auch nicht praktikabel sei. Der Nutzer erwarte nicht, alle Informationen zum Datenschutz in einem ersten Anzeigefenster zu erhalten, sondern diese übersichtlich zusammengestellt auf einer gesonderten Seite aufrufen zu können. Daher sei der Hinweis in der Datenschutzerklärung ausreichend.
Das Landgericht stellte unter Berufung auf die Rechtsprechung des Bundesgerichtshofs zudem fest, dass die Nutzung von Google Analytics kein Fall der Auftragsverarbeitung sei. Google will die erhobenen Daten für eigene Zwecke nutzen, so dass ein Fall der gemeinsamen Datenverarbeitung vorliegt, vgl. Art. 26 Datenschutz Grundverordnung vorliegt. Daher müsse auch der wesentliche Inhalt der Vereinbarung den Nutzern zur Verfügung gestellt werden. Dies war vorliegend jedoch nicht der Fall. Ein Betrieb der Homepage mit Google Analytics ohne Einwilligung und ohne Bekanntgabe der mit Google getroffenen Datenvereinbarung ist hiernach unzulässig.
Anmerkung seitens Rechtsanwältin Tanja Risse, auch Fachanwältin für IT-Recht:
Ob bereits die farbliche Hervorhebung sowie unterschiedliche Größe der fraglichen Schaltflächen gegen die Unwirksamkeit der Gestaltung sprechen können, ist eine in der Rechtsprechung noch nicht geklärte Frage. Das Urteil des LG Rostock betritt hierbei Neuland, setzt aber im Übrigen folgerichtig die Vorgaben des Bundesgerichtshofs und des Europäischen Gerichtshofs um.
Gerne beraten wir Sie in diesem brisanten Themengebiet.
Urteil des Landesarbeitsgerichts Köln vom 14.09.2020 zum Anspruch auf Schmerzensgeld wegen eines Datenschutzverstosses
Die Klägerin, eine ehemalige Arbeitnehmerin (Professorin) der Beklagten, forderte unter anderem vor dem Arbeitsgericht die Zahlung eines Schmerzensgeldes in Höhe von insgesamt 1.000 €. Die Beklagte hatte nach der Kündigung des Arbeitsverhältnisses versehentlich ein PDF mit dem Profil der Klägerin auf ihrem Server weiterhin zugänglich gemacht.
In der ersten Instanz war wurde der Klägerin hierfür ein Schmerzensgeld i.H.v. 300 € zugesprochen. Diese ging in Berufung, um die Verurteilung der Beklagten in Höhe weiterer 700 € Schmerzensgeld zu erreichen.
Dieses Begehren wies das Landesarbeitsgericht jedoch zurück. Es führte aus, dass hier eine allenfalls marginale Rechtsverletzung vorliegt und der Verschuldensgrad sehr gering ist. Die veröffentlichten Daten seien grundsätzlich inhaltlich richtig gewesen, allein das Logo der Beklagten hätte nach Beendigung des Arbeitsverhältnisses den fehlerhaften Rückschluss zugelassen, dass die Klägerin auch weiterhin dort beschäftigt sei. Es sei zudem unklar, ob dieses Profil überhaupt im fraglichen Zeitraum über Suchmaschinen von Dritten gefunden und geöffnet worden sei.
Es sei auch kein Reputationsschaden für die Klägerin entstanden. Eine Erhöhung des bereits zugesprochenen immateriellen Schadensersatzes sei auch nicht angezeigt, um zukünftige Verstöße zu vermeiden.
Urteil des LG Bonn vom 11.11.2020 zur Höhe eines datenschutzrechtlichen Bußgelds
Der Bundesbeauftragte für den Datenschutz hatte vor einigen Monaten ein Bußgeld in Höhe von 9,55 Millionen EUR gegen einen deutsche Telekommunikationsdienstleister verhängt. Hintergrund des Bußgelds war der umstand, dass das unternehmen keine ausreichenden Authentifizierungsmittel angewendet habe, wenn telefonische Auskünfte erteilt wurden. Es wurde lediglich das Geburtsdatum und der Name des Kunden erfragt. Das Bußgeld wurde u.a. mit dem hohen Umsatz des Verantwortlichen begründet. Hiergegen legte das Unternehmen Einspruch ein, der nun vor dem LG Bonn verhandelt wurde.
Das LG Bonn bestätigte in seinem Urteil vom 11.11.2020 laut der bislang veröffentlichten Pressemeldung den Datenschutzverstoss. Der vom betroffenen Unternehmen benannte Rechtsirrtum über die Anforderungen an den Authentifizierungsprozess in Callcentern sei vermeidbar gewesen. Das Verschulden des unternehmens sei gering einzuschätzen, da die Authentifizierung jahrelang unbeanstandet abgelaufen sei, so dass es kein Problembewußtsein gegeben hätte. Zudem hätte der Verstoß nicht zu einer massenhaften Herausgabe von Daten an Unberechtigte geführt.
EuGH erklärt Datenschutzvereinbarung „Privacy Shield“ zwischen EU und USA für unwirksam
Der Europäische Gerichtshof hat die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für unwirksam erklärt (Urteil des EuGH vom 16.07.2020, C-311/18). Dies hat weitreichende Folge für den transatlantischen Geschäftsverkehr.
Bereits im Jahr 2015 hatte der EuGH den Vorgänger des Privacy Shield-Abkommens, die Safe Harbor-Regelung gekippt. Das Privacy Shield sollte das Schutzniveau der Europäischen Datenschutzgrundverordnung (DSGVO) beim Transfer von personenbezogenen Daten von der EU in die USA gewährleisten. US-Unternehmen mussten sich daher als Empfänger von geschützten Daten zertifizieren lassen.
Aufgrund dessen ist nun zu prüfen:
1.
Welche Datenverarbeitungen in den USA stattfinden und ob diese bis dato aufgrund der Privacy Shield-Zertifizierung Ihres US-Geschäftspartners legitimiert wurden.
2.
Diese Geschäftspartner sollten kontaktiert werden, um zu klären, welche rechtlichen Alternativen in Betracht kommen, um die Datenverarbeitung weiterhin in den USA durchzuführen. Diese sind z.B.:
a) sog. Standardvertragsklauseln:
Hierbei handelt es sich um Musterverträge, die die EU stellt. Gerne beraten wir Sie hinsichtlich der Auswahl des geeigneten Vertrags und des weiteren Procedere.
b) sog. Binding Corporate Rules:
Dies sind verbindliche Unternehmensrichtlinien zur Sicherstellung eines der DSGVO entsprechenden Schutzniveaus bei der Datenübermittlung.
Zu beachten ist allerdings, dass dies ein langwieriger Prozess ist und die Genehmigung durch die zuständige Datenschutzaufsichtsbehörde erfordert.
c) Verlagerung der Datenverarbeitung in die EU oder in ein sonstiges sicheres Drittland
Als letzte Möglichkeit ist daher in Betracht zu ziehen, die Datenverarbeitung in die EU oder in ein sonstiges sicheres Drittland (wie beispielsweise Japan, Israel, Schweiz, Argentinien, Kanada, Neuseeland oder Uruguay) zu verlagern, um die Problematik hierdurch faktisch zu erledigen.
3.
Nachdem die Abläufe angepasst wurden, sind die Datenschutzerklärungen entsprechend anzupassen, soweit diese darüber informieren, dass eine Datenverarbeitung in den USA mit einem durch das Privacy Shield-zertifizierten Geschäftspartner stattfindet. Dort ist sodann die neue Rechtsgrundlage für die Übermittlung der Daten anzugeben.
Entsprechendes gilt für Ihre interne Verfahrensdokumentation und abgeschlossene Auftragsverarbeitungsverträge, z.B. Hosting, Software as a Service etc., soweit ein US-Auftragsverarbeiter oder ein US-Subunternehmer eingeschaltet wurde.
Da die Entscheidung des Europäischen Gerichtshofs erhebliche, EU-weite Auswirkungen hat, ist davon auszugehen, dass die Datenschutzaufsichtsbehörden den betroffenen Unternehmen zunächst eine Übergangszeit gewähren, um ihre Prozesse anzupassen bevor aufsichtsrechtliche Maßnahmen drohen. Dies war nach der Entscheidung über die Nichtigkeit des Safe Harbor-Abkommens ebenfalls so.
Ob dieser Aufschub jedoch genauso für wettbewerbsrechtliche Abmahnungen durch Konkurrenten oder sonstige Verbände gilt, bleibt abzuwarten. Daher sollte eine zeitnahe Lösung gefunden werden.
Der Webseitenbetreiber haftet nicht für die Zugänglichmachung von Fotos, die aufgrund eines Hackerangriffs auf seine Webseite gelangt sind
Urteil des OLG Hamburg vom 18.06.2020
Der gegenteilige Antrag des angeblichen Urhebers auf Unterlassung, der per einstweiliger Verfügung gestellt wurde, wurde in beiden Instanzen zurückgewiesen,. Nach Auffassung des Landgerichts und des Oberlandesgerichts ist der Betreiber nicht verantwortlich für die Veröffentlichung des Fotos.
Schlussanträge des Generalanwalts zu internationalen Datenübermittlungen vom 10.12.2019
Vor dem Europäischen Gerichtshof ist noch immer ein Verfahren des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook und die irische Datenaufsichtsbehörde anhängig. In Streit steht unter anderem die Frage, ob die Daten europäischer Facebook-Nutzer auf US-Servern gespeichert werden dürfen.
Eine derartige Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union ist nur dann zulässig, wenn die Voraussetzungen der Art. 44ff DSGVO vorliegen. Im Streitfall legitimiert Facebook die Übermittlung durch geeignete Garantien (Standarddatenschutzklauseln im Sinne des Art. 46 DSGVO). Hierbei handelt es sich um Vertragsmuster, die von der EU-Kommission erarbeitet und freigegeben werden, auf deren Grundlage Vertragsparteien Daten in Drittstaaten übermittelt können. Es ist bereits seit längerem strittig, ob die derzeit existierenden Muster unter anderem aufgrund ihres Alters tatsächlich wirksam und ausreichend sind. Diese wurden bereits vor Erlass der DSGVO entwickelt. Maßgebend ist zudem, ob im fraglichen Drittland, in das die Daten übermittelt werden, ein angemessenes Datenschutzniveau herrscht.
Der Generalanwalt hat nun in seinen Schlussanträgen zu dem anhängigen Verfahren Zweifel an der Wirksamkeit der Standarddatenschutzklauseln sowie des EU-US Privacy Shields geäußert und fordert insbesondere strengere Handlungspflichten für die Verantwortlichen, die die Daten in Drittstaaten übermitteln. Der Europäische Gerichtshof muss nun unter anderem klären, ob es bei der Angemessenheitsprüfung darauf ankommt, dass im Drittland ein gleichwertiges Datenschutzniveau herrscht oder lediglich bestimmte Mindeststandards und allgemeine Datenschutzgrundsätze gewahrt sind. In seiner Entscheidung Schrems I aus dem Jahr 2015 hatte der EuGH hohe Maßstäbe an das Datenschutzniveau des Drittlandes gelegt. Die zwischenzeitlichen Erkenntnisse aus der Snowden-Affäre und die weitreichenden Befugnisse der US-Sicherheitsbehörden auf jedwede Daten von US-Unternehmen sind bei der Entscheidung des Europäischen Gerichtshofs ebenfalls zu berücksichtigen. Diese kann auch erhebliche Auswirkungen auf das EU-US Privacy Shield haben, wonach festgestellt wurde, dass die USA grundsätzlich über ein gleichwertiges dann Schutzniveau verfügen.
Wann die Entscheidung des Europäischen Gerichtshofs hierzu ergeht, ist noch nicht bekannt.
Ein Softwareüberlassungsvertrag zwischen öffentlichen Auftraggebern kann dem Vergaberecht unterfallen
Schlussantrag des Generalanwalts beim EuGH vom 29.01.2020
Der Generalanwalt befürwortet in seiner Stellungnahme, diesen Sachverhalt vergaberechtlich als Vertrag mit Entgeltcharakter und somit als öffentlichen Auftrag anzusehen. Diese Zusammenarbeit zwischen den öffentlichen Auftraggebern, durch die ein privater Wirtschaftsteilnehmer gegenüber seinen Wettbewerber auf dem Markt bessergestellt werde, erfülle nicht die Voraussetzungen der Ausnahmen des Artikel 12 Absatz 4 der Richtlinie 2014/24.
Danach fällt ein ausschließlich zwischen zwei oder mehr öffentlichen Auftraggebern geschlossener Vertrag nicht in den Anwendungsbereich dieser Richtlinie, wenn alle nachfolgend genannten Bedingungen erfüllt sind:
a) Der Vertrag begründet oder erfüllt eine Zusammenarbeit zwischen den beteiligten öffentlichen Auftraggebern mit dem Ziel sicherzustellen, dass von ihnen zu erbringende öffentliche Dienstleistungen im Hinblick auf die Erreichung gemeinsamer Ziele ausgeführt werden;
b) die Durchführung dieser Zusammenarbeit wird ausschließlich durch Überlegungen im Zusammenhang mit dem öffentlichen Interesse bestimmt und c) die beteiligten öffentlichen Auftraggeber erbringen auf dem offenen Markt weniger als 20% der durch die Zusammenarbeit erfassten Tätigkeiten.
Urteil des Europäischen Gerichtshofs vom 11.12.2019 zur Videoüberwachung in einer Wohnanlage
Der Europäische Gerichtshof entschied, dass unter Geltung des bis Mai 2018 geltenden Datenschutzrechts die Einrichtung einer Videoüberwachung außerhalb und innerhalb der Gemeinschaftsbereiche eines Wohngebäudes (Außenansicht der Fassade des Gebäudes, Foyer des Erdgeschosses, Aufzug des Gebäudes) grundsätzlich zulässig ist und die Europäische Grundrechte-Charta einer automatisierten Datenverarbeitung durch eine solche Videoüberwachung nicht grundsätzlich entgegensteht.
Voraussetzung für einen rechtmäßigen Einsatz der Anlage sei es jedoch, dass entsprechend der alten Datenschutzrichtlinie ein berechtigtes Interesse des Betreibers vorliegt, die Verarbeitung der Daten zur Verwirklichung dieses berechtigten Interesses erforderlich ist und die Rechte der betroffenen Personen nicht überwiegen.
Das von der Eigentümergemeinschaft benannte Interesse am Schutz des Eigentums, der Gesundheit und des Lebens der Miteigentümer stufte der Europäische Gerichtshof als „berechtigtes Interesse“ im Sinne der Datenschutzrichtlinie ein.
Im Rahmen der Erforderlichkeit ist sodann insbesondere zu prüfen, ob es mildere, gleich wirksame Mittel gibt, die einsetzbar wären und ob alle Maßnahmen zur Datenminimierung umgesetzt wurden. Die betroffene Eigentümergemeinschaft hatte im Verfahren nachgewiesen, dass die andere Maßnahmen, die diese zuvor ergriffen hatte, nämlich die Einrichtung eines Zutrittssystems zum Gebäude mit Gegensprechanlage und Magnetkarte, nicht erfolgreich die Begehung von Einbrüchen und Verwüstungen des Aufzugs verhindert hätten.
Der Europäische Gerichtshof fordert aber noch weitergehend, dass bei der Prüfung der Erforderlichkeit des Einsatzes auch die konkreten Modalitäten der Installierung und des Betriebs der Überwachungsanlage beurteilt werden müssen. Dies muss nunmehr noch durch die Vorinstanz geklärt werden.
Offen blieb zudem, ob die Interessen der gefilmten Personen gegebenenfalls überwiegen könnten. Der Europäische Gerichtshof wies darauf hin, dass hierbei zu berücksichtigen sei, welche Datenarten betroffen sind, z.B. ob diese besonders sensibler Natur seien und wie die konkreten Modalitäten der Datenverarbeitung aussehen, insbesondere die Anzahl der Personen, die Zugang zu diesen Daten haben, und die Zugangsmodalitäten.
Urteil des LAG Hessen vom 13.2.2019 : Kündigungsschutz des Datenschutzbeauftragten bei nachträglichem Entfallen der Bestellpflicht
Der Rechtsstreit betrifft einen Sachverhalt vor Inkrafttreten der Datenschutz Grundverordnung. Die dort zum Teil strittigen Fragen betreffen aber ebenso die neue, im wesentlichen ungeänderte Rechtslage.
Strittig war u.a., ob der Sonderkündigungsschutz des Datenschutzbeauftragten dadurch entfallen ist, dass im Unternehmen nicht mehr der Schwellenwert für eine Bestellpflicht (damals mehr als neun Personen) erreicht oder überschritten wurde.
Das LAG Hessen entschied, dass der Sonderkündigungsschutz nicht automatisch durch ein nachträgliches Absinken unter diesen Schwellenwert entfällt. Dieser Umstand würde lediglich dem Arbeitgeber die Möglichkeit eröffnen, die Bestellung zu widerrufen. Sofern dies allerdings nicht erfolgt, genieße der Datenschutzbeauftragte auch seinen Sonderkündigungsschutz. Dies sei zur Rechtsklarheit und Rechtssicherheit erforderlich. Denn ansonsten müsse sich der Datenschutzbeauftragter bei einer kritischen Arbeitnehmerzahl vor jeder dem Arbeitgeber gegebenenfalls unliebsamen Maßnahme zunächst versichern, ob er noch mit Kündigungsschutz ausgestattet sei oder nicht.
Zudem wies das LAG Hessen darauf hin, dass im Rahmen der Bestellpflicht auch nur vorübergehend unbesetzte Stellen bei der Zählung zu berücksichtigen sind und nicht dazu führen, dass der Sonderkündigungsschutz widerrufbar ist.
Zu den Details des Widerrufs nahm das LAG nicht Stellung. Sowohl nach damaligen als auch nach heutigem Recht ist ein Widerruf der Bestellung des Datenschutzbeauftragten nur in entsprechender Anwendung des §§ 626 BGB aus wichtigem Grund möglich, vergleiche die heutige Regelung in § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG.
Aus den Entscheidungsgründen des LAG ist zu entnehmen, dass dieses augenscheinlich die geänderte Arbeitnehmeranzahl als wichtigen Grund ansieht, der zum Widerruf der Bestellung berechtigt. Dies berücksichtigt allerdings nicht, dass die fachliche Eignung des Datenschutzbeauftragten durch den geänderten Umstand nicht tangiert wird. Es bleibt abzuwarten, ob sich die Auffassung des LAG Hessen durchsetzt.
Urteil des LAG Baden-Württemberg vom 21.2.2019: Zur Zulässigkeit von Internet-Background-Checks durch den Arbeitgeber
Ob derartige Recherchen in öffentlich zugänglichen Quellen nach dem Inkrafttreten der DSGVO zulässig sind und in welchem Umfang, ist noch nicht höchstrichterlich geklärt. Daher ist die vorliegende Entscheidung des Landesarbeitsgerichts von Bedeutung. Allerdings ist gegen dieses Urteil Revision beim Bundesarbeitsgericht eingelegt worden.
Gegenstand des Rechtsstreits waren keine Internet-Background-Checks im Rahmen des Bewerbungsprozesses, sondern nachgelagerte Recherchen des Arbeitgebers. Diese fanden nach der Einstellung des Mitarbeiters statt, nachdem beim Arbeitgeber aufgrund anderer Umstände, unter anderem im Zusammenhang mit einem Kündigungsschutzprozess, Zweifel an der Echtheit von Unterlagen des Arbeitnehmers auftraten.
Aufgrund dessen hatte der Arbeitgeber einen Detektiv in den USA mit weiteren Recherchen beauftragt, der unter anderem Internetrecherchen allgemeiner Art durchführte und hierüber ein im Internet zugängliches Abschlusszertifikat mit einem abweichenden Studienbeginn auffand. Dies führte zugleich dazu, dass es Lücken und weitere Fragen zu dem beruflichen Erfahrungen des Arbeitnehmers gab, die dieser nicht klärte. Gleichzeitig forderte der Arbeitgeber in den USA einen Auszug zum kriminellen Background des Mitarbeiters an, aus dem sich ergab, dass dieser wegen einer schwerwiegenden Straftat zwei Jahre inhaftiert war.
Aufgrund dessen focht die Arbeitgeberin den abgeschlossenen Arbeitsvertrag wegen arglistiger Täuschung an.
Das Landesarbeitsgericht entschied, dass die durchgeführten allgemeinen Internetrecherchen des Arbeitgebers zulässig waren. Dieser nutzte lediglich allgemein verfügbare Suchmaschinen, die allgemein zugängliche Informationen durchsuchten. Dies war nach Auffassung des LAG angesichts der aufgetretenen Unstimmigkeiten in den Bewerbungsunterlagen zulässig.
Die eingeholten Informationen zu der strafrechtlichen Verurteilung des Arbeitnehmers konnten die ausgesprochene Anfechtung jedoch nicht stützen, da zum Zeitpunkt der Bewerbung keine Pflicht des Bewerbers mehr bestand, diese Freiheitsstrafe offenzulegen, da diese länger zurücklagen und nach deutschen Maßstäben getilgt oder tilgungsreif waren. Die übrigen Falschangaben rechtfertigen jedoch die ausgesprochene Anfechtung wegen arglistiger Täuschung.
VG Hannover: Urteil vom 27.11.2019: Veröffentlichung eines Fotos mit erkennbaren Personen auf einer Fanpage eines Ortsvereins ist unzulässig
Ein Ortsverein einer nicht namentlich benannten Partei hatte auf seiner Facebook Fanpage über die langjährigen Diskussionen bezüglich des Baus einer Ampelanlage berichtet, für den sich der Ortsverein einsetzte. 2014 führte der Ortsverein eine öffentliche Veranstaltung an der fraglichen Straßenkreuzung durch, bei der ca. 70 Personen teilgenommen haben sollen. Hierbei wurden Fotos gefertigt. Eines dieser Fotos befand sich 2018 auf der Fanpage und zeigte deutlich erkennbar ein Ehepaar, und zwar die Ehefrau fast vollständig und den Ehemann mit seinem Kopf, beide in einer Menschenmenge stehend. Die Eheleute forderten den Ortsverein zur Löschung des Fotos auf, der dies auch umsetzte, gleichzeitig jedoch darauf hinwies, dass dessen Nutzung rechtmäßig sei. Daraufhin beschwerten sich die Eheleute bei der zuständigen Aufsichtsbehörde, die den Ortsverein nach entsprechender Anhörung gemäß Art. 58 DSGVO wegen der rechtswidrigen Veröffentlichung des Fotos verwarnte und dem Ortsverein die Kosten des Verwaltungsverfahrens auferlegte.
Der Ortsverein war hiermit nicht einverstanden und erhob Anfechtungsklage beim zuständigen Verwaltungsgericht Hannover. Dieses entschied nunmehr, dass die Veröffentlichung des fraglichen Bildes auf der Facebook Fanpage rechtswidrig war.
Das Verwaltungsgericht Hannover lies nun mit Urteil vom 27.11.2019 bei der Begründung offen, ob neben der DSGVO noch die Vorschriften des Kunsturheberrechtsgesetzes, hier § 23 KUG, anwendbar sind, da in beiden Fällen die Veröffentlichung unzulässig sei.
Die Veröffentlichung sei insbesondere nicht nach Art. 6 Abs. 1 Buchst. f DSGVO rechtmäßig. Dies wäre der Fall, wenn die Veröffentlichung zur Wahrung der berechtigten Interessen des Ortsvereins oder eines Dritten erforderlich ist, sofern die Interessen der betroffenen Personen nicht überwiegen.
Das Verwaltungsgericht bejahte grundsätzlich, dass ein berechtigtes Interesse an der Veröffentlichung des Fotos durch den Ortsverein bestünde, da diese als politische Partei ein berechtigtes Interesse daran habe, auch durch die Verwendung von derartigen Fotos für seine politische Tätigkeit zu werben. Hierdurch würde dieser auch gemäß Art. 21 des Grundgesetzes an der politischen Willensbildung mitwirken.
Die Verwendung des Fotos sei aber nicht erforderlich im Sinne der DSGVO. Insbesondere sei es nicht erforderlich gewesen, auf die durchgeführte Veranstaltung durch die Veröffentlichung des Fotos ohne Unkenntlichmachung der abgebildeten Personen hinzuweisen. Es gäbe ein milderes Mittel, nämlich die Unkenntlichmachung der Personen durch Verpixelung oder ähnlicher Maßnahmen, die den gleichen Zweck erfülle. Insbesondere sei eine solche Maßnahme nicht aufgrund fehlender finanzieller oder organisatorischer Mittel unmöglich.
Zudem überwiege auch das Interesse der abgebildeten Personen daran, dass ein derartiges Bild nicht für die Werbung für die politischen Tätigkeiten des Ortsvereins in der fraglichen Weise eingesetzt wird. Zwar müssten die Teilnehmer erwarten, dass eine Berichterstattung zu journalistischen Zwecken, zum Beispiel in der örtlichen Tageszeitung, in unmittelbaren zeitlichen Zusammenhang mit der Veranstaltung erfolge. Hierzu gehöre aber nicht, dass diese Fotos auch seitens des Ortsvereins für eigene Zwecke nach mehr als vier Jahren auf dessen Facebook Fanpage veröffentlicht werden.
Darauf, welche weiteren Auswirkungen eine Veröffentlichung auf Facebook als solches hat, ging das Verwaltungsrecht Hannover nicht ein, ebensowenig auf die Problematik der endgültigen Löschung derart veröffentlichter Bilder.
Der Ortsverein konnte mit seiner Argumentation, dass die Eheleute nur als Beiwerk im Sinne des § 23 KUG anzusehen sei, nicht durchdringen. Das Verwaltungsgericht führte hierzu aus, dass auch in diesem Fall die schutzwürdigen Interessen der Betroffenen überwiegen.
Das Verwaltungsgericht wies daher die erhobene Klage als unbegründet ab. Es bleibt nunmehr abzuwarten, ob der Ortsverein Berufung hiergegen eingelegt.
BVerwG: Untersagung des Betriebs einer Facebook-Fanpage ist rechtens
Das Bundesverwaltungsgericht hat mit Urteil vom 11. September 2019 entschieden, dass die Verpflichtung der zuständigen Datenschutzbehörde zur Abschaltung einer Facebook-Fanpage rechtmäßig ist, wenn diese schwerwiegende datenschutzrechtliche Mängel aufweist.
Dem Urteil liegt ein längerer Rechtsstreit zugrunde, der zwischenzeitlich zu einer Zwischenentscheidung des Europäischen Gerichtshofs geführt hatte. Dieser hatte 2018 entschieden, dass Facebook und der Betreiber einer Fanpage für die Verarbeitung personenbezogener Daten der Besucher der Facebook-Fanpage datenschutzrechtlich gemeinsam verantwortlich sind.
Auf dieser Grundlage hat das Bundesverwaltungsgericht nunmehr entschieden, dass die Deaktivierungsanordnung der schleswig-holsteinischen Datenschutzaufsicht ein verhältnismäßiges und zulässiges Mittel ist, um die Datenschutzvorschriften durchzusetzen. Das Vorgehen gegen den Betreiber sei ermessensfehlerfrei und effektiv. Der Behörde stünde es frei, unter mehreren datenschutzrechtliche Verantwortlichen einen Verantwortlichen auszuwählen und in die Pflicht zu nehmen. Denn der Betreiber sei für die Herstellung datenschutzkonformer Zustände rechtlich verantwortlich. Ein Vorgehen gegen Facebook sei wegen der voraussichtlich fehlenden Kooperationsbereitschaft und der erheblichen tatsächlichen und rechtlichen Unsicherheiten nicht zweckmäßig.
Das Berufungsurteil des Oberverwaltungsgerichts wurde daher aufgehoben. Das OVG hatte zuvor entschieden, dass der Betreiber nicht datenschutzrechtlich verantwortlich sei, weil dieser keinen Zugriff auf die erhobenen Daten habe. Diese Auffassung ist aufgrund der Entscheidung des Europäischen Gerichtshofs überholt.
Der EuGH hat die gemeinsame Verantwortlichkeit jedoch nicht für alle Vorgänge der Datenverarbeitung bestätigt, so dass nun seitens des OVG u.a. zu prüfen ist, welche der beanstandeten Datenverarbeitungsvorgänge rechtswidrig sind. Maßgebend hierbei ist der Zeitpunkt der letzten Behördenentscheidung. Diese erfolgte vor Inkrafttreten der DSGVO.
Feinjustierung der Rechtsprechung zur Adword-Werbung
OLG Frankfurt, Beschluss vom 27.08.2019, Az. 6 W 56/19
Bislang galt bei der Adword-Werbung der Grundsatz, dass die Schaltung von Werbeanzeigen für Suchbegriffe, die fremde Marken oder Unternehmenskennzeichen enthalten, grundsätzlich zulässig sein kann. Nämlich dann, wenn die Anzeige als solche gekennzeichnet ist, weder den Suchbegriff noch sonst einen Hinweis auf den Zeicheninhaber enthält und der Internetnutzer deshalb nicht erwartet, ausschließlich Angebote des „Suchbegriffinhabers“ zu sehen.
Das OLG Frankfurt hat nun in einem Fall, in dem diese Voraussetzungen scheinbar eingehalten werden, trotzdem eine Kennzeichenverletzung gesehen. In einer Anzeige für Zahnschienen fand sich die Formulierung, das angebotene Produkt gebe es nur bei zertifizierten Kieferorthopäden. Hieraus schließe der Verkehr, dass der Zeicheninhaber von dem die Anzeige schaltenden Unternehmen zertifiziert sei und deshalb deren Produkt anbiete, so das Gericht. Das war aber tatsächlich nicht der Fall, weil es sich um ein anderes Zahnschienensystem handelte.
In Zukunft wird daher bei der Schaltung von Internetanzeigen für Suchbegriffe (Adwordanzeigen) noch genauer darauf zu achten sein, dass der Anzeigetext für sich genommen keine Verbindung zum „Suchbegriffinhaber“ herstellt.
Bußgeld in sechsstelliger Höhe wegen Datenschutzverletzung
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat im August 2019 ein Bußgeld in Höhe von über 190.000 € gegen einen Lieferdienst verhängt. Diese Entscheidung ist inzwischen rechtskräftig.
Hintergrund des Verfahrens waren diverse datenschutzrechtliche Einzelverstöße, insbesondere die Nichtbeachtung der Betroffenenrechte (Auskunftsansprüche nach Artikel 15 DSGVO, Löschungsansprüche nach Artikel 17 DSGVO) oder die fehlende Umsetzung von Werbewidersprüchen. Aufgrund der hohen Anzahl an wiederholten Verstößen ging die Aufsichtsbehörde gemäß der vorliegenden Pressemeldung von strukturellen Organisationsproblemen aus, insbesondere auch angesichts dessen, dass vielfache Hinweise der Aufsichtbehörden über einen längeren Zeitraum nicht ausreichend umgesetzt wurden.
Nach Mitteilung der Berliner Aufsichtbehörde wurden seit der Geltung der DSGVO insgesamt 27 Bußgelder wegen Ddatenschutzverstößen erlassen.
Ausschreibung standardisierter EDV-Systeme
Beschluss der VK Nordbayern vom 31.07.2019
In Streit stand hier u.a. die frage, ob die Lieferung und Installation von Servern und deren Installation nebst Konfiguration (IT-Infrastruktur) als Bau- oder Lieferauftrag anzusehen ist. Insoweit ist § 103 GWB einschlägig.
Die Vergabekammer entschied, dass es sich vorliegend vornehmlich um Leistungen handelte, die als standardisierte EDV-Ausstattung anzusehen sind, deren Anforderungen nicht über das Normalmaß hinausgehen und die bei Bedarf auch mit geringerem Aufwand ersetzt werden können. Daher sei die Lieferung des Servers, des Routers, der Telefonanlage etc, als prägende Hauptleistung anzusehen und die daneben erfolgende Ingenieurleistung für die Installation und Konfiguration mit Probebetrieb als nebenleistung. Daher sei die Leistung korrekt als Lieferauftrag ausgeschrieben worden.
Das OLG Düsseldorf setzt die Anordnungen des Bundeskartellamts vom Februar 2019 gegen Facebook einstweilen außer Vollzug
Beschluss des OLG Düsseldorf vom 26.08.2019, Az.: VI-Kart 1/19 (V)
Der 1. Kartellsenat des Oberlandesgerichts Düsseldorf hat die Beschwerden des Facebook-Konzerns gegen die Anordnungen des Bundeskartellamts vom Februar 2019 summarisch im Eilverfahren geprüft und die Anordnungen außer Vollzug gesetzt. Dies bedeutet, dass das OLG Düsseldorf ernstliche Zweifel an der Rechtmäßigkeit der vorausgegangenen Entscheidung des Bundeskartellamts hat. Dieses hatte festgestellt, dass verschiedene Vorgänge gegen Datenschutzbestimmungen verstoßen, diese aufgrund der Marktmacht von Facebook durchgesetzt werden und hierdurch das Gesetz gegen den Wettbewerbsbeschränkungen (GWB) verletzt wird.
Nach Auffassung des OLG Düsseldorf liegt weder ein Fall des Ausbeutungsmissbrauch zum Nachteil der an dem sozialen Netzwerk teilnehmenden Verbraucher noch ein Behinderungsmissbrauch zu Lasten der Wettbewerber von Facebook vor. Das OLG moniert u.a., dass keine aussagekräftigen Feststellungen dazu getroffen wurden, ob und wenn ja in welchem Umfang „übermäßige“ Daten preisgegeben worden seien, die nur aufgrund der Marktmacht erlangt werden konnten. Zudem begründe auch ein unterstellter Verstoß gegen die Datenschutzbestimmungen nicht automatisch eine missbräuchliche Ausnutzung einer marktbeherrschenden Stellung.
Folge des Beschlusses des OLG Düsseldorf ist zunächst, dass Facebook die Entscheidung des Bundeskartellamts zunächst nicht umsetzen muss. Die Entscheidung des OLG Düsseldorf kann mit einer Rechtsbeschwerde angefochten werden, über die dann der Bundesgerichtshof zu entscheiden hätte.
Tücken des Software-Leasings
Urteil des OLG Koblenz vom 27.06.2019, Az.: 1 U 96 / 19
Das OLG Koblenz entschied hier zu Lasten des Softwareleasingnehmers, dass die vom Leasinggeber ausgesprochene fristlose Kündigung wegen Nichtzahlung der vereinbarten Leasingraten wirksam war, obwohl die Softwareherstellerin möglicherweise die geschuldeten Leistungen nicht mehr vertragsgemäß erbrachte.
Grund hierfür ist, dass der Lesinggeber lediglich die Gebrauchsüberlassung der Software an seinen Kunden schuldet und danach nur noch verpflichtet ist, den Leasingnehmer im Gebrauch der Software nicht zu stören und diesen bei Störungen der Überlassung durch den Softwarehersteller zu unterstützen. Sofern eine Störung durch den Softwarehersteller ausgeht, ist der Leasingnehmer verpflichtet, gegen diesen vorzugehen, und zwar mittels der vom Leasinggeber an ihn abgetretenen Ansprüche.
Unerlaubte Videoüberwachung rechtfertigt eine fristlose Kündigung des Mietverhältnisses
Urteil des AG München vom 28.05.2019, 432 C 2882/19
Auch wenn dieses Urteil zur alten Rechtslage ergangen ist, hat dieses sicherlich richtungsweisende Wirkung. Im Mietvertrag einer Wohngemeinschaft wies der Vermieter darauf hin, dass vor der Haustür zum Schutz der Gemeinschaft eine Videokamera angebracht sei. Daneben wurden aber noch die Flure der Wohnung videoüberwacht. Der Untermieter kündigte letztlich das Untermietverhältnis aus verschiedenen Gründen fristlos und berief sich hierbei unter anderem auch auf die datenschutzwidrige Videoüberwachung.
Das Amtsgericht München entschied, dass die Regelungen im Mietvertrag die Videoüberwachung der Flure bereits inhaltlich nicht umfassen und somit unerheblich seien. Da die Videokamera auch den zur gemeinschaftlichen Nutzung überlassenen Flur, der das Zimmer des Untermieters unter anderem mit der Küche und mit dem Badezimmer verbindet, erfasste und die Aufnahmen vom Vermieter regelmäßig ausgewertet wurden, sei eine permanente Videoüberwachung nicht gerechtfertigt. Dabei verweis das Gericht u.a. darauf, dass bekanntlicherweise ein Badezimmer von den Bewohnern nicht immer vollumfänglich bekleidet aufgesucht werde. Die fristlose Kündigung wurde daher als rechtmäßig angesehen.
Zum Widerrufsrecht im Google Play Store
Urteil des LG Köln vom 21.05.2019, Az.: 31 O 372/17
Für Verbraucherverträge im Internet gibt es bekanntlich ein mindestens 14-tägiges Widerrufsrecht. Das gilt selbstverständlich auch für den Erwerb von Filmen im Google Play Store Movie. Wenn der Kaufgegenstand aber aus solchen digitalen Inhalten besteht, wie es beispielsweise bei abrufbaren Filmen der Fall ist, sieht § 356 Abs. 5 BGB die Möglichkeit vor, dass das Widerrufsrecht vorzeitig erlischt. Nämlich dann, wenn
- der Unternehmer mit der Ausführung des Vertrages erst begonnen hat, nachdem der Verbraucher ausdrücklich zugestimmt hat, dass die Ausführung vor Ablauf der Widerrufsfrist beginnt und
- nachdem der Verbraucher seine Kenntnis davon bestätigt hat, dass er durch seine Zustimmung mit dem Beginn der sofortigen Ausführung sein Widerrufsrecht verliert.
Das Landgericht Köln hatte sich nun mit der Umsetzung dieser Voraussetzungen im Google Play Store zu befassen. Dort hatte man die folgende Formulierung gewählt:
„Wenn du auf Kaufen klickst, stimmst du den Google Play-Nutzungsbedingungen zu. Du stimmst außerdem zu, dass deine Bestellung sofort ausgeführt wird und du damit ein gesetzliches Widerrufsrecht verlierst …“
Diese Lösung hat dem Landgericht Köln für eine korrekte Umsetzung der gesetzlichen Vorgabe nicht genügt. Die nach dem Gesetz erforderliche Zustimmung zur sofortigen Ausführung dürfe nicht gemeinsam mit dem Klick auf den Bestellbutton erfolgen. Vielmehr sei eine ausdrückliche Zustimmungshandlung erforderlich, die auch nicht durch ein als Voreinstellung angekreuztes Kästchen erfolgen könne. Der Play Store hat seine Belehrung im Rahmen des Bestellvorgangs mittlerweile angepasst.
Urteil des VG Mainz vom 09.05.2019 zur Zwangsgeldfestsetzung wegen Nichtbeantwortung eines Fragenkatalogs der Datenschutzaufsichtsbehörde
Gegenstand dieses Urteils des VG Mainz vom 09.05.2019 war unter anderem die Frage, ob die Festsetzung eines Zwangsgeldes i.H.v. 5.000 EUR durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz gegen die Betreiberin einer Videoüberwachung rechtmäßig war. Zu der Zwangsgeldfestsetzung kam es, da die Betreiberin der Videoüberwachung der Aufforderung der datenschutzrechtlichen Aufsichtsbehörde zur Beantwortung eines Fragenkatalogs zu der eingesetzten Videoüberwachungsanlage nicht nachkam.
Das Verwaltungsgericht entschied, dass sie Zwangsgeldfestsetzung rechtmäßig ist. Die Aufsichtsbehörde hat einen Auskunftsanspruch, dem der datenschutzrechtlich Verantwortliche, hier der Betreiber eines Tanzlokals, der die Videoüberwachung einsetzte, grundsätzlich nachkommen muss. Die Ausgestaltung der Fragebögen obliegt weitestgehend dem Ermessen der Aufsichtsbehörde. Laut des VG Mainz bestanden vorliegend keine Anhaltspunkte dafür, dass die beklagte Aufsichtsbehörde insoweit ihren Ermessensspielraum überschritten haben könnte.
Auch die Höhe des festgesetzten Zwangsgeldes ist nach den Ausführungen des VG Mainz nicht zu beanstanden. Es erfolgten mehrfache Aufforderungen zur Beantwortung des Fragenkatalogs, zudem sei über einen beträchtlichen Zeitraum hinweg mit milderen Mitteln vergeblich versucht worden, die Betreiberin der Videoüberwachung zur Überantwortung des ihr übersandten Fragenkatalogs zu bewegen. Diese habe sich jedoch beharrlich geweigert. Aufgrund dessen sei es rechtmäßig, die Zwangsandrohung deutlich zu erhöhen, wobei nicht nur die Kosten einer möglichen Thematisierung der Kameras zu berücksichtigen sein, sondern insbesondere auch die erhebliche datenschutzrechtliche Relevanz der fraglichen Videoaufzeichnungen (erotischer Natur). Hierbei handelte es sich datenschutzrechtlich um einen besonders sensiblen Bereich, zudem sei das Zwangsgeld gemäß des eingeräumten Ermessensspielraums auch an der wirtschaftlichen Leistungsfähigkeit der Betreiberin auszurichten.
Irrelevant war in diesem Zusammenhang, ob der Betrieb der Videoüberwachung zulässig ist. Der geltend gemachte Auskunftsanspruch diente zunächst nur dazu, die Informationen einzuholen, um die Rechtmäßigkeit der Videoüberwachung zu überprüfen.
Zusammenführung von Nutzerdaten aus verschiedenen Diensten wird Facebook untersagt
Entscheidung des Bundeskartellamts vom 07.02.2019:
Das Bundeskartellamt untersucht seit Jahren, ob Facebook marktbeherrschend ist und hierbei seine Marktmacht ausnutzt. Vorliegend ist das Bundeskartellmacht der Auffassung, dass Facebook über eine entsprechende Marktmacht verfügt und diese mißbräuchlich ausnutzt, um Nutzerdaten zu erhalten und zu eigenen Zwecken zu nutzen. Ausgangspunkt ist hierbei der bei Anlage eines Facebook-Accounts zwischen dem Nutzer und Facebook abgeschlossene Nutzungsvertrag. Dieser fordert vom Anmelder Einwilligungen in Datensammlungen und Datenzusammenführungen, sonst kann der Account nicht erfolgreich angelegt werden. Diese Einwilligungen sind nach Auffassung des Bundeskartellamts unwirksam, da diese entgegen Artikel 7 DSGVO nicht freiwillig erteilt werden. Dies stellt nach der Entscheidung einen Fall des sogenannten Konditionenmißbrauchs dar, da Facebook in Deutschland einen Marktanteil von ca. 95 % hat.
Facebook führt Nutzerdaten aus einer Vielzahl von Quellen zusammen und verknüpft diese mit den Facebook-Konten der Nutzer. Hierbei handelt es sich um Daten, die bei Nutzung von weiteren Diensten von Facebook (Instagram, Whatsapp) sowie mit den auf Drittseiten gesammelten Daten anfallen (Like Button, Facebook Pixel). Das Bundeskartellamt untersagte nun diese Datenzusammenführung ohne wirksame freiwillige Einwilligung. Zur freiwilligen informierten Einwilligung gehört u.a. die Offenlegung aller relevanter Abläufe in verständlicher Form.
Diese Entscheidung ist noch nicht bestandskräftig. Facebook kann hiergegen innerhalb eines Monats Beschwerde beim OLG Düsseldorf einlegen.
Zur Kennzeichnungspflicht für Werbung bei Instagram
KG, Urteil vom 08.01.2019, Az. 5 U 83/18
Das Kammergericht in Berlin hat klargestellt, dass Influencer nicht jede Veröffentlichung mit Links oder Tags zu kommerziellen Anbietern als Werbung kennzeichnen müssen. Bei rein redaktionellen Beiträgen, die vorwiegend der Information und Meinungsbildung der Follower dienen, entfällt eine solche Kennzeichnungspflicht. Entscheidend für die Einordnung als redaktioneller Beitrag sind zwei Kriterien: der Influencer darf keine irgendwie gestaltete Entlohnung erhalten und die Verlinkung/der Tag dürfen nicht zu Seiten führen, über die unmittelbar ein Erwerb möglich ist. Insoweit müssen Influencer also zukünftig eine Einzelfallprüfung vornehmen und jede Veröffentlichung individuell einordnen. Im Streitfall müssen sie die fehlende Vergütung darlegen, indem sie ihr Verhältnis zu den Begünstigten konkret offenlegen.
Datenschutz und Vertragshändlerauskunftsansprüche
Urteil des OLG München vom 24.10.2018:
Zwischen den Parteien bestand ein Vertragshändlervertrag, der seitens der Klägerin als Herstellerin fristlos gekündigt wurde. Die ehemalige Vertragshändlerin forderte von der Herstellerin Auskunft darüber, in welchen Fällen Vertragsprodukte an Abnehmer eines bestimmten Gebiets geliefert wurden, ob die Lieferung über andere Vertragshändler erfolgte, welches Produkt verkauft wurde und welcher Kaufpreis vereinbart wurde. Die Herstellerin verweigerte die Auskunft u.a.mit Hinweis auf datenschutzrechtliche Erwägungen.
Das OLG München entschied nunmehr, dass der geforderten Auskunft keine datenschutzrechtlichen Bestimmungen entgegenstehen. Die Auskunftserteilung ist nach Artikel 6 Abs.1 lit. f DSGVO gerechtfertigt, da diese zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen: Die geforderten Informationen dienen der Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags. Die Herstellerin ist gemäß § 242 BGB zur Erteilung einer solchen Information verpflichtet, so dass der Schutzes der wirtschaftlichen Daten der jeweiligen Kunden nicht höhergestellt werden kann. Dies entspräche auch nicht den vernünftigen Erwartungen der betroffenen Person, vgl. Erwägungsgrund 47 der DSGVO. Die Daten stammen aus keinem höchst persönlichen Bereich und betreffen kein besonderes Knowhow der Branche, sondern einen normalen Kaufvorgang. Auch bestehen keine Interessen der Kunden an wirtschaftlicher Geheimhaltung, da Informationen wie Ratenzahlung, Kreditfinanzierung nicht Gegenstand der geschuldeten Auskunft sind.
Schadensersatzansprüche gegen den Hostingpartner bei Verlust von Kundendaten
Urteil des OLG Hamburg vom 11.04.2018:
Aufgrund einer fehlerhaften Konfiguration seitens des Hostinganbieters kam es dazu, dass die Livedaten eines Onlineshops nicht gesichert wurden, sondern als Teil einer vermeintlich alten, inaktiven, nicht schreibgeschützten Datenbank gelöscht wurden. Der Betreiber forderte Schadensersatz.
Das OLG Hamburg stellte fest, dass der Schadensersatzanspruch dem Grunde nach bestand. Die Löschung der entstandenen Daten wurde als grob fahrlässig angesehen. Daher konnte sich der Hostinganbieter auch nicht erfolgreich auf seine Allgemeinen Geschäftsbedingungen berufen, in denen eine Haftungsbeschränkungsklausel enthalten war. Dem Geschädigten gelang es jedoch nicht, den entstandenen Schaden konkret darzulegen. Die eingereichten Unterlagen stellten hiernach auch keine geeignete Grundlage für eine Schätzung nach § 287 ZPO dar.
Hervorzuheben ist, dass das OLG Hamburg in seinen Entscheidungsgründen darauf hinwies, dass die hier verletzte Datensicherungspflicht keine wesentliche Vertragspflicht im Rahmen eines Hostingvertrags darstellt. Dies sei nur die Zurverfügungstellung von Speicherplatz, nicht aber die Datensicherung.
Manuelle Datensammlung und Datenschutzrecht
Urteil des Europäischen Gerichtshofs vom 10.07.2018:
Der Europäische Gerichtshof hatte zu klären, wann eine manuelle Datenerhebung zu einer Datei im Sinne der Datenschutzgrundverordnung (DSGVO) führt. Anlass war die Datenerhebung der Zeugen Jehova.
Der Europäische Gerichtshof stellte letztlich fest, dass die fraglichen Aktionen, insbesondere das Erheben von Daten anläßlich des Aufsuchens von Bürgern an Haustüren, zu einer Datenverarbeitung im Sinne der DSGVO führt. Durch diese Tür zu Tür-Aktion werden Daten, z.B. Name, Adresse, religiöse Orientierung, Reaktion auf den Besuch, gesammelt. Dies erfolgt zwar zunächst manuell (handschriftlich). Diese Informationen werden jedoch letztlich in einer Datei gespeichert oder sollen so gespeichert werden. Ausreichend ist hierbei, dass der Name der besuchten Person mit anderen Daten nach bestimmten Kriterien so strukturiert wird, dass diese in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Diese Sammlung von Informationen stellte eine Datei im datenschutzrechtlichen Sinn dar.
Die Ausnahmevorschrift des Artikel 2 DSGVO, wonach die Datenschutzverordnung nicht für eine ausschließlich persönliche oder familiäre Tätigkeit einer natürlichen Person gilt, greift nicht. Es fehlt bereits an der Voraussetzung der „natürlichen Person“. Auch das Grundrecht auf Gewissens- und Religionsfreiheit ändert hieran nichts, da es vorliegend nicht um die private Sphäre eines als Verkündiger tätigen Mitglieds einer Religionsgemeinschaft geht, sondern um die Betätigung der Religionsgemeinschaft selbst.
Zudem finden sich in der Entscheidung Ausführungen dazu, wer datenschutzrechtlich als Verantwortlicher für die Datenerhebung anzusehen ist. Die Ausführungen deuten darauf hin, dass nach Ansicht des Europäischen Gerichtshofs die Religionsgemeinschaft gemeinsam mit den tätigen Mitgliedern als Verantwortliche angesehen wird. Letztlich wird dies durch das finnische Gericht entschieden.
Zulässigkeit einer Videoüberwachung in einer Apotheke
Urteil des Oberverwaltungsgerichts Saarlouis vom 14.12.2017:
Auch wenn dieses Urteil zum alten Datenschutzrecht ergangen ist, dürften die grundsätzlichen Fragen auch heute ähnlich zu beurteilen sein:
Der Apotheker betrieb mehrere Videoüberwachungsanlagen, im öffentlich zugänglichen Bereich der Apotheke (Verkaufsraum) und in den lediglich für die Mitarbeiter zugänglichen Bereichen (Medikamentenlagerung). Die Kameras zeichneten keine Geräusche auf und werden 2 Wochen gespeichert. Die Mitarbeiter des Apothekers hatten eine schriftliche Einwilligung erteilt. Die Aufsichtsbehörde war der Auffassung, dass der Betrieb der Anlagen rechtswidrig sei und verlangte deren Abschaltung.
Das OVG Saarlouis urteilte, dass die Videoüberwachung rechtmäßig ist, da diese zur Wahrnehmung des Hausrechts und zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
Die Verhinderung weiterer Diebstähle in der Apotheke (Verkaufsraum) ist sowohl ein berechtigtes Interesse des Apothekers als auch vom Hausrecht gedeckt, da dieses auch die Beweissicherung mittels Videoüberwachung zum Schutz des Eigentums umfasst. Da die Aufnahmen nur den Raum vor dem Verkaufstresen erfassen, während sich die Angestellten des Klägers regelmäßig hinter dem Tresen aufhalten, sind die Arbeitnehmer bei einem kurzfristigen Aufenthalt im öffentlichen Bereich nur geringfügig betroffen und werden nicht dauerhaft überwacht. Der Apotheker konnte auch das Vorliegen der Diebstähle plausibel machen, so dass sein Interesse objektiv begründbar ist und sich aus einer konkreten Gefahrenlage heraus ergibt. Auch die Erforderlichkeit des Einsatzes der Kameras wurde seitens des Gerichts bejaht. Hierbei wurde u.a. auf die Abschreckungswirkung abgestellt und der Einsatz von Wachpersonal als keine mildere Alternative angesehen (u.a. aus Kostenaspekten).
Durch die Videokameras werden keine Gesundheitsdaten erhoben, da das Aufsuchen einer Apotheke, in der heutzutage außer Medikamenten auch ein breites Sortiment an Kosmetika und sonstigen „Wellness“- oder Convenient-Produkten angeboten wird, kein Indiz für das Vorliegen einer Erkrankung darstellt.
Auch die Dauer der Speicherung wurde seitens des OVG nicht moniert.
Auch der Einsatz der weiteren Kamera im nicht-öffentlichen Teil der Apotheke wurde als zulässig angesehen, da dieser u.a. von den Mitarbeitern nur gelegentlich betreten wird, nicht heimlich und verdeckt erfolgt und von den Einwilligungserklärungen der Belegschaft gedeckt ist.
Zudem sah das Verwaltungsgericht keine Anhaltspunkte dafür, an der Freiwilligkeit der Erklärungen zu zweifeln.
