Urteile zum IT- und Datenschutzrecht

zum Kompetenzbereich  IT- und Datenschutz

Zusammenführung von Nutzerdaten aus verschiedenen Diensten wird Facebook untersagt

Entscheidung des Bundeskartellamts vom 07.02.2019:

 

Das Bundeskartellamt untersucht seit Jahren, ob Facebook marktbeherrschend ist und hierbei seine Marktmacht ausnutzt. Vorliegend ist das Bundeskartellmacht der Auffassung, dass Facebook über eine entsprechende Marktmacht verfügt und diese mißbräuchlich ausnutzt, um Nutzerdaten zu erhalten und zu eigenen Zwecken zu nutzen. Ausgangspunkt ist hierbei der bei Anlage eines Facebook-Accounts zwischen dem Nutzer und Facebook abgeschlossene Nutzungsvertrag. Dieser fordert vom Anmelder Einwilligungen in Datensammlungen und Datenzusammenführungen, sonst kann der Account nicht erfolgreich angelegt werden. Diese Einwilligungen sind nach Auffassung des Bundeskartellamts unwirksam, da diese entgegen Artikel 7 DSGVO nicht freiwillig erteilt werden. Dies stellt nach der Entscheidung einen Fall des sogenannten Konditionenmißbrauchs dar, da Facebook in Deutschland einen Marktanteil von ca. 95 % hat.

 

Facebook führt Nutzerdaten aus einer Vielzahl von Quellen zusammen und verknüpft diese mit den Facebook-Konten der Nutzer. Hierbei handelt es sich um Daten, die bei Nutzung von weiteren Diensten von Facebook (Instagram, Whatsapp) sowie mit den auf Drittseiten gesammelten Daten anfallen (Like Button, Facebook Pixel). Das Bundeskartellamt untersagte nun diese Datenzusammenführung ohne wirksame freiwillige Einwilligung. Zur freiwilligen informierten Einwilligung gehört u.a. die Offenlegung aller relevanter  Abläufe in verständlicher Form.

 

Diese Entscheidung ist noch nicht bestandskräftig. Facebook kann hiergegen innerhalb eines Monats Beschwerde beim OLG Düsseldorf einlegen.

 

 

Datenschutz und Vertragshändlerauskunftsansprüche

Urteil des OLG München vom 24.10.2018:

 

Zwischen den Parteien bestand ein Vertragshändlervertrag, der seitens der Klägerin als Herstellerin fristlos gekündigt wurde. Die ehemalige Vertragshändlerin forderte von der Herstellerin Auskunft darüber, in welchen Fällen Vertragsprodukte an Abnehmer eines bestimmten Gebiets geliefert wurden, ob die Lieferung über andere Vertragshändler erfolgte, welches Produkt verkauft wurde und welcher Kaufpreis vereinbart wurde. Die Herstellerin verweigerte die Auskunft u.a.mit Hinweis auf datenschutzrechtliche Erwägungen.

 

Das OLG München entschied nunmehr, dass der geforderten Auskunft keine datenschutzrechtlichen Bestimmungen entgegenstehen. Die Auskunftserteilung ist nach Artikel 6 Abs.1 lit. f DSGVO gerechtfertigt, da diese zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen: Die geforderten Informationen dienen der Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags. Die Herstellerin ist gemäß § 242 BGB zur Erteilung einer solchen Information verpflichtet, so dass der Schutzes der wirtschaftlichen Daten der jeweiligen Kunden nicht höhergestellt werden kann. Dies entspräche auch nicht den vernünftigen Erwartungen der betroffenen Person, vgl. Erwägungsgrund 47 der DSGVO. Die Daten stammen aus keinem höchst persönlichen Bereich und betreffen kein besonderes Knowhow der Branche, sondern einen normalen Kaufvorgang. Auch bestehen keine Interessen der Kunden an wirtschaftlicher Geheimhaltung, da Informationen wie Ratenzahlung, Kreditfinanzierung nicht Gegenstand der geschuldeten Auskunft sind.

 

 

Schadensersatzansprüche gegen den Hostingpartner bei Verlust von Kundendaten

Urteil des OLG Hamburg vom 11.04.2018:

 

Aufgrund einer fehlerhaften Konfiguration seitens des Hostinganbieters kam es dazu, dass die Livedaten eines Onlineshops nicht gesichert wurden, sondern als Teil einer vermeintlich alten, inaktiven, nicht schreibgeschützten Datenbank gelöscht wurden. Der Betreiber forderte Schadensersatz.

 

Das OLG Hamburg stellte fest, dass der Schadensersatzanspruch dem Grunde nach bestand. Die Löschung der entstandenen Daten wurde als grob fahrlässig angesehen. Daher konnte sich der Hostinganbieter auch nicht erfolgreich auf seine Allgemeinen Geschäftsbedingungen berufen, in denen eine Haftungsbeschränkungsklausel enthalten war. Dem Geschädigten gelang es jedoch nicht, den entstandenen Schaden konkret darzulegen. Die eingereichten Unterlagen stellten hiernach auch keine geeignete Grundlage für eine Schätzung nach § 287 ZPO dar.

 

Hervorzuheben ist, dass das OLG Hamburg in seinen Entscheidungsgründen darauf hinwies, dass die hier verletzte Datensicherungspflicht keine wesentliche Vertragspflicht im Rahmen eines Hostingvertrags darstellt. Dies sei nur die Zurverfügungstellung von Speicherplatz, nicht aber die Datensicherung.

 

 

 

 

 

 

Manuelle Datensammlung und Datenschutzrecht

Urteil des Europäischen Gerichtshofs vom 10.07.2018:

 

Der Europäische Gerichtshof hatte zu klären, wann eine manuelle Datenerhebung zu einer Datei im Sinne der Datenschutzgrundverordnung (DSGVO) führt. Anlass war die Datenerhebung der Zeugen Jehova.

 

Der Europäische Gerichtshof stellte letztlich fest, dass die fraglichen Aktionen, insbesondere das Erheben von Daten anläßlich des Aufsuchens von Bürgern an Haustüren, zu einer Datenverarbeitung im Sinne der DSGVO führt.  Durch diese Tür zu Tür-Aktion werden Daten, z.B. Name, Adresse, religiöse Orientierung, Reaktion auf den Besuch, gesammelt. Dies erfolgt zwar zunächst manuell (handschriftlich). Diese Informationen werden jedoch letztlich in einer Datei gespeichert oder sollen so gespeichert werden. Ausreichend ist hierbei, dass der Name der besuchten Person mit anderen Daten nach bestimmten Kriterien so strukturiert wird, dass diese in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Diese Sammlung von Informationen stellte eine Datei im datenschutzrechtlichen Sinn dar.

 

Die Ausnahmevorschrift des Artikel 2 DSGVO, wonach die Datenschutzverordnung nicht für eine ausschließlich persönliche oder familiäre Tätigkeit einer natürlichen Person gilt, greift nicht. Es fehlt bereits an der Voraussetzung der „natürlichen Person“. Auch das Grundrecht auf Gewissens- und Religionsfreiheit ändert hieran nichts, da es vorliegend nicht um die private Sphäre eines als Verkündiger tätigen Mitglieds einer Religionsgemeinschaft geht, sondern um die Betätigung der Religionsgemeinschaft selbst.

 

Zudem finden sich in der Entscheidung Ausführungen dazu, wer datenschutzrechtlich als Verantwortlicher für die Datenerhebung anzusehen ist. Die Ausführungen deuten darauf hin, dass nach Ansicht des Europäischen Gerichtshofs die Religionsgemeinschaft gemeinsam mit den tätigen Mitgliedern als Verantwortliche angesehen wird. Letztlich wird dies durch das finnische Gericht entschieden.

 

 

 

Zulässigkeit einer Videoüberwachung in einer Apotheke

Urteil des Oberverwaltungsgerichts Saarlouis vom 14.12.2017:

 

Auch wenn dieses Urteil zum alten Datenschutzrecht ergangen ist, dürften die grundsätzlichen Fragen auch heute ähnlich zu beurteilen sein:

 

Der Apotheker betrieb mehrere Videoüberwachungsanlagen, im öffentlich zugänglichen Bereich der Apotheke (Verkaufsraum) und in den lediglich für die Mitarbeiter zugänglichen Bereichen (Medikamentenlagerung). Die Kameras zeichneten keine Geräusche auf und werden 2 Wochen gespeichert. Die Mitarbeiter des Apothekers hatten eine schriftliche Einwilligung erteilt. Die Aufsichtsbehörde war der Auffassung, dass der Betrieb der Anlagen rechtswidrig sei und verlangte deren Abschaltung.

 

Das OVG Saarlouis urteilte, dass die Videoüberwachung rechtmäßig ist, da diese zur Wahrnehmung des Hausrechts und zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

 

Die Verhinderung weiterer Diebstähle in der Apotheke (Verkaufsraum)  ist sowohl ein berechtigtes Interesse des Apothekers als auch vom Hausrecht gedeckt, da dieses auch die Beweissicherung mittels Videoüberwachung zum Schutz des Eigentums umfasst. Da die Aufnahmen nur den Raum vor dem Verkaufstresen erfassen, während sich die Angestellten des Klägers regelmäßig hinter dem Tresen aufhalten, sind die Arbeitnehmer bei einem kurzfristigen Aufenthalt im öffentlichen Bereich nur geringfügig betroffen und werden nicht dauerhaft überwacht. Der Apotheker konnte auch das Vorliegen der Diebstähle plausibel machen, so dass sein Interesse objektiv begründbar ist und sich aus einer konkreten Gefahrenlage heraus ergibt. Auch die Erforderlichkeit des Einsatzes der Kameras wurde seitens des Gerichts bejaht. Hierbei wurde u.a. auf die Abschreckungswirkung abgestellt und der Einsatz von Wachpersonal als keine mildere Alternative angesehen (u.a. aus Kostenaspekten).

 

Durch die Videokameras werden keine Gesundheitsdaten erhoben, da das Aufsuchen einer Apotheke, in der heutzutage außer Medikamenten auch ein breites Sortiment an Kosmetika und sonstigen „Wellness“- oder Convenient-Produkten angeboten wird, kein Indiz für das Vorliegen einer Erkrankung darstellt.

Auch die Dauer der Speicherung wurde seitens des OVG nicht moniert.

Auch der Einsatz der weiteren Kamera im nicht-öffentlichen Teil der Apotheke wurde als zulässig angesehen, da dieser u.a. von den Mitarbeitern nur gelegentlich betreten wird, nicht heimlich und verdeckt erfolgt und von den Einwilligungserklärungen der Belegschaft gedeckt ist.

Zudem sah das Verwaltungsgericht keine Anhaltspunkte dafür, an der Freiwilligkeit der Erklärungen zu zweifeln.

Wie können wir Ihnen helfen?

Gerne nehmen wir Ihre Anfrage entgegen. Damit wir Ihnen so schnell wie möglich antworten können, benötigen wir nur Ihre Kontaktdaten.
Informationen zur Verarbeitung Ihrer Daten bei Nutzung dieses Kontaktformulars finden Sie unter dem Menüpunkt Datenschutz.

Kontaktformular

fieldset

Koblenz
Mainzer Straße 108
56068 Koblenz
Telefon 0261 30130
Telefax 0261 301323
kanzlei@SPAMPROTECTIONkunzrechtsanwaelte.de

 

––––

 

Mainz
Haifa-Allee 38
55128 Mainz
Telefon 06131 9717670
Telefax 06131 9717677
kanzlei@SPAMPROTECTIONkunzrechtsanwaelte.de