Datenschutz

Erst der EuGH, jetzt das Bundesverwaltungsgericht:

Der EuGH hatte bereits im Juni 2018 entschieden, dass Betreiber von Facebook-Fanpages in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen sind.  Nur drei Monate später hat dann die Datenschutzkonferenz ihren Beschluss zu dem Thema veröffentlicht, und darin festgestellt, dass Facebook-Fanpages illegal seien, weil es keine Vereinbarung mit Facebook gebe. Zwar hat Facebook darauf reagiert, aber der Verbraucherzentrale, der Bundestagsfraktion der Grünen und auch der Berliner Datenschutzbehörde reichte das nicht aus. Daher wurden Anhörungsschreiben an Fanpage-Betreiber versendet.

Hierzu hat nun das BVerwG verhandelt und entschieden (Urt. v. 11.09.2019, Az. 6 C 15.18):

Auch die Betreiber von Fanpages können bei Datenschutzverstößen belangt werden.

Dabei ging das BVerwG auf einer Linie mit dem EuGH, und machte Betreiber von Fanpages mitverantwortlich für die Sammlung von Nutzerdaten im Hintergrund. Nach Ansicht der Datenschutzbeauftragten Schleswig-Holsteins, Marit Hansen, sei dieses Urteil „Rückenwind für den Datenschutz“. Es dürfte sie daher freuen, dass das BVerwG der Ansicht ist, dass Datenschützer Betreiber von Fanpages bei schwerwiegenden datenschutzrechtlichen Mängeln zur Abschaltung der Unternehmensseite verpflichten dürfen.

Das Verfahren ist allerdings schon vor Jahren ins Rollen gekommen. Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte 2011 die Wirtschaftsakademie Schleswig-Holstein zur Deaktivierung ihrer Fanpage aufgefordert, da bei dem Besuch der Seite ohne vorige Information des Nutzers dessen Daten erhoben wurden. Die datenschutzrechtliche Verantwortung liege (auch) bei der Akademie, trotz der Tatsache, dass die technische Infrastruktur ja komplett von Facebook stammte.

Die Klage der Akademie gegen diesen Bescheid war zunächst erfolgreich, doch das BVerwG legte den Fall dem Europäischen Gerichtshof (EuGH) vor. Die Entscheidung ist bekannt: der Betreiber einer Fanpage ist für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich.

Das Argument, dass die Datenverarbeitung von Facebook aufgedrängt werde und nicht steuerbar sei, war anscheinend unbeachtlich, denn für die Bundesrichter zählte nur, dass der Betreiber einen Beitrag zu der Datenerhebung leistet und nur als „Türöffner“ dient.

Marit Hansen soll angekündigt haben, Facebook jetzt weiter auf datenschutzrechtliche Verstöße zu prüfen.

Welche Konsequenzen dies alles nun für die Fanpage Betreiber haben wird, hängt wohl maßgeblich davon ab, ob und wie Facebook auf diese Rechtsprechung reagieren wird.

 

Das Landgericht Dresden, Urteil vom 11.01.2019, Az.: 1a O 1582/18 hat entschieden, dass  die Nutzung von Google Analytics  ohne den Zusatz „anonymizeIP“   eine Datenschutzverletzung darstellt.

Geklagt hatte ein Verbraucher, der das gewerbliche Internetportal der Beklagten aufgesucht hatte. Auf der Webseite war Google Analytics  installiert. Dies aber ohne den Zusatz „anonymizeIP“, sodass die IP-Adresse des Klägers an Google  weitergeleitet wurde.

Der Kläger klagte auf Unterlassung und Auskunft. Die Beklagte meinte, das Vorgehen des Verbrauchers sei rechtsmissbräuchlich, da er ein von ihm entwickeltes IP-Tool einsetze, um massenhaft fehlende Hinweise auf eine Anonymisierung von IP-Adressen im Rahmen von Google Analytics  zu ermitteln.  Auch hätte der Kläger selbst Maßnahmen ergreifen können, damit seine IP-Adresse nicht übermittelt werde, zum Beispiel eine entsprechende Einstellung in seinem Browser vornehmen.

Dies überzeugte das Landgericht jedoch nicht. Es stellte fest, dass die Verwendung von Google Analytics  ohne die Erweiterung „anonymizeIP“  datenschutzwidrig sei und  den Kläger in seinem allgemeinen Persönlichkeitsrecht (Artikel 2 Grundgesetz) verletze.

 Der Geltendmachung der Ansprüche sei auch nicht rechtsmissbräuchlich.  So habe der Kläger die Beklagte außergerichtlich selbst angeschrieben und zur Unterlassung aufgefordert. Er habe somit gerade keinen Kostenersatz verlangt. Hätte die Beklagte die außergerichtlich verlangte strafbewehrte Unterlassungserklärung abgegeben, so hätte sie sämtliche Kosten vermeiden können.

Auch sei die Beklagte  und nicht der Kläger verpflichtet, dass nur solche Daten verarbeitet  und an Dritte weiterzuleitet werden, bei denen auch eine Rechtsgrundlage bestünde.

Der Streitwert wurde auf 6.000 € festgesetzt.

Webseitenbetreiber, die google Analytics einsetzen, sollten daher darauf achten, dass die IP Adressen anonymisiert werden. Eine datenschutzkonforme Nutzung von Google Analytics ist nur mit der Code-Erweiterung „anonymizeIp“ möglich.

Sie haben Fragen zum Datenschutz? Wir helfen Ihnen!

Neben seiner Tätigkeit als Rechtsanwalt ist Herr Dr. Schenk auch als externer Datenschutzbeauftragter tätig.

Mit Urteil vom 27.03.2019 hat das Bundesverwaltungsgericht (BVerwG) entschieden, dass die Anwendung des § 4 BDSG unionsrechtlich unzulässig ist.

Der Entscheidung lag folgender Fall zu Grunde:

Geklagt hatte eine zahnärztliche Praxis in einem Gebäude, in dem weitere Arztpraxen sowie eine psychiatrische Tagesklinik vorhanden sind. Im Eingangsbereich der Praxis hat die Klägerin eine Videokamera installiert, die den Bereich vor dem Empfangstresen, Flur zwischen Eingangstür und Tresen und ein Teil des vom Flur abgehenden Wartebereichs erfasst.

Eine Aufzeichnung findet nicht statt.

Sowohl an der Außenseite der Eingangstür als auch am Tresen brachte die Klägerin ein Schild mit folgender Aufschrift an „Videogesichert“.

Im Jahr 2012 forderte die zuständige Datenaufsichtsbehörde die Praxis auf, die Video-Überwachung so ausrichten, dass die Bereiche, die Besuchern offenstehen, während der Öffnungszeiten der Praxis nicht mehr erfasst werden.

Hiergegen legte die Praxis Klage ein.

Das Bundesverwaltungsgericht  hat die Klage in der Revisionsinstanz zwar zurückgewiesen, da die angegriffene Anordnung der Aufsichtsbehörde rechtmäßig und die auf § 6b Abs. 1 Satz 1 BDSG a.F. gestützte Videoüberwachung unzulässig war.

Jedoch setzt sich das Gericht weiter mit der seit dem 25.05.2018 geltenden Rechtslage auseinander. Nach der neunen Rechtslage sei  maßgebliche Vorschrift Art. 6 Abs. 1 lit. f DSGVO für de praktizierte Videoüberwachung. Nicht einschlägig sei Art. 6 Abs. 1 lit. e DSGVO.  Daran ändere sich auch nichts, weil der Gesetzgeber mit Schaffung des § 4 Abs. 1 Satz 1 BDSG n.F mit der Videoüberwachung öffentlicher Räume zum Schutz der öffentlichen Sicherheit hoheitliche Aufgaben auf Private übertragen wollte.  Für die von § 4 Abs. 1 Satz 1 BDSG vorgesehenen Anwendungsfälle der Videoüberwachung privater Verantwortlicher bliebe nach Geltung der DSGVO schlicht kein Raum mehr. Die Norm ist daher unanwendbar.

Auch nach der geltenden Rechtslage sei die streitgegenständliche Videoüberwachung allerdings unzulässig, weil insoweit die Ausführungen zur Erforderlichkeit nach § 6b Abs. 1 BDSG a.F. übertragbar wären

Unternehmen sollten eine Videoüberwachung in jedem Fall datenschutzrechtlich überprüfen lassen. Gerne stehen wir mit Rat und Tat zur Seite. Neben seiner Tätigkeit als Rechtsanwalt ist Herr Dr. Stephan Schenk auch als externer Datenschutzbeauftragter tätig.

 

 

 

Das Landgericht Stuttgart hat mit Urteil vom 20.05.2019 entschieden, dass Verstöße gegen die DSGVO  nicht abmahnbar sind.

Kläger war der IDO-Verband, der in der Vergangenheit regelmäßig Abmahnungen ausspricht. Der Beklagte war ein Ebay Händler, der KfZ-Teile verkaufte. Er informierte dabei jedoch nicht die Nutzer n über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Hierin sah der IDO einen Wettbewerbsverstoß.

Das Landgericht Stuttgart hat die Klage abgewiesen. So seien die Regelungen in der Datenschutzgrundverordnung (DSGVO) abschließend, so dass diese nicht zusätzlich wettbewerbsrechtlich geahndet werden könnten.

Das Gericht setzt sich in seinem Urteil mit der vorhandenen Rechtsprechung auseinander und kommt zu dem Ergebnis, dass die Regelung in der DSGVO abschließend ist. Im Urteil heißt es wie folgt:

„…Die Frage, ob die Datenschutzgrundverordnung eine abschließende Regelung der Sanktionen enthält, ist streitig und höchstrichterlich noch nicht geklärt (dafür insbesondere LG Magdeburg v. 18.01.2019 – 36 O 48/18; LG Wiesbaden v. 05.11.2018 – 5 O 214/18; Köhler in: Köhler/Bornkamm/Feddersen, UWG, 37. Aufl., § 3a UWG Rn. 1.40a; Lettl, WRP 2019, 289, dagegen insbesondere OLG Hamburg v. 25.10.2018 – 3 U 66/17, ohne dass es allerdings auf die  Frage ankam; vgl. auch Schmidt, WRP 2019, 27).

  1. b) Das Gericht schließt sich der Auffassung an, dass die Datenschutzgrundverordnung abschließend ist…..“

Die Entscheidung hilft in der Praxis kaum weiter, da es an einer einheitlichen Rechtsprechung fehlt. Es wäre wünschenswert, wenn die Frage schnellstmöglich vom Bundesgerichtshof entschieden würde.

Sie haben Fragen zum Datenschutz? Wir stehen gerne mit Rat und Tat zur Seite.