Datenschutz

Mit Urteil vom 13.09.2018 – 2/3 O 283/18 – entschied das LG Frankfurt, dass das Veröffentlichen von Bildern und Videos eines Kunden auf Facebook ohne dessen Einwilligung nicht nur gegen das Kunsturhebergesetz (KUG), sondern auch die Datenschutzgrundverordnung (DSGVO) verstoßen kann.

Der Fall:

Die Klägerin ließ in einem Friseursalon eine Haarverlängerung machen. Während des Termins wurde sie  fotografiert. Auch wurden Videoaufnahmen von ihr angefertigt. Der Betreiber des Friseursalons veröffentlichte später die Fotos und ein Video auf der Facebook-Seite des Friseursalons. Als die Klägerin dies feststellte, forderte sie den Inhaber auf, die Aufnahmen zu löschen. Die Fotos wurden entfernt, das Video blieb -trotz anwaltlicher Aufforderung. Die Kundin ging im einstweiligen Rechtsschutz gegen die Veröffentlichung des Videos vor. Zu Recht?

Ja, so lautet die Entscheidung des LG Frankfurt.

Nach Auffassung des LG verstößt ein Friseurgeschäftbetreiber, der Videos von Haarverlängerungen ihrer Kunden erstellt und über das Netz zum Abruf bereitstellt gegen das KUG und gegen die Datenschutzgrundverordnung. Derjenige, der Aufnahmen mit Personen tätigt, braucht die Einwilligung der abgebildeten Personen.

Derjenige, der sich für die Veröffentlichung eines Online-Videos auf eine Einwilligung nach der DSGVO beruft, trägt hierfür die Beweislast. In diesem Fall war es der Friseursalon-Betreiber, der sich auf die Einwilligung der Kundin berief. Er musste für die Einwilligung den Beweis erbringen. Da es ihm genau das im Verfahren nicht gelungen ist, musste das Video der Kundin von Facebook gelöscht werden.

Fazit der Entscheidung:

Wer personenbezogene Daten Dritter (wie Fotos, Videos etc.) veröffentlichen bzw. verarbeiten möchte, braucht deren Einwilligung  und muss diese im Streitfall beweisen. Unser Rat in dem Zusammenhang lautet, aufgrund der Dokumentationspflichten der DSGVO eingeholte Einwilligungen stets in einer beweisbaren Form festzuhalten.

Aktuell geht ein Anschreiben per Fax an Unternehmen raus. Absender ist die Datenschutzauskunft-Zentrale (DAZ) aus Oranienburg. Aufhänger ist die neue Datenschutzgrundverordnung.

Bei diesem offiziell wirkenden Schreiben handelt es sich jedoch um eine Vertragsfalle. Wer das Schreiben ausfüllt, schließt einen Vertrag ab und erhält in wenigen Tagen eine Rechnung über 592,62 EUR und bei Nichtzahlung eine anwaltliches Mahnschreiben.

Wir raten daher dringende ab, dieses Schreiben zu beantworten. Sie sollten den Bogen einfach unbeantwortet entsorgen. Wenn Sie das Fax bereits unterschrieben und zurückgeschickt haben, besteht die Möglichkeit die  Erklärung  wegen arglistiger Täuschung anfechten. Gerne stehen wir Ihnen mit Rat und Tat zur Seite.

Als ob das Urteil des europäischen Gerichtshofes, welches vor ein paar Tagen bereits die Runde gemacht hat, nicht genug wäre. Der EuGH hat unlängst entschieden, dass Betreiber von Fanpages bei Facebook in gleichem Maße datenschutzrechtlich verantwortlich sind, wie Facebook selbst. Das Urteil ist für sich genommen schon harter Tobak für alle Fanpagebetreiber, vor allem weil es unerheblich ist, wer hinter den Fanpages steht. Durch das Urteil wird jeder auf Augenhöhe mit Facebook gehoben, egal ob Anwalt, Sportverein oder der Bäcker von nebenan. Das Urteil unterstellt latent, dass jeder, der eine Facebook-Fanpage betreibt, den gleichen Datenhunger haben müsse, wie Facebook. Ob das tatsächlich der Fall ist, dürfte mehr als zweifelhaft sein.

Hinzu kommt, dass Fanpagebetreiber zwangsläufig selbst Mitglieder von Facebook sein müssen, um eine solche Fanpage überhaupt zu erstellen. Sie sind somit aus datenschutzrechtlicher Sicht sowohl Betroffene, als jetzt auch Verantwortliche. Ihnen wurden jetzt die gleichen Pflichten aufgetragen, wie Facebook. Der Unterschied ist jedoch: Fanpagebetreiber haben nicht die gleichen Mittel, um diesen Pflichten nachzukommen. Als Mitglieder von Facebook haben sie kaum bessere Möglichkeiten, Angaben darüber zu machen, welche Daten der Fanpagebesucher (selbst der Besuch von Nicht-Facebook-Mitgliedern genügt) gesammelt und verarbeitet werden. Diese Vorgänge verbleiben weiterhin bei Facebook, sodass Fanpagebetreiber jetzt auf Facebook angewiesen sind, um rechtskonforme Angaben machen zu können. Ob sich Facebook hierzu wird bewegen lässt, darf bezweifelt werden. Schließlich hat Facebook kaum Anreiz, sich in die Karten schauen zu lassen. Die Folge: Fanpagebetreiber können ihre Pflichte nicht erfüllen und bleiben auf der Strecke.

Die Entschließung der Konferenz der unabhängigen Datenschutzbehörden vom 06.06.2018 legt jetzt noch einen drauf. Sie begrüßt das Urteil des EuGH mit der fulminanten Überschrift „Die Zeit der Verantwortungslosigkeit ist vorbei“.

Starke Worte, die leider zeigen, dass die Konferenz das ganze Ausmaß des Urteils nicht ganz verstanden zu haben scheint. Bereits jetzt zeichnet sich ab, dass die neue DSGVO kaum wird erreichen können, was sie sich vorgenommen hat. Die wirklichen Datenkraken lächeln müde, nehmen sich gut bezahlte Anwälte und nutzen ihre Systemrelevanz, um ihre Nutzer zur Abgabe von Einwilligungen zu bewegen. Völlig freiwillig natürlich.

Wirklich hart trifft die DSGVO den Mittelstand, der jetzt aufwändige und kostspielige Datenschutzmaßnahmen betreiben muss, um allein das Risiko von Abmahnungen zu minimieren. Wer sich sowas leisten kann, ist fein raus. Der Rest muss sehen wo er bleibt und hoffen, weder von Abmahnanwälten noch von Datenschutzbehörden entdeckt zu werden.

Mit ihrer Stellungnahme hat die Konferenz eine Position bezogen, die ihrer Aufgabe entspricht. Schließlich geht es um den Schutz der Daten. Allerdings zeigt sie wenig Feingefühl für die gegenseitigen Interessen und Bedürfnisse. Gerade die „kleinen“ Fanpagebetreiber, wie besagter Sportverein, oder Frisöre, Handwerker, aber auch Anwälte oder Ärzte dürften sich durch diese Stellungnahme bitterlich im Stich gelassen fühlen. Es ist lebensfremd jedem Fanpagebetreiber den gleichen Datenhunger wie Facebook zu unterstellen. Nichtsdestotrotz drängt die Konferenz auf Eile, es bestehe „dringender Handlungsbedarf“.

Die Konferenz der unabhängigen Datenschutzbehörden hätte die Gelegenheit nutzen können, ein Zeichen dafür zu geben, dass nicht alle Fanpagebetreiber über einen Kamm geschert werden können. Sie hat sich entschieden, dies nicht zu tun. Datenschutz um jeden Preis also. Ein Preis, den wieder die falschen zahlen müssen. Denn nach jetziger Rechtslage, bestärkt durch die Stellungnahme der Konferenz scheint der einige Weg, sich aus einer datenschutzrechtlichen Haftung zu entziehen, keine Fanpage zu betreiben. Damit dürfte Facebook für jeden, der sich das Risiko einer Abmahnung oder eines Bußgeldverfahrens nicht leisten kann, als „digitale Nutzfläche“ bis auf weiteres entfallen.

Dabei sind mögliche Lösungen nicht schwer vorstellbar: Die DSGVO kennt z.B. den Begriff der Datenschutz-Folgenabschätzung. Wie der Name es bereits andeutet, muss abgeschätzt werden, ob und welches Risiko für personenbezogene Daten besteht. Je höher das Risiko, desto besser müssen die Datenschutzmaßnahmen sein. Vielleicht wäre es eine Idee, diesen Gedanken auf Fanpages zu übertragen. Freilich steht auch dies wieder in Abhängigkeit zu der Zusammenarbeit mit Facebook. Aber Facebook könnte z.B. Aussagen über die Reichweite bestimmter Fanpages treffen, die wiederum zur Einschätzung eines datenschutzrechtlichen Risikos herangezogen werden könnten. Wenn sich dann beispielsweise herausstellt, dass der Fußballverein von nebenan eh Mühe hat, auf über 100 „Follower“ zu kommen, scheint eine „Entlassung“ aus der datenschutzrechtlichen Verantwortlichkeit zumindest nicht mehr völlig undenkbar. Aber das ist erst noch Zukunftsmusik. Es bleibt abzuwarten, wie sich die Dinge entwickeln werden.

Einziges „Trostpflaster“ scheint zu sein, dass das Urteil des EuGH keine unmittelbare Wirkung entfaltet. Das zugrundeliegende Verfahren muss erst beendet werden. Gleichwohl ist klar, wo die Reist hingeht: Solange Facebook kein datenschutzrechtskonformes Produkt anbietet, sind Fanpages keine Option mehr.

Zunächst hieß es: keine Panik wegen der DSGVO!

Dies haben anscheinend einige Marktteilnehmer zum Anlass genommen, Ihre Angebote nicht oder nicht rechtzeitig zu aktualisieren und haben prompt die ersten Abmahnungen kassiert.

So soll eine Esslinger Rechtsanwaltsgesellschaft mbH bereits vermeintliche Verstöße gegen die DSGVO wegen fehlender oder falscher Datenschutzinformationen auf der Webseite eines Kollegen ausgesprochen haben.

Unter anderem sollen die fehlende Opt-in und Opt-out-Möglichkeit bei Google-Analytics bemängelt worden sein.

Aber auch unter Händlern soll es schon Abmahnungen gegeben haben.

So wird berichtet, dass die Firma Erich Andreas Speck Dienstleistungen, Karlsruher Str. 22, 76351 Linkenheim-Hochstetten, eine Abmahnung wegen gänzlich fehlender Datenschutzhinweise auf der Seite des Mitbewerbers abgemahnt hat.

Ausgesprochen wurde die Abmahnung am 25.05.2018 durch Rechtsanwalt Orhan Aykac von der A ∙ Anwaltskanzlei, Konrad-Adenauer-Allee 63, 86150 Augsburg.

In der Abmahnung wurde neben der Abgabe einer strafbewehrten Unterlassungserklärung die Erstattung der Rechtsanwaltskosten auf einem Gegenstandwert von 7.500,00 € gefordert.

Dabei wurde ausgeführt, dass der Gegenstandswert sich aus „aus dem Jahreswert der Kosten für die vollständige und ordnungsgemäße Umsetzung der DSGVO“ ergebe.

Allein aufgrund der neuesten Abmahnung gilt nach unserer Auffassung nach wie vor der Grundsatz: keine Panik!

Es ist zu beachten, dass auch schon vor der Geltung der DSGVO die Notwendigkeit einer Datenschutzerklärung vorhanden war und nach UWG abgemahnt werden konnte – also wettbewerbsrechtlich relevant war.

Wer also bis zum heutigen Tage noch keine Datenschutzerklärung hat, sollte dies schnellmöglich nachholen.

Selbstversändlich helfen wir auch bei erhaltenen Abmahnungen. Ob die Abmahnung tatsächlich berechtigt ist, muss möglicherweise erstmal durch die  Gerichte geprüft werden.

Gerne stellen wir Ihnen auch entsprechende Rechtstexte zur Verfügung