Datenschutz

Erst der EuGH, jetzt das Bundesverwaltungsgericht:

Der EuGH hatte bereits im Juni 2018 entschieden, dass Betreiber von Facebook-Fanpages in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen sind.  Nur drei Monate später hat dann die Datenschutzkonferenz ihren Beschluss zu dem Thema veröffentlicht, und darin festgestellt, dass Facebook-Fanpages illegal seien, weil es keine Vereinbarung mit Facebook gebe. Zwar hat Facebook darauf reagiert, aber der Verbraucherzentrale, der Bundestagsfraktion der Grünen und auch der Berliner Datenschutzbehörde reichte das nicht aus. Daher wurden Anhörungsschreiben an Fanpage-Betreiber versendet.

Hierzu hat nun das BVerwG verhandelt und entschieden (Urt. v. 11.09.2019, Az. 6 C 15.18):

Auch die Betreiber von Fanpages können bei Datenschutzverstößen belangt werden.

Dabei ging das BVerwG auf einer Linie mit dem EuGH, und machte Betreiber von Fanpages mitverantwortlich für die Sammlung von Nutzerdaten im Hintergrund. Nach Ansicht der Datenschutzbeauftragten Schleswig-Holsteins, Marit Hansen, sei dieses Urteil „Rückenwind für den Datenschutz“. Es dürfte sie daher freuen, dass das BVerwG der Ansicht ist, dass Datenschützer Betreiber von Fanpages bei schwerwiegenden datenschutzrechtlichen Mängeln zur Abschaltung der Unternehmensseite verpflichten dürfen.

Das Verfahren ist allerdings schon vor Jahren ins Rollen gekommen. Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte 2011 die Wirtschaftsakademie Schleswig-Holstein zur Deaktivierung ihrer Fanpage aufgefordert, da bei dem Besuch der Seite ohne vorige Information des Nutzers dessen Daten erhoben wurden. Die datenschutzrechtliche Verantwortung liege (auch) bei der Akademie, trotz der Tatsache, dass die technische Infrastruktur ja komplett von Facebook stammte.

Die Klage der Akademie gegen diesen Bescheid war zunächst erfolgreich, doch das BVerwG legte den Fall dem Europäischen Gerichtshof (EuGH) vor. Die Entscheidung ist bekannt: der Betreiber einer Fanpage ist für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich.

Das Argument, dass die Datenverarbeitung von Facebook aufgedrängt werde und nicht steuerbar sei, war anscheinend unbeachtlich, denn für die Bundesrichter zählte nur, dass der Betreiber einen Beitrag zu der Datenerhebung leistet und nur als „Türöffner“ dient.

Marit Hansen soll angekündigt haben, Facebook jetzt weiter auf datenschutzrechtliche Verstöße zu prüfen.

Welche Konsequenzen dies alles nun für die Fanpage Betreiber haben wird, hängt wohl maßgeblich davon ab, ob und wie Facebook auf diese Rechtsprechung reagieren wird.

 

Aktuell sind Abmahnungen durch einen Verein -IGD Interessensgemeinschaft Datenschutz e.V.- im Umlauf.

Abgemahnt wurde bislang ein Mandant von uns, der eine gewerblich genutzte Website betreibt.

Gegenstand der Abmahnung ist die fehlende SSL Verschlüsselung auf der Website. Hierin sieht der Verein einen Verstoß gegen die am 25. Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO).

Ob DSGVO-Verstöße überhaupt Wettbewerbsrechtsverletzungen darstellen, die von Konkurrenten abgemahnt werden können, gehört zu den aktuell umstrittensten Fragen rund um die DSGVO.

Dieser Aspekt ist allerdings nicht das Kernproblem der Abmahnung des IGD e.V.

Das Problem bei dieser Abmahnung ist, worauf der IGD e.V. seine Aktivlegitimation stützt, d.h. die Berechtigung, derartige Abmahnungen aussprechen zu dürfen. Nach unseren Informationen ist der IGD e.V. sehr neu eingetragen in das Vereinsregister. Es ist nicht klar, ob der Verein zum Zeitpunkt der Abmahnung bereits die Voraussetzungen als „Wettbewerbsverband“ erfüllt (§ 8 Abs. 3 Nr. 2 UWG). Dem Verein muss nämlich eine erhebliche Zahl von Unternehmern angehören, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben. Das ist vorliegend stark zu bezweifeln.

Das Schreiben des IGD e.V. stellt daher keine „übliche Abmahnung“ eines Wettbewerbsverbandes dar. Sowohl der Verein an sich als auch der Abmahnungsgrund haben Ansatzpunkte, um die Abmahnung mit entsprechender Begründung abzuwehren.

Sollten Sie eine derartige „Abmahnung“ erhalten haben, lassen Sie sich von uns anwaltlich beraten.

Wir stehen Ihnen mit Rat und Tat zur Seite.

 

 

 

Sind Verstöße gegen die Datenschutz -Grundverordnung wettbewerbswidrig?

Diese Frage ist unter Juristen umstritten. Umstritten ist konkret die Frage, ob die Pflicht aus dem Datenschutzrecht, eine rechtskonforme Datenschutzerklärung anzubieten, nach dem Inkrafttreten der DSGVO eine Marktverhaltensregelung im Sinne des Wettbewerbsrechts ist, die einzelnen Mitbewerbern das Recht gibt, Verstöße abzumahnen.

Das Landgericht Bochum (Urteil vom 7. August 2018, Az: I-12 O 85/18) ist dabei der Ansicht, dass Datenschutzverstöße nicht abmahnbar sind.

Der Fall:

Die Parteien des Rechtsstreits sind Online-Händler. Sie vertreiben Druckerzeugnisse, Autokleber, Textilien, Bürobedarf und Werbemittel an Verbraucher. Der Verfügungskläger mahnte seinen Mitbewerber ab, weil in dessen Webshop der Link auf die OS-Plattform fehlte und die AGB diverse unzulässige Klauseln enthielten. Im Verfahren vor dem Landgericht Bochum machte der Verfügungskläger zusätzlich einen wettbewerbsrechtlichen Unterlassungsanspruch als Mitbewerber geltend, weil das Online-Angebot seines Mitbewerbers keine Datenschutzerklärung mit den Informationen nach Art. 13 DSGVO enthielt. Zu Recht?

Das Urteil:

Im Ergebnis gab das Landgericht Bochum dem Verfügungskläger nur im Hinblick auf den fehlenden Link auf die OS-Plattform und die unzulässigen AGB-Klauseln Recht. Den wettbewerbsrechtlichen Unterlassungsanspruch wegen der fehlenden datenschutzrechtlichen Informationen lehnte das Gericht mit folgender Begründung ab:

„Keinen Erfolg hatte der Antrag hingegen, soweit ein Verstoß gegen Artikel 13 der Datenschutzgrundverordnung geltend gemacht wird. Denn dem Verfügungskläger steht ein solcher nicht zu, weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält. Die Kammer verkennt dabei nicht, dass diese Frage in der Literatur umstritten ist und die Meinungsbildung noch im Fluss ist. Die Kammer in ihrer derzeitigen Besetzung schließt sich der besonders von Köhler (ZD 2018, 337 sowie in Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3 a Rn. 1.40 a und 1.74 b, im Ergebnis auch Barth WRP 2018, 790; anderer Ansicht Wolff, ZD 2018, 248) vertretenen Auffassung an. Dafür spricht insbesondere, dass die Datenschutzgrundverordnung eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthält. Danach steht nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Hieraus ist zu schließen, dass der Unionsgesetzgeber eine Erstreckung auf Mitbewerber des Verletzers nicht zulassen wollte (Köhler, ZD 2018, 337, 338). Wegen der weiteren Einzelheiten der Argumentation kann auf die zitierten Literaturstellen Bezug genommen werden.“

Im Ergebnis stützt das LG Bochum somit seine Auffassung auf einen führenden Kommentar zum Wettbewerbsrecht.

Welche Auswirkungen das Urteil auf die Praxis im Wettbewerbsrecht haben wird, bleibt noch abzuwarten. Die Rechtslage dürfte auch weiterhin mit Unsicherheiten verbunden sein.  Denn das Landgericht Würzburg (Beschluss vom 13.09.2018, Az. 11 O 1741/18 UWG) entschied nur wenig später ganz anders als das Landgericht Bochum. Nach Ansicht des LG Würzburg stellt eine fehlende Datenschutzerklärung auf einer Website einen Wettbewerbsverstoß dar, der von Konkurrenten abgemahnt werden kann.

Somit bleibt es trotz der aktuellen Entscheidung weiterhin abzuwarten, ob künftig Verstöße gegen die DSGVO aufgrund des UWG verfolgt werden können.

 

Mit Urteil vom 13.09.2018 – 2/3 O 283/18 – entschied das LG Frankfurt, dass das Veröffentlichen von Bildern und Videos eines Kunden auf Facebook ohne dessen Einwilligung nicht nur gegen das Kunsturhebergesetz (KUG), sondern auch die Datenschutzgrundverordnung (DSGVO) verstoßen kann.

Der Fall:

Die Klägerin ließ in einem Friseursalon eine Haarverlängerung machen. Während des Termins wurde sie  fotografiert. Auch wurden Videoaufnahmen von ihr angefertigt. Der Betreiber des Friseursalons veröffentlichte später die Fotos und ein Video auf der Facebook-Seite des Friseursalons. Als die Klägerin dies feststellte, forderte sie den Inhaber auf, die Aufnahmen zu löschen. Die Fotos wurden entfernt, das Video blieb -trotz anwaltlicher Aufforderung. Die Kundin ging im einstweiligen Rechtsschutz gegen die Veröffentlichung des Videos vor. Zu Recht?

Ja, so lautet die Entscheidung des LG Frankfurt.

Nach Auffassung des LG verstößt ein Friseurgeschäftbetreiber, der Videos von Haarverlängerungen ihrer Kunden erstellt und über das Netz zum Abruf bereitstellt gegen das KUG und gegen die Datenschutzgrundverordnung. Derjenige, der Aufnahmen mit Personen tätigt, braucht die Einwilligung der abgebildeten Personen.

Derjenige, der sich für die Veröffentlichung eines Online-Videos auf eine Einwilligung nach der DSGVO beruft, trägt hierfür die Beweislast. In diesem Fall war es der Friseursalon-Betreiber, der sich auf die Einwilligung der Kundin berief. Er musste für die Einwilligung den Beweis erbringen. Da es ihm genau das im Verfahren nicht gelungen ist, musste das Video der Kundin von Facebook gelöscht werden.

Fazit der Entscheidung:

Wer personenbezogene Daten Dritter (wie Fotos, Videos etc.) veröffentlichen bzw. verarbeiten möchte, braucht deren Einwilligung  und muss diese im Streitfall beweisen. Unser Rat in dem Zusammenhang lautet, aufgrund der Dokumentationspflichten der DSGVO eingeholte Einwilligungen stets in einer beweisbaren Form festzuhalten.

Nächste Seite »