Verbandsklagerecht bei Datenschutzverstößen – Verfassungsrechtliche Bedenken

In der aktuellen Ausgabe der Zeitschrift WRP haben der Kollege Dr. Jaschinski und ich einen Fachbeitrag zu dem „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ veröffentlicht. Der Beitrag ist auf der Webseite der WRP im Volltext abrufbar (auch als PDF).

In dem Beitrag geben wir einen Überblick zu den Neuerungen des Gesetzes, natürlich mit einem besonderen Schwerpunkt auf der Verbandsklagebefugnis bei Datenschutzrechtsverletzungen (§ 2 Abs. 2 S. 1 Nr. 11 UKlaG). Verfassungsrechtliche Bedenken haben wir vor allem bei der Beteiligung der Datenschutzaufsichtsbehörden in zivilrechtlichen Verfahren vor den Landgerichten. Viel Freude beim Lesen.

Landgericht Hamburg untersagt fehlerhaften Einsatz von Google Analytics

Google Analytics ist eines der beliebtesten Analysetools für Webseitenbetreiber überhaupt. Bei der Einbindung dieses Dienstes auf der eigenen Webseite sind jedoch insbesondere datenschutzrechtliche Anforderungen (konkret vor allem jene des Telemediengesetzes und der Auftragsdatenverarbeitung) zu beachten.  Sollten diese Voraussetzung nicht erfüllt werden, besteht unter anderem die Gefahr, von Wettbewerbern abgemahnt und auf Unterlassung und Ersatz der Abmahn- und Gerichtskosten in Anspruch genommen zu werden.

Genauso hat in einem aktuellen Fall das Landgericht Hamburg per Beschluss im Wege der einstweiligen Verfügung entschieden (Az. 312 O 127/16, PDF). In dem Fall wurde es einem Webseitenbetreiber untersagt, auf seinem Internetangebot den Analysedienst Google Analytics einzusetzen, ohne die Besucher des Internetangebots zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Den Streitwert hat das Gericht auf 20.000 € festgesetzt.

Schon im Jahr 2011 haben die deutschen Datenschutzbehörden darüber informiert, wie aus ihrer Sicht ein zulässiger Einsatz des Analysetools auszusehen hat (Informationen der Datenschutzbehörde aus Hamburg):

  • Webseitenbetreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Diesen Vertrag erhalten Sie unter „http://www.google.com/analytics/terms/de.pdf“.
  • Webseitenbetreiber müssen die Nutzer Ihrer Website in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Hierbei sollte möglichst auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden.
  • Webseitenbetreiber müssen durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen.

Im konkreten Fall stellte der Webseitenbetreiber überhaupt keine Datenschutzerklärung und damit auch keine Informationen zum Einsatz von Google Analytics zur Verfügung. Damit lag ein Verstoß gegen die Informationspflicht des § 13 Abs. 1 S. 1 TMG vor. Bei dieser Vorschrift handelt es sich nach Auffassung vieler Gerichte (u.a. auch des OLG Hamburg, Urt. v. 27. Juni 2013 – Az. 3 U 26/12) um eine sogenannte Marktverhaltensregelung im Sinne des § 3a UWG. Die Verletzung einer solchen Regelung kann durch Wettbewerber abgemahnt und die Abgabe einer Unterlassungserklärung gefordert werden. Wenn eine solche Erklärung nicht rechtzeitig abgegeben wird, kann der Unterlassungsanspruch im Wege der einstweiligen Verfügung vor Gericht durchgesetzt werden, wie der oben verlinkte Beschluss einmal mehr zeigt.

Für den Abgemahnten bzw. im Fall des Erlasses einer einstweiligen Verfügung, den Antragsgegner, können am Ende Kosten in vierstelliger Höhe entstehen, die er dem Antragsteller zu ersetzen hat. Hinzu kommt, dass spätestens mit Zustellung der einstweiligen Verfügung der weitere Einsatz von Google Analytics nur noch möglich ist, wenn sofort die oben geschilderten Anforderungen umgesetzt werden. Andernfalls droht ein empfindliches Ordnungsgeld. Jeder Webseitenbetreiber, der Google Analytics nutzt, sollte daher darauf achten, in jedem Fall die oben aufgeführten Anforderungen umzusetzen. Man mag vielleicht meinen, dass es eher unwahrscheinlich ist, in das Visier einer Datenschutzbehörde zu gelangen. Die Gefahr, von einem Wettbewerber abgemahnt zu werden, ist jedenfalls durchaus realistisch.

Disclaimer: Die Kanzlei JBB Rechtsanwälte war an dem Verfahren vor dem Landgericht Hamburg als Vertreter der Antragstellerseite beteiligt.

Datenschutz-Grundverordnung: Auslegungshilfe und praktischer Überblick

Die endgültige Textfassung der zukünftigen Datenschutz-Grundverordnung wird derzeit noch durch den Übersetzungsdienst der Europäischen Union, in Absprache mit dem europäischen Parlament und den Mitgliedstaaten, erstellt. Inhaltlich weiß man im Groben seit der Einigung im Trilog am 17. bzw. 18. Dezember 2015 auf einen gemeinsamen Text, welche Regelungen in Zukunft für den Umgang mit Person bezogenen Daten in Europa gelten werden.

Zwar werden viele altbekannte Prinzipien der geltenden EU-Datenschutzrichtlinie fortgeführt und unverändert übernommen. Nichtsdestotrotz wird es an vielen Stellen auch (größere oder kleinere) Änderungen geben. Datenschutzpraktiker sind vor diesem Hintergrund für jede Anwendungs- und Auslegungshilfe zu den neuen Regelungen dankbar.

Der Rat der Europäischen Union hat nun den Entwurf der Begründung des Rates (pdf) zu der Datenschutz-Grundverordnung veröffentlicht. Im Prinzip handelt es sich bei diesem 36-seitigen Dokument um einen hilfreichen, wenn auch groben Überblick über und eine geraffte Zusammenfassung der zukünftigen Regelungen. Mit Blick auf die zukünftige Auslegung der Datenschutz-Grundverordnung durch die Praxis, die Gerichte oder die Datenschutzaufsichtsbehörden dürfte dieses Dokument durchaus nützlich sein.

Gerichtsurteil: Arbeitnehmer können in Videoüberwachung einwilligen

Mit Urteil vom 29. Januar 2016 (Az.: 1 K 1122/14) hat sich das Verwaltungsgericht Saarlouis zu zwei interessante datenschutzrechtliche Fragen geäußert. Zum einen zur Frage der datenschutzrechtlichen Zulässigkeit einer Videoüberwachung in einer Apotheke und zum anderen zur Frage der Möglichkeit, in einem Arbeitsverhältnis wirksam gegenüber dem Arbeitgeber einwilligen zu können.

Geklagt hatte der Eigentümer eine Apotheke gegen eine Untersagungsverfügung der zuständigen Datenschutzaufsichtsbehörde. Er überwachte sowohl den öffentlich zugänglichen Verkaufsraum als auch einen nur für das Personal zugänglichen Bereich zu einem Betäubungsmittelschrank mit Videokameras. Die Aufzeichnungen wurden automatisch alle 2 Wochen gelöscht und unterlagen nur dem Zugriff durch den Kläger. Grund für die Überwachung war vor allem ein Schwund bzw. Fehlbestand an Medikamenten und damit einhergehender finanzieller Verlust. Die Datenschutzbehörde untersagte dem Kläger die Videoüberwachung im Verkaufsraum und auch am Betäubungsmittelschrank.

Das Gericht hob den Bescheid der Behörde insoweit auf, als die Untersagung die Videoüberwachung an dem Betäubungsmittelschrank betraf. Im Übrigen wurde der Bescheid als rechtmäßig angesehen.

Videoüberwachung im Verkaufsraum und am Kundeneingang

Keine Einwilligung der Kunden

Das Gericht stellte fest, dass es hinsichtlich aller Kameras im Verkaufsraum an einer wirksamen Einwilligung der Kunden fehle.

Aus der Tatsache, dass auf die in dem Verkaufsraum stattfindende Videoüberwachung durch Beschilderung an den Eingangstüren zur Apotheke hingewiesen wird, könne keine konkludente Einwilligung der Kunden, die dennoch und damit in Kenntnis der Videoüberwachung die Verkaufsräume der Apotheke betreten, abgeleitet werden.

Gesetzliche Erlaubnis (§ 6 b BDSG)

Auch sei die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs des Verkaufsraums mit § 6 b Abs. 1 BDSG unvereinbar. Das Gericht prüft das Vorliegen der Voraussetzungen von § 6 b BDSG und stellt zunächst fest, dass es sich bei dem Freiwahlbereich der Apotheke um einen öffentlich zugänglichen Raum handelt. Zwar diene die Videoüberwachung im Verkaufsraum der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, nicht aber der Wahrnehmung berechtigter Interessen nach § 6 b Abs. 1 Nr. 3 BDSG.

Zu diesen berechtigten Interessen gehöre zwar grundsätzlich jedes rechtliche, wirtschaftliche und ideelle Interesse, sofern es objektiv begründbar ist und sich nicht nur an den subjektiven Wünschen und Vorstellungen der verantwortlichen Stelle orientiert. Kommt damit eine die Videoüberwachung zum Zweck der Gefahrenabwehr zum Einsatz, wird man nach Auffassung des Gerichts regelmäßig eine Wahrnehmung berechtigter Interessen annehmen können.

Wichtig ist jedoch insoweit, dass eine konkrete oder zumindest abstrakte Gefährdungslage darzulegen ist. Daran fehlte es im vorliegenden Fall. Dies ist ein wichtiger Aspekt des Urteils. Das Gericht lehnt die Zulässigkeit einer Videoüberwachung im Verkaufsraum nicht per se ab. Vorliegend lagen nur nicht genug Anhaltspunkte dafür vor, die eine zumindest abstrakte Gefährdungslage begründen würden.

Mit Blick auf eine konkrete Gefährdungslage führt das Gericht aus, dass der Kläger nicht aufzeigen konnte, welche Arzneimittel und ob überhaupt und wenn ja welche nicht apothekenpflichtigen Waren abhandengekommen sind. Sein Hinweis auf Entwendungen in der Apotheke, reiche allein nicht aus.

Auch eine abstrakte Gefährdungslage habe der Kläger nicht darlegen können.

Zwar diene die Videoüberwachung der Wahrnehmung des Hausrechts (§ 6 b Abs. 1 Nr. 2 BDSG). Jedoch sei ihre Erforderlichkeit im streitigen Einzelfall nicht ersichtlich gewesen. Auch hier ist darauf hinzuweisen, dass das Gericht allein auf Grundlage der Umstände des Einzelfalls und der mangelnden Darlegung der Erforderlichkeit die Videoüberwachung als unzulässig ablehnte. In einem anderen Fall, kann eine solche Überwachung also durchaus zulässig sein.

Das Gericht führt aus, dass wenn eine Videoüberwachung zur Wahrnehmung des Hausrechts diene, diese der Verfolgung präventiver Zwecke dienen könne, sofern Ziel der Maßnahme ist, Personen von der Begehung von Rechtsverstößen innerhalb des vom Hausrecht geschützten Bereichs abzuhalten. Rechtsverstöße können insoweit auch die Verübung von Diebstählen sein.

Auf ein solches Hausrecht kann sich der Kläger als Inhaber der Apotheke grundsätzlich auch berufen. Er hat ein Interesse daran, die in der Apotheke befindlichen Arzneimittel und die Waren des Freiwahlbereichs zu schützen sowie Personen, die die Apotheke zu unberechtigten Zwecken betreten, aus dieser zu verweisen.

Es fehlte vorliegend jedoch, wie beschrieben, an der konkreten Erforderlichkeit der Maßnahme.

Der Kläger habe, so das Gericht, im konkreten Fall keine Tatsachen dargelegt, die es nachvollziehbar machten, dass das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann.

Videoüberwachung im Mitarbeiterbereich

Die offene Videoüberwachung an dem Betäubungsmittelschrank ist hingegen datenschutzrechtlich zulässig, weil die Beschäftigten wirksam eingewilligt haben.

Gesetzliche Erlaubnis (§§ 6 b, 32 BDSG)

Zuvor geht das Gericht noch auf mögliche gesetzliche Erlaubnistatbestände ein.

Die Videoüberwachung sei hier aber nicht an § 6 b BDSG zu messen. Diese Vorschrift finde nämlich dann keine Anwendung, wenn es um die Videoüberwachung von Arbeitsplätzen geht, die sich in nicht öffentlich zugänglichen Bereichen befinden. Um so einen Bereich handelte es sich bei dem Lager der Apotheke, das nur dem Zutritt von Apothekenpersonal offenstand.

Auch die Voraussetzungen des § 32 BDSG lagen nach Ansicht des Gerichts nicht vor.

Zur Aufdeckung von Straftaten erlaube § 32 Abs. 1 S. 2 BDSG zwar den Einsatz von datenschutzrechtlich relevanten Maßnahmen, wozu nach Ansicht des Gerichts ausdrücklich auch die Videoüberwachung gehört. Jedoch nicht allein zu präventiven Zwecken. Immer erforderlich seien tatsächliche Verdachtsmomente. Daran mangelte es im vorliegenden Fall.

Des Weiteren, so das Gericht, sei die Videoüberwachung am Betäubungsmittelschrank auch nicht erforderlich. Das wäre sie nur dann, wenn es kein milderes, gleich geeignetes Mittel zur Erreichung des Zwecks gäbe. Auch dies beurteilt sich anhand des Einzelfalles. Dies bedeutet freilich auch, dass eine solche Überwachung durchaus zulässig sein kann.

Nach Auffassung des Gerichts ermöglichte im vorliegenden Fall das Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten effektiv, den Zugriff auf den Betäubungsmittelschrank zu kontrollieren. Dies wäre daher im Hinblick auf das Recht auf informationelle Selbstbestimmung der Arbeitnehmer das weniger einschneidende Mittel gewesen.

Einwilligung der Mitarbeiter

Begrüßenswerter Weise stellt auch das Verwaltungsgericht (wie dies bereits 2015 das Bundesarbeitsgericht entschied, Az. 6 AZR 845/13) ganz ausdrücklich klar, dass Arbeitnehmer gegenüber ihrem Arbeitgeber grundsätzlich wirksam eine datenschutzrechtliche Einwilligung erteilen können.

Im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei.

Jedoch weißt das Gericht auch auf die allgemeinen Wirksamkeitsvoraussetzungen der Einwilligung hin und konstatiert, dass sie als Grundlage einer Überwachung eher ungeeignet sei, da sie jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Für die Praxis relevant dürften die Ausführungen des Gerichts zu den konkreten Anforderungen an die Einwilligung sein. Eine Unterschriftenliste unter dem alleinigen Satz – „Mir ist bekannt, dass in der S.-Apotheke 5 Überwachungskameras aufgestellt sind und ich erkläre mich damit einverstanden.“ – genüge offensichtlich auf keinen Fall den Anforderungen des § 4 a Abs. 1 BDSG.

Der Kläger reichte während des gerichtlichen Verfahrens 18 einzelnen Einwilligungserklärungen der Beschäftigten nach, die den Anforderungen formal genügten.

Mit Blick auf das Erfordernis der freien Entscheidung der Mitarbeiter stellt das Gericht zudem noch fest, dass auch in einem Verhältnis des Machtungleichgewichts die Selbstbestimmung nicht unbedingt ausgeschlossen sein müsse. Es bedürfe daher konkreter Anhaltspunkte dafür, dass ein Arbeitnehmer im Einzelfall die Einwilligung nicht ohne Zwang abgegeben habe. Als Indiz für einen zusätzlichen Druck könne nach Ansicht des Gerichts der Zwang zur Unterschrift auf einer gemeinsamen Erklärung (gewisser Gruppenzwang) angesehen werden.

 

Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

Heute hat das Landgericht Düsseldorf in einem Verfahren zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID ein Urteil (pdf) zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt (Az 12 O 151/15). Im Ergebnis wurde die Klage der Verbraucherschützer in weiten Teilen für begründet erachtet. Nachfolgend möchte ich kurz auf einige Aspekte des Urteils, teilweise auch kritisch, eingehen.

Das Unternehmen hatte auf seiner Webseite das bekannte Social Plugin eingebunden und hierauf in seiner Datenschutzerklärung, die über einen Link erreichbar war, hingewiesen. Zudem wurde dort darauf aufmerksam gemacht, dass Daten an Facebook übertragen werden und auf die Datenschutzerklärung von Facebook hingewiesen.

Personenbezug von IP-Adressen

Im Tatbestand führt das Gericht zunächst aus, dass es vorliegend um sog. Dynamische IP-Adressen geht. Nur dem jeweiligen Telekommunikationsunternehmen als Anbieter des Internetzugangs sei es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war.  Zudem geht das Gericht davon aus, dass beim Aufruf einer Webseite, die den Like-Button integriert hat, mindestens die IP-Adresse und der String des vom Webseitenbesucher genutzten Browsers an Facebook übermittelt werden.

Wichtig ist die Feststellung des Gerichts, dass diese Daten nicht vom Server des Webseitenbetreibers, sondern von dem Endgerät des Nutzers direkt an Facebook übermittelt werden.

In seinen Urteilsgründen geht das Gericht weiter davon aus, dass es Facebook zumindest mit Blick auf registrierte Mitglieder (seien diese ein- oder ausgeloggt, wenn sie die Webseite von Fashion ID besuchen) möglich sei, dieser IP-Adresse und anderen Informationen ein Mitglied zuzuordnen. Für Facebook handelt es sich also bei jenen Informationen, die über den Like-Button erhoben werden, um personenbezogene Daten.

Doch macht das Gericht hier nicht Halt, sondern geht, der sog. absoluten Theorie des Personenbezugs folgend, davon aus, dass damit die IP-Adresse auch für Fashion ID ein personenbezogenes Datum darstelle. Die Übermittlung der IP-Adresse stelle daher eine Übermittlung personenbezogener Daten dar.

Interessanterweise spricht das Gericht hier ausdrücklich von einer „Übermittlung“, obwohl zuvor festgestellt wurde, dass diese Übermittlung nicht, zumindest nicht technisch, durch den Webseitenbetreiber vorgenommen wird, sondern direkt zwischen dem Nutzer und Facebook erfolgt.

Webseitenbetreiber als datenschutzrechtlich verantwortliche Stelle

Danach stellt das Gericht fest, dass Fashion ID eine verantwortliche Stelle nach § 3 Abs. 7 BDSG ist. Es fragt sich jedoch: für was? Bzw. für welche konkreten Datenerhebungs-, – verarbeitungs- oder –nutzungsvorgänge?

Nach Auffassung des Gerichts ist der Begriff der „verantwortlichen Stelle“ weit auszulegen und der Webseitenbetreiber „beschafft“ personenbezogene Daten. Damit liegt eine datenschutzrechtlich relevante Erhebung (§ 3 Abs. 3 BDSG) vor. Diese Feststellung ist meines Erachtens von besonderer Relevanz für das weitere Studium des Urteils. Unter anderem auch deshalb, da später auf andere Verarbeitungsphasen abgestellt wird, was doch irritiert. Und zum anderen deshalb, weil ich eine datenschutzrechtliche Einwilligung konkret auf einen bestimmten Umgang mit personenbezogenen Daten beschränken muss. Unternehmen sollten also als Ergebnis zumindest wissen müssen, für welche Phase der Erhebung, Verarbeitung oder Nutzung sie, nach Auffassung des LG Düsseldorf, verantwortlich sind.

Schon im nächsten Satz führt das Gericht darüberhinausgehend aus, dass das Unternehmen durch die Einbindung des Plugins die „Datenerhebung und spätere Verwendung der Daten“ durch Facebook ermögliche.

Zwei Kritikpunkte: Die „Ermöglichung“ einer Datenverarbeitung ist nicht von der Definition der verantwortlichen Stelle (§ 3 Abs. 7 BDGS) umfasst. Zudem scheint nun hier doch eine Datenerhebung durch Facebook im Raum zu stehen, obwohl zuvor die Erhebung durch den Webseitenbetreiber festgestellt wurde.

In einem weiteren Satz geht das Gericht dann davon aus, dass Fashion ID durch das Einbinden des Plugins an der unmittelbar „an der Erhebung durch Facebook“ mitwirke. Geht das Gericht also nun von einer alleinigen Verantwortlichkeit für die Erhebung, einer Mitverantwortlichkeit oder aber einer Verantwortlichkeit von Facebook aus? Dies wird leider nicht deutlich.

Das LG Düsseldorf urteilt weiter, dass die „Erhebung der Daten zu deren Verwendung“ im „eigenen Tätigkeits- und Haftungsbereich“ des Unternehmens stattfinde. Auch hieraus ergibt sich meines Erachtens nicht klar, für welchen Vorgang das Unternehmen nun datenschutzrechtlich verantwortlich sein soll.

Dass Fashion ID keinen Einfluss auf die Verarbeitung der Daten hat, lässt das LG Düsseldorf nicht als Gegenargument gelten. Denn, so das Gericht, der „Vorgang“ wird durch die Einbindung des Codes in die eigene Webseite initiiert.

Rechtsgrundlage der … ja, was eigentlich?

Im nächsten Prüfungspunkt geht das Gericht auf die Frage der Zulässigkeit der „Datenübermittlung“ ein. Spätestens hier stellt sich mir die Frage, wie man nun auf die Phase der Übermittlung kommt, denn zuvor wurde noch über die „Erhebung“ diskutiert. Zudem möchte man fragen: welche Übermittlung? Vom Nutzer an Facebook?

Aus Sicht des LG Düsseldorf ist diese Datenübermittlung auf jeden Fall nicht auf § 15 TMG zu stützen. Denn die Datenübermittlung ist für den Betrieb der Webseite nicht erforderlich.

Danach prüft das Gericht eine „Datennutzung“, die nicht auf eine Einwilligung der Besucher gestützt werden könne. Hierunter scheint das LG Düsseldorf die Erhebung der Daten durch Fashion ID zu fassen.

Das Gericht erläutert nachfolgend die Anforderungen an eine Einwilligung nach § 13 Abs. 2 TMG. Nach Auffassung des Gerichts ist u.a. das Setzen eines Häckchens in einer Checkbox erforderlich, damit die Einwilligung eindeutig erteilt wird. Andere Gerichte, wie etwa das OLG Frankfurt am Main (hierzu mein Beitrag), sehen dies anders und lassen etwa für Cookies zu Werbezwecken ein opt-out als Form der Einwilligung ausreichen.

Ein Kommentar hierzu: wenn die Verbraucherzentrale NRW und das LG Düsseldorf für die Einbindung des normalen Like-Buttons tatsächlich eine Einwilligung nach § 13 Abs. 2 TMG fordern, frage ich mich, wie Webseitenbetreiber die übrigen Voraussetzungen der Norm erfüllen sollen. Gerade die Protokollierung und die jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer werden wohl überhaupt nur möglich sein, wenn der Webseitenbetreiber noch mehr personenbezogene Daten sammelt und verarbeitet. Wie könnte die Erteilung der Einwilligung sonst protokollieren oder diese zum Abruf für jeden Nutzer bereithalten? Am Ende müsste der Webseitenbetreiber also eventuell, obwohl er daran gar kein Interesse hat, erst recht personenbezogene Daten erheben und verarbeiten.

Zudem stellt sich mir aus praktischer Sicht die einfache Frage, welchen konkreten Inhalt die hier geforderte Einwilligung denn nun haben soll. Bezieht sie sich auf die Erhebung, die Verarbeitung oder Nutzung? Bezieht sie sich auf diese Verarbeitungsvorgänge durch den Webseitenbetreiber oder durch Facebook? Wie kann ein Unternehmen eine konkret formulierte und auf bestimmt Zwecke festgelegte Einwilligungserklärung formulieren, wenn es selbst nicht weiß, für welche Zwecke die Daten bei Facebook genutzt werden?

Hinweise in der Datenschutzerklärung nicht ausreichend

Wie beschrieben hielt Fashion ID eine Datenschutzerklärung mit Informationen zum Like-Button vor. So, wie dies wohl derzeit auf deutschsprachigen Webseiten der Usus sein wird.

Dies reicht dem Gericht jedoch nicht aus. Denn der Hinweise auf die (ich gehe einmal davon aus) Erhebung erfolge so nicht „zu Beginn“ des Verarbeitungsvorgangs.

Fazit

In vielerlei Hinsicht lässt einen die Begründung des Gerichts zumindest innehalten oder die Stirn runzeln. Möchten Webseitenbetreiber die durch das Gericht aufgestellten Voraussetzungen erfüllen und dabei nicht auf Lösungen wie die 2-Klick-Lösung zurückgreifen, bleibt wohl nur ein Pop-Up oder Banner, welcher eine Einwilligungserklärung (mit opt-in check box) enthält. Die Einwilligung muss dann auch protokolliert und zum Abruf bereitgehalten werden. Man darf gespannt sein, ob dieses Urteil nicht eventuell in die nächste Instanz getragen wird.

Europäische Kommission: Für PayPal gilt luxemburgisches Datenschutzrecht

Im Rahmen der Beschwerde eines deutschen Staatsbürgers hat sich die Europäische Kommission unter anderem zur Frage des anwendbaren Datenschutzrechts und der zuständigen Datenschutzaufsichtsbehörde für das Unternehmen PayPal geäußert. Die Stellungnahme der Europäischen Kommission ist über die Webseite des Petitionsausschusses des Europäischen Parlaments abrufbar (pdf).

Der Petent rügte unter anderem, dass PayPal personenbezogene Daten, auch auf Aufforderung, nicht löschen würde und dass Kundenkonten nach einer Sperrung nur nach Übermittlung personenbezogener Daten wieder freigeschaltet werden würden.

Die Kommission befasst sich in ihrer Stellungnahme zunächst mit allgemeinen Grundsätzen und Vorgaben des geltenden Datenschutzrechts. Mit Blick auf PayPal weißt die Kommission darauf hin, dass das unternehmen eventuell gesetzlich dazu verpflichtet sein kann, personenbezogene Daten für Zwecke der Verhinderung der Geldwäsche und Terrorismusfinanzierung zu verarbeiten. In einem solchen Fall sei die Datenverarbeitung auch gerechtfertigt, jedoch muss sich diese auf das erforderliche Maß zur Erfüllung der gesetzlichen Pflichten beschränken.

Zudem führt die Kommission aus, dass es in erster Linie Aufgabe der nationalen Aufsichtsbehörden sei, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Da PayPal (Europe) in Luxemburg niedergelassen ist und die von der Beschwerde umfassten Datenverarbeitungen im Rahmen der Tätigkeiten dieser Niederlassung ausgeführt werden, sei auf den ersten Blick auch luxemburgisches Datenschutzrecht anwendbar.

Wenn der Petent der Ansicht ist, dass die Datenverarbeitung nicht den Vorgaben des luxemburgischen Rechts entspreche, dann kann er sich, so die Kommission, mit einer Beschwerde an die luxemburgische Datenschutzbehörde wenden.

Alternativ könne er sich auch an die für ihn zuständige Aufsichtsbehörde in Deutschland wenden, die dann mit der Aufsichtsbehörde in Luxemburg kooperieren müsse. Denn jede nationale Aufsichtsbehörde ist, unabhängig vom anwendbaren Recht, dem Grunde nach erst einmal befugt und auch verpflichtet, Beschwerden von Bürgern entgegen zu nehmen. Sie darf, bei Anwendbarkeit eines anderen Datenschutzrechts, jedoch z.B. keine sanktionierenden Maßnahmen erlassen. Diesbezüglich verweist die Kommission auf das Urteil des EuGH in der Sache „Weltimmo“ (C-230/14).

Bundesregierung: Generelles Tracking-Verbot im Internet kaum umsetzbar

Am 25. Februar 2016 hat der Petitionsausschuss des Deutschen Bundestages seine Begründung (pdf) zu der Petition 58055 – „Internet – Generelles Verbot von Tracking im Internet“ vom 19.03.2015 beschlossen.

Mit der Petition wird ein generelles „Tracking“-Verbot gefordert, unter anderem mit der Begründung, dass „Tracking“ im Zeitalter von Big Data ein unregierbares Risiko für jeden Verbraucher darstelle und im Internet in der Regel ohne die Kenntnis der Verbraucher jeder Aufruf einer Website an Drittunternehmen übertragen werde.

Der Petitionsausschuss hat auch die Bundesregierung zur Stellungnahme zu der Petition aufgefordert, die in die Begründung des Ausschusses mit eingeflossen ist.

Dem Grunde nach scheint der Ausschuss die Bedenken des Petenten zu teilen. So stellt er fest,

dass Unternehmen im Internet mit Hilfe von Cookies und anderen Verfolgungstechniken in die Privatsphäre der Nutzer eingreifen.

Jedoch versucht der Ausschuss, auch unter Bezugnahme auf die Stellungnahme der Bundesregierung, eine vermittelnde und praxisorientierte Position einzunehmen.

Denn Cookies können etwa auch bestimmten Funktionalitäten (z. B. dem Anzeigen von Produkten im „Warenkorb“) sowie der Benutzerfreundlichkeit dienen. Weiter führt der Ausschuss aus, dass sich Verbraucher derzeit nur ansatzweise gegen „Tracking“ mit restriktiven Einstellungen des verwendeten Browsers zum Datenschutz und der Installation von einschlägigen Add-ons schützen können.

Der Petitionsausschuss stellt nachfolgend fest,

dass ein generelles Verbot von „Tracking“ auf unterschiedlichen Ebenen nach Einschätzung der Bundesregierung nur mit sehr hohem Aufwand umsetzbar wäre.

Gerade die praktische Durchsetzung eines solchen Verbotes wäre nur schwer vorstellbar, da etwa Hersteller entsprechender Browser oft nicht in Deutschland oder der EU ansässig sind.

Für den Ausschuss ist es daher umso wichtiger, dass eine umfassende und verständliche Information der Internet-Nutzer über die eingesetzten Techniken und ihre Folgen erfolgt, insbesondere welche Daten von wem erhoben und an wen diese übertragen werden.

Administrative Court of Hamburg in Facebook case – Google Spain does not apply

Yesterday the Administrative Court of Hamburg decided (pdf, German) that German data protection law does not apply to the data processing operations relevant for  giving Facebook users access to the social network only with their real names.

Many observers might wonder how the court came to this conclusion after the European Court of Justice widened the scope of the current European data protection law with its decisions in Google and Google Spain (C-131/12) and also interpreted the notion of “establishment” (Art. 4 para 1 lit. a of Directive 95/46/EC) in Weltimmo (C-230/14) quite broadly.

The court ruled that the business operations of Facebook in Dublin as well as those of Facebook Germany constitute an establishment within the meaning of Art. 4 para 1 Directive95/46/EC. Furthermore, the court held that if several national data protection laws might apply due to the fact that the controller is established in several Member States, the law of the Member State should apply in which the establishment with the closest connection to the disputed data processing operation is located. According to the court, that is Facebook Ireland in this specific case.

According to the court, the disputed data processing operation, however, is not carried out in the context of the activities of the German establishment in the sense of Art. 4 para 1 lit. a of Directive 95/46/EC.

The notion “carried out in the context of the activities” is to be interpreted broadly in accordance with the jurisprudence of the European Court of Justice in Google and Google Spain only if the controller is established outside the European Union, like in Google Spain. That broad interpretation of “carried out in the context of the activities” can however not be applied in the present case. Art. para 1 of Directive 95/46/EC is a conflict of law rule and determines the applicable data protection law between the laws of different Member States in case of an inner-EU situation (see also the Opinion of the Advocate General in Weltimmo, margin number 23).

With regard to the Google Spain decision, the court explains that in the present case, there might actually exist an “inextricable link” between the activities of the German and the Irish establishment. But according to the court, the reasoning of the European Court of Justice in that case cannot be applied since it concerns a conflict of jurisdictions within the European Union whereas in the Google Spain case the court in the first place wanted to give effect to European data protection law. The European Court of Justice based its decision on the argument that “it cannot be accepted that the processing of personal data carried out for the purposes of the operation of the search engine should escape the obligations and guarantees laid down by Directive 95/46” (see C-131/12, margin number 58). According to the administrative court, in the present case, the controller is established in a Member State of the European Union (Ireland). Therefore there exists no risk in the present case that natural persons affected by the contested data processing operation could be deprived of the protection offered by Directive 95/46/EC. The question in this case only was which national data protection law (within the scope of Directive 95/46/EC) would apply.

According to the court, in the case of such a conflict of data protection laws of Member States, the law of the country has to apply, in which the establishment with the closest connection of its activities to the disputed data processing operation is located. In this case: Ireland.

Checkliste des Europäischen Gerichtshofs: Anforderungen durch Privacy Shield erfüllt?

Ich selbst konnte noch nicht alle Materialien sichten, die am Montag zum EU-US Privacy Shield veröffentlicht wurden. Bei so umfangreichen Dokumenten, gerade mit juristischem Inhalt, finde ich es oft hilfreich und unabdingbar, wenn man eine systematische Sichtung vornimmt. Insbesondere bei der Frage, ob der nun von der Europäischen Kommission veröffentlichte Entwurf einer Angemessenheitsentscheidung (pdf) die Anforderungen des Europäischen Gerichtshofs (EuGH) gerecht wird, die im Urteil zu Safe Harbor (C?362/14) aufgestellt wurden, bietet sich meines Erachtens eine Art Checkliste an. Hier die Vorgaben des EuGH, dort die Maßnahmen der Kommission.

Auf meinem Blog zum EU-US Privacy Shield habe ich den Versuch einer ersten Analyse unternommen. Hier geht es zu dem Beitrag.