AG München: Zeitlicher Ablauf von Newsletter-Einwilligungen – 4 Jahre Inaktivität nach Vertragsende führen zur Unwirksamkeit

Das AG München entschied in einem Urteil vom 14.02.2023 (Az. 161 C 12736/22), dass der Versand von E-Mail-Werbung wegen fehlender Einwilligung unzulässig sei, da diese Einwilligung infolge Zeitablaufs unwirksam wurde.

Sachverhalt

Der Kläger war bis zum Jahr 2017 Mitglied in einem Golfclub und im Rahmen dieser Mitgliedschaft wohl auch Inhaber eines Accounts bei der Beklagten. Zu diesem Zeitpunkt lag eine ausdrückliche Einwilligung in die Zusendung von Newslettern unstreitig vor. Gleichzeitig geht das AG davon aus, dass das Abonnement wohl an eine Mitgliedschaft in dem Golfclub gekoppelt war.

Nach Ende der Mitgliedschaft im Golfclub sendete die Beklagte dem Kläger keine Newsletter mehr zu, bis der Kläger zum Ende des Jahres 2021, nach Ende der Kooperation der Beklagten mit dem Deutschen Golf Verband, doch wieder einen Newsletter erhielt. Innerhalb der vergangen vier Jahre nutzte der Kläger weder seinen Account bei der Beklagten, noch erhielt er E-Mails.

Entscheidung des Gerichts

Das AG geht davon aus, dass die ursprünglich erteilte Einwilligung „angesichts der Umstände des Einzelfalls infolge Zeitablaufs nicht mehr wirksam“ war.

Das Gericht stellt dar, dass die Frage, ob und ab wann eine ursprünglich erteilte Einwilligung nicht mehr wirksam ist, in der Rechtsprechung und Literatur umstritten und bisher nicht abschließend geklärt sei. Hierzu zitiert das AG auch verschiedenste Ansichten in Rechtsprechung und Literatur.

Das AG bezieht sich in seinen Gründen vor allem auf das BGH-Urteil vom 01.02.2018 (Az. III ZR 196/17). Dort entschied der BGH, dass § 7 UWG eine zeitliche Begrenzung einer einmal erteilten Einwilligung nicht vorsieht. Daher erlischt eine Einwilligung grundsätzlich nicht durch Zeitablauf. In dem konkreten Fall hatte sich der BGH aber mit der Konstellation zu befassen, dass die streitgegenständliche Einwilligung ohnehin nur auf maximal 2 Jahre nach Vertragsbeendigung begrenzt war. Während dieses überschaubaren Zeitraums, so der BGH, könne bei einem Verbraucher, der seine Einwilligung im Rahmen des Vertragsschlusses erteilt, von seinem fortbestehenden Interesse in Erhalt der E-Mails ausgegangen werden.

Das AG musste nun aber zu einem etwas anderen Sachverhalt entscheiden: 4 Jahre waren nach Ende der Mitgliedschaft vergangen und zudem in dieser Zeit gar keine Newsletter versendet worden. Das AG stützt sich in seiner Begründung vor allem auf die vom BGH angeführten „fortbestehenden Interessen“ des Einwilligenden.

Selbst wenn man davon ausgeht, dass eine Einwilligung grundsätzlich zeitlich unbegrenzt gilt, so ist hier nach den Umständen des Einzelfalls nicht mehr von einem Fortbestehen der Einwilligung des Klägers auszugehen.“

Relevante Faktoren sind für das AG der lange Zeitraum von 4 Jahren, ohne Erhalt von Newslettern und fehlende Nutzung des Mitgliedskontos.

Aus diesen Gründen „durfte die Beklagte nicht davon ausgehen, die Einwilligung des Klägers bestehe fort. Sie hätte sich vielmehr zunächst erkundigen müssen, ob dies noch der Fall war“.

Fazit

2 Jahre nach Vertragsende ok, 4 Jahre zu lang? Das könnte man nun evtl. als Leitlinie mitnehmen, wenn es um die Frage der zeitlichen Wirksamkeit von Einwilligungen geht. Jedoch sollte man beachten, dass die Entscheidungen des BGH und hier des AG auf Sachverhaltsebene nicht deckungsgleich und daher auch nicht einfach aufeinander übertragbar sind. Insbesondere ist im Fall des AG nicht klar, wie die Einwilligung konkret ausgestaltet war (ob also, wie beim BGH, in dem Einwilligungstext selbst auf den Zeitraum der Verwendung für den Newsletter hingewiesen wurde).

Finnische Datenschutzbehörde: Anweisung zur Löschung von Daten wegen unzulässiger Einbindung von Google Analytics

Über Bußgelder wegen Verstößen gegen die DSGVO wird ja immer wieder berichtet. Mögliche Geldbußen nach Art. 83 DSGVO sind auch der „Klassiker“ bei der Antwort auf die Frage, was bei Verstößen drohen könnte.

Meiner Ansicht nach dürfte eine weitere Befugnis der Datenschutzbehörden in der Praxis für Unternehmen, insbesondere solche, die auf die Analyse und Auswertung von Daten angewiesen sind, jedoch im Ergebnis oft viel größere Konsequenzen haben. Die Rede ist von den Befugnissen nach Art. 58 Abs. 2 lit. f und g DSGVO. Danach haben Aufsichtsbehörden die Befugnis, „eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen“ (lit. f; also die Verarbeitung zu untersagen) und die Löschung von personenbezogenen Daten anzuordnen (lit. g; also gespeicherte personenbezogene Daten, etwa von Websitebesuchern oder Kunden zu löschen).

In der Praxis klingt eine Untersagung oder Löschanordnung natürlich nicht so dramatisch wie eine in Euro bezifferte Geldbuße. Doch macht man sich einmal die potentiellen Konsequenzen einer Löschungsanordnung klar (nämlich, dass z. B. über mehrere Monate oder Jahre hinweg gesammelte Daten zu löschen sind und nicht mehr genutzt werden dürfen), habe ich es in der Praxis schon erlebt, dass gefragt wurde: „Wie war das nochmal mit dem Bußgeld?“

Dass dieses Risiko durchaus real ist, zeigt eine neuere Entscheidung der Datenschutzbehörde aus Finnland (Pressemitteilung auf Englisch).

In dem Fall wurden auf den Webseite von Bibliotheken Tracking-Technologien verwendet, die möglicherweise Daten über die von den Nutzern gesuchten Bücher an Dritte weitergegeben haben. Lau Ansicht der Behörde wurden personenbezogene Daten auch unrechtmäßig in die USA übermittelt. Die Bibliotheken verwendeten die Tools Google Analytics und den Dienst Google Tag Manager. Die Datenschutzbehörde verweist auf das Urteil „Schrems II“ (C-311/18) und, dass die für die Verarbeitung Verantwortlichen die Übermittlung personenbezogener Daten an Drittländer einstellen müssen, wenn sie keine ausreichenden zusätzlichen Garantien für den Schutz personenbezogener Daten umsetzen können.

Nach Auffassung der Datenschutzbehörde wurden die auf der Webseite der Bibliotheken erhobenen personenbezogenen Daten ohne ausreichende zusätzliche Garantien in die USA übermittelt. Zudem wurden die betroffenen Personen nicht in angemessener Weise über die Übermittlung personenbezogener Daten informiert.

Die Bibliotheken haben darauf hin erklärt, dass sie unverzüglich Maßnahmen ergreifen werden, um die Tracking-Technologien von der Webseite zu entfernen.

Die Datenschutzbehörde machte in diesem Fall von ihrer Befugnis Gebrauch, die Löschung von personenbezogenen Daten anzuordnen. Laut der Pressemitteilung wies die Aufsichtsbehörde die Bibliotheken an,

die mit den Tracking-Technologien erhobenen personenbezogenen Daten zu löschen, wenn die personenbezogenen Daten der betroffenen Person nach der Erhebung unrechtmäßig gespeichert oder verwendet wurden“.

Dänische Datenschutzbehörde: Auskunftsrecht bei Videospielen – Chats, Serverlogs und Anti-Cheat-Informationen

In ihrer Entscheidung vom 29. August 2022 (die im Rahmen des One Stop Shop Verfahrens gefasst wurde) befasst sich die dänische Datenschutzbehörde (Datatilsynet) mit dem Auskunftsrecht nach Art. 15 DSGVO im Zusammenhang mit Videospielen. Nach Prüfung des Falles beschloss die Datenschutzbehörde, das Unternehmen zu verwarnen, weil es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chatnachrichten im Spiel gemäß Art. 15 Abs. 3 DSGVO bereitgestellt hatte.

Sachverhalt

Nachdem der Beschwerdeführer (Nutzer eines Videospiels des Unternehmens) Auskunft nach Art. 15 DSGVO beantragt hatte, verweigerte ihm das Unternehmen die Herausgabe von Daten über Spielwiederholungen (1), Anti-Cheat-Informationen (2), Serverprotokolle (3) und In-Game-Chat-Nachrichten (4), da diese Daten Geschäftsgeheimnisse des Unternehmens darstellen. Es ging hier also um vier verschiedene Arten von Daten, die der Betroffene verlangte, aber nicht erhielt.

Nachdem er sich erneut an das Unternehmen gewandt hatte, ohne zusätzliche Informationen zu erhalten, beschwerte sich die betroffene Person bei der Aufsichtsbehörde.

Die Entscheidung der Behörde

Die Datenschutzbehörde stellte fest, dass das Unternehmen gegen Art. 15 Abs. 3 DSGVO verstoßen hat, indem es keine Kopie der an den Beschwerdeführer gerichteten und von ihm gesendeten Chat-Nachrichten (4) im Spiel zur Verfügung gestellt hat.

Nach Auffassung der Behörde konnte sich das Unternehmen hinsichtlich dieser Daten auf keine Ausnahme nach Art. 15 Abs. 4 DSGV stützen. Zudem betont die Behörde, dass der Beschwerdeführer bereits Kenntnis vom Inhalt der Nachrichten hat.

Bei den anderen oben benannten Datenkategorien geht die Aufsichtsbehörde aber zum Teil durchaus von dem Eingreifen der Ausnahmeregelung aus.

Der Verantwortliche musste keine anderen Chatnachrichten (4) zur Verfügung stellen, da das Unternehmen durch die Bereitstellung dieser Nachrichten wahrscheinlich Informationen über andere Personen preisgeben würde (z. B. wenn sie von anderen Chatteilnehmern erwähnt werden). Die Behörde sah von Art. 15 Abs. 3 DSGVO also nur solche Chats / Nachrichten umfasst, die vom Betroffenen selbst kamen oder an ihn gerichtet waren.

Ein Erwägungsgrund hierbei ist, dass die Spielteilnehmer ein gewisses Maß an Privatsphäre in Bezug auf die im Eifer des Gefechts verschickten Nachrichten innerhalb des Spiels erwarten. 

In Bezug auf andere Informationen über Anti-Cheat-Maßnahmen (2) vertrat die Datenschutzbehörde die Auffassung, dass das Unternehmen nach speziellen Vorgaben im dänischen Datenschutzgesetz das Recht hat, diese Informationen nicht weiterzugeben. Dort ist geregelt, dass u.a. Art. 15 DSGVO nicht greift, wenn das Interesse der betroffenen Person an dieser Information von wesentlichen Erwägungen anderer privater Interessen überwogen werden. Die Behörde argumentiert, dass eine Offenlegung aufzeigen kann, wie Spieler im Spiel betrügen können, und die zugrunde liegende Logik offenbart, was möglicherweise nicht nur Auswirkungen auf das Unternehmen, sondern auch auf andere Spieler haben könnte.

Was die Spielwiederholungsdaten (1) und die Serverprotokolle (3) betrifft, so hat das Unternehmen erklärt, dass die Informationen nur für einen begrenzten Zeitraum gespeichert werden und bereits gelöscht wurden, bevor das Unternehmen den Antrag auf Auskunft erhalten hat. Die Datenschutzbehörde sah keinen Grund, diese Tatsache weiter zu untersuchen oder zu bestreiten.