German Government adopts draft law for automated driving

On 25 January 2017, the Federal Cabinet adopted a draft law amending the Federal Road Transport Law (StVG) to create regulations for highly or fully automated driving systems in motor vehicles. The draft law can be found here (German, PDF).

The purpose of the draft law is, inter alia, to enable vehicles with advanced automated systems to be used on public roads.

The law defines the concept of a motor vehicle with a highly or fully automated driving function and, among other things, defines the duties of the driver when using such systems.

According to the draft law, highly or fully automated driving functions are to be characterized by the fact that they are designed to cope with the driving task (including longitudinal and lateral guidance), after activation by the vehicle driver, and can take over the driving task. But the system can be oversteered or deactivated at any time by the vehicle driver. In contrast to the autonomous / driverless driving, one cannot do without a vehicle driver.

At the same time, the maximum liability limit of the vehicle owner shall also be increased in the case of accidents caused by such vehicles due to a system failure. The existing maximum amounts are to be increased by 100 per cent.

A section VIa “Data processing in the vehicle” is to be inserted into the StVG. It is a legal duty to install a “blackbox” into vehicles already at the manufacturer’s side, which must record certain data for the use of highly automated or fully automated driving functions. The reason for this blackbox is to be able to be show, whether the driver or the system were in charge of the driving task. In the event of a claim, these data must be forwarded to third parties (e.g. other persons involved in the accident) if certain conditions are met.

The data to be recorded by the integrated memory must be recorded separately from other data. Detailed regulations on the data storage, including the technical form, are to be made in legal regulations in the future. The necessary configuration of the storage function shall be regulated in corresponding (international) technical provisions. An amendment to UN/ECE Regulation No. 79 (Regulation No 79 of the Economic Commission for Europe of the United Nations (UN/ECE) – Uniform provisions concerning the approval of vehicles with regard to steering equipment) is currently under way.

In its draft law, the Federal Government is assuming that the required blackbox in vehicles with automated systems will entail higher production costs.

The draft law is characterized as particularly urgent by the Federal Government. The intention is certainly to pass the final law in the coming months, before the federal elections in Germany in September 2017.

Bundesrat: Datenschutz als Eignungskriterium für Carsharinganbieter

Heute hat sich der Bundesrat mit dem Gesetzentwurf der Bundesregierung für ein Gesetz zur Bevorrechtigung des Carsharing (Carsharinggesetz – CsgG, PDF) befasst und über die Empfehlungen der beteiligten Bundesratsausschüsse abgestimmt. Die Empfehlung zum dem Gesetzentwurf findet sich hier (PDF).

Mehrheitlich angenommen wurde im Bundesrat unter anderem der Vorschlag des Ausschusses für Umwelt, Naturschutz und Reaktorsicherheit, nach dem die Bundesregierung prüfen soll, ob der von Anbietern von Carsharingdiensten zu erfüllenden Anforderungskatalog um Kriterium ergänzt werden sollte,

 wonach Carsharinganbieter die Nutzung ihrer Dienstleistungen und Fahrzeuge nicht davon abhängig machen dürfen, dass die Kunden in die Erhebung, Verarbeitung, Verwertung oder Übermittlung von personenbezogenen Daten einwilligen, die für die Durchführung des jeweiligen Mietvertrags bzw. der Rahmenvereinbarung nicht zwingend erforderlich sind (Koppelungsverbot).

Zur Begründung wird ausgeführt, dass das Auswahlverfahren auch dazu genutzt werden sollte, im Rahmen des Mindestleistungsumfangs ein hohes Datenschutzniveau für die Kunden zu gewährleisten und nur solche Anbieter zu begünstigen, die den Kunden die freie Wahl lassen, ob ihre Daten über das für die Vertragsdurchführung Erforderliche hinaus genutzt werden.

Verwiesen wird in diesem Zusammenhang auf das in der Datenschutz-Grundverordnung (DSGVO) angelegte sog. Kopplungsverbot in Art. 7 Abs. 4. Wenn Carsharinganbieter personenbezogene Daten verarbeiten, sind sie ab dem 25. Mai 2018 (ab dann ist die DSGVO anwendbar) zwar ohnehin an die DSGVO gebunden. Würde eine datenschutzrechtliche Einwilligung entgegen den Vorgaben des Art. 7 Abs. 4 DSGVO an die Erfüllung eines Vertrags gekoppelt, wäre die Einwilligung daher nicht freiwillig erteilt, unwirksam und eventuell auch die entsprechende Datenverarbeitung unzulässig. Der Bundesrat möchte jedoch zusätzlich, als Auswahlkriterium für Carsharinganbieter, das Erfordernis aufstellen, dass personenbezogene Daten, die nicht für die Erbringung des Dienstes erforderlich sind, nur dann von dem Anbieter genutzt werden dürfen, wenn die Kunden die freie Wahl haben, ob sie dieser Nutzung von Daten zustimmen. Eine Kopplung der Einwilligung in die Datenverarbeitung mit dem Nutzungsvertrag soll dadurch unterbunden werden.

In der Praxis soll die Prüfung der Erfüllung dieser Voraussetzung durch die „zuständige Behörde“ erfolgen, so die Ausschussempfehlung. Es ist jedoch nicht klar, welche Behörde hier gemeint ist bzw. spricht viel dafür, dass dies nicht die zuständige Datenschutzbehörde, sondern die für die Erteilung der Sondernutzungserlaubnis zuständige Landesbehörde ist, die dann, so die Empfehlung, die dann die entsprechenden Allgemeinen Geschäftsbedingungen bzw. Datenschutzbestimmungen prüfen soll. Ob diese Regelung der Prüfung wirklich glück ist, erscheint zumindest fraglich. Denn bereits unter Datenschutzrechtlern (Berater oder auch Behörden) ist die Auslegung und Interpretation der Vorgaben der DSGVO und auch von Art. 7 Abs. 4 teilweise stark umstritten und die Feststellung einer unzulässigen Kopplung dürfte einer anderen, sachfremden Behörde nicht unbedingt leicht fallen. Zudem stellt sich etwa die Folgefrage, was geschieht, wenn die für die Erteilung der Sondernutzungserlaubnis zuständige Behörde eine Kopplung verneint, im Rahmen einer späteren Prüfung aber z.B. eine Landesdatenschutzbehörde eine Kopplung bejaht.

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.

EU-Minister sollen über Gewährleistungsrechte beim Kauf vernetzter Geräte entscheiden

Am 9. Dezember 2015 hat die europäische Kommission Entwürfe für zwei verschiedene Richtlinien zum einen über bestimmte vertragliche Aspekte des online waren Handels (COM(2015) 635) und zum anderen über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte (COM(2015) 634)  veröffentlicht. Insbesondere der 2. Richtlinienvorschlag zur Bereitstellung digitaler Inhalte bietet interessante Neuerungen zur aktuellen Rechtslage. Dort sind unter anderem Regelungen zu Situationen vorgesehen, in denen der Zugang bzw. die Bereitstellung personenbezogener Daten oder auch „anderer Daten“ als Gegenleistung für die Bereitstellung digitaler Inhalte anerkannt werden soll (vgl. Art. 3 Abs. 1).

Die beiden Richtlinie Entwürfe werden nun in den verschiedenen europäischen Institutionen beraten. Unter anderem auch im Rat der Europäischen Union.

In einem relativ aktuellen Dokument der Ratspräsidentschaft an den Rat vom 1. Dezember 2016 (14827/16, pdf) wird der aktuelle Diskussionsstand im Rat übersichtlich zusammengefasst und es werden auch Fragen an die einzelnen Mitgliedstaaten zu besonderen Schwerpunkten und noch offenen bzw. streitigen Themen gestellt. Zwei dieser offenen Punkte möchte ich nachfolgend kurz besprechen.

Welche Gewährleistungsregeln sollen bei vernetzten Geräten gelten?

In ihrem ersten Fragekomplex beleuchtet die Ratspräsidentschaft intelligente Haushaltsgeräte (Stichworte sind hier „Internet der Dinge“, „smart cars“ oder auch „smart homes“). Diese intelligenten und vernetzten Geräte bieten bereits derzeit und mit Sicherheit auch in Zukunft bis zu einem gewissen Grad digitale Inhalte an. Als Beispiel wird etwa der intelligente Kühlschrank angeführt, der seinen Inhalt selbst überprüft und eine Einkaufsliste für fehlende Gegenstände erstellt.

Zwischen den Mitgliedstaaten im Rat ist umstritten, welche Gewährleistungsvorschriften aus den beiden zuvor benannten Richtlinienvorschlägen gelten sollen, wenn es bei so einem intelligenten Gerät, man denke hier etwa auch an vernetzte Fahrzeuge, zu einem Fehler kommt bzw. ein Mangel auftritt. Sollen in diesem Fall die Regelungen für die Bereitstellung digitaler Inhalte gelten oder doch die Regelungen für den Verkauf normaler (also physischer) Waren?

Der Richtlinienvorschlag der Kommission zur Bereitstellung digitaler Inhalte sieht vor, dass die Regelungen der Richtlinie nicht für digitale Inhalte gelten sollen, „die derart in einer Ware integriert sind, dass sie fester Bestandteil der Ware sind und ihre Funktionen den Hauptfunktionen der Ware untergeordnet sind“ (Erwägungsgrund 11). Nach Auffassung der Ratspräsidentschaft würde dies bedeuten, dass wohl zumeist die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter gelten würden (Richtlinie 1999/44/EG).

Innerhalb der Arbeitsgruppe des Rates für Zivilrecht wurden vor diesem Hintergrund drei mögliche Optionen für ein zukünftiges Vorgehen und gesetzliche Regelungen beraten:

  • Die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs auf die in den Produkten integrierten, digitalen Inhalte anzuwenden.
  • Eine Trennung in der Form vorzunehmen, dass die Regeln zum Verbrauchsgüterkauf auf die physische Ware selbst und die neuen Regeln der vorgeschlagenen Richtlinie auf die in dem Gerät enthaltenen digitalen Inhalte anwendbar sein.
  • Die neuen Vorgaben zu digitalen Inhalten insgesamt auf das vernetzte Gerät anzuwenden, jedoch mit der Ausnahme, dass der Verkäufer die Möglichkeit hat darzulegen, dass der Mangel sich allein aus dem (physischen) Produkt selbst ergibt und dann die Regeln zum Verbrauchsgüterkauf anwendbar wären.

Nach Aussage der Ratspräsidentschaft fand die zweite Option (Trennung) wohl kaum Zuspruch. Für die beiden anderen Optionen gab es jeweils für sprechende Stimmen der Mitgliedstaaten, ohne dass jedoch bisher eine eindeutige Mehrheit erkennbar wäre.

Vor diesem Hintergrund bittet der Rat auf politischer Ebene (also durch die Minister der Mitgliedstaaten) zu entscheiden, welche Option für weitere Diskussionen in der Arbeitsgruppe die Grundlage sein soll.

Die Entscheidung der Minister und damit die zukünftigen Diskussionen sind für die Wirtschaft in Europa nicht trivial. Gerade wenn man bedenkt, wie viele vernetzte Geräte ist derzeit bereits gibt und wohl in Zukunft auch auf dem Markt vorhanden sein werden. Man sollte sich dabei auf vor Augen halten, dass es hier eben nicht nur um kleine Geräte im eigenen zu Hause geht, sondern grundsätzlich auch etwa um vernetzte Fahrzeuge.

Nach Auffassung der Ratspräsidentschaft würde die erste Option, also auf vernetzte Geräte grundsätzlich die Regelung des Verbrauchsgüterkaufs anzuwenden, aus Sicht der Verbraucher leichter vorhersehbare Rechte bereithalten. Jedoch würden natürlich gleichzeitig auch die spezifischen Vorgaben für digitale Inhalte unter der vorgeschlagenen Richtlinie der europäischen Kommission dann nicht anwendbar sein.

Die dritte vorgeschlagene Option bietet aus Sicht der Ratspräsidentschaft eine flexiblere Möglichkeit diejenigen Regelungen zur Anwendung zu bringen, die in der ehemaligen Situation am besten geeignet sind. Dem Verkäufer verbliebene immer noch die Möglichkeit darzulegen, dass in einem konkreten Fall die normalen Regeln zum Verbrauchsgüterkauf gelten würden, wenn etwa ein Mangel allein das physische Gerät an sich betrifft.

Was genau sind „andere Daten“ und sollen diese als Gegenleistung anerkannt werden?

Im zweiten Themenkomplex des Arbeitsdokumentes befasst sich die Ratspräsidentschaft mit dem Begriff der „anderen Daten“ aus dem Richtlinienvorschlag zur Bereitstellung digitaler Inhalte. Einleitend wird darauf hingewiesen, dass bereits in der Vergangenheit im Rat Diskussion zum Verhältnis zwischen der vorgeschlagenen Richtlinie und der ab Mai 2018 anwendbaren Datenschutz-Grundverordnung (DSGVO) geführt wurden. Das Zusammenspiel der beiden Rechtsinstrumente sei nach Auffassung der Ratspräsidentschaft sehr komplex und habe weitere Probleme zutage gefördert, die noch näher behandelt werden müssten. Dies auch vor dem Hintergrund, da der vorgeschlagene Richtlinienentwurf neben den „anderen Daten“ auch personenbezogene Daten erwähnt und ist daher ein Unterschied zwischen beiden Datenarten zu geben scheint.

Zwar existiert bereits derzeit für gewisse Fragen ein Prüfauftrag an den juristischen Dienstes des Rates. So hat die deutsche Delegation im Rat den juristischen Dienst um eine Stellungnahme dazu gebeten, auf welcher Rechtsgrundlage der DSGVO personenbezogene Daten verarbeitet werden dürfen, wenn diese eine Gegenleistung für die Bereitstellung digitaler Inhalte darstellen, in der DSGVO jedoch in Art. 7 Abs. 4 ein Kopplungsverbot für die Einwilligung vorgesehen ist.

Auch hinsichtlich dieses Themenkomplexes, und ohne Antworten etwa des juristischen Dienstes vorgreifen zu wollen, bittet jedoch die Ratspräsidentschaft die Minister der Mitgliedstaaten um eine Vorgabe dazu, ob die Bereitstellung von „anderen Daten“ tatsächlich als eine Gegenleistung im Rahmen des Entwurfs der Richtlinie angesehen werden soll.

Die Ratspräsidentschaft erwähnt in ihrem Dokument noch einige Beispiele der „anderen Daten“, die von der Europäischen Kommission angeführt werden. So sollen zu den „anderen Daten“ zum Beispiel solche Daten gezählt werden die durch den jeweiligen Anbieter in irgend einer Form verwertet werden können, wie zum Beispiel Landschaftsbilder, Liedtexte oder auch anonymisierte Daten über Gruppen von Personen, die sich nicht auf identifizierbare einzelne Personen beziehen.

Jedoch weist die Ratspräsidentschaft darauf hin, dass sich in Diskussionen, unter anderem auch mit Experten ergeben hat, dass in den meisten Fällen solche Daten, die von dem Verbraucher zur Verfügung gestellt werden, diese auch ein Personenbezug aufweisen werden. Stellt sich da die Frage, ob es im Anwendungsbereich der vorgeschlagenen Richtlinie faktisch überhaupt „andere Daten“ geben kann.

In jedem Fall bringe die vorgeschlagene Unterscheidung im Richtlinienentwurf zwischen personenbezogenen Daten und anderen Daten Schwierigkeiten in der Praxis und damit Rechtsunsicherheit mit sich. Einige Delegationen im Rat seien daher der Auffassung, dass es einer Unterscheidung der beiden Datenkategorien nicht bedürfe. Insgesamt seien die Mitgliedstaaten im Rat aber unentschieden darüber, ob man die Kategorie der „anderen Daten“ im Richtlinienvorschlag beibehalten solle.

Auch dieser zweite Themenkomplex ist für europäische Unternehmen, die vernetzte bzw. intelligente Geräte herstellen und/oder vertreiben, von Relevanz. Denn betrachtet man etwa das Beispiel des intelligenten Autos, gibt es diesbezüglich ja durchaus auch Diskussionen über eine Unterscheidung zwischen direkt personenbezogenen Daten und solchen (rein statistischen) Daten, die keinen Personenbezug aufweisen. Hier könnte man sich also die Frage stellen, ob es sich bei letzteren Informationen um „andere Daten“ handelt und welche Regeln zukünftig für diese Daten gelten sollen.

Hessischer Datenschutzbeauftragter zu Pokémon Go: Nutzer ist darüber informiert, was mit seinen Daten geschieht

Im Rahmen der Antwort auf eine kleine Anfrage (Drs. 19/3658, pdf) im Hessischen Landtag zu dem Dienst Pokémon Go und mit dessen Einsatz einhergehenden datenschutzrechtlichen Fragen, hat auch der Hessische Landesdatenschutzbeauftragte eine Stellungnahme abgegeben.

Der Landesdatenschutzbeauftragte vertritt eine andere Auffassung als der Verbraucherzentrale Bundesverband e.V., der den Entwickler der Pokémon Go-App, das Unternehmen Niantic Inc., unter anderem wegen angeblicher Verstöße der Datenschutzbestimmungen des Dienstes gegen deutsches Datenschutzrecht, um Juli 2016 abgemahnt hatte.

Der Hessische Datenschutzbeauftragte geht davon aus, dass die datenschutzrechtlich verantwortliche Stelle für die Datenverarbeitung im Rahmen der Smartphone-App “Pokemon GO” die Niantic Inc. mit Sitz in den USA ist. Ein Transfer von einer deutschen bzw. europäischen datenschutzrechtlich verantwortlichen Stelle in einen Drittstaat (USA) finde hingegen nicht statt. Vielmehr werden die Daten mit Einwilligung des Nutzers direkt durch ein US-Amerikanisches Unternehmen erhoben und verarbeitet

Da Niantic Inc., soweit ersichtlich, weder in Deutschland noch in der EU eine Niederlassung habe, unterliege das Unternehmen auch nicht der Kontrolle des Hessischen Datenschutzbeauftragten.

Der Landesbeauftragte führt weiter aus, dass die Datenschutzbestimmungen der “Pokemon GO”-App relativ umfangreich sind und in verhältnismäßig transparenter Form die Datenverarbeitung  bei  der  Nutzung der App erläutern.

Der Nutzer ist darüber informiert, was mit seinen Daten geschieht.

Zudem führt der Landesdatenschutzbeauftragte aus, dass Spieler die Wahl haben, ob sie die Kamera einschalten wollen oder nicht. Für das Abspeichern eines Pokemonfotos im Speicher des Smartphones und das Teilen mit anderen bestehe kein höheres Risiko als bei sonst erstellten und übermittelten Fotos.

Anwendbares Datenschutzrecht: Europäischer Gerichtshof schafft ein wenig mehr Klarheit

Heute hat der Europäische Gerichtshof in der Rechtssache C?191/15 sein Urteil gefällt. In dem aus Österreich stammenden Ausgangsverfahren ist der Verein für Konsumenteninformation (ein Verbraucherschutzverein) gegen die Amazon EU Sàrl und deren verwendete AGB vorgegangen. Amazon EU ist eine in Luxemburg ansässige Gesellschaft, die sich über eine Website der Top-Level-Domain „.de“ an Verbraucher mit Wohnsitz in Österreich wendet. Der Verein für Konsumenteninformation griff mehrere der Klauseln in den AGB von Amazon EU an. Unter anderem fand sich dort eine Rechtswahlklauseln („Es gilt luxemburgisches Recht unter Ausschluss des UN-Kaufrechts“).

Missbräuchliche Klauseln
Im ersten Teil seiner Entscheidung befasst sich der EuGH mit der Frage des anwendbaren Rechts zum einen auf die Klage der Verbraucherschützer selbst und zum anderen hinsichtlich der Zulässigkeit der in den AGB verwendeten Klauseln. Diese Unterscheidung ist besonders wichtig. Der EuGH stellt in seinem Urteil ausdrücklich klar, dass bei der Prüfung der Missbräuchlichkeit von Klauseln in Verbraucherverträgen, die Gegenstand einer Unterlassungsklage sind, anzuwendende Recht eigenständig anhand der Art dieser Klauseln zu bestimmen ist (Rz. 49).

Bei der Bestimmung des anwendbaren Rechts ist daher, so das Gericht, zwischen der Beurteilung der betreffenden Klauseln einerseits und der von einer Vereinigung wie dem Verein für Konsumenteninformation erhobenen Klage auf Unterlassung der Verwendung dieser Klauseln andererseits zu unterscheiden. Es ist möglich, dass jeweils das gleiche nationale Recht zur Anwendung gelangt. Es ist jedoch ebenso möglich, dass etwa eine Klage nach österreichischem Recht zu beurteilen ist wohingegen die Zulässigkeit von in den AGB verwendeten Klauseln etwa nach deutschem oder spanischem Recht zu prüfen ist.

Zu der Frage, ob die durch Amazon EU verwendeten Klauseln tatsächlich missbräuchlich sind, äußert sich der EuGH nicht. Er gibt den nationalen Gerichten, deren Sache es ist, diese Frage inhaltlich zu prüfen, jedoch einige Leitlinien für deren Prüfung an die Hand. Insbesondere sei es Sache des nationalen Gerichts, zu ermitteln, ob eine Klausel in Anbetracht der jeweiligen Umstände des Einzelfalls den Anforderungen an Treu und Glauben, Ausgewogenheit und Transparenz genügt (Rz. 65).

Die oben erwähnte Rechtswahlklausel sieht der EuGH nicht per se als missbräuchlich an. Denn das Unionsrecht lasse solche Rechtswahlklauseln grundsätzlich zu. Eine vorformulierte Rechtswahlklausel sei jedoch dann missbräuchlich, wenn sie bestimmte, mit ihrem Wortlaut oder ihrem Kontext zusammenhängende Besonderheiten aufweist, die ein erhebliches und ungerechtfertigtes Missverhältnis der Rechte und Pflichten der Vertragspartner verursachen (Rz. 67). Insbesondere ist es, wenn die Wirkungen einer Klausel durch bindende Rechtsvorschriften bestimmt werden, entscheidend, dass Unternehmen den Verbraucher über diese Vorschriften unterrichten.

Datenschutzrecht
Bei der Frage des anwendbaren Datenschutzrechts, welches dann auch den Prüfungsmaßstab für in den AGB vorhandene Klauseln zum Umgang mit personenbezogenen Daten darstellen würde, geht der EuGH auf die Rechtswahlmöglichkeit richtigerweise überhaupt nicht ein. Diese ist im Datenschutzrecht nämlich nicht möglich. Das anwendbare Datenschutzrecht bestimmt sich vielmehr nach den gesetzlichen Vorgaben, auf europäischer Ebene also Art. 4 Abs. 1 der Datenschutzrichtlinie (hier konkret Art. 4 Abs. 1 lit. a)).

Die Ausführungen und die Prüfung des EuGH in diesem Zusammenhang machen deutlich, dass vergangene Urteile, in denen etwa der Verbraucherzentrale Bundesverband gegen Facebook geklagt hatte und das Landgericht Berlin (Urteil vom 6. März 2012, Az. 16 O 551/10) und auch das Kammergericht (Urteil vom 24. Januar 2014, Az. 5 U 42/12) zur Anwendbarkeit deutsches Datenschutzrechts über eine Rechtswahl der Parteien kamen, kritisch zu hinterfragen sind. Obwohl ja etwa Amazon EU eine Rechtswahlklausel in den AGB vorsah, beurteilt der EuGH das anwendbare Datenschutzrecht konsequent nach den gesetzlichen Vorschriften.

Gegenstand seiner Prüfung ist die Vorschrift des Art. 4 Abs. 1 lit. a) Datenschutzrichtlinie. Danach wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Hinsichtlich des Merkmals „Niederlassung“ geht der EuGH davon aus, dass eine solche nicht bloß deswegen in einem Mitgliedstaat bestehe, weil von dort aus auf die Website des fraglichen Unternehmens zugegriffen werden kann. Der EuGH verweist insoweit auf sein Urteil vom 1. Oktober 2015, Weltimmo, C?230/14.

Viel entscheidender sind jedoch die Ausführungen des EuGH zu dem Merkmal „im Rahmen der Tätigkeiten“. Dies spielt etwa auch in dem derzeitigen Verfahren der Hamburger Datenschutzbehörde gegen Facebook zu Klarnamenpflicht eine entscheidende Rolle. Es geht hierbei insbesondere um die Frage, ob dieses Merkmal im Sinne des Urteils des EuGH in Google Spain (C-131/12) sehr weit auszulegen ist oder aber doch bei Sachverhalten (wie auch hier vorliegend), die sich allein innerhalb der EU abspielen, ein anderer Maßstab anzulegen und die Begründung des EuGH aus seinem Google Spain Urteil nicht einfach übertragbar ist. Für eine solche Übertragung der Auslegung des Begriffs hatten sich etwa auch die europäischen Datenschutzbeauftragten in einer Stellungnahme (pdf; hierzu mein Beitrag) ausgesprochen.

Der EuGH verweist für seine Auslegung des Begriffs „im Rahmen der Tätigkeiten“ allein auf sein Urteil in der Sache Welt Immo. Ein Verweis auf Google Spain erfolgt gerade nicht. Der EuGH lehnt es vorliegend also ab, auf die Weite Auslegung des Begriffs zu verweisen. Eine Übertragung der Begründung aus Google Spain erscheint daher meines Erachtens nach diesem Urteil des EuGH nicht mehr möglich. Der EuGH führt aus, dass es grundsätzlich Sache des nationalen Gerichts sei, im Lichte dieser Rechtsprechung (wobei er sich auch hier auf den Verweis allein auf seine Weltimmo Entscheidung bezieht) zu bestimmen, ob Amazon EU die fragliche Verarbeitung personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung vornimmt, die sich in Luxemburg oder in einem anderen Mitgliedstaat befindet. Das Gericht verweist diesbezüglich auch auf die Möglichkeit, dass deutsches Datenschutzrecht auf die Prüfung der Klauseln in den AGB Anwendung finden könnte, wenn sich die Niederlassung nämlich in Deutschland befindet.

Verbandsklagerecht bei Datenschutzverstößen – Verfassungsrechtliche Bedenken

In der aktuellen Ausgabe der Zeitschrift WRP haben der Kollege Dr. Jaschinski und ich einen Fachbeitrag zu dem „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ veröffentlicht. Der Beitrag ist auf der Webseite der WRP im Volltext abrufbar (auch als PDF).

In dem Beitrag geben wir einen Überblick zu den Neuerungen des Gesetzes, natürlich mit einem besonderen Schwerpunkt auf der Verbandsklagebefugnis bei Datenschutzrechtsverletzungen (§ 2 Abs. 2 S. 1 Nr. 11 UKlaG). Verfassungsrechtliche Bedenken haben wir vor allem bei der Beteiligung der Datenschutzaufsichtsbehörden in zivilrechtlichen Verfahren vor den Landgerichten. Viel Freude beim Lesen.

Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

Heute hat das Landgericht Düsseldorf in einem Verfahren zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID ein Urteil (pdf) zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt (Az 12 O 151/15). Im Ergebnis wurde die Klage der Verbraucherschützer in weiten Teilen für begründet erachtet. Nachfolgend möchte ich kurz auf einige Aspekte des Urteils, teilweise auch kritisch, eingehen.

Das Unternehmen hatte auf seiner Webseite das bekannte Social Plugin eingebunden und hierauf in seiner Datenschutzerklärung, die über einen Link erreichbar war, hingewiesen. Zudem wurde dort darauf aufmerksam gemacht, dass Daten an Facebook übertragen werden und auf die Datenschutzerklärung von Facebook hingewiesen.

Personenbezug von IP-Adressen

Im Tatbestand führt das Gericht zunächst aus, dass es vorliegend um sog. Dynamische IP-Adressen geht. Nur dem jeweiligen Telekommunikationsunternehmen als Anbieter des Internetzugangs sei es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war.  Zudem geht das Gericht davon aus, dass beim Aufruf einer Webseite, die den Like-Button integriert hat, mindestens die IP-Adresse und der String des vom Webseitenbesucher genutzten Browsers an Facebook übermittelt werden.

Wichtig ist die Feststellung des Gerichts, dass diese Daten nicht vom Server des Webseitenbetreibers, sondern von dem Endgerät des Nutzers direkt an Facebook übermittelt werden.

In seinen Urteilsgründen geht das Gericht weiter davon aus, dass es Facebook zumindest mit Blick auf registrierte Mitglieder (seien diese ein- oder ausgeloggt, wenn sie die Webseite von Fashion ID besuchen) möglich sei, dieser IP-Adresse und anderen Informationen ein Mitglied zuzuordnen. Für Facebook handelt es sich also bei jenen Informationen, die über den Like-Button erhoben werden, um personenbezogene Daten.

Doch macht das Gericht hier nicht Halt, sondern geht, der sog. absoluten Theorie des Personenbezugs folgend, davon aus, dass damit die IP-Adresse auch für Fashion ID ein personenbezogenes Datum darstelle. Die Übermittlung der IP-Adresse stelle daher eine Übermittlung personenbezogener Daten dar.

Interessanterweise spricht das Gericht hier ausdrücklich von einer „Übermittlung“, obwohl zuvor festgestellt wurde, dass diese Übermittlung nicht, zumindest nicht technisch, durch den Webseitenbetreiber vorgenommen wird, sondern direkt zwischen dem Nutzer und Facebook erfolgt.

Webseitenbetreiber als datenschutzrechtlich verantwortliche Stelle

Danach stellt das Gericht fest, dass Fashion ID eine verantwortliche Stelle nach § 3 Abs. 7 BDSG ist. Es fragt sich jedoch: für was? Bzw. für welche konkreten Datenerhebungs-, – verarbeitungs- oder –nutzungsvorgänge?

Nach Auffassung des Gerichts ist der Begriff der „verantwortlichen Stelle“ weit auszulegen und der Webseitenbetreiber „beschafft“ personenbezogene Daten. Damit liegt eine datenschutzrechtlich relevante Erhebung (§ 3 Abs. 3 BDSG) vor. Diese Feststellung ist meines Erachtens von besonderer Relevanz für das weitere Studium des Urteils. Unter anderem auch deshalb, da später auf andere Verarbeitungsphasen abgestellt wird, was doch irritiert. Und zum anderen deshalb, weil ich eine datenschutzrechtliche Einwilligung konkret auf einen bestimmten Umgang mit personenbezogenen Daten beschränken muss. Unternehmen sollten also als Ergebnis zumindest wissen müssen, für welche Phase der Erhebung, Verarbeitung oder Nutzung sie, nach Auffassung des LG Düsseldorf, verantwortlich sind.

Schon im nächsten Satz führt das Gericht darüberhinausgehend aus, dass das Unternehmen durch die Einbindung des Plugins die „Datenerhebung und spätere Verwendung der Daten“ durch Facebook ermögliche.

Zwei Kritikpunkte: Die „Ermöglichung“ einer Datenverarbeitung ist nicht von der Definition der verantwortlichen Stelle (§ 3 Abs. 7 BDGS) umfasst. Zudem scheint nun hier doch eine Datenerhebung durch Facebook im Raum zu stehen, obwohl zuvor die Erhebung durch den Webseitenbetreiber festgestellt wurde.

In einem weiteren Satz geht das Gericht dann davon aus, dass Fashion ID durch das Einbinden des Plugins an der unmittelbar „an der Erhebung durch Facebook“ mitwirke. Geht das Gericht also nun von einer alleinigen Verantwortlichkeit für die Erhebung, einer Mitverantwortlichkeit oder aber einer Verantwortlichkeit von Facebook aus? Dies wird leider nicht deutlich.

Das LG Düsseldorf urteilt weiter, dass die „Erhebung der Daten zu deren Verwendung“ im „eigenen Tätigkeits- und Haftungsbereich“ des Unternehmens stattfinde. Auch hieraus ergibt sich meines Erachtens nicht klar, für welchen Vorgang das Unternehmen nun datenschutzrechtlich verantwortlich sein soll.

Dass Fashion ID keinen Einfluss auf die Verarbeitung der Daten hat, lässt das LG Düsseldorf nicht als Gegenargument gelten. Denn, so das Gericht, der „Vorgang“ wird durch die Einbindung des Codes in die eigene Webseite initiiert.

Rechtsgrundlage der … ja, was eigentlich?

Im nächsten Prüfungspunkt geht das Gericht auf die Frage der Zulässigkeit der „Datenübermittlung“ ein. Spätestens hier stellt sich mir die Frage, wie man nun auf die Phase der Übermittlung kommt, denn zuvor wurde noch über die „Erhebung“ diskutiert. Zudem möchte man fragen: welche Übermittlung? Vom Nutzer an Facebook?

Aus Sicht des LG Düsseldorf ist diese Datenübermittlung auf jeden Fall nicht auf § 15 TMG zu stützen. Denn die Datenübermittlung ist für den Betrieb der Webseite nicht erforderlich.

Danach prüft das Gericht eine „Datennutzung“, die nicht auf eine Einwilligung der Besucher gestützt werden könne. Hierunter scheint das LG Düsseldorf die Erhebung der Daten durch Fashion ID zu fassen.

Das Gericht erläutert nachfolgend die Anforderungen an eine Einwilligung nach § 13 Abs. 2 TMG. Nach Auffassung des Gerichts ist u.a. das Setzen eines Häckchens in einer Checkbox erforderlich, damit die Einwilligung eindeutig erteilt wird. Andere Gerichte, wie etwa das OLG Frankfurt am Main (hierzu mein Beitrag), sehen dies anders und lassen etwa für Cookies zu Werbezwecken ein opt-out als Form der Einwilligung ausreichen.

Ein Kommentar hierzu: wenn die Verbraucherzentrale NRW und das LG Düsseldorf für die Einbindung des normalen Like-Buttons tatsächlich eine Einwilligung nach § 13 Abs. 2 TMG fordern, frage ich mich, wie Webseitenbetreiber die übrigen Voraussetzungen der Norm erfüllen sollen. Gerade die Protokollierung und die jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer werden wohl überhaupt nur möglich sein, wenn der Webseitenbetreiber noch mehr personenbezogene Daten sammelt und verarbeitet. Wie könnte die Erteilung der Einwilligung sonst protokollieren oder diese zum Abruf für jeden Nutzer bereithalten? Am Ende müsste der Webseitenbetreiber also eventuell, obwohl er daran gar kein Interesse hat, erst recht personenbezogene Daten erheben und verarbeiten.

Zudem stellt sich mir aus praktischer Sicht die einfache Frage, welchen konkreten Inhalt die hier geforderte Einwilligung denn nun haben soll. Bezieht sie sich auf die Erhebung, die Verarbeitung oder Nutzung? Bezieht sie sich auf diese Verarbeitungsvorgänge durch den Webseitenbetreiber oder durch Facebook? Wie kann ein Unternehmen eine konkret formulierte und auf bestimmt Zwecke festgelegte Einwilligungserklärung formulieren, wenn es selbst nicht weiß, für welche Zwecke die Daten bei Facebook genutzt werden?

Hinweise in der Datenschutzerklärung nicht ausreichend

Wie beschrieben hielt Fashion ID eine Datenschutzerklärung mit Informationen zum Like-Button vor. So, wie dies wohl derzeit auf deutschsprachigen Webseiten der Usus sein wird.

Dies reicht dem Gericht jedoch nicht aus. Denn der Hinweise auf die (ich gehe einmal davon aus) Erhebung erfolge so nicht „zu Beginn“ des Verarbeitungsvorgangs.

Fazit

In vielerlei Hinsicht lässt einen die Begründung des Gerichts zumindest innehalten oder die Stirn runzeln. Möchten Webseitenbetreiber die durch das Gericht aufgestellten Voraussetzungen erfüllen und dabei nicht auf Lösungen wie die 2-Klick-Lösung zurückgreifen, bleibt wohl nur ein Pop-Up oder Banner, welcher eine Einwilligungserklärung (mit opt-in check box) enthält. Die Einwilligung muss dann auch protokolliert und zum Abruf bereitgehalten werden. Man darf gespannt sein, ob dieses Urteil nicht eventuell in die nächste Instanz getragen wird.

Bundesregierung: Generelles Tracking-Verbot im Internet kaum umsetzbar

Am 25. Februar 2016 hat der Petitionsausschuss des Deutschen Bundestages seine Begründung (pdf) zu der Petition 58055 – “Internet – Generelles Verbot von Tracking im Internet” vom 19.03.2015 beschlossen.

Mit der Petition wird ein generelles „Tracking“-Verbot gefordert, unter anderem mit der Begründung, dass „Tracking“ im Zeitalter von Big Data ein unregierbares Risiko für jeden Verbraucher darstelle und im Internet in der Regel ohne die Kenntnis der Verbraucher jeder Aufruf einer Website an Drittunternehmen übertragen werde.

Der Petitionsausschuss hat auch die Bundesregierung zur Stellungnahme zu der Petition aufgefordert, die in die Begründung des Ausschusses mit eingeflossen ist.

Dem Grunde nach scheint der Ausschuss die Bedenken des Petenten zu teilen. So stellt er fest,

dass Unternehmen im Internet mit Hilfe von Cookies und anderen Verfolgungstechniken in die Privatsphäre der Nutzer eingreifen.

Jedoch versucht der Ausschuss, auch unter Bezugnahme auf die Stellungnahme der Bundesregierung, eine vermittelnde und praxisorientierte Position einzunehmen.

Denn Cookies können etwa auch bestimmten Funktionalitäten (z. B. dem Anzeigen von Produkten im „Warenkorb“) sowie der Benutzerfreundlichkeit dienen. Weiter führt der Ausschuss aus, dass sich Verbraucher derzeit nur ansatzweise gegen „Tracking“ mit restriktiven Einstellungen des verwendeten Browsers zum Datenschutz und der Installation von einschlägigen Add-ons schützen können.

Der Petitionsausschuss stellt nachfolgend fest,

dass ein generelles Verbot von „Tracking“ auf unterschiedlichen Ebenen nach Einschätzung der Bundesregierung nur mit sehr hohem Aufwand umsetzbar wäre.

Gerade die praktische Durchsetzung eines solchen Verbotes wäre nur schwer vorstellbar, da etwa Hersteller entsprechender Browser oft nicht in Deutschland oder der EU ansässig sind.

Für den Ausschuss ist es daher umso wichtiger, dass eine umfassende und verständliche Information der Internet-Nutzer über die eingesetzten Techniken und ihre Folgen erfolgt, insbesondere welche Daten von wem erhoben und an wen diese übertragen werden.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein “opt-out”-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben” ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.