Liebe Abonnentinnen und Abonnenten,

Aktuelle Beiträge im Blog

Praxisthemen

Verhältnis von § 7 UWG zu Art. 6 DSGVO – wie geht es weiter?

Das Verhältnis zwischen den Anforderungen aus § 7 UWG und Art. 6 DSGVO ist bereits seit Langem umstritten. In der Praxis betrifft dies etwa die relevante Frage, ob im Rahmen der Bestandskundenwerbung nach § 7 Abs. 3 UWG auch eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO, hier dann die Interessenabwägung nach lit. f), vorhanden sein muss. 

Die Datenschutzaufsichtsbehörden verlangen grundsätzlich, dass die Vorgaben beider Rechtsakte erfüllt sind. Auch das Bundesverwaltungsgericht vertritt in seinem Urteil vom 29. Januar 2025 (Az. 6 C 3.23) die Auffassung, dass die Regelungen des Art. 13 Abs. 3 RL 2002/58/EG (diese Vorgaben wurden in Deutschland mit § 7 UWG umgesetzt) und des Art. 6 Abs. 1 DSGVO nebeneinander zur Anwendung kommen.

Nach Auffassung des Gerichts führt Art. 95 DSGVO in diesem Fall nicht zur Unanwendbarkeit des Art. 6 Abs. 1 DSGVO, weil es sich bei Art. 13 Abs. 3 RL 2002/58/EG nicht um eine Regelung handelt, in Bezug auf welche die DSGVO natürlichen oder juristischen Personen "zusätzliche Pflichten" auferlegt. Vielmehr handele es sich um eine Regelung mit strengeren Vorgaben im Vergleich zur DSGVO. Eine andere Auslegung widerspräche auch dem Grundsatz der Einheit der Unionsrechtsordnung, der eine kohärente und widerspruchsfreie Auslegung unterschiedlicher Rechtstexte des sekundären Unionsrechts verlangt. Art. 95 DSGVO führe auch nicht zu einer generellen Verdrängung der DSGVO im Anwendungsbereich der Richtlinie 2002/58/EG, da dieser lediglich die Abgrenzung der Anwendungsbereiche der beiden Rechtsakte im Kollisionsfall regelt. Ein Kollisionsfall sei dabei nur dann gegeben, wenn beide Rechtsakte konkurrierende Pflichten enthalten, die dasselbe Ziel verfolgen.

Eine andere Ansicht vertritt der EuGH-Generalanwalt Szpunar in seinen Schlussanträgen vom 27. März 2025 (Rechtssache C-654/23). Das Verhältnis zwischen der RL 2002/58/EG und der DSGVO werde nach seiner Auffassung nach dem Grundsatz lex specialis derogat legi generali geregelt. Wenn die Bestimmung aus der RL 2002/58/EG eine Verpflichtung enthält, mit welcher dasselbe Ziel verfolgt wird wie mit den DSGVO-Bestimmungen, sei die Bestimmung der RL 2002/58/EG anzuwenden.

Die Voraussetzungen und die Zwecke der Verarbeitung sowie die Rechte der betroffenen Personen seien im Art. 13 Abs. 2 RL 2002/58/EG abschließend geregelt, was die automatische Direktwerbung im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung anbelangt.

Die Richtlinie erlege dem Verantwortlichen insoweit „besondere Pflichten“ im Sinne von Art. 95 DSGVO auf. Insbesondere werde die Frage der Einwilligung in der Richtlinie abschließend behandelt. Dies folge bereits daraus, dass Art. 13 Abs. 3 RL 2002/58/EG zu Art. 13 Abs. 1 der Richtlinie, wonach eine vorherige Einwilligung erforderlich ist, eine Ausnahme darstellt. Ein Rückgriff auf die DSGVO, insbesondere auf deren Art. 6 Abs. 1 Buchst. a bis f, sei weder möglich noch erforderlich.

Für Unternehmen ist die Auffassung des Generalanwalts natürlich vorteilhaft. Zum einen werden damit die Anforderungen an die Rechtmäßigkeit der Bestandskundenwerbung gesenkt. Zum anderen könnte man sogar argumentieren, dass die Bewertung, ob die Werbung zulässig ist, eine Art Profil des Bestandskunden inkl. Kaufhistorie erforderlich macht. Ob diese Verarbeitung jedoch aus dem Anwendungsbereich der DSGVO ebenfalls ausgenommen wäre, ist offen. Darüber hinaus bleibt noch abzuwarten, ob der EuGH den Schlussanträgen des Generalanwalts folgen wird. Die Entscheidung des Gerichtshofs ist noch nicht terminiert.

Schlussanträge des Generalanwalts Szpunar: https://curia.europa.eu/juris/document/document.jsf?text=&docid=297249&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1 

LfDI Baden-Württemberg zu Stichprobenkontrollen bei Verbot der Privatnutzung von E-Mail und Internet durch Arbeitgeber

Im aktuellen Tätigkeitsbericht für 2024 legt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg seine Position zur Zulässigkeit des Zugriffs auf E-Mails, Protokolldaten und Dateiablagen der Beschäftigten dar.

Nach Auffassung der Aufsichtsbehörde ist vor allem danach zu differenzieren, ob die private Nutzung des E-Mail-Accounts und des Internetzugangs erlaubt oder verboten ist. Bei gestatteter Privatnutzung ist die Zugriffsbefugnis des Arbeitgebers auf ein Minimum eingeschränkt - der LfDI geht von der Anwendbarkeit des Fernmeldegeheimnisses aus. Wenn die private Nutzung untersagt ist, sollten die Arbeitgeber aktiv durch regelmäßige und transparent gestaltete Kontrollen sicherstellen, dass den Beschäftigten klar ist, dass das Verbot nicht nur theoretisch existiert, sondern auch ernst gemeint ist. Die Mitarbeiter dürfen keinen berechtigten Grund zur Annahme haben, dass die Untersagung in der Praxis nicht durchgesetzt wird.

Hervorzuheben ist hierbei, dass im Rahmen dieser Durchsetzung ausschließlich stichprobenartige Kontrollen zulässig sind. Zwar existieren keine konkreten Vorgaben dazu, wie bzw. in welchem Umfang die Überprüfungen durchzuführen sind. Maßgeblich ist aber, dass die Kontrollen geeignet, erforderlich und angemessen sind, um einen Verstoß gegen das Verbot der Privatnutzung aufzudecken. Nur wenn diese Voraussetzungen erfüllt sind, können die Kontrollen auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Auf personenbezogene Daten, die nicht für die Feststellung der Privatnutzung benötigt werden (z.B. Inhalt der E-Mails, wenn Auswertung anhand von Protokolldaten möglich ist), darf dabei nicht zugegriffen werden.

Nur wenn sich aus der Auswertung ein Verdacht der unerlaubten Nutzung ergibt, dürfen weitere Daten geprüft werden. Die Behörde hält Kontrollen im Umfang von 1 % der jährlich anfallenden Protokolldaten für ausreichend. Dieser Richtwert bietet ein ausgewogenes Verhältnis zwischen effektiver Überwachung und dem Schutz der Privatsphäre. Bei einem Treffer – also dem Nachweis der Privatnutzung – dürfen mitarbeiterbezogen weitere Kontrollen durchgeführt werden. Zentral ist hierbei, dass der Umfang der Kontrollen verbindlich im Vorfeld der Maßnahmen festzulegen ist und die Beschäftigten vor Beginn darüber in Kenntnis zu setzen sind.

LfDI Baden-Württemberg, Tätigkeitsbericht 2024, S. 53: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2025/03/TB_40_Datenschutz-2024_barrierefrei.pdf 

Berliner Datenschutzbehörde zum Nachweis der Einwilligung

Im aktuellen Jahresbericht für 2024 informiert die Berliner Beauftragte für Datenschutz und Informationsfreiheit über zahlreiche Beschwerdefälle im Zusammenhang mit Werbeanrufen zur Gewinnung von Neukunden. In einigen Fällen gaben die betroffenen Unternehmen an, dass die angerufenen Personen im Rahmen von durch Dritte veranstalteten Online-Gewinnspielen die erforderlichen Einwilligungen erteilt hätten. Sie hätten ihre Kontaktdaten in die Eingabemaske des jeweiligen Gewinnspiels eingetragen, sich sodann über das sog. Code-Ident-Verfahren verifiziert und in Werbeanrufe durch die Unternehmen eingewilligt.

Nach Auffassung der Behörde reicht es in solchen Konstellationen jedoch nicht aus, zum Nachweis der Einwilligung lediglich Screenshots der Eingabemasken und Sendereporte zum SMS-Versand vorzulegen. Die Eingabemasken seien nicht fälschungssicher und können von jeder beliebigen Person ausgefüllt werden. Auch die Sendereporte können händisch niedergeschrieben worden sein.

Die Behörde hebt hervor, dass das Code-Ident-Verfahren in der Praxis häufig kein geeignetes Mittel zum Nachweis der Einwilligung darstellt. Insbesondere in Fällen, wo Einwilligungen durch Dritte eingeholt werden, müssen die Unternehmen sicherstellen, dass es nicht ohne Weiteres möglich ist, die Unterlagen zu fälschen.

Obwohl die Haltung der Behörde auf den ersten Blick als sehr streng erscheinen mag, ist gleichzeitig zu berücksichtigen, dass es einer detaillierten und nachvollziehbaren Darstellung durch die betroffene Person bedarf, um den durch die vorgelegten Unterlagen gesetzten Anschein zu widerlegen. Unternehmen sind daher gut beraten, bei der Dokumentation und Aufbewahrung von Werbeeinwilligungen besonders sorgfältig vorzugehen und auf manipulationssichere Verfahren zu setzen.

BlnBDI, Jahresbericht 2024, S. 98: https://www.datenschutz-berlin.de/jahresbericht-2024

Verwaltungsgericht Bremen zur zweckändernden Verarbeitung

In einer aktuellen Entscheidung befasste sich VG Bremen (Urt. v. 23.04.2025, 4 K 2873/23) mit der Frage, in welchen Fällen Art. 6 Abs. 4 DSGVO anwendbar ist.
Im Verfahren ging es im Wesentlichen um die Rechtmäßigkeit der Datenverarbeitung zu Werbezwecken durch die Klägerin (Energieunternehmen). Diese nutzte personenbezogene Daten ehemaliger Kunden für bis zu 24 Monate nach Vertragsende, um sie gezielt werblich anzusprechen, insbesondere durch Haustürwerbung. Die Beklagte (Datenschutzbehörde) sah darin einen DSGVO-Verstoß und untersagte der Klägerin, die Daten länger als sechs Monate ab Beendigung der Vertragsbeziehung zu nutzen.

Interessant sind die Ausführungen des Gerichts zur zweckändernden Verarbeitung nach Art. 6 Abs. 4 DSGVO.

Nach Ansicht des VG kann die weitere Datenverarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden, wenn der Betroffene bereits bei Vertragsschluss, also bei der Erhebung seiner Daten, über den Werbezweck informiert wird. Wenn das Unternehmen den Zweck der Maßnahmen erst nachträglich festlegt, kommt dagegen nur Art. 6 Abs. 4 DSGVO als Verarbeitungsgrundlage in Betracht.

Diese Aussage ist für die Praxis von Bedeutung. Denn Art. 6 Abs. 4 DSGVO stellt an die Zulässigkeit der zweckändernden Verarbeitung relativ hohe Anforderungen, insbesondere i.R.d. Kompatibilitätstests besteht das nicht zu unterschätzende Risiko, dass die Aufsichtsbehörde der Einschätzung des Verantwortlichen nicht folgen wird. Dies kann dazu führen, dass nachträgliche Zweckänderungen für unzulässig erklärt werden und entsprechende Datenverarbeitungen eingestellt werden müssen. Dem kann nicht dadurch entgegengewirkt werden, dass die Verarbeitungszwecke möglichst allgemein oder unkonkret formuliert werden. Die Verarbeitungszwecke sind gem. Art. 5 Abs. 1 lit. b DSGVO transparent anzugeben und dürfen nicht zu pauschal sein. Eine praxistaugliche Lösung besteht mit der Ansicht des VG daher darin, sämtliche (auch nachrangige bzw. zukünftige) Zwecke bereits bei Vertragsschluss in die Datenschutzhinweise aufzunehmen und die Betroffenen entsprechend zu informieren.

VG Bremen, Urt. v. 23.04.2025, 4 K 2873/23: https://www.juris.de/static/infodienst/autoren/D_NJRE001608057.htm 

AG Mainz zum Einwand des Rechtsmissbrauchs

DSGVO-Abmahnungen als Geschäftsmodell sind immer häufiger Gegenstand der Gerichtsverhandlungen. Das AG Mainz musste sich in einem solchen Fall mit dem Einwand des Rechtsmissbrauchs befassen (Urt. v. 27.03.2025, 88 C 200/24).

Der Kläger kontaktierte die Beklagte, da ihm seine Website „aufgrund massiver DSGVO-Verstöße“ aufgefallen sei. In seinem Schreiben unterbreitete er zugleich ein Angebot für die Erstellung einer „cookiefreien“ und „DSGVO-konformen“ Webpräsenz auf einem deutschen Server. Nachdem hierauf keine Reaktion erfolgt war, forderte der Kläger von der Beklagten Auskunft. Da die Beklagte die Auskunft unter Verweis auf Art. 12 Abs. 5 lit. b DSGVO verweigerte, beauftragte der Kläger das Unternehmen seines Bruders mit Erstellung eines „Beweissicherungsgutachtens“. Nach seiner Auffassung lag ein DSGVO-Verstoß aufgrund unzulässiger Datenübermittlungen im Zusammenhang mit den auf der Seite eingesetzten Cookies vor. Die Kosten dieses Gutachtens nebst Schadensersatzanspruch wollte der Kläger dann gerichtlich durchsetzen.

Das Gericht wies die Klage jedoch wegen Rechtsmissbrauch ab. Dabei wurde vor allem der Umstand berücksichtigt, dass bei der ersten Kontaktaufnahme – trotz angeblich massiver DSGVO-Verstöße – nicht erwähnt wurde, dass der Kläger sich in seinen individuellen Rechten betroffen sieht. Nach Auffassung des Gerichts könne die E-Mail vielmehr nur so verstanden werden, dass es dem Kläger ausschließlich darum ging, dem Beklagten seine Dienste als Webdesigner anzubieten. Dies werde durch die Tatsache untermauert, dass die E-Mail von der Adresse „info@.de“ versandt worden ist und mit dem Firmennamen endet.

Zudem zeige das massenhafte Vorgehen des Beklagten (allein am AG Mainz führt der Kläger 25 gleich gelagerte Verfahren), dass es dem Kläger vorrangig darum geht, gegen den Beklagten als Verantwortlichen einen Anspruch auf Ersatz von Aufwendungen oder Kosten der Rechtsverfolgung entstehen zu lassen.

Da die Vorgehensweise bei verschiedenen „DSGVO-Abmahnwellen“ oft ähnlich ist, können die Ausführungen des Gerichts für betroffene Unternehmen eine wertvolle argumentative Unterstützung bieten.

AG Mainz, Urt. v. 27.3.2025, 88 C 200/24: https://www.ra-plutte.de/wp-content/uploads/2025/03/ag-mainz-urteil-vom-27-03-2025-88-c-200-24.pdf  

Veranstaltungshinweise: Piltz Legal update in 2025

Fränkischer Datenschutztag 2025 
Datum: 23. & 24. Juni 2025
Ort: Würzburg 
Freuen Sie sich auf interessante Themen rund um aktuelle datenschutzrechtliche Entwicklungen, Ansichten und Empfehlungen der Aufsichtsbehörde und hilfreiche Praxiserfahrungen – u.a. mit Vertreterinnen und Vertreter der Aufsichtsbehörden aus Berlin und Bayern. 

Anmeldung: https://www.piltz.legal/events/fraenkischer-datenschutztag-2025

Einsatz von KI in Unternehmen – Was gilt nach KI-VO, DSGVO und UrhG?
Datum: 11. Juli 2025
Ort: Berlin
Seit dem 2. Februar 2025 gelten die ersten Pflichten und ab dem 2. August 2025 sind weitere Vorschriften der KI-Verordnung zu erfüllen. Daneben sind vor allem Vorgaben aus dem Urheber- und dem Datenschutzrecht zu beachten. In diesem Seminar geben wir nicht nur einen Überblick über die relevanten Vorschriften und Vorgaben aus den jeweiligen Regelwerken, sondern stellen typische Fallkonstellationen sowie Handlungsempfehlungen vor, mit denen Unternehmen regelmäßig konfrontiert werden, wenn sie KI einsetzen möchten.

Anmeldung: https://www.piltz.legal/events/einsatz-von-ki-in-unternehmen-was-gilt-nach-ki-vo-dsgvo-und-urhg