Kategorien
Blogroll Datenschutzrecht Uncategorized Verbraucherschutz Wettbewerbs- und Werberecht

#DSGVO-Compliance: Gerichte entscheiden uneinheitlich zu Unterlassungsklagen bei nicht rechtskonform gestaltetem Einsatz von Marketingtools mit “Drittlandtransfer”

Warum ist das Risiko für Unternehmen beim Einsatz von Marketing-Analysetrackern oft hoch? Weil sie teilweise Verfahrensverzeichnisse mit den Rechtsgrundlagen und Datenschutzverträge mit den Anbietern nicht richtig vorher geprüft haben und daher im Falle eines Rechtsstreits nicht die nötigen Informationen und Dokumente darüber bereitstellen können. Immer wieder ist es schwierig, die nötigen Informationen und Verträge im Unternehmen systematisch zu erfassen und bei Bedarf der Behörde oder dem Betroffenen die korrekten Auskünfte zu erteilen. Das führt immer wieder zu Rechtsstreitigkeiten, erst recht wenn rauskommt, dass die Rechtsgrundlage fehlte.

Während die Arbeitsgerichte mit der Verurteilung zur Unterlassung oder Schadenersatz bei Datenschutzverstößen etwa gegen Auskunftsersuchen nach Art. 15 DSGVO teilweise recht hohe Verurteilungen aussprechen in Deutschland, etwa z.B. ArbG Duisburg Urteil vom 23.3.2023, 3 CA 44/23 – 10.000 Euro Schadenersatz wegen nicht erforderlicher Übermittlung von detaillierten personenbezogenen Daten eines Arbeitnehers und vorsätzlicher Verweigerung der Auskunft, entscheiden die Zivilgerichte noch recht uneinheitlich, wenn es um DSGVO-Verletzungen wegen datenschutzwidrigem Einsatz von Marketing-Tracking-Tools geht. Sowas ist der Fall, wenn ein Unternehmen beim Einsatz von Marketing-Tools personenbezogene Daten über die Nutzeraktivitäten ohne Einwilligung der Betroffenen auf Webseiten oder in E-mail Newslettern an Drittanbieter weiterleiten; das passiert oft so, indem in Webseiten oder marketing-Emails Codes über den Anbieter eingebettet werden, die die Daten weitersenden. Während das Landgericht Köln mit Urteil vom 23.03.2023 Az. 33 O 376/22 auf Antrag der Verbraucherzentrale NRW den Provider Congstar (eine Tochter der Deutschen Telekom) verurteilt hat, es zu unterlassen, ohne Zustimmung der Nutzer deren Daten mittels Drittanbietern wie Google zu Zwecken der Werbung und Retargeting ohne Rechtsgrundlage zu übermitteln, hat der 16. Senat des OLG Frankfurt am Main auf Antrag eines einzelnen Nutzers derartige Unterlassungsansprüche abgelehnt. Der Senat des OLG Frankfurt hat nun entschieden, dass ein Nutzer eines Online-Shops keine Unterlassungsansprüche wegen möglicherweise rechtswidrigem Tracking für Marketingzwecke durch Einbindung von US-Diensten wie z.B. Google gegen den Online-Shop mit Erfolg gerichtlich gelted machen könne. Dem Kläger stehen laut der insoweit umstrittenen Ansicht des Senats keine individuellen Unterlassungsansprüche zu und die Abmahnung sei deshalb auch unbegründet. Die Klageabweisung des Landgerichts Wiesbaden wurde damit bestätigt.

In dem Fall hatte zwar die Beklagte in ihrem Online-Shop ohne Rechtsgrundlage ca. 17 Marketing-Tools zur Datenanalyse und personalisierter Werbung u.a. von Google eingesetzt, um anhand Profildaten und Aktivitäten sowie Ergebnis der Auswertung Marketing-Funktionen auszuspielen z.B. “Folgende Produkte könnten Sie auch interessieren”. Aber, so der 16. Senat, bereits der Unterlassungsantrag sei zu unbestimmt, jedenfalls aber unbegründet, weil kein Schaden ersichtlich sei. Nur weil in Verbindung mit der IP-Adresse möglicherweise teilweise rechtswidrig Daten über Nutzeraktivitäten auf der Webseite des Beklagten erfassen und an Drittanbieter entgegen der Voraussetzungen nach Art. 45ff DSGVO weiterleiten, sei allein aus dem Rechtsverstoß noch kein Schaden und damit auch kein Individualanspruch auf Unterlassung gegeben. Im Fall des Klägers hier, der vorträgt Techniker zu sein und eine statische IP-Adresse verwendet zu haben, handelte es sich zwar um ein personenbezogenes Datum, aber aus Sicht des Senats war kein Schaden ersichtlich. Zudem muss für einen Unterlassungsanspruch der rechtswidrige Zustand andauern oder Wiederholungsgefahr bestehen.

Dem Kläger verbleibe die Möglichkeit, sich bei der Aufsichtsbehörde zu beschweren. Individuelle Unterlassungs- und Schadenersatzansprüche bei Datenschutzverstößen dieser Art ohne konkreten Schaden sehe die DSGVO nicht vor.

Dazu Zitat der 16. Senat des OLG Frankfurt (OLG Frankfurt, Urteil vom 30. März 2023 – 16 U 22/22)….. Zitat:”…

Soweit vereinzelt die Auffassung vertreten wird, auf der Basis von Art. 79 DS-GVO könnten auch Unterlassungsansprüche gegen Verantwortliche und Auftragsverarbeiter geltend gemacht werden, betrifft dies meist die (erweiternde) Auslegung von Ansprüchen nach der DS-GVO (so wohl: Kühling/Buchner/Bergt, DS-GVO, 3. Aufl. Art. 79 Rz. 1 und 13;), die oben unter a) erörtert wurden. Soweit daraus abgeleitet wird, es könne auf Unterlassungsansprüche des nationalen Rechts zurückgegriffen werden, vermag der Senat dem aus den vorstehenden Gründen nicht zu folgen (so auch: Leibold/Laoutounai, ZD Aktuell 2021, 05583). Entgegen der Meinung des Klägers wird auch in der obergerichtlichen Rechtsprechung nicht die Auffassung vertreten, wegen Verstößen gegen die DS-GVO könne aufgrund nationalen Rechts – aus §§ 1004 Abs. 1 S. 2, 823 Abs. 1 oder 2 BGB – auf Unterlassung geklagt werden (näher unten III.). Soweit der Kläger sich für seine Rechtsauffassung auf Urteile des Bundesgerichtshofs und von Oberlandesgerichten beruft, betreffen diese Veröffentlichungen in der Presse, bei denen nach Art. 85 Abs. 1 und 2 DS-GVO ergänzende und abweichende nationale Regelungen zur DS-GVO getroffen werden können (so insbesondere die angeführte Entscheidung BGH, Urteil vom 21.1.2021 – I ZR 207/19 Rz. 36 – 44: Bildnisveröffentlichung).

Durch die Beschränkung auf die von der DS-GVO in den Art. 15, 17 und 82 DS-GVO eingeräumten Individualansprüche stehen die von einem Verstoß gegen die Datenverarbeitungsregeln der DS-GVO Betroffenen nicht rechtlos da. Die Aufgabe der Durchsetzung und Überwachung der DS-GVO ist – neben den Individualansprüchen – nach Art. 51 Abs. 1 und Art. 57 Abs. 1 a) DS-GVO grundsätzlich umfassend den Aufsichtsbehörden im Sinne eines „Public Enforcement“ zugewiesen. Die DS-GVO sieht dafür in den Art. 77 und 78 DS-GVO vor, dass der Betroffene sich wegen angenommener Verstöße gegen die DS-GVO mit einer Beschwerde an die Aufsichtsbehörde wenden kann. Im Fall einer ablehnenden Entscheidung steht ihm nach Art. 78 DS-GVO der Klageweg gegen die Aufsichtsbehörde offen (vgl. Kühling/Buchner/Bergt, a.a.O. Art. 78 Rz. 9 ff.). Die Entscheidung des Europäischen Gerichtshofs, auf welche sich der Kläger mit seiner Klage zentral beruft, nämlich das Urteil vom 16.7.2020 (C-311/18, NJW 2020, 559 „Schrems II“), welches die Voraussetzungen für eine Übermittlung von Daten in Drittländer nach den Artt. 45, 46 DS-GVO betrifft, beruht dementsprechend auf einem Ausgangsverfahren, bei dem der Kläger von der Aufsichtsbehörde bestimmte Maßnahmen gegen Facebook verlangt hat. Diese wurden abgelehnt und danach (zunächst) Klage gegen die Aufsichtsbehörde erhoben.

Ein sachlicher Grund für diese Rechtslage, dass Individualansprüche der Betroffenen gegen die Verantwortlichen gerade bezüglich der Einhaltung der Regelungen der Art. 44 ff. DS-GVO nicht vorgesehen wurden, besteht darin, dass über die generelle Frage der Zulässigkeit der Übermittlung ins Ausland auf dem Beschwerdeweg über Datenschutzbehörden einheitlich entschieden werden kann (vgl. Art. 51 Abs. 2 DS-GVO: Mitarbeit der Datenschutzbehörden bei der einheitlichen Anwendung der DS-GVO). Insofern überzeugt der Hinweis, dass die Möglichkeit, sich an Aufsichtsbehörden zu wenden, sachgerechter ist, weil dies abgestimmtes Verhalten ermöglicht und deren Anordnungen – anders als zivilgerichtliche Urteile – nicht nur inter partes wirken (Nink ZD 2022, 238). Schließlich ist darauf hinzuweisen, dass der Betroffenen, dem durch eine rechtswidrige Übermittlung seiner Daten ins Ausland ein Schaden entsteht, ein Schadensersatzanspruch nach Art. 82 DS-GVO zusteht…..”

OLG Frankfurt, Urteil vom 30. März 2023 – 16 U 22/22

Volltext: Volltext des Urteils auf der amtlichen Seite

Ob das richtig ist und vor dem EUGH halten wird, ist aber durchaus fraglich. Nach dem EUGH und Bundesverfassungsgericht ist das Speichern und Senden von Cookies und anderen Codes im Browser der Computer der Nutzer nicht für Marketing- oder sonstige nicht unbedingt technisch notwendige Zwecke ohne ausdrückliche Zustimmung des Nutzers nicht erlaubt. Ebenso auch nach dem deutschen § 25 TTDSG. Das kann man gut finden oder nicht, ist aber jedenfalls eindeutig so geregelt und höchstrichterlich entschieden, weil damit Unternehmen, die Daten an große Tech-Unternehmen wie Google, Amazon, Adobe, Facebook bzw. Meta und weitere senden und auswerten lassen, ohne das sie selbst und geschweige denn der betroffene Nutzer die Kontrolle über die weitere Datenverwendung hat und zudem Google und Co. selbst einräumen, die Daten auch für eigene Zwecke zu verwenden. Die Analyse der Nutzeraktivitäten für Marketingdienste klingt zwar für viele unbedenklich, aber wegen der mangelnden Transparenz und fehlendem effektiven Rechtsschutz ist mit dem völligen Kontrollverlust für die Nutzung der Informationen zu ihrer Person der Kernbereich der informationellen Selbstbestimmung verletzt und gehört genau das, etwa wegen der Manipulations- und Mißbrauchsrisiken etwa für politische Zwecke genau zu den Risiken, vor denen die DSGVO nach den Erwägungsgründen des Normgesetzgebers schützen will. Wenn man sich die Entscheidung des 16. Senats des OLG Frankfurt anschaut, hat dabei die EU aber die Rechnung ohne die deutschen Richter gemacht, die den Schutzzweck der Norm nicht nachvollziehen können. Der Senat hat hier nun Unterlassungsansprüche eines individuellen Nutzers abgelehnt; vermutlich spielt hier auch eine große Rolle, dass wegen der umfangreichen potenziellen Betroffenen die Richter weitere Massenklagen befürchten und schon deshalb besonders kritisch hinterfragen, ob diese Ansprüche wirklich berechtigt sind oder nicht eher mißbräuchlich sind.

Mißbräuchliche Abmahner und Kläger sind seit einiger Zeit leider vermehrt tätig und drangsalieren Unternehmen, das ist in der Tat zu beobachten. Einerseits erscheint es richtig, dass insoweit ein irgendwie feststellbarer, subjektiver Schaden des Betroffenen eingetreten sein muss oder für den vorbeugenden Unterlassungsanspruch zumindest konkret drohen sollte, um deliktische Unterlassungssprüche gerichtlich bei Rechtsverstößen erwirken zu können. Aber um Klarheit zu erhalten, wann ein solcher Schaden vorliegt, müsste eigentlich eine nähere Auseinandersetzung mit dem Schutzzweck der DSGVO bzw. des Verbotes des Trackings zu Marketingzwecken mit Transfer an Datengiganten erfolgen. Daran fehlt es in der Rechtssprechung leider noch weitgehend. Eine solche Auseinandersetzung fehlt auch hier völlig in der Entscheidung und deshalb wird lapidar auch darauf verwiesen, dass kein Schaden ersichtlich sei. So weit zu gehen, dass generell keine individuellen deliktischen Unterlassungsansprüche bei DSGVO-Verstößen dieser Art bestehen, wie der Senat des OLG Frankfurt es hier tut, ist aber aus mehreren Gründen nicht überzeugend:
1) Es entstehen große Wertungswidersprüche wegen der massiven Eingreifbefugnisse der Datenschutzaufsichtsbehörden einschließlich der hohen Bussgelder, die bei Datenschutzverstößen nach der DSGVO vorgesehen sind und teilweise auch ausgesprochen werden.
2) Der Verweis auf die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde erscheint fragwürdig, weil er an der Praxis jedenfalls hier in Hessen vorbei geht. Der Betroffene hatte zunächst vor dem Landgericht Wiesbaden geklagt, dürfte also in Hessen ansässig sein. Einen Schaden hat der Kläger anscheinend selbst nicht behauptet und dazu auch keinen Schadenersatz verfolgt. In der Praxis vieler Aufsichtsbehörden – jedenfalls z.B. hier in Hessen oder Niedersachsen – bleiben Betroffene bei Beschwerden nach meiner Erfahrung aber untätig, wenn sie keinen greifbaren Schaden erkennen können und verweisen z.B. auch bei Datenpannen ihrerseits die Betroffenen auf den Zivilrechtsweg. Es ergibt sich dann also ein Ping-Pong-Spiel, bei dem sowohl die Unternehmen die Verlierer sind, die durch die sehr strengen Regeln der DSGVO massiv belastet werden, als auch die Betroffenen, die bei dieser Rechtssprechung in der Praxis keinen Rechtsschutz erhalten.

Wenn Sie anwaltlichen Rat zum Datenschutzrecht und dem rechtskonformen Einsatz von Tracking-Tools in Ihrem Unternehmen und rund um das Thema benötigen, können Sie hier gerne eine Nachricht zur Kontaktaufnahme senden.

Von Stefanie Hagendorff - IT-Fachanwältin - Compliance, Data Privacy and Cyberlawyer in Germany

Rechtsanwältin Hagendorff - Fachanwalt für IT-Recht und Datenschutzrecht mit Sitz in Friedberg bei Frankfurt/Main
Deutschland, Stefanie Hagendorff
https://www.it-fachanwaeltin.de/

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.