Kategorien
Blogroll Datenschutzrecht Uncategorized Verbraucherschutz Wettbewerbs- und Werberecht

#DSGVO-Compliance: Gerichte entscheiden uneinheitlich zu Unterlassungsklagen bei nicht rechtskonform gestaltetem Einsatz von Marketingtools mit “Drittlandtransfer”

Warum ist das Risiko für Unternehmen beim Einsatz von Marketing-Analysetrackern oft hoch? Weil sie teilweise Verfahrensverzeichnisse mit den Rechtsgrundlagen und Datenschutzverträge mit den Anbietern nicht richtig vorher geprüft haben und daher im Falle eines Rechtsstreits nicht die nötigen Informationen und Dokumente darüber bereitstellen können. Immer wieder ist es schwierig, die nötigen Informationen und Verträge im Unternehmen systematisch zu erfassen und bei Bedarf der Behörde oder dem Betroffenen die korrekten Auskünfte zu erteilen. Das führt immer wieder zu Rechtsstreitigkeiten, erst recht wenn rauskommt, dass die Rechtsgrundlage fehlte.

Während die Arbeitsgerichte mit der Verurteilung zur Unterlassung oder Schadenersatz bei Datenschutzverstößen etwa gegen Auskunftsersuchen nach Art. 15 DSGVO teilweise recht hohe Verurteilungen aussprechen in Deutschland, etwa z.B. ArbG Duisburg Urteil vom 23.3.2023, 3 CA 44/23 – 10.000 Euro Schadenersatz wegen nicht erforderlicher Übermittlung von detaillierten personenbezogenen Daten eines Arbeitnehers und vorsätzlicher Verweigerung der Auskunft, entscheiden die Zivilgerichte noch recht uneinheitlich, wenn es um DSGVO-Verletzungen wegen datenschutzwidrigem Einsatz von Marketing-Tracking-Tools geht. Sowas ist der Fall, wenn ein Unternehmen beim Einsatz von Marketing-Tools personenbezogene Daten über die Nutzeraktivitäten ohne Einwilligung der Betroffenen auf Webseiten oder in E-mail Newslettern an Drittanbieter weiterleiten; das passiert oft so, indem in Webseiten oder marketing-Emails Codes über den Anbieter eingebettet werden, die die Daten weitersenden. Während das Landgericht Köln mit Urteil vom 23.03.2023 Az. 33 O 376/22 auf Antrag der Verbraucherzentrale NRW den Provider Congstar (eine Tochter der Deutschen Telekom) verurteilt hat, es zu unterlassen, ohne Zustimmung der Nutzer deren Daten mittels Drittanbietern wie Google zu Zwecken der Werbung und Retargeting ohne Rechtsgrundlage zu übermitteln, hat der 16. Senat des OLG Frankfurt am Main auf Antrag eines einzelnen Nutzers derartige Unterlassungsansprüche abgelehnt. Der Senat des OLG Frankfurt hat nun entschieden, dass ein Nutzer eines Online-Shops keine Unterlassungsansprüche wegen möglicherweise rechtswidrigem Tracking für Marketingzwecke durch Einbindung von US-Diensten wie z.B. Google gegen den Online-Shop mit Erfolg gerichtlich gelted machen könne. Dem Kläger stehen laut der insoweit umstrittenen Ansicht des Senats keine individuellen Unterlassungsansprüche zu und die Abmahnung sei deshalb auch unbegründet. Die Klageabweisung des Landgerichts Wiesbaden wurde damit bestätigt.

In dem Fall hatte zwar die Beklagte in ihrem Online-Shop ohne Rechtsgrundlage ca. 17 Marketing-Tools zur Datenanalyse und personalisierter Werbung u.a. von Google eingesetzt, um anhand Profildaten und Aktivitäten sowie Ergebnis der Auswertung Marketing-Funktionen auszuspielen z.B. “Folgende Produkte könnten Sie auch interessieren”. Aber, so der 16. Senat, bereits der Unterlassungsantrag sei zu unbestimmt, jedenfalls aber unbegründet, weil kein Schaden ersichtlich sei. Nur weil in Verbindung mit der IP-Adresse möglicherweise teilweise rechtswidrig Daten über Nutzeraktivitäten auf der Webseite des Beklagten erfassen und an Drittanbieter entgegen der Voraussetzungen nach Art. 45ff DSGVO weiterleiten, sei allein aus dem Rechtsverstoß noch kein Schaden und damit auch kein Individualanspruch auf Unterlassung gegeben. Im Fall des Klägers hier, der vorträgt Techniker zu sein und eine statische IP-Adresse verwendet zu haben, handelte es sich zwar um ein personenbezogenes Datum, aber aus Sicht des Senats war kein Schaden ersichtlich. Zudem muss für einen Unterlassungsanspruch der rechtswidrige Zustand andauern oder Wiederholungsgefahr bestehen.

Dem Kläger verbleibe die Möglichkeit, sich bei der Aufsichtsbehörde zu beschweren. Individuelle Unterlassungs- und Schadenersatzansprüche bei Datenschutzverstößen dieser Art ohne konkreten Schaden sehe die DSGVO nicht vor.

Dazu Zitat der 16. Senat des OLG Frankfurt (OLG Frankfurt, Urteil vom 30. März 2023 – 16 U 22/22)….. Zitat:”…

Soweit vereinzelt die Auffassung vertreten wird, auf der Basis von Art. 79 DS-GVO könnten auch Unterlassungsansprüche gegen Verantwortliche und Auftragsverarbeiter geltend gemacht werden, betrifft dies meist die (erweiternde) Auslegung von Ansprüchen nach der DS-GVO (so wohl: Kühling/Buchner/Bergt, DS-GVO, 3. Aufl. Art. 79 Rz. 1 und 13;), die oben unter a) erörtert wurden. Soweit daraus abgeleitet wird, es könne auf Unterlassungsansprüche des nationalen Rechts zurückgegriffen werden, vermag der Senat dem aus den vorstehenden Gründen nicht zu folgen (so auch: Leibold/Laoutounai, ZD Aktuell 2021, 05583). Entgegen der Meinung des Klägers wird auch in der obergerichtlichen Rechtsprechung nicht die Auffassung vertreten, wegen Verstößen gegen die DS-GVO könne aufgrund nationalen Rechts – aus §§ 1004 Abs. 1 S. 2, 823 Abs. 1 oder 2 BGB – auf Unterlassung geklagt werden (näher unten III.). Soweit der Kläger sich für seine Rechtsauffassung auf Urteile des Bundesgerichtshofs und von Oberlandesgerichten beruft, betreffen diese Veröffentlichungen in der Presse, bei denen nach Art. 85 Abs. 1 und 2 DS-GVO ergänzende und abweichende nationale Regelungen zur DS-GVO getroffen werden können (so insbesondere die angeführte Entscheidung BGH, Urteil vom 21.1.2021 – I ZR 207/19 Rz. 36 – 44: Bildnisveröffentlichung).

Durch die Beschränkung auf die von der DS-GVO in den Art. 15, 17 und 82 DS-GVO eingeräumten Individualansprüche stehen die von einem Verstoß gegen die Datenverarbeitungsregeln der DS-GVO Betroffenen nicht rechtlos da. Die Aufgabe der Durchsetzung und Überwachung der DS-GVO ist – neben den Individualansprüchen – nach Art. 51 Abs. 1 und Art. 57 Abs. 1 a) DS-GVO grundsätzlich umfassend den Aufsichtsbehörden im Sinne eines „Public Enforcement“ zugewiesen. Die DS-GVO sieht dafür in den Art. 77 und 78 DS-GVO vor, dass der Betroffene sich wegen angenommener Verstöße gegen die DS-GVO mit einer Beschwerde an die Aufsichtsbehörde wenden kann. Im Fall einer ablehnenden Entscheidung steht ihm nach Art. 78 DS-GVO der Klageweg gegen die Aufsichtsbehörde offen (vgl. Kühling/Buchner/Bergt, a.a.O. Art. 78 Rz. 9 ff.). Die Entscheidung des Europäischen Gerichtshofs, auf welche sich der Kläger mit seiner Klage zentral beruft, nämlich das Urteil vom 16.7.2020 (C-311/18, NJW 2020, 559 „Schrems II“), welches die Voraussetzungen für eine Übermittlung von Daten in Drittländer nach den Artt. 45, 46 DS-GVO betrifft, beruht dementsprechend auf einem Ausgangsverfahren, bei dem der Kläger von der Aufsichtsbehörde bestimmte Maßnahmen gegen Facebook verlangt hat. Diese wurden abgelehnt und danach (zunächst) Klage gegen die Aufsichtsbehörde erhoben.

Ein sachlicher Grund für diese Rechtslage, dass Individualansprüche der Betroffenen gegen die Verantwortlichen gerade bezüglich der Einhaltung der Regelungen der Art. 44 ff. DS-GVO nicht vorgesehen wurden, besteht darin, dass über die generelle Frage der Zulässigkeit der Übermittlung ins Ausland auf dem Beschwerdeweg über Datenschutzbehörden einheitlich entschieden werden kann (vgl. Art. 51 Abs. 2 DS-GVO: Mitarbeit der Datenschutzbehörden bei der einheitlichen Anwendung der DS-GVO). Insofern überzeugt der Hinweis, dass die Möglichkeit, sich an Aufsichtsbehörden zu wenden, sachgerechter ist, weil dies abgestimmtes Verhalten ermöglicht und deren Anordnungen – anders als zivilgerichtliche Urteile – nicht nur inter partes wirken (Nink ZD 2022, 238). Schließlich ist darauf hinzuweisen, dass der Betroffenen, dem durch eine rechtswidrige Übermittlung seiner Daten ins Ausland ein Schaden entsteht, ein Schadensersatzanspruch nach Art. 82 DS-GVO zusteht…..”

OLG Frankfurt, Urteil vom 30. März 2023 – 16 U 22/22

Volltext: Volltext des Urteils auf der amtlichen Seite

Ob das richtig ist und vor dem EUGH halten wird, ist aber durchaus fraglich. Nach dem EUGH und Bundesverfassungsgericht ist das Speichern und Senden von Cookies und anderen Codes im Browser der Computer der Nutzer nicht für Marketing- oder sonstige nicht unbedingt technisch notwendige Zwecke ohne ausdrückliche Zustimmung des Nutzers nicht erlaubt. Ebenso auch nach dem deutschen § 25 TTDSG. Das kann man gut finden oder nicht, ist aber jedenfalls eindeutig so geregelt und höchstrichterlich entschieden, weil damit Unternehmen, die Daten an große Tech-Unternehmen wie Google, Amazon, Adobe, Facebook bzw. Meta und weitere senden und auswerten lassen, ohne das sie selbst und geschweige denn der betroffene Nutzer die Kontrolle über die weitere Datenverwendung hat und zudem Google und Co. selbst einräumen, die Daten auch für eigene Zwecke zu verwenden. Die Analyse der Nutzeraktivitäten für Marketingdienste klingt zwar für viele unbedenklich, aber wegen der mangelnden Transparenz und fehlendem effektiven Rechtsschutz ist mit dem völligen Kontrollverlust für die Nutzung der Informationen zu ihrer Person der Kernbereich der informationellen Selbstbestimmung verletzt und gehört genau das, etwa wegen der Manipulations- und Mißbrauchsrisiken etwa für politische Zwecke genau zu den Risiken, vor denen die DSGVO nach den Erwägungsgründen des Normgesetzgebers schützen will. Wenn man sich die Entscheidung des 16. Senats des OLG Frankfurt anschaut, hat dabei die EU aber die Rechnung ohne die deutschen Richter gemacht, die den Schutzzweck der Norm nicht nachvollziehen können. Der Senat hat hier nun Unterlassungsansprüche eines individuellen Nutzers abgelehnt; vermutlich spielt hier auch eine große Rolle, dass wegen der umfangreichen potenziellen Betroffenen die Richter weitere Massenklagen befürchten und schon deshalb besonders kritisch hinterfragen, ob diese Ansprüche wirklich berechtigt sind oder nicht eher mißbräuchlich sind.

Mißbräuchliche Abmahner und Kläger sind seit einiger Zeit leider vermehrt tätig und drangsalieren Unternehmen, das ist in der Tat zu beobachten. Einerseits erscheint es richtig, dass insoweit ein irgendwie feststellbarer, subjektiver Schaden des Betroffenen eingetreten sein muss oder für den vorbeugenden Unterlassungsanspruch zumindest konkret drohen sollte, um deliktische Unterlassungssprüche gerichtlich bei Rechtsverstößen erwirken zu können. Aber um Klarheit zu erhalten, wann ein solcher Schaden vorliegt, müsste eigentlich eine nähere Auseinandersetzung mit dem Schutzzweck der DSGVO bzw. des Verbotes des Trackings zu Marketingzwecken mit Transfer an Datengiganten erfolgen. Daran fehlt es in der Rechtssprechung leider noch weitgehend. Eine solche Auseinandersetzung fehlt auch hier völlig in der Entscheidung und deshalb wird lapidar auch darauf verwiesen, dass kein Schaden ersichtlich sei. So weit zu gehen, dass generell keine individuellen deliktischen Unterlassungsansprüche bei DSGVO-Verstößen dieser Art bestehen, wie der Senat des OLG Frankfurt es hier tut, ist aber aus mehreren Gründen nicht überzeugend:
1) Es entstehen große Wertungswidersprüche wegen der massiven Eingreifbefugnisse der Datenschutzaufsichtsbehörden einschließlich der hohen Bussgelder, die bei Datenschutzverstößen nach der DSGVO vorgesehen sind und teilweise auch ausgesprochen werden.
2) Der Verweis auf die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde erscheint fragwürdig, weil er an der Praxis jedenfalls hier in Hessen vorbei geht. Der Betroffene hatte zunächst vor dem Landgericht Wiesbaden geklagt, dürfte also in Hessen ansässig sein. Einen Schaden hat der Kläger anscheinend selbst nicht behauptet und dazu auch keinen Schadenersatz verfolgt. In der Praxis vieler Aufsichtsbehörden – jedenfalls z.B. hier in Hessen oder Niedersachsen – bleiben Betroffene bei Beschwerden nach meiner Erfahrung aber untätig, wenn sie keinen greifbaren Schaden erkennen können und verweisen z.B. auch bei Datenpannen ihrerseits die Betroffenen auf den Zivilrechtsweg. Es ergibt sich dann also ein Ping-Pong-Spiel, bei dem sowohl die Unternehmen die Verlierer sind, die durch die sehr strengen Regeln der DSGVO massiv belastet werden, als auch die Betroffenen, die bei dieser Rechtssprechung in der Praxis keinen Rechtsschutz erhalten.

Wenn Sie anwaltlichen Rat zum Datenschutzrecht und dem rechtskonformen Einsatz von Tracking-Tools in Ihrem Unternehmen und rund um das Thema benötigen, können Sie hier gerne eine Nachricht zur Kontaktaufnahme senden.

Kategorien
Blogroll Datenschutzrecht Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

OLG Karlsruhe: Krankenhaus darf AWS Hostingdienstleistungen mit Servern in Frankfurt einsetzen

AWS-Cloud der luxemburgischen Tochter kann DSGVO-konform mit vertraglichen Zusage und Servern in Frankfurt eingesetzt werden
Mit Beschluss vom 7.9.2022 hat das OLG Karlsruhe die umstrittene Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 aufgehoben, mit der ein Wettbewerber erfolgreich den Ausschluss eines Anbieters mit AWS-Cloud wegen Verstoß gegen die DSGVO in einem Vergabeverfahren eines öffentlich-rechtlichen Krankenhauses erwirkt hatte. Laut Vorinstanz (Vergabekammer Baden-Württemberg 13.7.2022, – 1 VK 23/22) war das Angebot mit AWS-Cloudservices trotz Vertrag mit der luxemburgischen Tochter und Serverstandort Frankfurt am Main nicht vereinbar mit der DSGVO, weil das latente Risiko eines Zugriffs der US-amerikanischen Mutter bzw. der US-Behörden auf die sensiblen Patientendaten bestehe, und zwar auch dann, wenn wie hier die Daten in einer europäischen Serverumgebung der luxemburgischen Tochtergesellschaft des US-amerikanischen Amazon-Web-Services-AWS-Konzerns gespeichert sind. Laut Vorinstanz sei der Serverstandort Frankfurt am Main unbeachtlich, da allein die latente Möglichkeit des Zugriffs der US-Behörden oder US-Muttergesellschaft Amazon Web Services aufgrund der US-amerikanischen Gesetzeslage ein erhebliches latentes Risiko einer unzulässigen Übermittlung der Patientendaten in die USA darstelle. Die USA ist datenschutzrechtlich ein unsicheres Drittland, in dem europäische Patienten praktisch keinen Rechtsschutz wegen Verletzung ihrer Datenschutz- und Persönlichkeitsrechte haben. Diese umstrittene Entscheidung hatte Aufsehen erregt, da es ja nur um das latente Risiko einer Übermittlung oder Zugriff aus den USA ging, die Server in Frankfurt/Main in einem sicheren Rechenzentrum stehen und AWS vertraglich zusichert, dass kein Zugriff aus Drittländern wie den USA gewährt wird. Nun hat laut Pressemeldung des Gerichts das OLG Karlsruhe mit Beschluss vom 7.9.2022, Aktenzeichen 15 Verg8/22 diese Entscheidung wieder aufgehoben. Die Entscheidung ist rechtskräftig.

Auftraggeber kann sich auf Zusagen verlassen, solange keine anderen Anhaltspunkte bekannt sind
Laut Pressemeldung ist der wesentliche Grund, dass die Krankenhausgesellschaft sich nach Ansicht des Senats durchaus auf die verbindlichen vertraglichen Zusagen des Anbieters verlassen dürfe, dass die Daten allein auf den Servern in Frankfurt am Main der luxemburgischen Tochter von AWS gespeichert bleibe und hierfür auch technische und organisatorische Maßnahmen getroffen worden seien. Erst wenn es tatsächliche Anhaltspunkte dafür gebe, dass die vertraglich gemachten Zusagen insofern nicht eingehalten werden, gelte anderes.

Praxishinweis
Damit hat das OLG Karlsruhe ein für die Praxis wichtige Entscheidung getroffen, wonach unter Umständen auch europäische Tochtergesellschaften, die entsprechende vertragliche und technisch-organisatorische Maßnahmen zum Schutz vor unbefugten Zugriffen getroffen haben, einsetzbar sind. Dies ist für die Praxis in vielen Bereichen wichtig, da gerade im Bereich von Hosting und sonstigen Clouddiensten oft US-amerikanische Unternehmen verbundene Unternehmen der europäischen Anbieter sind und auf diese Weise in vielen Bereichen viele Anbieter für deutsche oder europäische Anwenderunternehmen nicht DSGVO-konform einsetzbar wären, wenn sensible Kunden- oder Mitarbeiterdaten im Spiel sind. update: Die Entscheidung liegt inzwisschen im Volltext OLG Karlsruhe (Az.15 Verg 8/22) vor. Stark verkürzt ergibt sich die wesentliche Begründung bereits aus der Pressemeldung vom 7.9.2022 OLG Karlsruhe Beschluss Az. 15 Verg 8/22

Haben Sie ähnliche Fragen?
Haben Sie Fragen zur DSGVO-Konformität oder andere vertragliche Fragen beim Einsatz eines IT-Dienstleisters? Gerne übernehme ich eine Vertragsprüfung und berate Sie hierzu, damit Sie eine Haftung oder Bußgelder bei Rechtsverstößen vermeiden können. Schreiben Sie mir gerne eine Nachricht mit qualifizierter Anfrage.

Kategorien
Blogroll Datenschutzrecht Internetrecht Medienrecht Uncategorized

Jameda muß Arztprofil löschen – BGH Urteil vom 20. Februar 2018 – VI ZR 30/17

Der BGH hat laut Mitteilung der Pressestelle heute ein weitreichendes Urteil für Bewertungsportale und Werbung im Internet gefällt: Das Arztsuche- und Bewertungsportal muß alle Daten der Ärzte, die nicht gelistet werden wollen, löschen. Warum? Nach den bisherigen Informationen ist die wesentliche Begründung, dass Jameda die Neutralität bei der Listung der Bewertung verlassen habe und könne sich für diese Bevorzugung nicht mehr auf die Meinungsfreiheit ihrer User berufen. Denn Jameda bevorzugt(e) jene Ärzte, die für die Werbung auf Jameda bezahlen in einer Gestaltungsweise, die nicht für den User hinreichend als Werbeanzeige erkennbar ist. Ähnliche Probleme bestehen auch mit anderen Bewertungsportalen und Plattformen im Internet, die Bewertungen anonymer User zulassen, sodaß vermutlich nunmehr auch Hotels, Gastronomie, Handwerker, Anwälte und andere betroffene Berufsgruppen gegen Portalbetreiber vorgehen könnten.

Im einzelnen heißt es laut Pressemitteilung 34/18:

“…Nach § 35 Abs. 2 Satz 2 Nr. 1 BDSG sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist. Dies war vorliegend der Fall.

Der Senat hat mit Urteil vom 23. September 2014 – VI ZR 358/13 (BGHZ 202, 242) für das von der Beklagten betriebene Bewertungsportal bereits im Grundsatz entschieden, dass eine Speicherung der personenbezogenen Daten mit eine Bewertung der Ärzte durch Patienten zulässig ist.

Der vorliegende Fall unterscheidet sich vom damaligen in einem entscheidenden Punkt. Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als “neutraler” Informationsmittler. Während sie bei den nichtzahlenden Ärzten dem ein Arztprofil aufsuchenden Internetnutzer die “Basisdaten” nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens “Anzeige” Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres “Premium”-Kunden – ohne dies dort dem Internetnutzer hinreichend offenzulegen – solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als “neutraler” Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit (Art. 5 Abs. 1 Satz 1 GG, Art. 10 EMRK) gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten (Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK) auch nur mit geringerem Gewicht geltend machen. Das führt hier zu einem Überwiegen der Grundrechtsposition der Klägerin, so dass ihr ein “schutzwürdiges Interesse an dem Ausschluss der Speicherung” ihrer Daten (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG) zuzubilligen ist.