Kategorien
Blogroll Datenschutzrecht Uncategorized Verbraucherschutz Wettbewerbs- und Werberecht

#DSGVO-Compliance: Gerichte entscheiden uneinheitlich zu Unterlassungsklagen bei nicht rechtskonform gestaltetem Einsatz von Marketingtools mit “Drittlandtransfer”

Warum ist das Risiko für Unternehmen beim Einsatz von Marketing-Analysetrackern oft hoch? Weil sie teilweise Verfahrensverzeichnisse mit den Rechtsgrundlagen und Datenschutzverträge mit den Anbietern nicht richtig vorher geprüft haben und daher im Falle eines Rechtsstreits nicht die nötigen Informationen und Dokumente darüber bereitstellen können. Immer wieder ist es schwierig, die nötigen Informationen und Verträge im Unternehmen systematisch zu erfassen und bei Bedarf der Behörde oder dem Betroffenen die korrekten Auskünfte zu erteilen. Das führt immer wieder zu Rechtsstreitigkeiten, erst recht wenn rauskommt, dass die Rechtsgrundlage fehlte.

Während die Arbeitsgerichte mit der Verurteilung zur Unterlassung oder Schadenersatz bei Datenschutzverstößen etwa gegen Auskunftsersuchen nach Art. 15 DSGVO teilweise recht hohe Verurteilungen aussprechen in Deutschland, etwa z.B. ArbG Duisburg Urteil vom 23.3.2023, 3 CA 44/23 – 10.000 Euro Schadenersatz wegen nicht erforderlicher Übermittlung von detaillierten personenbezogenen Daten eines Arbeitnehers und vorsätzlicher Verweigerung der Auskunft, entscheiden die Zivilgerichte noch recht uneinheitlich, wenn es um DSGVO-Verletzungen wegen datenschutzwidrigem Einsatz von Marketing-Tracking-Tools geht. Sowas ist der Fall, wenn ein Unternehmen beim Einsatz von Marketing-Tools personenbezogene Daten über die Nutzeraktivitäten ohne Einwilligung der Betroffenen auf Webseiten oder in E-mail Newslettern an Drittanbieter weiterleiten; das passiert oft so, indem in Webseiten oder marketing-Emails Codes über den Anbieter eingebettet werden, die die Daten weitersenden. Während das Landgericht Köln mit Urteil vom 23.03.2023 Az. 33 O 376/22 auf Antrag der Verbraucherzentrale NRW den Provider Congstar (eine Tochter der Deutschen Telekom) verurteilt hat, es zu unterlassen, ohne Zustimmung der Nutzer deren Daten mittels Drittanbietern wie Google zu Zwecken der Werbung und Retargeting ohne Rechtsgrundlage zu übermitteln, hat der 16. Senat des OLG Frankfurt am Main auf Antrag eines einzelnen Nutzers derartige Unterlassungsansprüche abgelehnt. Der Senat des OLG Frankfurt hat nun entschieden, dass ein Nutzer eines Online-Shops keine Unterlassungsansprüche wegen möglicherweise rechtswidrigem Tracking für Marketingzwecke durch Einbindung von US-Diensten wie z.B. Google gegen den Online-Shop mit Erfolg gerichtlich gelted machen könne. Dem Kläger stehen laut der insoweit umstrittenen Ansicht des Senats keine individuellen Unterlassungsansprüche zu und die Abmahnung sei deshalb auch unbegründet. Die Klageabweisung des Landgerichts Wiesbaden wurde damit bestätigt.

In dem Fall hatte zwar die Beklagte in ihrem Online-Shop ohne Rechtsgrundlage ca. 17 Marketing-Tools zur Datenanalyse und personalisierter Werbung u.a. von Google eingesetzt, um anhand Profildaten und Aktivitäten sowie Ergebnis der Auswertung Marketing-Funktionen auszuspielen z.B. “Folgende Produkte könnten Sie auch interessieren”. Aber, so der 16. Senat, bereits der Unterlassungsantrag sei zu unbestimmt, jedenfalls aber unbegründet, weil kein Schaden ersichtlich sei. Nur weil in Verbindung mit der IP-Adresse möglicherweise teilweise rechtswidrig Daten über Nutzeraktivitäten auf der Webseite des Beklagten erfassen und an Drittanbieter entgegen der Voraussetzungen nach Art. 45ff DSGVO weiterleiten, sei allein aus dem Rechtsverstoß noch kein Schaden und damit auch kein Individualanspruch auf Unterlassung gegeben. Im Fall des Klägers hier, der vorträgt Techniker zu sein und eine statische IP-Adresse verwendet zu haben, handelte es sich zwar um ein personenbezogenes Datum, aber aus Sicht des Senats war kein Schaden ersichtlich. Zudem muss für einen Unterlassungsanspruch der rechtswidrige Zustand andauern oder Wiederholungsgefahr bestehen.

Dem Kläger verbleibe die Möglichkeit, sich bei der Aufsichtsbehörde zu beschweren. Individuelle Unterlassungs- und Schadenersatzansprüche bei Datenschutzverstößen dieser Art ohne konkreten Schaden sehe die DSGVO nicht vor.

Dazu Zitat der 16. Senat des OLG Frankfurt (OLG Frankfurt, Urteil vom 30. März 2023 – 16 U 22/22)….. Zitat:”…

Soweit vereinzelt die Auffassung vertreten wird, auf der Basis von Art. 79 DS-GVO könnten auch Unterlassungsansprüche gegen Verantwortliche und Auftragsverarbeiter geltend gemacht werden, betrifft dies meist die (erweiternde) Auslegung von Ansprüchen nach der DS-GVO (so wohl: Kühling/Buchner/Bergt, DS-GVO, 3. Aufl. Art. 79 Rz. 1 und 13;), die oben unter a) erörtert wurden. Soweit daraus abgeleitet wird, es könne auf Unterlassungsansprüche des nationalen Rechts zurückgegriffen werden, vermag der Senat dem aus den vorstehenden Gründen nicht zu folgen (so auch: Leibold/Laoutounai, ZD Aktuell 2021, 05583). Entgegen der Meinung des Klägers wird auch in der obergerichtlichen Rechtsprechung nicht die Auffassung vertreten, wegen Verstößen gegen die DS-GVO könne aufgrund nationalen Rechts – aus §§ 1004 Abs. 1 S. 2, 823 Abs. 1 oder 2 BGB – auf Unterlassung geklagt werden (näher unten III.). Soweit der Kläger sich für seine Rechtsauffassung auf Urteile des Bundesgerichtshofs und von Oberlandesgerichten beruft, betreffen diese Veröffentlichungen in der Presse, bei denen nach Art. 85 Abs. 1 und 2 DS-GVO ergänzende und abweichende nationale Regelungen zur DS-GVO getroffen werden können (so insbesondere die angeführte Entscheidung BGH, Urteil vom 21.1.2021 – I ZR 207/19 Rz. 36 – 44: Bildnisveröffentlichung).

Durch die Beschränkung auf die von der DS-GVO in den Art. 15, 17 und 82 DS-GVO eingeräumten Individualansprüche stehen die von einem Verstoß gegen die Datenverarbeitungsregeln der DS-GVO Betroffenen nicht rechtlos da. Die Aufgabe der Durchsetzung und Überwachung der DS-GVO ist – neben den Individualansprüchen – nach Art. 51 Abs. 1 und Art. 57 Abs. 1 a) DS-GVO grundsätzlich umfassend den Aufsichtsbehörden im Sinne eines „Public Enforcement“ zugewiesen. Die DS-GVO sieht dafür in den Art. 77 und 78 DS-GVO vor, dass der Betroffene sich wegen angenommener Verstöße gegen die DS-GVO mit einer Beschwerde an die Aufsichtsbehörde wenden kann. Im Fall einer ablehnenden Entscheidung steht ihm nach Art. 78 DS-GVO der Klageweg gegen die Aufsichtsbehörde offen (vgl. Kühling/Buchner/Bergt, a.a.O. Art. 78 Rz. 9 ff.). Die Entscheidung des Europäischen Gerichtshofs, auf welche sich der Kläger mit seiner Klage zentral beruft, nämlich das Urteil vom 16.7.2020 (C-311/18, NJW 2020, 559 „Schrems II“), welches die Voraussetzungen für eine Übermittlung von Daten in Drittländer nach den Artt. 45, 46 DS-GVO betrifft, beruht dementsprechend auf einem Ausgangsverfahren, bei dem der Kläger von der Aufsichtsbehörde bestimmte Maßnahmen gegen Facebook verlangt hat. Diese wurden abgelehnt und danach (zunächst) Klage gegen die Aufsichtsbehörde erhoben.

Ein sachlicher Grund für diese Rechtslage, dass Individualansprüche der Betroffenen gegen die Verantwortlichen gerade bezüglich der Einhaltung der Regelungen der Art. 44 ff. DS-GVO nicht vorgesehen wurden, besteht darin, dass über die generelle Frage der Zulässigkeit der Übermittlung ins Ausland auf dem Beschwerdeweg über Datenschutzbehörden einheitlich entschieden werden kann (vgl. Art. 51 Abs. 2 DS-GVO: Mitarbeit der Datenschutzbehörden bei der einheitlichen Anwendung der DS-GVO). Insofern überzeugt der Hinweis, dass die Möglichkeit, sich an Aufsichtsbehörden zu wenden, sachgerechter ist, weil dies abgestimmtes Verhalten ermöglicht und deren Anordnungen – anders als zivilgerichtliche Urteile – nicht nur inter partes wirken (Nink ZD 2022, 238). Schließlich ist darauf hinzuweisen, dass der Betroffenen, dem durch eine rechtswidrige Übermittlung seiner Daten ins Ausland ein Schaden entsteht, ein Schadensersatzanspruch nach Art. 82 DS-GVO zusteht…..”

OLG Frankfurt, Urteil vom 30. März 2023 – 16 U 22/22

Volltext: Volltext des Urteils auf der amtlichen Seite

Ob das richtig ist und vor dem EUGH halten wird, ist aber durchaus fraglich. Nach dem EUGH und Bundesverfassungsgericht ist das Speichern und Senden von Cookies und anderen Codes im Browser der Computer der Nutzer nicht für Marketing- oder sonstige nicht unbedingt technisch notwendige Zwecke ohne ausdrückliche Zustimmung des Nutzers nicht erlaubt. Ebenso auch nach dem deutschen § 25 TTDSG. Das kann man gut finden oder nicht, ist aber jedenfalls eindeutig so geregelt und höchstrichterlich entschieden, weil damit Unternehmen, die Daten an große Tech-Unternehmen wie Google, Amazon, Adobe, Facebook bzw. Meta und weitere senden und auswerten lassen, ohne das sie selbst und geschweige denn der betroffene Nutzer die Kontrolle über die weitere Datenverwendung hat und zudem Google und Co. selbst einräumen, die Daten auch für eigene Zwecke zu verwenden. Die Analyse der Nutzeraktivitäten für Marketingdienste klingt zwar für viele unbedenklich, aber wegen der mangelnden Transparenz und fehlendem effektiven Rechtsschutz ist mit dem völligen Kontrollverlust für die Nutzung der Informationen zu ihrer Person der Kernbereich der informationellen Selbstbestimmung verletzt und gehört genau das, etwa wegen der Manipulations- und Mißbrauchsrisiken etwa für politische Zwecke genau zu den Risiken, vor denen die DSGVO nach den Erwägungsgründen des Normgesetzgebers schützen will. Wenn man sich die Entscheidung des 16. Senats des OLG Frankfurt anschaut, hat dabei die EU aber die Rechnung ohne die deutschen Richter gemacht, die den Schutzzweck der Norm nicht nachvollziehen können. Der Senat hat hier nun Unterlassungsansprüche eines individuellen Nutzers abgelehnt; vermutlich spielt hier auch eine große Rolle, dass wegen der umfangreichen potenziellen Betroffenen die Richter weitere Massenklagen befürchten und schon deshalb besonders kritisch hinterfragen, ob diese Ansprüche wirklich berechtigt sind oder nicht eher mißbräuchlich sind.

Mißbräuchliche Abmahner und Kläger sind seit einiger Zeit leider vermehrt tätig und drangsalieren Unternehmen, das ist in der Tat zu beobachten. Einerseits erscheint es richtig, dass insoweit ein irgendwie feststellbarer, subjektiver Schaden des Betroffenen eingetreten sein muss oder für den vorbeugenden Unterlassungsanspruch zumindest konkret drohen sollte, um deliktische Unterlassungssprüche gerichtlich bei Rechtsverstößen erwirken zu können. Aber um Klarheit zu erhalten, wann ein solcher Schaden vorliegt, müsste eigentlich eine nähere Auseinandersetzung mit dem Schutzzweck der DSGVO bzw. des Verbotes des Trackings zu Marketingzwecken mit Transfer an Datengiganten erfolgen. Daran fehlt es in der Rechtssprechung leider noch weitgehend. Eine solche Auseinandersetzung fehlt auch hier völlig in der Entscheidung und deshalb wird lapidar auch darauf verwiesen, dass kein Schaden ersichtlich sei. So weit zu gehen, dass generell keine individuellen deliktischen Unterlassungsansprüche bei DSGVO-Verstößen dieser Art bestehen, wie der Senat des OLG Frankfurt es hier tut, ist aber aus mehreren Gründen nicht überzeugend:
1) Es entstehen große Wertungswidersprüche wegen der massiven Eingreifbefugnisse der Datenschutzaufsichtsbehörden einschließlich der hohen Bussgelder, die bei Datenschutzverstößen nach der DSGVO vorgesehen sind und teilweise auch ausgesprochen werden.
2) Der Verweis auf die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde erscheint fragwürdig, weil er an der Praxis jedenfalls hier in Hessen vorbei geht. Der Betroffene hatte zunächst vor dem Landgericht Wiesbaden geklagt, dürfte also in Hessen ansässig sein. Einen Schaden hat der Kläger anscheinend selbst nicht behauptet und dazu auch keinen Schadenersatz verfolgt. In der Praxis vieler Aufsichtsbehörden – jedenfalls z.B. hier in Hessen oder Niedersachsen – bleiben Betroffene bei Beschwerden nach meiner Erfahrung aber untätig, wenn sie keinen greifbaren Schaden erkennen können und verweisen z.B. auch bei Datenpannen ihrerseits die Betroffenen auf den Zivilrechtsweg. Es ergibt sich dann also ein Ping-Pong-Spiel, bei dem sowohl die Unternehmen die Verlierer sind, die durch die sehr strengen Regeln der DSGVO massiv belastet werden, als auch die Betroffenen, die bei dieser Rechtssprechung in der Praxis keinen Rechtsschutz erhalten.

Wenn Sie anwaltlichen Rat zum Datenschutzrecht und dem rechtskonformen Einsatz von Tracking-Tools in Ihrem Unternehmen und rund um das Thema benötigen, können Sie hier gerne eine Nachricht zur Kontaktaufnahme senden.

Kategorien
Blogroll Datenschutzrecht Internetrecht Uncategorized

EUGH hat das US-Privacy Shield für ungültig erklärt – Handlungsempfehlungen für KMU.

Was müssen Webseitenbetreiber und Nutzer von sonstigen Cloud-Diensten US-amerikanischer Anbieter nun tun, nachdem der EUGH das US-Privacy Shield (im Urteil vom 16.07.2020 in der Rechtssache Max Schrems gegen Facebook) für ungültig erklärt hat?
Geschäftliche Nutzer von Clouddiensten z.B. Webseitenbetreiber von WordPress-Webseiten oder Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter einsetzen, sollten nun prüfen, ob hinsichtlich der Übermittlung personenbezogener Kunden- und Mitarbeiter- oder auch nur Nutzerdaten von Nutzern der Webseite, Data Privacy Agreements oder „Data Privacy Addendum“ vorliegen, die sie mit den Anbietern abgeschlossen haben sollten und ob diese inhaltlich die Vorgaben der EU-Kommission zur Verwendung von EU-Standardvertragsklauseln (Data Controller to processor EU-Data Standard Model Clauses) nach Art. 45 DSGVO beinhalten. Denn diese Standardvertragsklauseln hat der EUGH ausdrücklich als gültig bestätigt.
Grund: Der EUGH hat mit Urteil von heute 16.07.2020 in der Rechtssache Max Schrems gegen Facebook verkündet, dass das US-Privacy Shield unwirksam ist und kein angemessenes Datenschutzniveau im Sinne von Art. 46 DSGVO gewährleistet. Im wesentlichen hat er das – zu Recht – damit begründet, dass die USA dieses Abkommen nicht einhalten, insbesondere EU-Bürger keinen wirksamen Rechtsschutz in den USA zur Wahrung ihrer Datenschutzrechte nach der DSGVO haben, vor allem ist der nach dem US-Privacy Shield Abkommen zugesicherte Ombudsmann tatsächlich nicht wirklich arbeitsfähig und erreichbar für EU Bürger. Das Urteil ist nicht überraschend, weil schon lange u.a. auch vom EU-Parlament diese Missstände angeprangert und moniert wurden.
Das bedeutet, wer Clouddienste U.S.-amerikanischer Anbieter nutzt und darin Nutzer IDs, IP-Adressen, und ähnliche personenbezogene Daten von den Cloud Diensten verarbeiten lässt, benötigt Verträge zum Datenschutz, die die EU-Standardvertragsklauseln (EU-Data Processing Model Clauses Controller to Processor) bei Auftragsverarbeitungen im Sinne von Art. 28 DSGVO oder Processor to Processor Model Clauses bei sog. Gemeinsamen Verantwortlichen nach Art. 26 DSGVO verwendet.
Den Abschluss der entsprechenden Verträge, die nach der DSGVO auch elektronisch erfolgen können, etwa über AGB, müssen Sie z.B. als Webseitenbetreiber oder Arbeitgeber zuverlässig als verantwortliche Stelle nach Art. 5 DSGVO nachweisen können. Die US-Anbieter ordnen Sie nämlich nicht unbedingt als EU-Kunde ein, wenn Sie die entsprechenden Zusatzvereinbarungen nicht abgeschlossen haben, weil es darauf ankommt, wessen personenbezogene Daten Sie nach Ihrem Geschäftsmodell zu welchen Zwecken verarbeiten. Da die USA weitestgehend und Südamerika sowieso keine angemessenen Datenschutzgesetzte hat (außer Kalifornien und Canada) wird von vielen US-Anbietern ohne dokumentiertem Abschluss der entsprechenden Zusatzvereinbarungen diese auch nicht aktiviert.
Praxistipp: Sie sollten nun zur Vermeidung von Abmahnungen oder hohen Bussgeldern wegen Verstößen gegen die Vorschriften des Datenschutzrechtes für die Internetseite und sonstige Prozesse, bei denen US-Clouddienste in Ihrem Unternehmen zum Einsatz kommen, die Liste Ihrer verwendeten US-Anbieter z.B. anhand Ihrer Datenschutzhinweise und Verarbeitungsverzeichnisse durchgehen und prüfen lassen, ob für die Dienste vom Anbieter die entsprechenden Data Privacy Addendums oder sonstige entsprechende Data Processing Terms vorliegen, die die Voraussetzungen der EU-Kommission zu den o.g. Angemessenheitsbeschlüssen erfüllen, die – soweit noch nicht geschehen – abschließen und das dokumentieren. Ferner sollten Sie Ihre Verarbeitungsverzeichnisse sowie Datenschutzhinweise gemäß DSGVO anpassen und die entsprechenden Passagen, die auf das nicht mehr gültige EU-Privacy Shield nach Art. 46 DSGVO z.B. in Ihren Datenschutzhinweisen rekurrieren, abändern. Viele US-Anbieter wie z.B. Automattic Inc. mit Sitz in den USA – WordPress.com stellen entsprechende Data Privacy Addendums bereits zur Verfügung, weil diese Entscheidung des EUGH absehbar war.

Standardvertragsklauseln können aber laut EUGH Urteil vom 16.07.2020 – Schrems II nur dann eingesetzt werden, wenn sie nach den konkreten Umständen auch von den Vertragsparteien eingehalten werden können. Das könnten etwa besondere Verschlüsselungen sein, die gewährleisten, daß die US-Behörden und der US-Anbieter faktisch nicht auf die zu schützenden Inhalts- und Metadaten zugreifen können und wenn der Anbieter garantiert, dass die Server in der EU sich befinden in gesicherten Rechenzentren. Dann können ggfs. EU-Standardvertragsklauseln auch mit US-Anbietern geschlossen werden. Klar dazu hat sich der EUGH allerdings nicht geäussert. Falls der US-Cloud Anbieter keine rechtmäßigen Vertragsklauseln der beschriebenen Art anbietet, ist zu prüfen, ob ggfs. Ausnahmetatbestände anwendbar sind. Das ist nach Art. 49 Abs. 1 a DSGVO zum einen eine Einwilligung des Betroffenen, die ausdrücklich gegeben wird, nachdem der Betroffene auf die besonderen Risiken hingewiesen wurde. Das ist derzeit z.B. bei Cookie Consent Managern für Webseiten (Also die Banner, die bei Aufruf von Webseiten zunächst für die Cookies fragen, ob diese zugelassen werden oder abgelehnt werden) – ein Anwendungsfall, wenn nicht erforderliche Cookies von Anbietern wie Google, Facebook, Adobe usw. aus Drittländern eingesetzt werden sollen und hierfür eine Einwilligung zu deren Aktivierung benötigt wird. Ferner zählt Art. 49 noch eine Reihe weiterer Ausnahmetatbestände auf wie etwa, wenn die Drittlandübermittlung z.B. zum Schutze lebenswichtiger Interessen der betroffenen Person erforderlich ist. Art. 49 DSGVO Die Prüfung und Anpassung der Prozesse, ggfs. Wechsel von Anbietern oder zumindest Änderungen von deren Verträgen und Einbindungen sowie der Datenschutzhinweise erfordern nun Aufwand. Dieser ist aber wohl unvermeidlich, denn weder der EUGH noch die Aufsichtsbehörden billigen nach ihren Reaktionen auf das Urteil relevante Umsetzungsfristen zu. Zwar wird eine Umsetzungfrist dann in der Praxis für eine kurze Übergangszeit aus Verhältnismäßigkeitsgründen den Unternehmen eingeräumt werden. Wegen der Unklarheit, wie lange diese eingeräumt wird, ist es aber nur eine Frage der Zeit, dass einzelne “schärfere” Aufsichtsbehörden aufgrund von Beschwerden oder wiederholender Datenpannen tätig werden und Bussgeldverfahren einleiten werden. Amtliche Bussgelder aufgrund von DSGVO-Verstössen – soweit teilweise amtlich bestätigt oder veröffentlicht – können teilweise hier nachgelesen werden (ohne Anspruch auf Vollständigkeit): https://www.enforcementtracker.com/ oder hier https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php Die Stellungnahme der Datenschutzkonferenz der deutschen Datenschutzaufsichtsbehörden vom 28.07.2020: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf verweist auf die Stellungnahme des EDSA (Europäischer Datenschutzausschuss bei der EU): https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de Dieser antwortet recht streng auf die Frage, ob es eine Umsetzungsfrist gibt: “No, the Court has invalidated the Privacy Shield Decision without maintaining its effects, because the U.S.law assessed by the Court does not provide an essentially equivalent level of protection tothe EU. This assessment has to be taken into account for any transfer to the U.S. …” FAZIT: Vor diesem Hintergrund antworten derzeit die deutschen Aufsichtsbehörden auf die Frage nur vage und zähneknirschend mit: “zeitnah” – was auch immer das nun dann in den Augen der Gerichte, die später bei Streitfällen zu entscheiden haben werden, sein wird. Dort, wo es möglich und zumutbar ist, sollten Unternehmen daher unbedingt unverzüglich auf EU-Anbieter umstellen oder die o.g. angesprochenen Änderungen und Anpassungen vornehmen.