Kategorie: Wettbewerbsrecht

Mehr Datenschutzoptionen für Google-Nutzer

9. Oktober 2023

Aufgrund eines vom Bundeskartellamt eingeleiteten Missbrauchsverfahren hat der Mutterkonzern von Google, Alphabet, im Rahmen einer Einigung zugesagt, den Nutzern mehr Wahlmöglichkeiten über die Sammlung ihrer Daten zu geben oder die Verarbeitungskonditionen zu präzisieren. Nutzer sollen laut der Verpflichtungszusage mehr Entscheidungsoptionen darüber haben, welche personenbezogenen Daten dienstübergreifend im Google-Konzern gesammelt, analysiert und möglicherweise zu Profilen verknüpft werden.

Die Änderungen: Mehr Auswahlmöglichkeiten und keine Manipulation

Google soll im Rahmen der Änderungen den Nutzern mehr Möglichkeiten bieten, um festzulegen, wie ihre Daten verwendet werden. Zuvor bestanden keine ausreichenden Entscheidungsmöglichkeiten hinsichtlich des Umstands, des Zwecks und der Art und Weise der dienstübergreifenden Datenverarbeitungen. Die Neuerungen betreffen insbesondere Vorgänge innerhalb der verschiedenen Dienste des Konzerns, wenn persönliche Informationen hieraus zusammengefasst oder verwendet werden sollen. Betroffen könnten mehr als 25 Funktionen sein, wie z. B. Google News oder Gmail. Dabei dürfen die Selektionsoptionen die Nutzer nicht durch einflussnehmende Designmechanismen (z. B. “Dark Patterns”) dazu verleiten, der Datenverarbeitung über verschiedene Dienste hinweg zuzustimmen.

Für größere von der EU-Kommission als Gatekeeper-Angebote bezeichnete Google-Dienste wie etwa Shopping, Maps oder Search gelten ‚nur‘ die Anforderungen des Digital Markets Act (DMA). Verarbeitet Google hingegen keine Daten dienstübergreifend und legen die Verarbeitungsbedingungen dies eindeutig fest, müssen lediglich die Datenschutz-Grundverordnung (DSGVO) und ihre Opt-in-Vorgaben beachtet werden.

Ziel der Anpassungen

Das Hauptziel des Kartellamts ist hierbei sicherzustellen, dass die Nutzer ihre Zustimmung zur Verarbeitung ihrer Daten über mehrere Dienste hinweg gemäß der DSGVO freiwillig, informiert und eindeutig für alle Fälle erteilen können.

Laut Andreas Mundt, der Präsident des Bundeskartellamtes, stärke dieser bedeutende Schritt das Selbstbestimmungsrecht der Nutzer und reduziere gleichzeitig Googles Marktmacht, die insbesondere auf der überlegenen Masse an verfügbaren Daten beruhe. Die Datensammlung und -verarbeitung sei das „Fundament der Marktmacht“ solcher „Internet-Riesen“. Hierin liege ein entscheidender wettbewerblicher Vorteil im Vergleich zu kleineren Unternehmen.

Fazit

Google wird nun dem Bundeskartellamt innerhalb von drei Monaten einen Umsetzungsplan vorlegen. Der Fall ist aber vor allem interessant für die Frage, inwieweit das Kartellamt bei der Kontrolle von Datenverarbeitungsmethoden zuständig ist. Erkennbar ist hier ein Zusammenspiel von DMA und den nationalen erweiterten Aufsichtsbefugnissen. Dort, wo keine Regulierung durch den DMA mangels Gatekeeper-Status greift, wurden nationale kartellrechtliche Vorschriften herangezogen. Dass in diesem Fall die nationalen Vorschriften nicht für die Gatekeeper gelten sollen, wurde im Verfahren von Google selbst vorgetragen. Insofern stellt sich die Frage, ob für ‘kleinere’ Unternehmen auf Grund nationaler Vorschriften höhere Anforderungen gestellt werden. Trotzdem stellt die Verpflichtungszusage allgemein einen weiteren Schritt hinsichtlich einer flexiblen Selbstbestimmung für Nutzer von Google-Diensten dar.

Die Meta-Entscheidung des EuGH

2. August 2023

Am 4. Juli 2023 fällte der Europäische Gerichtshof (EuGH) sein Urteil bezüglich der Meta-Entscheidung des Bundeskartellamts. Der EuGH scheint  eine bislang offene juristische Frage geklärt zu haben: Kann eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden, wenn die ursprünglich angegebene Grundlage unwirksam ist, etwa wenn eine Einwilligung rechtswidrig erfolgt ist?

Das Verfahren

Der Hintergrund des Verfahrens liegt in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen. Das Bundeskartellamt (BKartA) sah darin einen Missbrauch der marktbeherrschenden Stellung von Meta. Deswegen erließ das Bundeskartellamt erließ 2019 einen Beschluss gegen Meta, der Gegenstand des vorliegenden Gerichtsverfahrens war. In diesem Beschluss untersagte das Bundeskartellamt Meta, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” genehmigen zu lassen.

Off-Facebook-Daten

Bei den Off-Facebook-Daten handelt es sich um Informationen, die Meta außerhalb von Facebook, Instagram oder WhatsApp sammelt. Diese Daten werden durch das Werbenetzwerk von Meta auf zahlreichen Webseiten und Apps sowie den zum Meta-Konzern gehörenden Online-Diensten erfasst. Mithilfe dieser Off-Facebook-Daten kann Meta das Konsumverhalten, die Interessen, die Kaufkraft und die Lebenssituation der Nutzer in Profilen erfassen. Auf dieser Grundlage können gezielte und personalisierte Werbenachrichten an die Facebook-Nutzer gesendet werden.

BKartA rügt Metas Nutzungsbedingungen

Die Nutzungsbedingungen müssten vielmehr klarstellen, dass diese Daten nur mit ausdrücklicher Einwilligung verarbeitet und mit dem Facebook-Nutzerkonto verknüpft werden. Darüber hinaus dürfe die Einwilligung nicht zur Voraussetzung für die Nutzung des sozialen Netzwerkes gemacht werden. Das Bundeskartellamt war der Ansicht, dass durch diese Gestaltung der Nutzungsbedingungen, die nicht den Marktverhaltensregeln und Werten der DSGVO entspricht, Meta seine marktbeherrschende Stellung missbrauche. Kurz darauf, noch im Jahr 2019, änderte Meta seine eigenen Nutzungsbedingungen dahingehend, dass die Nutzer bei der Nutzung von Facebook-Produkten in die Verarbeitung von Off-Facebook-Daten einwilligen müssen, da ansonsten für die Services keine Kosten entstehen würden.

Gegen diesen Beschluss des Bundeskartellamts legte Meta gerichtlichen Widerspruch ein. Im Laufe dieses Verfahrens wandte sich das Oberlandesgericht (OLG) Düsseldorf in einem sogenannten Vorlageverfahren an den EuGH. Bei einem Vorlageverfahren entscheidet der EuGH nicht als höhere Instanz über den jeweiligen Rechtsstreit, sondern beantwortet spezifische Fragen zur Auslegung des Europäischen Rechts, wie beispielsweise der DSGVO.

Die Vorlage an den EuGH

Der EuGH hat ausschließlich zu den spezifischen Fragen des vorlegenden Gerichts Stellung genommen, und die Antworten des EuGH sind für das OLG Düsseldorf bindend, wenn es seine eigene Entscheidung in der Sache trifft. Letztendlich liegt die endgültige Entscheidung in der Zuständigkeit des OLG Düsseldorf.

Das Urteil hat auch erhebliche Auswirkungen auf zukünftige Bewertungen im Bereich des Datenschutzes. Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Jedoch hat der EuGH wiederholt betont, dass Marketing weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden. Somit wird auch in Zukunft Werbung ohne Einwilligung möglich sein.

Das Urteil scheint auch eine bisher ungeklärte Frage zu beantworten, nämlich ob alternative Rechtsgrundlagen aus Art. 6 Abs. 1 lit. b-f DSGVO überhaupt herangezogen werden können, wenn eine zuvor erteilte Einwilligung als rechtswidrig erachtet wird. Der EuGH betont jedoch, dass solche alternativen Rechtsgrundlagen in solchen Fällen eng auszulegen sind.

BfDI Professor Ulrich Kelber äußerte sich dazu wie folgt: “Ich bin erfreut darüber, dass der EuGH anerkennt, wie wichtig die Einhaltung von Datenschutzanforderungen für den Wettbewerb ist und dass Kartellbehörden befugt sind, die Vereinbarkeit des Verhaltens von Unternehmen mit dem Datenschutzrecht zu überprüfen. Mein Glückwunsch geht an das Bundeskartellamt für diesen Erfolg.”

Zusammenarbeit zwischen Datenschutz- und Kartellbehörden

Der EuGH klärte auch, dass Verstöße gegen die DSGVO vorrangig von Datenschutzaufsichtsbehörden festgestellt werden sollten. Das bedeutet, dass das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden in datenschutzrechtliche Fragen einbeziehen muss, bevor es eigene Entscheidungen trifft.

Hierzu kommentierte der BfDI: “Kartell- und Datenschutzaufsichtsbehörden können datengetriebene Geschäftsmodelle nur erfolgreich regulieren, wenn sie eng zusammenarbeiten. Das bestätigt die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren. Gemeinsam mit unseren europäischen Kolleginnen und Kollegen werde ich die Entscheidung in der Task Force des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und Best Practices für eine effiziente Zusammenarbeit festlegen, damit Bürgerinnen und Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen geschützt werden. Die Erfahrungen der Zusammenarbeit in Deutschland sind dafür eine gute Grundlage.”

Fazit

Zusammenfassend lässt sich festhalten, dass Onlinemarketing auch in Zukunft weiterhin möglich sein wird. Obwohl diese Entscheidung sich speziell auf den Einzelfall Meta konzentriert hat, enthält sie dennoch neue und wertvolle Erkenntnisse, die auch für die Bewertung anderer Social Media Dienste relevant sein könnten, die keine marktbeherrschende Position innehaben und weniger Daten sammeln oder andere Techniken verwenden.

Bundesgerichtshof: Unerwünschte Inbox-Werbung ist rechtswidrig

10. Juni 2022

E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19). 

In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet. 

Vergleichbar mit Spam-E-Mails 

Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis. 

Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein. 

Allgemeine Einwilligung nicht wirksam 

Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden. 

Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.

Verbraucherschützer dürfen gegen Meta klagen

29. April 2022

Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten stellvertretend für einzelne Nutzer klagen.  Demnach müssen sich Facebook und perspektivisch auch andere Digitalkonzerne nun in der Zukunft Verbandsklagen stellen. Nach Ansicht der Richter ist eine solche Klageunabhängig von einer Verletzung eines subjektiven Rechts einer bestimmten Person und ohne entsprechenden Auftrag zulässig. Dies hat der Europäische Gerichtshof (EuGH) am 28.04.2022 entschieden.

Der EuGH entscheidet auf Vorlage des deutschen Bundesgerichtshofes (BGH) hin. In dem Verfahren zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Konzern Meta geht es darum, ob ein potenzieller Datenschutzverstoß des Betreibers eines sozialen Netzwerks auch wettbewerbsrechtliche Unterlassungsansprüche begründet und dementsprechend von Verbraucherschutzverbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.

Der Rechtsstreit dreht sich um das von Facebook betriebene App-Zentrum, über das kostenlos Online-Spiele von Drittanbietern von Facebook bereitgestellt werden. Der Nutzer erteilt hier mit dem Button “Sofort spielen” den Anbietern der Spiele seine Einwilligung, viele persönliche Daten zu verarbeiten und auszuwerten. Nach Ansicht des Verbraucherverbands werde diese Einwilligung nicht auf Grundlage einer verständlichen und präzisen Information über die Datenverarbeitungen eingeholt. Der Verbraucherverband sieht deshalb keine wirksame Einwilligung in die Datenverarbeitung. Er sieht in diesem Vorgehen zudem einen wettbewerblichen Verstoß.

Der BGH hatte grundsätzlich keine Zweifel daran, dass ein Vorgehen mittels wettbewerbsrechtlicher Unterlassungsansprüche begründet sein könnte. Zweifel meldete der BGH an der Zulässigkeit der Geltendmachung durch den Verband an. Schließlich seien die Aufsichtsbehörden dafür zuständig, die Einhaltung der Europäischen Datenschutz-Grundverordnung (DGSVO) zu überprüfen.

Inhalt der Entscheidung

Der EuGH stellt nun fest, dass die DSGVO einer nationalen Regelung nicht entgegensteht, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Datenschutzverletzer eine Art Sammelklage erheben kann. Er urteilte, dass ein Verband zur Wahrung von Verbraucher:inneninteressen wie der vzbv unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung falle, da er ein im öffentlichen Interesse liegendes Ziel verfolge. Ein Auftrag betroffener Nutzerinnen oder Nutzer sei hierfür nicht erforderlich. Es reiche aus, wenn die Rechte “identifizierbarer natürlicher Personen” betroffen und nach Überzeugung des Verbands verletzt sind. Nach dem Urteil des EuGH kann nun der BGH entscheiden und wird der Klage sehr wahrscheinlich in gewissem Umfang stattgeben.

Jedenfalls öffnet das Urteil des EuGH nun weiteren Verbandsklagen Tür und Tor, denen sich die Digitalkonzerne werden stellen müssen. Das bietet eine Chance für eine effektivere Durchsetzung der DSGVO.

Klarnas neue “Super-App” in der Kritik

6. Januar 2022

Der Online-Bezahldienstleister Klarna sieht sich einiger Kritik bezüglich des Datenschutzes in seiner “Super-App” ausgesetzt. In den vergangenen Wochen sind bei der Berliner Datenschutz-Aufsichtsbehörde einige Beschwerden von Nutzerinnen und Nutzern eingegangen.

Klarnas noch recht neue App vereint die bereits bekannte Zahlmöglichkeit direkt mit dem Online-Shopping. Viele Händler wurden bereits in die App integriert, sodass eine separate Anmeldung bei den einzelnen Online-Shops nicht mehr notwendig ist. Sogar der Versand und das Paket-Tracking sind in der App möglich. Dadurch erhält Klarna neben den Bezahldaten auch alle anderen Informationen zu Bestellungen und Kaufverhalten der Nutzer, anhand derer personalisierte Angebote und Werbung generiert und an die Nutzerinnen und Nutzer ausgespielt werden können.

Rund die Hälfte der Beschwerden bezieht sich auf die Rechte der Nutzerinnen und Nutzer auf Auskunft oder Löschung ihrer Daten. Ein weiteres großes Problem ist die Datenschutzerklärung, die etwa 14.000 Wörter lang ist. Art. 12 DSGVO verlangt jedoch, dass die Informationen in “präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache” zur Verfügung gestellt werden. Auch inhaltlich könne die Datenschutzerklärung nicht überzeugen, sondern sei vielmehr eine “grandiose Nebelmaschine”.

Verbände legen Beschwerde gegen Apple beim Bundeskartellamt ein

28. April 2021

Apples neue Datenschutzfunktionen sorgen für Unruhe unter mehreren Medien- und Werbeverbände. Nun haben sie Wettbewerbsbeschwerde gegen den US-Konzern beim Bundeskartellamt eingelegt.

Künftig sollen Apps auf Apples Endgeräten, konkret dem iPhone und iPad mit Softwareversion iOS 14.5, den Benutzer um Erlaubnis fragen, bevor dessen Verhalten für Werbezwecke verfolgt werden kann. Das neue Verfahren mit dem Namen „App Tracking Transparency“ (ATT) kündigte Apple bereits vergangenen Sommer an, hatte die tatsächliche Einführung allerdings verschoben, um App-Anbietern Zeit für die Umstellung zu geben. Vor allem der Streit mit Facebook in Bezug auf Apples geplanten Änderungen sorgte dabei für große Aufmerksamkeit (wir berichteten). Da nun die Möglichkeit besteht, dass viele Benutzer einem Tracking nicht zustimmen, fürchten viele Anbieter um ihr Werbegeschäft.

Der Grund für die Beschwerde vor dem Bundeskartellamt ist allerdings ein anderer. Während Apps von Drittanbieter eine wirksame Einwilligung einholen müssen, geht Apple selbst einen anderen Weg. Eigene Dienste sind von der Änderung nämlich ausgenommen und können weiterhin die Daten der Nutzer sammeln. Die Beschwerdeführer, unter anderem der Zentralverband der deutschen Werbewirtschaft ZAW, die Organisation der Mediaagenturen OMG, der Markenverband, sowie die Verlegerverbände BDZV und VDZ sehen darin einen Versuch, „der Werbewirtschaft den Zugriff auf wettbewerbsrelevante Daten unzulässig zu erschweren“ und die Medienvielfalt zu gefährden. Damit muss nun eine Entscheidung des Bundeskartellamtes abgewartet werden.

Über die weitere Enwicklung werden wir Sie hier auf dem Laufenden halten

Facebook-Klage des Bundeskartellamts vor dem EuGH: von Düsseldorf nach Luxemburg

31. März 2021

Das Bundeskartellamt will das Datensammeln von Facebook einschränken. Dies sollten Richter vom Oberlandesgericht (OLG) Düsseldorf klären. Nun hat das OLG Düsseldorf im Rechtsstreit zwischen Facebook und dem Bundeskartellamt einige entscheidungserhebliche Fragen zum EU-Datenschutzrecht dem Gerichtshof der Europäischen Union (EuGH) in Luxemburg zur Vorabentscheidung vorgelegt. 

Bisheriger Ablauf des Verfahrens

Das Bundeskartellamt hatte dem US-Internetkonzern im Jahr 2019 Beschränkungen für den Austausch von Daten auferlegt, worüber wir bereits berichteten. Die Behörde argumentierte: das Ausmaß, in dem Facebook Daten ohne Zustimmung der User sammelt und zwischen seinen Diensten teilt, stelle einen Missbrauch seiner Marktmacht dar. 

Die Behörde hatte dem Konzern untersagt, Nutzerdaten der Facebook-Töchter WhatsApp und Instagram sowie Webseiten anderer Anbieter mit den Facebook-Konten der Nutzer zu verknüpfen, sofern der Nutzer in diese Datenerhebung und Datenverwendung nicht zuvor nach den Bestimmungen der DSGVO eingewilligt hat. Und falls die User ihre Erlaubnis nicht geben, dürfe Facebook sie nicht von den Diensten ausschließen. Eine solche Entflechtung der Datenströme hätte weitreichende Folgen für Facebooks Geschäftsmodell.

Der Präsident des Bundeskartellamts hatte damals insbesondere die Zusammenführung der Daten von unterschiedlichen Plattformen (Facebook, WhatsApp und Instagram) kritisiert. Der Düsseldorfer Oberlandesrichter Jürgen Kühnen erklärte seinerseits, dass die Datennutzung durch Facebook nicht zu einem Missbrauch der marktbeherrschenden Stellung führe. Wie wir bereits berichteten, folgte eine Berufungsklage des Kartellamts vor dem Bundesgerichtshof in Karlsruhe. Der BGH teilte die Meinung der Bundeskartellbehörde.

Entscheidung im Hauptsacheverfahren

Nun befasste sich das Düsseldorfer Gericht im Hauptsacheverfahren erneut mit der Akte, um ein endgültiges Urteil zu verkünden. Die zentrale Frage lautet: Dürfen Wettbewerbshüter das Kartellrecht als Werkzeug benutzen, um den Datenschutz durchzusetzen – oder überschreiten sie damit ihre Kompetenz? Dabei kam das Gericht laut Pressemitteilung zu folgendem Ergebnis: „Ob Facebook seine marktbeherrschende Stellung als Anbieter auf dem Markt für soziale Netzwerke deshalb missbräuchlich ausnutzt, weil es die Daten seiner Nutzer unter Verstoß gegen die DSGVO erhebt und verwendet, kann ohne Anrufung des EuGH nicht entschieden werden.“ Das OLG kann somit nicht ohne das EU-Gericht entscheiden, ob der US-Internetkonzern seine marktbeherrschende Stellung ausnutzt, weil er Daten seiner Nutzer unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Denn zur Auslegung des europäischen Rechts sei der EuGH berufen.

Dabei bekräftigte Kühnen die frühere Beurteilung seines Gerichts. Das OLG wird in den kommenden Wochen eine formelle schriftliche Eingabe an den EuGH machen und den Fall offiziell übergeben.

Ausblick

Der EuGH soll entscheiden, ob der US-Internetkonzern eine marktbeherrschende Stellung ausnutzt, indem er Daten seiner Nutzer und Nutzerinnen unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Zu klären ist zudem, ob eine nationale Kartellbehörde DSGVO-Verstöße feststellen und dagegen vorgehen kann. Auch die Definition sensibler Daten soll genauer eingegrenzt werden. Bis zu einer Antwort wird das Verfahren am OLG ausgesetzt.

„Energieversorgerpool“ darf nicht zu gläsernen Verbrauchern führen

22. März 2021

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 15.03.2021 einen Beschluss veröffentlicht, der den von Auskunfteien und Energieversorgern geplanten Energieversorgerpool zum Thema hat.

Der Energieversorgerpool ist eine zentrale Datenbank, in der Daten von Kunden zu Strom- und Gasverträgen gespeichert werden sollen. Hintergrund ist, dass viele Kunden sich von Neukundenangebot zu Neukundenangebot hangeln, um entsprechende Neukundenboni abzugreifen (s.g. Bonushopper). Um diesem, aus Sicht der Energieversorger unliebsamen Verbraucherverhalten entgegenzutreten, sollen solche Bonushopper in einer speziellen Datenbank gespeichert werden.

Die DSK bewertet diese als Energieversorgerpool benannte Datenbank als rechtswidrig. Nach Auffassung der DSK hat jeder Bürger „das Recht, den Wettbewerb zwischen den Energieversorgern zu nutzen und am Markt nach günstigen Angeboten zu suchen.

Es war gerade das Ziel des Gesetzgebers, durch die Liberalisierung des Energiemarktes einen wirksamen und unverfälschten Wettbewerb bei der Versorgung mit Elektrizität und Gas zu ermöglichen. Der Versuch, preisbewusste und wechselfreudige Verbraucher*innen zu identifizieren und sie ggf. von bestimmten Angeboten auszuschließen, liefe dieser Zielsetzung zuwider.“

Zwar soll die Datenbank, neben den „schwarzen Schafen“ in Form der Schnäppchenjäger, auch langjährige loyale Kunden umfassen – quasi als Positivdaten – jedoch haben alle Kunden gleichermaßen das Recht, dass ihre Daten nicht über den Vertragszweck hinaus verarbeitet werden dürfen.

Die DSK verneint in der Speicherung und Übermittlung der Kundendaten an einen Energieversorgerpool ein berechtigtes Interesse der Energieversorger gem. Art. 6 Absatz 1 Satz 1 lit. f) DS-GVO und sieht darin einen gefährlichen Schritt auf dem Weg zum gläsernen Verbraucher.

OVG Saarlouis: Daten aus E-Mail-Angaben dürfen Unternehmen nicht für Telefonwerbung verwenden

19. März 2021

Personenbezogene Daten, die Verbraucher in E-Mails angeben, dürfen von Unternehmen nicht für andere Werbezwecke genutzt werden. Das entschied das Oberverwaltungsgericht Saarlouis durch Beschluss vom 16.02.2021 (Az. 2 A 355/19) und bestätigte damit ein Urteil des Verwaltungsgerichts Saarlouis vom 29.10.2019 (Az. 1 K 732/19). Durch die Angabe einer Telefonnummer in einer E-Mail, willigt der Verbraucher nicht automatisch in Werbeanrufe ein. Nutzen Unternehmen die Telefonnummer für Werbeanrufe, liegt darin ein Verstoß gegen die DSGVO.

Hintergrund der Entscheidung:

Die Klägerin, ein Unternehmen, ist im Bereich der Versicherungsvermittlung, der Vermögensanlage sowie der Finanzierung tätig. Im Rahmen dieser Tätigkeit betrieb sie auch telefonische Werbetelefonate. Zwei Betroffene, die ebenfalls zu Werbezwecken von der Klägerin kontaktiert worden waren, beschwerten sich bei der zuständigen Datenschutzbehörde (Beklagten) darüber und gaben an, niemals eine Einwilligung in eine solche Werbeansprache erteilt zu haben. Die Datenschutzbehörde erließ nach Anhördung der Klägerin daraufhin eine Anordnung, in der sie die Klägerin zur Einstellung der Verarbeitung personenbezogener Daten für Werbezwecke nach Art. 58 Abs. 2 lit. f DSGVO sowie zur Löschung der Daten der betroffenen Personen nach Art. 58 Abs. 2 lit. g DSGVO aufforderte. Zur Begründung führte sie an, vorliegend seien Name, Adresse und Telefonnummer der Betroffenen als personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO erhoben und letztere zu Zwecken des telefonischen Direktmarketings ohne Einwilligung der Betroffenen durch das Unternehmen verwendet worden.

Dagegen erhob das Unternehmen Klage und gab an, eine wirksame Einwilligung sei durch ein vollständig durchlaufendes Double-Opt-In-Verfahren eingeholt worden.

Double-Opt-In

Bei diesem Verfahren erklärt der Nutzer in einem ersten Schritt seine Zustimmung zur Aufnahme in eine Verteilerliste durch die einmalige Eingabe seiner E-Mail-Adresse (sog. Single/Einfaches-Opt-In). In einem zweiten Schritt erhält er eine sich anschließende Bestätigungs-E-Mail mit der Möglichkeit, die Anmeldung zu bestätigen. Erst mit dieser Bestätigung wird die Registrierung wirksam und das Double-Opt-In abgeschlossen.

Im konkreten Fall hätten die Betroffenen sich für ein Gewinnspiel eingetragen, woraufhin sie eine Bestätigungs-E-Mail erhielten, die diese auch bestätigten, so die Klägerin. Zum Beweis dafür wies sie eine entsprechende Online-Registrierung aus, in der eine E-Mail-Adresse und der Eingang einer Bestätigungsmail vermekt waren.

Die Betroffenen verneinten die Eintragung in einen solchen Verteiler und eine entsprechende Bestätigung.

Die Entscheidung der Gerichte

Das Verwaltungsgericht wies die Klage des Unternehmens ab, mit der Begründung, dass über das Double-Opt-In-Verfahren nur eine Einwilligung per E-Mail-Werbung generierbar sei, nicht aber auch für Telefonwerbung. Dies bestätigte das Oberverwaltungsgericht nun. Das Double-Opt-In Verfahren per E-Mail sei nicht zum Nachweis der Einwilligung in Telefonwerbung geeignet. Die Anforderungen an eine rechtmäßige Verarbeitung gem. Art. 6 Abs. 1 DSGVO erfüllte die Klägerin nicht. Nach Art. 6 Abs. 1 lit. a DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese konkreten Nachweise konnte die Klägerin im vorliegenden Fall nicht erbringen. Auch ein Rückgriff auf das in Art. 6 Abs. 1 lit. f DSGVO bezeichnete “berechtigte Interesse”, sei der Klägerin, so das OVG, verwehrt. Dies begründete es damit, dass die Bewertungsmaßstäbe des § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG), auch im Rahmen des Art. 6 Abs. 1 lit. f DSGVO berücksichtigt werden müssen. Nach § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber dem Verbraucher, ohne dessen vorherige ausdrückliche Enwilligung. Eine Berücksichtigung etwaiger “berechtigter Interessen” des Werbenden sei in § 7 Abs. 2 Nr. 2 UWG aber nicht vorgesehen.

Fazit

Unternehmen dürfen Telefonnummern, die sie durch das Double-Opt-In-Verfahren per E-Mail erlangt haben, nicht für Werbeanrufe nutzen. Bei einem Verstoß gegen das UWG und der DSGVO drohen hohe Bußgelder.

BVerfG: Vorlage an EuGH wegen Schadensersatz für Datenschutzverstöße

23. Februar 2021

Ein Unternehmen begeht einen Verstoß gegen datenschutzrechtliche Bestimmungen, der betroffenen Person entstehen durch den Datenschutzverstoß aber keine materiellen Schäden. Sind nun immaterielle Schäden zu ersetzen? Wie ist dieser zu bemessen? Oder muss der Schaden eine gewisse Erheblichkeit aufweisen? Letztere Frage sieht das BVerfG als nicht geklärt an, sodass mit Beschluss vom 14.01.2021 (Az. 1 BvR 2853/19) ein Urteil des Amtsgericht Goslar aufgehoben wurde. Die Frage soll dem EuGH im Wege des Vorabentscheidungsverfahrens vorgelegt werden. Dieser soll entscheiden, wie die Regelung des Art. 82 Abs. 1 DS-GVO zum Schadensersatz auszulegen ist.

Hintergrund

Das BVerfG hatte über eine Verfassungsbeschwerde wegen der Verletzung des Rechts auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) zu entscheiden. Anstoß für die Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Das Amtsgericht hatte u.a. entschieden, dass dem Kläger kein Schadensersatzanspruch nach Art. 82 DS-GVO wegen einer widerrechtlich verschickten Werbe-E-Mail zustehe, weil mangels Erheblichkeit des Vorgangs kein Schaden vorliege. Diese Frage hätte – so das BVerfG – jedoch nach Art. 267 Abs. 3 AEUV dem EuGH vorgelegt werden müssen, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Indem das Amtsgericht auf diese Vorlage verzichtet hat, habe es die Grundrechte des Klägers verletzt. Somit sei das Urteil aufzuheben. Es wird nun dem AG Goslar obliegen, die offene Frage der Auslegung des Art. 82 Abs. 1 DS-GVO dem EuGH zur Entscheidung vorzulegen.

Bedeutung der Entscheidung

Die Relevanz der Vorlage an den EuGH ist aus praktischer Sicht immens. Art. 82 Abs. 1 DS-GVO gewährt von Datenschutzverstößen betroffenen Personen einen Schadensersatzanspruch, wenn diesen ein materieller oder immaterieller Schaden entstanden ist. Materielle Schäden sind vergleichsweise leicht zu beziffern, bleiben in der Praxis jedoch die Ausnahme. Immaterielle Schäden – also kein Vermögensschaden, sondern z.B. bei Verletzung der Ehre oder der Freiheit – sind wegen des Datenschutzverstoßes gewissermaßen immanent: Jeder Verstoß gegen das Datenschutzrecht verletzt die Freiheit des Betroffenen, darüber entscheiden zu können, wie mit den eigenen Daten verfahren wird. Wie jedoch der dadurch entstandene immaterielle Schaden zu bemessen ist, bleibt Gegenstand zahlreicher Entscheidungen und Diskussionen, sodass hier noch keine Gewissheit besteht. Das AG Goslar schien diese Frage offenbar umgehen zu wollen, indem durch die Bezugnahme auf ein Erheblichkeitskriterium bereits das Bestehen eines Schadens verneint wird.

Ausblick

Eine Erheblichkeitsschwelle ist jedoch weder in der DS-GVO selbst noch in ihren Erwägungsgründen vorgesehen. Im Falle eines Vorabentscheidungsverfahrens wird der EuGH dazu Stellung nehmen müssen, ob ein solches Kriterium herangezogen werden kann und diese Frage vermutlich verneinen. Spannend wird jedoch sein, ob sich der Gerichtshof darüber hinaus zur Auslegung des Art. 82 Abs. 1 DS-GVO äußert und somit die Bemessung des immateriellen Schadensersatzes erleichtert. Auszuschließen ist dies nicht, allzu große Hoffnungen auf eine Klärung dieser Frage sollte sich sowohl die Praxis als auch die Rechtswissenschaft aber wohl nicht machen.

Pages:  1 2 3 4 5
1 2 3 5