6. September 2022
Dieser Frage widmete sich das LG Hamburg in einer Entscheidung (324 O 30/20) vom 11. Dezember 2021. In dem Sachverhalt nahmen Kläger die Beklagte wegen Verletzung von Datenschutzpflichten auf Löschung und hilfsweise Sperrung in Anspruch.
Beteiligte
Die Klägerinnen betreiben ein Nachhilfeinstitut. Einer der Klägerinnen ist Geschäftsführer und Anteilseigner dieses Instituts.
Die Beklagte betreibt eine private Website auf der Wirtschaftsinformationen über die Kläger veröffentlicht wurden. Bei den strittigen Informationen handle es sich um gesetzliche Pflichtveröffentlichungen zu Unternehmen aus allgemein zugänglichen Registern, wie dem Handelsregister, Insolvenzbekanntmachungen und dem elektronischen Bundesanzeiger. Bei der Weiterverwendung der Daten seien keine eigenen Daten aufgenommen worden. Es handle sich lediglich um bereits verfügbare Daten aus den öffentlichen Registern, so die Beklagte.
Streitgegenstand
Die Beklagte veröffentlichte auf Ihrer Seite den Namen, die Anschrift sowie den Gewinn des Nachhilfeinstituts. Zudem wurde die Bilanzsumme als auch die namentliche Nennung des Geschäftsführers angezeigt. Beide Kläger seien dem Gericht nach der Auffassung gewesen, dass dies nicht ohne deren Einwilligung erfolgen hätte dürfen. Am 25.04.2019 erfolgte sodann der Widerspruch mit Löschaufforderung nach Art. 17 Abs. 1 DSGVO.
Entscheidungsgründe des LG Hamburg
Das Gericht entschied, dass den Klägern keine Ansprüche auf Löschung und Sperrung gegen die Beklagte wegen der Verarbeitung von personenbezogenen Daten zustünden. Es bezog sich in diesem Kontext auf den Erwägungsgrund 14 der Verordnung. Dieser legt ausdrücklich fest dass die Verordnung nicht für juristische Personen anwendbar sei.
Ausnahme
Das Gericht ist der Auffassung, dass der Anwendungsbereich der DSGVO bei der Verarbeitung von Informationen von juristischen Personen eröffnet sei, wenn die Informationen der juristischen Person sich auch auf die hinter dieser stehenden natürlichen Person beziehen. Dies sei dem Gericht nach der Fall wenn Informationen über juristische Personen gleichzeitig auch Aussagen über die für sie handelnden natürlichen Personen treffen oder die Verarbeitung der Informationen sich unmittelbar auf die natürlichen Personen auswirken und gleichsam auf diese durchschlagen.
Fazit
Im vorliegend Sachverhalt träfe diese Ausnahme laut dem LG Hamburg auf die Klägerinnen zu. Der Firmenname und der Geschäftssitz bezögen sich auf ihre Geschäftsführer. Zudem sei ihr Geschäftssitz mit der Wohnanschrift der Geschäftsführer identisch.
Als Anspruchsgrundlagen kämen lediglich Art. 17 Abs. 1 lit. d und lit. c DSGVO in Betracht, so das LG Hamburg. Im Ergebnis des Gerichts fällt die jeweils vorzunehmende Interessenabwägung jedoch zugunsten der Beklagten aus.
14. Juni 2017
Auch nach Inkrafttreten der EU-Datenschutzgrundverordnung (kurz DSGVO) am 28.05.2018 bleibt es bei dem datenschutzrechtlichen Grundsatz des Verbots mit Erlaubnisvorbehalt. Der Grundsatz hat zur Folge, dass eine Verarbeitung personenbezogener Daten grundsätzlich verboten ist, wenn kein Erlaubnistatbestand vorliegt, der die Verarbeitung legitimiert. Als die zentrale Legitimation für die Verarbeitung personenbezogener Daten ist auch im Rahmen der DSGVO die Einwilligung des von der Verarbeitung Betroffenen anzusehen.
I. Einwilligung nach Art. 7 DSGVO
Sofern keiner der gesetzlich definierten Fälle einer entbehrlichen Einwilligung gegeben ist (Art. 6 DSGVO), ist die Einwilligung damit das “Maß der Rechtmäßigkeit” einer Datenverarbeitung. Die Verarbeitung ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.
Eine Einwilligung im Sinne der DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Die Einzelheiten ergeben sich aus Art. 7 DSGVO, auf die nachfolgend eingegangen wird.
1. Freiwilligkeit der Einwilligung
Eine Einwilligung soll auf der freien Entscheidung des Betroffenen beruhen. Sie muss freiwillig erfolgen, d.h. der Betroffene muss in der Lage sein, eine echte Wahl zu treffen hinsichtlich des Ob, Wieviel und Wem er die Nutzung seiner Daten gestattet. Keine Einwilligung liegt insbesondere vor, wenn der Betroffene in eine Situation gebracht wird, in der er aus Zeitmangel oder anderen Gründen davon abgehalten wird, die zu erklärende Einwilligung ernsthaft zu bedenken oder mit einer Person seines Vertrauens zu besprechen. Eine solche Überrumpelungslage wird in der Regel gezielt herbeigeführt (z.B. das Versprechen übermäßiger Anreize etwa bei der Teilnahme an Gewinnspielen gegen die Preisgabe von Daten) oder ausgenutzt (z.B. wenn der Betroffene “eigentlich nur noch nach Hause will”).
An der Freiwilligkeit der Einwilligung fehlt es auch, wenn sie mit einer anderen Leistung gekoppelt wird, obwohl die Datennutzung für die Nutzung der Leistung nicht zwingend erforderlich ist. Wird so z.B. für einen Vertrag über eine Dienstleistung eine Einwilligung abverlangt, die für die Erfüllung des Vertrages nicht erforderlich ist, ist die Einwilligung im Zweifel nicht freiwillig. Solche Kopplungsmodelle sind heutzutage häufig bei Online-Dienstleistungen anzutreffen, die ungeachtet des auch jetzt schon geltenden Verbots, ihr Geschäftsmodell auf dem Prinzip “Dienstleistung gegen Daten” aufgebaut haben und die Daten des Nutzers im Wege gezielter Werbeangebote oder der Weitergabe der Daten zu Geld machen. Die Einwilligung ist auch in solchen Fällen nur dann freiwillig, wenn dem Betroffenen eine echte Wahlmöglichkeit eröffnet wird.
Ferner ist die Freiwilligkeit der Einwilligung auch dann zu verneinen, wenn dem Betroffenen für den Fall der Verweigerung der Einwilligung Nachteile angekündigt werden. Dies gilt nur dann nicht, wenn der Nachteil logische Folge der Verweigerung ist. Wer z.B. eine Leistung in Anspruch nehmen möchte, wird die mit der Erfüllung der Leistung verbundenen Informationen, wie Kontakt- und Abrechnungsdaten, preisgeben müssen.
2. Bestimmtheit der Einwilligung
Die Einwilligung in die Verarbeitung personenbezogener Daten darf nicht pauschal erfolgen. Allgemeine Formulierungen oder Blanko-Einwilligungen genügen nicht den gesetzlichen Voraussetzungen des Art. 7 DSGVO. Die Einwilligung muss daher erkennen lassen, welche personenbezogenen Daten zu welchem Zweck von wem verarbeitet werden sollen. Hierbei gilt, dass der Zweck der Datennutzung umso genauer umschrieben werden muss, je weitreichender die Datennutzung ausfällt.
3. Information des Betroffenen
Der Betroffene muss vor Abgabe der Einwilligungserklärung über den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten im Einzelnen informiert werden. Dabei müssen alle weiteren für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen darüber hinaus auch hinreichend bestimmt sein, der Zweck der Verarbeitung darf also nicht zu allgemein gehalten werden. Der Betroffene muss außerdem in der Lage sein, die Informationen leicht zu erkennen und auch als Einwilligung zu identifizieren. Folgende Fragen muss sich der Betroffene nach Lektüre der Einwilligungserklärung beantworten können:
- Wer (genau) soll die Daten nutzen dürfen?
- Welche Daten soll er nutzen dürfen?
- Zu welchem Zweck soll er diese Daten nutzen dürfen?
- Darf er diese Daten weitergeben und wenn ja, an wen genau?
- Wie lange darf diese Nutzung andauern?
4. Unmissverständlich abgegeben
Die Einwilligungserklärung muss ferner “unmissverständlich abgegeben” worden sein. Dies kann zum einen in der Form einer abgegebenen Erklärung geschehen, die sowohl schriftlich als auch mündlich erfolgen kann. Zum anderen kann eine “unmissverständlich” abgegebene Einwilligung aber auch in einer bestätigenden Handlung bestehen, mithin konkludent durch schlüssiges Handeln erteilt werden. Damit sind insbesondere die Fälle gemeint, in denen der Betroffene mit einem Mausklick “Ich bin einverstanden” seine Einwilligung erklärt. Zu beachten ist dabei, dass das Kästchen zum ankreuzen nicht vorangekreuzt sein darf, damit der Betroffene aktiv handeln muss.
5. Einwilligung Minderjähriger
Bei Geschäftsfähigkeit des Betroffenen stellt die Rechtmäßigkeit der Einwilligung kein Problem dar. Die DSGVO geht in Art. 8 DSGVO grundsätzlich auch davon aus, dass eine Einwilligung “im Kindesalter gegeben” werden kann. Aus diesem Grund sollen in diesen Fällen die der Einwilligung vorausgehenden Hinweise in einer klaren und einfachen Sprache erfolgen, sodass ein Kind sie verstehen kann. In der Praxis ist allerdings in den meisten Fällen festzustellen, dass gerade Klauseln im Internet oftmals unverständlich geschrieben sind und das Verständnis selbst bei volljährigen Personen schwer fallen dürfte.
Die im deutschen Recht an verschiedenen Stellen normierte Unterscheidung zwischen Kindern und Jugendlichen findet sich in der DSGVO nicht. Art. 8 Abs. 1 DSGVO sieht bei der Einwilligungsfähigkeit in Bezug auf Dienste der Informationsgesellschaft eine Regelgrenze von 16 Jahren vor. Dies hat zur Folge, dass insbesondere die Nutzung von Social-Media-Diensten wie Facebook nunmehr erst ab 16 Jahren rechtmäßig ist, zumindest soweit keine Zustimmung des gesetzlichen Vertreters vorliegt. Damit hat Facebook die Altersgrenze von 13 auf 16 Jahre hochzusetzen.
II. Widerspruchsrecht nach Art. 21 DSGVO
Nach Art. 21 DSGVO kann der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen. Das Widerspruchsrecht nach Art. 21 DSGVO richtet sich gegen die Datenverarbeitung, die rechtmäßig erfolgt, ist unter Anderem also auch dann einschlägig, wenn der Betroffene vorher in die Datenverarbeitung eingewilligt hat.
Werden die Daten von vornherein rechtswidrig verarbeitet, steht dem Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zur Verfügung.
Das Widerspruchsrecht ist so ausgestaltet, dass sich der Betroffene selbst an die verantwortliche Stelle wenden und der Datenverarbeitung aktiv widersprechen muss. Damit der Betroffene von seinem ihm jederzeit zustehenden Widerspruchsrecht weiß, besteht für die verantwortliche Stelle nach Art. 21 Abs. 4 DSGVO die Pflicht, den Betroffenen auf das Widerspruchsrecht hinzuweisen.
Ausnahmsweise besteht das Widerspruchsrecht nicht, wenn ein zwingendes öffentliches Interesse an der Datenverarbeitung besteht, das die Interessen der betroffenen Person überwiegt oder wenn eine Rechtsvorschrift die verantwortliche Stelle zur Verarbeitung verpflichtet.
Widerspruchsrecht gegen Direktwerbung (Art. 21 Abs. 2, 3 DSGVO)
Besonders privilegiert ist das Widerspruchsrecht des Betroffenen gegen Direktwerbung. Zwar stuft die DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als einen denkbaren Unterfall einer dem berechtigten Interesse der verantwortlichen Stelle im Sinne des Art. 6 Abs. 1 dienenden Verarbeitung ein, dieses Interesse ist durch die Normierung des Art. 21 Abs. 2 DSGVO allerdings stets nur schwächer geschützt als die Persönlichkeitsrechte des Betroffenen.
Unter Direktwerbung ist die unmittelbare Ansprache eines Nachfragers, z.B. durch Prospekte, Kataloge, Warenproben, automatische Anrufsysteme, E-Mails oder SMS, durch einen Anbieter mit dem Ziel, den entgeltlichen Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern, zu verstehen.
Widerspruchsberechtigt ist jeder, dessen personenbezogene Daten zu diesem Zweck verarbeitet werden. Dies muss nicht alleine durch die Zustellung einer Werbesendung geschehen, sodass bereits die Erhebung, also die Datenbeschaffung von Daten, um Nachrichtenadressaten auszufiltern, erfasst ist.
Der Widerspruch richtet sich nur gegen die Verarbetiung “für Zwecke der Direktwerbung”. Verarbeitungen, die zu anderen Zwecken erfolgen, sind nicht von einem solchen Widerspruch erfasst. Mit dem Widerspruch geht eine Löschungspflicht gegen die verantwortliche Stelle hinsichtlich der bereits verarbeiteten Daten einher.
Das Thema der nächsten Woche sind die Betroffenenrechte nach der DSGVO.