Schlagwort: Opt-Out
2. Oktober 2023
Das Oberlandesgericht Hamm hat einer Nutzerin trotz eines Datenschutzverstoßes von Facebook nach dem Diebstahl ihrer Daten Schadensersatz verweigert. Die Begründung des Gerichts lautet, dass die Klägerin ihren Schaden nicht ausreichend konkretisiert habe. In diesem Artikel werden die Hintergründe des Falls und die rechtliche Argumentation des Gerichts näher erläutert.
Der Fall und die Hintergründe
Der Fall, der vor dem Oberlandesgericht Hamm verhandelt wurde, betrifft das bekannte Datenleck bei Facebook, bei dem Daten von etwa 500 Millionen Nutzern gestohlen wurden. Im April 2021 tauchten diese gestohlenen Daten, darunter Namen und Telefonnummern, im Darknet auf. Dies führte zu zahlreichen Klagen auf Schadensersatz gegen den Facebook-Mutterkonzern “Meta”.
Die gestohlenen Daten wurden von sogenannten “Scrapern” über einen längeren Zeitraum gesammelt, indem sie die Suchfunktion “Freunde suchen” nutzten. Selbst wenn Nutzer die Anzeige ihrer Telefonnummer bei Facebook deaktiviert hatten, war es den “Scrapern” möglich, Nutzer anhand ihrer Telefonnummer zu identifizieren. Obwohl Facebook Anpassungen an dieser Funktion vornahm, konnten die “Scrapern” weiterhin Daten abrufen. Erst im Oktober 2018 deaktivierte Facebook die Funktion.
Die Klage der betroffenen Nutzerin
Die Klage, die vor dem OLG Hamm verhandelt wurde, wurde von einer Nutzerin eingereicht, deren Daten von den “Scrapern” gestohlen wurden und im Darknet veröffentlicht wurden. Die Nutzerin warf der Betreiberin der Facebook-Plattform “Meta” einen Verstoß gegen Datenschutzvorschriften vor und forderte eine Entschädigung in Höhe von mindestens 1.000 Euro für immaterielle Schäden.
Die Datenschutzverstöße von Meta
Das OLG Hamm erkannte an, dass Meta als das für die Datenverarbeitung verantwortliche Unternehmen gegen verschiedene Bestimmungen der DSGVO verstoßen hatte. Unter anderem konnte Meta nicht nachweisen, dass die Weitergabe der Mobilfunktelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion datenschutzrechtlich gerechtfertigt war. Die Verarbeitung der Mobilfunknummer war nach Ansicht des Gerichts nicht zwingend erforderlich und verstieß gegen den Grundsatz der Datensparsamkeit.
Das OLG argumentierte auch, dass für die Verarbeitung der Mobilfunknummer eine Einwilligung der Nutzer gemäß Art. 6 Abs.1 und Art. 7 DSGVO erforderlich war. Obwohl die Klägerin formal eine Einwilligung erteilt hatte, wurde diese Einwilligung als unwirksam angesehen. Facebook hatte ein “Opt-Out-Verfahren” verwendet, bei dem die Klägerin die Einwilligung aktiv hätte ablehnen müssen. Dies wurde als unzulässig betrachtet, insbesondere da die Informationen von Facebook über die Such- und Kontaktimportfunktion als unzureichend und entgegen Art. 5 Abs. 1a DSGVO intransparent angesehen wurden.
Pflichtverletzung von Meta
Darüber hinaus stellte das OLG fest, dass Meta trotz Kenntnis von den “Scrapern” keine angemessenen Maßnahmen zur Verhinderung weiterer unbefugter Datenabgriffe ergriffen hatte. Dies stellte eine Pflichtverletzung dar, da Meta gemäß Art. 32 DSGVO verpflichtet war, die Sicherheit der Datenverarbeitung entsprechend dem Stand der Technik zu gewährleisten.
Die rechtliche Grundlage für Schadensersatz
Gemäß Art. 82 DSGVO hat jede Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Dies umfasst ausdrücklich auch Ansprüche auf Ersatz immaterieller Schäden. Allerdings trägt der Anspruchsteller die Darlegungslast für entstandene Schäden und muss auch immaterielle Schäden hinreichend konkretisieren.
Ablehnung der Klage
Das OLG Hamm entschied, dass die Klägerin nicht ausreichend konkret dargelegt hatte, welche individuellen persönlichen oder psychologischen Beeinträchtigungen durch das “Scraping” in ihrem Fall verursacht wurden. Das allgemeine Gefühl eines Kontrollverlusts, Hilflosigkeit oder Beobachtetwerdens nach der Veröffentlichung ihrer Daten im Darknet wurde als nicht ausreichend angesehen, um eine Entschädigungspflicht auszulösen. Selbst ein allgemeines Angstgefühl und Erschrockenheit reichten nicht aus, insbesondere da der Datenmissbrauch nicht als so schwerwiegend betrachtet wurde, dass er einen immateriellen Schaden ohne weiteres nach sich zieht.
Fazit
Insgesamt wurde die Klage auf Schadensersatz aufgrund mangelnder Konkretisierung des immateriellen Schadens abgewiesen. Trotz festgestellter Datenschutzverstöße seitens Meta konnte die Klägerin nicht nachweisen, dass sie individuell und konkret durch den Vorfall geschädigt wurde. Dieser Fall betont die Bedeutung der klaren und konkreten Darlegung von Schäden bei Datenschutzverstößen, insbesondere bei Ansprüchen auf immaterielle Schäden.
31. Juli 2023
Wenn wir ein Unternehmen, zum Beispiel einen Dienstleister, anrufen möchten, landen wir oft in der Warteschleife, bevor wir mit der gewünschten Abteilung verbunden werden. Während dieser Wartezeit hören wir oft den Hinweis, dass das Gespräch automatisch aufgezeichnet wird, sobald es von einem Mitarbeiter des Unternehmens angenommen wird. Diese Aufzeichnungen dienen möglicherweise internen Schulungszwecken oder dem Qualitätsmanagement. Ist es überhaupt erlaubt, dem Anrufer lediglich die Information zu geben, dass sein Gespräch zu Schulungs- und Qualitätszwecken aufgezeichnet wird?
Diese Fragestellung wurde im Tätigkeitsbericht für das Jahr 2022 (S. 99 ff) von der Sächsischen Datenschutz- und Transparenzbeauftragten behandelt.
Berechtigtes Interesse nicht ausreichend
Die Datenschutz- und Transparenzbeauftragte in Sachsen betont, dass das berechtigte Interesse grundsätzlich nicht als angemessene Rechtsgrundlage für das Aufzeichnen von Telefonanrufen dienen kann. Dies liegt vor allem daran, dass mildere Methoden ersichtlich sind, um beispielsweise Qualitäts- oder Schulungszwecke zu erreichen, wodurch die Notwendigkeit dieser Datenverarbeitung entfällt. Zudem stehen auch die überwiegenden Interessen der Betroffenen dem entgegen, insbesondere ihr Interesse an der Vertraulichkeit des nicht-öffentlichen gesprochenen Wortes.
Die Einwilligung als Rechtsgrundlage zur Datenverarbeitung
Als Rechtsgrundlage für die Aufzeichnung von Telefongesprächen kommt ausschließlich die Einwilligung der Anrufer gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht. Die Anforderungen für eine datenschutzrechtlich zulässige Einwilligung bemessen sich nach den Kriterien des Art. 7 DSGVO.
Damit muss die Einwilligung der betroffenen Person vor der Gesprächsaufzeichnung in informierter Weise erfolgen, sodass sie genau weiß, worin sie einwilligt. Die Einwilligung muss außerdem aktiv von der jeweiligen anrufenden Person, dem Anrufer, erteilt werden. Der Anrufer muss eine eindeutige, bestätigende Handlung vornehmen, beispielsweise ein mündliches “Ja” oder das Drücken einer speziellen Telefontaste, um der Aufzeichnung zuzustimmen. Die verantwortliche Stelle, die das Gespräch aufzeichnen möchte, muss die Einwilligung der betroffenen Person nachweisen können. Darüber hinaus ist zu beachten, dass eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.
Sonderfall: Konkludente Einwilligung
Eine konkludente „Einwilligung“ würde in diesem Fall das eingangs beschriebene Szenario darstellen: Sprich der Anrufer erhält die Information, dass das Gespräch aufgezeichnet wird – ohne Zustimmungs- oder Ablehnungsmöglichkeit. Vielmehr wird dann seitens der verantwortlichen Stelle davon ausgegangen oder sogar ggf. in der Ansage thematisiert, dass mit dem Halten bzw. Fortsetzen des Anrufs „konkludent“ in die Aufzeichnung eingewilligt wird. Hier wird dann seitens der verantwortlichen Stelle sinngemäß die Ansicht vertreten, dass der Anrufer über die Aufzeichnung informiert wird und wenn er das nicht möchte, sich anderweitig mit dem Unternehmen in Verbindung setzen kann – jedoch nicht telefonisch ohne Aufzeichnung. Bzgl. konkludenter Einwilligungen problematisiert die Sächsische Datenschutz- und Transparenzbeauftragte insbesondere die Freiwilligkeit der „Einwilligung“.
Die Freiwilligkeit einer Einwilligung ist eine der Grundvoraussetzungen für ihre Zulässigkeit. Die Sächsische Datenschutz- und Transparenzbeauftragte führt hierzu aus, dass von der Freiwilligkeit der konkludenten „Einwilligung“ im Anruf-Szenario nur dann ausgegangen werden könnte, wenn den Anrufern angemessene Alternativen zur telefonischen Kontaktaufnahme mit Aufzeichnung angeboten würden. Ein Verweis auf eine alternative Kontaktaufnahme beispielsweise per E-Mail kann der Freiwilligkeit jedoch entgegenstehen. Dies resultiere daraus, dass die Kontaktaufnahme per E-Mail nicht grundsätzlich als angemessene Alternative zur telefonischen Kontaktaufnahme gewertet werden könne. Eine „konkludente Einwilligung“ sollte vorliegend also nicht als Rechtsgrundlage herangezogen werden.
Opt-Out ist keine Einwilligungsmöglichkeit
Es reicht nicht aus, wenn den Anrufern lediglich mitgeteilt wird, dass Anrufe grundsätzlich aufgezeichnet werden, aber eine Aufzeichnung abgelehnt werden kann. Eine solche Vorgehensweise entspricht nicht einer rechtsgültigen Einwilligung gemäß der DSGVO. Konkret bedeutet dies, dass die bloße Information über die Aufzeichnung und das Anbieten einer Widerspruchsmöglichkeit – zum Beispiel durch das gesprochene “Nein” als Ablehnung der Aufzeichnung – nicht ausreichend ist. Die Sächsische Datenschutz- und Transparenzbeauftragte betont auch nochmals, dass die Einwilligung aktiv erklärt werden muss und nicht durch einen Widerspruch in Form einer Ablehnung erfolgen kann.
Fazit
Zusammenfassend kann festgestellt werden, dass für die rechtskonforme Aufzeichnung von Telefongesprächen eine aktive Einwilligung der betroffenen Personen erforderlich ist. Konkludente Einwilligungen oder das berechtigte Interesse können hier grundsätzlich nicht als angemessene Rechtsgrundlagen betrachtet werden.
18. April 2019
Sofern keine gesetzliche Regelung die Verarbeitung von personenbezogenen Daten ausdrücklich erlaubt, bedarf es einer Einwilligung des Betroffenen in die Verarbeitung der personenbezogenen Daten. Damit diese rechtskonform erteilt werden kann, müssen verschiedene Voraussetzungen erfüllt sein.
Eine Einwilligung ist nur dann rechtmäßig erteilt, wenn sie freiwillig (ohne Druck oder Zwang), spezifiziert (für eine bestimmte Verarbeitung), informiert (durch transparente Aufklärung) und ausdrücklich (also unmissverständlich) erfolgt. Im Zusammenhang mit der Einwilligung fallen häufig die Begriffe Opt-In, Opt-Out und Double-Opt-In. Nachfolgend werden diese Begrifflichkeiten erläutert.
Mit der Voraussetzung, dass die Einwilligung „ausdrücklich“ abgegeben werden muss, ist der sogenannte Opt-Out unvereinbar. Bei einem Opt-Out gilt die Einwilligung als erteilt, wenn der Einwilligende dem nicht widerspricht. Die Einwilligung wird also vorausgesetzt/fingiert, ohne dass der Einwilligende diese tatsächlich aktiv erteilt hat. Ein solches Vorgehen ist nicht datenschutzkonform und die darauf gestützte Verarbeitung personenbezogener Daten rechtswidrig.
Es ist erforderlich, dass der Einwilligende selbst aktiv in die Verarbeitung von personenbezogener Daten einwilligt (Opt-In). Beispielsweise darf eine Checkbox daher niemals vorausgefüllt sein (Opt-Out). Der Betroffene muss die Checkbox selbst aktiv anklicken.
Hiervon zu unterscheiden ist der Double-Opt-In. Bei diesem wird an die E-Mail-Adresse des Betroffenen ein Bestätigungslink versendet. Der Double-Opt-In dient damit der Verifizierung einer Person, so dass sich die verarbeitende Stelle sicher sein kann, dass die Daten nicht missbräuchlich verwendet wurden, sondern tatsächlich von der angegebenen Person stammen.
17. November 2011
Google betreibt eine Datenbank, in der alle bekannten WLAN-Basisstationen verzeichnet sind. Die Standorte der Netzwerke werden gespeichert und dazu verwendet, auch ohne GPS-Signal eine ungefähre Positionssbestimmung zu ermöglichen. Ein Teil der Daten wurde durch Fahrten mit den Street-View-Fahrzeugen zusammengetragen; andere Daten stammen von mobilen Endgeräten, wie z.B. Android-Telefonen. Ebenso wie bei den Mitbewerbern Apple und Microsoft gab es in der Vergangenheit Unstimmigkeiten in Bezug auf den Datenschutz dieser Geolocation-Dienste.
Wer möchte, dass seine Basistation nicht mehr erfasst wird, kann dies auf einfache Weise erreichen. Google führt dazu in einem Blogeintrag aus, dass bei der Netzwerkkennung (SSID) ein “_nomap” angehängt werden muss. Lautet der Name des Netzwerkes also bisher “JuppMüller”, reicht es aus, das Netzwerk in “JuppMüller_nomap” umzubennen. Dies kann einfach über die Konfigurationsoberfläche der WLAN-Basisstation geschehen. Beispiele für das Vorgehen bei verschiedenen Endgeräten gibt Google auf einer Hilfeseite.
Wer die Datensammlung zur Postionsbestimmung generell nicht unterstützen möchte, sollte bei seinem Endgerät die Option deaktivieren, Standorte mit Hilfe von Mobilfunk- und WLAN-Netzwerken zu bestimmen. Durch das Abschalten dieser Option wird üblicherweise auch die Übertragung der gefundenen Netze an den Datenbankbetreiber unterbunden. Dies gilt herstellerübergreifend für alle Mobilgeräte mit Ortungsfunktionen.
Die Möglichkeit eines Opt-Outs für bereits in der Datenbank befindliche Daten bietet bisher allerdings nur Google. Google selbst drückt in dem Blogeintrag jedoch die Hoffnung aus, dass das einfache Anhängen eines “_nomap” an die SSID sich universell durchsetzt und in Zukunft von mehreren Betreibern von Geolocation-Datenbanken berücksichtigt wird. (se)
