Cookie-Einwilligung erforderlich? OLG Frankfurt lässt Opt-out genügen

Auf immer mehr deutschen Internetseiten findet sich mittlerweile der Hinweis auf die Verwendung von Cookies,  und dem Nutzer wird mitgeteilt, dass er sich durch die weitere Nutzung damit einverstanden erklärt und die Cookies sonst im Browser deaktivieren muss. Ob eine Erklärung zur Cookie-Nutzung derzeit notwendig ist und ob sie, wenn dies der Fall ist, in dieser Form auch ausreicht, ist nicht abschließend geklärt. Eine Entscheidung des OLG Frankfurt vom 17. Dezember 2015 – 6 U 30/15 – weist jetzt immerhin in die richtige Richtung.

Die Rechtsunsicherheit in diesem Bereich ist darauf zurückzuführen, dass die EU-Richtlinie 2009/136/EG, die sich mit dem Thema beschäftigt, trotz einer Umsetzungsfrist bis 2011 vom deutschen Gesetzgeber noch nicht in deutsches Recht „gegossen“ worden ist.

Die „Cookie-Richtlinie“ regelt unter anderem, dass der Nutzer über die Verwendung und den Zweck der Cookies informiert wird und in die Nutzung einwilligen muss. Gelten diese Pflichten nun aber bereits trotz fehlender Umsetzung der Richtlinie?

Ob die Richtlinie nun in Deutschland wegen der fehlenden Umsetzung unmittelbar gilt, ist umstritten. Eine solche Geltung kommt bei nicht umgesetzten Richtlinien grundsätzlich in Betracht. Sie setzt aber eine ausreichende Bestimmtheit der Richtlinie voraus, die bei der „Cookie-Richtlinie“ zweifelhaft ist. Die Europäische Kommission hat allerdings erklärt, aufgrund des in Deutschland bestehenden Datenschutzniveaus könne sogar schon von einer Umsetzung ausgegangen werden. Und tatsächlich findet sich in § 15 Abs. 3 TMG eine bereits vor Inkrafttreten der Richtlinie geschaffene, dennoch aber möglicherweise passende Regelung. Sie lautet:

„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.“

Auch diese Regelung verlangt demnach einen Hinweis auf die Datenerhebung, wobei diese Hinweise bisher überlicherweise in der Datenschutzerklärung gegeben wurden. Ausreichend ist es danach aber, den Nutzer auf ein Widerspruchsrecht hinzuweisen. Es ist also keine positive Einwilligunserklärung (Opt-in) erforderlich, sondern es genügt, wenn der – ausreichend aufgeklärte – Nutzer nicht widerspricht (Opt-out). Hier kann man sich nun allerdings fragen, ob eine richtlinienkonforme Auslegung ein Opt-in verlangt, denn die Richtlinie spricht vom Erfordernis einer Einwilligung.

Mit diesen Fragen hat sich das OLG Frankfurt nun befasst und entschieden, dass eine Opt-out-Lösung genügt und damit eine Möglichkeit der „Abwahl“ der Cookie-Nutzung den gesetzlichen Vorgaben entspricht. Das Gericht verweist auf den oben wiedergegebenen § 15 Abs. 3 TMG und führt aus, die Richtlinie stehe dem nicht entgegen. Der europäische Gesetzgeber habe, anders als in anderen Vorschriften, eine Opt-out-Lösung jedenfalls nicht ausdrücklich ausgeschlossen.
Die Entscheidung gibt keine abschließende Sicherheit, insbesondere da es derzeit noch keine höchstrichterliche Rechtsprechung gibt. Es spricht aber einiges dafür, dass sich die Auffassung des OLG Frankfurt durchsetzt, zumal die EU in der Richtlinie durchaus zum Ausdruck bringt, dass es hier pragmatische Lösungen geben muss. In Erwägungsgrund Nr. 66 der Richtlinie heißt es:

„Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verar­ beitung im Einklang mit den entsprechenden Bestimmun­gen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“

Besagte Richtlinier 95/46/EG definiert die Einwilligung zudem recht vage als „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.“ und verlangt an manchen stellen eine „ausdrückliche Einwilligung“. Das Widerspruchsrecht muss damit tatsächlich genügen.

Zur Ausübung des „Opt-out“ hat es das OLG Frankfurt im Übrigen für rechtmäßig gehalten, dass der Nutzer ein schon eingesetztes Häkchen vor dem Einwilligungstext entfernen muss. Ferner sei es, so das OLG Frankfurt, ausreichend, wenn ein Teil der Erläuterungen zu den Cookies nur verlinkt seien und sich auf einer anderen Seite befänden. Hierfür bietet sich die Datenschutzerklärung an, die einen solchen Hinweis ohnehin enthalten muss.

Damit dürfte ein Hinweis wie derjenige in diesem Blog, wonach Cookies verwendet werden und dem Nutzer über einen Link erläutert wird, wie er diese deaktivieren kann, der derzeitigen Rechtslage entsprechen.

Recht auf Vergessenwerden – Googles Expertenbeirat auf Europa Tour

Google

Googles Expertenbeirat tourt durch Europa, um in öffentlichen Sitzungen mit Sachverständigen das „Recht auf Vergessenwerden“ und dessen Umsetzung in der Praxis zu diskutieren. Neben dem Wikipedia-Gründer Jimmy Wales gehören sieben weitere Mitglieder dem Gremium an, darunter die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) und der Sonderberichterstatter für Meinungsfreiheit des Uno Menschenrechtsrats, Frank La Rue.

In Berlin traf der Beirat unter Vorsitz von Google-Chairman Eric Schmidt am 14.10.2014 u.a. auf eine Runde aus Vertretern von Verbraucherverbänden und Sachverständigen  und diskutierte mit ihnen mehr als vier Stunden lang.

Das Forum mahnte Google einhellig, die Bedeutung der Presse- und Informationsfreiheit nicht aus den Augen zu verlieren und forderte die Suchmaschine auf, Löschanträgen seltener nachzugeben. Bislang sind offenbar rund 42 % der Löschanträge von Google positiv beschieden worden. In Deutschland lag die Quote sogar bei 53 %.

Der Europäische Gerichtshof hatte bekanntlich im Mai entschieden, dass EU-Bürger Google und andere Suchmaschinenbetreiber dazu verpflichten können, Links zu Informationen aus ihrer Vergangenheit zu löschen, d.h. nicht mehr in ihren Suchergebnissen anzuzeigen, soweit die Indexierung zu einer Beeinträchtigung ihrer schutzwürdigen Persönlichkeitsinteressen führt. Cornelius Renner hatte im medienrecht-blog darüber berichtet. Google stellt seinen Nutzern seit Ende Mai eine Website zur Verfügung, auf der entsprechende Löschanträge gestellt werden können.

Ein „Vergessenwerden“ im Sinne einer Entfernung des Inhalts aus dem Netz lässt sich so freilich nicht erzwingen, was ohnehin problematisch wäre. Eingeschränkt wird vielmehr nur die Verfügbarkeit des Inhalts, indem der Inhalt zwar weiterhin im Netz abrufbar bleibt, Google ihn jedoch nicht mehr in der Ergebnisliste für bestimmte Suchanfragen anzeigen darf. Das schränkt die Zugänglichkeit des betroffenen Inhalts allerdings stark ein, weshalb das „Recht auf Vergessenwerden“ in Konflikt mit dem Recht auf freien Zugang zu Informationen steht.

In der Berliner Diskussion wurde nun allseits eine sorgfältigere Abwägung des Persönlichkeitsschutzes und Datenschutzes einerseits mit der Informations- und Pressefreiheit andererseits im Rahmen der praktischen Umsetzung des „Rechts auf Vergessenwerden“ gefordert. Es müsse konsequenter geprüft werden, ob ein Löschantrag tatsächlich eine Information über einen Bürger als private Person betreffe, verlangte Michaela Zinke vom Verbraucherzentrale Bundesverband. Noch einen Schritt weiter ging Matthias Spielkamp, Vorstandsmitglied von „Reporter ohne Grenzen“, der forderte, dass journalistische Inhalte generell von Link-Entfernungen ausgenommen werden sollten. Mehrere Diskussionsteilnehmer sprachen sich dafür aus, vor der Entscheidung über den Löschungsantrag alle betroffenen Seiten, so insbesondere auch den Urheber oder Publisher der Information zu hören.

Auf einen interessanten Aspekt wies Ulf Buermeyer, Richter am Landgericht Berlin und Verfassungsrechtler, hin, der die Ansicht äußerte, das Recht auf Vergessenwerden könne auch die Frage beeinflussen, was überhaupt veröffentlicht werden darf. Denn mit der Aussicht, dass ein Link in einigen Jahren auch wieder gelöscht werden kann, könnten Gerichte zukünftig für die Veröffentlichung von Informationen unter Umständen zunächst einmal großzügigere Maßstäbe ansetzen. Insofern könne das Recht auf Vergessenwerden die Pressefreiheit sogar verstärken.

Der Referent des Hamburger Datenschutzbeauftragten Moritz Karg wies nochmals auf die problematische Begriffswahl hin: Tatsächlich gebe es kein „Recht auf Vergessen“, sondern lediglich das Recht eines Bürgers auf einen Einspruch über die Verarbeitung seiner persönlichen Daten.

Die Entwicklung und Etablierung eines geeigneten Verfahrens für die praktische Umsetzung des Rechts auf Vergessen, das den angemessenen Ausgleich zwischen Persönlichkeitsschutz und Informationsfreiheit gewährleistet, wird wohl noch einige Zeit in Anspruch nehmen. Aufgabe des von Google eingesetzten Expertenbeirats ist es, insoweit Richtlinien zu entwickeln. Am Ende ist hier aber der europäische Gesetzgeber gefragt, denn die konkrete Ausgestaltung des Rechts auf Vergessen sollte auf Dauer nicht Google überlassen bleiben.

BGH verneint Anspruch auf Löschung von Bewertungsprofil

imageÜber die erheblichen Auswirkungen schlechter Bewertungen für Ärzte und die damit verbundenen äußerungsrechtlichen Probleme habe ich schon mehrfach berichtet.  Ein niedergelassener Gynäkologe hat nun den „Rundumschlag“ versucht und sich nicht nur gegen einzelne Bewertungen gewehrt, sondern in einer Klage die vollständige Löschung seines Profils bei dem Arztbewertungsportal Jameda beantragt. Dort sind unter anderem Name, Fachrichtung, Praxisanschrift, Kontaktdaten und Sprechzeiten verzeichnet sowie Bewertungen des Arztes durch Portalnutzer. Die Abgabe einer Bewertung erfordert eine vorherige Registrierung, bei der der Nutzer aber bis auf die E-Mail-Adresse anonym bleibt.

Der BGH hat dem Löschungsbegehren nun, wie das Gericht in einer Pressemitteilung berichtet, mit Urteil vom 23. September 2014 – VI ZR 358/13 – eine Absage erteilt.

Das Recht des Klägers auf informationelle Selbstbestimmung überwiege das Recht der Beklagten auf Kommunikationsfreiheit nicht. Die Beklagte sei deshalb nach § 29 Abs. 1 Bundesdatenschutzgesetz (BDSG) zur Erhebung, Speicherung und Nutzung sowie nach § 29 Abs. 2 BDSG zur Übermittlung der Daten an die Portalnutzer berechtigt. Zwar werde ein Arzt durch seine Aufnahme in ein Bewertungsportal nicht unerheblich belastet. Abgegebene Bewertungen könnten – neben den Auswirkungen für den sozialen und beruflichen Geltungsanspruch des Arztes – die Arztwahl behandlungsbedürftiger Personen beeinflussen, so dass er im Falle negativer Bewertungen wirtschaftliche Nachteile zu gewärtigen habe. Auch bestehe eine gewisse Gefahr des Missbrauchs des Portals.

Auf der anderen Seite sei im Rahmen der Abwägung aber zu berücksichtigen, dass das Interesse der Öffentlichkeit an Informationen über ärztliche Leistungen vor dem Hintergrund der freien Arztwahl ganz erheblich sei und das von der Beklagten betriebene Portal dazu beitragen könne, einem Patienten die aus seiner Sicht erforderlichen Informationen zur Verfügung zu stellen. Zudem berührten die für den Betrieb des Portals erhobenen, gespeicherten und übermittelten Daten den Arzt nur in seiner sogenannten „Sozialsphäre“, also in einem Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit anderen Personen vollziehe. Hier müsse sich der Einzelne auf die Beobachtung seines Verhaltens durch eine breitere Öffentlichkeit sowie auf Kritik einstellen. Missbrauchsgefahren sei der betroffene Arzt nicht schutzlos ausgeliefert, da er von der Beklagten die Löschung unwahrer Tatsachenbehauptungen sowie beleidigender oder sonst unzulässiger Bewertungen verlangen könne. Dass Bewertungen anonym abgegeben werden könnten, führe zu keinem anderen Ergebnis. Denn die Möglichkeit zur anonymen Nutzung sei dem Internet immanent (vgl. § 13 Abs. 6 Satz 1 TMG).

Das Urteil ist ein weiterer Baustein in der Rechtsprechung zu Bewertungsportalen, nachdem der BGH schon Regeln aufgestellt hat, unter welchen Voraussetzungen Bewertungen zu löschen sind und einen Anspruch gegen den Portalbetreiber auf Mitteilung der Ihm vorliegenden Daten des Nutzers, der eine Bewertung abgegeben hat, mangels spezialgesetzlicher Grundlage verneint hat. Die vorliegende Entscheidung ist zweifellos richtig. Wie man die Betroffenen allerdings vor existenzbedrohenden Bewertungen mit falschen Tatsachenbehauptungen effektiv schützen kann, scheint mir nach wie vor offen. Ein Recht jedenfalls, anonym falsche Tatsachenbehauptungen zu vorbereiten und dafür nicht belangt zu werden, erscheint mir sehr zweifelhaft.

EuGH: Doch ein Recht auf Vergessen im Internet?

GoogleDer seit langem intensiv geführt Debatte um ein Recht auf Vergessenwerden im Internet hat der EuGH heute einen wichtigen Baustein hinzugefügt. Der Gericht hat mit Urteil vom 13. Mai 2014 – C‐131/12 – entschieden, dass Goolge verpflichtet sein kann, Links zu bestimmten sensiblen Daten zu entfernen (der Volltext ist bereits hier abrufbar). In der Entscheidung ging es um einen Spanier, der geltend gemacht hatte, bei Eingabe seines Namens bei Google würden den Internetnutzern in der Ergebnisliste Links zu zwei Seiten der Tageszeitung La Vanguardia von Januar und März 1998 angezeigt. Auf diesen Seiten wurde u. a. die Versteigerung eines Grundstücks angekündigt, die im Zusammenhang mit einer Pfändung wegen Schulden stand, die Herr Costeja González bei der Sozialversicherung hatte. Das spanische Gericht hatte die Sache dem EuGH vorgelegt.

Der EuGH stellt zunächst fest, dass Google eine „Erhebung“ von Daten im Sinne der Richtlinie vornehme. Für diese Datenerhebung sei Google auch verantwortlich und müsse dafür sorgen, dass sie den Anforderungen der Richtlinie entspreche. Nur so könnten die in der Richtlinie vorgesehenen Garantien ihre volle Wirksamkeit entfalten und ein wirksamer und umfassender Schutz der betroffenen Personen, insbesondere ihres Privatlebens, tatsächlich verwirklicht werden.

Als Verantwortlicher könne Google verpflichet sein, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt werde, Links zu von Dritten veröffentlichten Internetseiten mit Informationen über diese Person zu entfernen. Eine solche Verpflichtung könne auch bestehen, wenn der betreffende Name oder die betreffenden Informationen auf diesen Internetseiten nicht vorher oder gleichzeitig gelöscht würden, gegebenenfalls auch dann, wenn ihre Veröffentlichung dort als solche rechtmäßig sei.
Diese gesammelten Daten beträfen potenziell zahlreiche Aspekte des Privatlebens und hätten ohne die Suchmaschine nicht oder nur sehr schwer miteinander verknüpft werden können. Die Internetnutzer könnten somit ein mehr oder weniger detailliertes Profil der gesuchten Personen erstellen. Die Wirkung des Eingriffs in die Rechte der betroffenen Person werde durch die bedeutende Rolle des Internets und der Suchmaschinen in der modernen Gesellschaft gesteigert, die den in den Ergebnislisten enthaltenen Informationen Ubiquität verliehen. Wegen seiner potenziellen Schwere könne ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden.

Im Einzelfall sei ein angemessener Ausgleich zwischen den Informationsinteressen und den Grundrechten der betroffenen Person, insbesondere des Rechts auf Achtung des Privatlebens und des Rechts auf Schutz personenbezogener Daten, zu finden. Zwar überwögen die Rechte der betroffenen Person im Allgemeinen auch gegenüber dem Interesse der Internetnutzer; der Ausgleich könne in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren könne.

Insofern könne es auch bei ursprünglich rechtmäßigen Informationen ein „Recht auf Vergessen“ geben, wenn auf Antrag der betroffenen Person festgestellt werde, dass zum gegenwärtigen Zeitpunkt die Daten in Anbetracht aller Umstände des Einzelfalls, insbesondere der verstrichenen Zeit, den Zwecken, für die sie verarbeitet worden seien, nicht mehr entsprächen. Auch hier könnten dann besondere Umstände, wie z. B. die Rolle der betreffenden Person im öffentlichen Leben, ein überwiegendes Interesse der breiten Öffentlichkeit am Zugang zu diesen Informationen über eine Suche rechtfertigen.

Der Entscheidung ist zuzustimmen. Sie füllt eine Lücke, die bisher in der Rechtsprechung des BGH geblieben ist. Der BGH nimmt nämlich an, dass Zeitungsarchive einmal rechtmäßig eingestellte Inhalte, etwa zu Straftaten, nicht löschen müssten, obwohl eine neue Berichterstattung nach Ablauf einer gewissen Zeit wegen des Resozialisierungsinteresses des Betroffenen nicht mehr zulässig sei. Das Interesse an der Archivierung der Geschichte überwiege. Dem BGH ist insoweit grundsätzlich zuzustimmen, er berücksichtigt aber nicht hinreichend, dass die Auffindbarkeit solcher „alten Hüte“ über Suchmaschinen zu einer Aktualisierung der Vorwürfe führt. Dies habe ich bereits in einem älteren Beitrag kritisiert. Je nachdem, wie die EuGH-Rechtsprechung von den nationalen Gerichten jetzt umgesetzt wird,  kann sie nun durchaus zu einem sachgerechten Ergebnis führen: Berichte über Straftaten wären über Archive von Zeitungen bei der gezielten Suche danach noch abrufbar, so dass die Geschichte nicht getilgt würde, sie würden aber nicht jedem gleich „unter die Nase gerieben“, der den Namen des Betroffenen in der Suchmaschine eingibt.

Mal wieder: Datenschutz und Wettbewerbsrecht

Dass unwirksame AGB-Klauseln einen Wettbewerbsverstoß darstellen können, weil die §§ 305 ff. BGB Marktverhaltensregelungen im Sinne des § 4 Nr. 11 UWG sind, hat der BGH jetzt geklärt. In einem anderen Bereich wird die höchstrichterliche, ob ein Gesetzesverstoß gleichzeitig ein Wettbewerbsverstoß ist und abgemahnt werden kann, vermutlich noch auf sich warten lassen: Im Datenschutzrecht.

© Rainer Sturm / pixelio.de

Hier geht es zwischen den Gerichten munter in die eine oder andere Richtung hin und her: Das LG Hamburg nimmt einen Wettbewerbsverstoß bei fehlender Datenschutzerklärung an, das Kammergericht verneint ihn im Zusammenhang mit dem Facebook „Gefällt mir“-Button. Jetzt mischen sich zwei weitere Gerichte in die Diskussion ein.

Das OLG Karlsruhe hat mit Urteil vom 9. Mai 2012 – 6 U 38/11 – entschieden, dass das Anschreiben ehemaliger Kunden unter widerrechtlicher Verwendung von deren Daten einen Wettbewerbsverstoß nach  §§ 3, 4 Nr. 11 UWG i. V. m. §§ 4, 28 BDSG darstelle. Das Gericht führt aus, bei den §§ 4 Abs. 1, 28 BDSG handele es sich um Marktverhaltensregeln im Sinne des § 4 Nr. 11 UWG, weil sie die Zulässigkeit des Erhebens, Verarbeitens und Nutzens personenbezogener Daten für Zwecke der Verkaufsförderung, insbesondere der Werbung, regelten und damit auch geschützte Interessen der Marktteilnehmer berührt würden. Dies hat im Ergebnis bereits das OLG Köln in einem Urteil vom 19. Dezember 2010 – 6 U 73/10 – so gesehen.

Anders das OLG München, das mit Urteil vom 12. Januar 2012 – 29 U 3926/11 – entschieden hat, dass die Vorschriften des BDSG allein den Schutz der Persönlichkeit bezweckten und damit nicht gesetzliche Marktverhaltensregelungen im Sinne von § 4 Nr. 11 UWG darstellen könnten.

Die Entscheidung aus Karlsruhe steht indes nicht im Widerspruch zu den Entscheidungen, nach denen eine fehlende Datenschutzerklärung keinen Wettbewerbsverstoß darstellt. Hier wird man differenzieren müssen. Während die Pflicht zum Bereitstellen einer richtigen Datenschutzerklärung nach § 13 TMG tatsächlich nur dem Schutz des Betroffenen dient und keine Marktverhaltensregelung darstellt, ist dem OLG Karlsruhe im Bereich der widerrechtlichen Werbung mit Daten unter Verstoß gegen § 28 BDSG zuzustimmen. Die Vorschrift regelt die Zulässigkeit von Werbemaßnahmen, und mit einem Verstoß kann sich ein Konkurrent einen erheblichen Wettbewerbsvorsprung verschaffen. In einem Verstoß liegt damit tatsächlich gleichzeitig ein Wettbewerbsverstoß.

Aber auch in allen anderen Bereichen des Datenschutzrechts gilt: So lange einzelne Gerichte auch in anderen Verstößen gegen das Datenschutzrecht Wettbewerbsverstöße sehen. ist besondere Sorgfalt in diesem Bereich geboten. Die Gefahr, dass unerwartete Post von der Konkurrenz kommt, ist derzeit noch wahrscheinlicher als Post von den Datenschutzbehörden.

Gegenwind für das ULD

Nicht nur die Netzgemeinde sieht das Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gegen Facebook Fanpages und Social Plugins kritisch (das ULD hatte am 19. August 2011 in einem Arbeitspapier die betreffenden Webseitenbetreiber aufgefordert, ihre Fanpages und Social-Plugins auf ihren Webseiten zu entfernen und bei Nichtbefolgung Untersagungsverfügungen und Bußgelder angekündigt). Auch der wissenschaftliche Dienst des Bundestages zieht in einem Gutachten kritische Schlüsse:

Zum einen bezweifelt das Gutachten die Zuständigkeit des ULD für die Verhängung von Bußgeldern nach § 16 Nr.2 bis 5 TMG. Hier sei vielmehr das Landesinnenministerium von Schleswig-Holstein zuständig. Zum anderen übt das Gutachten deutliche Kritik an der rechtlichen Würdigung des ULD:

„Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar.“

Insbesondere blende das ULD die seit Jahren geführte heftige Diskussion über den Personenbezug von IP-Adressen und Cookies im Sinne von § 3 Abs. 1 BDSG aus.

Letztlich zeigt sich aber auch der wissenschaftliche Dienst des Bundestages ratlos, was den Betreibern von Webseiten angesichts der Ankündigung des ULD zu empfehlen ist:

„Im Übrigen geht das ULD in seiner Beurteilung überwiegend von vertretbaren Rechtsauffassungen aus,  jedoch ist der durch das ULD erweckte Eindruck, die untersuchten Sachverhalte würden eindeutig gegen geltendes Datenschutzrecht verstoßen, unzutreffend. Vielmehr ist das geltende Datenschutzrecht von Unsicherheiten geprägt und macht die eindeutige Beantwortung rechtlicher Fragen in diesem Bereich schwer. Eine gerichtliche Beurteilung der untersuchten Sachverhalte steht bislang aus. Die zur Frage der Personenbezogenheit einer IP-Adresse auch in der Rechtsprechung vertretenen verschiedenen Auffassungen machen zudem deutlich, dass selbst im Falle einer richterlichen Entscheidung nicht von einer endgültigen Klärung datenschutzrechtlichen Kontroversen ausgegangen werden kann. Es kann daher keine abschließende Empfehlung hinsichtlich einer Entfernung der durch das ULD als datenschutzrechtlich unzulässig bewerteten Angebote gegeben werden.“

„Gefällt mir“-Button ohne Datenschutzerklärung: Nur eine Bagatelle?

Im März hatte das Landgericht Berlin zum ersten Mal über die wettbewerbsrechtliche Zulässigkeit des „Gefällt mir“-Buttons zu entscheiden und verneinte einen Wettbewerbsverstoß. Nun war das Kammergericht an der Reihe und bestätigte die Vorinstanz. Der Beschluss vom 29. April 2011 (5 W 88/11) lässt sich wie folgt zusammenfassen: Wer den „Gefällt mir“-Button auf seiner Internetseite einbindet und darüber nicht in einer Datenschutzerklärung informiert, verstößt zwar gegen Datenschutzrecht, begeht aber keinen abmahnfähigen Wettbewerbsverstoß.

Das Kammergericht geht auf Grund der Informationen, die Facebook seinen Mitgliedern erteilt, davon aus, dass Webseitenbetreiber, die den „Gefällt mir“-Button auf ihrer Seite eingebunden haben, personenbezogene Daten von Facebook-Mitgliedern erfassen, die während des Seitenbesuchs bei Facebook angemeldet sind. Darauf habe der Webseitenbetreiber in einer Datenschutzerklärung hinzuweisen. Tue er dies nicht, so das Gericht, liege ein Verstoß gegen § 13 TMG vor.

So weit, so gut. Ein Verstoß gegen § 13 TMG bedeutet aber nicht automatisch, dass auch ein abmahnfähiger Wettbewerbsverstoß nach § 4 Nr. 11 UWG vorliegt.  Ein solcher läge nur dann vor, wenn es sich bei § 13 TMG um eine Vorschrift handeln würde, die auch dazu bestimmt wäre, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Und genau an diesem Punkt scheiden sich die Geister. Während etwa das Landgericht Hamburg in einer aktuellen Entscheidung (Beschluss vom 16. Februar 2011 – 312 O 47/11) in § 13 TMG genau eine solche Marktverhaltensregel sieht, vertrat das LG Berlin in seinem Beschluss vom 14. März 2011 – 91 O 25/11 die entgegengesetzte Auffassung:

„Im Kern dienen die Vorschriften zum Datenschutz wie auch der § 13 TMG anders als Verbraucherschutzvorschriften zum Internethandel dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen.”

Dies sieht das Kammergericht etwas anders:

„Im Hinblick auf Verbraucher mag § 13 Abs. 1 TMG die erforderliche wettbewerbsbezogene Schutzfunktion insoweit zuzugestehen sein, als die Informationsverpflichtung auch dazu dienen kann, Beeinträchtigungen der Privatsphäre durch unerwünschte Werbung abzuwehren und zu unterbinden.“

Allerdings sei im vorliegenden Fall die konkrete wettbewerbsbezogene Schutzfunktion überhaupt nicht betroffen. Die eingeloggten Facebook-Mitglieder, die eine Seite mit dem „Gefällt mir“-Button besuchen, gäben deutlich zu erkennen, dass die Informationen, die Facebook ihnen auf Grund der gesammelten Daten bereitstellt, nicht unerwünscht seien. Dies gelte erst recht für die eingeloggten Mitglieder, die während ihres Besuchs auf der Webseite den „Gefällt mir“-Button betätigen und infolgedessen weitere Werbung erhalten.

Getreu dem Motto „Doppelt hält besser“ sichert das Kammergericht seine Argumentation am Ende der Entscheidung ab und verneint zusätzlich sogar die – für einen Wettbewerbsverstoß erforderliche – „spürbare Interessenbeeinträchtigung“. Mit anderen Worten: Die fehlende Aufklärung über die Einbindung des „Gefällt mir“-Buttons ist in den Augen des Kammergerichts eine bloße Bagatelle!

Trotz dieser Entscheidung  sollten sich Seitenbetreiber nicht allzu sicher fühlen. Da Internetseiten in ganz Deutschland abgerufen werden können, kann sich der Abmahnende an jedes sachlich zuständige Landgericht in Deutschland wenden – die Berliner Gerichte werden zukünftig wohl eher selten über fehlende oder unvollständige Datenschutzerklärungen zu entscheiden haben. Webseitenbetreiber sollten deshalb in jedem Fall in ihrer Datenschutzerklärung auf die Datenübertragung an Facebook hinweisen. Mehr zum Thema gibt es hier.

Schweiz bremst Google Street View aus

Das Bundesverwaltungsgericht der Schweiz hat dem Dienst Google Street View einen massiven Dämpfer verpasst. Der Gericht gab mit Urteil vom 30. März 2011 – A-7040/2009 – einer Klage des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten statt. Dieser hatte Google zuvor erfolglos aufgefordert, dem Schutz von Personendaten und der Privatsphäre besser Rechnung zu tragen, was Google abgelehnt hatte. Das Gericht hält folgendes fest:

  • Google muss „darum besorgt sein, sämtliche Gesichter und Kontrollschilder unkenntlich zu machen, bevor die Bilder im Internet veröffentlicht werden.“ Im Bereich von sensiblen Einrichtungen (Gefängnisse, Spitäler, Frauenhäusern, etc.) muss Google  „nebst den Gesichtern auch weitere individualisierende Merkmale wie Hautfarbe, Kleidung, Hilfsmittel von körperlich behinderten Person, etc.“ so verwischen, dass die abgebildeten Personen nicht mehr erkennbar sind. (Forderungen 1 und  2 der Empfehlung)
  • Google darf keine Bilder von Privatbereichen wie umfriedete Gärten oder Höfe machen, „die dem Anblick eines gewöhnlichen Passanten verschlossen bleiben“ und muss  „solche bereits vorhandenen Bilder aus Google Street View entfernen oder eine Einwilligung (der betroffenen Personen) einholen“. (Forderung 3 der Empfehlung)
  • Aufnahmen aus Privatstrassen sind gestattet,  „sofern sie hinreichend unkenntlich gemacht worden sind und keine Privatbereiche zeigen“, die dem Anblick eines gewöhnlichen Passanten verschlossen bleiben. (Forderung 4 der Empfehlung)
  • Vor Aufnahmefahrten muss Google auch in lokalen Presseerzeugnissen, und nicht nur auf der Internetseite von Google Maps, informieren. Gleiches gilt auch für das Aufschalten der Aufnahmen im Internet. (Forderungen 5 und 6 der Empfehlung)

In Deutschland stellen sich ähnliche Probleme mit Google Street View: Auch hier sind Gebäudeaufnahmen unzulässig, wenn sie mit technischen Hilfsmitteln gemacht sind und Einblicke zulassen, die sich für den gewöhnlichen Passanten ohne Leiter oder Fernglas nicht bieten.

Die Verpixelung ist in der Tat in vielen Fällen insofern problematisch, als sich Kleidung und Frisuren teilweise noch erkennen lassen und zudem Rückschlüsse auf Personen sich aus der Umgebung ergeben können. Auch  noch erkennbare Abbildungen dürften aber nach deutschem Recht als so genanntes „Beiwerk“ zu einer abgebildeten Landschaft oder sonstigen Örtlichkeit (§ 23 Abs. 1 Nr. 2 KUG) zulässig sein.

Das Kammergericht hat jüngst einen Anspruch einen Hauseigentümers gegen Google Street View verneint.

Fehlende Datenschutzerklärung (k)ein Wettbewerbsverstoß

Alle Jahre wieder schwappt eine Abmahnwelle durch das Land. Ziel sind diesmal vor allem Anbieter von Internetseiten, die auf Ihren Seiten keine Datenschutzerklärung bereithalten und damit gegen ihre Informationspflichten aus § 13 TMG verstoßen.

Mit diesem Verstoß riskieren die Anbieter zwar ein Einschreiten der Datenschutzbehörden; die spannende Frage lautet aber, ob ein Verstoß gegen § 13 TMG auch von einem Mitbewerber abgemahnt werden kann. Für einen Wettbewerbsverstoß reicht es gerade nicht, dass ein Verstoß gegen eine datenschutzrechtliche Vorschrift vorliegt. Ein Gesetzesverstoß begründet nur dann Ansprüche des Konkurrenzen, wenn die entsprechende Vorschrift eine „Marktverhaltensregel“ ist, also zumindest auch dazu dient, das Marktverhalten im Interesse der Markteilnehmer zu regeln. Dies ist bei § 13 TMG keinesfalls eindeutig, da die Norm, wie andere Datenschutzvorschriften auch, vor allem das Persönlichkeitsrecht und nicht den lauteren Wettbewerb schützen soll.

Wer darauf gehofft hatte, dass diese Frage schnell durch die Gerichte geklärt wird, wurde nun enttäuscht. Während das Landgericht Hamburg in einer aktuellen Entscheidung (Beschluss vom 16. Februar 2011 – 312 O 47/11) von einem Wettbewerbsverstoß ausgeht, lehnt das Landgericht Berlin jetzt mit Beschluss vom 14. März 2011 – 91 O 25/11 einen Wettbewerbsverstoß ab.

Der vom Landgericht Berlin entschiedene Fall ist aber auch aus einem anderen Grund hochinteressant: der Antragsteller warf seinem Konkurrenten nämlich vor, auf seiner Seite den Facebook-Button „Gefällt mir“ eingebunden zu haben, ohne die Nutzer in einer Datenschutzerklärung auf die damit verbundene Datenübertragung an Facebook hinzuweisen. Zur Frage, ob § 13 TMG eine Marktverhaltensvorschrift ist, führen die Berliner Richter aus:

„(…) ist die Vorschrift des § 13 TMG nicht als Marktverhaltensvorschrift zu qualifizieren. Nach dem Gesetzeswortlaut hat der Diensteanbieter „den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist“. Im Kern dienen die Vorschriften zum Datenschutz wie auch der § 13 TMG anders als Verbraucherschutzvorschriften zum Internethandel dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen.“

Trotz dieser Entscheidung  sollten sich Seitenbetreiber nicht allzu sicher fühlen. Da Internetseiten in ganz Deutschland abgerufen werden können, kann sich der Abmahnende an jedes sachlich zuständige Landgericht in Deutschland wenden – das Landgericht Berlin wird deshalb zukünftig wohl eher selten über fehlende oder unvollständige Datenschutzerklärungen zu entscheiden haben.

Die – im Moment leider unübersichtliche – Situation lässt sich wie folgt zusammenfassen:

  • Unabhängig von der Frage, ob ein Wettbewerbsverstoß vorliegt, sollte unbedingt auf jeder aufrufbaren Seite ein Link zu einer Datenschutzerklärung bereitgehalten werden, da andernfalls ein Einschreiten der Datenschutzbehörden droht.
  • Ob die Einbindung des Facebook-Buttons „Gefällt mir“ gegen datenschutzrechtliche Vorschriften verstößt, ist noch nicht abschließend geklärt. Bisher ist noch nicht einmal klar, ob Facebook neben den Daten von eingeloggten Facebook-Mitgliedern auch Daten von nicht eingeloggten Mitgliedern oder Nicht-Mitgliedern sammelt. Die Datenschutzbehörden verhalten sich bisher abwartend, es ist bisher kein Fall bekannt, in dem ein Bußgeld verhängt worden ist.
  • Wird der „Gefällt mir“-Button eingebunden, sollte zumindest in der Datenschutzerklärung darauf hingewiesen werden, dass Daten an Facebook übertragen werden. Ein solcher Hinweis ändert zwar nichts an der möglichen datenschutzrechtlichen Unzulässigkeit, ist aber nicht zuletzt aus Transparenzgründen zu empfehlen.
  • Seitenbetreiber sollten wegen des „Gefällt mir“-Buttons auf ihren Seiten keine unruhigen Nächte haben. Die Erfahrung zeigt, dass die Datenschutzbehörden bei vergleichbaren Fragen nicht sofort Bußgelder verhängen, sondern zunächst versuchen, die Angelegenheit im Dialog mit dem jeweiligen Seitenbetreiber zu klären. Die größere Gefahr geht derzeit von den Abmahnungen missgünstiger Konkurrenten aus. Es sind bisher aber nur sehr wenige Fälle bekannt, in denen wegen des Buttons abgemahnt wurde. Und da mittlerweile nur noch wenige Anbieter auf die Einbindung verzichten, erscheint das tatsächliche Risiko, Ziel einer Abmahnung zu werden, überschaubar.

UPDATE: Das Kammergericht hat die Entscheidung des Landgerichts Berlin (wenn auch mit abweichender Begründung) mit Beschluss vom 29. April 2011 (5 W 88/11) im Ergebnis bestätigt.

Wenn Sie diese Seite nutzen, stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Verwendung von Cookies Auf unseren Internetseiten werden so genannte Cookies verwendet. Dabei handelt es sich um kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Wir verwenden überwiegend so genannte „Session-Cookies“. Diese werden nach Ende Ihres Besuchs automatisch gelöscht. Wenn Sie unsere Webseiten ohne Cookies betrachten möchten, wählen Sie bitte in den Einstellungen Ihres Browsers die Funktion „Keine Cookies akzeptieren“ aus. Zusätzlich besteht die Möglichkeit, bereits gesetzte Cookies wieder zu löschen. Genaueres entnehmen Sie bitte der Hilfe-Funktion des jeweiligen Browser-Herstellers.

Schließen