1. EuGH soll darüber entscheiden, wie eine Cookie-Einwilligung aussehen muss

von Dr. Andreas Splittgerber

Im Zusammenhang mit einem Verfahren der Verbraucherzentrale wegen angeblich wettbewerbswidrigem Gewinnspiel legte der BGH dem EuGH Fragen zur Auslegung der Cookie-Regelungen vor (Beschluss vom 5.10.2017, Az. I ZR 7/16). Insbesondere fragt der BGH, wie eine Einwilligung auf einer Website zum Einsatz von Cookies aussehen und wie das entsprechende Informationswording auf der Website lauten muss.

Fazit: Noch kurz bevor Verabschiedung der ePrivacy Verordnung, soll der EuGH zur Cookie-Einwilligung entscheiden, z.B. ob Nutzer durch „Weitersurfen“ in die Nutzung von Cookies einwilligen können und welche Details eine Cookie-Policy enthalten muss. Alle Unternehmen sollten diese Entscheidung verfolgen.

2. EuGH: Experten können Verbraucher sein, aber keine Sammelklage einreichen

von Christian Leuthner

Der Europäische Gerichtshof (EuGH) hat entschieden (Urteil vom 25.01.2018, Az. C-496/16), dass auch ein Experte in seinem Kompetenzfeld eigene Rechte als Verbraucher durchsetzen kann, wenn ein Produkt privat genutzt wird. Die besondere Zuständigkeit eines Gerichts für Ansprüche aus Verbraucherverträgen gelte aber nur für die Vertragsparteien. Max Schrems, der schon Safe Habor zu Fall brachte, hatte sich (vermeintliche) Ansprüche europäischer Nutzer gegen Facebook wegen Datenschutzverletzungen abtreten lassen, die er in Österreich gerichtlich verfolgen wollte. Nach dem EuGH kann Max Schrems nur eigene Rechte in Österreich geltend machen.

Fazit: Unternehmen müssen ihre Hausaufgaben im Datenschutz machen. Experten können und werden ihre Rechte als Verbraucher durchsetzen.

3. BGH: Löschung von Profil auf Ärztebewertungsplattform

von Sven Schonhofen, LL.M.

Der BGH (Urteil vom 20.02.2018, Az. VI ZR 30/17) hat den Anspruch einer Ärztin auf Löschung ihrer Daten und ihres Profils auf einer Ärztebewertungsplattform bejaht. Der Plattformbetreiber sei im konkreten Fall nicht bloßer neutraler Informationsmittler, so dass das Recht der Ärztin auf informelle Selbstbestimmung gegenüber der Meinungsfreiheit überwiegt. Der entscheidende Gesichtspunkt war, dass neben dem Profil der nichtzahlenden Ärztin konkurrierende Ärzte beworben wurden, während bei zahlungspflichtigen Premium-Accounts solche werbenden Hinweise nicht angezeigt werden.

Fazit: Der BGH bestätigt, dass Bewertungsportale grundsätzlich datenschutzrechtlich zulässig sind. Ob eine Löschung von Profilen erforderlich ist, hängt vom konkreten Geschäftsmodell der Plattform ab.

4. BGH: Ein einziges Opt-in für verschiedene Werbekanäle ausreichend

von Friederike Detmering, M.A.

Der BGH (Urteil vom 01.02.2018, Az. III ZR 196/17) hat entschieden, dass eine einzige Einwilligung des Verbrauchers für den Empfang von Werbung über verschiedene Kanäle, also z.B. E-Mail, Telefon, SMS und MMS, ausreiche. Separate Einwilligungen für jedes Kommunikationsmittel seien nicht erforderlich, denn durch Einwilligung per Opt-in tätigten die Verbraucher eine Willensbekundung in Kenntnis der Sachlage für den konkreten Fall und die gesetzlichen Voraussetzungen in § 7 UWG stimmten für alle Kanäle überein. Der BGH verweist weiter pauschal darauf, dass eine solche Einwilligung auch datenschutzrechtlich nicht zu beanstanden sei.

Fazit: Eine Einwilligung ist für verschiedene Werbekanäle möglich, sofern der Verbraucher ausdrücklich über die Kanäle informiert wurde. Fraglich bleibt, ob diese Entscheidung unter DSGVO Bestand haben kann, denn diese verlangt datenschutzrechtlich eine granulare Einwilligung.

5. OLG Frankfurt: Unzulässiger Adresshandel

von Dr. Thomas Fischl

In einem viel beachteten Urteil vom 24.1.2018 (Az. 13 U 165/16) hat sich das OLG Frankfurt dazu geäußert, ob ein Vertrag über den Kauf von Adressdaten nichtig ist, wenn bei diesem Adresshandel datenschutzrechtliche Anforderungen nicht eingehalten werden. Es lag zwar eine Einwilligungserklärung des Betroffenen zur Verarbeitung der Daten vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. Nach dem Wortlaut der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck - Adresshandel - konkret genug bezeichnet worden. Es fehlte zudem die erforderliche Hervorhebung.

Fazit: Betroffene Personen müssen in die Verarbeitung und Nutzung personenbezogener Daten für den Adresshandel oder für Werbung einwilligen. Fehlt eine solche ausdrückliche Einwilligung, ist sowohl der Adresshandel als auch die Verwendung der Daten für Werbezwecke unzulässig.

6. LG Berlin: Zahlreiche Voreinstellungen bei Facebook sind datenschutzwidrig

von Sven Schonhofen, LL.M.  

Das LG Berlin (Urteil vom 16.01.2018, Az. 16 O 341/15) hat diverse Voreinstellungen von Facebook zur Privatsphäre als unwirksam angesehen. Zu den Voreinstellungen gehört, dass ein Ortungsdienst in der App aktiviert ist, wodurch dem Chatpartner der Aufenthaltsort angezeigt wird. Zudem war voreingestellt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Es sei nicht gewährleistet, dass der Nutzer die Voreinstellungen überhaupt zur Kenntnis nehme.

Fazit: Facebook wurde von der Verbraucherzentrale Bundesverband verklagt. Dieses Urteil verdeutlicht, dass die Verbraucherzentralen aktuell sehr aktiv gegen Datenschutzverstöße vorgehen.

7. LG Frankfurt am Main zum „Recht auf Vergessenwerden“

von Dr. Philipp Süss, LL.M./Dr. Alexander Hardinghaus, LL.M.

Das LG Frankfurt am Main (Urteil vom 26.10.2017, Az. 2-03 O 190/16) führt die Rechtsprechung zum Löschen von Suchergebnissen in Suchmaschinen weiter. Unter Verweis  auf neuere Rechtsprechung des BGH soll es insbesondere eine Rolle spielen, ob die betreffenden Angaben zu sensitiven personenbezogenen Daten über eine Person konkret oder lediglich unkonkret oder allgemein gehalten sind.

Fazit: Der Anspruch auf Löschung von Suchergebnissen in Suchmaschinen erfordert eine umfassende Interessenabwägung. Betreffen die Suchergebnisse besondere Kategorien personenbezogener Daten, kommt dem Konkretisierungsgrad der betreffenden Angaben besonderes Gewicht zu.

8. LAG Berlin-Brandenburg: Weiterleitung von E-Mails mit betrieblichen Informationen auf einen privaten E-Mail Account

von Friederike Detmering, M.A.

Das LAG Berlin-Brandenburg (Urteil vom 16.05.2017, Az. 7 Sa 38/17) hat entschieden, dass die Weiterleitung von E-Mails mit betrieblichen Informationen auf einen privaten E-Mail Account zur Vorbereitung einer Tätigkeit bei einem neuen Arbeitgeber eine außerordentliche Kündigung des jeweiligen Arbeitnehmers rechtfertigen kann. Die Weiterleitung ohne Zustimmung des Arbeitgebers und ohne dienstliche Notwendigkeit stelle eine unmittelbare Gefährdung der Geschäftsinteressen des Arbeitgebers dar. Deshalb wirke dieses Vorgehen in der Interessenabwägung bei der außerordentlichen Kündigung zugunsten des Arbeitgebers.

Fazit: Die Weiterleitung geschäftlicher E-Mails an private E-Mail-Konten muss sowohl vom Arbeitgeber genehmigt als auch dienstlich notwendig sein. 

Gesetze und Lesehinweise zum IT und Datenschutzrecht

 Gesetzesvorhaben

• Synopse zur ePrivacy Verordnung. Mehr auf unserem Blog.

Lesehinweise

• Sven Schonhofen und Friederike Detmering zur territorialen Anwendbarkeit der DSGVO im Business Law Magazine
• Reed Smith Bericht zur Readiness von Unternehmen für die DSGVO
• Reed Smith Übersicht zu nationalen Umsetzungsgesetzen zur DSGVO
• Neue Stellungnahmen der Artikel 29-Datenschutzgruppe zur DSGVO:
  • Einwilligung
  • Transparenz
  • Datenpannen
  • Binding Corporate Rules für Verantwortliche und Auftragsverarbeiter
• Neue Kurzpapiere der Datenschutzkonferenz zur DSGVO:
  • Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern
  • Auftragsverarbeitung
  • Beschäftigtendatenschutz
  • Videoüberwachung
• Muster zum Verarbeitungsverzeichnis für Verantwortliche und Auftragsverarbeiter von der BayLDA
• DSGVO-Readiness-Tool von der BayLDA
• EU Kommission bestätigt: UK wird Drittland nach Brexit
• Privacy Shield Update
  • Artikel 29-Datenschutzgruppe veröffentlicht Bericht zur ersten jährlichen Bewertung
  • EuG weist Klage zur Wirksamkeit des Privacy Shields ab. Mehr auf unserem Blog.