Zum 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Erste Entscheidungen zur neuen Rechtslage werden nachfolgend dargestellt, erlauben aber kein vollständiges Bild über die Rechtslage.
Literatur: Barth, Günter, Wettbewerbsrechtliche Abmahnungen von Verstößen gegen das neue Datenschutzrecht, WRP 2018, 790; Köhler, Helmut, Durchsetzung der DS-GVO mittels UWG und UKlaG, WRP 2018, 1269 (der Verfasser lehnt Ansprüche aus UWG ab); Ohly, Ansgar, UWG-Rechtsschutz bei Verstößen gegen die Datenschutz-Grundverordnung?, GRUR 2019, 686; Uebele, Fabian, Datenschutzrecht vor Zivilgerichten. Die Durchsetzung des Datenschutzrechts über UWG und UKlaG auf dem Prüfstand von Rechtsprechung und Gesetzgeber, GRUR 2019, 694; Schaub, Renate, Verletzung von Datenschutzregeln als unlauterer Wettbewerb? WRP 2019, 1391; von Walter, Axel, Die Verbandsklage im Datenschutz nach Meta Platforms Ireland/Verbraucherzentrale Bundesverband, WRP 2022, 937
Zur DS-GVO
1. Klagebefugnis/Aktivlegitimation
Relevanz für die geschäftliche Entscheidung
Zum BDSG a.F.
1. (Keine) Marktverhaltensregelungen
2. (Teil-)Ausnahme: § 28 BDSG?
2a. Richtlinienkonformität des § 28 BDSG
2b. Zulässigkeitsvoraussetzungen des § 28 BDSG
aa) § 28 Abs. 1 S.1. Nr. 2 BDSG
(i) § 28 Abs. 3 S. 2 Nr. 2 BDSG
(ii) § 28 Abs. 3 Nr. 3 lit. a BDSG
(iii) § 28 Abs. 3a BDSG (Einwilligungserklärung)
3. Anwendung deutschen Datenschutzrechts auf europäische und sonstige internationale Sachverhalte
DS-GVO
Klagebefugnis/Aktivlegitimation
Verbraucherschutzverbände sind befugt, Verstöße gegen das Datenschutzrecht zu verfolgen.
EuGH, Urt. v. 28.4.2022, C-319/20 - Meta ./. VZBV
Art. 80 Abs. 2 der Verordnung (EU) 2016/679 ... Datenschutz-Grundverordnung ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.
(S.a. die Vorlage vom BGH, Beschl. v. 28.5.2020, I ZR 186/17 - App-Zentrum).
Marktverhaltenregelung
OLG Hamburg, Urt. v. 25.10.2018, 3 U 66/17, Tz. 72
Der Senat hat unter der Geltung des § 4 Nr. 11 UWG (jetzt § 3a UWG) einen solchen marktverhaltensregelnden Charakter in Bezug auf die Vorschrift des 13 Abs. 1 TMG unter Hinweis auf die Erwägungsgründe 6 bis 8 der DS-RL bejaht (Senat, Urt. v. 27.06.2013, 3 U 26/12, WRP 2013, 1203, Rn. 39 f.; a.A. KG, GRUR-RR 2012, 19). Dem hat sich ein Teil der Literatur (vgl. Köhler/Bornkamm/Feddersen, UWG, 36. Aufl., Rn. 1.310b zu § 3a UWG) und der Rechtsprechung (OLG Köln, WRP 2016, 885, Rn. 22 ff.) angeschlossen. Ein anderer Teil der Rechtsprechung geht demgegenüber davon aus, dass Datenschutznormen generell keine marktverhaltensregelnden Normen seien (OLG München, ZD 2012, 330; OLG Düsseldorf, DUD 2004, 631; OLG Frankfurt, NJW-RR 2005, 839). Dem vermag der Senat zwar nicht zu folgen. Mit der Entscheidung des Senats vom 27.06.2013 ist indes - anders als offenbar vom Landgericht angenommen - nicht schon zum Ausdruck gebracht, dass jegliche datenschutzrechtliche Norm marktverhaltensregelnden Charakter hat. In Rechtsprechung und Literatur wird inzwischen zu Recht angenommen, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat.
OLG Naumburg, Urt. v. 14.11.2019, 9 U 24/19, Tz. 71 ff
Das Hanseatische Oberlandesgericht Hamburg nimmt auch nach Inkrafttreten der DSGVO an, dass insoweit die jeweilige Norm konkret darauf überprüft werden muss, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat (Urt. v. 25.10.2018, 3 U 66/17, Tz. 72).
Der Senat schließt sich der Auffassung des Hanseatischen Oberlandesgerichts Hamburg an. Selbstverständlich schützen Datenschutzregeln in erster Linie das informationelle Selbstbestimmungsrecht des Betroffenen. Gleichwohl verfolgt die DSGVO auch andere Zielsetzungen: In den Erwägungsgründen 6 bis 8 der DS-RL heißt es, dass die Richtlinie auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2), und die Regelungen der Richtlinie auch der Beseitigung solcher Hemmnisse diene, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8).
Ebenso OLG Naumburg, Urt. v. 7.11.2019, 9 U 6/19, Tz. 66; OLG Naumburg, Urt. v. 7.11.2019, 9 U 39/18
Art. 13 DSGVO
Zum Verordnungstext mit weiteren Informationen siehe hier.
OLG Stuttgart, Urt. v. 27.2.2020 2 U 257/19, Tz. 69 f
Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche zur Erhebung der Daten Informationen zu erteilen. Teilweise hängen die Informationspflichten davon ab, ob bestimmte Umstände vorliegen (Artikel 13 Absatz 1 lit. a (2. Alt.), lit. b, d, e, f, Artikel 13 Absatz 2 lit. c, f und Artikel 13 Absatz 3).
Bei den genannten Bestimmungen der Datenschutz-Grundverordnung handelt es sich um Marktverhaltensregelungen im Sinne von § 3a UWG.
OLG Stuttgart, Urt. v. 27.2.2020 2 U 257/19, Tz. 82
Die Kenntnis des Namens und der Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO) hat eine verbraucherschützende Funktion und weist den erforderlichen wettbewerblichen Bezug auf. Sie erleichtert die Kommunikation mit dem Unternehmen (zur Anbieterkennzeichnung bei Telemediendiensten: BGH, Urt. v. 20.07.2006, I ZR 228/03, Rn. 15). In diesem Sinne auch als verbraucherschützend mit Marktbezug zu werten sind die Information über die in Artikel 13 Absatz 2 lit. b DSGVO angesprochenen Rechte gegen den Verantwortlichen sowie der Hinweis auf das Beschwerderecht gegenüber der Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO).
OLG Stuttgart, Urt. v. 27.2.2020 2 U 257/19, Tz. 83
Einen nicht nur persönlichkeitsschützenden Charakter, sondern auch wettbewerblichen Bezug hat ferner die Information über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO) und darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO). Einen Marktbezug hat schließlich auch die Pflicht zur Erteilung der Information über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO).
Relevanz für die geschäftliche Entscheidung
OLG Stuttgart, Urt. v. 27.2.2020 2 U 257/19, Tz. 84 ff
Dem Interesse der Verbraucher und sonstigen Marktteilnehmer dient eine Norm, wenn sie deren Informationsinteresse und Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützt. …Bereits durch den Geschäftskontakt als solchen werden datenschutzrechtliche Belange des Interessenten berührt und entsprechende Pflichten des Unternehmers begründet.
Die Entscheidung des Interessenten für eine Anbahnung des Vertrages stellt eine geschäftliche Entscheidung dar. Der Begriff der „geschäftlichen Entscheidung“ umfasst nicht nur die Entscheidung über den Erwerb oder Nichterwerb eines Produkts, sondern auch damit unmittelbar zusammenhängende Entscheidungen wie die Kontaktaufnahme mit dem Anbieter (BGH, Urt. v. 28.4.2016, I ZR 23/15, Tz. 34 – Geo-Targeting). Die Entscheidung, mit dem Anbieter über Fernkommunikationsmittel in Kontakt zu treten, ist mithin untrennbar mit der Übermittlung personenbezogener Daten verknüpft ist (in diesem Sinne auch OLG Hamburg, Urt. v. 27.6.2013, 3 U 26/12, Tz. 58 zu § 13 TMG). Die zu erteilenden Informationen dienen damit auch der Entscheidung des Verbrauchers, mit dem Unternehmen überhaupt in Kontakt zu treten und in diesem Zuge Daten zu übermitteln.
Für den Verbraucher kann für die Anbahnung des Geschäftes auch von Bedeutung sein, für welchen Zweck die Daten verarbeitet und wie lange sie gespeichert werden sollen. Je weiter die Zweckerklärung reicht und je länger die Daten gespeichert werden, desto eher besteht die Gefahr für eine vom Verbraucher unerwünschte Datenverarbeitung durch den Unternehmer oder gar für einen Datenmissbrauch durch Dritte. Insbesondere in den Fällen einer kostenlosen oder günstigen Gegenleistung erkennen Verbraucher durchaus, dass die Verarbeitung ihrer Daten Teil des Geschäftsmodells ist. Die zu erteilenden Informationen zur Datenerhebung stellen somit Informationen dar, die dem Verbraucher eine informierte Entscheidung über die Geschäftsanbahnung ermöglichen.
Dass die mit dem Geschäftskontakt betroffenen datenschutzrechtlichen Belange nicht getrennt hiervon betrachtet werden können, zeigt auch der Umstand, dass Artikel 13 DSGVO nicht (nur) im Sinne einer persönlichkeitsschützenden Norm dazu dient, dem Verbraucher die notwendigen Informationen zu erteilen, um eine wirksame Einwilligung „in informierter Weise“ (Artikel 4 Nr. 11 DSGVO) zu erteilen (Artikel 7 Absatz 1 DSGVO). Vielmehr ist der Verbraucher auch dann über die Zwecke der Datenverarbeitung und deren Rechtsgrundlagen aufzuklären, wenn seine Einwilligung nicht erforderlich ist, weil bereits die Erforderlichkeit der Datenverarbeitung für die Erfüllung des Vertrags oder zur Durchführung vorvertraglicher Maßnahmen deren Rechtmäßigkeit begründet (vgl. Artikel 6 Absatz 1 Satz 1 lit. b DSGVO).
BDSG a.F.
Marktverhaltensregelungen?
Die Regelungen im Bundesdatenschutzgesetz und entsprechenden Landesdatenschutzgesetzen stellen in der Regel keine Marktverhaltensregelungen dar.
OLG Frankfurt, Urt. v. 30.6.2005, 6 U 168/04
Die Unlauterkeit der beanstandeten Datenerhebung kann nicht über § 4 Nr. 11 (alt) UWG mit einem Verstoß gegen das BDSG begründet werden. Denn bei der Vorschrift des § 4 BDSG, deren Verletzung hier in Betracht kommt, handelt es sich nicht um eine gesetzliche Norm, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.
(Anm.: Das OLG Frankfurt hat im konkreten Fall aber einen Verstoß gegen § 4 Nr. 2 (alt) UWG angenommen.)
(Teil-)Ausnahme: § 28 BDSG
Früher war umstritten, ob § 28 BDSG eine Ausnahme darstellt (siehe OLG Stuttgart, Urt. v. 22.2.2007, 2 U 132/06; OLG Köln, Urt. v. 17.1.2014, 6 U 167/13, Tz. 14; OLG Karlsruhe, Urt. v. 9.5.2012, 6 U 38/11, 2; KG, Urt. v. 24.1.2014, 5 U 42/12, B.III.3.c – Facebook; OLG München, Urt. v. 12.1.2012, 29 U 3926/11, II.1.c. aa).
Dieser Streit dürfte mittlerweile obsolet sein:
OLG Frankfurt, Urt. v. 28.7.2016, 6 U 93/15
Die Beklagte streitet ab, dass die Vorschrift des § 28 Abs. 3 BDSG eine verbraucherschützende und damit das Marktverhalten der Verbraucher regelnde Norm darstellt. Dies ist allerdings durch den am 18. Juni 2016 in Kraft getretenen § 2 Abs. 2 Nr. 11 UKlaG mittlerweile festgeschrieben.
KG, Urt. v. 22.9.2017, 5 U 155/14, Tz. 55
§ 28 Abs. 3 Satz 1, § 4a Abs. 1 Satz 1, Satz 2 BDSG (Köhler in: Köhler/Bornkamm, UWG, 35. Auflage, § 3a Rn. 1.74; im Ergebnis ebenso OLG Köln, NJW 2014, 1820, 1821; OLG Karlsruhe, WRP 2012, 1439) sowie § 13 Abs. 1 TMG dienen auch dem Verbraucherschutz und sind Marktverhaltensregelungen im Sinne des § 4 Nr. 11 UWG aF/§ 3a UWG nF.
Richtlinienkonformität des § 28 BDSG
OLG Karlsruhe, Urt. v. 9.5.2012, 6 U 38/11, 1.c
Eine Heranziehung von §§ 4 Abs. 1, 28 BDSG als Marktverhaltensregel nach § 4 Nr. 11 (alt) UWG scheitert nicht daran, dass die sog. UGP-Richtlinie 2005/29/EG in ihrem Anwendungsbereich zu einer vollständigen Harmonisierung des Lauterkeitsrechts geführt hat, aber keinen dem § 4 Nr. 11 (alt) UWG entsprechenden Unlauterkeitstatbestand kennt. Das schließt es allerdings aus, über § 4 Nr. 11 (alt) UWG außerlauterkeitsrechtliche Verbotsnormen zur Geltung zu bringen, die ihre Grundlage im nationalen Recht haben. Anders ist es aber, wenn die jeweilige Verhaltenspflicht ihre Grundlage im Unionsrecht hat und die UGP-Richtlinie diese unionsrechtliche Regelung unberührt lässt (vgl. BGH GRUR 2010, 852 Tz. 15 – Gallardo Spyder; BGH WRP 2011, 866 Tz. 19 – Werbung mit Garantie; BGH WRP 2011, 1146 Tz. 15 – Vorrichtung zur Schädlingsbekämpfung; Köhler/Bornkamm, a.a.O., § 4 Rn. 11.6a). So liegt es im Streitfall. Das hier angewandte Regelungssystem der §§ 4 Abs. 1, 28 BDSG hat seine Grundlage in der Datenschutzrichtlinie 95/46/EG, die von der UGP-Richtlinie nicht berührt wird.
OVG Berlin-Brandenburg, Beschl. v. 31.7.2015, 12 N 71.14
Die UGP-Richtlinie lässt die Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995 unberührt. Diese ermächtigt die Mitgliedstaaten in Art. 7 ausdrücklich zum Erlass einer nationalen Regelung, wie sie §§ 4 Abs. 1, 28 Abs. 3 BDSG für die Nutzung personenbezogener Daten enthalten, ohne dies auf Werbemaßnahmen oder eine bestimmte Auslegung des Begriffs der Werbung zu beschränken.
Zulässigkeitsvoraussetzungen des § 28 BDSG
§ 28 Abs. 1 S.1. Nr. 2 BDSG
OLG Karlsruhe, Urt. v. 9.5.2012, 6 U 38/11, 1.c
Nach § 28 Abs. 1 S. 1 Nr. 2 BDSG a.F. ist u.a. die Nutzung personenbezogener Daten zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle (d.h. hier: der nutzenden Stelle, vgl. § 3 Abs. 7 BDSG) erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Nutzung überwiegt. Die Vorschrift erfordert also eine Interessenabwägung, bei der die berechtigten Interessen des Nutzenden den schutzwürdigen Interessen des Betroffenen gegenübergestellt werden und auf Seiten des Nutzenden zusätzlich das Tatbestandsmerkmal der Erforderlichkeit erfüllt sein muss.
Das berechtigte Interesse des Nutzenden kann wirtschaftlicher oder ideeller Natur sein; es muss von der Rechtsordnung gebilligt sein. Das Interesse der Beklagten, sich mit Werbung gezielt an ehemalige Kunden zu wenden und diesen – auch vergleichende (vgl. § 6 UWG) – Angebote zu machen, wird grundsätzlich von der Rechtsordnung gebilligt; für die Unzulässigkeit des hier streitgegenständlichen Angebots bestehen im vorliegenden Verfahren keine Anhaltspunkte. Die Beklagte verfolgt also mit ihrer Werbung ein berechtigtes Interesse im Sinne der genannten Vorschrift.
Der Senat teilt aber die Auffassung des Oberlandesgerichts Köln (Urt. v. 19.11.2010, Az. 6 U 73/10), dass für die Verfolgung dieses Interesses die Nutzung der Information, dass der ehemalige Kunde zur Beklagten gewechselt hat, nicht „erforderlich“ im Sinne des § 28 Abs. 1 S. 1 Nr. 2 BDSG a.F. ist und dass das schutzwürdige Interesse des Kunden am Ausschluss der Nutzung überwiegt. Das Merkmal der Erforderlichkeit setzt voraus, dass die berechtigten Interessen auf andere Weise nicht bzw. nicht angemessen gewahrt werden können. Es geht also um ein bei vernünftiger Betrachtung zu bejahendes Angewiesensein auf die Nutzung der fraglichen Information, nicht um eine absolut zwingende Notwendigkeit; die Nutzung ist dann erforderlich, wenn es, um das berechtigte Interesse verfolgen zu können, zur Nutzung der jeweiligen Information keine zumutbare Alternative gibt. Damit kann Erforderlichkeit im Zusammenhang mit der Nutzung für Werbung aber nicht mit bestmöglicher Effizienz gleichgesetzt werden (OLG Köln a.a.O.). Zudem zeigen die oben genannten Kriterien, dass die Beurteilung der Erforderlichkeit nicht getrennt betrachtet werden kann von den Interessen des Betroffenen am Schutz seiner personenbezogenen Daten. Wann die Nutzung personenbezogener Daten für die Verfolgung eines berechtigten Interesses erforderlich im genannten Sinne ist, hängt auch davon ab, in welchem Maße die Interessen des Betroffenen Schutz verdienen; je mehr Schutz sie verdienen, desto eher kann dem Nutzenden eine alternative, wenn auch weniger effiziente Art der Verfolgung seines berechtigten Interesses ohne Nutzung der personenbezogenen Daten zugemutet werden. Wie weit der Kreis der in Betracht kommenden Alternativen zu ziehen ist, hängt ebenfalls vom Grad der Schutzwürdigkeit der Interessen des Betroffenen und von der Intensität des Eingriffs ab. Die Prüfung der Erforderlichkeit ist also Teil der Interessenabwägung, die § 28 Abs. 1 S. 1 Nr. 2 BDSG a.F. verlangt.
Schließlich hat das Merkmal der Erforderlichkeit auch Rückwirkungen darauf, was als Gegenstand des berechtigten Interesses des Nutzenden in Betracht kommt. Denn das Merkmal der Erforderlichkeit wäre obsolet, wenn das berechtigte Interesse gerade auf die spezifische, die Verwertung personenbezogener Daten voraussetzende Nutzungsform bezogen würde; dann wäre die Nutzung eben stets „erforderlich“. Das gebietet eine Abstrahierung dessen, woran der Nutzende ein berechtigtes Interesse hat, im Streitfall auf die gezielte werbliche Ansprache ehemaliger Kunden (vgl. OLG Köln a.a.O.).
§ 28 Abs. 3 S. 2 BDSG
OVG Berlin-Brandenburg, Beschl. v. 31.7.2015, 12 N 71.14
LS1: Die telefonische Einholung einer Einwilligungserklärung in zukünftige Werbemaßnahmen per Telefon, SMS oder E-Mail (sog. Opt-in-Anfrage), die mit einem Service-Call zur Abfrage der Kundenzufriedenheit verbunden wird, stellt eine Nutzung personenbezogener Daten im Sinne des § 3 Abs. 5 BDSG dar.
LS2: Eine Nutzung personenbezogener Daten "für Zwecke der Werbung" im Sinne des § 28 Abs. 3 BDSG liegt sowohl bei unmittelbar als auch bei mittelbar absatzfördernden Maßnahmen vor. Eine Beschränkung des Begriffs der Werbung auf eine unmittelbare Absatzförderung ist gemeinschaftsrechtlich nicht geboten.
OLG Köln, Urt. v. 17.1.2014, 6 U 167/13, Tz. 16
§ 28 Abs. 3 BDSG ist eine abschließende Spezialregelung für die Nutzung personenbezogener Daten für die Werbung, so dass ein Rückgriff auf andere Erlaubnistatbestände nicht möglich ist (Gola/Schomerus, BDSG, § 28 Rn. 42; Plath/Plath, BDSG, § 28 Rn. 100; Wolff/Brink, Datenschutzrecht, § 28 BDSG Rn. 112). Der Begriff der Werbung in § 28 Abs. 3 BDSG ist weit und umfassend zu verstehen; auch die indirekte und unbewusste Ansprache ist darunter zu fassen (Bergmann/Möhrle/Herb, Datenschutzrecht, § 28 Rn. 322).
OLG Köln, Urt. v. 17.1.2014, 6 U 167/13, Tz. 17
Eine Interessenabwägung, ob die Form der Kontaktaufnahme im überwiegenden Interesse der Anleger war, sieht § 28 Abs. 3 BDSG nicht vor; eine solche Abwägung ist nur im Rahmen der – wegen des Vorrangs des Abs. 3 nicht einschlägigen – Absätze 1 und 6 vorgesehen. Im Rahmen des Abs. 3 sieht S. 6 hingegen eine Interessenabwägung nur als zusätzliche Voraussetzung vor.
§ 28 Abs. 3 S. 2 Nr. 2 BDSG
OLG Köln, Urt. v. 17.1.2014, 6 U 167/13, Tz. 16
Nach § 28 Abs. 3 S. 2 Nr. 1 BDSG kann die Verwendung von Daten zulässig sein, soweit sie der Verwender im Rahmen eines Schuldverhältnisses zulässigerweise nach § 28 Abs. 1 S. 1 Nr. 1 BDSG erhoben hat. Damit ist aber ein Schuldverhältnis mit dem Betroffenen gemeint, so dass der vorliegende Fall – bei denen die Antragsgegner die Daten unbeteiligter Dritter im Rahmen der Mandatsausübung erlangt haben – nicht erfasst ist. Auch Daten, die zur Begründung eines Schuldverhältnisses erforderlich sind, müssen bei dem Betroffenen, mit dem das Schuldverhältnis begründet werden soll, erhoben werden. Andernfalls liefe § 28 Abs. 3 BDSG mit seinen strengeren Anforderungen an die Nutzung der Daten für Werbezwecke (die regelmäßig auf die Begründung eines Schuldverhältnisses abzielen) weitgehend leer.
§ 28 Abs. 3 Nr. 3 lit. a BDSG
OLG Karlsruhe, Urt. v. 9.5.2012, 6 U 38/11, 1.d
§ 28 Abs. 3 Nr. 3 lit. a BDSG a.F. gestattet u.a. die Nutzung für Zwecke der Werbung, wenn es sich um listenmäßig zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe beschränken, und wenn kein Grund zu der Annahme besteht, dass der Betroffene ein Schutzwürdiges Interesse an der dem Ausschluss der Nutzung hat (sog. „Listenprivileg“).
… Die Zugehörigkeit zu einer Personengruppe darf nicht durch eine Kombination von Angaben beschrieben werden.
§ 28 Abs. 3a BDSG (Einwilligungserklärung)
Im Zusammenhang mit dem Einsatz von Cookies:
OLG Frankfurt, Urt. v. 17.12.2015, 6 U 30/15, II.2.a
Die Erklärung ist nicht schon deswegen unzureichend, weil der Nutzer der Einwilligung (durch Anklicken des Häkchens zu Beginn der Erklärung) widersprechen muss ("opt-out"); denn ein "opt-in"-Erfordernis ist den genannten Vorschriften nicht zu entnehmen. Dies hat der Bundesgerichtshof hinsichtlich der Regelung des § 4a BDSG bereits entschieden (vgl. GRUR 2008, 1010 [BGH 16.07.2008 - VIII ZR 348/06] - Payback, Tz. 23 ff.). Die Vorschrift des § 15 III TMG, die dem Nutzer ein Widerspruchsrecht gegen die Verwendung von Nutzungsdaten einräumt, stellt sogar ausdrücklich klar, dass ein "opt-out"-Verfahren ausreichend ist.
OLG Frankfurt, Urt. v. 17.12.2015, 6 U 30/15, II.2.b
Die streitgegenständliche Einwilligungserklärung widerspricht den Anforderungen an eine zuvor erfolgte klare, umfassende und verständliche Information nicht deswegen, weil der Nutzer die Möglichkeit, seine Einwilligung zu verweigern, etwa nicht mit der erforderlichen Deutlichkeit erkennen könnte. Der Erklärung ist ein Ankreuzfeld vorangestellt, das durch das darin vorhandene Häkchen voreingestellt ist. Der durchschnittliche Internetnutzer weiß heute, dass er ein solches Häkchen durch Anklicken des Ankreuzfeldes entfernen und damit seine Einwilligung verweigern kann. Es ist daher nicht erforderlich, auf diese Möglichkeit noch ausdrücklich hinzuweisen.
OLG Frankfurt, Urt. v. 17.12.2015, 6 U 30/15, II.2.c
Die beanstandete Einwilligungserklärung ist mit § 28 Abs. 3a 2 BDSG vereinbar, wonach eine nicht in Schriftform abgegebene Einwilligungserklärung nach § 4 BDSG, die zusammen mit anderen Erklärungen abgegeben werden soll, "in drucktechnisch deutlicher Gestaltung besonders hervorzuheben" ist.
Für die "besondere Hervorhebung in drucktechnisch deutlicher Gestaltung" reicht es aus, dass die Einwilligungserklärung als solche in ausreichender Weise hervorgehoben ist. Dagegen können die erforderlichen Informationen über den Hintergrund und die Tragweite der Einwilligung grundsätzlich durch einen - deutlich gekennzeichneten - Link auf einen weiteren Text gegeben werden. Enthält die Einwilligungserklärung selbst bereits gewisse Erläuterungen, kann es zwar problematisch sein, wenn dabei wichtige Punkte unterschlagen werden, die erst im verlinkten Text angesprochen werden. Das ist aber keine Frage der "besonderen Hervorhebung", sondern der inhaltlichen Überprüfung der Einwilligung.
OLG Frankfurt, Urt. v. 17.12.2015, 6 U 30/15, II.2.d
Die an Art. 5 Abs. 3 der Richtlinie 2002/58/EG zu orientierende Auslegung von §§ 4a Abs. 1, 28 Abs. 3a BDSG, 13 Abs. 2 TMG verlangt, dass der Nutzer vor der Einwilligung in die Setzung von Cookies und in die Übermittlung und Verwertung der dadurch erhaltenen Informationen durch Dritte klar und umfassend über die damit verbundenen Umstände informiert wird.
... Weder Art. 5 Abs. 3 der Richtlinie 2002/58/EG noch dem Erwägungsgrund (66) der Richtlinie 2009/136/EG ist zu entnehmen, dass dem Nutzer über die Erläuterung der Funktion eines Cookies und der damit verbundenen Folgen hinaus die Identität der Dritten offengelegt werden müsste, die infolge der Einwilligung auf den Cookie bzw. die in ihm enthaltenen Informationen zugreifen können. Insbesondere lassen sich auf diesen Sachverhalt die zur Einwilligung in Werbeanrufe nach § 7 Abs. 3 Nr. 2 UWG entwickelten Grundsätze nicht übertragen, da es hier nicht um die Abwehr belästigender Werbung geht.
Die Einwilligungserklärung stellt die Funktion eines Cookies in den Grundzügen richtig heraus; die Einzelheiten werden dann in dem - hinreichend deutlich - verlinkten weiteren Text detailliert erläutert. … Die insoweit zu stellenden Anforderungen an die erforderliche Information des Nutzers müssen jedoch - wenn die Information ihren Sinn erfüllen soll - auch der Fähigkeit und Bereitschaft des Nutzers Rechnung tragen, sich mit diesen Fragen tatsächlich zu befassen.
S.a. BGH, Urt. v. 28.5.2020, I ZR 7/16 - Cookie-Einwilligung II (Pressemitteilung)
§ 28 Abs. 7 BDSG
OLG Hamburg, Urt. v. 25.10.2018, 3 U 66/17, II.2
Bei § 28 Abs. 7 BDSG a.F. handelt es sich nicht um eine marktverhaltensregelnde Normen i.S. des § 3a UWG, weshalb die Verwendung der Bestellbögen nicht wettbewerbswidrig ist und der Klägerin als Mitbewerberin der geltend gemachte Unterlassungsanspruch deshalb nicht zusteht. ...
Im Rahmen des Erlaubnistatbestandes von § 28 Abs. 7 BDSG a.F. geht es um besonders sensible Gesundheitsdaten und deren Verarbeitung zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten. Und nicht – wie in § 28 Abs. 3 BDSG a.F. – um eine Datennutzung zum Zwecke der Werbung und damit für Zwecke, die die geschützten Interessen des Betroffenen gerade in Bezug auf seine Marktteilnahme berühren.
Anwendung deutschen Datenschutzrechts auf europäische und sonstige internationale Sachverhalte
KG, Urt. v. 24.1.2014, 5 U 42/12, B.III.3.a – Facebook
Das BDSG findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, § 1 Abs. 5 Satz 2 BDSG.
Dem BDSG liegt die Datenschutzrichtlinie (Richtlinie 1995/46 EG) zu Grunde. Die mit dieser Richtlinie angestrebte Harmonisierung der nationalen Rechtsvorschriften ist nicht auf eine Mindestharmonisierung beschränkt, sondern führt zu einer grundsätzlich umfassenden Harmonisierung (EuGH, Slg 2011, 1-12181, Tz. 29). …
Art. 4 der EG-Datenschutzrichtlinie gehört zum Kernbereich dieser Richtlinie, wenn diese Vorschrift die Anwendbarkeit des anzuwendenden nationalen Rechts im Einzelnen regelt. Damit soll gerade das einwandfreie Funktionieren des Binnenmarkts im Bereich der Datenverarbeitung länderübergreifend sichergestellt werden. …
Diese Regelung knüpft nicht an die Staatsangehörigkeit oder den Ort der Anwesenheit desjenigen an, von dem Daten erhoben und weiter verarbeitet werden, sondern stellt in Art. 4 Abs. 1 lit. a auf den Ort der Niederlassung des die Daten erhebenden und weiter verarbeitenden Unternehmens ab. Besteht eine Niederlassung in mehreren Ländern des EWR, ist das nationale Recht anzuwenden, soweit in diesem Land des EWR Daten verarbeitet werden (also jeweils beschränkt auf die konkreten Datenverarbeitungsvorgänge).
Art. 4 Abs. 1 lit. c der EG-Datenschutzrichtlinie schreibt eine Anwendung des nationalen Rechts (insgesamt) vor, wenn die Datenverarbeitung von einem für die Verarbeitung Verantwortlichen ausgeführt wird, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind (es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden).
KG, Urt. v. 24.1.2014, 5 U 42/12, B.III.3.a – Facebook
Nach § 1 Abs. 5 Satz 1 Halbsatz 1 BDSG findet das Gesetz keine Anwendung, sofern eine in einem anderen Mitgliedstaat des EWR belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. "Erheben' ist gemäß § 3 Abs. 3 BDSG das Beschaffen von Daten über den Betroffenen. "Verantwortliche Stelle" ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, § 3 Abs. 7 BDSG.
Die EG-Datenschutzrichtlinie regelt die Anwendbarkeit des einzelstaatlichen Rechts positiv. Jeder Mitgliedstaat wendet nach Art. 4 Abs. 1 lit. a sein einzelstaatliches Recht auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. "Verantwortlicher für die Verarbeitung" ist gemäß Art. 2 lit. d der EG-Datenschutzrichtlinie die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidend. Die Datenschutzrichtlinie spricht im Erwägungsgrund 19 auch den Begriff der "Niederlassung" an. Danach setzt eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein könne, ist in dieser Hinsicht nicht maßgeblich. Gemäß Art. 2 lit. e der EG-Datenschutzrichtlinie ist "Auftragsbearbeiter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
Bezogen auf Facebook
KG, Urt. v. 24.1.2014, 5 U 42/12, B.III.3.a – Facebook
Die für den hier maßgeblichen Internetauftritt in Deutschland verwendeten Server und Anlagen werden im Ausgangspunkt von der Muttergesellschaft von Facebook in den USA — also außerhalb des EWR — vorgehalten. Ebenso werden die über den Internetauftritt von Facebook erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von dieser Muttergesellschaft verarbeitet.
Dabei werden etwa auch Cookies auf den Computern der Nutzer in Deutschland verwendet (Ziff. 2 Abs. 7 "Cookie-Informationen''). Der Begriff der verwendeten ''Mittel" im Sinne der EG-Datenschutzrichtlinie wird weit verstanden. Es wird nicht darauf abgestellt, wer Besitzer oder Eigentümer der Mittel ist. Der PC eines Nutzers kann deshalb als ein solches "Mittel" in Betracht kommen. Mit der Verwendung von Cookies setzt der Verantwortliche auf dem Computer des Nutzers eine Datenverarbeitung in Gang, so dass er im Land des Nutzers "Mittel" zum Zwecke der Datenverarbeitung nutzt.
Die Muttergesellschaft von Facebook in den USA verwendet daher in Deutschland "Mittel" zur Datenverarbeitung im Sinne des Art. 4 Abs. 1 lit. c Datenschutzrichtlinie und sie "erhebt" und "verarbeitet" daher auch Daten im Sinne des § 1 Abs. 5 Satz 2 BDSG.
KG, Urt. v. 24.1.2014, 5 U 42/12, B.III.3.a – Facebook
Dass Facebook Europe eine "feste Einrichtung" ist, steht außer Frage. Es fehlt aber ein hinreichender Vortrag dazu, dass sie die hier maßgebliche Erhebung und weitere Verarbeitung der Daten vornimmt. Insoweit ist § 1 Abs. 5 BDSG richtlinienkonform dahin auszulegen, dass diese Datenverarbeitungsvorgänge von Facebook auch "effektiv und tatsächlich" ausgeübt wird. Facebook Europe trägt nur vor, sie sei alleinige Vertragspartnerin aller 'Nutzer außerhalb Nordamerikas‘. Sie bestimme die Datenverarbeitung in den USA. Sie sei zentrale Ansprechpartnerin für alle Datenschutzbehörden in Europa. Vor diesem Hintergrund sei sie in die Verarbeitung personenbezogener Daten "einbezogen".
Aktivlegitimation
OLG Düsseldorf, Beschl. v. 19.1.2017, I-20 40/16
Das Oberlandesgericht Düsseldorf legt dem Gerichtshof der Europäischen Union folgende Fragen zur Vorabentscheidung vor:
Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABl. Nr. L 281/31 vom 23.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
Es geht selber von einer Aktivlegitimation aus:
OLG Düsseldorf, Beschl. v. 19.1.2017, I-20 40/16, Tz. 12
Gegen die Annahme, die Richtlinie lasse eine Verbandsklage nicht zu, spricht indes, dass nach Art. 24 der Richtlinie die Mitgliedstaaten geeignete Maßnahmen zu ergreifen haben, um die volle Anwendung der Richtlinie sicherzustellen. Es spricht einiges dafür, dass zu derartigen Maßnahmen auch die Einführung einer Verbandsklage im Interesse der Verbraucher gehört. Insoweit ist darauf hinzuweisen, dass nach Art. 80 Abs. 2 der Verordnung 2016/679/EU vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 519/1 vom 04.05.2016), die ab 25. Mai 2018 an die Stelle der Richtlinie tritt, eine Verbandsklage nunmehr ausdrücklich vorgesehen ist. Es ist deshalb nicht ersichtlich, warum die Richtlinie einer Verbandsklage entgegenstehen sollte.
OLG Hamburg, Urt. v. 25.10.2018, 3 U 66/17, II.1.b
Inzwischen ist in der Literatur (vgl. Zech, WRP 2013, 1434, 1436) und in der Rechtsprechung (OLG Düsseldorf, GRUR 2017, 416 ff. – „Gefällt mir“-Button) die Frage aufgeworfen worden, ob das Sanktionssystem der DS-RL ein abschließendes Sanktionssystem mit der Folge enthält, dass Verstöße gegen datenschutzrechtliche Bestimmungen nur durch die nach der DS-RL vorgesehenen Berechtigten mit den dort vorgesehenen Instrumentarien verfolgen können. Dann wären Wettbewerber i.S. von § 8 Abs. 3 Nr. 1 UWG oder qualifizierte Einrichtungen i.S. von § 8 Abs. 3 Nr. 3 UWG, die in der DS-RL nicht angeführt sind, ebenfalls nicht nach § 8 Abs. 1 und Abs. 3 Nr. 1 und 3 UWG klagebefugt. Nach Auffassung des Senats stehen allerdings die Vorschriften der DS-RL einer Klagebefugnis von Wettbewerbern gemäß § 8 Abs. 1 und Abs. 3 Nr. 1 UWG nicht entgegen.
Die DS-RL enthält erkennbar kein abschließendes Sanktionssystem, das einer zivilrechtlich begründeten Verfolgung von Verletzungen der Datenschutzvorschriften durch Mitbewerber nach § 8 Abs. 1 und Abs. 3 Nr. 1 UWG entgegenstünde. Trotz der mit der Richtlinie beabsichtigten Vollharmonisierung … ist mit der Richtlinie kein abschließendes Rechtsbehelfssystem festgelegt worden ist. Nach Art. 22 DS-RL sehen die Mitgliedsstaaten unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, vor, dass „jede Person“ bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann. Die Vorschrift greift den in Art. 2 lit. a) DS-RL definierten Begriff der „betroffenen Person“ nicht auf, sondern sieht die Möglichkeit zur Einlegung eines Rechtsbehelfs bei Gericht ausdrücklich für „jede Person“ vor. Gleiches gilt für die in Art. 23 Abs. 1 DS-RL geregelte Möglichkeit, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen. Das spricht klar gegen die Installierung eines abschließenden Sanktionssystems und dafür, dass die DS-RL die Möglichkeit gerichtlicher Rechtsbehelfe außerhalb des verwaltungsgerichtlichen Beschwerdeverfahrens nicht ausschließt.
wird ausgeführt und ergänzt
Passivlegitimation
Passivlegitimiert ist der "für die Verarbeitung Verantwortliche". Ob das bei der Datenverarbeitung durch den Anbieter von Drittinhalten, die in die eigene Seite eingebunden werden, auch der Websitebetreiber ist, hat das OLG Düsseldorf am Beispiel eines Facebook-Plugins ebenfalls den EuGH gefragt.
OLG Düsseldorf, Beschl. v. 19.1.2017, I-20 40/16, Tz. 48 f
Die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“, macht praktisch datenschutzrechtlich eine derartige Einbindung unmöglich, denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.
Ergänzend fragte das OLG Düsseldorf nach, ob stattdessen auf die Störerhaftung zurückgegriffen werden könne.
Zitiervorschlag zur aktuellen Seite
Omsels, Online-Kommentar zum UWG: