Auf der 97. Konferenz am 3. April 2019 haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder die Haftung von Unternehmen im Datenschutzrecht hervorgehoben. Unternehmen haften (weiterhin) im Rahmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt.
Die DSK stützt sich auf den funktionalen Unternehmensbegriff, der auch im Rahmen der DSGVO gelte. Erwägungsgrund 150 der DSGVO verweist dementsprechend auf die AEUV:
Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.
Unternehmen sind nach diesem Verständnis
jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.(so auch st. Rspr., wohl seit EuGH, Urteil vom 23. 4. 1991 – C-41/90)
jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.
Eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich.
Die DSK begrüßt die im Koalitionsvertrag vorgesehenen Modernisierungsmaßnahmen des Unternehmenssanktionsrechts. Diese seien geboten und entsprächen dann auch dem europäischen Kartellrecht sowie dem etablierten internationalen Standard.
Zum Abschluss fordert die DSK den Bundesgesetzgeber auf, in den Beratungen des Entwurfs des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung 2016/679 und zur Umsetzung der Richtlinie 2016/680 die bisherigen Bedenken zu berücksichtigen.
SCHLUSSANTRÄGE DES GENERALANWALTS MACIEJ SZPUNAR vom 21. März 2019 (1) Rechtssache C‑673/17 Planet49 GmbH gegen Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V.
(Vorabentscheidungsersuchen des Bundesgerichtshofs [Deutschland])
„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Richtlinie 2002/58/EG – Verordnung (EU) 2016/679 – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Cookies – Einwilligung der betroffenen Person – Einwilligungserklärung mittels eines mit einem voreingestellten Häkchen versehenen Ankreuzfelds“
1. Um an einem von Planet49 veranstalteten Gewinnspiel teilzunehmen, musste ein Internetnutzer bei zwei Ankreuzfeldern ein Häkchen setzen oder entfernen, bevor er die Schaltfläche für die Teilnahme betätigen konnte. Dabei musste er zum einen seine Zustimmung erteilen, von einer Reihe von Firmen mit Werbeangeboten kontaktiert zu werden, und zum anderen seine Einwilligung in die Setzung von Cookies auf seinem Computer geben. Dies ist, kurz zusammengefasst, der dem Vorlagebeschluss des Bundesgerichtshofs (Deutschland) zugrunde liegende Sachverhalt.
2. Hinter diesem scheinbar harmlosen Sachverhalt verbergen sich grundlegende Fragen des Datenschutzrechts der Union: Welche genauen Anforderungen bestehen an eine freiwillige, in Kenntnis der Sachlage erteilte Einwilligung? Gibt es einen Unterschied hinsichtlich der (reinen) Verarbeitung personenbezogener Daten sowie dem Setzen von und dem Zugriff auf Cookies? Welche Rechtsvorschriften sind anwendbar?
3. In diesen Schlussanträgen werde ich argumentieren, dass im Rahmen des vorliegenden Falls die Richtlinie 95/46/EG(2) die gleichen Anforderungen an die Einwilligung aufstellt wie die Verordnung (EU) 2016/679(3) und dass es im vorliegenden Fall keine Rolle spielt, ob es um die allgemeine Frage der Verarbeitung personenbezogener Daten geht oder um die speziellere Frage der Speicherung von Informationen mittels Cookies und des Zugriffs auf sie.
A. Unionsrecht
1. Richtlinie 95/46
4. Art. 2 („Begriffsbestimmungen“) der Richtlinie 95/46 sieht vor:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck
…
h) ‚Einwilligung der betroffenen Person‘ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“
5. In Abschnitt II („Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten“) der Richtlinie 95/46 bestimmt Art. 7 Buchst. a:
„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
…“
6. Art 10 („Information bei der Erhebung personenbezogener Daten bei der betroffenen Person“) der Richtlinie 95/46 lautet:
„Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:
a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,
b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
c) weitere Informationen, beispielsweise betreffend
– die Empfänger oder Kategorien der Empfänger der Daten,
– die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
– das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“
2. Richtlinie 2002/58/EG(4)
7. Die Erwägungsgründe 24 und 25 der Richtlinie 2002/58/EG(5) lauten:
„(24) Die Endgeräte von Nutzern elektronischer Kommunikationsnetze und in diesen Geräten gespeicherte Informationen sind Teil der Privatsphäre der Nutzer, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. So genannte ‚Spyware‘, ‚Web-Bugs‘, ‚Hidden Identifiers‘ und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen oder die Nutzeraktivität zurückzuverfolgen, und können eine ernsthafte Verletzung der Privatsphäre dieser Nutzer darstellen. Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein.
(25) Solche Instrumente, z. B. so genannte ‚Cookies‘, können ein legitimes und nützliches Hilfsmittel sein, um die Wirksamkeit von Website-Gestaltung und Werbung zu untersuchen und die Identität der an Online-Transaktionen beteiligten Nutzer zu überprüfen. Dienen solche Instrumente, z. B. ‚Cookies‘, einem rechtmäßigen Zweck, z. B. der Erleichterung der Bereitstellung von Diensten der Informationsgesellschaft, so sollte deren Einsatz unter der Bedingung zugelassen werden, dass die Nutzer gemäß der Richtlinie [95/46] klare und genaue Informationen über den Zweck von Cookies oder ähnlichen Instrumenten erhalten, d. h., der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden. Die Nutzer sollten die Gelegenheit haben, die Speicherung eines Cookies oder eines ähnlichen Instruments in ihrem Endgerät abzulehnen. Dies ist besonders bedeutsam, wenn auch andere Nutzer Zugang zu dem betreffenden Endgerät haben und damit auch zu dort gespeicherten Daten, die sensible Informationen privater Natur beinhalten. Die Auskunft und das Ablehnungsrecht können einmalig für die Nutzung verschiedener in dem Endgerät des Nutzers während derselben Verbindung zu installierender Instrumente angeboten werden und auch die künftige Verwendung derartiger Instrumente umfassen, die während nachfolgender Verbindungen vorgenommen werden [kann]. Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein. Der Zugriff auf spezifische Website‑Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt.“
8. Art. 2 („Begriffsbestimmungen“) der Richtlinie 2002/58 sieht in Buchst. f vor:
„Sofern nicht anders angegeben, gelten die Begriffsbestimmungen der Richtlinie [95/46] und der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste (‚Rahmenrichtlinie‘)[(6)] auch für diese Richtlinie.
Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck
f) ‚Einwilligung‘ eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person im Sinne [der] Richtlinie [95/46];
9. Art. 5 („Vertraulichkeit der Kommunikation“) der Richtlinie 2002/58 bestimmt in Abs. 3:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
3. Richtlinie 2009/136/EG(7)
10. Der 66. Erwägungsgrund der Richtlinie 2009/136/EG(8) lautet:
„Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie [95/46] über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.“
4. Verordnung 2016/679
11. Der 32. Erwägungsgrund der Verordnung 2016/679 lautet:
„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.“
12. Art. 4 („Begriffsbestimmungen“) der Verordnung 2016/679 sieht in Nr. 11 vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck
11. ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
13. In Art. 6 („Rechtmäßigkeit der Verarbeitung“) der Verordnung 2016/679 heißt es:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Voraussetzungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
14. Art. 7 („Bedingungen für die Einwilligung“) der Verordnung 2016/679 bestimmt in Abs. 4: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
B. Deutsches Recht
1. Bürgerliches Gesetzbuch
15. § 307(9) des Bürgerlichen Gesetzbuchs (BGB) lautet:
„(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.
(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung
1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder
2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.
(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.“
2. Gesetz gegen den unlauteren Wettbewerb
16. Das Gesetz gegen den unlauteren Wettbewerb (UWG) verbietet geschäftliche Handlungen, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird. Nach § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung.
3. Telemediengesetz
17. Mit § 12 Abs. 1 des Telemediengesetzes (TMG) wird Art. 7 Buchst. a der Richtlinie 95/46 umgesetzt und festgelegt, unter welchen Voraussetzungen ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien erheben und verwenden darf. Nach dieser Bestimmung darf ein Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.
18. Nach § 12 Abs. 3 TMG sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden.
19. Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb des Anwendungsbereichs der Richtlinie 95/46 zu unterrichten.
20. § 15 Abs. 1 TMG sieht vor, dass Diensteanbieter personenbezogene Daten nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere Merkmale zur Identifikation der Nutzer.
21. Mit § 15 Abs. 3 TMG wird Art. 5 Abs. 3 der Richtlinie 2002/58 umgesetzt. Er gestattet einem Diensteanbieter, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen, sofern der Nutzer dem nicht widerspricht und der Diensteanbieter den Nutzer auf sein Widerspruchsrecht im Einklang mit der Unterrichtungspflicht nach § 13 Abs. 1 TMG hingewiesen hat.
4. Bundesdatenschutzgesetz
22. Mit § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG)(10) wird Art. 2 Buchst. a der Richtlinie 95/46 umgesetzt; der Begriff „personenbezogene Daten“ wird dort definiert als Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
23. Mit § 4a BDSG wird Art. 2 Buchst. h der Richtlinie 95/46 in nationales Recht umgesetzt; er sieht vor, dass die Einwilligung nur wirksam ist, wenn sie auf der freien Entscheidung der Betroffenen beruht.
24. Am 24. September 2013 veranstaltete die Planet49 GmbH unter der Internetadresse www.dein-macbook.de(11) ein Gewinnspiel zu Werbezwecken. Um an dem Gewinnspiel teilnehmen zu können, musste ein Internetnutzer seine Postleitzahl eingeben. Daraufhin wurde eine Seite mit Eingabefeldern für den Namen und die Adresse des Nutzers angezeigt. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Ich werde sie im Folgenden als „erstes Ankreuzfeld“ und „zweites Ankreuzfeld“ bezeichnen. Der erste Hinweistext, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass einige Sponsoren und Kooperationspartner mich postalisch oder telefonisch oder per E‑Mail/SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informieren. Diese kann ich hier selbst bestimmen, ansonsten erfolgt die Auswahl durch den Veranstalter. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier.“
25. Der zweite Hinweistext, der mit einem voreingestellten Häkchen versehen war, lautete:
„Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die Planet49 GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches Planet49 eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“
26. Eine Teilnahme am Gewinnspiel war nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde.
27. Der elektronische Link, der im ersten Hinweistext den Worten „Sponsoren und Kooperationspartner“ und „hier“ unterlegt war, führte zu einer Liste, die 57 Unternehmen, ihre Adressen, den zu bewerbenden Geschäftsbereich und die für die Werbung genutzte Kommunikationsart (E‑Mail, Post oder Telefon) sowie nach jedem Unternehmen das unterstrichene Wort „Abmelden“ enthielt. Der Liste vorangestellt war folgender Hinweis:
„Durch Anklicken auf dem Link ‚Abmelden‘ entscheide ich, dass dem genannten Partner/Sponsoren kein Werbeeinverständnis erteilt werden darf. Wenn ich keinen oder nicht ausreichend viele Partner/Sponsoren abgemeldet habe, wählt Planet49 für mich Partner/Sponsoren nach freiem Ermessen aus (Höchstzahl: 30 Partner/Sponsoren).“
28. Bei Betätigung des im zweiten Hinweistext dem Wort „hier“ unterlegten elektronischen Links wurde folgende Information angezeigt:
„Bei den gesetzten Cookies mit den Namen ceng_cache, ceng_etag, ceng_png und gcr handelt es sich um kleine Dateien, die auf Ihrer Festplatte von dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche bestimmte Informationen zufließen, die eine nutzerfreundlichere und effektivere Werbung ermöglichen. Die Cookies enthalten eine bestimmte zufallsgenerierte Nummer (ID), die gleichzeitig Ihren Registrierungsdaten zugeordnet ist. Besuchen Sie anschließend die Webseite eines für Remintrex registrierten Werbepartners (ob eine Registrierung vorliegt, entnehmen Sie bitte der Datenschutzerklärung des Werbepartners), wird automatisiert aufgrund eines dort eingebundenen iFrames von Remintrex erfasst, dass Sie (d. h. der Nutzer mit der gespeicherten ID) die Seite besucht haben, für welches Produkt Sie sich interessiert haben und ob es zu einem Vertragsschluss gekommen ist.
Anschließend kann die Planet49 GmbH aufgrund des bei der Gewinnspielregistrierung gegebenen Werbeeinverständnisses Ihnen Werbemails zukommen lassen, die Ihre auf der Website des Werbepartners gezeigten Interessen berücksichtigen. Nach einem Widerruf der Werbeerlaubnis erhalten Sie selbstverständlich keine E‑Mail-Werbung mehr.
Die durch die Cookies übermittelten Informationen werden ausschließlich für Werbung verwendet, in der Produkte des Werbepartners vorgestellt werden. Die Informationen werden für jeden Werbepartner getrennt erhoben, gespeichert und genutzt. Keinesfalls werden Werbepartner-übergreifende Nutzerprofile erstellt. Die einzelnen Werbepartner erhalten keine personenbezogenen Daten.
Sofern Sie kein weiteres Interesse an einer Verwendung der Cookies haben, können Sie diese über Ihren Browser jederzeit löschen. Eine Anleitung finden Sie in der Hilfefunktion Ihres Browsers.
Durch die Cookies können keine Programme ausgeführt oder Viren übertragen werden.
Sie haben selbstverständlich die Möglichkeit, dieses Einverständnis jederzeit zu widerrufen. Den Widerruf können Sie schriftlich an die PLANET49 GmbH [Adresse] richten. Es genügt jedoch auch eine E‑Mail an unseren Kundenservice [E‑Mail-Adresse].“
29. Der Kläger des Ausgangsverfahrens, der Bundesverband der Verbraucherzentralen (im Folgenden: Bundesverband), ist in die Liste qualifizierter Einrichtungen nach dem Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG) eingetragen. Seines Erachtens genügten die oben wiedergegebenen, von Planet49 verwendeten Einverständniserklärungen nicht den in § 307 BGB, § 7 Abs. 2 Nr. 2 UWG und den §§ 12 ff. TMG aufgestellten Anforderungen. Eine vorgerichtliche Abmahnung blieb ohne Erfolg.
30. Der Bundesverband erhob beim Landgericht Frankfurt am Main (Deutschland) Klage mit dem Antrag, Planet49 zu verurteilen, die oben genannten Klauseln(12) nicht mehr zu verwenden und an den Bundesverband 214 Euro nebst Zinsen ab dem 15. März 2014 zu zahlen.
31. Das Landgericht Frankfurt am Main gab einigen Klageanträgen statt und wies die Klage im Übrigen ab. Im Anschluss an eine beim Oberlandesgericht Frankfurt am Main (Deutschland) eingelegte Berufung(13) ist der Bundesgerichtshof als Revisionsgericht(14) mit der Klage befasst.
32. Der Bundesgerichtshof ist der Ansicht, dass der Erfolg der Revision von der Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 sowie des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 abhänge. Er hat dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:
1. a) Handelt es sich um eine wirksame Einwilligung im Sinne des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
b) Macht es bei der Anwendung des Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
c) Liegt unter den in Vorlagefrage 1. a) genannten Umständen eine wirksame Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vor?
2. Welche Informationen hat der Diensteanbieter im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58 vorzunehmenden klaren und umfassenden Information dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?
33. Der Vorlagebeschluss ist am 30. November 2017 beim Gerichtshof eingegangen. Planet49, der Bundesverband, die portugiesische und die italienische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Am 13. November 2018 hat eine mündliche Verhandlung stattgefunden, an der Planet49, der Bundesverband, die deutsche Regierung und die Kommission teilgenommen haben.
34. Die beiden vom Bundesgerichtshof zur Vorabentscheidung vorgelegten Fragen beziehen sich auf die Einwilligung in die Speicherung von Informationen und den Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, d. h. auf Cookies, im speziellen Kontext der Bestimmungen der Richtlinie 2002/58 in Verbindung mit den Bestimmungen der Richtlinie 95/46 oder der Verordnung 2016/679.
35. Es erscheint mir hilfreich, durch Vorbemerkungen in tatsächlicher Hinsicht klarzustellen, was unter Cookies und verwandter Terminologie zu verstehen ist, und in rechtlicher Hinsicht, welche Rechtsvorschriften auf den vorliegenden Fall anwendbar sind.
A. Vorbemerkungen
1. Zu Cookies
36. Mittels Cookies lassen sich Informationen sammeln, die von einer Website generiert und über den Browser eines Internetnutzers gespeichert wurden(15). Es handelt sich um eine kleine Datei oder Textinformation (in der Regel kleiner als ein Kbyte), die von einer Website über den Browser eines Internetnutzers auf der Festplatte seines Computers oder mobilen Endgeräts platziert wird(16).
37. Ein Cookie erlaubt es der Website, sich dauerhaft an die Aktionen oder Vorlieben des Nutzers zu „erinnern“. Die meisten Webbrowser unterstützen Cookies, aber die Nutzer können ihre Browser so einstellen, dass sie die Cookies abweisen. Sie können die Cookies auch jederzeit löschen. Viele Nutzer konfigurieren die Cookie-Einstellungen in ihren Browsern so, dass die Cookies standardmäßig automatisch gelöscht werden, wenn das Browserfenster geschlossen wird. Es gibt allerdings eine Fülle empirischer Belege dafür, dass die Standardeinstellungen selten geändert werden, ein Phänomen, das als „Default-Trägheit“ bezeichnet worden ist(17).
38. Websites nutzen Cookies, um Nutzer zu identifizieren, sich die Vorlieben ihrer Kunden zu merken und es den Nutzern zu ermöglichen, Aufgaben abzuschließen, ohne Informationen neu eingeben zu müssen, wenn sie zu einer anderen Seite wechseln oder die Website später erneut besuchen.
39. Cookies können auch genutzt werden, um anhand des Online-Verhaltens Informationen für gezielte Werbung und Vermarktung zu sammeln(18). Unternehmen verwenden z. B. Software, um das Nutzerverhalten nachzuverfolgen und persönliche Profile zu erstellen, die es ermöglichen, den Nutzern Werbung zu zeigen, die auf ihre zuvor durchgeführten Suchvorgänge zugeschnitten ist(19).
40. Es gibt verschiedene Arten von Cookies. Eine Eingruppierung kann anhand ihrer Lebensdauer vorgenommen werden (z. B. Sitzungscookies und persistente Cookies) oder anhand der Domain, zu der sie gehören (z. B. Erstanbieter- und Drittanbieter-Cookies)(20). Wenn der Webserver, der die Internetseite speist, Cookies auf dem Computer oder dem mobilen Endgerät des Nutzers speichert, spricht man von „HTTP-Header-Cookies“(21). Ferner können Cookies mittels JavaScript-Code gespeichert werden, der sich auf der Seite befindet oder dort referenziert wird(22). Die Gültigkeit der Einwilligung zum Setzen von Cookies und die Anwendbarkeit einschlägiger Ausnahmen sollten jedoch anhand des Zwecks der Cookies beurteilt werden und nicht anhand ihrer technischen Merkmale(23).
2. Zu den anwendbaren Rechtsvorschriften
41. Der für das Ausgangsverfahren geltende rechtliche Rahmen hat sich im Lauf der Jahre fortentwickelt, zuletzt durch das Inkrafttreten der Verordnung 2016/679.
42. Im vorliegenden Fall sind zwei Gruppen von Unionsvorschriften anwendbar. Erstens die Richtlinie 95/46 und die Verordnung 2016/679. Zweitens die Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung(24).
43. Ich möchte zwei Bemerkungen in Bezug auf diese beiden Gruppen von Rechtsvorschriften machen.
44. Die erste Bemerkung betrifft die Anwendbarkeit der Richtlinie 95/46 und der Verordnung 2016/679.
45. Durch die Verordnung 2016/679, die seit dem 25. Mai 2018 gilt(25), wurde die Richtlinie 95/46 mit Wirkung vom gleichen Tag aufgehoben(26).
46. Der 25. Mai 2018 liegt nach der letzten mündlichen Verhandlung vor dem vorlegenden Gericht, die am 14. Juli 2017 stattfand, und auch nach dem 5. Oktober 2017, an dem die vorliegende Rechtssache dem Gerichtshof zur Vorabentscheidung vorgelegt wurde.
47. Für Sachverhalte vor dem 25. Mai 2018 gilt daher die Richtlinie 2002/58 in Verbindung mit der Richtlinie 95/46, für Sachverhalte ab dem 25. Mai 2018 dagegen die Richtlinie 2002/58 in Verbindung mit der Verordnung 2016/679.
48. Soweit der Bundesverband beantragt, Planet49 zu verurteilen, ihr bisheriges Verhalten künftig zu unterlassen(27), ist im vorliegenden Fall die Verordnung 2016/679 anwendbar. Bei seiner Entscheidung über das in die Zukunft gerichtete Unterlassungsbegehren wird der Bundesgerichtshof daher die Erfordernisse der Verordnung 2016/679 zu berücksichtigen haben. In diesem Zusammenhang weist die deutsche Regierung auf eine ständige innerstaatliche Rechtsprechung zur einschlägigen Rechtslage bei Unterlassungsklagen hin(28).
49. Infolgedessen ist die vorgelegte Frage sowohl anhand der Richtlinie 95/46 als auch anhand der Verordnung 2016/679 zu beantworten(29).
50. Überdies ist darauf hinzuweisen, dass Verweise auf die Richtlinie 95/46 in der Richtlinie 2002/58 als Verweise auf die Verordnung 2016/679 gelten(30).
51. Die zweite Bemerkung betrifft die Entwicklung von Art. 5 Abs. 3 der Richtlinie 2002/58.
52. Mit der Richtlinie 2002/58 soll gewährleistet werden, dass die in der Charta der Grundrechte der Europäischen Union und insbesondere in deren Art. 7 und 8 niedergelegten Rechte uneingeschränkt geachtet werden(31). Art. 5 dieser Richtlinie soll die „Vertraulichkeit der Kommunikation“ gewährleisten. Insbesondere regelt Art. 5 Abs. 3 die Verwendung von Cookies und legt fest, welche Anforderungen erfüllt sein müssen, bevor auf dem Computer eines Nutzers durch die Setzung eines Cookies Daten gespeichert werden dürfen oder auf sie zugegriffen werden darf.
53. Durch die Richtlinie 2009/136 wurden die in Art. 5 Abs. 3 der Richtlinie 2002/58 aufgestellten Anforderungen an die Einwilligung erheblich geändert, um den Schutz der Nutzer zu verbessern. Vor den Änderungen durch die Richtlinie 2009/136 verlangte Art. 5 Abs. 3 lediglich, dass die Nutzer auf das Recht hingewiesen werden, die Datenverarbeitung mittels Cookies zu verweigern („informed opt-out“). Mit anderen Worten musste der Diensteanbieter nach der ursprünglichen Fassung von Art. 5 Abs. 3 im Fall der Speicherung von Informationen auf dem Endgerät des Nutzers oder des Zugriffs auf dort gespeicherte Informationen den Nutzer klar und umfassend insbesondere über den Zweck der Verarbeitung informieren und ihn auf das Recht hinweisen, diese Verarbeitung zu verweigern.
54. Mit der Richtlinie 2009/136 wurde dieses Erfordernis des Hinweises auf das Weigerungsrecht durch das Erfordernis ersetzt, dass „der betreffende Teilnehmer oder Nutzer … seine Einwilligung gegeben hat“. Das System des „informed opt-out“, dem leichter Genüge getan werden konnte, wurde also durch ein System des „informed opt-in“ ersetzt. Abgesehen von einer eng begrenzten, im vorliegenden Fall nicht anwendbaren Ausnahme(32) ist die Verwendung von Cookies nach der geänderten Fassung von Art. 5 Abs. 3 der Richtlinie 2002/58 nur zulässig, wenn der Nutzer eingewilligt hat, nachdem er gemäß der Richtlinie 95/46 klare und umfassende Informationen darüber erhalten hat, weshalb seine Daten nachverfolgt werden, d. h. über die Zwecke der Verarbeitung(33).
55. Wie nachfolgend näher dargelegt wird, steht die Tragweite des Erfordernisses, Informationen bereitzustellen, in Art. 5 Abs. 3 der Richtlinie 2002/58 im Mittelpunkt der Streitfrage, insbesondere im Kontext von Standardeinstellungen für Onlineaktivitäten.
B. Erste Frage
56. Mit Buchst. a seiner ersten Frage möchte das vorlegende Gericht wissen, ob es sich um eine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. In diesem Zusammenhang möchte das vorlegende Gericht ferner wissen, ob es einen Unterschied macht, ob die gespeicherten oder abgerufenen Informationen personenbezogene Daten sind (Buchst. b der ersten Frage). Schließlich möchte es wissen, ob unter den oben geschilderten Umständen eine wirksame Einwilligung im Sinne von Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 vorliegt (Buchst. c der ersten Frage).
1. Zur freiwillig und in Kenntnis der Sachlage erteilten Einwilligung
57. Eines der dem Datenschutzrecht der Union zugrunde liegenden Merkmale ist die Einwilligung.
58. Bevor ich mich speziell den Cookies zuwende, möchte ich allgemeine, den einschlägigen Rechtsvorschriften zu entnehmende Grundsätze für die Erteilung einer Einwilligung aufstellen.
a) Im Rahmen der Richtlinie 95/46
1) Aktive Einwilligung
59. Ich schließe aus den Bestimmungen der Richtlinie 95/46, dass die Einwilligung aktiv(34) zum Ausdruck gebracht werden muss.
60. In Art. 2 Buchst. h der Richtlinie 95/46 ist von einer Willensbekundung der betroffenen Person die Rede, was klar auf aktives und nicht passives Verhalten hindeutet. Außerdem heißt es in Art. 7 Buchst. a der Richtlinie 95/46, der sich mit den Grundsätzen in Bezug auf die Zulässigkeit der Verarbeitung von (personenbezogenen) Daten befasst, dass die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben haben muss. Zweifel können aber nur durch aktives und nicht durch passives Verhalten beseitigt werden.
61. Ich schließe daraus, dass es insoweit nicht ausreicht, wenn die Einwilligungserklärung des Nutzers vorformuliert ist und der Nutzer aktiv widersprechen muss, falls er mit der Verarbeitung der Daten nicht einverstanden ist.
62. Im letztgenannten Fall weiß man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde. Die Situation ist nicht frei von Zweifeln. Ein Nutzer kann den Text gelesen haben oder auch nicht. Er kann dies aus reiner Nachlässigkeit unterlassen haben. In einer solchen Situation lässt sich nicht ermitteln, ob die Einwilligung freiwillig erteilt wurde.
2) Gesonderte Einwilligung
63. Mit dem Erfordernis der aktiven Einwilligung eng verbunden ist das Erfordernis der gesonderten Einwilligung(35).
64. Man könnte, wie Planet49 es tut, geltend machen, dass die betroffene Person eine gültige Einwilligung nicht dadurch erteile, dass sie das Häkchen vor einer vorformulierten Einwilligungserklärung nicht entferne, sondern dadurch, dass sie aktiv die Schaltfläche für die Teilnahme an dem Online-Gewinnspiel anklicke.
65. Ich schließe mich dieser Auslegung nicht an.
66. Eine Einwilligung wird nur dann freiwillig und in Kenntnis der Sachlage erteilt, wenn dies nicht nur aktiv, sondern auch gesondert geschieht. Die Aktivitäten eines Nutzers im Internet (Lektüre einer Internetseite, Teilnahme an einem Gewinnspiel, Anschauen eines Videos usw.) und die Erteilung einer Einwilligung können nicht Teil derselben Handlung sein. Insbesondere kann, aus der Perspektive des Nutzers, die Erteilung der Einwilligung nicht als Nebenwirkung der Teilnahme am Gewinnspiel erscheinen. Beide Handlungen müssen insbesondere optisch in gleicher Weise präsentiert werden. Infolgedessen halte ich es für zweifelhaft, dass ein Bündel von Willenserklärungen, zu denen die Erteilung einer Einwilligung gehören würde, mit dem Begriff der Einwilligung im Sinne der Richtlinie 95/46 im Einklang stünde.
3) Pflicht zur umfassenden Information
67. In diesem Kontext muss einem Nutzer unmissverständlich klar gemacht werden, ob das, was er im Internet tut, von der Erteilung einer Einwilligung abhängig ist. Ein Nutzer muss ermessen können, in welchem Umfang er bereit ist, seine Daten preiszugeben, um seine Aktivität im Internet zu entfalten. Es darf keinen Raum für die geringste Unklarheit geben(36). Ein Nutzer muss wissen, ob und, wenn ja, in welchem Umfang sich die Erteilung seiner Einwilligung auf die Entfaltung seiner Aktivität im Internet auswirkt.
b) Im Rahmen der Verordnung 2016/679
68. Die oben aufgestellten Grundsätze gelten auch für die Verordnung 2016/679.
69. In Art. 4 Nr. 11 der Verordnung 2016/679 wird die Einwilligung der betroffenen Person als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung definiert, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
70. Diese Definition ist insofern enger als die Definition in Art. 2 Buchst. h der Richtlinie 95/46, als sie eine unmissverständlich abgegebene Willensbekundung der betroffenen Person und eine eindeutige bestätigende Handlung verlangt, die das Einverständnis mit der Verarbeitung personenbezogener Daten zum Ausdruck bringt.
71. Darüber hinaus sind die Erwägungsgründe der Verordnung 2016/679 besonders erhellend. Da ich ausführlich auf die Erwägungsgründe Bezug nehmen werde(37), sehe ich mich zu dem Hinweis veranlasst, dass sie natürlich keine eigene rechtliche Bedeutung haben(38), dass der Gerichtshof aber bei der Auslegung von Bestimmungen eines Unionsrechtsakts häufig auf sie zurückgreift. In der Unionsrechtsordnung sind sie deskriptiver, nicht normativer Natur. Tatsächlich stellt sich die Frage der rechtlichen Bedeutung der Erwägungsgründe normalerweise aus dem einfachen Grund nicht, weil sie sich gewöhnlich in den Rechtsvorschriften einer Richtlinie widerspiegeln. Gute Rechtsetzungstechnik der politischen Organe der Union zielt auf eine Situation ab, in der die Erwägungsgründe einen nutzbringenden Hintergrund für die Vorschriften eines Rechtsakts liefern(39).
72. Nach dem 32. Erwägungsgrund der Verordnung 2016/679 sollte die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte u. a. durch das Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.
73. Die Verordnung 2016/679 sieht mithin nunmehr ausdrücklich eine aktive Einwilligung vor.
74. Überdies heißt es im 43. Erwägungsgrund der Verordnung, dass die Einwilligung, um sicherzustellen, dass sie freiwillig erfolgt ist, in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern sollte. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl sie für die Erfüllung nicht erforderlich ist.
75. Das Erfordernis einer gesonderten Einwilligung wird mithin in diesem Erwägungsgrund nunmehr ausdrücklich hervorgehoben.
c) Im Rahmen der Richtlinie 2002/58 – der Fall von Cookies
76. Nach Art. 5 Abs. 3 der Richtlinie 2002/58 müssen die Mitgliedstaaten sicherstellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
77. In dieser Bestimmung werden keine weiteren Kriterien hinsichtlich des Begriffs der Einwilligung aufgestellt.
78. Die Erwägungsgründe der Richtlinie 2002/58 und der Richtlinie 2009/136 bieten jedoch Anhaltspunkte für die Einwilligung in Bezug auf Cookies.
79. So wird im 17. Erwägungsgrund der Richtlinie 2002/58 ausgeführt, dass die Einwilligung in jeder geeigneten Weise gegeben werden kann, durch die der Wunsch des Nutzers in einer spezifischen Angabe zum Ausdruck kommt, die sachkundig und in freier Entscheidung erfolgt, und dass hierzu auch das Markieren eines Feldes auf einer Internet-Website zählt(40).
80. Darüber hinaus wird im 66. Erwägungsgrund der Richtlinie 2009/136 erläutert, dass es von größter Wichtigkeit ist, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zur Speicherung von Informationen im Endgerät eines Nutzers oder zum Zugriff auf bereits gespeicherte Informationen führen könnte, und dass die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, so benutzerfreundlich wie möglich gestaltet werden sollten.
81. In diesem Zusammenhang möchte ich auch auf die unverbindliche, aber gleichwohl aufschlussreiche Arbeit der Artikel-29-Datenschutzgruppe hinweisen(41). Danach impliziert die Einwilligung eine vorherige positiv bejahende Handlung der Nutzer in Bezug auf eine Einwilligung in die Speicherung des Cookies und in dessen Verwendung(42). Die Datenschutzgruppe hat ferner ausgeführt, dass der Begriff „Willensbekundung“ eine Handlung fordere(43). Andere Elemente der Definition der Einwilligung und die zusätzliche Anforderung in Art. 7 Buchst. a der Richtlinie 95/46, dass die Einwilligung ohne jeden Zweifel erfolgen muss, stützen diese Auslegung(44). Das Erfordernis, dass die betroffene Person ihre Einwilligung „zum Ausdruck bringen“ muss, deutet darauf hin, dass bloße Untätigkeit nicht ausreicht und dass irgendeine Art von Handlung für die Einwilligung erforderlich ist. Es sind jedoch verschiedene Handlungen möglich, die „im jeweiligen Zusammenhang“ bewertet werden müssen(45).
2. Anwendung auf den vorliegenden Fall
82. Ich möchte mich nun der Anwendung dieser Kriterien auf den vorliegenden Fall zuwenden. Dabei werde ich mich zunächst mit den Buchst. a und c der ersten Frage befassen, d. h. damit, ob eine wirksame Einwilligung in die Setzung der Cookies und den Zugriff auf sie vorlag. Dies betrifft das zweite Ankreuzfeld.
83. In Anbetracht dessen, dass sich – wie soeben dargelegt – die Anforderungen an die Einwilligung bei Cookies und, allgemeiner, bei der Verarbeitung personenbezogener Daten nur wenig voneinander unterscheiden, halte ich es sowohl der Vollständigkeit als auch der Klarheit halber zur korrekten und einheitlichen Auslegung des Unionsrechts zudem für erforderlich, kurz zu prüfen, ob in Bezug auf die Verarbeitung personenbezogener Daten im Kontext des ersten Ankreuzfelds eine wirksame Einwilligung vorlag, obwohl das vorlegende Gericht nicht ausdrücklich danach fragt. Nach meinem Verständnis wird der Bundesgerichtshof im Kontext des bei ihm anhängigen Verfahrens auch über das erste Ankreuzfeld zu entscheiden haben(46).
a) Zweites Ankreuzfeld – Buchst. a und c der ersten Frage
84. Das vorlegende Gericht möchte wissen, ob es sich um eine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 handelt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
85. Die entscheidenden Begriffe für die Beantwortung dieser Frage sind „ohne Zwang“ und „in Kenntnis der Sachlage“ in Art. 2 Buchst. h der Richtlinie 95/46 bzw. „freiwillig“ und „in informierter Weise“ in Art. 4 Nr. 11 der Verordnung 2016/679. Fraglich ist, ob eine Einwilligung in einer Situation, wie sie das vorlegende Gericht beschreibt, in dieser Weise erteilt werden kann.
86. Planet49 bejaht dies. Alle übrigen Parteien(47) sind anderer Meinung. In diesem Kontext konzentrieren sich die Rechtsausführungen der Parteien in erster Linie darauf, ob das Setzen oder Entfernen eines Häkchens in einem bereits ausgefüllten Ankreuzfeld diese Anforderungen erfüllt. Gegenstand der Erörterung ist die Frage von Aktivität und Passivität. Dieser Aspekt, so wichtig er auch ist, stellt jedoch nur einen Teil der Anforderungen dar. Er betrifft nämlich nur das Erfordernis der aktiven Einwilligung, nicht aber das der gesonderten Einwilligung.
87. Meines Erachtens lautet die Antwort auf der Grundlage der oben dargelegten Kriterien, dass im vorliegenden Fall keine wirksame Einwilligung vorliegt.
88. Erstens ist das Kriterium der aktiven Einwilligung nicht erfüllt, wenn ein Nutzer ein vorhandenes Häkchen entfernen und somit aktiv werden muss, sofern er nicht in das Setzen von Cookies einwilligt. In einer solchen Situation ist es praktisch unmöglich, objektiv zu bestimmen, ob ein Nutzer seine Einwilligung auf der Grundlage einer freiwillig und in Kenntnis der Sachlage getroffenen Entscheidung erteilt hat. Muss ein Nutzer ein Feld ankreuzen, kann davon hingegen mit sehr viel größerer Wahrscheinlichkeit ausgegangen werden.
89. Zweitens und vor allem können die Teilnahme an dem Online-Gewinnspiel und die Erteilung der Einwilligung in die Setzung von Cookies nicht Teil derselben Handlung sein. Genau dies ist hier aber der Fall. Letztlich nimmt ein Nutzer nur einen Klick vor, und zwar auf die für die Teilnahme am Online-Gewinnspiel vorgesehene Schaltfläche. Gleichzeitig willigt er in die Setzung von Cookies ein. Zwei Willenserklärungen (Teilnahme am Gewinnspiel und Einwilligung in die Setzung von Cookies) werden gleichzeitig abgegeben. Sie können nicht beide derselben Schaltfläche für die Teilnahme zugeordnet werden. Im vorliegenden Fall erscheint die Einwilligung in die Cookies insofern nachrangig, als keineswegs klar ist, dass sie Teil einer gesonderten Handlung ist. Anders ausgedrückt, das Setzen oder Entfernen des Häkchens in dem die Cookies betreffenden Ankreuzfeld erscheint als vorbereitende Handlung für die abschließende und rechtlich bindende Handlung, die Betätigung der Schaltfläche für die Teilnahme.
90. In einer solchen Situation ist ein Nutzer nicht in der Lage, aus freien Stücken seine gesonderte Einwilligung in die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits in seinem Endgerät gespeichert sind, zu erteilen.
91. Überdies war die Teilnahme am Gewinnspiel, wie oben dargelegt, nur möglich, wenn zumindest das Häkchen im ersten Ankreuzfeld gesetzt wurde. Infolgedessen war die Teilnahme am Gewinnspiel nicht davon abhängig(48), dass die Einwilligung zum Setzen von und zum Zugriff auf Cookies gegeben wurde. Denn ein Nutzer hätte auch (nur) das erste Ankreuzfeld anklicken können.
92. Meines Wissens wurde der Nutzer darüber aber nie informiert. Dies steht nicht im Einklang mit dem oben dargelegten Kriterium, die Nutzer umfassend zu informieren.
93. Im Ergebnis schlage ich vor, auf die Buchst. a und c der ersten Frage zu antworten, dass in einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, keine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 vorliegt. Das Gleiche gilt für die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 der Verordnung 2016/679.
b) Erstes Ankreuzfeld
94. Obwohl sich die Fragen des vorlegenden Gerichts nur auf das zweite Ankreuzfeld beziehen, möchte ich zwei spezielle Bemerkungen zum ersten Ankreuzfeld machen, die dem vorlegenden Gericht bei seiner abschließenden Entscheidung hilfreich sein könnten.
95. Das erste Ankreuzfeld betrifft, wie bereits ausgeführt, keine Cookies, sondern nur die Verarbeitung personenbezogener Daten. Insoweit erklärt sich ein Nutzer nicht mit der Speicherung von Informationen auf seinem Gerät einverstanden, sondern (lediglich) damit, dass ihn eine Reihe von Firmen postalisch, telefonisch oder per E‑Mail kontaktiert.
96. Erstens gelten die Kriterien für die aktive und gesonderte Einwilligung und die umfassende Information natürlich auch in Bezug auf das erste Ankreuzfeld. Die aktive Einwilligung dürfte unproblematisch sein, da das Ankreuzfeld nicht vorausgefüllt ist. Zweifel habe ich hingegen bei der gesonderten Einwilligung. Auf der Basis der obigen Analyse(49) wäre es angesichts des Sachverhalts des vorliegenden Falls besser, wenn, bildlich gesprochen, zur Einwilligung in die Verarbeitung personenbezogener Daten eine gesonderte Schaltfläche anzuklicken wäre(50) und nicht lediglich ein Feld anzukreuzen.
97. Zweitens sollte hinsichtlich des ersten, die Kontaktaufnahme durch Sponsoren und Kooperationspartner betreffenden Ankreuzfelds Art. 7 Abs. 4 der Verordnung 2016/679 berücksichtigt werden. Nach dieser Bestimmung muss bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, in größtmöglichem Umfang dem Umstand Rechnung getragen werden, ob u. a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. In Art. 7 Abs. 4 der Verordnung 2016/679 wird daher nunmehr ein „Koppelungsverbot“ aufgestellt(51).
98. Wie sich aus den Worten „muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden“ ergibt, ist das Koppelungsverbot kein absolutes Verbot(52).
99. Insoweit wird das zuständige Gericht zu beurteilen haben, ob die Einwilligung in die Verarbeitung personenbezogener Daten für die Teilnahme am Gewinnspiel erforderlich ist. Dabei sollte bedacht werden, dass der hinter der Teilnahme am Gewinnspiel stehende Zweck der „Verkauf“ personenbezogener Daten ist (d. h. die Einwilligung, von sogenannten „Sponsoren“ mit Werbeangeboten kontaktiert zu werden). Mit anderen Worten besteht die Hauptpflicht, die der Nutzer erfüllen muss, um an dem Gewinnspiel teilnehmen zu können, darin, personenbezogene Daten zur Verfügung zu stellen. In einer solchen Situation scheint mir, dass die Verarbeitung dieser personenbezogenen Daten für die Teilnahme am Gewinnspiel erforderlich ist(53).
3. Zu den personenbezogenen Daten (Buchst. b der ersten Frage)
100. Ich möchte nunmehr prüfen, ob es bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 einen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.
101. Am besten lässt sich diese Frage vor dem Hintergrund des deutschen Rechts verstehen, mit dem Art. 5 Abs. 3 der Richtlinie 2002/58(54) umgesetzt wurde. Im deutschen Recht wird nämlich zwischen der Erhebung und Verwendung personenbezogener Daten und anderer Daten unterschieden.
102. Nach § 12 Abs. 1 TMG hängt die Zulässigkeit der Erhebung und Verwendung personenbezogener Daten durch einen Diensteanbieter u. a. davon ab, ob der Nutzer eingewilligt hat.
103. Nach § 15 Abs. 3 TMG darf ein Diensteanbieter hingegen u. a. für Zwecke der Werbung und der Marktforschung Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Soweit keine personenbezogenen Daten betroffen sind, sind die Anforderungen nach deutschem Recht somit weniger strikt: keine Einwilligung, sondern nur fehlender Widerspruch.
104. Nach der Legaldefinition in Art. 4 Nr. 1 der Verordnung 2016/679 sind personenbezogene Daten „alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (… ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
105. Meines Erachtens steht außer Zweifel, dass es sich im vorliegenden Fall bei den „Informationen“, von denen in Art. 5 Abs. 3 der Richtlinie 2002/58 die Rede ist, um „personenbezogene Daten“ handelt. Auch das vorlegende Gericht scheint das so zu sehen, denn es stellt in seinem Vorlagebeschluss ausdrücklich fest, dass der Abruf von Daten aus den von der Beklagten verwendeten Cookies dem Einwilligungserfordernis des § 12 Abs. 1 TMG unterliege, weil es sich dabei um personenbezogene Daten handele(55). Überdies scheint zwischen den Parteien des Ausgangsverfahrens unstreitig zu sein, dass wir es hier mit personenbezogenen Daten zu tun haben.
106. Man könnte sich daher fragen, ob diese Frage im vorliegenden Fall von Relevanz ist und ob es sich nicht um eine hypothetische Frage handelt(56).
107. Ungeachtet dessen scheint mir die Antwort auf diese Frage recht eindeutig zu sein: Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits … gespeichert sind“(57). Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.
108. Ein solches Verständnis von Art. 5 Abs. 3 der Richtlinie 2002/58 wird überdies durch die Erwägungsgründe 24(58) und 25(59) dieser Richtlinie sowie durch Stellungnahmen der Artikel-29-Datenschutzgruppe bestätigt. Sie führt aus: „Artikel 5 Absatz 3 gilt für ‚Informationen‘ (gespeicherte Informationen und/oder Informationen, auf die Zugriff genommen wird). Er macht hier keinen Unterschied. Für die Anwendung dieser Bestimmung ist es nicht erforderlich, dass es sich bei den Informationen um personenbezogene Daten im Sinne der Richtlinie [95/46] handelt.“(60)
109. Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt(61).
110. Ich schlage daher vor, auf Buchst. b der ersten Frage zu antworten, dass es bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 keinen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.
C. Zweite Frage
111. Mit der zweiten Frage möchte das vorlegende Gericht wissen, welche Informationen der Diensteanbieter im Rahmen des Erfordernisses in Art. 5 Abs. 3 der Richtlinie 2002/58, dass der Nutzer klare und umfassende Informationen erhalten muss, zu erteilen hat und ob hierzu auch die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten.
1. Zu den klaren und umfassenden Informationen
112. Die Art. 10 und 11 der Richtlinie 95/46 (und die Art. 13 und 14 der Verordnung 2016/679) enthalten eine Verpflichtung, den betroffenen Personen Informationen mitzuteilen. Die Informationspflicht ist insofern mit der Einwilligung verknüpft, als es stets Informationen geben muss, bevor eine Einwilligung erteilt werden kann.
113. Angesichts der begrifflichen Nähe zwischen einem Internetnutzer (sowie einem ‑anbieter) und einem Verbraucher (sowie einem Gewerbetreibenden)(62) kann an dieser Stelle auf das Konzept des normal informierten, angemessen aufmerksamen und verständigen europäischen Durchschnittsverbrauchers(63) zurückgegriffen werden, der in der Lage ist, über die Eingehung einer Verpflichtung in voller Kenntnis der Sachlage zu entscheiden(64).
114. Wegen der technischen Komplexität von Cookies, der asymmetrischen Informationsverteilung zwischen Anbieter und Nutzer und, allgemeiner, des relativen Mangels an Kenntnissen jedes durchschnittlichen Internetnutzers kann von einem solchen Nutzer jedoch kein hoher Kenntnisstand in Bezug darauf erwartet werden, wie Cookies funktionieren.
115. Klare und umfassende Informationen bedeuten somit, dass ein Nutzer imstande ist, die Konsequenzen jeder etwa von ihm erteilten Einwilligung leicht zu ermitteln. Dabei muss er in der Lage sein, die Auswirkungen seiner Handlungen zu beurteilen. Die gegebenen Informationen müssen klar verständlich sein und dürfen nicht mehrdeutig oder auslegungsbedürftig sein. Sie müssen detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der tatsächlich verwendeten Cookies zu verstehen.
116. Dazu zählen, wie das vorlegende Gericht zu Recht zur Debatte stellt, sowohl die Funktionsdauer der Cookies als auch die Frage, ob Dritte auf die Cookies Zugriff erhalten.
2. Informationen über die Funktionsdauer der Cookies
117. Wie sich aus den Erwägungsgründen 23 und 26 der Richtlinie 2002/58 ergibt, ist die Funktionsdauer der Cookies ein Bestandteil des Erfordernisses einer Einwilligung in Kenntnis der Sachlage, was bedeutet, dass die Diensteanbieter „die Teilnehmer stets darüber auf dem Laufenden halten [sollen], welche Art von Daten sie verarbeiten und für welche Zwecke und wie lange das geschieht“. Selbst wenn das Cookie von wesentlicher Bedeutung ist, muss die Frage, wie intrusiv es ist, für die Zwecke der Einwilligung anhand der Begleitumstände geprüft werden. Neben der Frage, welche Daten jedes Cookie enthält und ob es mit anderen Informationen über den Nutzer verknüpft ist, müssen die Diensteanbieter berücksichtigen, welche Lebensdauer das Cookie hat und ob diese im Licht seines Zwecks angemessen ist.
118. Die Funktionsdauer der Cookies hängt mit den die Einwilligung in Kenntnis der Sachlage betreffenden ausdrücklichen Erfordernissen bezüglich der Qualität und Zugänglichkeit der Information für die Nutzer zusammen. Diese Information ist von größter Bedeutung, um es den betroffenen Personen zu ermöglichen, Entscheidungen in voller Kenntnis der Sachlage vor der Verarbeitung zu treffen(65). Wie die portugiesische und die italienische Regierung vorgebracht haben, muss dem Nutzer, da die mit den Cookies gesammelten Daten gelöscht werden müssen, sobald sie zur Erfüllung des ursprünglichen Zwecks nicht mehr benötigt werden, der Zeitraum, für den die gesammelten Daten gespeichert werden, klar mitgeteilt werden.
3. Informationen darüber, ob Dritte Zugriff erhalten
119. Insoweit macht Planet49 geltend, sofern Dritte Zugriff auf ein Cookie erhielten, müssten die Nutzer auch darüber informiert werden. Habe aber, wie im vorliegenden Fall, nur ein Anbieter, der das Cookie setzen wolle, Zugriff darauf, reiche es aus, wenn auf diesen Umstand hingewiesen werde. Auf die Tatsache, dass andere Anbieter keinen Zugriff hätten, müsse nicht gesondert hingewiesen werden. Eine solche Pflicht wäre mit der Intention des Gesetzgebers, dass die datenschutzrechtlichen Texte nutzerfreundlich und damit möglichst kurz bleiben sollten, nicht vereinbar.
120. Ich kann mich dieser Auslegung nicht anschließen. Vielmehr sollte ein Nutzer, damit die Informationen klar und umfassend sind, ausdrücklich darüber informiert werden, ob Dritte Zugriff auf die gesetzten Cookies haben oder nicht. Sofern Dritte Zugriff haben, muss ihre Identität offengelegt werden. Wie der Bundesverband zutreffend hervorhebt, ist dies unerlässlich, damit die Einwilligung in voller Kenntnis der Sachlage erteilt werden kann.
4. Schlussfolgerung
121. Ich schlage daher vor, auf die zweite Frage zu antworten, dass zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, die Funktionsdauer der Cookies und die Frage zählen, ob Dritte auf die Cookies Zugriff erhalten oder nicht.
122. Im Licht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, die Vorlagefragen des Bundesgerichtshofs (Deutschland) wie folgt zu beantworten:
1. In einer Situation wie der des Ausgangsverfahrens, in der die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, und in der die Einwilligung nicht gesondert gegeben wird, sondern gleichzeitig mit der Bestätigung der Teilnahme an einem Online-Gewinnspiel, liegt keine wirksame Einwilligung im Sinne der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vor.
2. Das Gleiche gilt für die Auslegung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 4 Nr. 11 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung).
3. Bei der Anwendung der Art. 5 Abs. 3 und 2 Buchst. f der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 macht es keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.
4. Zu den klaren und umfassenden Informationen, die ein Nutzer nach Art. 5 Abs. 3 der Richtlinie 2002/58 von einem Diensteanbieter erhalten muss, zählen die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten oder nicht.
Fussnoten zu finden unter: http://curia.europa.eu/juris/document/document_print.jsf;jsessionid=6358CBB23D70451B8C16923E1EA32C3F?docid=212023&text=&dir=&doclang=DE&part=1&occ=first&mode=DOC&pageIndex=0&cid=7016148#Footnote1
Die Beklagten werden verurteilt, es bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes von bis zu 250.000,00 €, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten zu unterlassen, eine Video- oder Audioüberwachung des Treppenhauses des Mehrfamilienhauses … durchzuführen.
Die Beklagten werden ferner verurteilt, die im zweiten Obergeschoss des Treppenhauses des Mehrfamilienhauses … aufgestellte Videokamera und die installierte Kameraattrappe zu entfernen.
Die Beklagten werden darüber hinaus verurteilt, sämtliche mittels der Videokamera angefertigten Bild- und Tonaufnahmen von dem Kläger auf sämtlichen Datenträgern dauerhaft zu löschen.
Die Beklagten werden weiterhin als Gesamtschuldner verurteilt, an den Kläger außergerichtliche Kosten in Höhe von 297,62 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 16.04.2018 zu zahlen.
Im Übrigen wird die Klage abgewiesen.
Die Kosten des Rechtsstreits tragen die Beklagten.
Das Urteil ist vorläufig vollstreckbar.
Den Beklagten wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 3.000,00 € abzuwenden, sofern nicht der Kläger vor der Vollstreckung Sicherheit in dieser Höhe leistet.
Die Parteien streiten über die Rechtmäßigkeit der Installation einer Videokamera in dem Hausflur des von beiden Parteien bewohnten Mehrfamilienhauses. Der Kläger begehrt die Verurteilung der Beklagten, die Videoüberwachung des Hausflures zu unterlassen, die aufgestellte Videokamera sowie die installierte Kameraattrappe zu entfernen und sämtliche angefertigte Aufnahmen von dem Kläger zu löschen.
Die Parteien sind Nachbarn. Sie wohnen in einem Mehrfamilienhaus im …. Die Beklagten bewohnen eine Wohnung im zweiten Obergeschoss, welche im Eigentum des Beklagten zu 1) steht. Neben der Wohnung der Beklagten befindet sich keine weitere Wohnung auf derselben Etage. Der Kläger und seine Ehefrau wohnen zur Miete in einer Wohnung im ersten Obergeschoss des Hauses. Auf derselben Etage befindet sich eine weitere Wohnung. Seit dem 01.01.2019 ist der Beklagte zu 1) Eigentümer der Wohnung, in welcher der Kläger wohnt.
Das nachbarschaftliche Verhältnis zwischen den Parteien ist angespannt. Es kam wiederholt zu Streitigkeiten mit verbalen Auseinandersetzungen, deren Hergang und Inhalt zwischen den Parteien streitig ist.
Im Januar 2017 installierten die Beklagten über ihrer Wohnungseingangstür im zweiten Obergeschoss eine Videokameraattrappe. Diese ist in Richtung des Treppenaufgangs von der ersten in die zweite Etage des Hauses gerichtet und mit einem rot leuchtenden Licht versehen, welches den Anschein einer Aufnahme erweckt.
In der Zeit nach dem 16.07.2017 stellten die Beklagten in dem Hausflur vor ihrer Wohnung im zweiten Obergeschoss des Hauses zusätzlich zu der Kameraattrappe eine funktionsfähige Videokamera auf. Diese fertigt Bild- und Tonaufzeichnungen an. Bei dem Hausflur, in dem die Kamera aufgestellt ist, handelt es sich um Gemeinschaftseigentum, das von allen Bewohnern genutzt werden darf. Die Kamera erfasst den Bereich vor der Wohnung der Beklagten und den oberen Bereich des Treppenaufgangs von dem ersten in das zweite Obergeschoss. In dem Flur auf der zweiten Etage befindet sich ein Fenster, welches im Aufnahmebereich der Kamera liegt, sodass Personen, die das Fenster öffnen oder schließen, gefilmt werden.
Eine Einwilligung des Klägers in die Fertigung von Video- und Tonaufzeichnungen lag zu keiner Zeit vor.
Am 08.12.2017 übersandte der Beklagte zu 2) dem Kläger eine E-Mail mit folgendem Wortlaut:
„Was sind das für heimliche Aktionen im Dunkeln vor unserer Wohnungstür? Wer ist der Fremde, den sie da geschickt haben? Bekommen wir nicht kurzfristig voll umfänglich Klarheit erstatten wir gegen Sie und gegen Unbekannt umgehend Anzeige!“
Wegen der weiteren Einzelheiten wird auf die E-Mail vom 08.12.2017 (Anlage 5 zur Klageschrift, Bl. 21 d.A.) Bezug genommen.
Der E-Mail war ein Video beigefügt, das die Kamera der Beklagten an demselben Tag aufgezeichnet hatte. Zu Beginn des Videos ist zu sehen, dass in dem Hausflur zunächst kein Licht angeschaltet ist. Kurz nach Einsetzen des Videos ist sodann zu hören, wie jemand die Eingangstür des Hauses öffnet und in das Haus hineinkommt. Daraufhin schaltet sich das Licht in dem Hausflur an. Es ist zu hören, wie die Ehefrau des Klägers zu diesem sagt, dass bestimmt das Fenster im Flur offen sei. Nach einiger Zeit schaltet sich das Licht im Flur wieder aus. Kurze Zeit später ist auf dem Video zu sehen, dass der Kläger in die obere Etage des Hauses geht und dort das Flurfenster schließt. Nachdem der Kläger nicht mehr zu sehen ist, läuft das Video ca. 1:48 Minuten weiter, ohne dass jemand zu sehen oder zu hören ist. Wegen des konkreten Inhalts des Videos wird auf die Anlage K2 zur Klageschrift (Bl. 18. d.A.) Bezug genommen.
Am 02.02.2018 erstattete der Kläger wegen der Videoaufzeichnung durch seinen Rechtsanwalt Anzeige beim Landesbeauftragten für Datenschutz und Informationsfreiheit. Mit anwaltlichem Schreiben vom 08.02.2018 forderte der Kläger die Beklagten auf, bis zum 23.02.2018 eine strafbewehrte Unterlassungserklärung hinsichtlich der weiteren Videoaufnahmen abzugeben, die Videokamera zu entfernen und sämtliche Aufnahmen zu löschen. Dies lehnten die Beklagten mit Anwaltsschreiben vom 22.02.2018 ab.
Der Kläger behauptet, seine Frau und er seien infolge der Videokamera einem ständigen Überwachungsdruck ausgesetzt. Dieser führe dazu, dass sie nur noch schweigend durch den Hausflur gingen. Zudem behauptet der Kläger, dass die angefertigten Videoaufzeichnungen von den Beklagten noch nicht gelöscht worden seien.
Der Kläger hat mit seinem Klageantrag zu 2) zunächst beantragt, die im zweiten Obergeschoss installierte Videokamera zu entfernen. Mit Schriftsatz vom 20.06.2018 hat der Kläger den Antrag dahingehend geändert, neben der aufgestellten Videokamera auch die installierte Kameraattrappe zu entfernen.
Der Kläger beantragt nunmehr,
1.die Beklagten zu verurteilen, bei Meidung eines Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, es zu unterlassen, eine Video- und bzw. oder Audioüberwachung des Treppenhauses des Mehrfamilienhauses … durchzuführen,
2.die Beklagten zu verurteilen, die im zweiten Obergeschoss des Treppenhauses des Mehrfamilienhauses … aufgestellte Videokamera und die installierte Kameraattrappe zu entfernen,
3.die Beklagten zu verurteilen, sämtliche mittels der Videokamera angefertigten Bild- und Tonaufnahmen von dem Kläger auf sämtlichen Datenträgern dauerhaft zu löschen,
4.die Beklagten als Gesamtschuldner zu verurteilen, außergerichtliche Kosten in Höhe von 757,32 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz an den Kläger zu zahlen.
Die Beklagten beantragen,
die Klage abzuweisen.
Die Beklagten rügen die sachliche Zuständigkeit des Landgerichts Essen.
Sie sind zudem der Ansicht, die Installation der Videokamera sei rechtmäßig erfolgt, da sie dem Schutz ihres Eigentums und ihrer Person diene. Hierzu behaupten sie, in dem Nachbarhaus im … sei bereits drei Mal eingebrochen worden, zuletzt Ende des Jahres 2014. Vor 10 Jahren habe es einen Einbruch in die Erdgeschosswohnung des Hauses … gegeben. In der übrigen Nachbarschaft habe es bereits elf Einbrüche gegeben. Am 28.12., 29.12.2018 und 02.01.2019 habe die Polizei in … im Internet über Einbrüche in im Umkreis von 100 m Luftlinie zu dem streitgegenständlichen Haus befindlichen Straßen … und … berichtet.
Zudem müssten sich die Beklagten durch die Videokamera vor dem Kläger schützen. Es sei in der Vergangenheit zu mehreren verbalen Auseinandersetzungen mit dem Kläger gekommen. So habe der Kläger dem Beklagten zu 1) am 10.03.2017 im Treppenhaus den Durchgang verweigert und ihn gefragt, ob er nicht wisse, dass Verleumdung und üble Nachrede mit Gefängnisstrafen geahndet würden. Zudem sei der Kläger gegenüber den Beklagten mehrfach ausfallend geworden, weil diese ihn oder seine Ehefrau gegrüßt hätten, obwohl der Kläger zum Ausdruck gebracht habe, von den Beklagten nicht mehr gegrüßt werden zu wollen. Am 16.07.2017 habe der Kläger die Beklagten im Treppenhaus nicht passieren lassen. Hierbei habe er die Beklagten beschimpft und sie bis zu ihrer Tür in der ersten Etage verfolgt. Als die Beklagten an ihm vorbei gegangen seien, habe er mehrfach drohend die Hand gehoben. Am 09.12.2017 habe der Kläger sich beim Weihnachtsgrillen der Bewohner des Hauses in beleidigender Weise über die Homosexualität der Beklagten geäußert.
Die Beklagten behaupten ferner, die Videokamera werde seit einem Update im Januar 2018 nur noch durch Bewegungen im Erfassungsbereich der Kamera aktiviert. Nach Aktivierung der Kamera sei diese nunmehr nur noch zwei Minuten aktiv und schalte sich dann automatisch ab. Das aufgenommene Bildmaterial werde nach 24 Stunden automatisch gelöscht. Auch das Video, das den Kläger am 08.12.2017 zeige, sei bereits gelöscht worden.
Die Klage ist den Beklagten am 15.04.2018 zugestellt worden.
Die Klage ist zulässig und nach dem übereinstimmenden Vorbringen beider Parteien im Wesentlichen begründet.
Das Landgericht Essen ist insbesondere auch gem. §§ 23 Nr. 1, 71 Abs. 1 GVG sachlich für die Entscheidung des Rechtsstreites zuständig, da der Streitwert die Summe von 5.000 € übersteigt. Der Streitwert beträgt 6.000 €, da für die Anträge 1) bis 3) gem. § 3 ZPO jeweils von einem Streitwert von 2.000 € auszugehen war.
1. Dem Kläger steht der mit dem Klageantrag zu 1) geltend gemachte Anspruch auf Unterlassung einer Video- und Audioüberwachung des Treppenhauses gem. § 1004 Abs. 1 S. 2 BGB analog i.V.m. § 823 Abs. 1 BGB zu. Denn die Video- und Audioaufnahmen verletzen den Kläger in seinem Allgemeinen Persönlichkeitsrecht und sind auch nicht durch schutzbedürftige Belange der Beklagten gerechtfertigt. Die Beklagten haben das Allgemeine Persönlichkeitsrecht des Klägers in seiner Ausprägung als Recht auf informationelle Selbstbestimmung verletzt, indem sie mittels einer Videokamera Bild- und Tonaufzeichnungen von dem Kläger angefertigt haben.
Das allgemeine Persönlichkeitsrecht schützt die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart und persönliche Daten preisgegeben und verwendet werden (BGH, Urt. v. 16.03.2010, Az. VI ZR 176/09 = NJW 2010, 1533, 1534 Rn. 11). Aus diesem Grund schützt das Allgemeine Persönlichkeitsrecht auch jedermann vor einer technisch gestützten Beobachtung und der Aufzeichnung persönlicher Lebenssachverhalte ohne Einwilligung. Die freie Entfaltung der eigenen Persönlichkeit wird gefährdet, wenn jederzeit mit der Beobachtung durch Personen gerechnet werden muss, die man selbst nicht sehen kann oder wenn die reproduzierbare Aufzeichnung des eigenen Verhaltens droht. Denn durch eine Video- und Tonaufzeichnung können Lebensvorgänge technisch fixiert und in der Folge abgerufen, aufbereitet und gegebenenfalls ausgewertet werden. Hierdurch können eine Vielzahl von Informationen über die Betroffenen, ihre Familienmitglieder, Freunde und Besucher gewonnen werden (BVerfG, Beschl. v. 23.02.2007, Az. 1 BvR 2368/06 = NVwZ 2007, 688, 690; AG Brandenburg, Urt. v. 22.02.2016, Az. 31 C 138/14 = BeckRS 2016, 1524). Auch kann das durch die Überwachung gewonnene Material dazu genutzt werden, das Verhalten des Betroffenen zu beeinflussen, indem „belastendes“ Material über ihn gesammelt wird (vgl. AG Brandenburg, Urt. v. 22.01.2016, Az. 31 C 138/14 = NJOZ 2017, 365, 367).
Die von den Beklagten aufgestellte Videokamera hat nicht nur das Verhalten des Klägers aufgezeichnet, die Beklagten haben dem Kläger auch in Aussicht gestellt, das über ihn gesammelte Material strafrechtlich gegen ihn zu verwenden. Dies stellt eine gravierende Verletzung des Allgemeinen Persönlichkeitsrechts des Klägers dar.
So hat die Videokamera der Beklagten am 08.12.2017 aufgenommen, wie der Kläger mit seiner Ehefrau das Mehrfamilienhaus in der … betritt. Der Bildaufnahmebereich der Videokamera erfasst zwar unmittelbar nur den Bereich des Hausflures vor der Wohnung der Beklagten im zweiten Obergeschoss. Allerdings fertigt die Kamera auch Tonaufzeichnungen an, sodass das Gespräch zwischen dem Kläger und seiner Ehefrau von der Kamera aufgezeichnet wurde und auf der Aufnahme zu hören ist. Zudem hat die Videokamera der Beklagten den Kläger auch gefilmt, als er das Flurfenster in der zweiten Etage geschlossen hat. Diese Aufnahme des Klägers haben die Beklagten genutzt, um dem Kläger strafrechtliche Konsequenzen für sein Verhalten anzudrohen. Mit der Video- und Tonaufzeichnung wollten die Beklagten daher offensichtlich das Verhalten des Klägers beeinflussen und ihn davon abhalten, künftig die obere Etage zu betreten und dort das Flurfenster zu schließen. Da es sich bei dem Flur um Gemeinschaftseigentum handelt, ist der Kläger jedoch befugt, diesen Bereich zu betreten und dort auch das Fenster zu schließen.
Zudem können die Beklagten durch die Aufnahmefunktion der Videokamera potenziell sämtliche Gespräche des Klägers mit seiner Ehefrau oder sonstigen Besuchern im Hausflur aufzeichnen und dokumentieren, was dazu führt, dass der Kläger einem ständigen Überwachungsdruck seitens der Beklagten ausgesetzt ist. Der Kläger hat auch keine Möglichkeit, dieser Überwachung zu entgehen, da er auf die Nutzung des Hausflures angewiesen ist. Die einzige Möglichkeit, Aufzeichnungen seiner Gespräche verlässlich zu unterbinden besteht darin, solche im Hausflur gänzlich zu unterlassen.
Diese Beeinträchtigung des Allgemeinen Persönlichkeitsrechts des Klägers ist auch rechtswidrig, da bei einer Gesamtabwägung der widerstreitenden Interessen die schutzwürdigen Belange des Klägers überwiegen.
Ob eine Beeinträchtigung des Allgemeinen Persönlichkeitsrechts rechtswidrig ist, ist unter Würdigung aller Umstände des Einzelfalles und durch Vornahme einer umfassenden Güter- und Interessenabwägung zu beantworten (BGH, Urt. v. 16.03.2010, Az. VI ZR 176/09 = NJW 2010, 1533, 1534 Rn. 11). Damit die Abwägung zu Gunsten des Nutzers der Videokamera ausfallen kann, muss die Überwachung zur Abwehr schwerwiegender Beeinträchtigungen erforderlich und die drohende Beeinträchtigung auf andere Weise nicht zu verhindern sein (BGH, Urt. v. 25.04.1995, Az. VI ZR 272/94 = NJW 1995, 1955, 1957; LG Paderborn, Urt. v. 30.11.2017, Az. 3 O 182/17 = NZM 2018, 766, 768). Derartige schwerwiegende Beeinträchtigungen liegen auch nach dem Vortrag der Beklagten nicht vor.
Die Videoüberwachung lässt sich insbesondere nicht mit dem Bedürfnis der Beklagten, ihr Eigentum vor Wohnungseinbruchsdiebstählen zu schützen, rechtfertigen. Den Beklagten kommt zwar grundsätzlich das verfassungsrechtliche garantierte (Art. 14 GG) Recht zu, geeignete Schutzmaßnahmen für ihr Eigentum zu ergreifen. Dies darf aber nicht in unverhältnismäßiger Weise auf Kosten des Eingriffs in hochrangige Rechtsgüter Dritter erfolgen (BGH, Urt. v. 25.04.1995, Az. VI ZR 272/94 = NJW 1995, 1955, 1957). Eine rein vorsorgliche Überwachung des Wohnungseigentums, welche nicht an bereits an begangene Taten anknüpft, ist unverhältnismäßig (vgl. KG, Beschl. v. 04.08.2008, Az. 8 U 83/08 = NZM 2009, 736, 737).
Selbst nach dem Vortrag der Beklagten liegt kein konkreter Anlass für die Videoüberwachung in Form von Einbrüchen im … vor. Die Beklagten behaupten lediglich, dass es vor 10 Jahren zu einem Einbruch in die Erdgeschosswohnung gekommen sei. Auf Nachfrage konnten sie bei ihrer Anhörung im Termin am 09.01.2019 nicht sagen, ob die Einbrecher über das Treppenhaus oder über ein Fenster oder eine Terrassentür in die Wohnung eingedrungen sind. Außerdem sei in ihrem Nachbarhaus im … eingebrochen worden sei, wobei der letzte Einbruch Ende des Jahres 2014 erfolgt sei. Zudem behaupten die Beklagten, in der weiteren Nachbarschaft sei bereits mehrfach eingebrochen worden. Diese Vorgänge rechtfertigen – selbst wenn sie sich tatsächlich ereignet haben – eine dauerhafte Videoüberwachung nicht. Denn es besteht lediglich eine abstrakte Gefahr, dass es auch im … künftig zu einem Einbruch kommen wird. Zudem ist zu bezweifeln, ob die Videokamera der Beklagten überhaupt eine abschreckende Wirkung hat und ihren angedachten Zweck erfüllen kann. Denn da sie sich lediglich über der Wohnungstür der Beklagten befindet und auch sonst nicht auf sie hingewiesen wird, hält sie potenzielle Einbrecher jedenfalls nicht davon ab, in das Mehrfamilienhaus hineinzugelangen.
Auch die von den Beklagten zur Rechtfertigung angeführten nachbarschaftlichen Auseinandersetzungen mit dem Kläger, können eine dauerhafte Überwachung des Hausflures nicht rechtfertigen. Es kann daher dahinstehen, ob es tatsächlich zu entsprechenden Auseinandersetzungen mit dem Kläger gekommen ist. Denn es handelt sich weder um besonders schwerwiegende Beeinträchtigungen, noch haben die Beklagten dargetan, dass die behaupteten Beeinträchtigungen nicht auf andere Weise als durch eine Überwachung des Hausflures verhindert werden können. Überwiegend handelt es sich bei den behaupteten Beeinträchtigungen lediglich um gegenseitige verbale Auseinandersetzungen von geringem Gewicht. Auch der vermeintliche Vorfall vom 16.07.2017 wäre als Anlass für eine dauerhafte Videoüberwachung nicht ausreichend. Denn auch hier ist es nach dem Vortrag der Beklagten lediglich zu einer verbalen Auseinandersetzung gekommen. Dass der Kläger drohend die Hand gehoben haben soll, reicht für die Rechtfertigung des andauernden Eingriffs in sein allgemeines Persönlichkeitsrecht nicht aus. Die Videokamera erfasst ohnehin nur einen Teil des Treppenhauses und bietet keinen Schutz vor Beleidigungen oder Bedrohungen, die außerhalb des Hauses ausgesprochen werden. Zudem ist es den Beklagten auch zumutbar, künftige Auseinandersetzungen mit dem Kläger auf andere Weise zu vermeiden, beispielsweise durch eine Streitschlichtung.
Schließlich ist der Eingriff in das Allgemeine Persönlichkeitsrecht auch nicht durch eine Einwilligung des Klägers gerechtfertigt. Dieser hat zu keinem Zeitpunkt in die Anfertigung von Video- und Tonaufzeichnungen eingewilligt. Unerheblich ist demgegenüber, ob die übrigen Bewohner des Hauses oder die Wohnungseigentümer in die Anfertigung von Videoaufnahmen eingewilligt haben. Denn in eine Beeinträchtigung des Allgemeinen Persönlichkeitsrechts muss stets der Grundrechtsträger selbst einwilligen.
Anders als die Beklagten meinen, wäre der Eingriff auch dann nicht gerechtfertigt, wenn der Kläger seinerseits einen elektronischen Türspion in seine Wohnungstür eingebaut hätte, was dieser im Übrigen auch bestreitet. Denn dies würde sie allenfalls dazu berechtigen, ihrerseits gegen den Kläger vorzugehen.
Die Beklagten sind als Handlungsstörer auch die richtigen Anspruchsgegner. Zudem ist auch die für die Bejahung des Unterlassungsanspruchs erforderliche Wiederholungsgefahr zu bejahen. In der Regel begründet die vorangegangene rechtswidrige Beeinträchtigung eine tatsächliche Vermutung für die Wiederholungsgefahr (Herrler in Palandt, 78. Aufl. 2019, § 1004 Rn. 32). Dabei ist es unerheblich, ob die Videokamera nunmehr anders betrieben und die Aufnahmefunktion nur durch Bewegungen im Erfassungsbereich der Videokamera ausgelöst wird. Denn schon allein aufgrund der früheren Film- und Tonaufnahmen besteht aus Sicht eines objektiven Dritten in der Position des Klägers die naheliegende Befürchtung, wiederholt zum Gegenstand der Überwachung zu werden (vgl. OLG Köln, Urt. v. 22.06.2016, Az. 15 U 33/16 = NJW 2017, 835, 836). Dies gilt gerade vor dem Hintergrund des zwischen den Parteien bestehenden Nachbarschaftsstreits.
2. Dem Kläger steht auch der mit dem Klageantrag zu 2) geltend gemachte Anspruch auf Beseitigung der Videokamera und der Kameraattrappe zu. Der Anspruch ergibt sich aus § 1004 Abs. 1 S. 1 BGB analog i.V.m. § 823 Abs. 1 BGB.
Dem Kläger steht gegen die Beklagten wegen des Eingriffs in sein allgemeines Persönlichkeitsrecht ein Anspruch auf Beseitigung der Beeinträchtigung zu. Dieser Beseitigungsanspruch rechtfertigt vorliegend ausnahmsweise auch die von dem Kläger konkret begehrte Rechtsfolge, nämlich die Beseitigung der Kamera sowie der Attrappe. Ein Störer kann im Rahmen eines Anspruchs aus § 1004 Abs. 1 S. 1 BGB dann zu einer konkreten Maßnahme verurteilt werden, wenn allein diese Maßnahme den Nichteintritt der drohenden Beeinträchtigung gewährleistet (vgl. OLG Köln, Urt. v. 22.06.2016, Az. 15 U 33/16 = NJW 2017, 835, 836). Nach diesen Maßstäben kann der Kläger die begehrte Beseitigung verlangen, da es neben der Entfernung keine Alternative gibt, die Beeinträchtigung zu beseitigen. Dies gilt sowohl für die funktionsfähige Kamera, als auch für die Kameraattrappe. Denn durch beide wird der Kläger einem ständigen Überwachungsdruck ausgesetzt, der sich nur durch eine vollständige Entfernung beseitigen lässt. Ein ständiger Überwachungsdruck verletzt das allgemeine Persönlichkeitsrecht, wenn der Betroffene eine Überwachung durch Überwachungskameras objektiv ernsthaft befürchten muss (BGH, Urt. v. 16.03.2010, Az. VI ZR 176/09 = NJW 2010, 1533, 1534 Rn. 13).
Hinsichtlich der funktionsfähigen Kamera resultiert dieser Überwachungsdruck einerseits daraus, dass in der Vergangenheit unstreitig Bild- und Tonaufnahmen angefertigt wurden und anderseits daraus, dass der Standort der Kamera und ihre konkrete Funktionsweise jederzeit verändert werden können, ohne dass dies in Art und Umfang von einem außenstehenden Beobachter wahrgenommen werden könnte. Zudem ist das Verhältnis zwischen den Parteien durch nachbarschaftliche Auseinandersetzungen geprägt. Auch insofern ist es nicht fernliegend, dass die Beklagten auch in Zukunft die Videokamera nutzen könnten, um den Kläger erneut zu überwachen (vgl. OLG Köln, Urt. v. 22.06.2016, Az. 15 U 33/16 = NJW 2017, 835, 837).
Auch die Kameraattrappe führt zu einer Beeinträchtigung des allgemeinen Persönlichkeitsrechts des Klägers. Denn auch bei einer tatsächlich nicht erfolgenden Überwachung kann der verbleibende Überwachungsdruck ausreichen, wenn entsprechende Verdachtsmomente vorliegen und eine Überwachung objektiv ernsthaft zu befürchten ist (LG Berlin, Urt. v. 28.10.2015, Az. 67 S 82/15 = ZD 2016, 189 f.; BGH, Urt. v. 16.03.2010, Az. VI ZR 176/09 = NJW 2010, 1533, 1534 Rn. 13). So ist es hier, denn es kann äußerlich nicht ohne weiteres erkannt werden, ob weiter eine bloße Attrappe oder eine Videokamera mit Aufzeichnungen betrieben wird. Es ist dem Kläger nicht möglich und auch nicht zumutbar, laufend die Gegebenheiten dahin zu überprüfen, ob es bei der Attrappe geblieben ist. Dies gilt vor allem vor dem Hintergrund, dass die derzeit installierte Kameraattrappe bereits täuschend echt aussieht und deshalb auch ohne weiteres durch eine echte Videokamera ersetzt werden kann, ohne dass dies auffällt.
3. Dem Kläger steht ferner gegen die Beklagten gem. § 1004 Abs. 1 S. 1 BGB analog i.V.m. § 823 Abs. 1 BGB ein Anspruch auf Löschung sämtlicher, von ihm angefertigter Bild- und Tonaufzeichnungen zu. Die Speicherung der Aufnahmen verletzt den Kläger in rechtswidriger Weise seinem allgemeinen Persönlichkeitsrecht. Der Anspruch hat sich auch nicht zwischenzeitlich erledigt. Die Beklagten behaupten zwar, das Material sei zwischenzeitlich gelöscht worden, dies wird von dem Kläger jedoch bestritten. Dem steht nicht entgegen, dass nach dem Vortrag der Beklagten das gespeicherte Bild- und Tonmaterial automatisch nach 24 Stunden gelöscht wird. Denn es ist nicht ausgeschlossen, dass in den letzten 24 Stunden vor der mündlichen Verhandlung noch Film- oder Tonaufnahmen gemacht werden. Auch bei einer Entfernung kann es sein, dass in den letzten 24 Stunden noch Film- oder Tondateien gespeichert wurden.
Bei einem Beseitigungsanspruch nach § 1004 Abs. 1 S. 1 BGB muss die Beeinträchtigung zum Zeitpunkt der letzten mündlichen Verhandlung noch bestehen (Herrler in: Palandt, § 1004 Rn. 27). Für das Vorliegen einer andauernden Beeinträchtigung trägt grundsätzlich der Kläger die Beweislast. Allerdings trifft die Beklagten eine sekundäre Darlegungslast hinsichtlich der Tatsache, dass sie die Videos tatsächlich gelöscht haben. Eine solche sekundäre Darlegungslast setzt voraus, dass eine nähere Darlegung des Sachverhalts der primär beweisbelasteten Partei nicht möglich oder nicht zumutbar ist, während der Gegner alle wesentlichen Tatsachen kennt und es ihm zumutbar ist, nähere Angaben zu machen (BGH, Urt. vom 10.2.2015, Az. VI ZR 343/13 = NJW-RR 2015, 1279, 1280). Dem Kläger ist es nicht möglich konkret darzulegen, dass die Beklagten das Videomaterial noch nicht gelöscht haben, da er keinerlei Kenntnis von dieser Tatsache besitzt und auch nicht die Möglichkeit hat, sich diese Kenntnis zu verschaffen. Den Beklagten wäre es hingegen ohne weiteres möglich und zumutbar gewesen, nähere Angaben dazu zu machen, zu welchem Zeitpunkt die Videos von ihnen gelöscht wurden. Dieser Darlegungslast sind die Beklagten indes nicht nachgekommen, da sie lediglich pauschal behauptet haben, dass das Material bereits gelöscht worden sei. Es war deshalb der Vortrag des Klägers zugrunde zu legen, dass es noch nicht zur einer Löschung des Materials gekommen ist.
Aus diesem Grund kann auch dahinstehen, ob dem Kläger zusätzlich auch ein Anspruch auf Löschung aus Art. 17 DSGVO zusteht.
4. Der mit dem Klageantrag zu 4) begehrte Anspruch auf Ersatz außergerichtlicher Kosten steht dem Kläger lediglich in Höhe von 297,62 € und auch nur wegen der Kosten der Abmahnung der Beklagten zu. Der Anspruch folgt aus § 823 Abs. 1 BGB, da die erfolgte Videoüberwachung den Kläger in rechtswidriger Weise in seinem Allgemeinen Persönlichkeitsrecht verletzt hat. Die vorgerichtlichen Kosten für die Abmahnung sind nach § 249 Abs. 1 BGB erstattungsfähig, da der Kläger diese zur Abwendung der Beeinträchtigung getätigt hat und auch für erforderlich halten durfte (Grüneberg in: Palandt, Vorb. v. § 249, Rn. 44). Dem Kläger steht der Anspruch jedoch nur in Höhe von 297,62 € zu, da er den nicht anrechenbaren Teil der Geschäftsgebühr in Höhe von 0,65 verlangt und der Gebührenstreitwert bei 6.000 € liegt.
Der Zinsanspruch folgt aus §§ 291, 288 BGB. Der Antrag des Klägers war mangels anderer Anhaltspunkte dahin auszulegen, dass Zinsen ab Rechtshängigkeit beansprucht werden sollen.
Hingegen kann der Kläger die vorgerichtlichen Kosten für die Anzeige bei dem Landesbaufragten für Datenschutz nicht ersetzt verlangen. Denn nach § 249 Abs. 1 BGB sind nur solche Aufwendungen erstattungsfähig, die der Geschädigte für zweckmäßig und notwendig halten durfte. Erstattungsfähig sind insbesondere die zur Durchsetzung des Anspruchs erforderlichen Kosten (Grüneberg in: Palandt, § 249 Rn. 56). Die Anzeige an den Landesbeauftragten für Datenschutz war jedoch für die zivilrechtliche Durchsetzung des Anspruchs nicht erforderlich. Insoweit gelten dieselben Grundsätze wie bei einer Strafanzeige gegen einen Schädiger. Auch hier wird die Erstattungsfähigkeit der Kosten verneint, da eine Strafanzeige für die Durchsetzung des zivilrechtlichen Anspruchs nicht erforderlich ist (Oetker in: MünchKomm/BGB, 7. Aufl. 2016, § 249 Rn. 188).
Die Ordnungsmittelandrohung folgt aus § 890 Abs. 2 ZPO. Die Kostenentscheidung beruht auf § 91 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit ergeht nach §§ 708 Nr. 11, 711 S. 1 ZPO.
Der nicht nachgelassene Schriftsatz der Beklagten vom 14.01.2019 rechtfertigt den Wiedereintritt in die mündliche Verhandlung nicht. Wie ausgeführt, kommt es auf den Türspion in der Wohnungstür des Klägers nicht an. Für den Rechtsstreit ist auch unerheblich, ob der Balkon der Wohnung des Klägers einen Mangel aufweist. Im Übrigen haben die Beklagten lediglich ihren Vortrag zur Funktionsweise der Videokamera wiederholt.
Mit Urteil vom 20. Februar 2018 hat der BGH entschieden, dass ein Ärzte-Bewertungsportal das Profil einer Ärztin löschen muss (Urteil v. 23. September 2014 – VI ZR 358/13). Indem das Bewertungsportal zwischen normalen Nutzern und kostenpflichtigen „Premium-Nutzern“ unterscheide, verlasse es seine Rolle als „neutraler Informationsmittler“. Dadurch überwiege nach der erforderlichen Abwägung das Recht auf informationelle Selbstbestimmung bezüglich aller personenbezogenen Daten.
Jameda.de ist ein Arztsuche- und Arztbewertungsportal. Auf diesem werden Informationen über Ärzte und Träger anderer Heilberufe kostenfrei zur Verfügung gestellt. Enthalten sind für jeden Arzt die sogenannten „Basisdaten“ wie der akademische Grad, Name, Fachrichtung, Praxisanschrift, Kontaktdaten und die Sprechzeiten. Daneben bietet das Portal auch einen Bewertungsbereich, indem Kundenbewertungen direkt neben den Basisdaten angezeigt werden.
Bei den Nicht-Premium-Nutzern werden auf der Profilseite zusätzlich zu den Bewertungen und Basisdaten noch Vorschläge („Anzeigen“) zu anderen Arztpraxen mit denselben Fachbereichen und der entsprechenden Bewertung im Umfeld angezeigt.
Für die Ärzte besteht die Möglichkeit, ein kostenpflichtiges „Premium-Paket“ zu buchen. In diesem Fall wird – anders als bei den kostenfreien Profilen – den Nutzern die Möglichkeit gegeben, Bilder und zusätzliche Informationen hinzuzufügen. Zusätzlich schaltet das Portal sodann keine Anzeigen mehr von Konkurrenten auf den Profilseiten der Premium-Nutzer.
Eine Dermatologin und Allergologin ging bereits seit 2015 gegen die Plattform vor. Als Nichtzahlerin wird sie gegen ihren Willen ohne Bild, aber dafür mit allen weiteren Basisdaten, in dem Portal geführt. Auch erhielt sie in der Vergangenheit eine Vielzahl von Bewertungen, welche sie teilweise durch ihren Rechtsanwalt beanstanden und löschen ließ um ihre Gesamtnote zu verbessern. Der Aufforderung zur Löschung ihres Profils kam der Portalbetreiber allerdings nicht nach.
Das LG Köln sowie das OLG Köln räumten der Meinungs- und Medienfreiheit des Portalbetreibers den Vorrang ein. Das Recht auf informationelle Selbstbestimmung der Klägerin müsse im Rahmen einer Abwägung zurücktreten.
Gegen diese Ansicht sprach sich nun allerdings der BGH mit klaren Worten aus. Der vorliegende Fall unterscheide sich von allen bisher entschiedenen Fällen. Auch wenn die Speicherung der personenbezogenen Daten von Ärzten mit den dazugehörigen Bewertungen durch die Patienten grundsätzlich zulässig sei, sei der Portalbetreiber von jameda.de zur Löschung des Profils der Dermatologin verpflichtet.
Durch das Angebot von „Premium-Paketen“ verlasse die Plattform ihre Stellung als „neutraler Informationsmittler“. Den Ärztesuchenden wird zu keinen Zeitpunkt klar, dass das Portal zwischen „Premium-Nutzern“ und normalen Nutzern unterscheide. Nehme sich der Portalbetreiber aber in dieser Weise zugunsten ihres Werbeangebots in der Rolle als neutraler Informationsmittler zurück, dann könne er seine auf das Grundrecht der Meinungs- und Medienfreiheit gestützte Rechtsposition gegenüber dem Recht der Dermatologin auf informationelle Selbstbestimmung auch nur mit geringerem Gewicht geltend machen.
Dies wiederum führe dazu, dass im Rahmen einer Abwägung dem Recht auf informationelle Selbstbestimmung Vorrang zu gewähren sei. Ihr sei demnach auch ein schutzwürdiges Interesse an dem Ausschluss der Speicherung ihrer Daten (im Sinne des § 29 Abs. 1 Satz 1 Nr. 1 BDSG a.F.) zuzubilligen.
Die neue EU Datenschutz-Grundverordnung (DS-GVO) tritt ab Mai 2018 in Kraft. Ein Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) soll den Unternehmen, Vereinen und Verbänden nun dabei helfen, die neuen Richtlinien umzusetzen. Es zeigt den Unternehmen zudem, wie weit sie bislang mit der Umsetzung gekommen sind. Vor allem aber zeigt der Fragebogen auch, an welchen Punkten sie noch einmal nacharbeiten müssen.
Der Fragebogen des BayLDA befasst sich detailliert mit Fragen zum Umsetzungsstatus der zentralen Themen der DS-GVO. Hierzu weist der Fragebogen die Unternehmen auf die Struktur und die Verantwortlichkeit im Unternehmen hin. Insbesondere der Hinweis auf die Existenz eines Datenschutzbeauftragten liegt dem BayLDA am Herzen. Dieser muss nicht zwangsläufig aus dem eigenen Unternehmen stammen, sondern kann auch als externer Datenschutzbeauftragter engagiert werden.
Durch die zunehmende Erfahrung im Datenschutzrecht hat sich der externe Datenschutzbeauftragte die notwendige branchenübergreifende Expertise aufgebaut. So kann er auf notwendige Änderungen und Anpassungen innerhalb des Unternehmens effizient und vor allem schnell aufmerksam machen. Zudem zeigen Erfahrungen, dass ein externer Datenschutzbeauftragter bei den Mitarbeitern und dem Betriebsrat auf größere Akzeptanz stoßen. Dies liegt nicht selten an der erhöhten Motivation gegenüber dem internen Datenschutzbeauftragten. Denn dieser distanziert sich oftmals durch lange und regelmäßige Fortbildungen vom Unternehmen.
Ein weiterer prägnanter Punkt im Fragebogen des BayLDA befasst sich mit den Themengebieten der Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte. Hierbei geht es insbesondere um die Anpassung aller Texte zu datenschutzrechtlichen Informationen der betroffenen Personen bei der Datenerhebung. Ein weiterer wichtiger Punkt ist die Einrichtung eines Verfahrens, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten schnell und vollständig nachzukommen. Gerade dieser Punkt sollte im Unternehmen frühzeitig angegangen werden, da die Umsetzung erfahrungsgemäß einige Zeit in Anspruch nimmt.
Ferner zielt der Fragebogen auf den Umgang mit Risiken ab und die Verantwortlichkeit in schwierigen Fällen. Mit den Fragen will das BayLDA nach eigenen Angaben den Unternehmen ein Gefühl dafür geben, wie die neue DS-GVO umzusetzen ist und wie sie ihre Prüfaktivitäten ab Mai 2018 gestalten will. Durch den Fragebogen will das BayLDA schon frühzeitig Transparenz schaffen und mithelfen, dass die gesetzlichen Vorschriften in allen Unternehmen bereits jetzt eingehalten werden. Dazu äußert sich Thomas Kranig, der Präsident des BayLDA wie folgt:
Wir leben in einer zunehmend digitalisierten Welt, in der eine unvorstellbare Menge personenbezogener Daten von Bürgern erfasst und in einer Art und Weise vernetzt und genutzt werden, die für den einzelnen nicht mehr durchschaubar ist. Es ist auch unsere Aufgabe als Datenschutzaufsichtsbehörde, in dieser Situation für so viel Transparenz wie möglich und auch Sicherstellung, dass die gesetzlichen Vorschriften eingehalten werden, zu sorgen. Wir nehmen diese Herausforderung der DS-GVO mit allen uns zur Verfügung stehenden Mitteln an und werden in dem Umfang, wie wir es können, beraten, damit Verstöße erst gar nicht passieren, aber auch nicht davor zurückschrecken, bei festgestellten Verstößen wirksame, verhältnismäßige und abschreckende Sanktionen auszusprechen, wie es die Datenschutz-Grundverordnung von uns verlangt.
Die neue EU Datenschutz-Grundverordnung (DS-GVO) ist seit Mai 2018 in Kraft getreten. Neben dem Fragebogen des Bayerischen Landesamt für Datenschutzaufsicht soll nun der Fragebogen des Landesamts für Datenschutz in Mecklenburg-Vorpommern insbesondere der Arztpraxis bei der Umsetzung der neuen Regelungen helfen.
Der Fragebogen zeigt in 6. Kapiteln wie weit die Arztpraxis bislang mit der Umsetzung der DS-GVO gekommen ist. Vor allem aber zeigt der Fragebogen, an welchen Punkten die Arztpraxis noch einmal nacharbeiten sollte.
Der Fragebogen des mv-Landesamt befasst sich detailliert mit Fragen rund um den Umsetzungsstatus der zentralen Themen der DS-GVO. Hierzu weist der Fragebogen die Arztpraxis insbesondere auf die Zulässigkeit der Datenverarbeitung hin.
Auch wird die Notwendigkeit eines Datenschutzbeauftragten untermalt; sei es durch die Fortbildung eines eigenen Mitarbeiters zum Datenschutzbeauftragten oder durch die Bestellung eines externen Datenschutzberaters.
Der Fragebogen des mv-Landesamt weist Arztpraxen des Weiteren auf die Möglichkeit des Datenschutzes durch die Technikgestaltung hin. Dabei ist es für eine Arztpraxis insbesondere wichtig Pseudonymisierungs- oder Verschlüsselungsverfahren bei der Verarbeitung von Datensätzen zu verwenden. Auch spielt die Speicherfrist bei der nun inkraftgetretenen DS-GVO eine grundlegende Rolle.
Für eine Arztpraxis ist zudem die Dokumentierung aller Sicherheitsmaßnahmen von großer Bedeutung; gerade derer, die zum Schutz der Patientendaten ergriffen wurden.
Ferner zielt der Fragebogen auf den Umgang mit Risiken ab und die Verantwortlichkeit in schwierigen Fällen. Dazu weist der Fragebogen in einem besonders umfassenden Teil auf das Transparenzgebot der Datenverarbeitung gegenüber dem Patienten hin.
Nach eigenen Angaben soll der Fragebogen des mv-Landesamtes der Arztpraxis und zugleich dem Landesamt selbst einen ersten Überblick schaffen, wie vor Ort die DS-GVO umgesetzt wird. Gleichzeitig soll dies dem Landesamt dazu verhelfen, den Beratungsdarf einzuschätzen und über bestimmte Themengebiete noch genauer zu informieren.
Aber der Fragebogen soll nicht nur bei der Umsetzung helfen. Vielmehr gibt er der betroffenen Arztpraxis eine Einschätzung, wie die Prüfung der Einhaltung der DS-GVO aussehen könnte. Natürlich berücksichtigt der Fragebogen nicht alle wichtigen Punkte in der erforderlichen Tiefe.
Es wird daher allen Arztpraxen empfohlen, sich bei der Umsetzung von Datenschutzberatern begleiten zu lassen. So kann sichergestellt werden, dass alle neuen Vorgaben beachtet werden und keine Lücken in diesem Bereich entstehen.
In einer arbeitsrechtlichen Streitigkeit hat das BAG mit Urteil vom 22. September 2017 (Az.: 2 AZR 848/15) entschieden, dass die Verwertung eines Zufallsfundes aus einer Videoüberwachung als zulässig angesehen werden kann. Wird in einem Supermarkt also wegen des Verdachts auf Zigarettendiebstahl eine verdeckte gerechtfertigte Videoüberwachung durchgeführt, so können auch andere auf diese Weise entdeckte Straftaten als Beweismittel verwertet werden.
Das allgemeine Persönlichkeitsrecht werde dadurch nach Ansicht des BAG nicht unzulässig verletzt und müsse daher hinter das Strafverfolgungsinteresse treten.
Als der Arbeitgeber – der Inhaber eines Supermarktes – im Laufe einer Inventur im Bereich des „Tabak/ Zigaretten“ und „Nonfood“ einen Verlust in Höhe des Zehnfachen im Vergleich zum Vorjahr feststellte, ordnete er eine verdeckte Videoüberwachung seiner Mitarbeiter im Kassenbereich an. Der Betriebsrat stimmte der verdeckten Videoüberwachung zu, nachdem vorherige Taschenkontrollen, die einen Diebstahl hätten erkennen lassen, zu keinem Ergebnis führten.
Doch anstatt die Zigarettendiebe zu überführen, wurde die stellvertretende Filialleiterin dabei gefilmt, wie sie eine Musterpfandflasche scannte und den Leergutpfand in Höhe von EUR 3,25 für sich behielt.
Daraufhin wurde die stellvertretende Filialleiterin aufgrund der Unterschlagung nach 15 Jahren Betriebszugehörigkeit fristlos gekündigt.
Mit dem vorinstanzlichen Urteil des LG Düsseldorf (7. Dezember 2015 – 7 Sa 1078/14) wird bestätigt, dass auch bei einem relativ geringen Schaden in Höhe von EUR 3,25 ein gravierender Vertrauensbruch gerechtfertigt werden kann. Dieser wiederrum kann in der Folge zu einer gerechtfertigten fristlosen Kündigung führen. Soweit so gut. Damit liegt das LAG auf der Linie der in den letzten Jahren viel diskutierten Rechtsprechung des BAG unter anderem im Fall Emmely.
Doch Streitthema im Revisionsverfahren war die Verwertbarkeit der Videoaufnahmen. Diese sollten zwar von vorneherein nur zur Aufklärung der Zigarettendiebstähle führen. Zeigen diese allerdings eine andere Straftat durch einen sogenannten „Zufallsfund“, so sei nach Ansicht des BAG auch dieser verwertbar.
In den Urteilsauführungen macht das BAG deutlich, dass das allgemeine Persönlichkeitsrecht und das Recht am eigenen Bild nicht in einer unzulässigen Weise durch die Aufnahmen verletzt werde. Denn
Eingriffe in das Recht der Arbeitnehmer am eigenen Bild durch verdeckte Videoüberwachung sind dann zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zulasten des Arbeitgebers besteht.
Allerdings nur, soweit es keine Alternative zu der Videoüberwachung gebe.
Nach dem alten Bundesdatenschutzgesetz (BDSG) dürfen die personenbezogene Daten aus einer ursprünglich gerechtfertigten Videoüberwachung auch dann verarbeitet und genutzt werden, wenn dies für die Entscheidung über eine Kündigung erforderlich ist (§ 32 Abs. 1 S. 1 BDSG-alt). Die Verwertung des Zufallsfundes aus der Videoüberwachung sei daher nicht zu beanstanden.
Das BDSG-neu regelt nunmehr im § 26 BDSG ähnliche Verwendungserlaubnisse, nämlich:
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Damit dürfte sich auch in Zeitden der DSGVO kein anderes Ergebnis vermuten lassen.
Das LG Köln entschied, dass das Kontaktformular eines Webshopbetreibers keinen direkten Hinweis auf seine Datenschutzerklärung enthalten müsse (Az.: 81 O 32/17). Es genüge, dass die Datenschutzerklärung zu Beginn der Nutzung und im Zeitpunkt der Datenerhebung leicht auffindbar und unmittelbar erreichbar sei.
Dem Webshopbetreiber wurde von seinen Mitbewerbern vorgeworfen, dass er seine Nutzer im Rahmen seines Kontaktformulars – bei dem Name, E-Mail-Adresse und Telefonnummer abgefragt wurden – nicht ausreichend über seine Datenschutzerklärung informiere. Dabei enthielt das Formular zwar keinen direkten Hinweis auf die Datenschutzerklärung, allerdings konnten über eine Verlinkung „Datenschutz“ in der Fußzeile („Footer“) alle notwendigen Bestimmungen abgerufen werden.
Dennoch sahen die Mitbewerber hierin eine unzureichende Aufklärung über Art und Umfang der Datenerhebung im Sinne des § 13 TMG. Außerdem hätte der Webshopbetreiber darüber hinaus keine Einwilligung zur Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten eingeholt.
Das LG Köln beurteilte die Rechtslage nun anders. Der Hinweis im Footer entspreche durchaus den Anforderungen im § 13 TMG. Den formalen Anforderungen des § 13 TMG werde auch dann Rechnung getragen, wenn die Datenschutzerklärung zu Beginn der Nutzung und im Zeitpunkt der Datenerhebung leicht auffindbar und unmittelbar erreichbar sei.
Der Grund: § 5 TMG bestimmt, dass auch das Impressum des Diensteanbieters leicht erkennbar und unmittelbar erreichbar zu sein hat. Gleiches gelte für die Erreichbarkeit der Datenschutzerklärung. Es genüge daher zur Erfüllung des Merkmals der unmittelbaren Auffindbarkeit, „wenn der Link, der zu den Informationen führt, mit „Datenschutz“ bezeichnet ist“. Es sei nicht unüblich und entspräche dem Erfahrungswert der Nutzer, dass sich allgemeine Hinweise und Erklärungen am Ende der Website befänden; meist in der Form einer Verlinkung.
Unmittelbar erreichbar sind die Informationen stets dann, wenn sie nach maximal zwei Klicks abrufbar sind. Im Falle der Datenschutzerklärung im Footer müsse der Nutzer zwar bis zum Ende der Website scrollen. Dort angelangt genüge aber ein einfacher Klick auf den Hyperlink um zu der Datenschutzerklärung zu gelangen. Dies reiche nach Ansicht der Kölner Richter aus.
Eine Datenschutzerklärung ist im Falle eines Kontaktformulars zwingend notwendig. Sie muss sich allerdings nicht zwingend direkt über oder unter dem Kontaktformular selbst befinden. Ein Hyperlink im Footer ist ausreichend.
Soweit es sich um Datenerhebungen zu Werbezwecken oder zur Weitergabe an Dritte handelt, ist zusätzlich eine Einwilligung der Nutzer erforderlich.
In der Pressemitteilung führt die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, dankenswerter Weise an, dass es nicht vorrangig darum gehe, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Es solle vielmehr aufgeklärt, sensibilisiert und Hinweise gegeben werden. Es gelte auch, sich einen Überblick zu verschaffen, wie die DS-GVO in den Unternehmen angekommen ist.
Nichtsdestotrotz: werden Verstöße festgestellt, ist auch mit entsprechenden Verfahren zu rechnen. Daher dürften schwammige, falsche oder unvollständige Antworten eine Einladung zu einem Hausbesuch sein. Ein Grund mehr, nicht überstürzt, sondern sich wohlüberlegt und gemeinsam mit dem Datenschutzbeauftragten sowie ggfs. mit zusätzlichem rechtlichen Rat an die Beantwortung der Fragen zur DS-GVO zu setzen.
Zugleich dient der DS-GVO-Fragebogen auch als Orientierungshilfe für andere Unternehmen, die es vielleicht (noch) nicht erwischt hat. Denn im Grunde muss jedes Unternehmen die Fragen innerhalb kürzester Zeit beantworten und dokumentarisch nachweisen können.
Den Fragebogen der LfD erhalten insgesamt 50 Unternehmen als Querschnitt durch verschiedene Branchen. Betroffen sind jedoch nicht die kleinen Betriebe, sondern 20 große und 30 mittelgroße Unternehmen mit (Haupt-)Sitz in Niedersachsen.
Neben den bereits genannten Zielen erhofft sich die LfD mit der Auswertung der Fragebögen auch Hinweise für ihre zukünftige Arbeit. Je nach Mängeln wäre es möglich, neue Orientierungshilfen zu geben. Und auch wenn es bisher nicht konkret geplant ist, könnten sich zudem Schwerpunktprüfungen in bestimmten Branchen anschließen.
Die Fragen zur Vorbereitung und Umsetzung der DS-GVO haben es in sich. Es zeigt sich deutlich, dass die DS-GVO ein bürokratischer Akt ist und die LfD auch den Umgang damit (über-)prüfen möchte. Verlangt werden daher nicht nur die bloße Angabe zur Führung des Verarbeitungsverzeichnisses oder die Darstellung der Prozesse zur Einhaltung von Betroffenenrechten, sondern auch die Vorlage einiger Musterdokumente, wie:
Die Beantwortung der Fragen dürfte nicht nur zeitaufwendig sein, sondern auch viele Arbeitskräfte einspannen – insbesondere, wenn bisher die entsprechenden Dokumentationen und Muster nicht zur Verfügung stehen.
Insgesamt gibt es 10 Fragen, die sich in dem “Fragenkatalog Querschnittsprüfung DS-GVO” finden:
1. Vorbereitung auf die DS-GVO
Wie haben Sie sich als Unternehmen auf die DS-GVO vorbereitet?
Schildern Sie (kurz) die Vorgehensweise, welche Bereiche involviert waren und welche Maßnahmen initiiert wurden. Sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, erläutern Sie bitte auch den Umsetzungsstatus.
2. Verzeichnis von Verarbeitungstätigkeiten
Wie haben Sie sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden? Wie stellen Sie dessen Aktualität sicher? Legen Sie bitte eine Übersicht Ihrer dokumentierten Verfahren sowie ein Beispielverfahren als Muster bei.
3. Zulässigkeit der Verarbeitung
Auf Basis welcher Rechtsgrundlagen verarbeiten Sie personenbezogene Daten? Sofern Sie auch auf Basis von Einwilligungen personenbezogene Daten verarbeiten, legen Sie bitte Ihre verwendeten Muster bei.
4. Betroffenenrechte
Wie stellen Sie die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sicher? Skizzieren Sie Ihre diesbezüglichen Prozesse und gehen Sie insbesondere detailliert darauf ein, wie Sie Ihren Informationspflichten nachkommen. Vorhandene Musterinformationen fügen Sie bitte bei.
5. technischer Datenschutz
a. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen bzw. die Ihrer Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten?
b. Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?
c. Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben?
d. Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Privacy by Design und by Default)?
6. Datenschutz-Folgenabschätzung
a. Wie stellen Sie sicher, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?
b. Haben Sie in Ihrem Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert? Welche?
Fügen Sie bitte die jeweilige Dokumentation zur Datenschutz-Folgenabschätzung bei.
7. Auftragsverarbeitung
Haben Sie Ihre bestehenden Verträge mit Auftragsverarbeitern an die neuen Regelungen der DS-GVO angepasst? Sofern Sie Musterverträge verwenden, fügen Sie diese bitte bei, darüber hinaus fügen Sie bitte einen aktuellen Beispielvertrag mit einem Ihrer Auftragsverarbeiter bei.
8. Datenschutzbeauftragter
Wie ist Ihr Datenschutzbeauftragter in Ihre Organisation eingebunden? Welche Fachkundenachweise hat er?
9. Meldepflichten
Wie stellen Sie sicher, dass Ihr Unternehmen Datenschutzverstöße fristgemäß an die Aufsichtsbehörde meldet? Skizzieren Sie Ihre diesbezüglichen Prozesse.
10. Dokumentation
Wie können Sie die Einhaltung aller vorstehend in Ziff. 2 – 9 genannten Pflichten nachweisen?
Ende Mai 2018 endeten die Übergangsfristen, die der Gesetzgeber Unternehmen für die Umstellung ihrer Prozesse auf die neue EU-Datenschutzgrundverordnung (DS-GVO) eingeräumt hat. Ab diesem Zeitpunkt drohen den Unternehmen bei Verstößen gegen die neuen Vorschriften Bußgelder in Höhe von bis zu 4 % des weltweiten Unternehmensumsatzes.
Doch das Problem scheint noch nicht bei allen Firmen angekommen zu sein. So hat eine Umfrage des Branchenverbands Bitkom ergeben, dass bislang nur jedes 4 Unternehmen zusätzliches Personal für die Umsetzung der DS-GVO Vorgaben einsetzt. Neueinstellungen gab nur bei 5 % der Befragten Firmen. 20 % der Firmen bevorzugen bei der Umsetzung der Vorgaben das eigene Personal.
Eine weitere Studie von IDC zeigt, dass bis Mitte 2017 ganze 44 Prozent der deutschen Firmen noch keine konkrete Vorbereitung für die Zeit nach dem 25. Mai 2018 getroffen haben. Oftmals wissen Unternehmen – wie Bildungseinrichtungen – nicht, dass sie von der DS-GVO betroffen sein können. Demnach sind die Systeme in diesen Fällen noch nicht umgestellt.
Dabei ist die Frage „Ist Ihr Unternehmen fit für die DS-GVO“ auch bereits von vielen Landesämtern für Datenschutzaufsicht aufgegriffen worden. Diese bieten oftmals einen Fragebogen, der sich mit dem Umsetzungsstatus der Unternehmen befassen. Gleichzeitig soll dieser den Unternehmen verdeutlichen, wo noch Schwachstellen bei der Umsetzung existieren.
Zudem weisen die Landesämter darauf hin, dass die Beauftragung eines externen Datenschutzbeauftragten oder jedenfalls eines qualifizierten, externen Beraters überforderten Firmen schnell helfen kann.
Durch die zunehmende Erfahrung im Datenschutzrecht hat sich dieser regelmäßig die notwendige branchenübergreifende Expertise aufgebaut. So kann er auf notwendige Änderungen und Anpassungen innerhalb des Unternehmens effizient und vor allem schnell aufmerksam machen.
Datenschutzverstöße müssen in vielen Fällen öffentlich gemacht werden. Der damit einhergehende Image- und Vertrauensverlust wiegt häufig schwerer als das damit möglicherweise verhängte Bußgeld. Die DS-GVO setzt bei den Bußgeldern nun noch „einen oben drauf“ und erlegt den Aufsichtsbehörden die Verpflichtung auf, zukünftig „abschreckende“ Bußgeldhöhen zu verhängen. Damit sind die Zeiten, in denen Bußgelder eingepreist oder ignoriert werden können, womöglich endgültig vorbei.
Der Bußgeldrahmen der DS-GVO beläuft sich je Schwere des Verstoßes auf bis zu 20.000.000 Euro oder auf bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorgelagerten Geschäftsjahres.
Unternehmen haften für Datenschutzverstöße aller Arbeitnehmer, nicht nur gesetzlicher Vertreter. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem aktuell widersprechen.
Geht es nach dem Generalanwalt des EuGH, müssen Nutzer eine aktive, informierte Einwilligung abgeben, um Cookies zu erlauben (Opt-in).
Der Mieter einer Wohnung muss die Anbringung von Kameras oder entsprechender Attrappen im Hausflur nicht dulden. Die dadurch erfolgte Verletzung des Allgemeinen Persönlichkeitsrechts könne auch nicht dadurch gerechtfertigt werden, dass der Vermieter sein Eigentum – ohne konkreten Anlass, rein vorsorglich – schützen möchte.
BGH: Ärzte-Bewertungsportal muss das Profil einer Ärztin löschen. Der Grund: www.jameda.de sei kein neutraler Informationsmittler.
Neue EU Datenschutz-Grundverordnung für 2018. Ein Fragebogen des Bay. Landesamt für Datenschutz hilft Ihnen bei der Umsetzung der Neuerungen.
Neue EU Datenschutz-Grundverordnung für 2018: Ein Fragebogen des mv-Landesamt für Datenschutzaufsicht soll Arztpraxen bei der Umsetzung helfen.
Die Verwertung eines Zufallsfundes aus einer gerechtfertigten verdeckten Videoüberwachung kann nach § 32 BDSG zulässig sein.
Kontaktformular muss keinen direkten Hinweis auf Datenschutzerklärung enthalten. Diese müsse lediglich leicht auffindbar und unmittelbar erreichbar sein.
Seit Ende Juni 2018 prüft die Landesbeauftragte für den Datenschutz Niedersachsen, wie gut sich die niedersächsischen Unternehmen auf die Datenschutzgrundverordnung (DS-GVO) eingestellt haben.
Die neue DS-GVO tritt ab Mai in Kraft. Doch auch jetzt sind noch viele Firmen unvorbereitet; und dies, obwohl bei Verstößen hohe Geldbußen drohen.
