Nachdem Wearables zunächst den privaten Fitness und Life-Style-Bereich erobert haben, findet man die mit Sensoren ausgestatteten Mini-Computer (Wearables) nun auch immer häufiger in Unternehmen. Sie ermöglichen es, eine Vielzahl von Daten zu erheben. Es können Vitalfunktionen erfasst werden, der Standort ermittelt sowie Bild und Ton aufgezeichnet werden. Unter den Begriff der Wearables fallen nicht nur Fitness-Tracker, sondern auch moderne Smartwatches und sogar die Smartphones und Tablets.
Ein Paradebeispiel für die Nutzung von Wearables im Beschäftigtenverhältnis ist die dauernde oder regelmäßige Lokalisierung der Mitarbeiter. So können Arbeitsabläufe verkürzt und Dienstwege optimiert werden. Doch nicht nur bei älteren, hoch technologisierten Unternehmen wie der Deutschen Post werden solche Daten erhoben, sondern auch bei jungen Unternehmen wie z.B. Foodora.
Auch die Deutsche Bahn überlegt, sein Unternehmen mit Wearables auszustatten. So sollen zukünftig etwa Kontrolleure – wie auch schon die Polizei in NRW und Hessen – mit sogenannten Bodycams ausgestattet werden. Das soll potentielle Angreifer abschrecken und helfen, ihre Missetaten aufzuklären.
In erster Linie soll die neue Technik der Wearables also zur Produktivitätssteigerung, Verbesserung der Arbeitssicherheit und des Arbeitskomforts beitragen. Doch eignen sich die Wearables auch bestens zur Überwachung und Kontrolle der Beschäftigten. Das Thema des Beschäftigtendatenschutzes spielt bei der Ausstattung der Mitarbeiter daher eine zentrale Rolle.
Sowohl für den Arbeitgeber als auch für den Arbeitnehmer gibt es zahlreiche Punkte zu beachten, um sich im Rahmen der rechtlichen Vorgaben zu bewegen.
Die Nutzung von Wearables im Beschäftigtenverhältnis geht grundsätzlich nur mit der ausdrücklichen aktiven Einwilligung durch den Arbeitnehmer. Er muss frei entscheiden können, ob und inwiefern er ein Wearable nutzen möchte.
Wenn die Einwilligung im Arbeitsvertrag pauschal erklärt wird, ist das kritisch. Denn der Arbeitnehmer muss gegebenenfalls befürchten, die Stelle nicht zu bekommen, wenn er die Einwilligung nicht erteilt. Einwilligungen, die unter Ausnutzung eines beachtlichen Verhandlungsungleichgewichts erfolgten, sind nicht freiwillig und damit unwirksam. Häufig wird auch ein sogenanntes ausdrückliches Nachteilsverbot für den Arbeitnehmer vereinbart, um diesen nicht unverhältnismäßig stark zu belasten und unter Druck zu setzen.
Doch der Einsatz von Wearables kann auch durch den Arbeitgeber angeordnet werden, wenn und soweit das noch vom arbeitsvertraglichen Direktionsrecht erfasst ist. Die Anforderungen an die Verwendung von Wearables im Rahmen eines Direktionsrechts durch den Arbeitgeber sind deutlich höher als bei der freiwilligen Einwilligung. Denn die technische Ausstattung des Arbeitsplatzes bildet den Grundstein für die digitale Überwachung.
So muss die Ausstattung des Arbeitnehmers mit Wearables geeignet und erforderlich zur Optimierung der Arbeitsabläufe sein und darf nicht zu dessen Lasten gehen. Zulässig sind somit nur Geräte, die im Hinblick auf das Persönlichkeitsrecht des Beschäftigten auch angemessen sind (Art. 88 II DSGVO). Es muss also letztlich eine Interessenabwägung im Einzelfall vorgenommen werden.
Weiter gilt zu beachten, dass die auf dem allgemeinen Markt verfügbaren Wearables oft noch zu unpräzise und fehleranfällig für die Nutzung im Arbeitsverhältnis sind. Diese liefern in der Regel nur unzureichende und ungenaue Sensorik, die zusätzlich in vagen und teils falschen Kausalitätsannahmen enden. Denn wenn der Arbeitgeber die Wearbles per Direktionsrecht einführen will, müssen die Geräte speziell auf die Arbeitssituation angepasst sein und eine Arbeitsplatzrelevanz aufweisen. Geräte, die auf den Privatgebrauch ausgelegt sind, sind dies oftmals nicht.
Besteht ein Konflikt zwischen Arbeitsoptimierung und dem Persönlichkeitsschutz, muss eine Abwägung im Einzelfall vorgenommen werden. Besondere Vorsicht ist vor allem bei Wearables geboten, die dauerhaft und regelmäßig Daten ermitteln und übertragen. Der Arbeitnehmer muss stets die Kontrolle behalten und die Erfassung abstellen oder zeitlich/räumlich beschränken können. Nur auf diesem Weg kann ein angemessenes Schutzniveau erreicht werden. Allerdings darf das Abschalten der Wearables dem Beschäftigten sodann selbstverständlich nicht negativ angerechnet werden.
Der Einsatz von Wearbles mit Lokalisierungsfunktion bedarf besonderer Voraussetzungen. Einerseits ist z. B. die Nutzung von Wearables mit Lokalisierungsfunktion zum Zwecke der Nothilfe grundsätzlich zulässig. Doch eben diese Funktion bietet dem Arbeitgeber die Möglichkeit, ein genaues Bewegungsprofil zu erstellen und lässt den Arbeitnehmer „gläsern“ werden.
Um dieser stetigen Überwachung einen Riegel vorzuschieben, sehen das Bundesdatenschutzgesetz (§ 3a BDSG) und die Datenschutzgrundverordnung (Art. 5 Abs. 1 Buchst. c DSGVO) eine Einschränkung bei der Verarbeitung von Standortdaten vor. So gelte das Gebot der Datenminimierung, welches sich auf die Speicherintervalle, die Speicherdauer und die Verknüpfung mit weiteren Ereignisdaten bezieht. Auf diesem Wege sollen umfassende Bewegungsprofile vermieden werden.
Neben der Erstellung von Bewegungsprofilen, begründet auch die Erfassung von Bild- und Tonaufnahmen ein Risiko für das allgemeine Persönlichkeitsrecht. Neben der Erfassung von relevanten Arbeitsabläufen werde zugleich das private und beiläufige Verhalten der Arbeitnehmer erfasst.
Die dauerhafte Bild- und Ton-Überwachung ermöglicht eine nicht hinzunehmende Realzeit-Totalkontrolle durch den Arbeitgeber. Um dies zu verhindern, sollte der Arbeitgeber technische und organisatorische Vorkehrungen treffen.
Ferner bedarf die Aufnahme von Bild und Ton stets einer gesonderten Zweckfeststellung und muss vom Betroffenen abgeschaltet werden können. Werden die Bild- und Ton-Daten zusätzlich mit anderen Daten verknüpft, so steigen die Anforderungen an die Zweckmäßigkeit.
Nutzt der Arbeitnehmer ein privates Gerät im Arbeitszusammenhang („Bring your own Device“ = BYOD) muss der Arbeitgeber für eine saubere, technisch klare Trennung zwischen der Erfassung von privaten und dienstlichen Daten sorgen. Ansonsten gelten hier dieselben datenschutzrechtlichen Vorgaben wie auch bei der Nutzung von vom Arbeitgeber zur Verfügung gestellten Wearables.
Häufig ist die Erhebung der Daten durch die Wearables nicht transparent genug, obwohl sie dies sein müsste (Art. 5 Nr. 1 Buchst a DSGVO). Auch wenn die Geräte oft nur über begrenzte Darstellungs- und Informationsmöglichkeiten verfügen, muss transparent erkennbar sein, wer die für die Datenerhebung verantwortliche Stelle ist und wie sie erreicht werden kann. Auch Kommunikations- und Übertragungsvorgänge müssen auf dem Medium eindeutig erkennbar sein.
Deshalb ist der Auskunftsanspruch auch die Grundlage der informationellen Selbstbestimmung (§ 34 BDSG, Art. 15 DSGVO). Stellt der Arbeitgeber die Wearables zur Verfügung ist aber oftmals unklar gegen wen sich der Auskunftsanspruch richtet. Je nach Verantwortlichkeit (Art. 24 DSGVO) und Programmierung der Wearables kann sich der Anspruch gegen den Arbeitgeber oder einen datenverarbeitenden Drittanbieter richten. Verfügt der Arbeitgeber nicht über die Daten, so hat er dennoch dafür zu sorgen, dass diese Daten von den Drittanbietern jederzeit bereitgestellt werden.
Die rasante technische Entwicklung fordert auch die stetige Weiterentwicklung des Datenschutzes. Bislang haben Arbeitnehmer im Beschäftigtenverhältnis ein weitgehendes Mitspracherecht und können in einer Vielzahl von Fällen den Einsatz von Wearables steuern oder gar ablehnen. Unternehmen sollten unbedingt stetig überprüfen, ob die Datenschutzbestimmungen eingehalten werden und eine Mitwirkung der Mitarbeiter in Erwägung ziehen. Denn Wearables können Segen und Fluch zugleich sein.
Mit Urteil vom 15. Mai 2017 greift der BGH (Az.: VI ZR 135/13, Pressemitteilung) die Vorgaben des EuGH in Sachen dynamischer IP-Adressen (C-582/14) auf.
Dynamisch vergebene IP-Adressen seien „personenbezogene Daten“ im Sinne des Datenschutzrechts. Folglich darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden.
Grundlage für die Entscheidung war eine Auseinandersetzung des Piraten-Politikers Patrick Breyer gegen die Bundesrepublik Deutschland. Breyer war der Ansicht, die Speicherung der dynamischen IP-Adressen durch den Bund über einen Zeitraum vom drei Monaten sei rechtswidrig. Dies ermögliche ein Tracking, auch ganz ohne eine Einwilligung durch die betroffenen Internetnutzer.
Die Bundesregierung stellte sich gegen die Ansicht der Datenschützer. Eine Speicherung der dynamischen IP-Adresse sei gerade notwendig, um einen sicheren Betrieb der Webserver zu ermöglichen und bereits frühzeitig Angriffe abzuwehren. Auch die Identifizierung der Angreifer spiele eine wichtige Rolle im Kampf gegen die Cyberkriminalität. Zur Verteidigung führte sie weiter an, dass ohne die Hilfe der Zugangsanbieter bei dynamisch vergeben IP-Adressen keine Möglichkeit der Identifizierung bestehe.
Das Landgericht Berlin war noch 2013 (Urteil v. 31.01.2013 – 57 S 87/08) davon ausgegangen, dass die Speicherung nur dann unzulässig sei, wenn der Betreiber der Webseite selbst durch die IP-Adressen die Besucher identifizieren könne. Daraufhin legten allerdings sowohl Breyer als auch die Bundesregierung Revision beim BGH ein. Dieser legte die Rechtssache dem EuGH vor.
Mit dem Urteil vom 15. Mai 2017 beruft sich der BGH auf das Urteil des EuGH und bestätigt die Ansicht Breyers. Dynamisch vergebene IP-Adressen seien personenbezogene Daten im Sinne des § 12 Abs. 1 und 2 Telemediengesetzes (TMG) in Verbindung mit § 3 Abs. 1 BDSG. Diese dürfen nur unter besonderen Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden.
Anbieter von Online-Mediendiensten dürfen personenbezogene Daten eines Nutzers ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden, soweit dies zur Gewährleistung der generellen Funktionsfähigkeiten der Dienste notwendig ist. Notwendig sei dabei eine Abwägung zwischen dem Interesse des Anbieters und den Grundrechten sowie Grundfreiheiten der Internetnutzer.
Die Abwägung konnte im Streitfall allerdings vom BGH nicht abschließend vorgenommen werden. Das Berufungsgericht hatte keine hinreichende Feststellung getroffen, ob die Speicherung der dynamischen IP-Adressen über den Zeitraum der Nutzung hinweg nötig seien, um die Funktionsfähigkeit der Dienste zu gewährleisten. Insbesondere zum Gefahrenpotential bei den Online-Mediendiensten liegen dem BGH keine umfassenden Informationen vor, die eine Abwägung ermöglichen würden.
Dementsprechend war die Revision der Parteien erfolgreich und der BGH hat die Rechtssache an das Berufungsgericht zurückverwiesen. Auch die Gesichtspunkte der Generalprävention und der Strafverfolgung müsse nun vom LG Berlin neu verhandelt werden.
Das Amtsgericht Hamburg hat mit Urteil vom 16. März 2017 (Az.: 233 OWi 12/17) den Erlass des Datenschutzbeauftragten Johannes Caspar bestätigt. Danach muss der Schufa-Konkurrent Bürgel aufgrund eines Datenschutzverstoßes 15.000 Euro Bußgeld zahlen.
Das Hamburger Unternehmen „Bürgel Wirtschaftsinformationen“ hatte auf eine Bonitätsanfrage einer Online-Firma hin dieser – allein anhand der Wohnanschrift einer Kundin – deren Scorewert übermittelt. Dem Unternehmen aus Hamburg lagen keinerlei Auskünfte über die Kundin vor. Dennoch ermittelte Bürgel ihren Scorewert einzig und alleine über die Wohnanschrift. Nach dieser Geoscoring-Methode wird die Bonität nur aus der Zahlungsmoral der Nachbarn hergeleitet.
Seit einer Änderung des Bundesdatenschutzgesetzes im April 2010 ist ein solches Vorgehen allerdings untersagt. § 28b BDSG besagt, dass eine Bonitätsberechnung ausschließlich auf Grundlage der Anschriftendaten unzulässig sei (sogenanntes Geoscoring).
§ 28b BDSG„Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn […]3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden […].“
§ 28b BDSG
„Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden
Der Hamburgische Datenschutzbeauftragte Johannes Caspar sah in dem Vorgehen von Bürgel einen klaren Verstoß gegen die gesetzlichen Vorgaben zur Ermittlung von Scoring-Werten bei der Prüfung der Bonität. Bürgel habe die Kreditwürdigkeit der Kundin allein auf Grundlage von Geoscoring errechnet, und keinerlei personenbezogener Daten in die Berechnung mit einbezogen.
Als Einwand brachte das Unternehmen entgegen, dass sie der Online-Firma mitgeteilt habe, dass die Kundin dem Unternehmen nicht bekannt sei. Also wurden auch gar keine persönlichen Daten übermittelt. Allerdings überzeugte dieser Einwand weder den Datenschutzbeauftragten, noch das Hamburger Amtsgericht (Beschluss v. 16.03.2017, Az.: 233 OWi 12/17). Das Unternehmen habe rechtswidrig die personenbezogenen Daten mit einem rechtswidrig errechneten Scoringwert verbunden. Allein dies begründe einen Datenschutzverstoß.
Die Beschwerde Bürgels aufgrund des Geoscoring-Verstoßes wird wohl keinen großen Erfolg haben. Laut Caspar sei
das Urteil des Amtsgerichts konsequent und entspreche den klaren gesetzlichen Vorgaben, die auch künftig weiterhin gelten werden. Die Datenschutz-Grundverordnung wird ab dem 25. Mai 2018 den Bußgeldrahmen um ein Vielfaches erhöhen. Es ist insoweit zu erwarten, dass durch die weit wirksamere Abschreckung derartige Verfahren in Zukunft nicht mehr zu führen sind.
In einem Vorabentscheidungsverfahren hat der EuGH mit Urteil vom 09. März 2017 (Az.: C-398/15) entschieden, dass ein Gesellschafter keinen Anspruch auf „Vergessenwerden“ für die im Gesellschaftsregister eingetragenen personenbezogenen Daten hat. Auch dann nicht, wenn die Gesellschaft seit Jahren nicht mehr existiert.
Ein italienischer Geschäftsmann hatte in erster Instanz vor den nationalen Gerichten geklagt. Er rügte, dass seine personenbezogenen Daten auch nach Jahren noch im Gesellschaftsregister aufzufinden seien, obwohl sein Unternehmen nicht mehr existiere.
Herr Salvatore Manni war Gesellschafter eines Immobilienunternehmens, welches 1992 Insolvenz anmelden musste und 2005 schließlich liquidiert wurde. Seine damals beim Gesellschaftsregister eingetragenen Daten sind heute noch für Dritte abrufbar.
Der Unternehmer war der Ansicht, dass die noch verfügbaren personenbezogenen Daten im Gesellschaftsregister schädlich für seine aktuellen Geschäfte seien. Einige seiner Immobilienverkäufe in der Gegenwart seien aufgrund dessen geplatzt. Die Zugänglichmachung der personenbezogenen Daten verstoße gegen die durch die Charta der Grundrechte der Europäischen Union garantierten Rechte auf Achtung des Privatlebens und den Schutz personenbezogener Daten.
In erster Instanz obsiegte er, der Kassationsgerichtshof (Corte suprema di cassazione) ersuchte allerdings im Kassationsbeschwerdeverfahren ein Vorabentscheidungsverfahren beim EuGH.
Primär beschäftigte sich der europäische Gerichtshof mit der Frage, ob ein Löschungsanspruch zumindest dann bestehe, wenn die Gesellschaft seit längeren Jahren nicht mehr existiere.
Im Rahmen dessen stellte der EuGH zunächst den Zweck der Eintragung der personenbezogenen Daten dar. Die Offenlegung der Daten aus den Gesellschaftsregistern soll die Rechtssicherheit in den Beziehungen zwischen den Gesellschaften und Dritten sicherstellen. Gerade die Interessen Dritter gegenüber Aktiengesellschaften und Gesellschaften mit beschränkter Haftung seien zu schützen. Grund dafür sei, dass die Unternehmen lediglich mit ihrem Gesellschaftsvermögen haften, was durchaus geringer sein kann als die Haftungssumme selbst.
Auch mehrere Jahre später bestehe das Interesse eines Dritten an detaillierten personenbezogenen Daten seines Geschäftspartners. Nach Ansicht des Gerichtshofs sei der Eingriff in die Grundrechte der betroffenen Personen nicht unverhältnismäßig. Im Gesellschaftsregister werde nur eine begrenzte Zahl personenbezogener Daten preisgegeben. Zudem hat sich die betroffene Person bei Eintragung in das Register dazu entschieden, seine Daten im Zusammenhang mit der nur beschränkt haftenden Gesellschaft offenzulegen.
Der EuGH schließt aber nicht per se aus, dass die personenbezogenen Daten in bestimmten Fällen schutzwürdig seien. Daher hält er eine zeitliche Einschränkung des Zugangs zu den personenbezogenen Daten nach Auflösung der Gesellschaft für ausreichend. Der Zugang müsse auf diejenigen beschränkt werden, die ein besonderes Interesse an der Einsichtnahme in die personenbezogenen Daten nachweisen.
Eine solche Zugangsbeschränkung müsse allerdings das Ergebnis einer Einzelfallprüfung sein. Es bleibe die Sache jedes Mitgliedstaats zu entscheiden, ob eine solche Zugangsbeschränkung in seiner Rechtsordnung erwünscht sei.
Im Falle des Herrn Salvatore Manni rechtfertige allein die Tatsache, dass sich die Immobilien nicht veräußern lassen, weil potenzielle Käufer Zugang zu den personenbezogenen Daten haben, nicht die Zugangsbeschränkung zu seinen Daten. Das Informationsinteresse der mutmaßlichen Käufer überwiege.
Mit dem Urteil vom 19.10.2016 entschied das Landgericht Berlin (Az.: 35 O 200/14), dass eine Überwachung des eigenen Grundstücks grundsätzlich zulässig sei. Eine Überwachung sei nur dann unzulässig, wenn die Kamera eindeutig nur auf das Nachbargrundstück ausgerichtet sei.
Nachdem ein Stück Rasen auf dem Grundstück eines Hauseigentümers beschädigt worden war, brachte dieser zwei Überwachungskameras an seinem Wohnhaus an. Obwohl die Kamera nur auf das Grundstück des Hauseigentümers gerichtet war, fühlte sich sein Nachbar in seinem allgemeinen Persönlichkeitsrecht beeinflusst. Er wandte sich mit einer Klage auf Unterlassung und Schadensersatz an das Landgericht Berlin. Bereits vor dieser Klage war das Nachbarverhältnis durchaus zerrüttet, die Installation der Kameras habe aber das Fass zum Überlaufen gebracht.
Durch die Installationsart und das äußere Erscheinungsbild der Videokamerainstallation erzeuge es beim Nachbarn den Eindruck, die Kamera erfasse sein Grundstück, die Wohnräume, sowie alle verkehrenden Personen.
Das Landgericht wies die Klage des Nachbarn in allen Punkten ab. Zwar verletze die Überwachung mittels einer Kamera grundsätzlich das allgemeine Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG in seiner Ausprägung als Grundrecht auf informationelle Selbstbestimmung. Jedoch sei ein Unterlassungsanspruch des betroffenen Nachbars nur unter den zusätzlichen Voraussetzungen des § 1004 BGB analog zulässig:
„Dieser Anspruch setzt allerdings voraus, dass tatsächlich eine Überwachung stattfindet oder dass eine solche zumindest zu befürchten ist, denn eine Videoüberwachung, die sich auf den eigenen privaten Bereich der überwachenden Person beschränkt, ist grundsätzlich zulässig“
Dem Nachbarn gelang kein Nachweis, dass die Videokamera ausschließlich auf sein Grundstück ausgerichtet gewesen sei. Bei der vom Hauseigentümer vorgebrachten Einstellung der Kameras kann der Nachbar unzweifelhaft nicht beobachtet werden, sodass eine Verletzung des Persönlichkeitsrechts ausscheide.
Auch konnte der Nachbar im Prozess nicht darlegen, dass die Kamera in der Vergangenheit anders ausgerichtet gewesen sei. Der hinzugezogene Sachverständige bestätigte anhand von Fotos, dass sich die Kameraposition damals so wie heute die gleiche sei. Die Verschraubung an der Kamera habe sich während der gesamten Zeit nicht verändert.
Die Überwachung des eigenen Grundstücks ist nach wie vor ein altbekanntes Problem, mit dem sich die Gerichte immer wieder beschäftigen dürfen.
Grundsätzlich gilt, dass die Überwachung des eigenen Grundstücks zulässig ist. Dennoch können besondere Interessenabwägungen im Einzelfall ergeben, dass ein Unterlassungsanspruch besteht; auch dann wenn das Nachbargrundstück gar nicht erfasst wird. Beispielsweise wenn besondere Umstände vorliegen die bestätigen, dass eine Videoüberwachung des Nachbarn in Zukunft ernsthaft zu erwarten ist.
Durch den Online-Dienst „Werbestopper.de“ soll durch einige wenige Klicks erreicht werden, was so mancher „Keine Werbung“-Aufkleber nicht zu erreichen vermag. Dies könnte der GDVI zum Verhängnis werden. Nun klagt sogar die Wettbewerbszentrale.
Werbestopper.de ist ein Online-Service der Gesellschaft zur Durchsetzung von Verbraucher-Interessen GmbH (GDVI). Sie verspricht, dass lästige und unerwünschte Papierwerbung dem Briefkasten fernbleibt; sozusagen ein Adblocker für die analoge Welt.
Auf werbestopper.de kann sich der Verbraucher mit vollem Namen sowie Wohn- und E-Mailadresse kostenlos registrieren. Anhand der Postleitzahl ermittelt der Online-Dienst sodann alle potentiell in Betracht kommenden werbenden Unternehmen und erstellt eine Liste, die sogenannte „Blacklist“.
Nun kann der Verbraucher selbst entscheiden, ob all diese aufgeführten Unternehmen vom Werbeverbot erfasst sein sollen. Alternativ kann man aus der Liste auch sogenannte „Wunschwerbung“ zulassen und demnach einzelne Unternehmen vom Werbeverbot auszunehmen. Diese Unternehmen werden dann auf die „Whitelist“ gesetzt.
Laut Ziffer 2 lit. a) Absatz 2 der AGB auf Werbestopper.de übermittelt der Service „Werbestopper“ sodann die Werbeverbote an die ausgewählten Unternehmen als Erklärungsbote.
Gleichzeitig ist im Service eine kostenlose Vermittlung an Kooperationsanwälte der GDVI enthalten, falls die Unternehmen sich dem übermittelten Widerspruch widersetzen.
GDVI wird dem Nutzer im Falle der „Verstoßmeldung“ gegebenenfalls den Kontakt zu einem Kooperationsanwalt der GDVI vermitteln, den der Nutzer dann mit der rechtlichen Durchsetzung seines Werbeverbotes beauftragen kann. Der Nutzer willigt ein, zu diesem Zweck kontaktiert zu werden. Er kann seine Einwilligung jederzeit widerrufen.
Ob diese Vermittlung der Rechtsanwälte rechtlich haltbar ist, lassen wir einmal mit einem großen Fragezeichen dahinstehen. Diese vermittelten Rechtsanwälte jedenfalls sollen sodann mit der rechtlichen Durchsetzung des Werbeverbots durch den Kunden beauftragt werden können. Sie versenden an die jeweiligen Unternehmen Abmahnungen mit fragwürdigen Gegenstandswerten und der Aufforderung zur Abgabe einer strafbewehrten Unterlassungserklärung.
Zwar übermittelt die GDVI die Werbeverbote an die jeweiligen Unternehmen. Jedoch lässt sich durch solch ein Schreiben nicht die notwendige Legitimation erblicken. Gemäß § 174 BGB bedarf ein einseitiges Rechtsgeschäft, das der Bevollmächtigte gegenüber einem anderen vornimmt, der Vorlage einer Vollmachtsurkunde.
Dass die GDVI laut AGB nur als Erklärungsbote und nicht als Bevollmächtigte fungieren will, ist insoweit wohl eher unerheblich. Auf die Botenbestellung findet das Erfordernis der Vorlage einer solchen Urkunde entsprechend Anwendung. Dabei ist es insbesondere kritisch zu hinterfragen, ob mit der bloßen Online-Registrierung diese Form eingehalten wurde.
Gerade da die bloße Eingabe der Daten ausreicht und insofern nicht sichergestellt werden kann, ob dies auch wirklich von der dort angegebenen Person erfolgt – geschweige denn, dass die GDVI nachträglich die notwendigen Informationen selbst noch bestätigt – ist das bisherige Vorgehen rechtlich zumindest zweifelhaft.
Erst auf den zweiten Blick und unter genauer Betrachtung der AGB sowie der Datenschutzerklärung wird deutlich, dass die auf Werbestopper.de angegebenen persönlichen Daten nicht nur auf der Seite verbleiben, sondern an Dritte (direkt) weitergegeben werden.
Zu einem erhalten die Daten die Kooperationsanwälte der GDVI sowie auch „Dritte“. Die Daten werden u.a. an die Reachsome AG mit Sitz in der Schweiz weitergeleitet, um in eine sogenannte Werbeverbot-Datenbank aufgenommen zu werden. Was aber genau damit gemeint ist, lässt sich nicht aus der Datenschutzerklärung entnehmen.
Bedenkt man, dass ein „Keine Werbung“-Aufkleber zumindest die selbe rechtliche Relevanz hat wie die Übermittlung der Werbeverbote durch Werbestopper.de an die Unternehmen, ohne dass dabei eine Weitergabe persönlicher Daten erfolgt, könnte man das „altruistische“, da kostenlose Anbieten der Dienstleistung der GDVI durchaus kritisch hinterfragen.
Darüber hinaus soll der Verbraucher zu folgendem einwilligen:
Erlaubnis zur E-Mail-Werbung: „Ich bin damit einverstanden, dass die GDVI mich per E-Mail über ihre Leistungen und Angebote informiert.“
Hier tauscht man also die analoge Werbung anderer gegen E-Mailwerbung der GDVI aus, wenn der Verbraucher nicht widerspricht.
Ob Werbestopper.de eine Geschäftsidee ist, die sich zukünftig etablieren wird, bleibt abzuwarten. Die allgemeine Resonanz im Internet fällt jedoch negativ ins Gewicht. Die Skepsis überwiegt.
In einer Pressemitteilung vom 10.11.2016 gab die Wettbewerbszentrale bekannt, dass sie gegen die GDVI aufgrund des Online-Dienstes Werbestopper.de ein Abmahnverfahren führe. Begründet wird dies mit irreführenden Werbeaussagen sowie Verstößen gegen geltendes Datenschutzrecht. Demnach seien aus Sicht der Wettbewerbszentrale die Werbewidersprüche rechtlich nicht wirksam. Die insoweit beworbene Leistung könne somit gar nicht ausgeführt werden. Die Weitergabe personenbezogener Daten in die Schweiz stelle darüber hinaus einen Verstoß gegen das Bundesdatenschutzgesetz dar, da der Zweck und die spätere Nutzung der Daten unklar sei.
Für ein Unternehmen, dass selbst damit wirbt, andere Unternehmen abmahnen zu lassen, wirkt die an sie gerichtete Abmahnung wie ein Schlag ins Gesicht und konterkariert dadurch das eigene Vorgehen. Auch wir halten das Vorgehen der GDVI für mehr „Schein“ als „Sein“. Die Ansicht der Wettbewerbszentrale ist daher völlig nachvollziehbar. Hier werden Verbraucher mit Versprechen zu einer Firma angelockt, die in unseren Augen und nach Ansicht der Wettbewerbszentrale rechtlich fragwürdig agiert und es zudem fraglich ist, ob die Versprechen rechtlich überhaupt eingehalten werden können. Das Verfahren mit der Wettbewerbszentrale ist daher sehr interessant und wir werden über den Ausgang berichten.
Das OLG Köln zeigt sich mit seinem Urteil vom 11. März 2016 (Az.: 6 U 121/15) datenschutzfreundlich. Es nimmt mit dem Fehlen einer Datenschutzerklärung jedenfalls dann einen abmahnfähigen Wettbewerbsverstoß an, wenn auf der Internetseite ein Kontaktformular bereitgehalten wird.
Gegen diese Schutzvoraussetzung wird nach Ansicht des OLG Köln verstoßen, wenn trotz des Bereithaltens eines Kontaktformulars nicht in der Datenschutzerklärung darüber informiert werde, dass der Nutzer seine Einwilligung mit der Speicherung und Verwendung seiner Daten widerrufen könne.
Der Datenschutz ist längst zum zentralen Thema der heutigen Zeit geworden. Die zunehmende Menge an zu verarbeitenden Daten zwingt den Gesetzgeber und die Rechtsprechung zu strengen Regelungen. Die Stimme für mehr Transparenz im Umgang mit Daten wird stets lauter.
Wettbewerber sind aus diesem Grund verpflichtet, ihre Kunden zu informieren wie und vor allem in welchem Umfang mit den erworbenen Daten umgegangen wird. Diese Maßnahme schützt die Daten der Kunden und gilt für alle Wettbewerber in gleichem Umfang.
Nach Ansicht des OLG Köln handelt es sich beim Fehlen einer solchen Erklärung aber nicht nur um einen datenschutzrechtlichen Verstoß sondern vor allem auch um einen Wettbewerbsverstoß. Dies bedeutet, dass das Gericht in der fehlenden Datenschutzerklärung einen Nachteil für Konkurrenten als gegeben ansah. Konkret begründet das Gericht seine Erwägungen mit einem Verstoß gegen § 4 Nr. 11 UWG (a.F.) in Verbindung mit § 13 TMG.
Aus § 4 Nr. 11 UWG (a.F.) geht hervor, dass eine wettbewerbswidrige Handlung gegeben ist, sofern gegen eine das Marktverhalten regelnde Norm verstoßen wird. Darunter versteht man alle Normen, die das Verhalten von Marktteilnehmern auf dem Markt regeln. Diese Normen stellen ein Grundgerüst dar, welches für alle Mitbewerber in gleichem Umfang gilt.
Als entsprechende Marktverhaltensregelung zieht das OLG Köln in seiner Urteilsbegründung § 13 TMG heran. Die Vorschrift diene nach Auffassung des Gerichts auch dem Schutz der Interessen der Mitbewerber und sei damit eine Regelung i.S. des § 4 Nr. 11 UWG (a.F.), die dazu bestimmt sei, das Marktverhalten im Interesse der Marktteilnehmer zu regeln.
Der Verstoß hiergegen (im vorliegenden Fall die Unterrichtung der Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten) stelle somit einen Wettbewerbsverstoß dar.
Das Fehlen der entsprechenden Informationen ist auch geeignet, die Interessen von Verbrauchern und Mitbewerbern iSd § 3a UWG spürbar zu beeinträchtigen. Unstreitig ist gerade der Verbraucher im Internet schutzwürdig. Er hat ein berechtigtes Interesse daran, wie mit seinen Daten verfahren wird.
Bekommt der Verbraucher hingegen keinerlei Informationen über die Verwendung, so kann dies zu Fehlvorstellungen führen und sein Handeln beeinflussen. Er gibt seine Daten schneller und bedenkenloser preis und riskiert damit eine undurchsichtige Nutzung.
Die Entscheidung schließt sich einer Reihe anderer Entscheidungen (u.a. LG Köln, LG Düsseldorf) an und zeigt wieder einmal, welche große Rolle der Datenschutz spielt. Wer sich als Wettbewerber nicht an die Vorschriften hält, der riskiert Abmahnungen und Klagen. Diese sind nicht nur zeitaufwendig sondern auch durchaus kostspielig.
Mit Urteil vom 09. März 2016 (Az.: 12 O 151/15) hat das Landgericht Düsseldorf die Nutzung des sog. „Page-Plugins“ von Facebook in der jetzigen Form als unzulässig erachtet. Das Urteil geht über den Einzelfall hinaus und eröffnet eine neue Gefahr für Abmahnungen.
Ein Modehaus hatte auf seiner Homepage das sog. „Page-Plugin“ von Facebook eingebunden und wurde daraufhin von einem Verbraucherverband abgemahnt . Das Plugin zeigt den Like-Button, die Anzahl der Facebook-Fans sowie deren Profilbilder an.
Das Gericht sah in der Nutzung des Plugins einen Verstoß gegen § 13 TMG. Durch das Page-Plugin würden personenbezogene Daten ohne Kenntnis der Nutzer an Facebook übertragen. Das Gericht hat dabei insbesondere auch die IP-Adresse der Nutzer als personenbezogenes Datum angesehen.
Der Betreiber habe über die Zwecke, nämlich Werbung und entsprechende Analysen durch Facebook, nach Ansicht des Gerichts nicht hinreichend aufgeklärt. Problematisch war insbesondere auch, dass Facebook die Daten automatisch mit dem Besuch der Seite sammelt. Nicht nur von Facebook-Nutzern, sondern von allen Besuchern der Homepage. Dies geschieht etwa über das Setzen von sog. Cookies beim Nutzer.
Auch wenn das Urteil selbst sich nur auf das sog. „Page-Plugin“ von Facebook bezieht, so ergibt sich aus der Begründung doch eine deutlich größere Reichweite.
Die maßgebliche Problematik, die Übertragung von personenbezogenen Daten der Nutzer an Dritte, geschieht nicht nur beim Page-Plugin. Dies betrifft darüber hinaus auch den Like-Button, eingebettete Facebook-Postings und Videos, andere Social-Plugins sowie den Conversion Pixel. Und natürlich betrifft diese Problematik nicht nur Facebook, sondern auch gleichartige Plugins von anderen Firmen wie Google, YouTube und Twitter. Jeder Einzelfall erfordert eine Prüfung auf mögliche Datenübertragungen.
Die für Webseitenbetreiber nun wohl dringendste Frage lautet eindeutig, wie man sich vor Abmahnungen schützen kann.
Die radikale Möglichkeit wäre zunächst der Verzicht auf jegliche Plugins, die Daten an Dritte übermitteln. Dies wird vielfach nicht im Interesse der Webseitenbetreiber sein.
Als weitere Möglichkeit ließe sich eine Vorschaltseite aufführen. Der Nutzer erfährt vor dem eigentlichen Betreten der gewünschten Webseite von den genutzten Plugins und der Datenverarbeitung. Erst nach einer ausdrücklichen Einwilligung würde der Nutzer zur eigentlichen Hauptseite weitergeleitet werden. Dies ist keine wünschenswerte Lösung für Webseitenbetreiber. Nutzer werden abschreckt und halten sich womöglich von der Webseite fern.
Einen Mittelweg könnte die sog. Zwei-Klick-Lösung darstellen. Hierbei werden zunächst nur Grafiken angezeigt, nicht aber das eigentliche Plugin. Eine Datenübertragung findet noch nicht statt. Erst nachdem der Nutzer die Grafik ansteuert, erscheint ein Hinweis über die Datennutzung. Ein weiterer Klick aktiviert die eigentlichen Plugins.
Diese Lösung wird zwar allgemein noch für sicher gehalten, es verbleibt aber auch dabei ein Restrisiko. Ein weiteres Problem: für das Page-Plugin gibt es bisher keine Zwei-Klick-Lösung.
An dem Urteil gibt es durchaus auch aus rechtlicher Sicht Bedenken. So hat das LG Düsseldorf nicht ausreichend begründet, warum deutsches Recht anwendbar sein soll. Hier wurde lediglich pauschal darauf abgestellt, dass durch das Einbetten des Page-Plugins die Erhebung und Verwendung der Daten durch Facebook „ermöglicht“ werde. Diese „Ermöglichung“ ist aber keine der in § 3 Abs. 7 BDSG genannten Voraussetzungen für eine datenschutzrechtliche Verantwortung.
Das Landgericht folgt zudem der sehr strengen Ansicht, dass es sich bei der IP-Adresse um personenbezogene Daten handeln würde (sog. „absolute Theorie“). Der Accessprovider könnte den Nutzern hinter der IP-Adresse ermitteln. Die Bundesregierung vertritt bislang die gegenteilige Auffassung (sog. „relative Theorie“) und auch der BGH hielt sich bislang zurück, was diese Frage angeht. Allerdings hat sich der BGH kürzlich fast beiläufig für die absolute Theorie ausgesprochen (Urteil v. 26.11.2015 – I ZR 3/14, I ZR 174/14) und erklärt:
Personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind unter anderem die IP-Adressen, weil der Access-Provider einen Bezug zwischen den IP-Adressen und der Person des Nutzers herstellen kann.
Das letzte Wort ist allerdings noch nicht gesprochen. Mit Spannung darf die Entscheidung des EuGH abgewartet werden.
Das Urteil des LG Düsseldorf ist also durchaus angreifbar und bislang nicht rechtskräftig. Dennoch steigt bereits jetzt die Gefahr von Abmahnungen unter Berufung auf dieses Urteil. Nicht zuletzt, weil Datenschutzverstöße zunehmend eine beliebte Abmahnmöglichkeit für Wettbewerber bieten.
Bei dem vom LG Köln zu entscheidenden einstweiligen Verfügungsverfahren hatte die Antragstellerin unter anderem eine fehlende Datenschutzerklärung auf den Internetseiten der Antragsgegnerin bemängelt.
Das Gericht kam zu dem Entschluss, dass eben dieses Fehlen wettbewerbswidrig sei und somit abgemahnt werden könne. So verpflichtete das Gericht die Antragsgegnerin dazu, es zu unterlassen,
auf den Internetseiten der Domain www.anonym.de keine Datenschutzerklärung i.S.d. § 13 TMG zu platzieren.
§ 13 TMG besagt, dass der Diensteanbieter den Nutzer über über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten hat. Die Vorschrift fordert aber nicht ausdrücklich die Form einer Datenschutzerklärung.
Das Gericht griff zwar auf die auch zuvor im Bereich des Wettbewerbsrechts genutzte Marktverhaltensregel des § 13 TMG zurück (vgl. OLG Hamburg, 27.06.2013 – 3 U 26/12), konkretisierte sie aber, indem es die Vorhaltung einer Datenschutzerklärung verlangte.
Eine Begründung ist dem Beschluss des LG Köln nicht zu entnehmen. Fest steht aber, dass man als Internetseitenbetreiber die datenschutzrechtlichen Vorschriften nicht ignorieren sollte. Wie auch bei fehlerbehaftetem oder fehlendem Impressum drohen bei fehlender, nicht korrekter oder unvollständiger Datenschutzerklärung Abmahnungen.
Hinzu kommt, dass am 24.02.2016 das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft getreten ist.
Auf dessen Grundlage wird der Umfang des „Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen“ (UKlaG) erweitert. Das Gesetz erlaubt Interessenverbänden, Verbraucherschutzverbänden und den Industrie- und Handelskammern, gegen verbraucherschutzwidrige Vorgänge auf Unterlassung zu klagen. Ziel ist dabei der Schutz des Rechtsverkehrs.
Zu den verbraucherschützenden Normen zählen nun auch Vorschriften, die die Erhebung, Verarbeitung und Nutzung personenbezogener Daten regeln. Durch diese Erweiterung kann nicht ausgeschlossen werden, dass Verbände zukünftig verstärkt Abmahnungen wegen fehlerhafter Datenschutzerklärungen versenden.
Wearables sind als moderne Form der Sensordatenerhebung nun auch im Beschäftigtenverhältnis angekommen. Sowohl für Arbeitnehmer als auch Arbeitgeber gibt es allerdings einiges zu beachten.
BGH: Dynamische IP-Adressen gehören zu den personenbezogenen Daten und dürfen nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden.
Bußgelderlass des Datenschutzbeauftragten bestätigt. Schufa-Konkurrent Bürgel muss 15.000 Euro Bußgeld wegen Geoscoring zahlen.
Europäischer Gerichtshof: Gesellschafter haben keinen Anspruch auf die Löschung ihrer personenbezogenen Daten aus dem Gesellschafts- oder Handelsregister.
Ein Unterlassungsanspruch aufgrund von Videoüberwachung durch den Nachbarn setzt eine tatsächlich vorangegangene oder zu befürchtende Überwachung voraus.
Mit Werbestopper.de geht die GDVI einen neuen Weg. Schnell und unkompliziert soll lästige Briefkastenwerbung verschwinden – doch wie sieht’s rechtlich aus?
Das Fehlen einer Datenschutzerklärung trotz bestehendem Kontaktformular auf der Internetseite eines Unternehmens stellt einen Wettbewerbsverstoß dar.
Das LG Düsseldorf erklärt Facebooks „Page-Plugin“ für rechtswidrig. Eine neue Gefahrenquelle für Abmahnungen ist geschaffen.
Das LG Köln hat entschieden, dass das Fehlen einer Datenschutzerklärung i.S.d. § 13 TMG einen abmahnfähigen Wettbewerbsverstoß darstellen kann (Beschluss vom 26.11.2015, Az.: 33 O 230/15).
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.
Alle akzeptieren
Speichern
Nur essenzielle Cookies akzeptieren
Individuelle Datenschutzeinstellungen
Cookie-Details Datenschutzerklärung Impressum
Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.
Alle akzeptieren Speichern
Zurück Nur essenzielle Cookies akzeptieren
Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.
Cookie-Informationen anzeigen Cookie-Informationen ausblenden
Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.
Inhalte von Videoplattformen und Social-Media-Plattformen werden standardmäßig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner manuellen Einwilligung mehr.
Datenschutzerklärung Impressum
