Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

diesen Monat feiert die DSGVO ihren „ersten Geburtstag“! Die aktuelle Ausgabe unseres Datenschutz-Newsletters ist ebenfalls eine Jubiläumsausgabe: In unserem Datenschutz-Newsletter informieren wir nunmehr seit vier Jahren über aktuelle Neuigkeiten und Urteile zum Thema Datenschutz sowie Aktivitäten der Aufsichtsbehörden. Parallel befassen wir uns – ebenfalls seit über vier Jahren – jeden Monat in einem Schwerpunktthema mit ausgewählten, praxisrelevanten Datenschutzthemen.  

Mit fortschreitender Zeit entwickelt sich auch unser Datenschutz-Newsletter fort. Seit der ersten Ausgabe unseres Newsletters vor vier Jahren haben sich sowohl der durchschnittliche Umfang des Newsletters als auch der Umfang der Schwerpunktthemen stetig verlängert.

Wie wir bereits im vergangenen Monat angekündigt haben, planen wir auch zukünftig die Weiterentwicklung unseres Newsletters. Deswegen werden wir in unseren Schwerpunktthemen ab dieser Ausgabe auch verstärkt Einzelfälle aus unserer Beratungspraxis oder relevante Urteile zu datenschutzrechtlichen Fragen aufgreifen.

Diesen Monat befassen wir uns im Rahmen des Schwerpunktthemas mit einem aktuellen Urteil des Berliner Kammergerichts. Das Kammergericht hat Ende März 2019 umfangreiche Teile der Datenschutzerklärung und sonstigen Nutzungsbedingungen des amerikanischen Suchmaschinenanbieters Google für rechtswidrig erachtet. Als Prüfungsmaßstab zog das Kammergericht die DSGVO heran. Wir fassen für Sie die wesentlichen Erkenntnisse aus der Entscheidung zusammen und erläutern die maßgeblichen datenschutzrechtlichen Erwägungen des Kammergerichts, die zukünftig bei der Gestaltung von Datenschutzerklärungen berücksichtigt werden sollten.

Daneben berichten wir Ihnen natürlich wie gewohnt auch über andere ausgewählte Neuigkeiten aus der Welt des Datenschutzes.

Wie immer gilt: Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Viel Freude mit der Lektüre unseres Newsletters wünschen Ihnen

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Unwirksamkeit der Datenschutzerklärung von Google,  KG Berlin, Urteil vom 21.03.2019, Az. 23 U 268/13

Die von der Google LLC („Google“) für die verschiedenen Dienste verwendete Datenschutzerklärung ist nach Einschätzung des Kammgerichts Berlin (KG Berlin) zum großen Teil rechtswidrig (Urteil vom 21.03.2019, Az. 23 U 268/13). Die Entscheidung des Gerichts betrifft die Datenschutzerklärung in der Fassung, wie sie von Google 2012 verwendet wurde und bestätigt die Verurteilung von Google in erster Instanz durch das Landgericht Berlin (Urteil vom 19.11.2013, Az. 15 O 402/12). Gegen diese Version war der Bundesverband der Verbraucherzentralen (vzbv) vorgegangen und hatte eine gerichtliche Klärung angestrengt. Das Urteil ist noch nicht rechtskräftig.

Die Entscheidung ist gleich aus mehreren Gründen bemerkenswert. Obwohl der Entscheidung die „alte“ Datenschutzerklärung von Google aus dem Jahr 2012 zugrunde liegt, hat das Gericht als Prüfungsmaßstab auf die Vorgaben der DSGVO zurückgegriffen. Es handelt sich somit um eines der ersten Urteile, in dem die Datenschutzbestimmungen eines großen Anbieters anhand des neuen europäischen Datenschutzrechts überprüft werden (vgl. zur Überprüfung der Bedingungen von Apple Sales International auch KG Berlin, Urteil vom 27.12.2018, Az. 23 U 196/13). Aus den Entscheidungsgründen lassen sich allgemeine Rückschlüsse auf den Prüfungsmaßstab für Datenschutzerklärungen gewinnen. Zugleich ist zu beachten, dass Google einen Teil der untersagten Klauseln in gleicher oder ähnlicher Form weiterhin verwendet, woraus sich eine weitergehende Aktualität der Entscheidung ergibt.

Zum vollständigen Schwerpunktthema

BGH setzt Verfahren gegen Facebook wegen Verstoßes gegen das Datenschutzrecht bis zur Entscheidung des EuGH in Sachen „Gefällt-mir“-Button aus

Der Bundesverband der Verbraucherzentralen (vzbv) führt seit längerem ein Verfahren gegen die in Irland ansässige Facebook Ireland Limited. In erster Instanz war Facebook vom Landgericht Berlin (Urteil vom 28.10.2014, Az. 16 O 60/13) antragsgemäß verurteilt worden, es zu unterlassen, in seinem sozialen Netzwerk in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie „Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das soziale Netzwerk Facebook Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln („posten“). Die Berufung von Facebook vor dem Kammergericht (Urteil vom 22.9.2017, Az. 5 U 155/14) hatte keinen Erfolg. Mit der Revision begehrt die Facebook Ireland Limited die Aufhebung der erstinstanzlichen Entscheidung.

Der Bundesgerichtshof (BGH) hat das Revisionsverfahren nun mit Beschluss vom 11. April 2019 (Az. I ZR 186/17) ausgesetzt, bis der Europäische Gerichtshof (EuGH) in einem anderen Verfahren gegen Facebook (Rechtssache C-40/17) entschieden hat. Der BGH verwies insoweit darauf, dass der EuGH in der Rechtssache C-40/17 bereits mit der Frage befasst sei, inwieweit Verbraucherschutzverbände auch Datenschutzverletzungen abmahnen dürfen.

In der Rechtssache C-40/17, in der BRANDI die Verbraucherzentrale NRW e.V. vertritt, geht es vornehmlich um die Zulässigkeit des „Gefällt-mir“-Buttons von Facebook. In der ersten Instanz hatte das Landgericht Düsseldorf (Urteil vom 09.03.2016, Az. 12 O 151/15) die Auffassung vertreten, dass Verbraucherschutzverbände Datenschutzverletzungen abmahnen dürfen und dass die Nutzung des Gefällt-mir-Buttons von Facebook ein Verstoß gegen das Wettbewerbsrecht sei.

In der Berufung hatte das Oberlandesgericht Düsseldorf den Fall dem EuGH mit Beschluss vom 19.01.2017 (Az. I-20 U 40/16) vorgelegt. In den Schlussanträgen hat der Generalanwalt beim EuGH am 19. Dezember 2018 die Rechtsauffassung des LG Düsseldorf bestätigt.

Die abschließende Entscheidung des EuGH in der Sache steht kurz bevor. Insoweit ist es nicht ungewöhnlich, dass der BGH in einem vergleichbaren Fall zunächst die Entscheidung des EuGH abwartet. Dies ist in § 148 Abs. 1 der Zivilprozessordnung ausdrücklich vorgesehen. Der Beschluss des BGH unterstreicht aber die generelle Bedeutung des Verfahrens „Gefällt-mir“-Button vor dem EuGH. Die Entscheidung des EuGH wird maßgeblich beeinflussen, inwieweit Verbraucherschutzverbände die datenschutzrechtlichen Interessen von Verbrauchern durchsetzen können.

Datenschutzbehörde Österreich: Keine Einwilligung in unverschlüsselte Übermittlung von Gesundheitsdaten möglich

Die Österreichische Datenschutzbehörde hat im vergangenen Jahr eine Allergie-Tagesklinik datenschutzrechtlich überprüft. Durch den Bescheid vom 16.11.2018, der im Nachgang zu der Prüfung von der Behörde erlassen und nun veröffentlicht wurde, wurde die Klinik verpflichtet, die datenschutzrechtliche Dokumentation auszubauen und diverse andere Mängel in der Umsetzung des Datenschutzes zu beheben. Aus den Erwägungen der Behörde, die dem Bescheid zugrunde liegen, lässt sich insbesondere ein Aspekt als hinweiswürdig herausgreifen:

Die Tagesklinik hatte versucht, eine wirksame Einwilligung der Patienten einzuholen, in der diese der unverschlüsselten Übertragung ihrer Gesundheitsdaten an Dienstleister der Klinik zustimmen. Nach Auffassung der österreichischen Datenschutzbehörde ist die Einholung einer Einwilligung in die unverschlüsselte Übermittlung von Gesundheitsdaten aber schon prinzipiell nicht datenschutzkonform möglich. Im konkreten Fall gehe es dem Krankenhaus nämlich nicht darum, eine Rechtsgrundlage für die Übermittlung der Daten zu schaffen, sondern vielmehr die technischen Schutzvorgaben des Art. 32 DSGVO abzubedingen. Aus Art. 32 DSGVO ergibt sich, dass Unternehmen technische und organisatorische Maßnahmen zum Schutz der von ihnen verarbeiteten Daten ergreifen müssen. Von dieser rechtlichen Pflicht könne auch nicht durch eine Einwilligung des Betroffenen abgewichen werden. Mit anderen Worten: Durch eine Einwilligung kann lediglich beeinflusst werden, „ob“ eine Datenverarbeitung zulässig ist, nicht aber „wie“ diese durchzuführen ist. Diese Auffassung dürfte in der Sache zutreffend sein. Anders wäre die Bewertung wohl im Hinblick auf den Datenaustausch mit dem Betroffenen selbst, da insoweit der Betroffene die Entscheidungshoheit haben muss, ob er – etwa im Rahmen der Bearbeitung eines Auskunftsanspruchs – auf einen besonderen Schutz verzichtet.

Da die Datenschutzbehörden in Europa gemäß den Erwägungsgründen 123, 135 DSGVO das Datenschutzrecht möglichst einheitlich anwenden sollen, haben die rechtlichen Bewertungen der österreichischen Datenschutzbehörden auch potenziell Auswirkungen auf die deutschen Aufsichtsbehörden. Allen Unternehmen, die maßgeblich mit Gesundheitsdaten arbeiten, ist deswegen zu raten, bei der Übermittlung geeignete Sicherheitsmaßnahmen gemäß Art. 32 DSGVO wie beispielsweise Verschlüsselungen zu verwenden.

AG Riesa: Drohnenabschuss zur Wahrung des Persönlichkeitsrechts

Nach Berichten des MDR Sachsen hat das Amtsgericht Riesa (AG Riesa) einen Mann freigesprochen, der im vergangenen Jahr mit einem Luftgewehr über seinem Garten die Drohne eines Nachbarn abgeschossen hatte. Der Nachbar hatte den Schützen wegen Sachbeschädigung an der über 1.500 Euro teuren Drohne angezeigt.

Das Gericht entschied zugunsten des Angeklagten. Dieser hätte davon ausgehen dürfen, dass jemand mit der Drohne Fotos aufnehmen wollte, wodurch das Persönlichkeitsrecht des Angeklagten sowie seiner beiden kleinen Töchter im Garten verletzt worden wäre. Im Rahmen der Selbsthilfe nach § 229 BGB sei der Abschuss mit dem Luftgewehr auch verhältnismäßig gewesen, da dem Angeklagten kein milderes, gleich geeignetes Mittel zur Abwehr der Persönlichkeitsrechtsverletzung zur Verfügung gestanden habe. Eine Flucht in das Haus sei keine Alternative für den Angeklagten gewesen, da die Persönlichkeitsrechtsverletzung durch potenziell bereits erfolgte Fotoaufnahmen verbliebe.

Argumentativ ist diese Begründung des Gerichts bei Zugrundelegung des Sachverhalts, wie er sich aus dem Bericht des MDR Sachsen ergibt, nicht überzeugend. Zuzustimmen ist dem Gericht, dass Persönlichkeitsrechtsverletzungen auch eine Selbsthilfe nach § 229 BGB rechtfertigen können. Der Abschuss einer Drohne birgt unterdessen regelmäßig ganz erhebliche Risiken für Leib und Leben Dritter durch die potenziell herabstürzende Drohne. Zudem dürfte regelmäßig aufgrund der Flughöhe der Drohnen kaum erkennbar sein, welcher Bereich von der Kamera der Drohne überhaupt erfasst ist. Zwar mag ein Täter, der sich irrtümlich für gefilmt hält, durch einen Erlaubnistatbestandsirrtum gerechtfertigt handeln; über die generelle Unverhältnismäßigkeit durch die Gefährdung von Leib und Leben anderer Menschen durch herabstürzende, abgeschossene Drohnen mag dies unterdessen nicht hinweghelfen. Insoweit kann nur gemutmaßt werden, dass die Drohne im Fall des AG Riesa nur wenige Meter über dem Garten des Angeklagten geflogen ist, sodass Schäden Dritter ausgeschlossen waren und der Kamerawinkel der Drohne eindeutig zu bestimmen war. Anders ist die dargestellte Argumentation des AG Riesa nur schwerlich nachvollziehbar.

Datenschutzkonferenz: Orientierungshilfe für Anbieter von Telemedien

Die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzbehörden der Länder und des Bundes, hat eine Orientierungshilfe für Homepagebetreiber veröffentlicht, in der insbesondere auf das Tracking von Internetnutzern eingegangen wird. Die Orientierungshilfe enthält zahlreiche Hinweise zum Tracking von Nutzern auf Basis berechtigter Interessen von Unternehmen und erläutert im Anhang auf drei Seiten überzeugend, warum Tracking-Pixel unter der DSGVO regelmäßig nicht datenschutzkonform verwendet werden können. An anderen Stellen, beispielsweise bezüglich der Nicht-Anwendung des Telemediengesetzes in Deutschland, vermag die Argumentation der DSK unterdessen nicht zu überzeugen.

Bei der Lektüre der Orientierungshilfen der DSK ist – wie gewohnt – zu beachten, dass diese lediglich die unverbindlichen Rechtauffassungen der Aufsichtsbehörden darstellen.

In eigener Sache: Vorstellung von Frau Johanna Schmale

Johanna Schmale unterstützt seit Januar 2018 das BRANDI-Team in Bielefeld als wissenschaftliche Mitarbeiterin im Bereich Datenschutz und IT-Recht.

Sie studierte Rechtswissenschaften an der Universität Bielefeld und belegte den universitären Schwerpunktbereich „Internationaler Handelsverkehr“. Während des Studiums bildete sie sich im spanischen Recht weiter und sammelte während eines Auslandsaufenthaltes praktische Erfahrungen in einer spanischen Rechtsanwaltskanzlei. Von BRANDI und der Stiftung Studienfonds OWL wurde sie während des Studiums im Rahmen des Deutschlandstipendiums gefördert. Aktuell promoviert sie an der Universität Bielefeld zu einem erbrechtlichen Thema.

Johanna Schmale unterstützt das Datenschutz-Team von BRANDI in allen Fragen des Datenschutzrechts.