Ein halbes Jahr DSGVO – Was hat sich geändert? Was hat sich getan?

Heute, am 25.11. ist es so weit: Die DSGVO gilt sechs Monate. In diesem Beitrag wollen wir Ihnen eine kurze Zusammenfassung der wichtigsten Änderungen und Entwicklungen geben, die sich in dieser Zeit ergeben haben. Für weiterführende Informationen verweisen wir Sie gerne auf unsere entsprechenden Beiträge hier im Blog.

Abmahnung von Datenschutzverstößen

Eins der meistdiskutierten und für Händler beunruhigendsten Themen war die Frage danach, ob Verstöße gegen die DSGVO durch Mitbewerber abmahnbar sind. Im Vorfeld und auch noch nach Inkrafttreten der Verordnung hatten viele eine Abmahnwelle befürchtet. Diese ist – möglicherweise aus eigener Unsicherheit bei potenziellen Abmahnern – vorerst ausgeblieben.

Auch sechs Monate später ist diese Frage immer noch nicht einheitlich geklärt. Allerdings sind bereits einige Gerichtsurteile ergangen, die sich mit dieser Angelegenheit beschäftigt haben.

Gerichte uneinig

Bislang haben wir hier im Blog über vier Entscheidungen berichtet. Davon haben zwei Gerichte diese Frage verneint, eins bejaht und ein weiteres mit “es kommt darauf an” beantwortet. Letzteres, das Urteil des OLG Hamburg, ist aufgrund der höheren Instanz vorläufig gewichtiger als die drei übrigen, die jeweils von Landgerichten entschieden wurden.

Hier entschied das Gericht, dass das Ergebnis von einer Einzelfallprüfung abhängt. Demnach ist für jeden Fall gesondert festzustellen, ob es sich bei der verletzten Norm um eine Marktverhaltensregelung iSd. § 3a UWG handelt. Dann wäre nämlich der Anwendungsbereich des UWG eröffnet und einer wettbewerbsrechtlichen Abmahnung – auch durch Mitbewerber – stünde nichts mehr im Wege.

Weiter streitig

Allerdings ist auch dieses Urteil nicht frei von Kritik geblieben. So hat Helmut Köhler (WRP 2018, 1510 (1517)) in einer Anmerkung zu dem Urteil seine schon zuvor prominent vertretene Auffassung untermauert, dass die DSGVO die Anspruchsdurchsetzung abschließend regelt.

Das Thema DSGVO-Abmahnungen bleibt weiter spannend. Das zuletzt ergangene Urteil des LG Wiesbaden, das die Abmahnungen für unzulässig erklärt hatte, ist noch nicht rechtskräftig. Es bleibt abzuwarten, ob sich bald ein weiteres höherinstanzliches Gericht mit der Angelegenheit beschäftigen muss.

Bis auf Weiteres wird allerdings dem Votum des OLG Hamburg die größte Beachtung zu schenken sein.

Gesetz gegen Abmahnmissbrauch

Auch wenn das beabsichtigte Gesetz gegen den Abmahnmissbrauch nicht ausschließlich zur DSGVO gehört, ist es doch durch diese geprägt.

Nachdem wir und weitere Verbände mehrere Jahre dafür gekämpft haben, hat das Bundesministerium für Justiz und Verbraucherschutz in diesem Jahr einen Gesetzentwurf zur Eindämmung von Abmahnmissbrauch vorgelegt.

Auf seinem Weg zum geltenden Recht wurde der Entwurf allerdings noch von der DSGVO aufgehalten. Es wurde nämlich noch diskutiert, ob Verstöße gegen DSGVO-Bestimmungen ausdrücklich in das Gesetz aufgenommen werden sollen.

Ausgang unklar

Das Justizministerium unter Katarina Barley (SPD) lehnte dies bislang ab. “Der Gesetzentwurf beinhaltet einen umfassenden Ansatz gegen missbräuchliche Abmahnungen”, sagte ein Sprecher gegenüber Reuters. “Er gilt für alle Abmahnungen im Wettbewerbsrecht und nicht nur für Abmahnungen wegen Verstößen gegen die DSGVO.”

Dagegen kamen aus dem Lager der CDU Stimmen, die in eine andere Richtungen gingen. Das CDU-geführte Wirtschaftsministerium äußerte, dass geprüft werde, “Sonderregelungen für die Abmahnung datenschutzrechtlicher Verstöße” in den Entwurf aufzunehmen.

Nach unserem Kenntnisstand ist hier noch keine abschließende Entscheidung gefallen. Wir halten Sie auf dem Laufenden.

Kopplungsverbot

Die DSGVO stellt neue Anforderungen an die Freiwilligkeit der datenschutzrechtlichen Einwilligung. Diesbezüglich wurde im Rahmen von Art. 7 Abs. 4 DSGVO darüber diskutiert, ob eine Einwilligung in nicht vertragszweckgebundene Datenverarbeitungen, die zur Bedingung für einen Vertrag gemacht wird, unter der DSGVO gültig ist.

Einige behaupten, die DSGVO kenne ein solches Kopplungsverbot nicht, andere behauptet es gelte absolut.

Verbot bei kostenpflichtigen Verträgen

Der OGH in Österreich hat entschieden, dass zumindest bei kostenpflichtigen Verträgen die Einwilligung keine Bedingung für den Vertragsschluss sein darf. Dies folgerte der Gerichtshof vor allem aus Erwägungsgrund 43 der DSGVO. Dieser besagt, dass die Einwilligung nicht als freiwillig erteilt gilt, wenn die Erfüllung eines Vertrages davon abhängig ist, obwohl dies nicht notwendig wäre.

Bei einer Kopplung der Einwilligung mit einem Vertrag sei daher grundsätzlich davon auszugehen, dass diese nicht freiwillig erteilt wurde, wenn nicht besondere Umstände für die Freiwilligkeit sprechen.

Auch wenn der OGH zum österreichischen Recht entschieden hat, wäre eine Entscheidung zum deutschen Recht wahrscheinlich ähnlich ausgefallen. Zur Sicherheit sollte daher zumindest bei kostenpflichtigen Verträgen auf die Bedingung der Einwilligung verzichtet werden.

Gemeinsame Verantwortlichkeit bei Fanpages

Am 5.6.2018 hat der EuGH entschieden, dass die Betreiber von Fanpages auf Social Media neben den Plattformbetreibern als Verantwortliche iSd. Datenschutzrechts gelten. Sie leisteten durch das Erstellen der Fanpages einen nicht unerheblichen Beitrag Datenverarbeitung.

In der Folge stellten die Datenschutzkonferenz und der LfDI NRW klar, dass der legale Betrieb einer Facebook-Fanpage nur noch möglich ist, wenn Facebook selbst Änderungen vornimmt. Eine eigene Facebook-Datenschutzerklärung des Händlers reicht nicht völlig aus.

Die Entscheidung war zwar noch zu altem Recht ergangen. Wegen der nahezu wortgleichen Definitionen der Verantwortlichkeit ist sie aber ohne Weiteres auf die DSGVO übertragbar.

Harte Kritik von Juristen

In der Fachliteratur hat das Urteil allerdings harte Kritik erfahren. Es sei zu sehr auf den Einzelfall bezogen, realitätsfern und chaotisch. “Insgesamt handelt es sich um ein Urteil, das mehr Fragen aufwirft als es beantwortet” heißt das Résumé zweier Autoren in ihrer Anmerkung.

Der EuGH habe Verantwortungsebenen und pure Tatsachen sowie mögliche Folgen für die Praxis vollkommen unberücksichtigt gelassen, um zum gewünschten Ergebnis zu gelangen, auch wenn dieses auf einer wackeligen rechtlichen und argumentativen Prämisse fuße.

Facebook reagiert

Als Reaktion auf die Entscheidung stellt Facebook seit dem 12. September 2018 die Seite “Page Insights Controller Addendum” zur Verfügung. Diese nimmt Bezug auf die gemeinsame Verantwortlichkeit und legt die jeweiligen Verantwortlichkeiten im Hinblick auf die Verarbeitung von Insights-Daten fest. Damit stellt Facebook also eine Vereinbarung nach Art. 26 DSGVO zur Verfügung.

Facebook übernimmt dabei die primäre Verantwortlichkeit. Allerdings erlegt es auch den Betreibern Pflichten auf: Erhält der Betreiber eine Anfrage einer betroffenen Person hinsichtlich der Verarbeitung von Insights-Daten, soll er sämtliche relevanten Informationen innerhalb von 7 Tagen weiterleiten. Außerdem soll der Betreiber einer Fanpage sicherstellen, dass er eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß der DSGVO hat.

Es bleibt aber weiter unklar, ob die Verarbeitung der Daten überhaupt zulässig ist. Einzig in Betracht kommende Rechtsgrundlagen wären die Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) i.V.m. Art. 7 DSGVO) oder überwiegende Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Auch hier gibt es aber weiter Unklarheiten. Das Ausgangsverfahren ist zur Zeit noch beim Bundesverwaltungsgericht anhängig, sodass eine weitere Entscheidung abzuwarten bleibt.

Erstes Bußgeld verhängt

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt. Nach Angabe der Behörde sei dies das erste DSGVO-Bußgeld in Deutschland. Der Anbieter sei mit “nur” 20.000 € davon gekommen, weil er mit der Behörde umfassend kooperiert habe.

Das Unternehmen hatte im September 2018 eine Datenpanne an die Behörde gemeldet, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren.

Dies zeigt, dass neben Abmahnungen auch Bußgelder ein ganz reales Risiko sind.