Unser Datenschutz-Update im April 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den April 2024.

1. Nachrichten aus der Welt des Datenschutzes

Stellungnahme des EDSA zu „Consent or Pay“-Modellen

Am 17. April hat der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme zu den datenschutzrechtlichen Anforderungen an „Consent or Pay“-Modelle veröffentlicht. Große Plattformen stellen ihre Nutzer:innen vor die Wahl, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbezwecke zuzustimmen oder eine kostenpflichtige Alternative des Dienstes zu nutzen.

Der EDSA befasst sich damit, dass eine datenschutzrechtskonforme Umsetzung der „Consent or Pay“-Modelle nach Art. 7 Abs. 4 DSGVO die Freiwilligkeit der Einwilligung voraussetzt und zeigt sich hier aus nachvollziehbaren Gründen eher streng. Aus den Voraussetzungen folge, dass die geforderten Gebühren nicht so hoch sein dürfen, dass eine freie Entscheidung der Nutzer:innen auszuschließen ist. 

Personenbezogene Daten könnten nicht als handelbare Ware betrachtet werden. Das Grundrecht auf Datenschutz könne dementsprechend nicht zu einem kostenpflichtigen Handelsgut umgewandelt werden. Nach Ansicht des EDSA ist deshalb erforderlich, dass auch eine „gleichwertige“ Alternative zur personbezogenen Werbung angeboten werde. Als Beispiel nennt er Werbung, für die weniger oder gar keine personenbezogenen Daten verarbeitet werden.

Mehr dazu finden Sie hier: Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms

2. Entscheidungen des Monats

LG Passau: Kein Schadensersatz – Zulässige Datenübermittlung in die USA 

Ein interessantes Urteil fällte das Landgericht (LG) Passau am 16. Februar 2024 (Az. 1 O 616/23) zur Frage (Un-)Zulässigkeit der Datenübermittlung in die USA und etwaigen Schadensersatzansprüchen.

Ein Facebook-Nutzer hatte Facebook (Meta) verklagt, nachdem im April 2021 bekannt geworden war, dass bei Meta öffentliche Daten von mehr als 500 Millionen Nutzer:innen gescrapt und anschließend im Internet veröffentlicht worden waren. Auch der Kläger war – zumindest mutmaßlich – davon betroffen. In seiner Klage behauptete er, die Daten seien infolge einer Sicherheitslücke und aufgrund der intransparenten und per default nicht datenschutzfreundlichen Voreinstellungen öffentlich zugänglich gemacht worden. Weiter machte der Kläger geltend:

„…Die Beklagte habe sämtliche personenbezogenen Daten der Klägerseite aus und in Verbindung mit dem klägerischen „f.“-Account in die Vereinigten Staaten von Amerika (USA), insbesondere an die National Security Agency (NSA) zur anlasslosen Überprüfung und Untersuchung weitergeleitet. Dies sei rechtwidrig, da die USA kein der DSGVO entsprechendes Schutzniveau gewährleisten würden. Auch habe die Klagepartei nicht in die Weitergabe ihrer Daten eingewilligt. Inhaltlich würden die in enormer Menge übermittelten Daten praktisch das gesamte soziale Leben des Nutzers abbilden. Dadurch seien bei der Klagepartei erhebliche Ängste und Stress entstanden…“

Die Beklagte machte immateriellen Schadensersatz geltend. 

In erster Instanz wurde dem Kläger teilweise Recht gegeben und beide Parteien gingen in die Berufung. Das LG Passau lehnte nun die Klage vollumfänglich ab. Dabei machte das Gericht einige interessante Feststellungen, u.a. zur zulässigen Datenübermittlung in die USA und zur „Verbindlichkeit“ der Meinung von Aufsichtsbehörden für die Rechtsprechung.

Kein Verstoß wegen der Voreinstellungen

Ein Verstoß gegen Privacy per Default liege nicht vor. Zwar sehen die Voreinstellungen vor, dass Nutzer:innen von allen anderen Facebook-Mitglieder:innen gefunden werden können, dies sei aber Sinn und Zweck des sozialen Netzwerks und entspreche insofern der Vertragserfüllung zwischen Plattform und Nutzer:in.

„..Zum anderen ist die Datenverarbeitung für die Erfüllung des Vertrags zwischen den Parteien erforderlich (Art. 6 Abs. 1 Buchst. b DSGVO).(…)Eine soziale Plattform wie „f.“ dient dazu, es den Nutzern zu ermöglichen, Daten miteinander auszutauschen. Zu diesem Zweck müssen diese von der Beklagten denknotwendig verarbeitet werden…“

Keine intransparenten Informationen über die Sicherheitseinstellungen

Auch seien die Einstellungen nicht irreführend oder intransparent. Es werde hinreichend darüber informiert, wie ein:e Nutzer:in von anderen Nutzer:innen gefunden werden kann (Suchbarkeitskriterien). Dies sei zu trennen von der „Sichtbarkeit“ der angegebenen Daten (Sichtbarkeitseinstellungen/Zielgruppenwahl). Anhand bestimmter Daten gefunden zu werden, setze voraus, dass die andere Person diese Daten bereits kennt, auch wenn diese nicht einsehbar sind. Über diese Einstellungen werde die oder der Nutzer:in hinreichend informiert.

„…Was daran nicht verständlich sein soll, dass alle einen Nutzer anhand seiner Telefonnummer „finden“ können, erschließt sich dem Gericht nicht. Die Möglichkeit, durch Dritte gefunden zu werden und somit auch die Möglichkeit, dass ein missbräuchliches „Erraten“ der Telefonnummer stattfinden könnte, war daher für die Klagepartei ebenso ersichtlich wie für die Beklagte…“

Zu beachten, war in diesem Fall, dass die vom „Scraping“-Vorfall nach klägerischer Behauptung betroffenen Daten – mit Ausnahme der Telefonnummer – nach dem Willen der Klagepartei ohnehin bereits öffentlich sichtbar waren. 

„..Dass diese öffentlich sichtbaren Daten von Dritten kopiert und an anderer Stelle abgespeichert und veröffentlicht werden, ist ein Risiko, welches jeder, der seine Daten auf „f.“ öffentlich macht, kennt und in Kauf nimmt…“

Das Vorliegen eines konkreter Schaden wurde abgelehnt

„..Soweit klägerseits ein Gefühl des Unwohlseins und Kontrollverlustes behauptet wird, bleibt der klägerische Vortrag so allgemein, dass daraus ein konkreter, der gerichtlichen Bewertung zugänglicher Schaden nicht abgeleitet werden kann. Zwar ist der Schadensbegriff weit zu verstehen, er muss jedoch auch wirklich „erlitten“, das heißt „spürbar“ und objektiv nachvollziehbar sein. Woraus dieser Schaden konkret rühren soll, ist aus dem Vortrag der Klagepartei nicht zu entnehmen…“

Keine unzulässige Datenübermittlung in die USA

Die Datenübermittlung in die USA entspreche zum einen der Vertragserfüllung zwischen Meta und den Nutzer:innen.

„…Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. (…) Die Klagepartei hat keinen Anspruch darauf, dass „f.“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „f.“.“

Für eine voraussetzungslose freie Zurverfügungstellung der Daten an den NSA gebe es keine hinreichenden Anhaltspunkte. 

Da Meta sich nach dem Data Privacy Framework zertifiziert hat, sei auch die Datenübermittlung in die USA zulässig. 

„…Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.“

Hoch interessant sind dann die Ausführungen des Gerichts zur Datenübermittlung aus der Zeit vor dem Angemessenheitsbeschluss.

„…Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. (…) Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen…“

Und weiter zu abweichenden Meinungen der Aufsichtsbehörden hierzu:

„…Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend…“

Insgesamt ein beachtenswertes Urteil, dessen Begründungen sich auch für rechtliche Laien angenehm verständlich liest.

Mehr dazu finden Sie hier: Bürgerservice – LG Passau, Endurteil v. 16.02.2024 – 1 O 616/23

3. Die Fahrzeugidentifikationsnummer

Für unterschiedliche Dienstleiter:innen in der Automobilbranche (Händler:innen, Zulieferinnen und Zulieferer, Werkstätten und Plattformanbieter:innen mit entsprechenden Schnittstellen) stellt sich immer wieder die Frage, ob eine FIN (Fahrzeugidentifikationsnummer) ein personenbezogenes Datum ist. Daran hängen entsprechende datenschutzrechtliche Erwägungen, wann und wie die FIN zugänglich gemacht oder übermittelt werden darf. 

Kurz gesagt identifiziert die FIN ein bestimmtes Fahrzeug, dem sie von der Fahrzeugherstellerin oder dem Fahrzeughersteller zugeordnet wird. 

Grundsätzlich besteht damit nur ein Bezug der Nummer zu einer Sache, dem KfZ. Es kann jedoch je nach Kontext ein Bezug zu einer bzw. einem Fahrzeugführer:in (in Verbindung mit den Fahrzeugpapieren) oder auch einer bzw. einem Fahrzeughändler:in hergestellt werden. Handelt es sich also doch um ein personenbezogenes Datum? 

Diese Frage des Personenbezugs wurde im Rahmen eines Rechtsstreits aufgeworfen und schließlich dem EuGH zur Entscheidung vorgelegt: Ein LKW Hersteller betreibt auf seiner Website eine Suchfunktion für die zur Fahrzeugreparatur und -wartung erforderlichen Informationen seiner Fahrzeuge. Allgemein kann mit Hilfe von Baujahr, Modell und ähnlichen Eingaben gesucht werden und es werden Ersatzteilinformationen angezeigt. Durch Eingabe der letzten sieben Ziffern der Fahrzeugidentifizierungsnummer (FIN) kann das dieser Nummer zugeordnete Fahrzeug aufgerufen werden, und dessen Spezifikationen werden angezeigt, inklusive Reparatur- und Wartungsinformationen. Die FIN wird vom Hersteller jedoch nicht auf der Webseite allgemein zugänglich gemacht. Der LKW Hersteller ist verpflichtet, nicht nur Ersatzteilinformationen, sondern auch Reparatur- und Wartungsinformationen zur Verfügung zu stellen, auch für unabhängige Wirtschaftsbeteiligte (Art. 61 VO 2018/858 i.V.m. Anhang X Nr. 2.5.1). Gesamtverband Autoteile-Handel e. V sah im Verhalten des LKW Herstellers eine Pflichtverletzung, da die FIN Werkstätten nicht frei zugänglich gemacht wurden. Die Spezifikationen könnten nur von jenen Werkstätten/Ersatzteilhändler:innen gefunden werden, die bereits Zugriff auf die FIN hätten. Der Gesamtverband verklagte den LKW Hersteller, weil er die FIN nicht zur Verfügung stellte. 

Der EuGH hatte zu prüfen, inwieweit auch die FIN vom Hersteller zur Verfügung gestellt werden muss und in diesem Zusammenhang, inwieweit die FIN ein personenbezogenes Datum darstellt, d.h. eine Person über die FIN identifizierbar sei (personenbezogene Daten i.S.v. Art. 4 DSGVO). 

Nach Anhang I Abschnitt II.5 der Richtlinie 1999/37 enthält die Zulassungsbescheinigung den Namen und die Anschrift der Fahrzeughalterin oder des Fahrzeughalters. Darüber hinaus kann nach den Abschnitten II.5 und II.6 des Anhangs eine Person als Halter:in bezeichnet werden. 

Grundsätzlich, so der EuGH, stellt die FIN als alphanumerischer Code für sich genommen kein personenbezogenes Datum dar. Diese Bewertung kann sich aber ändern, wenn, wie oben bereits erwähnt, auch die Zulassungsbescheinigung vorliegt und dort eine natürliche Person ausgemacht werden kann. 

Daraus ergibt sich, dass die unabhängigen Wirtschaftbeteiligten mit Hilfe weitere Informationen die FIN einer natürlichen Person zuordnen können. In diesem Fall stellt sie für diese Beteiligten ein personenbezogenes Datum dar.

Dieser Personenzug gilt auch „mittelbar für die Fahrzeughersteller, die die FIN bereitstellen, […] selbst wenn die FIN für sich genommen für die Fahrzeughersteller kein persönliches Datum darstellt […]“.

Somit ist in diesem Fall die DSGVO anwendbar. Allerdings steht die DSGVO der Pflicht zur Herausgabe dieser Daten nicht entgegen. Denn die Zugangsverschaffungspflicht zu den oben erwähnten Informationen nach Art. 61 der Verordnung 2018/858 stellt eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO dar, worauf die Übermittlung/Zugänglichmachung gestützt werden kann.

Mehr dazu finden Sie hier: CURIA – Documents

Unzumutbare Belästigung § 7 UWG – transparenter Hinweis auf das Widerspruchsrecht bei Erhebung der Adresse

Häufig gehen Unternehmen davon aus, dass sie Werbe-Emails für ähnliche Waren oder Dienstleistungen an Kund:innen versenden dürfen, ohne eine vorherige Einwilligung einzuholen bzw. ohne ein Opt-In. Das ist jedoch nur eingeschränkt richtig. Es bedarf zwar keines Opt-Ins, allerdings muss die Kundin oder der Kunde „bei Erhebung der Adresse“ über ihr/sein Widerspruchsrecht aufgeklärt werden. Das wiederum bedeutet, dass man den Kund:innen bei Erhebung der Adresse zwangsläufig über die Zusendung von Werbe-Emails informieren muss, um ihm gleichzeitig auf die Möglichkeit hinzuweisen, diesen zu widersprechen. 

In einem dem LG Paderborn vorgelegten Fall wurde besagter Hinweis in den bei Buchung der Dienstleistung beigelegten Datenschutzhinweisen „versteckt“. Als die Klägerin sich nach Zusendung von Werbe-Emails beschwerte, wurde sie auf die Datenschutzhinweise hingewiesen:

„Marketingaktivitäten
Unter bestimmten, im Folgenden beschriebenen Umständen können wir Ihre personenbezogenen Daten für Marketingzwecke nutzen, um Ihnen regelmäßig Informationen über reisebezogene Produkte und Dienstleistungen zukommen zu lassen. Sie können sich jederzeit und ganz einfach von der E-Mail-Marketingkommunikation abmelden, indem Sie auf den Abmeldelink klicken, der in dem jeweiligen Newsletter oder der jeweiligen anderen Kommunikation enthalten ist.“

Die Klägerin ging gerichtlich vor. Das Gericht entschied im Sinne der Klägerin  (LG Paderborn, Urt. v.  12.03.2024 – Az.: 2 O 325/23): Ein versteckter Hinweis in der Datenschutzerklärung reicht nicht aus, um die nach § 7 Abs. 3 UWG bestehende Werbeerlaubnis für E-Mails zu begründen

§ 7 Abs. 3 UWG erlaubt es, für ähnlich Waren und Dienstleistungen auch ohne Opt-In elektronische Werbenachrichten zu versenden, wenn die/der Verkäufer:in der/dem Käufer:in zuvor hierüber informiert hat.

Doch für eine Zusendung läge nach Ansicht des LG Paderborn keine Rechtsgrundlage gem. § 7 Abs. 3 UWG vor, da die Klägerin nicht transparent über die Widerspruchsmöglichkeit informiert wurde.

„…Die bloße Verlinkung der Datenschutzhinweise, die wiederum einen Verweis auf die Marketingaktivitäten der Beklagten nebst eines Hinweises auf einen Abmeldelink enthält, erfüllt nicht die Anforderungen an einen klaren und deutlichen Hinweis auf das Widerspruchsrecht bei Erhebung der Adresse. Es genügt nicht, dass die Beklagte in ihrer Datenschutzerklärung ausführt, dass die Kundendaten für Werbezwecke genutzt  werden und sich der Empfänger von der E-Mail-Marketingkommunikation abmelden kann, insbesondere wenn dieser Hinweis – ohne textliche Hervorhebung – im Rahmen eines 26 Seiten umfassenden Schriftstücks enthalten ist…“

Es müsse den Kund:innen die Möglichkeit gegeben werden, einer Zusendung ausdrücklich bereits im Vorhinein zu widersprechen:

„…Im Mindestfall hätte die Beklagte ein anklickbares bzw. ankreuzbares Kästchen („Ich widerspreche der Verwendung meiner persönlichen Daten zu Werbezwecken“) bereitstellen müssen. Erforderlich ist darüber hinaus auf jeden Fall aber auch die Benennung einer Kontaktadresse, an die ein zeitlich nach dem Vertragsschluss ausgesprochener Widerspruch zu senden ist (Postadresse, Telefon- oder Telefaxnummer, E-Mail-Adresse). Daran fehlt es jeweils…“

Dies wird noch einmal betont, dadurch, dass das Gericht klarstellt, dass die Bereitstellung einer Widerspruchsmöglichkeit im Nachhinein, also wenn die Werbung bereits zugesendet wird, nicht ausreichend ist. 

Für den gesetzlich vorgeschriebenen Hinweis auf das Widerspruchsrecht war es auch nicht ausreichend, dass die Klägerin in jeder E-Mail, also bei Verwendung der klägerischen E-Mail-Adresse, auf die Abmeldung durch anklickbare Links verwiesen hat…“

Denn:

„…Zwar hat die Beklagte dadurch eine problemlose Möglichkeit, um die Nutzung der E-Mail-Adresse für Werbezwecke abzulehnen, eingerichtet. Es fehlt jedoch wiederum an einem konkreten Hinweis auf die Widerspruchsmöglichkeit an sich…“

Mehr dazu finden Sie hier: Landgericht Paderborn, 2 O 325/23

4. Das schreiben die Anderen zum Datenschutz

• Wann gilt die DSGVO für Privatpersonen?
• The American Privacy Rights Act – a new chapter in the U.S. data privacy story

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen im Datenschutz

Den Datenschutz im Unternehmen neben der eigentlichen täglichen Arbeit im Auge und up to date zu halten, ist eine Herausforderung und stellt eine zusätzliche – unliebsame – Belastung dar.

Wir unterstützen Sie dabei gerne, und für uns ist es sogar eine „liebsame“ Aufgabe. Ob Auftragsverarbeitung, Joint Controllership, unternehmensinterne Datenflüsse DSGVO-konform abbilden, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Mitarbeiter, wir helfen Ihnen dabei, diese Bereiche rechtssicher zu bespielen.

Als bestellter externer Datenschutzbeauftragter bieten wir Ihnen verschiedene Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an:

Externer Datenschutzbeauftragter