Schlagwort: Datenschutzverstoß

scales icon with long shadow

Abmahnung wegen fehlender Datenschutzerklärung

Leitsatz:

Die Informationspflichten aus Artikel 13 Absatz 1 DSGVO stellen Marktverhaltensregelungen dar. Wettbewerbsverbände sind daher befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen. Eine Abmahnung wegen fehlender Datenschutzerklärung ist demnach möglich.

Gericht: Oberlandesgericht Stuttgart, Urteil vom 27.02.2020
Aktenzeichen: 2 U 257/19

 

Was war passiert?

Ein gewerblicher Ebay-Verkäufer bot auf der Plattform Reifen zum Sofortkauf an. Neben seiner Firma gab er seine Postanschrift, Telefonnummer, Faxnummer und E-Mail-Adresse an. Eine Erklärung zum Datenschutz hielt er jedoch nicht vor. Damit informierte er insbesondere nicht über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Daraufhin erhielt er von einem Wirtschaftsverband eine Abmahnung wegen fehlender Datenschutzerklärung.

 

Entscheidung:

Mit dem Inserat auf der Internethandelsplattform hat der Händler gegen Artikel 13 DSGVO verstoßen. Hierin sah das Gericht auch eine unzulässige geschäftliche Handlung im Sinne von § 3 a UWG, die vom Wirtschaftsverband abgemahnt werden kann.

Voraussetzung für eine Abmahnung wegen fehlender Datenschutzerklärung ist,

• dass die entsprechende Norm auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln
• dass dieser geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

Nach Auffassung des Gerichts habe Art. 13 DSGVO insoweit eine verbraucherschützende Funktion und weise den erforderlichen wettbewerblichen Bezug auf.

Das Gericht ging davon aus, dass durch die DSGVO die Rechtsbehelfe nicht abschließend geregelt werden. Daher bleiben die nationalen Bestimmungen der § 8 Absatz 1 und Absatz 3 Nr. 2 i.V.m. § 3a UWG anwendbar.

Mitgliedstaaten können nationale Normen auch dann anwenden, wenn diese die unmittelbare Anwendbarkeit der Verordnung nicht vereiteln, deren gemeinschaftliche Natur nicht verbergen und die Ausübung des durch die betreffende Verordnung verliehenen Ermessens innerhalb der Grenzen dieser Vorschriften konkretisieren.

Der Normgeber hat die Verantwortung für die Ausgestaltung der Rechtsdurchsetzung und des Prozessrechts an die Mitgliedsstaaten übertragen. Daher müsse vom Grundsatz her jede nationale Maßnahme, die geeignet ist, die Rechtsdurchsetzung zu erleichtern, als zulässig angesehen werden.

Aus der DSGVO ergäbe sich zudem nicht, dass es den Mitgliedstaaten verwehrt sein soll, Wettbewerbsverbänden eine Klagebefugnis einzuräumen. Die Rechtsdurchsetzung auf dem zivilen Rechtsweg wird durch die Verordnung in keiner Weise eingeschränkt, noch stellt Artikel 80 DSGVO eine abschließende Regelung dar.

Die Verfolgung von Wettbewerbsverstößen durch Wettbewerbsverbände habe sich als schlagkräftiges Instrument bewährt. Da die Ressourcen der Behörden begrenzt sind, können Wettbewerbsverbände auch bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten.

 

Hintergrund zur Abmahnung wegen fehlender Datenschutzerklärung

Ob DSGVO-Verstöße abgemahnt werden können bleibt weiterhin unklar. Die Frage, ob das Datenschutzrecht auch das Marktverhalten regelt, wird von den Gerichten unterschiedlich beantwortet.

 

Entscheidung am Gericht Sachverhalt Verstoß gegen das Wettbewerbsrecht
27.02.2020Oberlandesgericht Stuttgart

Aktenzeichen: 2 U 257/19

gewerblicher Ebay-Verkäufer mit Inserat ohne Datenschutzhinweiseja
07.11..2019Oberlandesgericht des Landes Sachsen-Anhalt

Aktenzeichen: 9 U 6/19

fehlende ausdrückliche Einwilligungja
07.02.2019Oberlandesgericht München

Aktenzeichen: 6 U 2404/18

Telefonanrufen zu Werbezwecken (Cold Calls)ja
05.11.2018Landgericht Wiesbaden

Aktenzeichen:. 5 O 214/18

wegen unvollständigen Auskünfte nach Art. 15 DSGVOnein
25. 10. 2018Oberlandesgericht Hamburg

Aktenzeichen: 3 U 66/17

fehlende EinwilligungDie jeweilige Norm der DSGVO muss im Einzelfall konkret darauf überprüft werden, ob sie eine Regelung des Marktverhaltens zum Gegenstand hat.
13.09.2018Landgericht Würzburg

Aktenzeichen: 11O1741/18

fehlerhafte Datenschutzerklärung (keine Angabe zum Verantwortlichen, zur Datenverarbeitung, Belehrung über Betroffenenrechte)  und keine Verschlüsselung für das Kontaktformular auf Websiteja
07.08.2018Landgericht Bochum, Aktenzeichen: 12 O 85/18fehlende Datenschutzerklärung auf einer WebsiteVerstoß gegen die DSGVO ist nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG

 

Eine höchstrichterliche Entscheidung steht noch aus. Um vor allem einer Abmahnung wegen fehlender Datenschutzerklärung vorzubeugen, sollten Unternehmen ihre Hinweise auf Vollständigkeit prüfen.

06/19-Linklösung, Cookie-Banner, Haftung

Weitere Aufsichtsbehörde sieht in Lohnabrechnung von Steuerberatern eine Auftragsverarbeitung

Nach Nordrhein Westfalen und Baden Württemberg sieht nun auch die hessische Aufsichtsbehörde in der Durchführung von Gehaltsabrechnungen eine Auftragsverarbeitung. Begründet wird dies mit dem Argument, dass die Abrechnung nach fest vorgegebenen Regeln vorgenommen werde, ohne dass dem Steuerberater dabei ein eigener Entscheidungsspielraum zukommt. Ist ein Steuerberater darüber hinaus auch mit klassischer Steuerberatung beauftragt, so ist hierfür aber kein Auftragsverarbeitungsvertrag nach Art. 28 DSGO erforderlich. Bei gemischten Leistungsangeboten soll aber jede Leistung separat zu beurteilen sein.

 

Verweis auf Webseite ist zulässig

Im FAQ-Bereich der hessischen Aufsichtsbehörde wurde nun auch die bisher umstrittene Frage der Zulässigkeit einer Link-Lösung beantwortet. Und zwar positiv.

Die hessische Aufsichtsbehörde geht dabei von der Zulässigkeit eines Medienbruchs aus. Nach ihrer Auffassung würde die Verständlichkeit und die Präzision erheblich darunter leiden, wenn unabhängig von der Art der Kontaktaufnahme eine umfassende Information über das selbe Medium gegeben werden müsste. Ausdrücklich zulässig ist es demnach, einen Anrufer auf die Datenschutzerklärung auf der Homepage zu verweisen. Hiervon sei nur dann eine Ausnahme zu machen, wenn die betroffene Person der Verweisung offensichtlich nicht folgen kann.

 

Ratgeber zum Beschäftigtendatenschutz

Aus Baden-Württemberg stammt der sehr lesenswerte Ratgeber zum Beschäftigtendatenschutz, welchen ich wärmstens empfehlen kann.

 

Update in Sachen Facebook Fanpage

Die Datenschutzkonferenz (DSK) geht in ihrer Positionierung vom 01.04.2019 weiterhin davon aus, dass derzeit ein datenschutzkonformer Betrieb einer Fanpage nicht möglich ist. Weiter Infos zum Thema finden Sie unter: https://rechtsanwalt-harzewski.de/mitverantwortung-fuer-facebook-fanpage/

 

Zu den Anforderungen von Cookie-Bannern beim Webtracking

Wie bei jeder Verarbeitungstätigkeit kann der Einsatz von Cookies bei Tracking-Maßnahmen aufgrund einer Einwilligung oder aufgrund der berechtigten Interessen erfolgen. Eine Einwilligung kann durch einen sogenannten Cookie-Banner eingeholt werden. Nicht ausreichend sind jedoch die üblichen Banner, die lediglich eine knappe, aber deutliche Information über die Verwendung von Cookies am oberen oder unteren Rand der Webseite platzieren. In solchen Fällen werden Cookies bereits beim Besuch der Website gesetzt, d.h. bevor ein Nutzer Ihnen zugestimmt hat. Nach Vorgabe der Aufsichtsbehörden sollten Nutzer daher für eine Einwilligung zunächst auf einen entsprechenden Button klicken (Opt-in), bevor überhaupt Cookies gesetzt werden. Erst dann sollte die Webseite und Cookies geladen werden und ein Weitersurfen möglich sein.

 
In ihrer Orientierungshilfe für Anbieter von Telemedien stellt die DSK insbesondere folgende Anforderungen an eine wirksame Einwilligung in Form eines Cookie-Banners:

 
• Alle einwilligungsbedürftigen Verarbeitungsvorgänge sind gesondert darzustellen. Dies hat unter Nennung der jeweiligen Dienstleister und der hinreichenden Beschreibung der Funktion der entsprechenden Verarbeitung zu erfolgen.
• Während der Banner angezeigt wird, müssen alle weitergehenden Skripte einer Website, die potenziell Nutzerdaten erfassen, blockiert werden.
• Die Erklärung muss unmissverständlich sein, z.B. durch Anklicken eines nicht voraktivierten Kästchens beim Besuch einer Website oder durch Klick auf eine Schaltfläche. Bei mehreren einwilligungsbedürftigen Verarbeitungsvorgängen müssen diese gesondert anwählbar sein
• Erst nach aktiver Handlung des Nutzers darf die einwilligungsbedürftige Datenverarbeitung tatsächlich beginnen.
• Der Besuch der Website muss auch möglich sein, wenn man nicht in das Setzen von Cookies einwilligen möchte.

 

Haftung für Datenschutzverstöße von Beschäftigten

Nach einer neuen Entschließung der DSK sollen Unternehmen im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Demnach soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Nach Auffassung der Konferenz kann dem Verantwortlichen demnach nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 

Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung

In einer weiteren Orientierungshilfe des DSK gibt es eine gute Übersicht in die zutreffenden Maßnahmen der Zugangssicherung. Unter 2.2 heißt es nun wortwörtlich: „Sofern starke Passwörter verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich.“ Bisher hatte sich nur die Aufsichtsbehörde in Baden Württemberg gegen das Erfordernis eines regelmäßigen Passwortwechsels ausgesprochen.