Neue Informationspflichten bei Verbrauchergeschäften

Insbesondere Betreiber von Online-Shops, aber auch Unternehmer, die Allgemeine Geschäftsbedingungen gegenüber Verbrauchern verwenden, müssen seit dem 1. Februar 2017 (zusätzliche) Informationspflichten in Bezug auf die außergerichtliche Streitbeilegung beachten.

Ergänzung der Verlinkungspflicht auf die OS-Plattform

Die bereits nach Art. 14 der EU-Verordnung über die Online-Streitbeilegung in Verbraucherangelegenheiten (Online Dispute Resolution – sog. ODR-Verordnung; EU VO Nr. 524/2013) seit Januar 2016 ausschließlich für Online-Händler bestehende Pflicht zur Verlinkung auf die Online-Plattform zur alternativen Streitbeilegung der Europäischen Kommission (sog. OS-Plattform) wird nun durch Vorschriften des Verbraucherstreitbeilegungsgesetz (VSBG) ergänzt.

Allgemeine Informationspflichten

Unternehmer, die eine Website betreiben oder Allgemeine Geschäftsbestimmungen verwenden, müssen nunmehr zusätzlich die Verbraucher in transparenter Form darüber informieren, inwieweit sie bereit oder verpflichtet sind, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen, vgl. § 36 Abs. 1 Nr. 1 VSBG. Die Teilnahme an einem solchen Schlichtungsverfahren ist zwar in vielen Fällen freiwillig. Die Information über das „Ob“ der Teilnahme ist jedoch für die Unternehmer verpflichtend. Eine Ausnahme besteht nur dann, wenn ein Unternehmer am Schluss des jeweils vorangegangenen Jahres weniger als elf Personen beschäftigt hat, § 36 Abs. 3 VSBG.

Für den Fall, dass eine Bereitschaft oder Pflicht zur Teilnahme an derartigen Schlichtungsverfahren besteht, müssen die betreffenden Unternehmer die Verbraucher nach § 36 Abs. 1 Nr. 2 VSBG zudem leicht zugänglich, klar und verständlich auf die zuständige Schlichtungsstelle unter Angabe der Anschrift und Webseite hinweisen und ausdrücklich erklären, an einem Streitbeilegungsverfahren vor dieser Stelle teilzunehmen.

Diese in diesem Abschnitt aufgeführten Informationen müssen auf der Website des jeweiligen Unternehmers vorgehalten werden, sofern dieser eine Website unterhält; bei Verwendung von Allgemeinen Geschäftsbedingungen müssen diese Informationen (auch) dort enthalten sein, vgl. § 36 Abs. 2 VSBG.

Informationspflichten nach Entstehen der Streitigkeit

Wenn ein Streit zwischen Unternehmer und Verbraucher nicht beigelegt werden konnte, muss der Unternehmer den Verbraucher in Textform (z. B. per E-Mail) auf eine für ihn zuständige Schichtungsstelle unter Angabe von Anschrift und Webseite hinweisen, vgl. § 37 VSBG. Auch in diesem Fall muss der Unternehmer wieder angeben, ob er zur Teilnahme bereit oder verpflichtet ist.

Praxistipp

Soweit noch nicht geschehen, sollten betroffene Unternehmer ihre Webseiten und Allgemeine Geschäftsbedingungen umgehend gemäß den neuen Anforderungen überarbeiten. Ansonsten besteht die Gefahr teurer Abmahnungen durch Wettbewerber oder Verbrauchervereine.

Für eine gute Auffindbarkeit der oben aufgeführten allgemeinen Informationen ist zu empfehlen, diese im Fall der Verwendung von Allgemeinen Geschäftsbedingungen dort etwa mit einer gesonderten Überschrift zu versehen. Für Online-Händler ist es sinnvoll, auf der Webseite (z. B. in der Fußzeile) zusätzlich einen gut sichtbaren Hinweis mit Verlinkung auf die entsprechende Stelle in den Allgemeinen Geschäftsbedingungen oder – falls solche nicht verwendet werden – auf eine entsprechende Informations-Unterseite anzubringen.

Facebook-Like-Button: OLG Düsseldorf legt Fragen dem EuGH vor

Die Einbindung des sog. „Like-Buttons“ von Facebook wird von Datenschützern überaus kritisch beäugt. In diesem Sinne hatte das LG Düsseldorf im März vergangenen Jahres entschieden, durch die Einbindung verstoße ein Webseitenbetreiber gegen Datenschutzrecht. Er sei verantwortlich für die damit verbundene Bekanntgabe der IP-Adresse und des sog. Browser-Fingerprints an Facebook (LG Düsseldorf, Urteil vom 09.03.2016, Az. 12 O 151/15).

Die Vorlagefragen des OLG Düsseldorf

Das OLG Düsseldorf hat nun in der hiergegen geführten Berufung (Az. I-20 U 40/16) das Verfahren ausgesetzt und dem Europäischen Gerichtshof diverse Fragen zur Auslegung der dem deutschen Datenschutzrecht zugrunde liegenden Richtlinie 95/46/EG vorgelegt. Im Einzelnen möchte das OLG wissen:

  1. Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABl. Nr. L 281/31 vom 31.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
  2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an Dritte zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABl. Nr. L 281/31 vom 31.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
  3. Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
  4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
  5. Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
  6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt des Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Was steckt hinter den Fragen?

Hintergrund der ersten Frage ist die Klagebefugnis des im Ausgangsverfahren klagenden Verbraucherverbandes, der sich sowohl auf § 3a UWG als auch auf § 2 Abs. 2 Nr. 11 UKlaG stützt. Die Frage wird sich unter Geltung der Datenschutz-Grundverordnung erledigen, weil Art. 80 Abs. 2 DS-GVO den Mitgliedsstaaten ab de. 25.05.2018 die Möglichkeit zur Einräumung einer solchen Klagebefugnis explizit einräumt.

Fragen 2 und 3 befassen sich mit der Frage der Verantwortlichkeit eines Seitenbetreibers, der einen Drittinhalt (z. B. ein Social-Plugin wie den „Like-Button“, die Frage ist aber von grundsätzlicher Bedeutung für die Einbindung jeglicher Drittinhalte wie z. B. Stadtplänen, Börsentickern, Video-Playern, Seitencountern etc.) einbindet: Ist dieser „verantwortliche Stelle“, obwohl er durch die Einbindung nicht selbst Daten des Seitennutzers an den Dritten übermittelt, sondern lediglich eine Übermittlung vom Browser des Nutzers an den Dritten mitverursacht? Oder kann zumindest eine „Störerhaftung“ begründet werden?

Frage 4 zielt sodann – losgelöst von der Frage, wer verantwortlich ist – auf die Rechtmäßigkeit der Einbindung. Hier macht das OLG zunächst deutlich, dass es über den Wortlaut des § 15 Abs. 1 S. 1 TMG hinaus eine Legitimation auch dann annehmen würde,  wenn die Verarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Dies steht im Einklang mit der jüngsten EuGH-Rechtsprechung in der Rechtssache Breyer, in der der EuGH § 15 Abs. 1 S. 1 TMG als nicht richtlinienkonform bezeichnet hat, was eine europarechtskonforme Auslegung der Norm erfordert, in die die Voraussetzungen von Art. 7 Buchstabe f) der Datenschutzrichtlinie hineinzulesen sind. In der Tat stellt sich in einer Dreieckskonstellation wie der Vorliegenden dann die Frage, auf wessen berechtigte Interessen abgestellt werden muss, wobei die Beantwortung möglicherweise von der Frage abhängt, wer als „Verantwortlicher“ im Sinne von Frage 2 anzusehen ist.

In Frage 5 möchte das OLG wissen, wem gegenüber gegebenenfalls eine Einwilligung erklärt werden muss. Dahinter steht zum einen der Umstand, dass Facebook zumindest von seinen Nutzern Einwilligungserklärungen einholt. Zum anderen stellt sich – wie auch in Frage 6 – die Frage, ob der Webseitenbetreiber, der den „Like-Button“ oder einen anderen Drittinhalt einbindet, überhaupt die Möglichkeit hat, den Nutzer – sei es im Rahmen der „Datenschutzerklärung“, sei es im Rahmen einer Einwilligung – über die Datenverarbeitung hinreichend konkret zu informieren.

Disclaimer

Der Autor vertritt im vorliegenden Verfahren die Beklagte und Berufungsführerin.

Vorlagebeschluss zum Download und Stellungnahmen

Hier der vollständige Vorlagebeschluss vom 19.01.2017 zum Download (NB: Mit Klick auf den Link werden Sie auf die Internetseite des Verbraucherzentrale NRW e.V. weitergeleitet). Eine erste Besprechung findet sich bei Carlo Piltz auf seinem Blog De Lege Data.

LG Hamburg zur Haftung für Hyperlinks – dieses Mal wirklich

Wer bei der Überschrift an einen der berühmtesten Mythen des Internet denkt, liegt nicht ganz falsch. Doch nicht nur zur Weihnachtszeit wird manches, was bis dato müde als Produkt der Phantasie belächelt wurde, zur Realität: So nun geschehen in einer aktuellen Entscheidung des LG Hamburg zur Haftung für Hyperlinks. Doch dieses Mal handelt es sich – anders als bei der tausendfach zitierten Entscheidung aus dem Jahre 1998 – wohl nicht um Netzfolklore.

Keine Netzfolklore

In einem Beschluss im einstweiligen Verfügungsverfahren hatte das LG Hamburg nämlich Gelegenheit, sich mit der aktuellen Rechtsprechung des Europäischen Gerichtshofes (EuGH) zur Linksetzung auseinanderzusetzen. In einer vielbeachteten und wahrscheinlich noch häufiger kritisierten Entscheidung (Rechtssache C-160/15) hatte der EuGH nämlich – entgegen den Anträgen des Generalanwaltes – festgehalten, dass das Setzen von Hyperlinks auf urheberrechtsverletzende Inhalte, die an anderer Stelle bereits im Internet abrufbar sind, eine „öffentliche Wiedergabe“ darstellen könne. Diese ist aber grundsätzlich nur mit Zustimmung des Urhebers zulässig. Haupteinwand gegen diese Argumentation: Kann etwas als „öffentliche Wiedergabe“ eingeordnet werden, was schon längst im Internet wiedergegeben wird? Kann es, entschied der EuGH. Und zwar insbesondere dann, wenn der Verlinkende mit Gewinnerzielungsabsicht handelt.

LG Hamburg: „Gewinnerzielungsabsicht“ weit auslegen

Wer gehofft hat, dass das Kriterium der Gewinnerzielungsabsicht eng interpretiert würde, sieht sich enttäuscht: Denn die Gewinnerzielungsabsicht müsse sich nicht an der Linksetzung als solcher festmachen lassen (etwa in dem Sinne, dass der Verlinkende per Referral-Link an der Veräußerung urheberrechtswidriger Inhalte mitverdient). Nach Meinung des LG Hamburg (Az. 310 O 402/16) reicht es aus, dass der Webauftritt des Verlinkenden insgesamt mit Gewinnerzielungsabsicht betrieben werde. Im konkreten Fall wurden auf einer Webseite beispielsweise auch entgeltlich Lehrmaterialien angeboten.

Jede Unternehmenswebseite betroffen?

Was bedeutet die Entscheidung für die Anbieter von Webseiten? Nach Meinung des Autors eine ganze Menge. Denn bei einem solch weiten Verständnis des Begriffes „Gewinnerzielungsabsicht“ wird jede Webseite betroffen sein, die auch nur mittelbar unternehmerischen Interessen dient (was jedenfalls wettbewerbsrechtlich ohnehin bei jedem Unternehmer vermutet wird). Unmittelbar übertragbar ist die Argumentation auf Webseiten, auf denen ganz konkret Leistungen gegen Entgelt erworben werden können, etwa in einem Online-Shop. Konsequenterweise wird man auch alle Webseiten darunter fassen müssen, auf denen Werbung geschaltet ist, einschließlich etwaiger Platzierungen von Google Adwords o.ä. Schließlich wäre es aber wiederum inkonsequent, dies zum entscheidenden Kriterium machen. Denn das LG Hamburg leitet die Haftung daraus ab, dass der Bezug zu einer kommerziellen Tätigkeit des Webseitenbetreibers den höheren Haftungsmaßstab rechtfertige. Wer kommerziell tätig ist, dem ist auch zuzumuten, die Rechtmäßigkeit der Erstveröffentlichung zu prüfen, auf die ein Link gesetzt wird. So die Logik des LG Hamburg.

Verschuldensprüfung rettet Betreiber nicht

Dass formal gesehen eine Haftung nur eingreift, wenn der Verlinkende schuldhaft gehandelt hat, wird in der Praxis kaum helfen. Denn im Urheberrecht gilt ein strenger Maßstab. Wer fremde Werke nutzt, hat die Obliegenheit, sich über die Rechtmäßigkeit dieser Nutzung – bei gestuften Übertragungsvorgängen entlang der gesamten „Lizenzkette“ – zu vergewissern. Wenn es sich bei dem Zielobjekt um ein rechtsverletzendes Werk handelt, spricht zudem viel dafür, dass die Prüfung jedenfalls nicht sorgfältig genug war, denn sonst wäre die fehlende Berechtigung ja erkannt worden.

Lebensfremde Maßstäbe

Was das LG Hamburg damit von Unternehmern fordert, ist vollkommen unpraktikabel und lebensfremd. Legt man die EuGH-Entscheidung so eng aus, bedeutet dies nichts anderes, als dass Webseitenbetreiber eine Garantiehaftung für fremde Urheberrechtsverletzungen trifft. Denn praktisch wird in aller Regel kein Webseitenbetreiber in der Lage sein zu prüfen, ob der Inhalt, auf den verlinkt wird, rechtmäßig – insbesondere mit Zustimmung des Urhebers – in das Internet eingestellt wurde.

EuGH-Rechtsprechung enger interpretieren

Nach Meinung des Autors ist die Auslegung des LG Hamburg abzulehnen und auf Basis der EuGH-Rechtsprechung auch nicht geboten. Denn der EuGH betont in seiner Entscheidung besonders Art. 11 der Charta der Grundrechte der Europäischen Union, wonach Hyperlinks für die grundrechtlich geschützte Freiheit der Meinungsäußerung und Informationsfreiheit angesichts der unüberschaubaren Fülle von Informationen im Internet von besonderer Bedeutung sind. Zudem stellt der EuGH in seiner Entscheidung nicht darauf ab, dass der Linksetzende (überhaupt und generell) in Gewinnerzielungsabsicht handelt, sondern spricht von einer öffentlichen Zugänglichmachung nur insoweit, wie

Hyperlinks mit Gewinnerzielungsabsicht gesetzt werden […]

Der EuGH betont also, dass das Setzen des Links selbst mit Gewinnerzielungsabsicht erfolgen müsse, was nach Auffassung des Autors eher für einen engen Anwendungsbereich spricht. Allein dann, wenn der Linksetzende von gerade der Linksetzung in Euro und Cent profitieren möchte (etwa weil er als Referrer eine Provision für die Zuführung neuer Besucher zum rechtsverletzenden Werk erhält), rechtfertigt sich die Haftungsverschärfung. Denn gerade dann wird in den wirtschaftlichen Gehalt des Urheberrechts entscheidend eingegriffen, was der EuGH an anderer Stelle als entscheidend angesehen hat, etwa bei Deep Links, die auf Inhalte hinter einer vom Anbieter errichteten Paywall verweisen.

Klärung wünschenswert

Es bleibt zu hoffen, dass an anderer Stelle – das Hamburger Verfahren scheint wohl bereits rechtskräftig zu sein – eine vernünftige Klärung erfolgen wird. Eine solche könnte darin bestehen, die vom BGH im Wettbewerbsrecht aufgestellten Kriterien heranzuziehen, die da lauten:

  • Mit dem bloße Setzen von Links macht man sich den fremden Inhalt auch dann nicht automatisch zu eigen, wenn man diesen in geschäftlichem Kontext setzt.
  • Anders liegt dies, wenn der elektronische Verweis Bestandteil des Geschäftsmodells des Anbieters ist (wie etwa bei den Links, die von dem Betreiber eines Altersverifikationssystems auf die Seiten der ihm angeschlossenen Anbieter vorgehalten werden).
  • Wenn es sich danach nicht um „zu eigen gemachte“ Inhalte handelt, haftet man für verlinkte Inhalte allerdings auch dann, wenn die Rechtswidrigkeit offensichtlich ist.
  • Bei einem Hinweis auf Rechtsverletzungen auf der verlinkten Webseite ist der Seitenbetreiber zur Prüfung und ggf. Löschung des Links verpflichtet. Erst dann, wenn der Anbieter nicht reagiert, kommt eine Haftung in Betracht

Disclaimer gefährlich

Ansonsten wird man Unternehmen dazu raten müssen, keine Verlinkungen auf fremde Inhalte vorzunehmen, wenn deren Rechtmäßigkeit nicht absolut sicher geklärt werden kann. Ebenfalls gefährlich können die üblichen Disclaimer sein, wie sie im Anschluss an die 1998er Entscheidung Eingang ins Internet gefunden haben. Denn wer dort freimütig erklärt, die von ihm gesetzten Links nicht zu überprüfen, dokumentiert nicht nur seine Fahrlässigkeit, sondern sogar Vorsatz im Hinblick auf die obige Rechtsprechung. Damit wäre auch der letzte potentielle Ausweg vollends versperrt.

Digitale Wirtschaft NRW – wir sind beim 1. Summit dabei

Unser Kollege Dr. Kay Diedrich ist als Speaker beim 1. Summit der Digitalen Wirtschaft NRW mit von der Partie. Dabei geht es am 25.11.2016 im SANAA-Gebäude des Unesco-Welterbes Zollverein in Essen schwerpunktmäßig um die digitale Transformation. In diversen Panels, Pitches und Diskussionsrunden richten die Teilnehmer einen Blick auf die Zukunft der digitalen Branche. Unter der Schirmherrschaft von NRW-Wirtschaftsminister Garrelt Duin geht es unter anderem um Themen wie Suchmaschinenoptimierung und digitalen Bonuskarten, über Gesundheitsapps und Content Commerce, bis zum Citizen Score und Big Nudging. Vertreter aus Wirtschaft, Startup, Mittelstand und Wissenschaft diskutieren Trends, die das E-Commerce zukunftsfähig machen. Inklusive der Frage: Quo vadis, Datenschutz? KÜMMERLEIN Rechtsanwälte & Notare ist Mitsponsor der Veranstaltung.

Die Veranstaltung ist bereits jetzt ein großer Erfolg: Denn Tickets sind leider nicht mehr erhältlich.

Facebook: Datenschützer verbieten Datenweitergabe von WhatsApp

Wie heute bekannt wurde, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar eine Verwaltungsanordnung erlassen, die es Facebook untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Bereits von WhatsApp an Facebook übermittelte Daten soll Facebook löschen.

Wie es in der Pressemitteilung der Behörde heißt, seien Facebook und WhatsApp zwei selbstständige Unternehmen. Nachdem Facebook WhatsApp vor zwei Jahren erworben habe, hätten die Unternehmen zugesichert, dass die Daten der Nutzer nicht ausgetauscht würden. Der Datenschützer wirft den Anbietern eine Irreführung der Nutzer und der Öffentlichkeit sowie einen Verstoß gegen das deutsche Datenschutzrecht vor.

Ist deutsches Recht anwendbar?

Hier liegt allerdings bereits der sprichwörtliche Hase im Pfeffer. Denn zu allererst stellt sich die Frage: Ist deutsches Datenschutzrecht überhaupt anwendbar? Der Dienst Facebook wird zumindest in Europa von der Facebook Ireland Ltd. mit Sitz in Dublin angeboten. Gemäß § 1 Abs. 5 des Bundesdatenschutzgesetzes (BDSG) findet deutsches Datenschutzrecht jedoch keine Anwendung, sofern eine in einem anderen Mitgliedsstaat der Europäischen Union belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dem Wortlaut des Gesetzes folgend käme eine Anwendung deutschen Datenschutzrechts somit nur in Betracht, soweit die Datenerhebung und -speicherung „durch eine Niederlassung“ in Deutschland erfolgt.

EuGH-Urteil wenig hilfreich

Die Pressemitteilung lässt vermuten, dass der Hamburger Datenschützer Letzteres annimmt. Denn er verweist auf die deutsche Facebook-Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt. Caspar beruft sich auf das Urteil des EuGH vom 28.07.2016, in dem das Gericht über Vorlagefragen in einem Verfahren zwischen Amazon und dem österreichischen Verein für Konsumenteninformation zu befinden hatte (Rechtssache C-191/15). Darin verweist der EuGH allerdings im wesentlichen nur auf das maßgebliche Kriterium, ob die Tätigkeit „im Rahmen der Tätigkeiten“ der Niederlassung ausgeübt werde. Wann dies der Fall ist, verrät das von Caspar angeführte EuGH-Urteil nicht.

Kriterium der engsten Verbindung

Diese Frage wurde indes bereits vom Verwaltungsgericht Hamburg analysiert, das am 3. März diesen Jahres eine Verfügung des Hamburgischen Datenschutzbeauftragten gegen Facebook zur Klarnamenpflicht kassiert hatte. Darin kam das VG mit einer überzeugenden Begründung zum Ergebnis, dass § 1 Abs. 5 BDSG, der auf Art. 4 Abs. 1 lit. a der Datenschutzrichtlinie 95/46/EG zurückgeht, bei grenzüberschreitenden Sachverhalten auch als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedsstaaten fungiert. Denn auch wenn man die deutsche Facebook-Dependance als Niederlassung im Sinne von § 1 Abs. 5 BDSG qualifiziert, läge zumindest auch eine Verantwortlichkeit der irischen Facebook-Niederlassung nahe. In einem solchen Fall sei das Recht (und nur das Recht) derjenigen Niederlassung anzuwenden, die zu der Datenverarbeitung die engste Verbindung aufweist. Das OVG Hamburg hat die Entscheidung in der Sache bestätigt, allerdings auf die ungeklärte Rechtslage und das Fehlen einer verlässlichen Prognose über deren Beantwortung verwiesen (weitergehend musste sich das OVG in seiner Eilentscheidung mit der Rechtslage nicht befassen, weil es schon die ungeklärte Rechtslage als ausreichend ansah, um die aufschiebende Wirkung des Widerspruches von Facebook wiederherzustellen, nachdem die Behörde den Sofortvollzug angeordnet hatte). Wie das VG Hamburg argumentierte auch der Generalanwalt in seinen Schlussanträgen in dem von Johannes Caspar angeführten EuGH-Verfahren (Tz. 125):

Im vorliegenden Fall geht es hingegen darum, welches von mehreren nationalen Rechten, mit denen die Richtlinie umgesetzt wurde, auf die in den streitigen Klauseln vorgesehenen Datenverarbeitungsvorgänge Anwendung finden soll. Dabei ist die Niederlassung zu bestimmen, im Rahmen von deren Tätigkeiten diese Vorgänge am unmittelbarsten erfolgen.

Der EuGH hat in seiner Entscheidung dann allerdings leider darauf verzichtet, diese – oder eine andere – Richtschnur im Urteil aufzugreifen.

Analyse

Es erscheint fraglich, ob sich die Hamburgische Datenschutzbehörde mit der Entscheidung einen Gefallen tut. Zwar war die Behörde zunächst – beflügelt durch die weite Auslegung des Begriffes „im Rahmen der Tätigkeiten einer Niederlassung“ im mittlerweile berühmten Google Spain-Urteil des EuGH – davon ausgegangen, dass jede Niederlassung im Inland zugleich die Anwendbarkeit deutschen Datenschutzrechts bewirkt. Dabei verkennt die Behörde aber einen gravierenden Unterschied: Während die Google Spain-Entscheidung mit einer weiten Auslegung des Niederlassungsbegriffs operiert, um überhaupt das europäische Datenschutzrecht zur Anwendung bringen zu können, geht es im vorliegenden Fall um den Konflikt zweier innerstaatlicher Rechte, die jeweils – lediglich – der Umsetzung der vollharmonisierend wirkenden Datenschutzrichtlinie 95/46/EG (EuGH) dienen. Es ist also keineswegs so, dass die Betroffenen WhatsApp-Nutzer hier schutzlos gestellt wären. Vielmehr wird sich sehr wohl die Frage nach der Rechtmäßigkeit der Übermittlung personenbezogener Daten an WhatsApp stellen – nur eben nicht auf Basis des deutschen, sondern des irischen Datenschutzrechts. Denn es ist verhältnismäßig naheliegend, dass eine wesentlich engere Verbindung dieses Vorgangs zur irischen Facebook-Niederlassung bestehen wird, die für den Facebook-Dienst und damit die Datenverwendung verantwortlich ist, wenn zugleich die deutsche Niederlassung lediglich Werbung verkauft. Es ist daher anzunehmen, dass der Bescheid des Hamburgischen Datenschutzbeauftragten eher in die Rubrik der Symbolpolitik einzusortieren ist. Rechtlich wird die Verfügung voraussichtlich ohne Wirkung bleiben. Es bleibt freilich abzuwarten, wie sich die irische Datenschutzbehörde zu dem Thema positionieren wird.

Wer braucht heute noch Datenschutz, wenn es Schokolade gibt?

Die etwas provokative Frage hat einen ernsten Hintergrund: Denn während der Gesetzgeber das Datenschutzrecht unlängst drastisch „nachgeschärft“ hat (EU-Datenschutz-Grundverordnung), scheint Datenschutz für den Betroffenen eine zunehmend geringere Rolle zu spielen. Subjektiv beschleicht einen dieses Gefühl schon seit Längerem. Während mancher Datenschützer die Verarbeitung personenbezogener Daten mitunter als Werk des Teufels anzusehen scheint, interessiert das die Nutzer sozialer Medien zunehmend wenig. Mitunter findet sich der Alltag des Einzelnen minutiös dokumentiert auf Facebook, Twitter & Co. – einschließlich Bewegungsprofil, kulinarischen und sonstigen Vorlieben.

Schokolade gegen Passwort

Vor diesem Hintergrund verwundert also nicht, worüber SPIEGEL Online nun berichtet: In einer Studie waren knapp 50% der Teilnehmer dazu bereit, ihr Passwort herauszugeben, wenn ihnen zuvor eine Tafel Schokolade(!) geschenkt wurde. Die Autoren der Studie schlussfolgern:

Sie zeigen, dass viele von uns den Herausforderungen unseres Informationszeitalters noch nicht gewachsen sind. Deshalb muss das Wissen um Gefahren und Konsequenzen unseren digitalen Handelns in den Fokus unserer gesellschaftlichen Mediendebatte rücken.

Diese Schlussfolgerung verwundert indes. Denn an öffentlicher Debatte um die Folgen digitalen Handelns herrscht nun wahrlich kein Mangel. Vielmehr scheint sich bei Vielen schlicht eine gewisse Gleichgültigkeit eingestellt zu haben. So lässt die Studie auch die Schlussfolgerung zu, dass die Probanden der Sicherheit und dem Schutz persönlicher Daten nicht die Bedeutung zumessen, die die Urväter des Bundesdatenschutzgesetzes historisch im Sinn hatten (zu dem Gesetzesmaterialien hier). Wenn man so will, entfernt sich der Regulierungsansatz des Gesetzgebers von dem Bedrohungsempfinden derjenigen, die eigentlich geschützt werden sollen. Und wirft die Frage auf, ob es opportun erscheint, einem Betroffenen Schutz aufzudrängen, den dieser offenbar gar nicht (mehr) für notwendig erachtet.

Misstrauen in die Privatautonomie

Dahinter steckt in Wahrheit eine gehörige Portion Misstrauen in die Privatautonomie des Einzelnen, die doch eigentlich durch das Grundrecht auf informationelle Selbstbestimmung gestärkt werden soll. Der Gesetzgeber glaubt – nicht zum ersten Mal – besser zu wissen, welchen Schutz vor Datenverarbeitung der Bürger benötigt. Die Ergebnisse der Studie zeigen, dass mehr Regulierung nicht unbedingt mehr Schutz und Sicherheit bedeutet, sondern auch zu Ermüdungserscheinungen führen kann. Dem Gesetzgeber sollte dies ein Menetekel sein.

Die Zulässigkeit der Übermittlung personenbezogener Kundenstammdaten zum Vollzug eines Asset Deals

Die Verordnung (EU) 2016/679 des Europäischen Parlamentes und Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – DSGVO) ist am 25.5.2016 in Kraft getreten. Ihre Regelungen gelten ab dem 25.5.2018 (Art. 99 DSGVO). Damit stellt sich – wie in vielen Bereichen – auch für Unternehmensverkäufe die Frage nach den Auswirkungen. Denn würden sich die datenschutzrechtlichen Vorgaben unter der Datenschutz-Grundverordnung verschärfen, könnte dies Anlass genug sein, eine Unternehmenstransaktion möglichst noch vor Wirksamwerden der neuen Vorschriften abzuwickeln. Der vorliegende Beitrag geht der Frage nach, unter welchen Voraussetzungen der Veräußerer eines Unternehmens im Wege des Asset Deals heute und nach dem ab 2018 geltenden Recht die Möglichkeit hat, zum Vollzug der Transaktion personenbezogene Daten über seinen Kundenstamm – als Bestandteil des Unternehmens oder isoliert – in zulässiger Weise an den Erwerber weiterzugeben.

Dieser Frage gehe ich in einem Fachaufsatz in der heute erschienen Ausgabe der Computer und Recht nach (CR 2016, 417-424).

Bundesdatenschutzgesetz – Gesetzgebungsmaterialien hier zum Download

Zwar wirft die Datenschutz-Grundverordnung ihre Schatten voraus. Gleichwohl ist bis Mai 2018 noch das Bundesdatenschutzgesetz „Trumpf“. Die für die Auslegung relevanten Gesetzgebungsmaterialien haben wir hier für Sie zum Download zusammengestellt:

BDSG 1977

Gesetzentwurf der Bundesregierung vom 21.09.1973 (BT-Drs. 7/1027):
BT-Drs-7-1027

Bericht und Antrag des Innenausschusses vom 02.06.1976 (BT-Drs. 7/5277):
BT-Drs-7-5277

BDSG 1990

Gesetzentwurf der Bundesregierung vom 06.04.1989 (BT-Drs. 11/4306):
BT-Drs-11-4306

Beschlussempfehlung und Bericht des Innenausschusses vom 29.05.1990 (BT-Drs. 11/7235):
BT-Drs-11-7235

Beschlussempfehlung des Vermittlungsausschusses vom 14.09.1990 (BT-Drs. 11/7843):
BT-Drs-11-7843

Beschluss des Bundesrates vom 20.09.1990 (BR-Drs. 621/90):
BR-Drs-621-90

BDSG 2001

Gesetzentwurf der Bundesregierung vom 13.10.2000 (BT-Drs. 14/4329):
BT-Drs-14-4329

Beschlussempfehlung und Bericht des Innenausschusses vom 04.04.2001 (BT-Drs. 14/5793):
BT-Drs-14-5793

Beschluss des Bundesrates vom 20.04.2001 (BR-Drs. 279/01):
BR-Drs-279-01

BDSG 2009 – Novelle I

Gesetzentwurf der Bundesregierung vom 10.10.2008 (BT-Drs. 16/10529):
BT-Drs-16-10529

Beschlussempfehlung und Bericht des Innenausschusses vom 27.05.2009 (BT-Drs. 16/13219):
BT-Drs-16-13219

BDSG 2009 – Novelle II

Gesetzentwurf der Bundesregierung vom 18.02.2009 (BT-Drs. 16/12011):
BT-Drs-16-12011

Beschlussempfehlung und Bericht des Innenausschusses vom 01.07.2009 (BT-Drs. 16/13657):
BT-Drs-16-13657

BDSG 2009 – Novelle III

Gesetzesbeschluss des Bundestages vom 03.07.2009 (BR-Drs. 639/09):
BR-Drs-639-09

BDSG 2009 – Novelle 2014

Gesetzentwurf der Bundesregierung vom 13.10.2014 (BT-Drs. 18/2848):
BT-Drs-18-2848

Beschlussempfehlung und Bericht des Innenausschusses vom 17.12.2014 (BT-Drs. 18/3598):
BT-Drs-18-3598

Ungekürzte Wiedergabe. Die Drucksachen entstammen der Parlamentsdokumentation des Deutschen Bundestages, Platz der Republik 1, 11011 Berlin.