Seit dem Inkrafttreten der DS-GVO sind fast zwei Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der der Abmahnfähigkeit von DS-GVO-Verstößen, der Reichweite des Auskunftsanspruchs oder zu der Einwilligung beim Einsatz von Cookies sowie über aktuell verhängte interessante Bußgelder aus Irland, Rumänien und Schweden. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von der Missachtung der Meldepflicht von Datenschutzverletzungen über Sicherheitslücken bis hin zu mangelhaften TOMs.

Urteil des BGH: Einwilligung bei Cookies

Fallbeschreibung

Das verklagte Unternehmen veranstaltete eine Reihe von Gewinnspielen, bei denen die Teilnahme an die Zustimmung zum Erhalt von Werbung gekoppelt war. Der User konnte zwei Haken setzen bzw. entfernen – einen, um der Kontaktaufnahme verschiedener Firmen zu Werbezwecken zuzustimmen, und einen für die Einwilligung zur Nutzung von Tracking-Cookies. Besonders kritisch war die Zustimmung zum Setzen des Tracking-Cookies, da hier der Haken bereits voreingestellt war. Der User musste den Haken also aktiv entfernen, um das Setzen des Cookies zu verhindern (Opt-Out-Verfahren).

Entscheidung des BGH

Wie auch der EuGH entschied sich nun der BGH dafür, dass die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens, das zur Verweigerung der Einwilligung abgewählt werden muss, als rechtlich unzulässig einzustufen ist. Vorangewählte Ankreuzkästchen reichen also für die Einholung einer wirksamen Einwilligung nicht aus. Stattdessen ist eine aktive Zustimmung erforderlich, damit Tracking-Cookies gesetzt werden dürfen. Auch die Einwilligung zur Weitergabe der Daten an Sponsoren hielt der gerichtlichen Überprüfung durch den BGH nicht stand. Zwar war hier die Anforderung der aktiven Zustimmung erfüllt, jedoch waren die Informationen für den Gewinnspielteilnehmer zu unbestimmt.

(BGH, Urteil v.28.05.2020, Az.: I ZR 7/16)

Infokasten: Mehr Informationen zum Urteil

Die Entscheidung des BGH stellt klar, dass viele Cookiebanner einer gerichtlichen Prüfung nicht standhalten werden. Eine ausführliche Darstellung des Urteils finden Sie in unserem Artikel „Datenschutz-Urteile des BGH: Cookies & Abmahnungen

Vorlage-Beschluss des BGH: Abmahnfähigkeit von Datenschutzverstößen

Fallbeschreibung

Beklagte ist ein in Irland ansässiges soziales Netzwerk, der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Das soziale Netzwerk stellte seinen Nutzern auf der unternehmenseigenen Internetplattform ein „App-Zentrum“ zur Verfügung, über das Nutzer kostenlos Online-Spiele anderer Anbieter spielen konnten. Unter denen im November 2012 angebotenen Spielen war unter dem Button „Spiel spielen“ ein Text eingebaut, der dem Nutzer mitteilte welche Rechte die App erhielt, sollte man das Spiel spielen. Laut dem Text erhielt die App Berechtigungen, allgemeine Informationen, die E-Mail-Adresse und Statusmeldungen des Nutzers zu lesen sowie auch Benachrichtigungen in dessen Namen zu posten und „mehr“.

Der Dachverband der Verbraucherzentralen sah darin einen Verstoß gegen § 13 Abs. 1 Satz 1 Telemediengesetz (TMG). Da die Hinweise zu Umfang und Zweck der Erhebung sowie zur Verwendung der Nutzerdaten unzureichend sind, ging der Kläger zudem davon aus, dass das soziale Netzwerk keine wirksame Grundlage für eine wirksame Einwilligung in die Verarbeitung der Daten hat. Auch sei der rechtsverbindliche Charakter der Einwilligung für junge Verbraucher nur schwer erkennbar.

Letztlich hielt der Dachverband der Verbraucherzentralen der Bundesländer die verletzten datenschutzrechtlichen Vorschriften für Marktverhaltensregelungen des Gesetzes gegen den Unlauteren Wettbewerb (UWG). Diese sind dazu da, das Marktverhalten im Interesse der Marktteilnehmer zu regeln. Wird gegen diese Regeln verstoßen, kann das die Interessen von Verbrauchern spürbar beeinträchtigen. Damit begründet der Verband wettbewerbsrechtliche Unterlassungsansprüche.

Somit ging es in dem vorliegenden Fall wieder einmal um die Frage: Können Datenschutzverstöße abgemahnt werden? Konkret musste der BGH entscheiden, ob der Verbraucherschutzverband wettbewerbsrechtliche Unterlassungsansprüche gegen den Betreiber dieses sozialen Netzwerks geltend machen kann, wenn dieses Ihren datenschutzrechtlichen Transparenzpflichten nicht nachkommt.

Entscheidung des BGH

Der BGH hat das Verfahren mit seiner Entscheidung vom 28.05.2020 ausgesetzt und die zentrale Frage dem EuGH zur Vorabentscheidung weitergeleitet. Damit landet der Dauerbrenner nun in Luxemburg. Konkret will der BGH von den europäischen Richtern wissen, ob die Regelungen in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der DS-GVO nationalen Regelungen entgegenstehen, bei denen neben den staatlichen Aufsichtsbehörden und Betroffenen Personen auch Mitbewerber, berechtigten Verbände, Einrichtungen und Kammern die Befugnis haben, gegen Datenschutzverletzungen vor den Zivilgerichten vorzugehen.

(BGH, Beschluss v. 28.05.2020, Az.: I ZR 186/17)

Urteil des Landgerichts Osnabrück: Unzulässige Weitergabe von persönlichen Daten an Auskunfteien

Fallbeschreibung

Ein Inkassounternehmen hatte von einem Verbraucher rund 500 Euro für ein Möbelstück gefordert. Der Kunde war vom Kaufvertrag allerdings wegen verspäteter Lieferung rechtmäßig zurückgetreten. In der Kopfzeile des Inkassobriefs stand eine Empfehlung fristgerecht zu zahlen um weitere Kosten und Auswirkungen auf die Kreditwürdigkeit zu vermeiden.

Entscheidung des LG Osnabrück

Das LG erachtete die Verwendung einer solchen Klausel für unlauter und untersagte dem Inkassounternehmen, Verbraucher auf diese Art zum Ausgleich eines Geldbetrags aufzufordern, da der Betroffene hier aufgrund der Formulierung befürchten müsse, im Falle einer Nichtzahlung eine Schufameldung zu erhalten. Dieses Vorgehen wäre jedoch datenschutzrechtlich unzulässig. Gemäß DS-GVO dürften Inkassofirmen persönliche Daten von Verbrauchern nicht an Auskunfteien wie die Schufa weitergeben, wenn eine Forderung von den Betroffenen als unberechtigt zurückgewiesen wurde.

(LG Osnabrück, Urteil v. 29.04.2020, Az.: 18 O 400/19)

Infokasten: Mehr Informationen zur Abmahnfähigkeit

Mehr Informationen zu den Urteilen zur Abmahnfähigkeit von Datenschutzverstößen können Sie in unserem Artikel „Abmahnfähigkeit von Datenschutz-Verletzungen“ nachlesen.

Frankreich: 50.000.000 Euro wegen der Missachtung der Transparenzpflicht

Die französische Datenschutzbehörde CNIL hat gegen den Internetkonzern Google eine Strafzahlung in Höhe von 50 Millionen Euro verhängt. Die Aufsichtsbehörde ist der Meinung, dass Google zum einen seine Transparenz- und Informationspflichten verletzt habe. Dies wird dadurch begründet, dass Google den Nutzern Informationen zur Verwendung der erhobenen Daten und zum Speicherzeitraum nicht einfach genug zugänglich macht. Die Informationen sind über mehrere Dokumente verteilt und zudem nur über mehrere Links und Buttons erreichbar. Außerdem sind einige der Informationen unklar formuliert. Weiterhin bemängelte die Behörde, dass die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung ungültig sei, weil die Nutzerinnen nicht ausreichend informiert würden.

Zwar legte Google gegen das Bußgeld der CNIL eine Beschwerde ein, diese wurde jedoch vom obersten französischen Verwaltungsgericht, dem Conseil d’ Etat nun, zurückgewiesen. Google begründete die Einwände gegen das Bußgeld damit, dass die CNIL überhaupt nicht zuständig gewesen sei, da sich der europäische Hauptsitzt von Google in Irland befindet. Laut dem „One-Stop-Shop-Prinzip“ (Art. 56 DS-GVO) erhält jedes Unternehmen für grenzüberschreitende Datenverarbeitungsvorgänge einen einheitlichen Ansprechpartner – im Regelfall die Aufsichtsbehörde am Sitz der Hauptniederlassung. Diese Aufsichtsbehörde trägt sodann auch die Hauptverantwortung.

Doch genau dieses One-Stop-Shop-Prinzip wurde Google hier zum Verhängnis, da darin nämlich klar geregelt ist, dass die Aufsichtsbehörde am Sitz der „Hauptniederlassung“ zuständig ist. Die Datenschutzmängel gingen auf das Konto der Stammfirma „Google LLC“ diese hat ihren Hauptsitz in den USA, womit das Prinzip aus Art. 56 DS-GVO hier nicht mehr anwendbar ist und die CNIL tatsächlich zum maßgeblichen Zeitpunkt befugt war, das Bußgeld gegen Google zu verhängen.

Insgesamt stellte der Conseil d’Etat fest, dass es der Entscheidung der CNIL nichts auszusetzen gebe. Die CNIL habe die Schlüsselprinzipien rund um die Bereiche Transparenz- und Informationspflichten korrekt angewendet.

Berlin: 6.000 Euro wegen der Veröffentlichung von Kontaktdaten ohne Einwilligung

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte ein Bußgeld in Höhe von 6.000 Euro gegen den Landesverband einer Berliner Partei. Dieser veröffentlichte im Februar 2018 auf seiner Internseite eine Karte von Google Maps, auf der Einrichtungen für Asylsuchende verzeichnet waren. Zu jedem dieser Standorte wurden auch die Namen, Telefon- und Handynummern sowie die E-Mail-Adressen der dort tätigen Helfer angegeben. Die Karte wurde zwar von Goolge gesperrt, da diese auch Verletzungen gegen die eigenen Richtlinien von Google aufwies, jedoch waren die Daten weiterhin leicht über den Quelltext der Seite abzurufen.

Interessant an dem kürzlich bekannt gewordenen Fall ist, dass die gesammelten Kontaktdaten aus anderen öffentlichen Quellen stammen und so und so bereits im Internet aufzufinden waren. Die Verarbeitung von personenbezogenen Daten ist jedoch nur rechtmäßig, wenn einer der Gründe, wie z. B. das berechtigte Interesse, aus Art. 6 DS-GVO zutrifft. Ein berechtigtes Interesse des Landesverbands war aus Sicht der Aufsichtsbehörde jedoch hier nicht gegeben. Die schutzwürdigen Interessen der Flüchtlingshelfer, dass deren Kontaktdaten nicht auf einer Plattform für Flüchtlingsgegnerinnen- und gegner bekannt gemacht werden, wiegen eindeutig höher, als das Interesse des Verbandes die Daten zu veröffentlichen.

Folglich hätte der Verband Einwilligungen der betroffenen Personen einholen müssen. Da dies vorliegend nicht der Fall war und die Daten ohne Zustimmung der Betroffenen veröffentlicht wurden, verhängte die Aufsichtsbehörde ein Bußgeld. Gegen den Bußgeldbescheid wurde Einspruch erhoben. Eine Gerichtsentscheidung hierzu steht  noch aus.

Irland: 75.000 Euro wegen der Offenlegung von Kontakt- bzw. Standortdaten von Kindern

Die irische Datenschutzaufsichtsbehörde verhing erstmalig ein Bußgeld gegen eine öffentliche Stelle aufgrund von Verstößen gegen die DSGVO. Eine irische Behörde für Kinder und Familien meldete im Zeitraum von Februar bis Mai 2019 drei Datenschutzverletzungen, die daraufhin von der Datenschutzbehörde untersucht wurden:

  1. Die Kontakt- und Standortdaten eines Kindes und deren Mutter wurden gegenüber einem mutmaßlichen Täter (Missbrauch) offengelegt
  2. Die Adress-, Standort- und Schuldaten eines Kindes und dessen Pflegefamilie wurden den Großeltern des Kindes offengelegt. Die Großeltern konnten das Kind somit kontaktieren.
  3. Die Adressdaten eines Kindes und dessen Pflegefamilie wurden dem inhaftierten leiblichen Vater des Kindes offengelegt.

In allen drei Fällen bemängelte die Behörde auch die mangelhafte Umsetzung technischer und organisatorischer Maßnahmen im Umgang mit den personenbezogenen Daten der Betroffenen. Die Organisation gab an, an einem verbesserten Konzept für den Umgang mit personenbezogenen Daten zu arbeiten.

Rumänien: 5.000 Euro wegen der Übermittlung von Ausweiskopien via Whatsapp

Die rumänische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 5.000 Euro gegen eine Bank. Grund hierfür war das fehlerhafte Verhalten eines Mitarbeiters. Dieser hatte Ausweiskopien von Kunden, zu denen auch minderjährige Personen und deren gesetzliche Vertreter zählten, per Whatsapp versandt. Hierzu nutzte der Bankmitarbeiter sein privates Smartphone. Die Aufsichtsbehörde kam hier zum Schluss, dass die Bank keinerlei Maßnahmen ergriffen hatte, um sicherzustellen, dass die Verarbeitung von Daten nur auf Anweisung erfolgt. Weiterhin wurde auch festgestellt, dass bei der Bank keine Maßnahmen vorhanden sind, die ein angemessenes Schutzniveau der Daten sicherstellen können.

Schweden: 18.700 Euro wegen der verspäteten Meldung einer Datenpanne

Bei einem Unternehmen in Schweden, das für die Koordinierung der Verwaltung von Regierungsbehörden zuständig ist, führte ein Fehler im IT-System der Gehaltsabrechnung zu einer Datenpanne. Durch den Fehler erhielten Unbefugte Zugriff auf personenbezogene Daten des Personals. Das Unternehmen informierte jedoch weder die betroffenen Personen, noch meldete sie die Datenpanne der zuständigen Aufsichtsbehörde. Die Meldung an die Aufsichtsbehörde erfolgte erst nach 3 Monaten und die Benachrichtigung der betroffenen Personen erst nach 5 Monaten. Die schwedische Datenschutzbehörde verhängte daher  ein Bußgeld in Höhe von umgerechnet 18.700 Euro.

Infokasten: Mehr Informationen zum Bußgeld

Weitere interessante Bußgelder aus ganz Europa finden Sie in unserer Bußgeldübersicht. Dort finden Sie auch Informationen darüber, anhand welcher Kriterien die Höhe eines Bußgelds bemessen wird. Detailierte Erläuterungen zum Bußgeld-Begriff, den Befugnissen der Aufsichtsbehörde und der Bußgeldberechnung finden Sie in unserem Datenschutz-ABC!

Infokasten: Mehr Informationen zum Bußgeld

Weitere interessante Bußgelder aus ganz Europa finden Sie in unserer Bußgeldübersicht. Dort finden Sie auch Informationen darüber, anhand welcher Kriterien die Höhe eines Bußgelds bemessen wird. Detailierte Erläuterungen zum Bußgeld-Begriff, den Befugnissen der Aufsichtsbehörde und der Bußgeldberechnung finden Sie in unserem Datenschutz-ABC!