Urteile zur Rechtmäßigkeit von Datenverarbeitungen

Die Verarbeitung personenbezogener Daten ist nach der DS-GVO nur zulässig, wenn eine der vorgegebenen Rechtsgrundlagen nach Art. 6 bzw. Art. 9 DS-GVO einschlägig sind. Eine Datenverarbeitung ist demnach grundsätzlich verboten, wenn sie nicht ausdrücklich erlaubt ist (sog. Erlaubnisvorbehalt). Zu den Rechtsgrundlagen zählen insbesondere

  • die Anbahnung eines Vertrags,
  • die Erfüllung einer vertraglichen Pflicht,
  • die Erfüllung einer gesetzlichen Pflicht,
  • der Schutz lebenswichtiger Interessen,
  • die Wahrnehmung öffentlich-rechtlicher Aufgaben,
  • das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten sowie
  • die Einwilligung in die Datenverarbeitung.

Ob und welche Rechtsgrundlage anwendbar ist, muss im Einzelfall geprüft werden und ist nicht immer ganz eindeutig. Werden personenbezogene Daten an Stellen außerhalb der EU bzw. des EWR (sog. Drittländer) übermittelt, in denen die DS-GVO nicht direkt gilt, müssen zusätzlich die Vorgaben der Art. 44 ff. DS-GVO beachtet werden. Dementsprechend müssen Gerichte immer wieder über die Rechtmäßigkeit von Datenverarbeitungen entscheiden. Besonders umstritten ist die Frage, wann eine Einwilligung wirksam erteilt wurde, aber auch die anderen Rechtsgrundlagen führen zu Rechtsstreitigkeiten:

Die Beweislast, dass eine Einwilligung wirksam erteilt wurde, liegt einzig beim verantwortlichen Unternehmen. Ein auf Basis einer telefonischen Erklärung des Betroffenen vorausgefülltes Kästchen auf einem Vertrag, ist als Nachweis nicht ausreichend, auch wenn der Kunde den Vertrag anschließend unterschreibt. Es kann nicht sichergestellt werden, dass der Kunde die entsprechende Passage liest und sich bewusst ist, dass er eine Einwilligung erteilen soll. Zudem ist die Freiwilligkeit der Einwilligung zweifelhaft, wenn eine Ablehnung schriftlich bestätigt werden muss und dem Kunden nicht eindeutig klar ist, dass ein Vertragsabschluss auch ohne Einwilligung zur Speicherung einer Personalausweiskopie möglich ist.

In den USA herrscht aufgrund der Zugriffsmöglichkeiten der US-Behörden sowie fehlender Rechtsbehelfe kein angemessenes Schutzniveau für personenbezogene Daten. Das EU-US-Privacy-Shield ist demnach ungültig und kann nicht als Rechtsgrundlage für die Datenübermittlung in die USA herangezogen werden. Der Anwendbarkeit der Standardvertragsklauseln steht dies grundsätzlich allerdings nicht entgegen, wobei das Schutzniveau stets geprüft und die Regeln ggf. zu ergänzen sind.

Für die Erteilung einer Einwilligung ist ein aktives Handeln des Betroffenen erforderlich. Eine Einwilligung für Cookies auf Websites durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, ist nicht ausreichend. Auf Bundesebene bestätigte der BGH diese Ansicht ebenfalls (Urteil v. 25.08.2020, Az.: I ZR 7/16).

Für die Telefonwerbung gegenüber Verbrauchern ist deren wirksame Einwilligung erforderlich, wobei hier ein Double-Opt-In-Verfahren über E-Mail nicht geeignet ist. Da nicht zwangsläufig ein Zusammenhang zwischen der Rufnummer und der E-Mail-Adresse besteht, ist eine Dokumentation der Einwilligung über das Double-Opt-In-Verfahren über E-Mail nicht möglich. Dadurch fehlt es an einer Nachweisbarkeit der Einwilligung und die Voraussetzungen der Art. 6 Abs. 1 S. 1 lit. a), 7 DS-GVO werden nicht erfüllt. Ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f) DS-GVO (überwiegendes berechtigtes Interesse) ist aufgrund von § 7 Abs. 2 Nr. 2 UWG, der die Zulässigkeit von Werbemaßnehmen regelt, nicht möglich.

Die Veröffentlichung von Fototaufnahmen auf Facebook-Fanpages stellt eine Verarbeitung personenbezogener Daten dar und bedarf einer Rechtsgrundlage nach Art. 6 DS-GVO. Das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO kommt hier grundsätzlich in Betracht. Bei der erforderlichen Interessenabwägung muss auf Seiten des Betroffenen allerdings berücksichtigt werden, welche enormen Risiken durch die Veröffentlichung im Internet und die Reichweite der Plattform bestehen. Zudem ist zu prüfen, ob ein Verpixeln der identifizierbaren Personen nicht denselben Zweck erfüllen würde. Im vorliegenden Fall hätte der beklagte Politiker bei der Aufnahme von der Straße die Gesichter des klagenden Ehepaares zur Erreichung des Zwecks ebenso verpixeln können. Die Datenverarbeitung war demnach unzulässig.

Ein Energieunternehmen hat ein Gewinnspiel angeboten und die Teilnahme davon abhängig gemacht, dass der Nutzer seine E-Mail-Adresse und Telefonnummer angibt und Telefonwerbung zustimmt. Das OLG Frankfurt hat entschieden, dass der Erhalt von Vergünstigungen an die Herausgabe von Daten und die Einwilligung zu Werbeanrufen/-E-Mails gekoppelt werden darf.

Die Verarbeitung von Echtdaten von Beschäftigten zu Testzwecken für ein Personalinformationssystem kann nicht auf § 26 BDSG gestützt werden, da die Verarbeitung für die Durchführung Beschäftigungsverhältnis nicht erforderlich ist. Da fiktive Daten zur Erreichung des Zwecks ebenso geeignet sind, wie Echtdaten, greift auch Art. 6 Abs. 1 S. 1 lit. f) DS-GVO nicht als Rechtsgrundlage. Die Verarbeitung kann auf eine Betriebsvereinbarung gestützt werden, insoweit dort alle betreffenden Datenkategorien vollständig aufgelistet sind. Allein die Tatsache, dass eine Datenverarbeitung unzulässig ist, begründet allerdings noch keinen Schadensersatzanspruch der Mitarbeiter nach Art. 82 DS-GVO.

Für den Aushang eines Mietvertrags an einer öffentlichen Straße besteht keine Rechtsgrundlage nach Art. 6 DS-GVO, da dies weder zur Vertragserfüllung erforderlich ist noch ein berechtigtes Interesse des Vermieters besteht. Die Mieterin hat einen Unterlassungsanspruch gegen den Vermieter, dieser ist nicht von Art. 72 DS-GVO gesperrt.

Nach der DS-GVO dürfen Inkassofirmen persönliche Daten von Verbrauchern nicht an Auskunfteien wie die Schufa weitergeben, wenn eine Forderung von den Betroffenen als unberechtigt zurückgewiesen wurde. Entsprechende Drohungen in Zahlungsaufforderungen sind wettbewerbswidrig.

Die Klägerin war im Bereich der Versicherungsvermittlung tätig und betrieb in diesem Zusammenhang telefonische Werbeansprachen. Die Datenschutzbehörde sah hierin eine Verletzung der DS-GVO und erließ eine Unterlassungsverfügung, entsprechende Daten zur Telefonwerbung zu benutzen, wenn keine wirksame Einwilligung vorlag. Die Klägerin wehrte sich vergeblich gerichtlich gegen die Verfügung. Das von ihr behauptete Double-Opt-In-Verfahren könne allenfalls eine Zustimmung zur E-Mail-Werbung dokumentieren, jedoch nicht zur Telefonwerbung. Auch auf die berechtigten Interessen nach Art. 6 Abs.1 f) DS-GVO könne sich die Klägerin nicht berufen.