Urteile zur Rechtmäßigkeit von Datenverarbeitungen

Die Verarbeitung personenbezogener Daten ist nach der DS-GVO nur zulässig, wenn eine der vorgegebenen Rechtsgrundlagen nach Art. 6 bzw. Art. 9 DS-GVO einschlägig sind. Eine Datenverarbeitung ist demnach grundsätzlich verboten, wenn sie nicht ausdrücklich erlaubt ist (sog. Erlaubnisvorbehalt). Zu den Rechtsgrundlagen zählen insbesondere

  • die Anbahnung eines Vertrags,
  • die Erfüllung einer vertraglichen Pflicht,
  • die Erfüllung einer gesetzlichen Pflicht,
  • der Schutz lebenswichtiger Interessen,
  • die Wahrnehmung öffentlich-rechtlicher Aufgaben,
  • das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten sowie
  • die Einwilligung in die Datenverarbeitung.

Ob und welche Rechtsgrundlage anwendbar ist, muss im Einzelfall geprüft werden und ist nicht immer ganz eindeutig. Werden personenbezogene Daten an Stellen außerhalb der EU bzw. des EWR (sog. Drittländer) übermittelt, in denen die DS-GVO nicht direkt gilt, müssen zusätzlich die Vorgaben der Art. 44 ff. DS-GVO beachtet werden. Dementsprechend müssen Gerichte immer wieder über die Rechtmäßigkeit von Datenverarbeitungen entscheiden. Besonders umstritten ist die Frage, wann eine Einwilligung wirksam erteilt wurde, aber auch die anderen Rechtsgrundlagen führen zu Rechtsstreitigkeiten:

Die Beweislast, dass eine Einwilligung wirksam erteilt wurde, liegt einzig beim verantwortlichen Unternehmen. Ein auf Basis einer telefonischen Erklärung des Betroffenen vorausgefülltes Kästchen auf einem Vertrag, ist als Nachweis nicht ausreichend, auch wenn der Kunde den Vertrag anschließend unterschreibt. Es kann nicht sichergestellt werden, dass der Kunde die entsprechende Passage liest und sich bewusst ist, dass er eine Einwilligung erteilen soll. Zudem ist die Freiwilligkeit der Einwilligung zweifelhaft, wenn eine Ablehnung schriftlich bestätigt werden muss und dem Kunden nicht eindeutig klar ist, dass ein Vertragsabschluss auch ohne Einwilligung zur Speicherung einer Personalausweiskopie möglich ist.

(Az.: C-61/19)

In den USA herrscht aufgrund der Zugriffsmöglichkeiten der US-Behörden sowie fehlender Rechtsbehelfe kein angemessenes Schutzniveau für personenbezogene Daten. Das EU-US-Privacy-Shield ist demnach ungültig und kann nicht als Rechtsgrundlage für die Datenübermittlung in die USA herangezogen werden. Der Anwendbarkeit der Standardvertragsklauseln steht dies grundsätzlich allerdings nicht entgegen, wobei das Schutzniveau stets geprüft und die Regeln ggf. zu ergänzen sind.

(Az.: C 311/18)

Für die Erteilung einer Einwilligung ist ein aktives Handeln des Betroffenen erforderlich. Eine Einwilligung für Cookies auf Websites durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, ist nicht ausreichend. Auf Bundesebene bestätigte der BGH diese Ansicht ebenfalls (Urteil v. 25.08.2020, Az.: I ZR 7/16).

(Az.: C-673/17)

Fallbeschreibung:

Ein Unternehmen war im Bereich der Versicherungsvermittlung tätig. Hierzu wurden unter anderem telefonische Werbeansprachen genutzt. Ein Ehepaar wandte sich an die für sie zuständige Datenschutzbehörde und erklärte, dass es ohne Einwilligung von dem Versicherungsunternehmen zu Werbezwecken per Telefon kontaktiert wurde. Auf Nachfrage der Datenschutzbehörde erklärte das Unternehmen, dass eine Einwilligung in die telefonische Werbeansprache vorliegt. Bei der Teilnahme an einem Gewinnspiel auf der Website des Unternehmens hat das Ehepaar das Einverständnis in Telefonwerbung unter der angegebenen Telefonnummer erteilt. Dabei wurde das Double-Opt-In-Verfahren vollständig durchlaufen. Auf Nachfrage der Datenschutzbehörde erklärte das Ehepaar, dass ihm die genannte E-Mail-Adresse unbekannt ist und es weder eine Eintragung zu dem benannten Gewinnspiel noch eine entsprechende Bestätigung über die angegebene E-Mail-Adresse vorgenommen hat.

Entscheidung des OVG Saarland:

Das OVG Saarland stellte fest, dass ein per Internet-Gewinnspiel erhobenes Opt-In keinen Nachweis für den Werbekanal Telefon begründen kann. Technisch ist es nämlich nicht möglich zu klären, ob der Inhaber der betreffenden E-Mail-Adresse auch Besitzer der angegebenen Rufnummer ist. Das behauptete Double-Opt-In-Verfahren im Gewinnspiel kann also maximal eine Zustimmung zur E-Mail-Werbung dokumentieren, nicht aber zur Telefonwerbung. Auch auf ein berechtigtes Interesse an einer Datenverarbeitung – ohne Einwilligung – im Sinne des Art. 6 Abs. 1 lit. f) DS-GVO kann sich das Unternehmen aufgrund einer wettbewerbswidrigen Verarbeitung ebenfalls nicht berufen. Es ist dem Unternehmen daher ist nicht gelungen, den Nachweis zu führen, dass das Ehepaar in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Mit dieser Entscheidung hat das OVG Saarland nochmals die geltende Rechtsprechung, nach der das Double-Opt-In-Verfahren per E-Mail für die Einholung einer Einwilligung in telefonische Werbung nicht ausreicht, bestätigt.

(OVG Saarland, Beschluss v. 16.02.2021, Az.: 2 A 355/19)

Die Veröffentlichung von Fototaufnahmen auf Facebook-Fanpages stellt eine Verarbeitung personenbezogener Daten dar und bedarf einer Rechtsgrundlage nach Art. 6 DS-GVO. Das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO kommt hier grundsätzlich in Betracht. Bei der erforderlichen Interessenabwägung muss auf Seiten des Betroffenen allerdings berücksichtigt werden, welche enormen Risiken durch die Veröffentlichung im Internet und die Reichweite der Plattform bestehen. Zudem ist zu prüfen, ob ein Verpixeln der identifizierbaren Personen nicht denselben Zweck erfüllen würde. Im vorliegenden Fall hätte der beklagte Politiker bei der Aufnahme von der Straße die Gesichter des klagenden Ehepaares zur Erreichung des Zwecks ebenso verpixeln können. Die Datenverarbeitung war demnach unzulässig.

(Az.: 11 LA 16/20)

Fallbeschreibung

Eine Stammkundin einer Bäckerei war wieder einmal zum Frühstücken in dem an die Bäckerei angeschlossenen Café. Allerdings verlief dieser Besuch scheinbar nicht so reibungslos wie die vorherigen Besuche, sodass sich die Kundin im Anschluss an diesen Besuch dazu entschlossen hat, auf Google eine Rezension über das Café zu veröffentlichen. Im Oktober 2019 verfasste die Frau folgende Bewertung: „Ich bin hier immer zum Frühstücken und sonst auch immer zufrieden und finde das Team sehr sehr nett aber wurde heute so unfreundlich „bedient“ von Frau …! Nicht schön in einer Bäckerei zu arbeiten aber Menschen derart unfreundlich zu behandeln.“ In der Bewertung wurde zum einen der Nachname der Mitarbeiterin ausgeschrieben zum anderen ist die bewertete Mitarbeiterin die einzige Mitarbeiterin in der Bäckerei mit diesem Nachnamen. Diese Mitarbeiterin verlangte von Google daraufhin die Löschung ihres Nachnamens aus der Rezension und Schadensersatz. Nachdem Google nicht reagierte, reichte die Angestellte Klage ein.

Entscheidung des OLG Hamm

Nachdem das Landgericht (LG) Essen die Klage der Mitarbeiterin im ersten Rechtszug abwies (Urteil v. 29.10.2020, Az.: 4 O 09/20), legte sie Berufung vor dem Oberlandesgericht (OLG) Hamm ein. Das OLG schloss sich dem Urteil des LG Essen an und erklärte, dass nicht jede Namensangabe eine Verletzung des Datenschutzes und damit einen ungerechtfertigten Eingriff in die Persönlichkeitsrechte der Betroffenen darstellt. Die Richter werteten die Bewertung der Servicekraft als „unfreundlich“ als freie Meinungsäußerung im Rahmen einer sachlichen Unternehmensbewertung gem. § 17 Abs. 3 lit. a Datenschutz-Grundverordnung (DS-GVO). Die Namensnennung der Mitarbeiterin in diesem Zusammenhang ist unter Abwägung der betroffenen Grundrechte zulässig und hinzunehmen. Aus diesen Gründen hat die Klägerin keinen Anspruch auf Löschung nach § 17 Abs. 1 DS-GVO. Die Zahlung eines Schmerzensgeldes nach Art. 82 DS-GVO i.  H.  v. 500 EUR wiesen die Richter des OLG ebenfalls ab.

(OLG Hamm, Urteil v. 29.06.2021, Az.: I-4 U 189/20)

Ein Energieunternehmen hat ein Gewinnspiel angeboten und die Teilnahme davon abhängig gemacht, dass der Nutzer seine E-Mail-Adresse und Telefonnummer angibt und Telefonwerbung zustimmt. Das OLG Frankfurt hat entschieden, dass der Erhalt von Vergünstigungen an die Herausgabe von Daten und die Einwilligung zu Werbeanrufen/-E-Mails gekoppelt werden darf.

(Az.: 6 U 6/19)

Die Verarbeitung von Echtdaten von Beschäftigten zu Testzwecken für ein Personalinformationssystem kann nicht auf § 26 BDSG gestützt werden, da die Verarbeitung für die Durchführung Beschäftigungsverhältnis nicht erforderlich ist. Da fiktive Daten zur Erreichung des Zwecks ebenso geeignet sind, wie Echtdaten, greift auch Art. 6 Abs. 1 S. 1 lit. f) DS-GVO nicht als Rechtsgrundlage. Die Verarbeitung kann auf eine Betriebsvereinbarung gestützt werden, insoweit dort alle betreffenden Datenkategorien vollständig aufgelistet sind. Allein die Tatsache, dass eine Datenverarbeitung unzulässig ist, begründet allerdings noch keinen Schadensersatzanspruch der Mitarbeiter nach Art. 82 DS-GVO.

(17 Sa 37/20)

Für den Aushang eines Mietvertrags an einer öffentlichen Straße besteht keine Rechtsgrundlage nach Art. 6 DS-GVO, da dies weder zur Vertragserfüllung erforderlich ist noch ein berechtigtes Interesse des Vermieters besteht. Die Mieterin hat einen Unterlassungsanspruch gegen den Vermieter, dieser ist nicht von Art. 72 DS-GVO gesperrt.

(Az.: 2-03 O 356/20)

Nach der DS-GVO dürfen Inkassofirmen persönliche Daten von Verbrauchern nicht an Auskunfteien wie die Schufa weitergeben, wenn eine Forderung von den Betroffenen als unberechtigt zurückgewiesen wurde. Entsprechende Drohungen in Zahlungsaufforderungen sind wettbewerbswidrig.

(Az.: 18 O 400/19)

Die Klägerin war im Bereich der Versicherungsvermittlung tätig und betrieb in diesem Zusammenhang telefonische Werbeansprachen. Die Datenschutzbehörde sah hierin eine Verletzung der DS-GVO und erließ eine Unterlassungsverfügung, entsprechende Daten zur Telefonwerbung zu benutzen, wenn keine wirksame Einwilligung vorlag. Die Klägerin wehrte sich vergeblich gerichtlich gegen die Verfügung. Das von ihr behauptete Double-Opt-In-Verfahren könne allenfalls eine Zustimmung zur E-Mail-Werbung dokumentieren, jedoch nicht zur Telefonwerbung. Auch auf die berechtigten Interessen nach Art. 6 Abs.1 f) DS-GVO könne sich die Klägerin nicht berufen.

(Az.: 1 K 732/19)