Internet-Law

Die vielleicht umstrittensten Olympischen Spiele der jüngeren Zeit beginnen in zwei Tagen. Der Deutsche Olympische Sportbund (DOSB) bietet dazu eine offizielle Olympia-App für iOS und Android an, die vollmundig folgendermaßen beworben wird:

Erlebe die Faszination Olympia direkter als je zuvor. Sei ganz nah dran, wenn die Deutsche Olympiamannschaft um Medaillen kämpft. In der App der Deutschen Olympiamannschaft nehmen Dich Deine Stars unter dem Motto „Wir für Deutschland“ mit auf ihre olympische Reise: Training, Wettkämpfe, Olympische Spiele. Sei immer und überall dabei und blicke hinter die Kulissen, wenn es um mehr geht als Gold, Silber und Bronze.

Wer sich die App runterlädt, wird anschließend verschiedenste Werbemails des DOSB und der DOSB New Media GmbH erhalten:

Außerdem informieren wir Dich nach Deiner Anmeldung per E-Mail über News rund um die Themen „Wir für Deutschland“, Deutsche Olympiamannschaft, diese App und weitere Onlineangebote des DOSB e. V. und der DOSB New Media GmbH

Als Jurist reibt man sich da schon mal kräftig die Augen. Denn Onlinewerbemails ohne ausdrückliche Einwilligung des Nutzers (Opt-In), stellen sowohl eine Wettbewerbsverletzung dar als auch eine unerlaubte Handlung im Sinne des BGB. Daniel Mack hat diesbezüglich beim DOSB nachgefragt und ist dort auf die Möglichkeit eines Opt-Out verwiesen worden, wie er in seinem Blog schreibt. Das beseitigt den Rechtsverstoß bekanntlich aber nicht.

Noch bedenklicher ist aber der Umstand, dass man die App effektiv nur nutzen kann, wenn man sich wie z.B. in der Rubrik Fancorner gefordert, mit seinem Facebook- oder Twitter-Account einloggt. Bei einem solchen Facebook-Log-In bekommt man als Nutzer dann den Hinweis, dass die „Deutsche Olympiamannschaft“ folgende Informationen erhält: Öffentliches Profil, Freundesliste und E-Mail-Adresse. Nach einer Datenschutzerklärung die, wie von § 13 TMG gefordert, in verständlicher Form darüber informieren würde, zu welchem Zweck diese Daten erhoben und verarbeitet werden und ob eine Weiterleitung an Dritte erfolgt, sucht man vergeblich. Wer die „Deutsche Olympiamannschaft“ genau ist und damit verantwortliche Stelle im Sinne des Datenschutzrechts wird ebenfalls nicht deutlich gemacht.

Mein Fazit: Die offizielle App des DOSB verstößt gegen geltendes Recht. Datenschutzbehörden und Verbraucherverbände dürfen sich aufgerufen fühlen, dagegen vorzugehen.

Danke an Daniel Mack für den Hinweis. Dass der DOSB hier vielleicht Daten zu Gold machen will, ist keine ganz abwegige Annahme.

Nach § 34 Abs. 4 BDSG müssen Auskunfteien wie die Schufa, die eine Bonitätseinstufung aufgrund eines Scoring-Verfahrens durchführen, dem Betroffenen verschiedene Auskünfte über die dem Scoring zugrunde liegenden Daten und Informationen erteilen.

Hierzu hat der BGH heute entschieden, dass die Schufa zwar Auskunft darüber erteilen muss, welche bei ihr gespeicherten personenbezogenen Daten in ein Scoring-Verfahren einfließen, allerdings nicht darüber, wie die in den Scoring-Wert eingeflossenen Daten gewichtet werden (Urteil vom 28.01.2014, Az.: VI ZR 156/13).

In der Pressemitteilung des BGH heißt es hierzu:

Allerdings hat die Beklagte Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte eingeflossen sind. Diese Auskunft hat die Beklagte gegenüber der Klägerin (teilweise erst im vorliegenden Verfahren) erteilt. Ihr wurden alle bei der Beklagten zu ihrer Person gespeicherten Daten übermittelt. Ferner wurde sie über die in den letzten zwölf Monaten an Dritte übermittelten und die aktuell berechneten Wahrscheinlichkeitswerte sowie über die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten informiert. Die Einzelheiten wurden in einem Merkblatt erläutert.

Einen darüber hinausgehenden Auskunftsanspruch der Klägerin hat das Berufungsgericht zu Recht verneint. Die von ihr beanspruchten konkreten Angaben zu Vergleichsgruppen zählen nicht zu den Elementen des Scoringverfahrens, über die nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG Auskunft zu erteilen ist. Gleiches gilt für die Gewichtung der in den Scorewert eingeflossenen Merkmale. Dem Auskunftsanspruch des § 34 Abs. 4 BDSG liegt die gesetzgeberische Intention zugrunde, trotz der Schaffung einer größeren Transparenz bei Scoringverfahren Geschäftsgeheimnisse der Auskunfteien, namentlich die sog. Scoreformel, zu schützen. Die Auskunftsverpflichtung soll dazu dienen, dass der Betroffene den in die Bewertung eingeflossenen Lebenssachverhalt erkennen und darauf reagieren kann. Hierzu bedarf es keiner Angaben zu Vergleichsgruppen und zur Gewichtung einzelner Elemente. Das gesetzgeberische Ziel eines transparenten Verfahrens wird dadurch erreicht, dass für den Betroffenen ersichtlich ist, welche konkreten Umstände als Berechnungsgrundlage in die Ermittlung des Wahrscheinlichkeitswerts eingeflossen sind. Dieses Ziel wird durch die der Klägerin erteilten Auskünfte erreicht.

Auch wenn bislang nur die Pressemitteilung vorliegt, überzeugt mich die Entscheidung des BGH auf den ersten Blick nicht. Nach dem Gesetz hat der Betroffene ganz ausdrücklich Anspruch darauf, über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form informiert zu werden. Das Zustandekommen und die Bedeutung eines einzelnen Scoring-Werts kann man allerdings nur dann nachvollziehen, wenn man weiß, wie der Scoring-Wert zustande gekommen ist und das erfordert eine Kenntnis der Gewichtung der verschiedenen Einzelaspekte.

Das Landgericht Berlin hatte mit Urteil vom 06.03.2012 (Az.: 16 O 551/10) entschieden, dass der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen. Zum Urteil des Landgerichts Berlin hatte ich hier, hier und hier gebloggt.

Gegen dieses Urteil hat Facebook erwartungsgemäß Berufung eingelegt, die mit Urteil des Kammgerichts vom 24.01.2014 (Az.: 5 U 42/12) zurückgewiesen wurde. Die schriftliche Urteilsbegründung liegt noch nicht vor, in der sehr knappen Pressemitteilung des KG heißt es:

Das Landgericht Berlin hatte der Facebook Ireland Limited mit Urteil vom 6. März 2012 bestimmte Verfahrensweisen bei der Versendung von Freundschaftsanfragen an Dritte untersagt und die Verwendung eines unzureichenden Hinweises auf Datenimport bei der Registrierung beanstandet. Ferner hatte es Facebook die Verwendung verschiedener Vertragsklauseln verboten (vgl. PM 11/2012 und 12/2012). Hiergegen hatte Facebook Berufung zum Kammergericht eingelegt, die heute vom Kammergericht zurückgewiesen worden ist.

Das OLG Celle hat mit Urteil vom 19.12.2013 (Az.: 13 U 64/13) entschieden, dass das Inausssichtstellen einer Datenübermittlung an die SCHUFA durch ein Inkassobüro dann unzulässig ist, wenn die Forderung bereits bestritten wurde. Dies gelte auch dann, wenn diese Ankündigung ausdrücklich den Zusatz erhält, dass eine Übermittlung nur bei einredefreien und unbestrittenen Forderungen erfolgen wird. In der Entscheidung heißt es hierzu u.a.:

Bereits die Wiederholung des Hinweises, die konkret die dem Kläger von einer Mitteilung drohenden Nachteile benannte, ließ befürchten, dass die Beklagte davon ausging, zu einer Mitteilung berechtigt zu sein. Zwar enthielt der letzte Satz des Hinweises die – für einen Laien ohnehin möglicherweise schwer verständliche (vgl. dazu OLG Düsseldorf, Urteil vom 9. Juli 2013 – I-20 U 102/12, MDR 2013, 1057) – Einschränkung, dass eine Übermittlung nur dann erfolge, wenn die Forderung einredefrei und unbestritten ist. Angesichts des Umstandes, dass der Kläger jedoch unmittelbar zuvor durch Anwaltsschreiben vom 6. Juli 2012 die geltend gemachte Forderung bestritten hatte, ließ dieser Hinweis der Beklagten vermuten, dass sie – aus welchen Gründen auch immer – das Bestreiten des Klägers nicht für maßgeblich hielt. Dass sie das Bestreiten schlicht versehentlich nicht zur Kenntnis genommen hatte, war und ist aus Sicht eines objektiven Dritten fernliegend, da der Kläger die Forderung bereits ein weiteres Mal zuvor schriftlich bestritten hatte.

Gesetzlicher Hintergrund der Entscheidung des Oberlandesgerichts ist die Vorschrift des § 28a BDSG,wonach eine Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien u.a. dann unzulässig ist, wenn der Schuldner die Forderung bestritten hat. Das OLG Celle hat das Inkassobüro zur Unterlassung dieser Ankündigung verurteilt.

Carlo Piltz bespricht die Entscheidung in seinem Blog ebenfalls.

Laut einer Pressemitteilung des Verbraucherzentrale Bundesverbands hat das Landgericht Berlin (Az.: 15 O 402/12) entschieden, dass 25 Klauseln aus den Nutzungs- und Datenschutzbestimmungen von Google unwirksam sind. Auf Abmahnung des vzbv hatte sich Google geweigert, eine Unterlassungserklärung abzugeben, weshalb der Verband Unterlasusngsklage erhoben hat. Dass die Datenschutzerklärung von Google nicht rechtskonform ist, hatte ich bereits vor längerer Zeit erläutert.

Das schriftliche Urteil dürfte noch nicht vorliegen. Man darf auf die Urteilsbegründung gespannt sein.

Wie die Deutsche Apothekerzeitung berichtet, hat das Verwaltungsgericht Schleswig dem schleswig-holsteinischen Datenschutzbeauftragten Thilo Weichert verschiedene Aussagen, wonach das Münchener Apothekenrechenzentrum VSA bei der Verarbeitung von Rezeptdaten gegen datenschutzrechtliche Vorschriften verstößt, untersagt.

Weichert hatte über die VSA u.a. wörtlich gesagt: „Für die VSA und den IMS-Konzern ist die illegale Nutzung der Rezeptdaten ein lohnendes Geschäftsmodell, das sie anscheinend solange fortsetzen wollen, bis es ihnen gerichtlich untersagt wird“. Außerdem hat Weichert in verschiedenen Interviews behauptet, bei der VSA würden Daten, die dann weitergegeben werden, nicht ausreichend anonymisiert.

Weichert ist für seine forsche Art, die häufig auch juristisch über das Ziel hinausschießt, bekannt. In letzter Zeit war das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, dem Weichert vorsteht, mehrfach vor den Verwaltungsgerichten unterlegen.

Einer Klage auf Unterlassung von Fotoaufnahmen durch Google Street View fehlt das Rechtsschutzbedürfnis, wenn die Aufnahmen noch nicht angefertigt wurden und der Betroffene vorab gegenüber dem Anbieter widersprochen hat. Das hat das Landgericht Detmold mit Urteil vom 12.10.2011 (Az.: 12 O 153/10) entschieden. Das Gericht stützt sich u.a. darauf, dass Google sich mit den deutschen Datenschutzbehörden auf eine Widerspruchsmöglichkeit für Betroffene verständigt hat. Im Fall des Widerspruchs des Berechtigten darf das betreffende Objekt danach nicht veröffentlicht werden, bzw. muss unkenntlich gemacht werden. Das schützt den Kläger nach Ansicht des Gerichts ausreichend, nachdem auch nicht ersichtlich ist, dass Google gegen diese Vereinbarung verstoßen würde.

Mit der materiell-rechtlichen Frage, ob überhaupt ein Anspruch auf Unterlassung bestehen kann, der eine Verletzung des Persönlichkeitsrechts des Betroffenen oder datenschutzrechtlicher Vorschriften voraussetzen würde, setzt sich das Landgericht nicht auseinander.

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein kann von den Betreibern von Facebook-Fanpages nicht verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren. Das hat das Verwaltungsgericht Schleswig mit Urteil vom heutigen Tag entschieden (Az.: 8 A 218/11, 8 A 14/12, 8 A 37/12). Aus der Pressemitteilung ergibt sich, dass das Verwaltungsgericht den Betreiber einer Fanpage nicht für datenschutzrechtlich verantwortlich erachtet, weil der Seitenbetreiber keinen Einfluss auf den Datenverkehr zwischen dem Nutzer und Facebook nehmen kann. Das Verwaltungsgericht hat allerdings die Berufung zugelassen.

Die Entscheidung ist im Ergebnis nicht überraschend, nachdem in der juristischen Literatur und auch in diesem Blog schon vor einiger Zeit die Ansicht vertreten wurde, dass der Betreiber der Fanpage nicht als verantwortliche Stelle im Sinne des BDSG zu qualifizieren ist.

Das Bundesamt für Verfassungsschutz will offenbar seine Öffentlichkeitsarbeit verbessern und bietet neuerdings einen Newsletter an. Um den Newsletter abonnieren zu können, muss man allerdings einer eher langen Datenschutzerklärung zustimmen, die u.a. die Speicherung der IP-Adresse des Nutzers vorsieht.

Die Frage ist allerdings, ob diese Daten tatsächlich erhoben werden dürfen, denn für die Erbringung des Dienstes (Versand eines kostenlosen Newsletters) ist zwar eine E-Mail-Adresse erforderlich, aber nicht die Erfassung der IP-Adresse mit der der Nutzer das Angebot des Verfassungsschutzes aufgerufen hat. Es dürfte mithin ein Verstoß gegen § 15 TMG vorliegen.

Man hat außerdem natürlich als Bürger ein schlechtes Gefühl, wenn einem ausgerechnet der Verfassungsschutz sagt, dass man für den Versand eines Newsletters die IP-Adresse speichert.

Der Bundesdatenschutzbeauftragte ist für die Einhaltung der datenschutzrechtlichen Bestimmungen durch das Bundesamt für Verfassungsschutz zuständig und sollte diese Sache deshalb prüfen. Peter Schaar, bitte übernehmen Sie!

(via Holger Schmidt)

Ob Verstöße gegen das Datenschutzrecht zugleich auch wettbewerbswidrig sind, ist eine alte Streitfrage, die die Gerichte unterschiedlich beurteilen. Der Knackpunkt ist die Fragestellung, ob es sich bei datenschutzrechtlichen Vorschriften um sog. Marktverhaltensregeln im Sinne von § 4 Nr. 11 UWG handelt.

Allgemein wird überwiegend die Auffassung vertreten, dass datenschutzrechtliche Vorschriften nicht generell Marktverhaltensregeln darstellen, sondern für jede einzelne Norm die Frage zu stellen ist, ob die fragliche Norm auch das Verhalten am Markt regelt und damit auch die Interessen der Betroffenen als Marktteilnehmer schützt.

Im Einzelfall gehen die Ansichten dazu dann allerdings wiederum auseinander, weshalb es eine ganze Reihe divergierender Entscheidungen gibt.

Das OLG Hamburg hat jetzt mit Urteil vom 27.06.2013 (Az.: 3 U 26/12) entschieden, dass die Vorschrift des § 13 Abs. 1 TMG eine Marktverhaltensregel darstellt, mit der erheblichen praktischen Konsequenz, dass eine fehlende Datenschutzerklärung auf einer Website einen abmahnfähigen Wettbewerbsverstoß begründet.

Die Begründung des OLG Hamburg hierzu lautet:

Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Mißachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d).

Carlo Piltz hat die Entscheidung ausführlich in seinem Blog besprochen.