Internet-Law

Onlinerecht und Bürgerrechte 2.0

26.11.19

BGH: Auskunftsansprüche gegen Portalbetreiber

Der BGH bejaht in einer aktuellen Entscheidung (Beschluss vom 24.09.2019, Az.: VI ZB 39/18) Auskunftsansprüche gegen Anbieter von Telemedien nach § 14 Abs. 3 – 5 TMG wegen Verletzung absolut geschützter Rechte, insbesondere wegen Persönlichkeitsrechtsverletzungen.

Das Interessante daran ist, dass der BGH das nicht auf soziale Netze im Sinne des NetzDG beschränken will – was der Wortlaut nahe legt – sondern der Anspruch sich gegen jeden Anbieter im Sinne des TMG richten kann. Der BGH spricht die Jameda-Entscheidung aus 2014 (VI ZR 345/13) in den Gründen ausdrücklich an und erklärt sie aufgrund der neuen Gesetzeslage letztlich für hinfällig. Portal- und Forenbetreiber sowie soziale Netzwerke werden also künftig grundsätzlich damit rechnen müssen, von einem Gericht zur Erteilung von Auskunft verpflichtet zu werden, wenn Dritte persönlichkeitsrechtsverletzende Bewertungen oder Kommentare einstellen.

Die Entscheidung ist auch für Datenschützer interessant, wegen der Ausführungen des BGH zu Art. 6 Abs. 4 DSGVO. § 14 Abs. 3 – 5 TMG ist nach Ansicht des BGH eine Rechtsvorschrift im Sinne von Art. 6 Abs. 4 DSGVO. Die Vorschrift dient der Durchsetzung zivilrechtlicher Ansprüche (Art. 23 Abs. 1 Buchst j DSGVO) und verfolgt damit ein in Art. 23 Abs. 1 DSGVO genanntes Ziel. Sie ist, so der BGH, in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz dieses Ziels.

posted by Thomas Stadler at 21:55  

15.11.19

OLG Köln: Löschanspruch gegen Jameda

Das Oberlandesgericht Köln hat gerade das Ärztebewertungsportal Jameda u.a. dazu verurteilt, sämtliche zu einem bewerteten Arzt gespeicherten Informationen zu löschen (Urteile vom 14.11.2019, Az.: 15 U 89/19 und Az.: 15 U 126/19).

Nach Auffassung des OLG Köln habe Jameda ihre grundsätzlich geschützte Position als „neutrale Informationsmittlerin“ dadurch verlassen, dass sie den zahlenden Kunden „verdeckte Vorteile“ zukommen lasse. Das sei der Fall, wenn die ohne ihre Einwilligung aufgenommenen Basiskunden auf dem Portal als „Werbeplattform“ für Premiumkunden benutzt würden und letzteren durch die Darstellung ein Vorteil gewährt werde, der für die Nutzer nicht erkennbar sei. Dann diene das Portal nicht mehr allein dem Informationsaustausch zwischen (potentiellen) Patienten. In diesem Fall müssten Ärzte nicht hinnehmen, ohne ihre Einwilligung als Basiskunden aufgeführt zu werden.

Zusätzlich vertritt das OLG Köln – in Einklang mit der Rechtsprechung des BGH – die Auffassung, dass sich Jameda nicht auf das Medienprivileg berufen könne, weil das Geschäftsmodell der Plattform nicht als eigene meinungsbildende Tätigkeit aufgefasst werden könne, sondern allenfalls als ein Hilfsdienst zur besseren Verbreitung von (Dritt-)Informationen. Das OLG meint, dass sich nur derjenige auf das Medienprivileg berufen könne, der einer eigenen journalistischen Tätigkeit nachgeht.

Damit beachtet das OLG, ebenso wie schon zuvor der BGH, die meinungseinschränkende Wirkung der von ihm postulierten Löschungsverpflichtung zu wenig und löst das erhebliche Spannungsverhältnis zwischen Datenschutz und Meinungsfreiheit nicht korrekt auf.

Art. 85 DSGVO verpflichtet die Mitgliedsstaaten dazu, das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen. Die Verarbeitung zu journalistischen Zwecken wird im Anschluss nur exemplarisch erwähnt. Am Ende ist eine Abwägung unterschiedlicher grundrechtlich geschützter Rechtspositionen vorzunehmen. Vor diesem Hintergrund ist bereits das Postulat, nur die journalistische Tätigkeit könne in den Genuss eines Medienprivilegs kommen, ersichtlich verfehlt und wird der zentralen Bedeutung der Meinungs- und Informationsfreiheit nicht gerecht. Dafür spricht auch Erwägungsgrund 153 der DSGVO, der verlangt, dass Begriffe wie Journalismus weit ausgelegt werden müssen, um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen.

Man wird auch nicht per se davon ausgehen können, dass die klassische journalistische Tätigkeit für die Meinungs- und gerade auch die Informationsfreiheit von größerer Bedeutung ist, als die bloße Informationsvermittlung über Bewertungsportale. Darüber hinaus stellt sich auch die Frage, weshalb die klassisch journalistisch-redaktionelle Tätigkeit äußerungsrechtlich einen weiterreichenden Schutz genießen sollte, als sonstige Meinungsäußerungen. Man darf im konkreten Fall auch nicht übersehen, dass das Oberlandesgericht Köln mit einer Löschung sämtlicher Daten eines Arztes auch die Löschung von Bewertungen verfügt, die äußerungsrechtlich nicht zu beanstanden sind, was zudem dazu führt, dass der betreffende Arzt auf Jameda gar nicht mehr bewertet werden kann. Das bewirkt aber dann genau den Effekt, den Art. 5 GG und Art. 11 der Grundrechtecharta verhindern wollen, nämlich, dass sich jemand mit Blick auf seine berufliche Betätigung der öffentlichen Kritik entziehen kann. Der Verbotsausspruch des OLG Köln stellt einen empfindlichen Eingriff in die Grundrechte unterschiedlicher Beteiligter dar, der sich am Ende auf eine Differenzierung zwischen journalistischer und nichtjournalistischer Betätigung in einem meinungsrelevanten Kontext stützt, was aus grundrechtlicher Sicht nicht maßgeblich sein kann.

Vor diesem Hintergrund hat auch der EuGH (Urteil vom 14.02.2019, Az.: C-345/17) entschieden, dass selbst das Einstellen eines Videos durch eine Privatperson, das einen fragwürdigen Polizeieinsatz dokumentiert, als journalistisch zu betrachten ist, wenn die Veröffentlichung ausschließlich zum Ziel hat, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten.

Wenn man dieses Begriffsverständnis des EuGH zugrunde legt, kann die Schlussfolgerung für Bewertungsportale nur die sein, dass man zunächst davon auszugehen hat, dass die Nutzerbewertungen, die Jameda veröffentlicht, eine journalistische Tätigkeit der Nutzer im Sinne der Rechtsprechung des EuGH darstellen, gegen die datenschutzrechtliche Einwände nicht durchgreifend sind. Auch in der juristischen Literatur wird mittlerweile die Ansicht vertreten, dass Nutzerbewertungen, die Informationen, Meinungen und Ideen in der Öffentlichkeit verbreiten, dem Medienprivileg unterfallen müssen (Michel, ZUM 2018, 836, 839).

Das bedeutet dann aber auch, dass äußerungsrechtlich zulässige Bewertungen nicht auf Grundlage datenschutzrechtlicher Erwägungen gelöscht werden dürfen. Wenn man eine solche Löschung vom Nutzer selbst nicht verlangen könnte, kann man sie aber auch nicht vom Portalbetreiber verlangen. Ansonsten gestattet man immer die Verkürzung von Grundrechten über die Hintertür. Nach der Logik der Presso-Grosso Entscheidung des BVerfG muss man deshalb Intermediäre wie die Betreiber von Bewertungsportalen, die eine notwendige Hilfstätigkeit dafür erbringen, dass solche Bewertungen überhaupt möglich sind, im selben Umfang wie den Äußernden selbst in den Schutzbereich der Meinungsfreiheit einbeziehen. Das bedeutet, dass sich solche Intermediäre auch auf das Medienprivileg berufen können.

Das OLG Köln hat den Anspruch der Kläger auf Löschung des ohne Einwilligung eingerichteten Profils auf §§ 823 Abs. 2, 1004 BGB analog in Verbindung mit Art. 6 Abs. 1 f) DSGVO gestützt. Diese rechtliche Bewertung ist deshalb unrichtig, weil sich auch Jameda auf das Medienprivileg stützen kann und deshalb weder eine Löschung ganzer Ärzteprofile verlangt werden kann, noch eine Löschung von Bewertungen, die nach allgemeinen Kriterien äußerungsrechtlich nicht zu beanstanden sind.

Man muss mit Blick auf die erstinstanzlichen Urteile des Landgerichts Köln dennoch hervorheben, dass dieses weitgehend aufgehoben wurden.

Hinweis: Die Kanzlei SSB, für die ich mittlerweile anwaltlich tätig bin, hat Jameda in dem Verfahren vor dem OLG Köln vertreten.

posted by Thomas Stadler at 22:27  

7.10.19

Die Cookie-Entscheidung des EuGH wird überschätzt

Nach der medial ausführlich besprochenen Entscheidung des Europäischen Gerichtshofs (Urteil vom 01.10.2019, Az.: C‑673/17) zu Cookies („Planet 49“) war vielerorts, beispielsweise bei Heise, zu lesen, dass Cookies künftig nur noch mit ausdrücklicher Einwilligung des Nutzers gesetzt werden dürften.

Mit dieser Frage hat sich der EuGH aber gar nicht explizit beschäftigt, weil der vorlegende BGH nicht danach gefragt hatte.

Vordergründig hat der EuGH nur entschieden, dass eine datenschutzrechtliche Einwilligung online nur im Wege eines Opt-In erfolgen kann und eine Opt-Out-Lösung nicht ausreichend ist. Das gilt für Einwilligungen im Sinne der weiterhin geltenden ePrivacy-Richtlinie ebenso wie für die Einwilligung nach der Datenschutzgrund-Verordnung (DSGVO). Zudem stellt der EuGH klar, dass der Anwendungsbereich der ePrivacy-Richtlinie nicht auf personenbezogene Daten beschränkt ist, sondern sich der Schutz vielmehr auf alle in Endgeräten der Nutzer gespeicherten Informationen erstreckt, unabhängig davon, ob es sich um personenbezogene Daten handelt.

Ob dem EuGH die Tragweite dieser Aussage bewusst war, darf man bezweifeln. Denn am Ende müsste dies dazu führen, dass jede Form der (Zwischen-)Speicherung auf dem Gerät des Nutzers zunächst einwilligungsbedürftig wäre. Der Ausweg wäre in diesem Fall nur noch Art. 5 Abs. 3 S. 2 der ePrivacy-RL, wenn die Speicherung allein dem Zweck dient, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen oder zu erleichtern oder, soweit dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. In diesen Fällen ist keine Einwilligung nötig.

Mangels entsprechender Vorlagefragen hat sich der EuGH aber nicht mit der Frage befasst, wann ein Cookie „unbedingt erforderlich“ im Sinne von Art. 5 Abs. 3 der ePrivacy-RL ist. Session Cookies, die für einen Bestellprozess eingesetzt werden dürften aber hierunter fallen, ebenso wie Cookies, die einem Log-In-Prozess dienen.

Nicht beantwortet hat der EuGH zudem die Frage, ob ein Tracking bzw. das Setzen von Cookies auch auf andere Gestattungstatbestände als die Einwilligung gestützt werden kann, insbesondere auf Art. 6 Abs. 1 lit. f) DSGVO und mithin ein berechtigtes Interesse ausreichen kann. Nun lassen sich möglicherweise die Ausführungen des EuGH z.B. in Rn. 46 des Urteils schon derart interpretieren, dass der Gerichtshof auf Cookies ausschließlich Art. 5 der ePrivacy-RL anwenden will. Andererseits hat die Vergangenheit gezeigt, dass man einzelne Passagen aus Entscheidungen des EuGH, die nicht unmittelbar für die Vorlagefrage relevant sind, auch nicht überbewerten sollte.

Ob das Urteil also tatsächlich die Bedeutung hat, die ihm öffentlich beigemessen wird, darf bezweifelt werden. Klar ist lediglich, dass eine Opt-Out-Lösung bei Cookies künftig keine Option mehr darstellt.

Die fortbestehende Rechtsunsicherheit resultiert vor allem daraus, dass es dem Europäischen Gesetzgeber nicht gelungen ist, zeitgleich zur DSGVO die geplante ePrivacy-Verordnung in Kraft zu setzen, die derartige Fragen regeln müsste. Dieser Umstand verstärkt auch die Neigung im Zweifel alles über eine Einwilligung des Nutzers lösen zu wollen, was wiederum eine Pop-Up- und Wegklick-Logik nach sich zieht, die am Ende faktisch kaum zu einem besseren Schutz führen wird.

posted by Stadler at 17:38  

16.4.19

Die Datenschutzkonferenz zum Tracking

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht, die sich primär mit der Zulässigkeit des sog. Tracking befasst.

Das Papier erläutert zunächst, dass die datenschutzrechtlichen Vorschriften des TMG keine Anwendung mehr finden und auch die ePrivacy-Richtlinie die Dienstanbieter nicht unmittelbar verpflichtet, weshalb mit Blick auf die Datenverarbeitung von Diensteanbietern allein auf die Regelungen der Datenschutz-Grundverordnung (DSGVO) abzustellen ist.

Die DSK stellt das „Tracking“ in den Mittelpunkt ihrer Betrachtung, worunter sie die Datenverarbeitungen zu einer in der Regel websiteübergreifenden Nachverfolgung des individuellen Nutzerverhaltens versteht.

Die DSK stellt dar, dass die Datenverarbeitung in Fällen des Tracking aufgrund von drei Erlaubnistatbestände in Betracht kommt. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Vertrag (Art. 6 Abs. 1 lit. b) und Interessenabwägung (Art. 6 Abs. 1 lit. f).

Zum Thema Einwilligung wird erläutert, dass durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website oder einer App eine wirksame Einwilligung für einwilligungsbedürftige Datenverarbeitungen eingeholt werden kann, wobei betont wird, dass Cookies nicht per se einer Einwilligung bedürfen. Die Einwilligung erfordert in jedem Fall ein Opt-In.

Interessant sind aus meiner Sicht die Erläuterungen der Behörden zu Art. 6 Abs. 1 lit. f) DSGVO. Ganz allgemein wird dazu ausgeführt:

Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln:

1.Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten

2.Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen

3.Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall.

Hier stellt sich mir die Frage, wie diese Vorgaben beim Einsatz automatisierter Tracking-Tools, die ja jeden Besucher der Website in gleicher Weise tracken, umgesetzt werden können, wenn doch eine Interessenabwägung im konkreten Einzelfall erfolgen muss. Die Software kann nicht abwägen. Insbesondere die 3. Stufe kann also beim Einsatz von Tracking-Tools jedenfalls nicht für den konkreten Einzelfall umgesetzt werden. An dieser Stelle sind wir bei einem generellen Problem des Datenschutzes bei Internetsachverhalten angelangt. Bei Massenphänomenen wie dem Tracking, ist eine Abwägung mit den Interessen der konkret betroffenen Person im Einzelfall gar nicht möglich. Gleichwohl tut man so, als würde man dennoch eine solche Abwägung vornehmen.

An diesem Punkt wird überdeutlich, dass die DSGVO nicht internettauglich ist und auch nicht in der Lage ist, typische Online-Datenverarbeitungsvorgänge zu erfassen. Das Kriterium der Abwägung im Einzelfall kann beim Tracking nicht zielführend sein. Vielmehr müssten allgemeingültige Kriterien definiert werden, die gerade unabhängig vom Einzelfall, den man von Ausnahmen abgesehen, in aller Regel gar nicht kennt, gelten. Ob die geplante ePrivacy-Verordnung diese Lücke sachgerecht schließen kann, bleibt abzuwarten.

Da in Fällen des Tracking eine Abwägung der Interessen des konkret betroffenen Nutzers, vor der Datenerhebung, letztlich nicht möglich ist, müsste dies konsequenterweise bedeuten, dass sich das Tracking nie auf den Gestattungstatbestand von Art. 6 Abs. 1 lit. f) stützen ließe. Diese Schlussfolgerung zieht das Papier allerdings nicht. Denn sonst wäre die Prüfung beendet und die Schlussfolgerung müsste lauten, dass das derzeit geltende Recht über keine geeignete Regelung verfügt und Tracking regelmäßig unzulässig ist.

Dass die DSK viele Fälle des Trackings gleichwohl als kritisch einstuft, zeigen die im Papier erläuterten Beispielsfälle.

posted by Thomas Stadler at 06:51  

8.3.19

Auf Datenschutzklauseln in AGB verzichten?

Eine aktuelle Entscheidung des Kammergerichts ( Urteil v. 27.12.2018, Az.: 23 U 196/13) bewertet mehrere Klauseln aus der „Datenschutzrichtlinie“ von Apple als unwirksame AGB.

Das Gericht unterwirft die Datenschutzrichtlinie von Apple der AGB-Kontrolle, weil es davon ausgeht, dass Apple den Eindruck erweckt, es würde sich nicht bloß um Datenschutzinformationen, sondern um (verbindliche) vertragliche Regelungen handeln.

Das Kammergericht führt hierzu u.a. aus:

Die vom Kläger beanstandeten Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden. Bereits die Überschrift des Klauselwerks („Apple Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. (…)

Das Argument der Beklagten, dass die streitgegenständliche Datenschutzrichtlinie nicht zum Gegenstand einer Einwilligung gemacht, sondern lediglich informatorisch auf sie verwiesen werde und an keiner Stelle der vom Kläger beanstandeten Bestimmungen davon die Rede sei, dass der Verbraucher in eine Datenverarbeitung einwillige, wendet sich letztlich gegen sie. Denn darin liegt gerade die unzulässige Abweichung der Klauseln von der gesetzlichen Regelung, dass sie dem Verbraucher den unzutreffenden Eindruck vermitteln, dass die Beklagte zur Verarbeitung personenbezogener Daten berechtigt sei, ohne dass es auf dessen Einwilligung ankomme.

Auch das weitere Argument der Beklagten, dass sie mit der Bereitstellung der Datenschutzrichtlinie lediglich ihrer gesetzlichen Pflicht zur vollständigen und zutreffenden Unterrichtung der Verbraucher über ihre Datenverarbeitungspraxis genügt habe, liegt neben der Sache. Denn eine zutreffende Unterrichtung über geübte Datenverarbeitungspraktiken macht diese nicht rechtmäßig. Sie erzeugt und nährt bei dem Verbraucher lediglich die Fehlvorstellung, dass die geübten Datenverarbeitungspraktiken keiner Einwilligung bedürfen und allein deswegen rechtmäßig seien, weil die Beklagte in ihrer „Datenrichtlinie“ über sie unterrichtet.

Diese Entscheidung zeigt, dass man bloße informatorische Hinweise, mit denen man beispielsweise seinen Informationspflichten nach Art. 12 ff. DSGVO erfüllt, nicht in AGB einbetten sollte. Denn solche Datenschutzhinweise regeln nichts. Sobald man den Eindruck erweckt, es würde sich um vertragliche Vereinbarungen handeln, unterliegt man der AGB-Kontrolle. Dies ist speziell bei datenschutzrechtlichen Klauseln auch deshalb kritisch, weil sich dann die Folgefrage stellt, ob damit beabsichtigt ist, eine Datenverarbeitung durch eine Einwilligung des Betroffenen zu legitimieren. Auch wenn eine solche Einwilligung im Rahmen von AGB nicht per se ausgeschlossen ist, müssen die Anforderungen von Art. 7 DSGVO erfüllt sein, was auf Klauseln, die in ein AGB-Werk eingebettet sind, häufig nicht zutreffen wird.

Man sollte also darauf achten, dass man seine Datenschutzerklärung und seine AGB stritk trennt, um bloße Datenschutzinformationen nicht ohne Not einer AGB-Kontrolle zu unterwerfen.

posted by Thomas Stadler at 18:57  

13.12.18

SPD will Datenschutz und Meinungsfreiheit in Einklang bringen

Das Spannungsverhältnis von Datenschutz und Meinungsfreiheit war bereits mehrfach Thema hier im Blog, zuletzt auch mit Blick auf die seit Mai geltende Datenschutzgrundverordnung (DSGVO). Der europäische Gesetzgeber hat nicht versucht, dieses Spannungsverhältnis aufzulösen, oder den äußerungsrechtlichen Bereich von der DSGVO auszunehmen, sondern es vielmehr dabei belassen, mit Art. 85 DSGVO eine Öffnungsklausel zu schaffen, die es den nationalen Gesetzgebern ermöglicht, sie letztlich aber auch dazu verpflichtet, spezifische Regelungen zu treffen, die das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, in Einklang bringen. Dieser Ansatz ist regelungstechnisch zunächst insofern unbefriedigend, als die DSGVO damit den gesamten meinungsrelevanten Bereich mitregelt, ohne selbst unmittelbar sicherzustellen, dass der Datenschutz die Meinung- und Informationsfreiheit nicht beeinträchtigt.

Der deutsche Gesetzgeber ist dem Regelungsauftrag des Art. 85 DSGVO bislang nur teilweise nachgekommen. Die Länder haben für den journalistisch-redaktionellen Bereich Regelungen in den Landespressegesetzen und im Rundfunkstaatsvertrag (RStV) geschaffen. Exemplarisch sei insoweit auf § 57 Abs. 1 S. 4 – S. 8 RStV verwiesen, der ein Medienprivileg für die Onlineangebote der Rundfunkanbieter schafft und weite Teile der DSGVO für nicht anwendbar erklärt.

Eine Regelung für private bzw. nichtjournalistische Äußerungen fehlt bislang. Das ist schon deshalb unbefriedigend, weil veröffentlichte Meinungen und Informationen in sozialen Medien und Blogs damit nicht explizit privilegiert sind, sondern nur solche im journalistisch-redaktionellen Kontext. In einer Anhörung im Innenausschuss des Bundestages hat Malte Engeler unlängst deshalb eine solche gesetzliche Regelung angemahnt und als ausgesprochen relevant bezeichnet.

Mittlerweile liegt ein erster Vorschlag aus der Bundestagsfraktion der SPD vor, der die Schaffung eines neuen § 27a BDSG mit folgendem Wortlaut vorsieht:

27a BDSG-neu – Datenverarbeitung zu Zwecken der Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit

(1) Eine Verarbeitung personenbezogener Daten ist zulässig, sofern sie zu Zwecken des Rechts auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken stattfindet und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen am Schutz ihrer personenbezogenen Daten nicht überwiegen.

(2) Spezielle Regelungen des Bundes- und Landesrechts zur Zulässigkeit der Verarbeitung zu den in Art. 85 der Verordnung (EU) 2016/679 genannten Zwecken der Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit sowie der Verarbeitung zu wissenschaftlichen, künstlerischen, journalistischen oder literarischen Zwecken, einschließlich der Veröffentlichung, bleiben unberührt.

(3) Die Rechte der Betroffenen des Abschnitt II bis IX der Verordnung (EU) 2016/679 gelten nur, sofern sie unter Abwägung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu wissenschaftlichen, künstlerischen, journalistischen oder literarischen Zwecken angemessen sind. Satz 1 gilt nicht für Artikel xx, xx, xx.

(4) Führt die Verarbeitung personenbezogener Daten gemäß Absatz 1 zur Verbreitung von Gegendarstellungen der betroffenen Person oder zu Verpflichtungserklärungen, Gerichtsentscheidungen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, so sind diese Gegendarstellungen, Verpflichtungserklärungen, Gerichtsentscheidungen und Widerrufe zu den gespeicherten Daten zu nehmen und dort für dieselbe Zeitdauer aufzubewahren, wie die Daten selbst sowie bei einer Offenlegung der Daten gemeinsam offenzulegen.

Der Vorschlag ist im Grundsatz zu begrüßen, wirkt aber insgesamt noch nicht ausgereift.

In Abs. 1 wird durch die Formulierung „sofern sie zu Zwecken…stattfindet“ zunächst dem Äußernden die Darlegung- und Beweislast dafür auferlegt, dass seine Datenverarbeitung meinungsrelevanten Zwecken dient und außerdem die notwendige Grundrechtsabwägung zu seinen Gunsten ausfällt. Diese Regelungstechnik ist kritikwürdig, weil in einem freiheitlichen Rechtsstaat eine Vermutung zugunsten der freien Rede zu gelten hat, was vom BVerfG auch immer wieder betont worden ist. Aus grundrechtlicher Sicht erscheint daher eine Regelung geboten, die die Datenverarbeitung zu Zwecken der Meinung- und Informationsfreiheit zunächst grundsätzlich für zulässig erklärt und es dem von einer Äußerung Betroffenen überlässt, das Überwiegen seiner persönlichkeits- und datenschutzrechtlichen Interessen darzulegen.

Abs. 3 des Gesetzesvorschlags will die Regelungen der Abschnitte II bis IX der DSGVO – es handelt sich weitgehend um datenschutzrechtliche Folge- und Nebenpflichten – weiterhin anwenden, allerdings einer Abwägung im Einzelfall unterziehen, während diese Regelungen im journalistischen Bereich weitgehend nicht gelten sollen. Hier stellt sich auch die Frage, ob es nicht eher sachgerecht ist, einen Gleichlauf mit der Vorschrift des § 57 RStV herzustellen.

Der in Abs. 4 des Vorschlags enthaltene Verweis auf Gegendarstellungen des Betroffenen, erscheint ebenfalls nicht zu Ende gedacht. Die Gegendarstellung ist ein typisches presserechtliches Instrumentarium. Ein Blick auf die für den Onlinebereich relevante Vorschrift des § 56 RStV zeigt, dass der Gegendarstellungsanspruch journalistisch-redaktionell gestaltete Angebote verlangt. In diesem Bereich würde aber dann ohnehin § 57 RStV gelten und nicht § 27a BDSG. Es stellt sich also die Frage, ob es überhaupt Gegendarstellungen gibt, die § 27a BDSG unterfallen können oder ob man sich in diesen Fällen nicht ohnehin vollständig im Bereich des Landesrechts bewegt. Ganz generell erscheint es vorzugswürdig, in der bundesgesetzlichen Regelung des § 27a BDSG jedweden Hinweis auf journalistische Zwecke, wie er auch in Abs. 1 enthalten ist, zu streichen, weil damit nur unnötige Abgrenzungsfragen zu den landesrechtlichen Regelungen aufgeworfen werden. Sofern es dieser Formulierung darum geht, den Veröffentlichungszweck zu betonen, wäre es vorzugswürdig einen anderen Begriff zu wählen.

Obwohl die DSGVO schon mehr als ein halbes Jahr gilt, ist der Bundesgesetzgeber seinem Regelungsauftrag aus Art. 85 DSGVO bislang nicht nachgekommen. Eine entsprechende Regelung ist überfällig.

posted by Stadler at 17:54  

18.10.18

LG Bochum: Datenschutzverstöße können nicht als Wettbewerbsverstöße geahndet werden

Nach bisheriger Rechtsprechung wurden datenschutzrechtliche Vorschriften häufig als sog. Markverhaltensregeln im Sinne von § 3a UWG angesehen, mit der Folge, dass der Verstoß gegen Normen des Datenschutzrechts in der Regel zugleich auch als Wettbewerbsverstoß verfolgt werden konnte.

Seit Geltung der Datenschutzgrundverordnung (DSGVO) gibt es einen juristischen Streit darüber, ob die Vorschriften der Art. 77 bis 84 DSGVO abschließend sind und wettbewerbsrechtliche Ansprüche von Mitbewerbern ausschließen. Dieser Auffassung hat sich jetzt das Landgericht Bochum (Urteil vom 07.08.2018, Az.: I-12 O 85/18) angeschlossen.

Ob sich diese Ansicht durchsetzen wird, wage ich zu bezweifeln. Die Vorschriften der Art. 77 ff. DSGVO regeln ausschließlich die Rechte von betroffenen Personen und mögen insoweit auch abschließend sein. Die betroffene Person ist in Art. 4 Nr. 1 DSGVO legaldefiniert. Drittbetroffene fallen nicht darunter. Die Rechte von mittelbar Betroffenen, die beispielsweise in ihrer Funktion als Wettbewerber beeinträchtigt werden, regelt die DSGVO also nicht, weshalb es sich insoweit auch nicht um eine abschließende Regelung handeln kann. Der Sinn und Zweck der DSGVO besteht auch nicht darin, den bisherigen Rechtsschutz  einzuschränken. Insoweit ist auch zu berücksichtigen, dass die Rechtsprechung des EuGH wenig Neigung zeigt, Vorschriften des EU-Rechts in einer Weise auszulegen, die ihre effektive Rechtsdurchsetzung einschränkt. Der EuGH wird sich daher schwerlich einer Auslegung anschließen, die den Datenschutz im Ergebnis schwächt. Er präferiert vielmehr eine Auslegung, bei der sich das Unionsrecht am wirkungsvollsten durchsetzt.

Man sollte daher ein einzelnes landgerichtliches Urteil nicht überbewerten, auch wenn es sich auf die Ansicht Köhlers stützen kann, der zu den bekanntesten deutschen Wettbewerbsrechtlern zählt. Die Kollegen Löffel Abrar haben sich mit dem Thema ausführlicher beschäftigt.

posted by Stadler at 19:43  

16.10.18

Lehrer am Pranger der AfD

Die AfD-Fraktion in der Hamburger Bürgerschaft hat unter dem Titel „Neutrale Schule Hamburg“ vor ein paar Wochen ein Online-Portal gestartet, auf dem Schüler oder Eltern „mutmaßliche Neutralitätsverstöße“ von Lehrern melden sollen. Eine Veröffentlichung sei hier nicht angedacht. In Baden-Württemberg gibt es eine vergleichbare Website, betrieben von einem AfD-Abgeordneten, die aber derzeit nicht mehr erreichbar ist. Anders als in Hamburg sollen hier auch die Namen der Lehrer veröffentlicht werden. Noch deutlich weiter geht die sächsische Variante, bei der sogar Meldungen mit vordefinierten Kriterien wie „Werbung für kulturfremde Weltanschauungen“ vorgesehen sind und auch Fotos des denunzierten Lehrers hochgeladen werden können, wie die Leipziger Volkszeitung berichtet.

Wenn die Daten nur erfasst, aber nicht veröffentlicht werden, stehen vor allem datenschutzrechtliche Fragen im Vordergrund, während in den Fällen der Veröffentlichung persönlichkeitsrechtliche Fragen hinzutreten, im Falle von Bildveröffentlichungen ist zudem das Recht am eigenen Bild betroffen.

1. Datenschutz

Datenschutzrechtlich ist davon auszugehen, dass die AfD personenbezogene Daten von Lehrern erhebt und verarbeitet, die die politische und weltanschauliche Haltung des Lehrers betreffen. Solche Informationen sind nach Art. 9 der DSGVO als besondere Kategorien personenbezogener Daten geschützt, ihre Verarbeitung ist grundsätzlich untersagt. Die engen Ausnahmen, die Art. 9 Abs. 2 DSGVO vorsieht, sind nicht einschlägig. Insbesondere kann nicht davon ausgegangen werden, dass die Verarbeitung nach Art. 9 Abs. 2 g) DSGVO aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Bereits die Bejahung eines allgemeinen öffentlichen Interesses – außerhalb der Schulöffentlichkeit – erscheint mir fragwürdig. Ein erhebliches öffentliches Interesse der AfD daran, solche Daten zu erheben und zu sammeln, besteht nicht. Es ist vielmehr so, und hierauf hat der Kollege Simon Assion auf Twitter zu Recht hingewiesen, dass man annehmen muss, dass die AfD damit eine systematische Sammlung über politische Gegner in der Lehrerschaft anlegen will. Der primäre Zweck dürfte die Einschüchterung sein. Und letztlich ist diese Sammlung auch geeignet, den Schulbetrieb zu stören. Insoweit besteht wohl eher ein öffentliches Interesse daran, diesen Praktiken entgegenzuwirken.

Diese Portale zur Meldung von Lehrern erfüllen die Voraussetzungen von Art. 9 DSGVO nicht und sind daher datenschutzwidrig. Die Aufsichtsbehörden tun sich allerdings offenbar schwer mit einer Verfolgung. Der Hamburgische Datenschutzbeauftragte verwies zum Beispiel darauf, dass er für die Kontrolle von Fraktionen nicht zuständig sei. Das erscheint allerdings fraglich, denn der Betrieb einer Onlinemeldeplattform ist schwerlich der parlamentarischen Arbeit einer Fraktion zuzuordnen. Demzufolge versucht der baden-württembergische Landesdatenschutzbeauftragte zu klären, ob es sich um eine mandatsbezogene oder parteipolitische Tätigkeit handelt. In letzterem Fall sind die Aufsichtsbehörden zuständig.

2. Persönlichkeitsrecht

Wenn die Informationen veröffentlicht werden, steht zudem eine Verletzung des allgemeinen Persönlichkeistrechts im Raum. Im Fall des Lehrerbewertungsportal „spickmich“ war zumindest eine Registrierung der Nutzer erforderlich. Die Daten waren damit nicht allgemein zugänglich, der Abruf war auf registrierte Personen beschränkt, die ein typisiertes berechtigtes Informationsinteresse an den zur Verfügung gestellten Daten geltend gemacht hatten. Diesen Aspekt betont der BGH auch ausdrücklich in seiner Spickmich-Entscheidung (Rn. 37). Die Zulässigkeit einer Veröffentlichung lässt sich also nicht auf diese Entscheidung stützten.

Ungeachtet dessen, können einzelne Einträge natürlich auch immer unrichtig und deshalb zu löschen sein. Nach neuerer Rechtsprechung des BGH unterliegt der Betreiber einer Bewertungsplattform zudem, sobald ein Betroffener den Eintrag beanstandet, einer Pflicht zur gewissenhaften Prüfung der Beanstandung. Dies gilt in vertärktem Maße, wenn Einträge anonym vorgenommen werden können.

Sollte außerdem die Möglichkeit bestehen, wie dies in Sachsen der Fall zu sein scheint, ein Foto des betroffenen Lehrers zu posten, wäre dies zusätzlich ein Verstoß gegen das Recht des Lehrers am eigenen Bild.

3. Fazit

Die verschiedenen Meldeportale der AfD, mittels derer „Neutralitätsverstöße“ von Lehrern gemeldet werden sollen, verstoßen gegen das Datenschutzrecht und wegen der erzeugten Prangerwirkung auch gegen die Persönlichkeitsrechte der betroffenen Lehrer.

Die Frage ist auch, ob nicht zudem ordnungsrechtlich gegen diese Portale vorgegangen werden kann, was Josef Franz Lindner im Verfassungsblog diskutiert.

posted by Stadler at 18:28  

1.8.18

Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?

In letzter Zeit liest man immer wieder, dass Schulen und Kindergärten das Fotografieren auf Festen und anderen Veranstaltungen der Einrichtung, an denen Eltern und Angehörige teilnehmen, verbieten. Zumeist mit dem Argument, die Datenschutzgrundverordnung (DSGVO) würde dies verlangen. Über einen solchen Fall berichtet aktuell beispielsweise die Lausitzer Rundschau.

Man wird vermutlich schon darüber diskutieren können, ob die Schulleitung das Fotografieren und Filmen auf Veranstaltungen der Schule kraft ihres Hausrechts untersagen kann. Das Datenschutzrecht verlangt ein solches Verbot allerdings nicht.

Die DSGVO ist in den Fällen, in denen Eltern oder andere Angehörige Fotos anfertigen, auf denen neben ihren eigenen Kindern auch fremde Kinder zu sehen sind, nämlich schon gar nicht anwendbar. Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.

Davon strikt zu trennen ist allerdings die Frage, ob solche Fotos anschließend z.B. in sozialen Netzen veröffentlicht werden können. Diese Frage wurde im deutschen Recht, jedenfalls bis zum Wirksamwerden der DSGVO, im sog. Kunsturheberrechtsgesetz (KUG) geregelt. Ob das KUG weiterhin anwendbar ist oder durch die DSGVO verdrängt wird, ist juristisch umstritten. Ungeachtet der Frage, ob das KUG oder die DSGVO diese Frage regelt, bedarf es im Falle der Veröffentlichung von Bildmaterial, auf dem Personen erkennbar sind, grundsätzlich einer Einwilligung des Abgebildeten. We also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.

Schulen und Kindergärten schießen, wenn sie das Fotografieren verbieten, also über das Ziel hinaus. Was die Anfertigung von Fotos betrifft, hat sich die Rechtslage seitdem die DSGVO gilt, nicht verändert. Was wir hier erleben, ist lediglich eine gefühlte Verschärfung des Datenschutzrechts.

posted by Stadler at 21:13  

7.7.18

Störerhaftung jetzt auch im Datenschutzrecht?

Der Europäische Gerichtshof (EuGH) hat vor einigen Wochen (Urteil vom 05.06.2018, Az.: C-210/16) entschieden, dass der Betreiber einer Facebook-Fanpage (neben Facebook) als datenschutzrechtlich Verantwortlicher zu betrachten ist. Der EuGH macht zunächst deutlich, dass er eine weite Definition des Begriffs des „Verantwortlichen“ präferiert, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Betreiber einer Fanpage beteiligt sich durch die Unterhaltung der Fanseite an der Datenverarbeitung und ist daher gemeinsam mit Facebook Irland als für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen. Die Entscheidung wird, jedenfalls was die Frage des Verantwortlichen angeht, auch auf die DSGVO Anwendung finden.

Es ist nach dieser Lesart also keinesfalls so, dass der Verantwortliche, was der englische Begriff des Controllers nahelegen würde, den Prozess der Datenverarbeitung steuern und kontrollieren muss. Vielmehr genügt auch ein (untergeordneter) Beitrag, um zum gemeinsamen Verantwortlichen zu werden. Damit hat der EuGH eine Art Störerhaftung im Bereich des Datenschutzes geschaffen, die es ermöglicht, nahezu beliebige (kausale) Beiträge als verantwortungsbegründend zu qualifizieren.

Insoweit verbleibt aber die dogmatische und auch rechtspolitische Frage, ob es wirklich sachgerecht ist, neben dem Hauptverantwortlichen, der den Datenverarbeitungsvorgang tatsächlich steuert und kontrolliert, jeden als Verantwortlichen zu begreifen, der einen Beitrag zu einer (fremden) Datenverarbeitung leistet. Der EuGH betont in seiner Entscheidung zwar, dass die bloße Nutzung eines sozialen Netzwerks nicht ausreichend sein soll, um den Nutzer zum Mitverantwortlichen zu machen. Konsequent erscheint diese Einschränkung im Lichte der weiten Auslegung des EuGH aber nicht. Denn wer als Nutzer Inhalte postet – und nichts anderes macht der Betreiber einer Fanseite am Ende auch – trägt dazu bei, dass Facebook das Verhalten anderer Nutzer, die die geposteten Inhalte lesen oder betrachten, auswerten kann. Mithin leistet man nach der Logik des EuGH also bereits durch das bloße Einstellen von Inhalten in ein soziales Netzwerk einen kausalen Beitrag für eine sich anschließende Datenverarbeitung von Facebook. Diese Konsequenz will der EuGH freilich nicht ziehen, weil man damit jeden Nutzer eines sozialen Netzwerks als Verantwortlichen einstufen müsste.

Es zeigt sich auch hier wieder etwas, was man seit Jahren beobachten kann. Die konsistente Anwendung des Datenschutzrechts würde die Nutzung des Internets wie wir es kennen und wie es von einer Mehrzahl der Menschen genutzt wird, deutlich beeinträchtigen. Weil aber weder der Gesetzgeber noch die Gerichte diese Konsequenz ziehen wollen, kommt es immer wieder zu widersprüchlichen datenschutzrechtlichen Schlussfolgerungen, die zu Rechtsunsicherheit führen.

posted by Stadler at 15:18  
Nächste Seite »