Die DSGVO sollte mittlerweile jedem Unternehmen ein Begriff sein. Wer das Thema DSGVO bis heute nur nebenbei hat plätschern lassen, sollte sich über den aktuellen Stand erkundigen. Es ist einiges passiert, vieles diskutiert und es gibt bereits erste Urteile der Instanzgerichte. Interessant sind im Zusammenhang mit der DSGVO vor allem die Themen
I. Facebook,
II. Bußgelder,
III. Einwilligungen in Werbemaßnahmen und
VI. Abmahnung von Mitbewerbern.
Wir fassen zusammen
I. Facebook
-
Marketing-Tool Custom Audiences
Das Bayerische Landesamt für Datenschutzaufsicht (BayLfD) verpflichtete ein Unternehmen unter Androhung eines Zwangsgelds binnen zwei Wochen nach Zustellung des Bescheids die unter seinem Facebook-Konto erstellten „Custom Audiences“ (ein Marketingtool von Facebook) zu löschen. Grund ist, dass im Rahmen dieses von Facebook angebotenen Marketingtools das Unternehmen eine Liste mit eigenen Kundendaten innerhalb des eigenen Facebook-Kontos hochlädt. Das Facebook-Tool berechnet mittels der kryptographischen Hashfunktion SHA-256 für jede einzelne E-Mail-Adresse der Kunden einen sogenannten Hashwert und übermittelt diesen an einen Facebook-Server. Damit können Kunden zielgerichtet mit Werbung versorgt werden.
Das Unternehmen wehrte sich gegen den Verwaltungsakt der BayLfD. Die Sache ging bis zum Verwaltungsgerichtshof. Der Verwaltungsgerichtshof (VGH) Bayern musste sich nun mit Beschluss vom 26.09.2018 (Az.: 5 CS 18.1157) mit dem Facebook Tool „Custom Audiences“ befassen.
Ein berechtigtes Interesse des Unternehmens an zielgerichteter Werbung im Sinne des Art. 6 Abs. 1 lit. f) DSGVO konnte sich bei den Richtern nicht durchsetzen. Das Interesse des Betroffenen, dessen Email-Adresse nicht an Facebook weiterzugeben, überwiege das Interesse des Unternehmens an einer Direktwerbung.
Das Unternehmen hatte sich noch darauf berufen, dass es ein Auftragsverarbeitungsvertrag mit Facebook habe, allerdings beschloss das VGH, dass es sich nicht um ein Auftragsverarbeitungsverhältnis mit Facebook handele, weil Facebook nicht weisungsgebunden handele.
Die Richter beschlossen somit abschließend, dass der Einsatz dieses Tools der vorherigen Einwilligung durch den betroffenen Nutzer bedarf.
-
Facebook Fanpage
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verschickte Anfang November Anhörungsbögen an Betreiber von Facebook Fanpages. In den Anhörungsbögen wurden 15 Fragen formuliert, die sich mit der Mitverantwortlichkeit der Betreiber der Facebook Fanpages befassten. Diese Fragen werden die wenigsten Unternehmen komplett beantwortet haben. Sie können es ja selbst einmal nachlesen und versuchen, die Fragen zu beantworten.
Den Anhörungsbogen finden Sie hier.
Wenn Sie der Auffassung sind, dass Sie mit der Vereinbarung, die Facebook gem. Art. 26 DSGVO angeboten hat, alles richtig gemacht haben, dann wird Ihnen die Berliner Datenschutzbehörde widersprechen. Sie teilt nämlich mit:
„Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allerdings Zweifel, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können.“
Die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit finden Sie hier.
II. Bußgelder der Datenschutz-Aufsichtsbehörden
-
Social Media Unternehmen aus Deutschland soll 20.000 € Bußgeld zahlen
Das Landesamt für Datenschutz und Informationsfreiheit Badenwürttemberg (LfDI BW) hat sein erstes Bußgeld nach DSGVO verhängt:
20.000 EURO für das Speichern von Passwörten im Klartext.
Das Risiko hat sich dabei mit voller Wucht realisiert. Das Unternehmen war im Juli 2018 Opfer eines Hackerangriffs. Es wurden von c.a. 330.000 Nutzern die Klarnamen, Wohnorte, E-Mail-Adressen und Passwörter entwendet. Im September waren diese Daten im Internet zu finden.
Meiner Auffassung nach handelt es sich, betrachtet man die Hintergründe, um ein angemessenes Bußgeld. Dabei ist zu berücksichtigen, dass das Unternehmen nicht nur mit „20.000 € davon gekommen ist“. Es hat parallel Euro-Beträge im 6-stelligen Bereich für eine sichere IT ausgegeben.
Auch die Kollegin Rechtsanwältin Nina Diercks hält das verhängte Bußgeld für angemessen und hat den Sachverhalt hier lesenswert zusammen gefasst und ausgewertet.
-
Krankenhaus in Portugalsoll 400.000 € zahlen
Diese Information ging relativ schnell durch die Presse.
Grund hierfür war offenbar die Möglichkeit, dass nicht nur Ärzte, sondern auch andere Personen unbegrenzten Zugang auf die Patientendaten haben konnten, sofern man ein entsprechendes Profil anlegte. Das Anlegen dieses Profils war offenbar relativ leicht.
III. Einwilligungen in Werbemaßnahmen im Sinne des UWG
Eine einmal erteilte Einwilligung in die Zusendung von Werbemitteln erlischt nicht durch Zeitablauf, jedenfalls nicht in wettbewerbsrechtlicher Hinsicht im Sinne des § 7 UWG.
In dem Fall vor dem BGH ging es primär um etwas anderes. Zum Schluss hat der BGH aber mit Urteil vom 01.02.2018 (Az. III ZR 196/17) noch entschieden, dass eine einmal erteilte Einwilligung nicht zeitlich begrenzt sei. In dem hiesigen Fall war in AGB geregelt, dass eine Einwilligung in die Zusendung von Werbemitteln während des Vertragsverhältnisses gelte und darüber hinaus noch weitere 2 Jahre.
Die Entscheidungsgründe des BGH lauteten:
Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt. Vor diesem Hintergrund bestehen jedenfalls gegen die gegenständliche Regelung zur Geltungsdauer keine Bedenken, da diese eingegrenzt ist auf die Zeit während des laufenden Vertragsverhältnisses bis zu höchstens zwei Jahre ab Vertragsbeendigung und zumindest während dieses überschaubaren Zeitraums bei einem Verbraucher, der seine Einwilligung im Rahmen des Vertragsschlusses erteilt, von seinem fortbestehenden Interesse an einer Information über neue Services und Angebote der Beklagten ausgegangen werden kann (siehe auch zum Datenschutzrecht § 95 Abs. 2 und Abs. 3 Satz 1 TKG).
Auch in der DSGVO ist an keiner Stelle eine zeitliche Vorgabe für die Einwilligung geregelt. Dennoch ist es möglich, dass im Einzelfall eine Einwilliung entfallen kann, wenn eine Werbemaßnahme nach einer Ewigkeit das erste Mal wieder an den Einwilligenden gerichtet wird und der Werbende sich nicht einmal mehr daran erinnern kann, dass er überhaupt mal eine Einwilligung erteilt hat. Hier kommt es stets auf den Einzelfall an.
IV. Abmahnung durch Mitbewerber
Wie wir bereits berichteten, ist es umstritten , ob ein Mitbewerber seinen Konkurrenten wegen Verstößen gegen die DSGVO abmahnen kann.
Dabei ist das Landgericht Würzburg ohne nähere Begründung der Auffassung, dass Verstöße gegen die DSGVO nach dem UWG (Gesetz gegen den unlauteren Wettbewerb) abmahnfähig seien. Das Landgericht Bochum hingegen verneinte eine wettbewerbsrechtliche Abmahnfähigkeit.
Nun hat sich auch das Hanseatische Oberlandesgericht (OLG Hamburg) am 25.10.2018 (Az. 3 U 66/17) mit dieser Frage beschäfigt und mit guter und ausführlicher Begründung entschieden, dass Mitbewerber in bestimmten Fällen Verstöße der Konkurrenten gegen die DSGVO abmahnen können. Vorausetzung sei, dass es sich bei der Norm, gegen welche der Konkurrent verstoßen hat, um eine wettbewerbsrechtliche Norm handeln müsse.
Wie Sie sehen, hat sich einiges zum Thema DSGVO getan. Diese Berichte sind nicht abschließend. Und es werden auch nicht die letzten gewesen sein. Ich komme kaum hinterer, um zu jedem Thema einen Artikel zu schreiben.
Auch wenn es ruhig geworden ist um die DSGVO, so darf diese Ruhe nicht unterschätzt werden. Halten Sie sich auf dem Laufenden und arbeiten Sie weiter an Ihren datenschützenden Prozessen.
