Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für Einwilligungserklärungen

Der sogenannte Düsseldorfer Kreis, die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat eine neue „Orientierungshilfe zu datenschutzrechtlichen Einwilligungserklärung in Formularen“ (pdf) veröffentlicht. In dem Dokument (Stand: März 2016) liegen die deutschen Aufsichtsbehörden ihre Ansichten zu den Voraussetzungen für die Abgabe einer zulässigen, datenschutzrechtlichen Einwilligungserklärung in Formularen dar. Dabei beziehen sich die Ausführungen sowohl auf schriftliche Einwilligungserklärung (§ 4a BDSG) als auch auf elektronische Erklärungen (§  13 Abs. 2 und 3 TMG). Weitere Informationen hierzu finden Sie im Blog von Carlo Piltz.

Landgericht Düsseldorf: Social Media-Buttons einbinden nur nach Einwilligung des Nutzers

Gestern hat das Landgericht Düsseldorf in einem Verfahren der Verbraucherzentrale NRW und eine Onlineshop-Betreiber ein Urteil zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt. Es ging vor allem um zwei Aspekte: Die deutliche und rechtzeitige Information des Nutzers und die Frage, ob der Button zudem mit aktivierter Funktion nur in die Internetseite eingebunden sein darf, nachdem der Nutzer seine Einwilligung in die mit dem Button verbundene Kommunikation von Daten erklärt hat. Zu beiden Aspekten enthält das Urtiel klare Ausagen. Vor allem sei eine Einwillung erforderlich, so das Gericht.

Carlo Piltz hat dazu einen Beitrag veröffentlicht, der das Verfahren aus rechtlicher Sicht einmal näher beleuchtet. Auch wenn davon auszugehen ist, dass das Verfahren in die nächte Instanz gehen wird, ist das Urteil des LG Düsseldorf aber erst einmal ein Wort. Gerade im Online-Bereich sind die Datenschutzfragen also immer noch „im Fluss“ und müssen laufend neu gedacht werden.

Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg u.a. zu Kunden-Hotlines, Krankenhausinformationssystemen und E-Mail-Marketing

Neuer Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg: Interessantes zu Kunden-Hotlines, Krankenhausinformationssystemen und E-Mail-Marketing

Der Landesbeauftragte für den Datenschutz Baden-Württemberg, die Datenschutzaufsichtsbehörde im Bundesland, hat ihren Tätigkeitsbericht für 2014/2015 veröffentlicht. Wie immer findet sich darin eine Vielzahl von interessanten Hinweisen für die Praxis. Dieses Jahr unter anderem:

  • Jeder, der bei einer Kunden-Hotline anruft, kennt diesen oder einen ähnlichen Ansagetext: „Aus Gründen der Qualitätssicherung und für Schulungszwecke werden einzelne Gespräche aufgezeichnet.“ Nach Auffassung der Behörde ist es datenschutzrechtswidrig, auf der Grundlage einer solchen Ansage und eines darauf folgenden Schweigens der Anrufers das Telefonat oder Teile von ihm aufzuzeichnen. Der Grund: Eine Aufnahme sei nur möglich, nachdem der Anrufer ausdrücklich eingewilligt habe (Opt-in). Die Widerspruchslösung („Nein, ich möchte nicht, dass das Gespräch aufgezeichnet wird“ = Opt-out) genüge hingegen den gesetzlichen Anforderungen nicht. Man muss diese Auffassung aus rechtlicher Sicht nicht teilen. Nicht bestreiten lässt sich aber die praktische Relevanz der Auffassung der Behörde, da davon auszugehen ist, dass sie zukünftigen Prüfungen in Baden-Württemberg erst einmal zu Grunde liegen wird.
  • Krankenhausinformationssysteme sind komplexe Software- und Datenbanksysteme, mit deren Hilfe eine Vielzahl von personenbezogenen Daten verarbeitet wird, darunter viele Daten, die dem strengeren Schutz der 3 Nr. 9 BDSG unterfallen („Angaben über die Gesundheit“). Die Behörde stellt fest, dass zwar alle geprüften Krankenhäuser mittlerweile über Rechte- und Rollenkonzepten verfügen (ohne solche Konzepte geht es auch in anderen Bereichen grundsätzlich nicht), dass aber noch nicht in notwendigen Umfang erfasst wird, wer wann welche personenbezogenen Daten abruft, verwendet usw. und dass Patientendaten noch viel zu selten gegen eine Verarbeitung gesperrt werden.
  • Zum E-Mail-Marketing bietet der Tätigkeitsbericht eine durchaus brauchbare Übersicht zu den Regelungen, die insgesamt zu beachten sind. Dabei handelt es sich gerade nicht nur um datenschutzrechtliche Normen, sondern auch um solche des UWG (Gesetz gegen den unlauteren Wettbewerb). Auch einige Musterformulare für entsprechend Einwilligungserklärungen werden angeboten. Man muss zu dieser Materie nicht alle Ansätze der Behörde überzeugend finden; der Bericht bietet hier aber in jedem Fall eine guten Einblick in die Fragen, die die Behörden den werbenden Unternehmen und ihren Dienstleisters stellt, wenn sie prüft.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein “opt-out”-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben” ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

Post