Betriebs-Berater für Medien Telekommunikation

Kommunikation
&Recht
Betriebs-Berater für
Medien Telekommunikation Multimedia
3
K&R
Editorial: Edward Snowden poses difficult questions for lawyers
as well as politicians · Gillian Phillips
149 Die Entwicklung des Datenschutzrechts im Jahr 2013
Dr. Flemming Moos
156 Datenschutz in der Werbung nach Düsseldorfer Art
Dr. Dennis Voigt
161 § 203 StGB als Hemmschuh der elektronischen Kommunikation?
Dr. Anika D. Luch und Dr. Christian Hoffmann
166 Die Entwicklung des EDV-Rechts 2012 - 2013 (Teil 1)
Prof. Dr. Andreas Wiebe
172 Die neue Kinomitteilung ist da · Dr. Christian Lewke
177 Der Auskunftsanspruch der Presse gegen Bundesbehörden
Martin W. Huff
178 Länderreport USA · Clemens Kochinke
180 EuGH: Rechtsschutz-Umfang bei Umgehung eines Kopierschutzsystems
für Videospiel-Konsolen
mit Kommentar von Alexander Schultz
189 BGH: UsedSoft II: Voraussetzungen für rechtmäßigen SoftwareWeiterverkauf
mit Kommentar von Dr. Thomas Stögmüller
196 BGH: Runes of Magic: Unzulässige Kaufaufforderung an Kinder
mit Kommentar von Dr. Stefan Krüger und Dr. Simon Apel
211 LG Köln: Anspruch auf Urheberbenennung am Bild
in allen Website-Darstellungsvarianten
mit Kommentar von Thomas Stadler
217 BVerwG: Bundesligamanagerspiel im Internet kein verbotenes
Glücksspiel
mit Kommentar von Prof. Dr. Markus Ruttig
17. Jahrgang
März 2014
Seiten 149 – 220
Deutscher Fachverlag GmbH · Frankfurt am Main
Kommunikation
& Recht
K &R
3/2014
149
RA Dr. Flemming Moos, Hamburg*
Die Entwicklung des Datenschutzrechts im Jahr 2013
Dieser Beitrag gibt im Anschluss an den Aufsatz in K&R
2013, 150 ff. einen berblick ber bedeutsame Entwicklungen im Bereich des Datenschutzrechts whrend des Jahres 2013. Die Darstellung beschrnkt sich auf besonders
praxisrelevante Entwicklungen auf legislatorischer und
regulatorischer Ebene sowie auf einschlgige Judikatur.
gen von Einwilligungserklrungen stichprobenhaft berprfen. Liegen der Meldebehçrde bezglich der Einwilligungserklrung konkrete Anhaltspunkte fr die Unrichtigkeit der Behauptung der Auskunft verlangenden Stelle
vor, hat sie von Amts wegen zu ermitteln und darf bis zum
Abschluss der Ermittlungen keine Ausknfte erteilen. Die
Neuregelung tritt zum 1. 5. 2015 in Kraft.
I. Das Gesetz zur Fortentwicklung des Meldewesens
3. Bewertung der Neuregelung
Auf legislatorischer Ebene ist die Neufassung des Bundesmeldegesetzes berichtenswert. Mit der Verkndung des
Gesetzes zur Fortentwicklung des Meldewesens (MeldFortG) am 8. 5. 20131 ist die gesetzgeberische Posse um
die Erteilung von Melderegisterausknften zu Werbezwecken beendet.
1. Gesetzgebungshistorie
Legendr sind die Berichte ber den ersten Anlauf des
Gesetzgebers zur Neuregelung, wie personenbezogene Daten von Brgern fr Zwecke der Werbung und des Adresshandels von den Einwohnermeldemtern an Unternehmen
bermittelt werden drfen: Am 28. 6. 2012 hatte der Bundestag den Entwurf des „Gesetzes zur Fortentwicklung des
Meldewesens“ (MeldFortG) angenommen; und zwar innerhalb von 57 Sekunden bei einer Anwesenheit von knapp
ber 20 Abgeordneten whrend des Fußball-EM-Halbfinals zwischen Deutschland und Italien. Aufgrund umstrittener Ausnahmeregelungen zu den Widerspruchsmçglichkeiten der Betroffenen scheiterte der Entwurf dann am
Veto des Bundesrates.
2. Werbenutzung von Melderegisterdaten
Am 8. 3. 2013 ist nun schließlich der vom Bundesrat akzeptierte Kompromiss des MeldFortG vom 3. 5. 2013 im
Bundesgesetzblatt verkndet worden. In dem neu gefassten § 44 Abs. 3 Bundesmeldegesetz (BMG) ist vorgesehen,
dass die die Melderegisterauskunft verlangende Person
oder Stelle erklren muss, die Daten nicht fr Zwecke
der Werbung oder des Adresshandels zu verwenden, es
sei denn, die betroffene Person hat in die bermittlung fr
jeweils diesen Zweck ausdrcklich eingewilligt.
Die Einwilligung kann sowohl gegenber der Meldebehçrde als auch jeweils gegenber dem anfragenden Unternehmen erfolgen. § 44 Abs. 3 BMG verlangt dabei, dass
die Einwilligung gesondert erklrt werden und sich ausdrcklich auf die Einholung einer Melderegisterauskunft
fr jeweils diesen Zweck beziehen muss.
Auf Verlangen sind der Meldebehçrde von der Auskunft
verlangenden Stelle Nachweise ber die Einwilligungserklrung vorzulegen. Die Meldebehçrde muss das Vorlie-
Die Regelung zur Werbenutzung der Melderegisterdaten ist
nun sehr streng ausgefallen. Angesichts des begrenzten
Datenkranzes (Name, Doktorgrad, Anschrift und ggf. Umstand des Verstorbenseins), der noch deutlich hinter den
Listendaten nach § 28 Abs. 3 BDSG zurckbleibt, wre
sicherlich auch eine Widerspruchslçsung sachgerecht gewesen. Außerdem scheint der Gesetzgeber mit der Forderung einer „gesonderten“ Erklrung der Einwilligung auf
die Rechtsprechung des BGH zu den formalen Anforderungen an eine Einwilligung in Telefon- und E-Mail-Werbung
nach § 7 Abs. 2 UWG zu rekurrieren, wonach sich diese
ausschließlich auf die Erhebung und Verwendung der Daten
aus dem Melderegister beziehen darf. Nach vier Jahren soll
gemß § 58 BMG eine Evaluierung der Regelung zur Werbenutzung der Daten durch die Bundesregierung erfolgen.
II. Gerichtsentscheidungen zu Datenverwendungen und deren Zulssigkeit
Im Jahr 2013 hat es mehrere sehr beachtenswerte Gerichtsentscheidungen gegeben, die nachhaltige Auswirkungen
auf die Zulssigkeit praxisblicher Erhebungen und Verwendungen personenbezogener Daten haben.
1. Datenschutzrechtliche Verantwortlichkeit
fr Facebook-Seiten
Lange Zeit haben deutsche Unternehmen Facebook-Seiten
angesichts der in Schleswig-Holstein von der dortigen
Aufsichtsbehçrde angestrengten Musterverfahren unter
dem Damoklesschwert der mçglichen Datenschutzwidrigkeit betrieben. Nun ist eine Gerichtsentscheidung ergangen, die Unternehmen vorerst grçßere Rechtssicherheit
verschafft.
a) Die Entscheidung des VG Schleswig
Das VG Schleswig hat am 9. 10. 2013 eine lang ersehnte
Entscheidung zur datenschutzrechtlichen Verantwortlichkeit deutscher Unternehmen fr den Betrieb von Face* Der Aufsatz beruht auf einem Beitrag des Autors zur DSRI-Herbstakademie 2013, abgedruckt in Taeger (Hrsg.), Law as a Service (LaaS) –
Recht im Internet und Cloud-Zeitalter, 2013, S. 235. Mehr ber den Autor
erfahren Sie auf S. VIII.
1 BGBl. 2013 Teil I Nr. 22 vom 8. 5. 2013, S. 1084.
150
Moos, Die Entwicklung des Datenschutzrechts im Jahr 2013
book-Fanpages gefllt:2 Danach verstoße ein Unternehmen nicht schon durch den reinen Betrieb einer Facebook-Fanpage gegen deutsches Datenschutzrecht, weil es
als Betreiber der Fanpage nicht fr den Umgang mit den
von den Nutzern dort eingestellten Daten verantwortlich
sei.
Das Unabhngige Landeszentrum fr Datenschutz Schleswig-Holstein (ULD) war Ende 2011 zu der Einschtzung
gelangt, dass die Facebook-Datenverarbeitung nicht mit
deutschem Datenschutzrecht vereinbar wre, weil die Nutzung von Fanpages personenbezogen przise erfasst und
gegen die Profilbildung keine Widerspruchsmçglichkeit
eingerumt werde, beim Setzen von Cookies keine wirksamen Einwilligungen eingeholt wrden und weil fr die
Betroffenen nicht die geforderte Transparenz hergestellt
sei. Das ULD hatte daraufhin mehreren Unternehmen per
Verfgung auferlegt, ihre Fanseiten zu deaktivieren. Diese
Bescheide wurden vom VG Schleswig nun mangels einer
hinreichenden Rechtsgrundlage aufgehoben.
Begrndet hat das Gericht diese Entscheidung damit, dass
ein Unternehmen nicht fr einen Datenumgang verantwortlich sei, den es weder tatschlich noch rechtlich beeinflussen
kçnne. Im Fall der Facebook-Fanpage kçnne der Fanpage-Betreiber nur die Informationen beeinflussen, die er
selbst dort einstelle. Die von den Nutzern bei dem sozialen
Netzwerk eingestellten Inhalte kçnne der FanpageBetreiber hingegen nicht beeinflussen, zumal die technische Plattform von dem Betreiber bereitgestellt werde.
Deshalb treffe den Fanpage-Betreiber diesbezglich keine
datenschutzrechtliche Verantwortlichkeit, sodass auch
keine Datenschutzverletzung durch den Fanpage-Betreiber
vorliege, weil dieser vermeintlich nicht ausreichend ber
den Datenumgang durch Facebook informiere und der betroffene Nutzer nicht wirksam in den Umgang mit seinen
Daten durch Facebook eingewilligt habe. Das ULD hat
Berufung gegen die Entscheidung eingelegt.
b) Bewertung der Entscheidung
Der Entscheidung des VG Schleswig ist zuzustimmen; insbesondere steht sie im Einklang mit den sich aus der EGDatenschutzrichtlinie ergebenden Anforderungen fr die
Qualifikation als datenschutzrechtlich Verantwortlicher.
Dieser muss ber Zwecke und Mittel der Verarbeitung entscheiden kçnnen. Entsprechende Entscheidungskompetenzen fehlen den Unternehmen im Zusammenhang mit der
Verarbeitung von Nutzerdaten auf Fanpages aber. Die Entscheidung des VG Schleswig lsst sich grundstzlich auch
auf den Datenumgang in anderen sozialen Netzwerken bertragen, weil auch hier die Herrschaft ber den Umgang mit
den Nutzerdaten regelmßig bei den Betreibern liegt. Angesichts des Urteils des VG Schleswig erscheint es unwahrscheinlich, dass Datenschutzaufsichtsbehçrden in nchster
Zeit gegen Unternehmen erneut wegen ihrer Auftritte in
sozialen Netzwerken vorgehen. Unternehmen kçnnen Fanpages deshalb vorerst weiter betreiben, ohne derzeit wegen
der Datenverarbeitung von Facebook datenschutzrechtliche
Konsequenzen frchten zu mssen. Kontrollieren sollten
die Unternehmen aber die von ihnen selbst eingestellten
Inhalte. Abzuwarten bleibt, ob das OVG das Urteil in der
Berufung aufrechterhlt.
c) Keine Prjudizwirkung fr andere Verarbeitungsszenarien, z. B. durch Social Plugins
Keine Prjudizwirkung hat das Urteil aber fr die datenschutzrechtliche Beurteilung von Social Plugins wie z. B.
3/2014
K &R
dem Facebook Like-Button. Es bleibt unklar, ob ein Unternehmen auch nicht fr den Umgang mit Nutzerdaten
durch den Betreiber eines sozialen Netzwerks verantwortlich ist, der durch die Verwendung von Social Plugins, wie
z. B. den Facebook Like-Button, auf seiner Website ausgelçst wird. Die Entscheidung des VG Schleswig lsst sich
nicht zwangslufig auf einen solchen Datenumgang bertragen, weil die Einbindung auf der eigenen Webseite
erfolgt, sodass das Unternehmen hier jedenfalls einen gewissen Einfluss auf die Verarbeitungsmittel hat. Zwar
strkt die Entscheidung des VG Schleswig die Argumentation gegen eine Verantwortung der Webseitenbetreiber
fr Datenverarbeitungen, die durch Social Plugins beim
Netzwerkbetreiber initiiert werden. Da eine Rechtsunsicherheit verbleibt, ist es Unternehmen aber nach wie vor
angeraten, fr solche Plugins die sogenannte 2-Klick-Lçsung zu verwenden, bei der der Nutzer die Plugins vorher
aktivieren muss.
2. Strafbarer Datenschutzverstoß durch GPS-Ortung
Der BGH hat Mitarbeiter einer Detektei mit Urteil vom
4. 6. 20133 wegen eines Verstoßes gegen §§ 43, 44 BDSG
durch Erstellung von Bewegungsprofilen mittels GPS-Ortung eines PKWs zu Freiheitsstrafen verurteilt.
a) Die Entscheidung des Gerichts
(1) Personenbezug der GPS-Daten
Der BGH qualifiziert die durch GPS-Empfnger gewonnenen „Bewegungsdaten“ als personenbezogen im Sinne
von § 3 Abs. 1 BDSG. Werden geografische Standort- oder
Positionsdaten (hier GPS-Positionsdaten) erhoben, verarbeitet oder genutzt, vermittelten diese, weil sie sich in
erster Linie auf Gegenstnde – wie vorliegend den GPSEmpfnger bzw. das Fahrzeug, an dem der GPS-Empfnger angebracht ist – beziehen, zwar unmittelbar keine
Aussage ber die persçnlichen oder sachlichen Verhltnisse einer natrlichen Person; die hier verwendeten GPSEmpfnger unterlgen aber einem Einfluss durch Personen, so dass etwa aufgrund der physischen oder rumlichen
Nhe des GPS-Empfngers zu einer Person oder zu anderen Gegenstnden, etwa dem von einer bestimmten oder
bestimmbaren Person genutzten Fahrzeug, an dem der
GPS-Empfnger angebracht ist, eine indirekte Beziehung
zu einer Person hergestellt werden kann. Auch soweit eine
Nutzung der berwachten Fahrzeuge durch eine oder zwei
weitere Personen aus dem Umfeld der Zielpersonen erfolgte, handelte es sich nach Auffassung des Gerichts bei
den Standortdaten um personenbezogene Daten, weil die
Angeklagten in diesen Fllen personenbezogene Informationen selbst herstellten, indem sie die GPS-Positionsdaten
einer bestimmten Person zuordneten und damit Aussagen
ber deren Aufenthaltsort trafen.
(2) Allgemeine Zugnglichkeit der GPS-Daten
Der BGH qualifiziert diese GPS-Positionsdaten als nicht
allgemein zugnglich. Zur Begrndung fhrt er aus, die
Erhebung und die Verarbeitung der hier konkret mit Hilfe
technischer Mittel erhobenen personenbezogenen Daten
waren lediglich unter berwindung rechtlicher Zugangshindernisse mçglich, was einer allgemeinen Zugnglichkeit entgegenstehe. Solche sieht das Gericht in den zivilrechtlichen Abwehransprchen des Fahrzeugbesitzers
2 Im Internet abrufbar unter: https://www.datenschutzzentrum.de/facebook/
20131009-vg-urteil-fanpages.pdf.
3 BGH, 4. 6. 2013 – 1 StR 32/13, NJW 2013, 2530.
K &R
3/2014
Moos, Die Entwicklung des Datenschutzrechts im Jahr 2013
bzw. -eigentmers nach §§ 1004, 859, 862 BGB, die der
Anbringung des GPS-Empfngers als notwendige technische Voraussetzung fr die Gewinnung der Personenbezug
aufweisenden Geodaten an einem fremden Fahrzeug entgegenstehen.
(3) Unzulssigkeit der Datenerhebung
Das Gericht kommt zu der Einschtzung, dass die Datenerhebung nicht mehr aufgrund einer Interessenabwgung
nach § 28 Abs. 1 S. 1 Nr. 2 BDSG gerechtfertigt war. Beweisfhrungsinteressen zur Klrung des Vorliegens von
zivilrechtlichen Ansprchen oder zu deren Durchsetzung
(Vollstreckung) kçnnten zwar unter bestimmten Voraussetzungen ein berechtigtes Interesse an der Datenverarbeitung begrnden. Dies gilt aber nur dann, wenn gerade das
Bewegungsprofil zur Durchsetzung des Beweisfhrungsinteresses bençtigt wird, was das Gericht vorliegend verneint hat.
b) Folgerungen fr die Unternehmenspraxis
Datenerhebungen zu Beweisfhrungszwecken erfolgen im
unternehmerischen Kontext gegenber Beschftigten oft
im Rahmen so genannter Compliance-Untersuchungen
oder Internal Investigations. Das Urteil zieht einer zu weitgehenden Eigenermittlung der Unternehmen klare Grenzen. Grundstzlich sollten solche Ermittlungsmaßnahmen
nur erfolgen, wenn ein konkreter Verdacht gegen die observierte Person besteht, die Datenerhebung zur Klrung
der Beweisfrage erforderlich ist und nicht andere, mildere
Maßnahmen ausreichend erscheinen. Fr den konkreten
Fall der Erstellung von Bewegungsprofilen ist auch die Art
und Weise der Datenerhebung und -verarbeitung zu bercksichtigen. So sollte grundstzlich vermieden werden,
dass von den berwachungsmaßnahmen auch unbeteiligte
Dritte betroffen sind und in das befriedete Besitztum des
Beschftigten eingedrungen wird.
3. Abmahnung mangelhafter Datenschutzerklrungen
Die Frage der Ahndung von Datenschutzverletzungen
durch Wettbewerber und Verbraucherschutzorganisationen gewinnt an Bedeutung. In einer interessanten Entscheidung des LG Berlin vom 30. 4. 20134 hat sich das
Gericht mit der Frage befasst, ob es sich auch bei einer
Datenschutzerklrung um dem UKlaG unterfallende Allgemeine Geschftsbedingungen handelt – und dies mit
einer kritikwrdigen Begrndung bejaht. Das OLG Hamburg hat kurze Zeit spter die Verpflichtung zur Vorhaltung einer Datenschutzerklrung nach § 13 TMG als
marktverhaltensregelnde Norm im Sinne von § 4 Nr. 11
UWG eingeordnet.
Die Qualifizierung von Datenschutzerklrungen als AGB
und die Verpflichtung zur Vorhaltung einer Datenschutzerklrung als marktverhaltensregelnde Vorschrift ist vor
allem wegen der dadurch begrndeten Abmahnfhigkeit
bedeutsam. Die Entscheidungen des LG Berlin und des
OLG Hamburg fhren die bereits im Vorjahresbeitrag
dargestellte gegenlufige Judikatur zur wettbewerbsrechtlichen Einordnung der Regelungen ber Datenverwendungen zu Werbezwecken gemß § 28 BDSG des OLG Karlsruhe und des OLG Mnchen fort.5
a) Das Urteil des LG Berlin
Das LG Berlin hat mit Urteil vom 30. 4. 20136 insgesamt 8
Klauseln der Datenschutzbestimmungen von Apple fr
unzulssig erklrt und einer Klage des Verbraucherzentra-
151
le Bundesverbandes e. V. stattgegeben. Das Gericht hat die
in der „Apple Datenschutzrichtlinie“ enthaltenen Bestimmungen zum Datenumgang als „Allgemeine Geschftsbedingungen“ im Sinne von § 305 BGB eingestuft und sie
wegen Verstoßes gegen § 307 BGB i.V. m. datenschutzrechtlichen Bestimmungen des BDSG und des TMG fr
rechtswidrig gehalten. Den mit Hkchen-Voreinstellung
im Rahmen einer Produktbestellung versehenen Hinweis
auf die „Datenschutz-Vereinbarung“ von Apple hat das
Gericht im Sinne der „verbraucherfeindlichsten Auslegung“ als Einbeziehung vorformulierter Vertragsbestimmungen eingestuft und deshalb die strengen AGB-Regelungen angewendet. Im Folgenden hat es die Bestimmungen der Datenschutzrichtlinie am Maßstab fr datenschutzrechtliche Einwilligungserklrungen (§§ 4, 4 a BDSG) gemessen, denen sie nach Auffassung der Richter nicht
standhielten.
b) Bewertung der Entscheidung
Nach der Judikatur des BGH ist die AGB-Kontrolle im
Bereich des Datenschutzrechts bisher auf den Bereich der
vorformulierten Einwilligungen in bestimmte Datenerhebungen und -verwendungen begrenzt.7 Eine Ausdehnung
der AGB-Kontrolle auch auf reine Datenschutzerklrungen erscheint verfehlt. Insoweit ist maßgeblich zu bercksichtigen, dass es sich bei solchen Datenschutzerklrungen
nach dem gesetzlichen Verstndnis und Leitbild um rein
informatorische Klauseln handelt.8 Im Gegensatz zu einer
Einwilligungserklrung kommt ihr also gar kein regelnder
Charakter zu. In der datenschutzrechtlichen Literatur wird
deshalb – soweit ersichtlich – bisher auch einhellig vertreten, dass AGB-rechtliche Regelungen auf solche Datenschutzerklrungen keine Anwendung finden.9 Auch nach
der Rechtsprechung des BGH10 sind Regelungen in AGB,
die die bereits vom BDSG oder anderen Datenschutzgesetzen zugelassenen Datenverwendungen nur erwhnen,
der Inhaltskontrolle gem. § 307 Abs. 3 S. 1 BGB entzogen,
gerade weil die Ermchtigung zum Umgang mit den Kundendaten in diesem Fall aus dem Gesetz folgt und die AGB
diese Rechtslage lediglich abbilden.11 Die vom Gericht
beanstandeten Regelungen der Apple-Datenschutzrichtlinie wren richtigerweise als solche Datenschutzinformationen (zu denen das Unternehmen nach § 4 a Abs. 2, § 13
Abs. 1 TMG ja gesetzlich sogar verpflichtet ist), und nicht
als Einwilligungserklrungen einzustufen gewesen. Weder
enthielten die Klauseln selbst noch der Text, mit dem die
Datenschutzrichtlinie in den Bestellvorgang per Hkchensetzung einbezogen wurde, Formulierungen, die auf eine
Einwilligung schließen lassen konnten.
c) Das Urteil des OLG Hamburg
Das OLG Hamburg hat in seinem Urteil vom 27. 6. 201312
entschieden, dass § 13 TMG, wonach der Diensteanbieter
den Nutzer zu Beginn des Nutzungsvorgangs u. a. ber Art,
4
5
6
7
8
9
10
11
12
LG Berlin, 30. 4. 2013 – 15 O 92/12, K&R 2013, 411 ff.
Moos, K&R 2013, 150 f.
LG Berlin, 30. 4. 2013 – 15 O 92/12, K&R 2013, 411 ff.
Zuletzt etwa BGH, 16. 7. 2008 – VIII ZR 348/06, K&R 2008, 678 ff. =
NJW 2008, 3055 f.
Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 13 TMG, Rn. 5.
Zutreffend: Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4 a Rn. 23; von
Lewinski, DuD 2002, 395, 399.
So der BGH in der „Payback“-Entscheidung, BGH, 16. 7. 2008 –
VIII ZR 348/06, K&R 2008, 678 ff. = NJW 2008, 3055 bzgl. einer Klausel
zur Speicherung des Geburtsdatums der Kunden, die von § 28 BDSG
gedeckt war.
Nord/Manzel, NJW 2010, 3756.
OLG Hamburg, 27. 6. 2013 – 3 U 26/12, K&R 2013, 601 ff.
152
Moos, Die Entwicklung des Datenschutzrechts im Jahr 2013
3/2014
K &R
Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verstndlicher Form
zu unterrichten hat, eine im Sinne des § 4 Nr. 11 UWG das
Marktverhalten regelnde Norm darstelle. Zur Begrndung
fhrt das Gericht an, dass nach den Erwgungsgrnden der
dieser Norm zugrunde liegenden Datenschutzrichtlinie 95/
46/EG durch die Schaffung gleicher Wettbewerbsbedingungen jedenfalls auch die wettbewerbliche Entfaltung des
Mitbewerbers geschtzt werden solle. Den Erwgungsgrnden zur Richtlinie sei darber hinaus zu entnehmen,
dass die in § 13 TMG geregelten Aufklrungspflichten
auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme dienen, weil sie den Verbraucher ber die Datenverwendung aufklren und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen.
In der Praxis werden diese Entscheidungen weiter dazu
beitragen, dass wettbewerbsrechtliche Abmahnungen wegen Datenschutzverstçßen zunehmen. Sollte sich die Ansicht des OLG Hamburg durchsetzen, ist es nur eine Frage
der Zeit, bis Abmahnungen wegen unrichtiger Internet
Privacy Policies bundesweit die Gerichte beschftigen.
d) Bewertung der Entscheidung
a) Das Urteil des VG Karlsruhe
Die Frage, ob einzelnen Datenschutzbestimmungen der
Charakter einer Marktverhaltensregel zukommt, war und
ist umstritten.13 Auch wenn sich in jngeren Entscheidungen14 und Stellungnahmen in der Literatur15 die Ansicht
durchzusetzen scheint, dass datenschutzrechtliche Vorschriften grundstzlich marktverhaltensregelnden Charakter aufweisen, so ist doch jeweils eine Beurteilung der
konkreten datenschutzrechtlichen Norm vorzunehmen.16
Die Hamburger Richter beziehen mit ihrer Entscheidung
gegen das KG Berlin Position, dass die Verwendung des
Facebook-Like-Buttons ohne ausdrcklichen Hinweis
nach § 13 TMG nicht als Wettbewerbsverstoß qualifiziert
hat.17 Das OLG begrndet dies damit, dass die Vorschrift
auch dem Schutz der Interessen der Mitbewerber diene und
deshalb als eine Regelung i. S. des § 4 Nr. 11 UWG anzusehen sei, die dazu bestimmt ist, das Marktverhalten im
Interesse der Marktteilnehmer zu regeln.18 Die Begrndung unter Einbeziehung der Erwgungsgrnde der RL 95/
46/EG erscheint zwar grundstzlich tragfhig; im Sinne
einer richtlinienkonformen Auslegung von § 4 Nr. 11
UWG notwendig erscheint sie freilich nicht. Im brigen
verstrkt sie das Dilemma einer Parallelitt der Sanktionierung von Datenschutzverletzungen durch Wettbewerber und deren Verbnde einerseits und durch die Datenschutzaufsichtsbehçrden andererseits.19
Als bei dem seinerzeit noch im Amt befindlichen Ministerprsident Mappus im Herbst 2010 technische Probleme mit
dem elektronischen Terminkalender auftraten, erstellte ein
mit Administratorrechten ausgestatteter Mitarbeiter des
IT-Bereichs eine Kopie des auf dem Server des Staatsministeriums liegenden Original-Postfachs. Nachdem die
berprfung abgeschlossen war, blieben die kopierten
Daten weiter gespeichert, um im Falle des erneuten Auftretens des Fehlers bei der Fehleranalyse verwendet werden zu kçnnen. Die beiden Original-E-Mail-Accounts
wurden dann spter nach dem Regierungswechsel auf
dem Server des Staatsministeriums gelçscht, nicht aber
die seinerzeit angefertigte Sicherungskopie, deren Lçschung Herr Mappus nun klagweise verlangt hat.
Das Ministerium rechtfertigte die weitere Speicherung der
E-Mails damit, dass deren Speicherung und Nutzung zur
Erfllung der dem Staatsministerium obliegenden Aufgaben erforderlich sei, vor allem bedrfe es einer Auswertung des E-Mail-Postfachs im Zusammenhang mit dem vor
der Internationalen Handelskammer in Paris anhngigen
Schiedsverfahren gegen die EdF, in dem das Land geltend
mache, im Dezember 2010 einen Betrag von 834
Mio. EUR zu viel fr die Anteile an der EnBW AG bezahlt
zu haben. Da der Verlauf der Vertragsverhandlungen im
Zusammenhang mit dem Ankauf der Anteile nach wie vor
in weiten Teilen nicht geklrt sei, kçnnten die Sicherungskopien mçglicherweise wichtige Hinweise liefern und die
Position des Landes in diesem Verfahren entscheidend
verbessern, zumal der Klger seine dienstliche E-MailKorrespondenz nicht vollstndig zu den Sachakten genommen habe.
Im Ergebnis hat das Gericht einen Lçschungsanspruch des
ehemaligen Ministerprsidenten aus § 23 Abs. 1 Nr. 2
LDSG BW bejaht. Die Voraussetzungen der Vorschrift
haben die Richter als erfllt angesehen, weil die Kenntnis
der Daten, deren Lçschung der Klger begehrt, fr die
e) Praxisfolgen und Empfehlungen
Das LG Berlin hat den Begriff Allgemeiner Geschftsbedingungen sehr weit – hier zu weit – ausgelegt. Sofern
diese Entscheidung nicht in der Berufungsinstanz korrigiert wird, ist in der Praxis grçßte Vorsicht bei der Differenzierung zwischen Vertragsregelungen, Einwilligungserklrungen und schlichten Datenschutzinformationen geboten. Sowohl bei der Bezeichnung der Regelwerke und
der Formulierung der einzelnen Klauseln als auch der Art
und Weise ihrer Einbindung in den Bestellvorgang ist
Genauigkeit gefragt, damit schlicht informatorische Datenschutzerklrungen (wie sie auf jeder Website abrufbar
und nach § 13 TMG vorgeschrieben sind) nicht zum Bumerang in Gestalt abmahnfhiger AGB/Einwilligungen
werden.
Dasselbe gilt im brigen erst recht fr unachtsam formulierte „Einwilligungsklauseln“ in Allgemeinen Geschftsbedingungen. Jngst hat zum Beispiel das LG Frankfurt
a. M.20 die in den AGB des Samsung App-Store enthaltene
Formulierung: „Im Gegenzug willigen Sie ein, dass Samsung in den Services Werbung schalten dar.“ fr rechtswidrig und damit unwirksam erklrt.
3. VG Karlsruhe: Mappus E-Mails
Am 27. 5. 2013 hat das VG Karlsruhe eine interessante
Entscheidung gefllt, die auch mediales Interesse erzeugt
hat, weil sie den ehemaligen baden-wrttembergischen
Ministerprsidenten Stefan Mappus betraf. Das Urteil ist
aber nicht nur wegen seiner politischen Wirkung sondern
auch wegen der rechtlichen Implikationen bemerkenswert.21
13 Hierzu Huppertz/Ohrmann, CR 2011, 449, 451.
14 OLG Stuttgart, 22. 2. 2007 – 2 U 132/06, MMR 2007, 437, 438; OLG
Kçln, 19. 11. 2010 – 6 U 73/10, CR 2011, 680.
15 Schrçder, ZD 2011, 59, 63.
16 Kçhler, in: Kçhler/Bornkamm, Kommentar zum UWG, 29. Aufl. 2011,
§ 4 Rn. 11.
17 KG Berlin, 26. 7. 2011 – 29 W 1268/11, K&R 2011, 661 ff. = GRUR-RR
2012, 19.
18 Vgl. Kçhler, in: Kçhler/Bornkamm (Fn. 16), Rn. 11.35 c zu § 4 UWG.
19 Kritisch deshalb auch zum Verbandsklagerecht: Hanloser, MMR 2009,
594, 597.
20 LG Frankfurt a. M., 6. 6. 2013 – 2-24 O 246/12, K&R 2013, 503 ff.
21 VG Karlsruhe, 27. 5. 2013 – 2 K 3249/12. Die Entscheidung ist noch nicht
rechtskrftig, die Berufung zum OVG Mannheim wird unter dem Az.
1 S 1352/13 gefhrt.
K &R
3/2014
Moos, Die Entwicklung des Datenschutzrechts im Jahr 2013
speichernde Stelle zur Erfllung ihrer Aufgaben nicht
mehr erforderlich sei, da die Daten ausschließlich zum
Zweck der Datensicherung beziehungsweise zur Sicherstellung eines ordnungsgemßen Betriebs einer Datenverarbeitungsanlage gespeichert wurden und der konkrete
Sicherungszweck mittlerweile entfallen sei (§ 15 Abs. 4
LDSG). Die Begrndung des Gerichts enthlt einige interessante Ausfhrungen, die auch fr die Verwendung von
E-Mail-Backups durch Unternehmen ußerst relevant sein
kçnnen:
(1) Zweckbindung von Sicherungskopien
Eine weitere Speicherung und Verwendung des E-MailAccounts hat das VG maßgeblich wegen der strengen
Zweckbindungsregelung des § 15 Abs. 4 LDSG BW fr
unzulssig erachtet, wonach personenbezogene Daten, die
ausschließlich zum Zweck der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung eines ordnungsgemßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, nur fr diesen Zweck und hiermit in Zusammenhang stehende(n) Maßnahmen gegenber Bediensteten genutzt werden drfen. Das Gericht meint, die E-MailPostfach-Daten stellen – in der im Herbst 2010 kopierten
Form – personenbezogene Daten dar, die ausschließlich
zum Zweck der Datensicherung beziehungsweise zur Sicherstellung eines ordnungsgemßen Betriebs einer Datenverarbeitungsanlage gespeichert worden sind. Die E-MailPostfach-Daten wurden zu dem Zweck kopiert, die Kopie
vorzuhalten, um einen mçglichen Datenverlust im Rahmen
der Arbeiten zur Behebung der vom Bro des Klgers
gemeldeten Probleme zu vermeiden und außerdem um
technischen Problemen der vom Bro des Klgers gemeldeten Art mit dem Outlook-Kalendersystem wirksam entgegentreten zu kçnnen.
Es handele sich deshalb um eine Kopie, die ausschließlich
zum Zweck der Datensicherung beziehungsweise zur Sicherstellung eines ordnungsgemßen Betriebs einer Datenverarbeitungsanlage angefertigt worden ist. Daher scheide
eine weitere Speicherung fr den von dem Beklagten
nunmehr genannten Zweck aus, weshalb auch der Lçschungsanspruch des Klgers durchgreifen msse.
Auch eine Verwendung der Sicherungskopie zur Wiedergewinnung eines gesicherten Datenbestandes, um ihn fr die
nach § 15 Abs. 4 LDSG erlaubten Zwecken zu nutzen, hat
das VG nicht gestattet. Dies kçnne nmlich nur dann rechtmßiger Weise erfolgen, wenn es gerade zu dem konkreten
Datenverlustereignis gekommen ist, fr dessen Eintritt die
Sicherungskopie erstellt wurde. Im vorliegenden Fall wurden die E-Mail-Postfach-Daten allein zu dem Zweck kopiert, die Kopie vorzuhalten, um einen mçglichen Datenverlust im Rahmen der Arbeiten zur Behebung der vom
Bro des Klgers gemeldeten Probleme zu vermeiden und
außerdem um technischen Problemen der vom Bro des
Klgers gemeldeten Art mit dem Outlook-Kalendersystem
wirksam entgegentreten zu kçnnen. Darum gehe es bei der
„Wiedergewinnung“ der in der Kopie enthaltenen Daten
aber nicht mehr. Ausgehend davon, dass der Tatbestand des
§ 15 Abs. 4 LDSG erfllt ist, sei es ausgeschlossen, die
Daten nun im Hinblick auf die Aufdeckung mçglicher
Rechtsverstçße des Betroffenen auszuwerten.
(2) Geltung des Fernmeldegeheimnisses im Beschftigungsverhltnis
Das VG hat sich auch mit der Frage beschftigt, ob sich ein
Lçschungsanspruch aus dem TKG ergibt, weil die weitere
153
Speicherung und Verwendung der Daten einen unzulssigen Eingriff in das Fernmeldegeheimnis darstellen kçnnten. Das Gericht lehnt dies ab und macht zur Geltung des
Fernmeldegeheimnisses im Dienst- bzw. Beschftigungsverhltnis einige interessante Ausfhrungen:
Das Gericht schließt sich der Auffassung des VGH Hessen22 an, wonach der Schutzbereich des Fernmeldegeheimnisses hier hinsichtlich der streitgegenstndlichen
E-Mail-Postfachdaten schon deshalb nicht betroffen sei,
weil es sich bei den E-Mails nicht um Kommunikationsinhalte handelt, die der Beklagte whrend des Kommunikations- oder bertragungsvorgangs ohne Wissen und
Wollen der Kommunikationsteilnehmer datenmßig erfasst und gespeichert hat, sondern die erst nach dem Abschluss der bertragung ber den Empfnger der E-Mail in
die Speichermedien des Beklagten gelangt sind. Das Gericht meint aber, der Schutzbereich des Rechts auf Gewhrleistung der Vertraulichkeit und Integritt informationstechnischer Systeme sei betroffen.
Selbst bei unterstellter Erçffnung des Schutzbereichs des
Fernmeldegeheimnisses sei der Beklagte gegenber dem
Klger kein Diensteanbieter im Sinne des § 88 TKG. Dem
stehe der in § 1 TMG normierte Gesetzeszweck des TKG
entgegen, wonach es sich um ein Gesetz zur Fçrderung des
privaten Wettbewerbs im Bereich der Telekommunikation
handelt, das also auf die Rechtsbeziehungen zwischen dem
Staat und den Telekommunikationsanbietern sowie diejenigen zwischen den Telekommunikationsanbietern untereinander abzielt. Sinn und Zweck des Gesetzes sei es
hingegen nicht, die unternehmens- beziehungsweise behçrdeninternen Rechtsbeziehungen – etwa zwischen Arbeitgeber und Arbeitnehmer – zu regeln Zwischen dem
Klger und dem Beklagten fehle es somit an einer Beziehung, die eine Qualifizierung als „Diensteanbieter“ und
„Dritter“ erlaube.
Schließlich sei hier auch nicht davon auszugehen, dass eine
Privatnutzung des E-Mail-Accounts gestattet gewesen sei.
Das Gericht meint, eine private E-Mail-Nutzung htte
ausdrcklich gestattet werden mssen. Durch bloß passives Verhalten der das E-Mail-Postfach stellenden Behçrde, also allein durch die Duldung privater Nutzung, kçnne
eine Erlaubnis zur Privatnutzung nicht entstehen.
b) Folgerungen fr die Unternehmenspraxis
Auch wenn die Entscheidung des VG Karlsruhe den çffentlichen Bereich und vor allem die Vorschriften des
baden-wrttembergischen Landesdatenschutzgesetzes betrifft, enthlt es auch fr Unternehmen sehr relevante
Lehren.
Zunchst ist die strenge Anwendung des Zweckbindungsprinzips bei Daten fr Sicherungszwecke bemerkenswert.
Aufgrund des Umstandes, dass § 31 BDSG mit der vom
VG Karlsruhe angewendeten Regelung des § 15 Abs. 4
LDSG BW identisch ist, erscheint die Auslegung der Vorschrift bertragbar. Daraus folgt, dass Unternehmen die
Zwecksetzungen ihrer Datenverarbeitungen – und vor allem ihrer Backup- und Archivdatenspeicherung – sehr
umsichtig definieren sollten. Bei zu eng gefassten Beschrnkungen auf Datensicherungen fr Flle konkret benannter Stçrungen besteht die Gefahr, dass § 31 BDSG
greift und weitere Verwendungen unzulssig sind; etwa
eine Verwendung der Archiv- oder Backup-Datenbestnde
fr Compliance-Zwecke oder auch nur die Fortfhrung der
22 Hess. VGH, 19. 5. 2009 – 6 A 2672/08.Z, K&R 2009, 748 ff.
154
Moos, Die Entwicklung des Datenschutzrechts im Jahr 2013
Geschfte, wenn die Ursprungsdatenstze von einem Mitarbeiter gelçscht worden sind. Eine berprfung und ggf.
Neuformulierung der festgelegten Zwecke ist jedem Unternehmen angeraten.
Nicht tragfhig – jedenfalls aber nicht bertragbar auf den
privatwirtschaftlichen Bereich – erscheint die Entscheidung, soweit die Richter eine Unanwendbarkeit des TKG
aus den Gesetzeszwecken herleiten wollen. Gemß § 1
TKG ist von dem Gesetzzweck ja gerade eine „technologieneutrale Regulierung“ gedeckt, deren Ziel gemß § 2
Abs. 2 Nr. 1 TKG ausdrcklich auch „die Wahrung der
Nutzer-, insbesondere der Verbraucherinteressen auf dem
Gebiet der Telekommunikation und die Wahrung des
Fernmeldegeheimnisses“ ist. Aus Grnden der Vorsicht
sollten Unternehmen deshalb nach wie vor davon ausgehen, dass zulssige private E-Mail-Kommunikation am
Arbeitsplatz den Regelungen des TKG unterfallen kann.
Zuzustimmen ist dem VG freilich, was die Aussagen zur
Zulassung der Privatnutzung angeht. Ohne nhere Begrndung wird hier in der Literatur oftmals vorschnell einer
angeblichen „betrieblichen bung“ das Wort geredet, die
zur Zulssigkeit der Privatnutzung durch schlichte Duldung fhre. Dem erteilt das Gericht erfrischend klar eine
Absage.
4. Nochmals: Datenspeicherung durch AccessProvider auf Zuruf
In der Vergangenheit haben sich schon zahlreiche Gerichte
mit der Frage befasst, ob aus § 101 Abs. 2 UrhG eine
Verpflichtung der Access-Provider zur Datenspeicherung
folgt, weil ein spteres Auskunftsbegehren nach § 101
Abs. 2 UrhG bzw. schon die gerichtliche Anordnung zur
weiteren Vorhaltung der Verbindungsdaten ansonsten in
Leere laufen.23 In insgesamt 8 Beschlssen vom 7. 3. 2013
hat sich zu dieser Frage nun auch das OLG Dsseldorf
positioniert.24
a) Die bisherige Judikatur
In der Rechtsprechung ist die Frage, ob Rechteinhabern
gegen Access-Provider ein Anspruch auf Datenspeicherung „auf Zuruf “ zusteht, nach wie vor umstritten, auch
wenn sich die große Mehrheit der Gerichte mittlerweile
dagegen ausgesprochen hat. Das LG Hamburg25 und auch
das OLG Hamburg26 haben eine rein fremdntzige Speicherpflicht „auf Zuruf “, d. h. ohne vorherige richterliche
Anordnung nach § 101 Abs. 9 UrhG, in mehreren Entscheidungen bejaht. Das OLG Kçln, 27 das OLG Nrnberg28 und das OLG Karlsruhe29 gehen nicht so weit, eine
gesetzliche Verpflichtung zur Datenspeicherung anzunehmen sondern meinen, dass sich aus § 101 Abs. 9 UrhG
jedenfalls eine Berechtigung ergebe, die Speicherung der
fraglichen Daten (insbesondere der IP-Adressen) im Rahmen des Anordnungsverfahrens einstweilen richterlich anzuordnen.
Das OLG Frankfurt30 und große Teile der Literatur31
lehnen hingegen einen Anspruch auf Datenspeicherung
auf Zuruf insgesamt ab. Dieser Ansicht hat sich nun auch
das OLG Dsseldorf angeschlossen.
b) Die Entscheidungen des OLG Dsseldorf
Das OLG lehnt den Anspruch auf Speicherung der IPAdresse unter anderem mit dem Argument ab, dass die
Speicherung einen Eingriff in das Fernmeldegeheimnis
nach § 88 TKG darstellt, fr den es keine gesetzliche
3/2014
K &R
Ermchtigung gibt. Auf § 96 TKG kçnne der Eingriff nicht
gesttzt werden, da die Vorschrift die Telekommunikationsdiensteanbieter nur zur Speicherung von Daten zu den
in diesem Abschnitt des TKG genannten Zwecken ermchtige, wozu eine Speicherung zur Erteilung der Auskunft
nach § 101 Abs. 2 Nr. 3 UrhG aber nicht gehçre.
c) Bewertung der Entscheidungen
Der Ansicht des OLG ist zuzustimmen. § 101 Abs. 2
i.V. m. Abs. 9 UrhG normiert ausschließlich einen Auskunftsanspruch, verpflichtet aber nicht zu einer diese Auskunft erst ermçglichende Speicherung. Die Hamburger
Gerichte hatten eine Speicherpflicht der Access-Provider
aus den §§ 101 Abs. 2 Nr. 3, Abs. 9 i.V. m. 96 Abs. 2 S. 1
TKG und § 242 BGB hergeleitet. Insbesondere sei nach
Ansicht dieser Gerichte aufgrund der Auskunftsverpflichtung nach § 101 Abs. 2 UrhG, die bereits durch die (vermeintliche) Rechtsverletzung entstehe, ein gesetzliches
Schuldverhltnis begrndet worden, das den Provider zu
einer Datenspeicherung auf Zuruf verpflichte. Diese
Rechtsprechung setzt die Anforderungen an das Vorliegen
einer gesetzlichen Ermchtigungsgrundlage zu stark herab. Die Voraussetzungen des § 96 TKG sind nicht erfllt,
solange keine rechtskrftige richterliche Anordnung vorliegt. Insoweit stellt § 101 Abs. 9 S. 8 UrhG klar, dass das
entsprechende Anordnungsverfahren nach den Stzen 1 bis
7 ja gerade auch die datenschutzrechtliche Grundlage fr
die Datenverwendungen zur Auskunftserteilung bilden
soll. Nach wie vor wre angesichts der divergierenden
Judikatur, der das OLG Dsseldorf nun eine berzeugende
Entscheidung hinzugefgt hat, eine Klrung durch den
BGH wnschenswert.
III. Aufsichtsbehçrdliche Stellungnahmen und
Empfehlungen
1. Anwendungshinweise zur Werbenutzung von Daten
Die Ad-hoc-Arbeitsgruppe „Werbung und Adresshandel“
des Dsseldorfer Kreises hat „Anwendungshinweise zur
Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zu werblichen Zwecken“ erarbeitet, die in
aktualisierter Fassung im Dezember 2013 verçffentlicht
worden sind.32 Diese Anwendungshinweise enthalten unter anderem die folgenden hilfreichen Klarstellungen zu
den werberelevanten Datenschutzvorschriften:
• Die Verwendung von Daten zu Werbezwecken kann im
Anwendungsbereich des BDSG auch dann auf § 28
Abs. 3 S. 2 Nr. 1 BDSG gesttzt werden, wenn die
Daten fr Preisausschreiben, Gewinnspiele sowie Katalog- und Prospektanforderungen verwendet werden
sollen.
23 Moos, K&R 2010, 166, 170.
24 OLG Dsseldorf, 7. 3. 2013 – I-20 W 118/12, I-20 W 121/12, K&R 2013,
344 ff., I-20 W 123/12, I-20 W 124/12, I-20 W 126/12, I-20 W 128/12,
I-20 W 142/12, I-20 W 143/12, I-20 W 162/12.
25 LG Hamburg, 11. 3. 2009 – 308 O 75/09, MMR 2009, 570; LG Hamburg,
19. 12. 2008 – 308 O 541/08, LG Hamburg, 21. 1. 2009 – 308 O 603/08.
26 OLG Hamburg, 17. 2. 2010 – 5 U 60/09, NJOZ 2010, 1122; OLG Hamburg, 17. 2. 2010 – 5 U 60/09, BeckRS 2010, 08656.
27 OLG Kçln, 21. 10. 2008 – 6 Wx 2/08, K&R 2008, 751.
28 OLG Nrnberg, 3. 6. 2009 – 3 W 471/09, BeckRS 2009, 26651.
29 OLG Karlsruhe, 1. 9. 2009 – 6 W 47/09, K&R 2009, 731.
30 OLG Frankfurt a. M., 12. 11. 2009 – 11 W 41/09, K&R 2010, 199 ff. und
OLG Frankfurt a. M., 17. 11. 2009 – 11 W 54/09, MMR 2010, 62.
31 Moos, K&R 2010, 166, 172; Moos/Gosche, CR 2010, 499, 505; Maaßen,
MMR 2009, 511, 513; Hoffmann, NJW 2009, 2649, 2653.
32 Im Internet abrufbar unter: http://www.lda.bayern.de/lda/datenschutzauf
sicht/lda_daten/Anwendungshinweise_Werbung.pdf.
K &R
3/2014
Moos, Die Entwicklung des Datenschutzrechts im Jahr 2013
• Als erster Anhaltspunkt fr die Bemessung der zulssi-
•
•
•
•
gen Nutzungsdauer von Listendaten nach dem letzten
aktiven Geschftskontakt soll unter Bercksichtigung
der Regelung in § 34 Abs. 1 a BDSG ein Zeitraum von 2
Jahren gelten, wobei im Einzelfall auch krzere (z. B.
bei reinen Interessentenanfragen) oder lngere Fristen
rechtmßig sein kçnnen.
§ 28 Abs. 3 S. 3 BDSG erlaubt bei Bestandskunden
auch das Hinzuspeichern der E-Mail-Adresse und –
unter den Voraussetzungen des § 7 Abs. 3 UWG – auch
die werbliche Ansprache per E-Mail. Weil § 7 Abs. 2
UWG fr telefonische Werbeansprache jedoch keine
Ausnahme vom Einwilligungserfordernis vorsieht,
kçnne ein Hinzuspeichern der Telefonnummer fr
werbliche Zwecke nicht auf § 28 Abs. 3 S. 3 BDSG
gesttzt werden.
Die Aufsichtsbehçrden sehen in § 28 Abs. 1 - 3 BDSG
keine Rechtsgrundlage fr Werbung anhand von Dritten erlangten Adressdaten (sog. Freundschaftswerbung), weil die Daten eben nicht direkt beim Betroffenen erhoben werden, wie es die Vorschrift verlangt.
Im Falle einer nicht schriftlich erteilten Werbeeinwilligung kann die nach § 28 Abs. 3 a BDSG erforderliche
schriftliche Besttigung auch in Textform, insbesondere per E-Mail, erfolgen. Zudem sei keine separate Besttigung erforderlich, sie kçnne auch in das Werbeschreiben selbst aufgenommen werden, solange dies in
ausreichendem zeitlichen Zusammenhang zur Erteilung
der Einwilligung erfolgt (d. h. maximal 3 Monate danach).
Entgegen dem OLG Mnchen hlt der Dsseldorfer
Kreis das Double-Opt-In-Verfahren zur Einholung
elektronischer Einwilligungen in Werbemaßnahmen
fr datenschutzrechtlich zulssig und geboten.
2. Der Code of Conduct fr die Versicherungswirtschaft
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat gemeinsam mit den Datenschutzaufsichtsbehçrden und dem Verbraucherzentrale Bundesverband (vzbv) Verhaltensregeln fr die Datenverarbeitung in
der Versicherungsbranche entwickelt, die vom Berliner
Beauftragten fr Datenschutz und Informationsfreiheit genehmigt und im Mrz 2013 verçffentlicht wurden. Der
GDV ist damit der erste Verband in Deutschland, der fr
eine freiwillige Selbstverpflichtung zum Datenschutz die
Zustimmung der Datenschutzbehçrden erhalten hat. Bis
zum Januar 2014 sind bereits ca. 200 Versicherungsunternehmen dem Code of Conduct beigetreten.
Der Code of Conduct stellt eine branchenspezifische Verhaltensregel im Sinne von § 38 a BDSG dar, die bereichsspezifische Besonderheiten der Versicherungswirtschaft
bercksichtigt. Zu diesem Zweck konkretisiert der Code
of Conduct die datenschutzrechtlichen Bestimmungen fr
die Versicherungswirtschaft, indem er die Datenverarbeitungsprozesse in den einzelnen Versicherungsunternehmen, in einer Unternehmensgruppe und mit weiteren Unternehmen beschreibt, Fallgruppen festlegt und den gesetzlichen Datenschutzregelungen zuordnet. Darber hinaus enthlt er einige Bestimmungen, die ein ber das
Bundesdatenschutzgesetz hinausgehendes Schutzniveau
fr die Betroffenen schaffen. Dabei handelt es sich im
Wesentlichen um erweiterte Dokumentations- und Informationspflichten. Datenschutzverbesserungen sollen u. a.
155
durch folgende Verpflichtungen erfolgen, die die Versicherungsunternehmen aufgrund eines Beitritts umsetzen
mssen:
• Prferenz fr eine Anonymisierung von Daten gegenber der Pseudonymisierung (Art. 3 Abs. 2 S. 3);
• Erstellung eines umfassenden Datenschutz- und Datensicherheitskonzepts unter Einbeziehung des betrieblichen Datenschutzbeauftragten (Art. 4 Abs. 2) sowie
eines Konzepts fr den Umgang mit Datenpannen
(Art. 29 Abs. 4);
• Datenschutzrechtliche Einwilligung Minderjhriger
erst ab 16 Jahre (Art. 5 Abs. 2);
• Konkretisierung der Regelung, wann Einwilligungen
mndlich, z. B. per Telefon mçglich sind (Art. 5 Abs. 5);
• Erweiterte Dokumentationspflichten, z. B. bezglich
Information zu Einwilligung (Art. 5 Abs. 4), Verwendung automatisierter Entscheidungshilfen (Art. 13
Abs. 3), Datenaustausch mit anderen Versicherern
(Art. 16 Abs. 3);
• Erweiterte Hinweis- und Informationspflichten, z. B.
ber Zwecknderung (Art. 2 Abs. 2), mndliche, z. B.
telefonische Einwilligung (Art. 5 Abs. 5), gemeinsame
Datenverarbeitung im Konzern (Art. 9 Abs. 4), das Hinweis- und Informationssystem – HIS (Art. 14 Abs. 4);
erstmalige Datenbermittlung an Vermittler und Vermittlerwechsel (Art. 19 Abs. 2), Liste der auf Dauer
ttigen Auftragsdatenverarbeiter und Dienstleister
(Art. 21 Abs. 3 und Art. 22 Abs. 6);
• Aufklrung ber Rechte des Betroffenen, z. B. Auskunfts- und Korrekturrechte (Art. 7 Abs. 3),
• Widerspruchsmçglichkeit bei Funktionsausgliederung
(Art. 22 Abs. 3).
Praxisrelevant sind auch die Konkretisierungen der Datenverarbeitungen in Abschnitt V des Codes of Conduct.
Dieser Abschnitt regelt die Datenflsse und Datenverwendungsvorgnge in den Versicherungsunternehmen. Es finden sich hier Sonderregelungen zu gemeinsamen Datenverarbeitungen innerhalb von Unternehmensgruppen
(Art. 9), zur Tarifkalkulation und Prmienberechnung in
Abgrenzung zum Scoring (Art. 10, 11). Ferner werden
Regelungen zum Hinweis- und Informationssystem (HIS)
in der Versicherungswirtschaft (Art. 14), zum Datenaustausch mit anderen Versicherern (Art. 16) und Rckversicherern (Art. 17) getroffen.
Ein Kernstck des Codes of Conduct ist Teil VII, in dem
nicht nur die Datenverarbeitung im Auftrag, sondern auch
die Funktionsbertragung an Dienstleister explizit geregelt
und auf Basis einer Interessenabwgung zugelassen wird.
In Art. 22 Abs. 4 und 5 werden die Versicherungsunternehmen jedoch verpflichtet, mit den Dienstleistern auch
im Fall einer Funktionsbertragung vertragliche Vereinbarungen zu schließen, die bestimmte datenschutzrechtliche Mindestanforderungen erfllen mssen. Hier wird es
sicherlich bei vielen Versicherern Anpassungsbedarf geben. Dasselbe gilt fr die Vertrge mit Rckversicherungen: nach Art. 17 Abs. 3 sind auch mit diesen besondere
vertragliche Regelungen zu vereinbaren.
Art. 30 Abs. 2 gewhrt den Versicherern im Hinblick auf
etwa notwendige technische Anpassungen ihrer Datenverarbeitungen einen bergangszeitraum von 2 Jahren ab
Beitritt zum Code of Conduct, wobei der zustndigen
Aufsichtsbehçrde innerhalb eines Jahres ein Zeitplan fr
die Umsetzung vorzulegen ist.