Meine Produkte: Bitte melden Sie sich an, um Ihre Produkte zu sehen. Anmelden
logo logo logo logo präsentieren:
MyIww MyIww
logo logo
Jetzt freischalten

·Datenschutzgrundverordnung

Wettbewerbsverstoß durch datenschutzunfreundliche Voreinstellungen?

Bild: ©fotogestoeber - stock.adobe.com

von RA Dr. Robert Kazemi, Bonn (www.medi-ip.de)

| Das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) rückt zunehmend näher. Seit Jahreswechsel verbleiben nicht einmal mehr sechs Monate, um die neuen Datenschutzanforderungen umzusetzen. Eine Umsetzungspflicht ‒ dies zeigt ein aktuelles Vorabentscheidungsersuchen des BGH (5.10.17, I ZR 7/16, Abruf-Nr. 197860) ‒ kann sich dabei künftig auch im Zusammenhang mit der Gestaltung datenschutzrechtlicher Einwilligungserklärungen im Internet ergeben. |

Sachverhalt

Die Beklagte veranstaltete im Internet ein Gewinnspiel. Nach Eingabe der Postleitzahl gelangte der Nutzer hierbei auf eine Seite, auf der sein Name und seine Anschrift einzutragen waren. Unter den Eingabefeldern für die Adresse befanden sich zwei mit Ankreuzfeldern versehene Hinweistexte. Der zweite Hinweistext lautete: „Ich bin einverstanden, dass der Webanalysedienst R. bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die P. GmbH, nach Registrierung für das Gewinnspiel Cookies setzt, welches P. eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch R. ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier.“ Er war mit einem voreingestellten Häkchen versehen, was der Kläger (ein Verbraucherverband) als unzulässige Einwilligungsvorwegnahme einstufte. Er machte u. a. geltend, die vorzitierte Einwilligung dürfe nicht mit einem voreingestellten Häkchen versehen sein.

 

Der klagende Verband scheiterte mit seinem Unterlassungsbegehren in den Vorinstanzen. Der BGH scheint indes eher der Auffassung des Klägers folgen zu wollen.

 

MERKE | Art. 25 Abs. 2 DSGVO formuliert den Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellungen (data protection by default). Er normiert eine Pflicht des Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Diese Pflicht gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Mit seinem Vorabentscheidungsersuchen wirft der BGH die Frage auf, ob sich eine gleichlautende Pflicht bereits aus der Datenschutz-Richtlinie 2002/58/EG herleiten lässt; gleichzeitig nimmt das Gericht die künftigen Vorgaben der DSGVO ausdrücklich in Bezug.

 

Gründe

Neben anderen Fragestellungen ersucht der BGH den EuGH um die Beantwortung folgender Fragestellung:

 

Handelt es sich um eine wirksame Einwilligung i. S. d. Art. 5 Abs. 3 und des Art. 2 Buchst. f der Richtlinie 2002/58/EG i. V. m. 2 Buchst. h der Richtlinie 95/46/EG, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?

 

Unangemessene Benachteiligung des Verbrauchers

Nach Auffassung des BGH kann sich die Verwendung eines voreingestellten Häkchens an der Einwilligungserklärung, das der Nutzer erst abhaken muss (Opt-out), will er selbige nicht erteilen, als unangemessene Benachteiligung des Verbrauchers i. S. d. § 307 Abs. 2 Nr. 1 BGB erweisen. Eine solche sei im Zweifel anzunehmen, wenn eine Bestimmung nicht mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, zu vereinbaren ist. Im Streitfall kommt in Betracht, dass die von der Beklagten vorgesehene, elektronisch zu erklärende Einwilligung des Nutzers, die den Abruf von auf seinem Endgerät gespeicherten Informationen mithilfe von Cookies im Wege eines voreingestellten Ankreuzkästchens gestattet, nicht mit wesentlichen Grundgedanken von Art. 5 Abs. 3 und Art. 2 Buchst. f der Richtlinie 2002/58/EG i. V. m. Art. 2 Buchst. h der Richtlinie 95/46/EG und des Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 vereinbar ist.

 

Nutzer muss seine Einwilligung geben

Nach der Ursprungsfassung des Art. 5 Abs. 3 der Richtlinie 2002/58/EG hatte der Diensteanbieter den Nutzer im Fall der Speicherung von Informationen auf dem Endgerät des Nutzers oder des Zugriffs auf dort gespeicherte Informationen nicht nur klar und umfassend insbesondere über den Zweck der Verarbeitung zu informieren, sondern ihn auch auf das Recht hinzuweisen, die Verarbeitung zu verweigern. Nach der Neufassung des Art. 5 Abs. 3 der Richtlinie 2002/58/EG durch die Richtlinie 2009/136/EG stellen die Mitgliedstaaten sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, nur gestattet sind, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

 

Keine Ausnahme vom Einwilligungserfordernis

Die in Art. 5 Abs. 3 der Richtlinie 2002/58/EG behandelten Maßnahmen der Speicherung oder des Abrufs von auf dem Endgerät des Nutzers gespeicherten Informationen werden typischerweise mithilfe von Cookies vorgenommen. Cookies sind Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Webseite wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten abzurufen (vgl. Boemke in Hoeren/Sieber/Holznagel, Multimedia-Recht, 44. EL Januar 2017, Teil 11 Rn. 100). Im Streitfall sind Speicherung oder Abruf der Informationen nicht i. S. d. Art. 5 Abs. 3 S. 2 der Richtlinie 2002/58/EG technisch notwendig, sondern sie dienen der Werbung, sodass die Ausnahme vom Einwilligungserfordernis nicht vorliegt.

 

Keine Einwilligung i. S. d. Richtlinie 2002/58/EG

Der BGH verweist darauf, dass nach seiner bisherigen Rechtsprechung zur Anwendung des auf Art. 13 der Richtlinie 2002/58/EG zurückgehenden § 7 Abs. 2 Nr. 3 UWG, der ohne Einwilligung des Adressaten vorgenommene Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgeräts oder elektronischer Post als unzumutbare Belästigung verbietet, die erforderliche Einwilligung vorhergehend und ausdrücklich zu erteilen ist. Danach ist der in Erwägungsgrund 17 der Richtlinie 2002/58/EG verwendete Begriff „spezifische Angabee“ mit Blick auf den in ihren Erwägungsgründen 5 und 6 zum Ausdruck kommenden Schutzzweck, die Privatsphäre des Betroffenen vor neuen Risiken durch öffentliche Kommunikationsnetze zu schützen, dahingehend auszulegen, dass eine gesonderte, nur auf die jeweilige Einwilligung bezogene Zustimmungserklärung des Betroffenen erforderlich ist. Einwilligungsklauseln, die so gestaltet sind, dass der Kunde tätig werden und ein Kästchen ankreuzen muss, wenn er seine Einwilligung nicht erteilen will („Opt-out“-Erklärung), entsprechen danach nicht dem Begriff der Einwilligung i. S. d. Richtlinie 2002/58/EG (BGHZ 177, 253; BGH 14.4.11, I ZR 38/10, MMR 11, 458, 25.10.12, I ZR 169/10, Abruf-Nr. 131254).

 

Einwilligung i. S. d. Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679?

Es stellt sich daher für den BGH die Frage, ob die Gestaltung der Einwilligung nach den Umständen des Streitfalls eine wirksame Einwilligung i. S. d. Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 darstellt. Da der BGH davon ausgeht, dass die DSGVO im Zeitpunkt der Entscheidung des Streitfalls zu berücksichtigen sein wird, nimmt er auf die dort vorzufindenden Bestimmungen Bezug: Nach Art. 6 Abs. 1 Buchst. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat. Art. 4 Nr. 11 DSGVO definiert als „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

 

Erwägungsgrund 32 DSGVO spricht dafür, dass der Gesetzgeber der EU Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit nicht als hinreichende Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten ansieht.

 

  • Im Wortlaut: Erwägungsgrund 32 DSGVO

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen (…).

 

Beachten Sie | Die Verpflichtung zur Etablierung von data privacy by default-Maßnahmen durch den Verantwortlichen konkretisiert die in Art. 5 Abs. 1 Buchst. b) und c) DSGVO normierten Datenschutzgrundsätze der Zweckbindung und der Datenminimierung. Nähere Angaben dazu, wie dieser Grundsatz umzusetzen ist, finden sich in der DSGVO nicht. Art. 25 DSGVO wird gleichwohl in dem Sinne zu verstehen sein, dass der Grundsatz der datenschutzfreundlichen Voreinstellungen sowohl vom Verantwortlichen als auch im Verkehr mit Dritten zu beachten ist.

Relevanz für die Praxis

Dies wird ‒ nicht erst nach Vorliegen einer Entscheidung über die Vorlagefragen des BGH ‒ ab dem 25.5.18 zur Unzulässigkeit voreingestellter Einwilligungshäkchen führen. Vorsicht wird in diesem Zusammenhang auch in Bezug auf die auf vielen Webportalen im Rahmen des Anmeldevorgangs voreingestellt gesetzten Häckchen >„angemeldet bleiben“ geboten sein. Auch hier handelt es sich um eine datenschutzunfreundliche Voreinstellung, die zukünftig unzulässig sein dürfte.

 

Ebenso unzulässig erweist sich wohl auch die von zahlreichen Herstellern mobiler Endgeräte (Handys) im Rahmen der E-Mail-Funktionalität etablierte Voreinstellung einer Absendersignatur, die darüber aufklärt, dass eine E-Mail von einem bestimmten Markengerät abgesendet wurde. Auch diese Information ist personenbezogen. Sie gibt Auskunft darüber, dass der Absender die E-Mail über ein Smartphone bearbeitet hat, welches Smartphone er nutzt (was wiederum Erkenntnisse beispielsweise zur vermeintlichen Kaufkraft des Absenders liefern kann) und darüber, dass er zum Zeitpunkt des Verfassens einer E-Mail unterwegs war. Der kleine Satz, den die Smartphone-Hersteller sicherlich zu Werbezwecken einsetzen, ist damit weder datenschutzneutral, noch steht er im Einklang mit den Anforderungen der DSGVO.

Quelle: ID 45075799