Auch in Facebooks App-Zentrum mutmaßen Verbraucherschützer zu wenig Datenschutz. Doch die Spannung vor einem BGH-Urteil ist groß: Wie sieht eine wirksame Einwilligung aus? Und darf die Konkurrenz abmahnen? Nils Müller erwartet strenge Vorgaben.
Am Donnerstag verhandelt der Bundesgerichtshof (BGH) in einem Streit zwischen Facebook und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv). Im Verfahren I ZR 186/17 geht es um Verstöße gegen die EU-Datenschutz-Richtlinie 95/46/EG durch Facebooks "App-Zentrum"; um altes Recht also, das mittlerweile abgelöst wurde durch die allseits bekannte Datenschutz-Grundverordnung (DSGVO).
Und doch erwarten Datenschutzrechtler und Unternehmen spannende Erkenntnisse von dem Verfahren, denn die Rechtsgrundlagen und Datenschutzprinzipien, um die es geht, sind denen der DSGVO sehr ähnlich. Grünes Licht für eine Sachentscheidung des u.a. für Ansprüche aus unlauterem Wettbewerb zuständigen I. Zivilsenats des BGH gab es erst nach einer jüngst ergangenen Entscheidung des Europäischen Gerichtshofs (EuGH). Dieser hatte im Vorabverfahren zu klären, ob Verbraucherzentralen (wie der vzbv) gerichtlich überhaupt gegen Datenschutzverstöße vorgehen können. Nun ist der Weg für eine Entscheidung frei.
Im engeren Sinne wird der BGH darüber zu entscheiden haben, welche Anforderungen an eine datenschutzrechtliche Einwilligung zu stellen sind. Die Richter in Karlsruhe können insbesondere beantworten, wie eine transparente Information über Art, Zwecke und Umfang einer Datenerhebung und –verarbeitung als Bedingung einer wirksamen Einwilligung ausgestaltet sein muss. Die konkreten Voraussetzungen einer Einwilligung sind häufig Gegenstand von Streitigkeiten. Unternehmen müssten, je nach potenziellen weiteren strengen Vorgaben des BGH, ihre Praxis überprüfen und datenschutzrechtliche Verarbeitungsvorgänge auf andere Rechtsgrundlagen der DSGVO stützen.
Facebooks "App-Zentrum" und die offenen Fragen
Facebook stellt seinen Nutzern auf der unternehmenseigenen Internetplattform ein "App-Zentrum" zur Verfügung, über das Nutzer kostenlos Online-Spiele anderer Anbieter spielen können. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Spiel spielen" (engl.: "play now") folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen‘ oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr."
In dieser Präsentation sieht der Dachverband der Verbraucherzentralen der Bundesländer einen Verstoß gegen § 13 Abs. 1 Satz 1 Telemediengesetz (TMG). Die Vorschrift verpflichtet Dienstanbieter, den Nutzer zu Beginn eines Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über deren Verarbeitung Drittstaaten in allgemein verständlicher Form zu unterrichten. Dieses Erfordernis entspricht im Wesentlichen den jetzt in der DSGVO enthaltenen Anforderungen.
Aufgrund der unzureichenden Hinweise zu Umfang und Zweck der Erhebung sowie zur Verwendung der Nutzerdaten geht der vzbv auch nicht davon aus, dass Facebook eine wirksame Grundlage für eine wirksame Einwilligung in die Verarbeitung der Daten hat. Insbesondere der rechtsverbindliche Charakter der Einwilligung sei für junge, situationsadäquat handelnde Verbraucher nur schwer erkennbar. Ausdrückliche Hinweise und Informationen wären nach § 4a Abs. 1 Satz 1 BDSG a.F. aber nötig gewesen, damit die Daten überhaupt erhoben und verarbeitet werden dürfen.
Schließlich hält der Bundesverband die verletzten datenschutzrechtlichen Vorschriften für Marktverhaltensregelungen im Sinne des § 3 Abs. 1, § 4 Nr. 11 (a.F., heute geregelt in: § 3 Abs. 1, 3a) des Gesetzes gegen den Unlauteren Wettbewerb (UWG); für Regeln also, die dazu bestimmt sind, im Interesse der Marktteilnehmer Marktverhalten zu regeln. Ein Verstoß gegen diese Regeln kann die Interessen von Verbrauchern spürbar beeinträchtigen. Und er begründet wettbewerbsrechtliche Unterlassungsansprüche, zu deren Geltendmachung der Verband sich als qualifizierte Einrichtung im Sinne des UWG berechtigt sieht.
Was bisher geschah
Facebook vertritt die Auffassung, dass die vom Nutzer erteilte Einwilligung auf einer bewussten Entscheidung beruhe. Es genüge, wenn ein durchschnittlicher Nutzer erkennen könne, dass er rechtsverbindlich einer Verarbeitung seiner personenbezogenen Daten zustimme. Das sei hier der Fall. Insbesondere seien Facebook-User im Umgang mit der Plattform geübt und für datenschutzrechtliche Belange sensibilisiert. Die Regelung, die weder unklar noch unverständlich formuliert sei, beeinträchtige die Interessen der Verbraucher auch nicht spürbarvor.
Das Landgericht Berlin hat Facebook im Oktober 2014 zur Unterlassung verurteilt. Die praktizierte Präsentation, bei der Nutzer mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über Facebook als soziales Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und im Namen der Nutzer posten darf, ist nach Ansicht des Gerichts unzulässig.
Auch beim KG hatte Facebook keinen Erfolg. Das Verfahren über die vom Berufungsgericht zugelassene Revision setzte der BGH dann erst einmal aus, um eine Entscheidung des EuGH abzuwarten.
Am 29. Juli vergangenen Jahres entschieden die Richter in Luxemburg dann auf eine Vorlage des Oberlandesgerichts Düsseldorf in einer anderen Sache, dass die Betreiber von Webseiten, die den Gefällt-mir-Button von Facebook auf ihren Seiten einbinden, gemeinsam mit dem Internetunternehmen für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich sind. Für das Verfahren über Faceboos App-Zentrum war das deshalb entscheidend, weil der EuGH dabei auch die Vorschrift des § 8 Abs. 3 Nr. 3 UWG für rechtmäßig erklärte, die gemeinnützigen Verbänden bei Datenschutzverletzungen eine Klagebefugnis zur Wahrung von Verbraucherinteressen einräumt. Die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) sieht ohnehin ausdrücklich vor, dass Verbraucherverbände im Fall von Datenschutzverstößen gegen die Verletzer vorgehen können.
Auswirkungen des BGH-Urteils
Sowohl die Verhandlung des BGH als auch das Urteil des EuGH beziehen sich auf Datenschutzrecht, wie es vor Inkrafttreten der DSGVO galt. Dennoch ist zu erwarten, dass die Entscheidung auch maßgeblich für Fälle nach neuem Datenschutzrecht übernommen werden wird, da die DSGVO das Ziel verfolgt, ein noch höheres Schutzniveau zu gewährleisten als die vorhergehende Richtlinie.
So dürften die Anforderungen an eine hinreichende Information der Nutzer über die Folgen, Risiken, Zwecke oder den Umfang einer Datenverarbeitung als Grundlage für eine nach der DSGVO wirksame Einwilligung weiterhin steigen. Es ist insbesondere zu erwarten, dass die Einwilligung in sich abgeschlossen und konkret sein muss. Eine Gesamtschau des Nutzungsverhalten auf einer Plattform dürfte der BGH nicht für geeignet halten, die Anforderungen an eine transparente und präzise Einwilligung zu erfüllen. Es ist zu erwarten, dass die Karlsruher Richter die Anforderungen an die Einwilligung derart streng fassen werden, dass der Webseitenbetreiber z.B. über Inhalt und Häufigkeit von "im Namen des Nutzers" veröffentlichten Postings informiert werden muss.
Möglicherweise äußert sich der BGH im Rahmen eines "obiter dictums" auch zur Frage, ob neben qualifizierten Einrichtungen wie der Verbraucherzentrale auch Mitbewerber wegen Verstößen gegen die DSGVO abmahnen können. Diskutiert wird das seit langem, eine einheitliche Rechtsprechung gibt es bisher nicht.
In der Sache selbst wird einmal mehr deutlich, wie wichtig für Unternehmen die transparente Darstellung der Nutzung etwaiger Nutzerdaten ist, insbesondere wenn sie die Nutzung auf eine Einwilligung der User stützen wollen. Die Praxis zeigt, dass Unternehmen auch nach Inkrafttreten der DSGVO oft zu unpräzise Generaleinwilligungen einsetzen.
Je nachdem, welche Anforderungen der BGH an eine wirksame Einwilligung stellen wird, könnte es eine Alternative werden, die Datenverarbeitung stattdessen auf eine andere Rechtsgrundlage zu stützen. In Frage kommen besonders berechtigte Interessen des Unternehmens oder die Notwendigkeit der Datenverarbeitung zur Vertragserfüllung. Schließlich sehen es einige Datenschutzbehörden als möglich an, eine Art Austauschvertrag zu schließen: In Konstellationen wie der hier vorliegenden können Nutzer von monetär kostenlosen Dienstleistungsangeboten mit der Zustimmung zu einer werblichen Nutzung ihrer Daten quasi "bezahlen". Eine transparente und eindeutige Information an die Nutzer bei Vertragsschluss macht das freilich nicht obsolet.
Der Autor Nils Müller ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei Eversheds Sutherland in München. Er beschäftigt sich im Schwerpunkt mit Datenschutz und Cybersicherheit.
BGH verhandelt über Einwilligung im Datenschutz: . In: Legal Tribune Online, 05.02.2020 , https://www.lto.de/persistent/a_id/40131 (abgerufen am: 04.11.2024 )
Infos zum Zitiervorschlag