Datenschutz ist spätestens seit den Enthüllungen Edward Snowdens in aller Munde. Betroffene wollen wissen, wer welche Informationen von ihnen speichert und zu welchen Zwecken die Daten genutzt werden. Betreiber von Web-Seiten sind deshalb verpflichtet, genau darüber zu informieren. In der Praxis hat sich die Verwendung einer Datenschutzerklärung durchgesetzt.
Web-Seiten ohne Datenschutzerklärung sind wettbewerbswidrig
Mit Beschluss vom 26.11.2015 (Aktenzeichen 33 O 230/15) hat das Landgericht (LG) Köln nun entschieden, dass auf einer Internetseite zwingend eine solche Datenschutzerklärung vorzuhalten ist. Fehlt sie, stellt das einen wettbewerbsrechtlichen Verstoß dar, der von Mitbewerbern abgemahnt werden kann. Das Urteil könnte aus zwei Gründen weitreichende Folgen haben.
Information über Datenerhebung und Datenverwendung
Die Entscheidung aus Köln stützt sich auf die Vorschrift des §13 Absatz 1 Telemediengesetz (TMG). Dort ist die Verpflichtung gesetzlich festgeschrieben, dass sogenannte Diensteanbieter, also etwa Betreiber von Internetseiten, die Besucher der Seite darüber zu informieren haben, in welcher Art, in welchem Umfang und zu welchen Zwecken personenbezogene Daten erhoben und verwendet werden. Der Hinweis muss erfolgen, bevor der Nutzungsvorgang gestartet wird. Der Großteil der Verpflichteten kommt dieser Vorgabe durch Bereitstellung einer Datenschutzerklärung nach.
Grund 1: Keine Alternative zur Datenschutzerklärung
Zwingend erforderlich ist das - zumindest nach dem Wortlaut des Gesetzes - jedoch nicht. Die Information könnte auch auf andere Art und Weise erfolgen. Setzt sich die Ansicht der Kölner Richter allerdings durch, kann die gesetzliche Pflicht künftig nur noch durch eine Datenschutzerklärung erfüllt werden. Alternativen wären unzulässig. Ob dem LG Köln diese Tragweite klar war, kann leider nicht nachvollzogen werden. Der Beschluss erging im einstweiligen Verfügungsverfahren und enthält deshalb weder Angaben zum Sachverhalt noch eine Begründung.
Rechtsprechung ist uneinig
Ob Verstöße gegen das Datenschutzrecht zugleich auch wettbewerbswidrig sind, ist in der Rechtsprechung aktuell umstritten. Eine klärende höchstrichterliche Entscheidung gibt es (noch) nicht. Jedoch hatte bereits das Oberlandesgericht (OLG) Hamburg diese Frage für § 13 TMG bejaht. Werden dessen Vorgaben nicht eingehalten, drohen folglich Abmahnungen. In ihrem Urteil vom 27.06.2013 (Aktenzeichen 3 U 26/12) begründeten die Hanseatischen Richter ihre Ansicht damit, dass diese Norm den Interessen von Marktteilnehmern dient, nämlich zum einen denen der Mitbewerber und zum anderen denen der Verbraucher.
Grund 2: Verstoß gegen Datenschutzrecht ist wettbewerbswidrig
Geht man nun - wie das LG Köln - davon aus, dass Datenschutzverstöße wettbewerbswidrig sind, können diese nicht nur über behördliche Maßnahmen wie Bußgelder sanktioniert werden, sondern auch durch Abmahnungen. Dieses vor allem in Deutschland verbreitete Instrument soll Konkurrenten oder auch bestimmten Verbänden (etwa zum Schutz der Verbraucher) die Möglichkeit geben, ohne Gerichtsprozess einen fairen Wettbewerb sicherzustellen. So zumindest die Theorie. In der Praxis werden Abmahnungen leider immer wieder auch missbräuchlich ausgesprochen. Sie sind teuer und landen vielfach dennoch vor Gericht.
Aussichten
Ob das letzte Wort im Fall des LG Köln bereits gesprochen ist, steht noch nicht fest. Der Beschluss erging im einstweiligen Verfügungsverfahren und "wegen der Dringlichkeit ohne mündliche Verhandlung". Im Extremfall könnte das heißen, dass die Gegenseite noch keine Möglichkeit hatte, sich gegen den Vorwurf zu wehren. Sie kann Widerspruch gegen die Entscheidung einlegen und versuchen, die Kölner Richter mit entsprechenden Argumenten vom Gegenteil zu überzeugen. Die Chancen dafür stehen nicht allzu schlecht.
Dennoch kann Website-Betreibern nur geraten werden, eine Datenschutzerklärung zur Verfügung zu stellen. (sh)
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.