OLG München: Kostenloser Account auf Online-Plattformen berechtigt zum Versenden von Werbe-E-Mails ohne separate Newsletter-Einwilligung

Das Verarbeiten personenbezogener Daten zu Werbe- und Marketingzwecken ist in vielen Fällen nur mit vorheriger Einwilligung des Betroffenen zulässig, was für Unternehmen ein nicht unerhebliches Hindernis für die Vermarktung Ihrer Produkte und Dienstleistungen darstellt. Insbesondere die hohen Anforderungen an das wirksame Einholen einer Einwilligung von Verbrauchern ist nicht selten eine große Herausforderung, denn Fehler können schlimmstenfalls zu ihrer Unwirksamkeit und damit zu einem bußgeldbehafteten Datenschutzverstoß führen.

Von dem beschriebenen Grundsatz gibt es im Bereich des E-Mail-Marketings die sogenannte „Bestandskundenausnahme“, die in § 7 Abs. 3 UWG geregelt ist. In den engen Grenzen dieser Sondervorschrift ist es Unternehmen erlaubt, Werbe-Emails an ihre Kunden auch ohne vorherige Einwilligung zu senden.

OLG München: „Bestandskundenausnahme“ greift auch beim Anlegen eines kostenlosen Accounts

Genau mit dieser Ausnahme musste sich das OLG München in einem schon älteren, jedoch nach wie vor relevanten Urteil beschäftigten und darüber entscheiden, ob das Anlegen eines kostenlosen Accounts auf einer Online-Plattform (hier: einer Partnerbörse) durch einen Internetnutzer dazu berechtigt, diesen Kunden ohne separate Einwilligung Werbe-E-Mails zu versenden (Urteil vom 15.02.2018, Az. 29 U 2799/17). Kern des Urteils war die Frage, ob das Anlegen des kostenlosen Accounts einen „Verkauf einer Ware oder Dienstleistung“ nach § 7 Abs. 3 Nr. 1 UWG darstellt, was eine wesentliche Voraussetzung der Ausnahmeregelung ist.

Das OLG bejahte dies mit der Begründung, dass mit „Verkauf“ nicht nur der klassische Kaufvertrag – wie es das Wort andeuten würde –, sondern jeder Austauschvertrag gemeint ist. Um dies am vorliegenden Fall zu verdeutlichen:

  • Der Kunde erhält mit der Registrierung vom Plattformbetreiber (zumindest) die Möglichkeit, auf der Partnerbörse die Bilder anderer Mitglieder zu sehen, die ebenfalls auf Partnersuche sind.
  • Im Gegenzug erhält der Plattformbetreiber die Daten des Kunden wie dessen E-Mail-Adresse und weitere mittelbare „Vorteile“ (höhere Plattformattraktivität wegen größerer Zahl an Mitgliedern; Möglichkeit des Sendens von Werbebotschaften, wenn sich der Kunde auf der Plattform aufhält).

Auch die übrigen Anforderungen des § 7 Abs. 3 UWG sah das OLG München als erfüllt an, sodass eine Einwilligung für die Werbe-E-Mails nicht erforderlich war.
 
Was bedeutet die Entscheidung für Unternehmen?


Das Urteil stellt im Bereich der Bestandskundenwerbung eine erhebliche Erleichterung für Unternehmen dar, die kostenlose „Austauschverhältnisse“ anbieten – vorausgesetzt, dass auch die übrigen Anforderungen des § 7 UWG erfüllt sind. Zudem sollten auch die weiteren gesetzlichen Vorschriften, insbesondere das Datenschutzrecht (und bei eHealth-Anwendungen die DiGA-Verordnung) nicht außer Acht gelassen werden.

Mit unserer langjährigen Erfahrung im Bereich des Onlinemarketingrechts beraten und unterstützen wir Sie gern.

EU-US Data Privacy Framework: EU-Kommission veröffentlicht Angemessenheitsbeschluss für Datentransfers in die USA

Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Welche Maßnahmen sieht die neue Vereinbarung vor?

Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.

Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.

EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Wie geht es jetzt weiter?

US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.

Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.

Wird die neue Regelung Bestand haben?

Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.

Das TCF 2.2 geht an den Start – das sollten Sie jetzt wissen:

Um den Akteuren im Online-Ökosystem dabei zu helfen, die Anforderungen der EU-Datenschutzrichtlinie sowie der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, hat der europäische Verband der Onlinebranche IAB eine überarbeitete Fassung des als „Transparency & Consent Framework“ bezeichneten Branchenstandards verabschiedet, das so genannte TCF 2.2. Eine Arbeitsgruppe aus Vetretern der beteiligten Unternehmen hat intensiv an einer überarbeiten Standardisierung der Pflicht-Informationen und Auswahlmöglichkeiten gearbeitet, die den Nutzern vor der Verarbeitung ihrer Daten zur Verfügung gestellt werden sollten, sowie an der Art und Weise, wie darauf aufbauenden Entscheidungen der Nutzer umgesetzt werden.

Ziel der Änderung ist die Anpassung des Branchenstandards an die Anforderungen der Rechtsprechung und der europäischen Datenschutzbehörden. Das IAB möchte es deshalb den betroffenen Marktteilnehmern ermöglichen, über das Transparency & Consent Framework 2.2 diesen Vorgaben gerecht zu werden. Das TCF 2.2 tritt bereits am 16. Mai 2023 in Kraft – und die Umsetzungsfristen für betroffene Unternehmen sind extrem kurz.

Die wichtigste Neuerungen des TCF 2.2 sind:

  • Abschaffung der Rechtsgrundlage des berechtigten Interesses für die Personalisierung von Online-Werbung und -Inhalten: Unternehmen können nun nur noch auf der Grundlage einer wirksamen Einwilligung der Nutzer pseudonyme Daten verarbeiten, um individuelle Werbung und Inhalte auszuspielen.
  • erweiterte Informationen für Nutzer in Bezug auf die Verarbeitungszwecke: Die in der Einwilligungsabfrage enthaltenen Angaben zu den Zwecken, für die die erhobenen Daten genutzt werden können, wurden überarbeitet. Die Informationen sollen jetzt verständlicher sein und wurden dazu auch um konkrete Beispiele ergänzt.
  • erweiterte Informationen für Nutzer in Bezug auf die Datenempfänger: Zu den Empfängern der Daten der Nutzer werden zusätzliche Informationen bereitgestellt, nämlich:
    • konkret vom jeweiligen Datenempfänger erhobene Datenkategorien
    • Speicherfristen für die erhobenen Daten beim jeweiligen Datenempfänger
    • falls einschlägig (und noch zulässig): die berechtigten Interessen des Datenempfängers für die Datenverarbeitung
  • Transparenz über die Anzahl der Datenempfänger: In der Einwilligungsabfrage muss zukünftig die Gesamtzahl der Datenempfänger bereits auf der ersten Ebene offen gelegt werden.
  • neue Anforderungen für den Widerruf der Einwilligung durch die Nutzer: Über eine spezielle Schaltfläche muss es möglich sein, die Einwilligungsabfrage erneut aufzurufen und die Einwilligung zu widerrufen.

Die meisten Anbieter von Websites und Apps werden sich zur Umstellung auf das TCF 2.2 an den Anbieter ihrer Einwilligungsabfrage (auch als „Cookie-Banner“ oder Consent Management Platform (CMP) bezeichnet) wenden. Auf Datenempfänger kommen dagegen größere technische Umstellungen zu.

Falls Sie Fragen zur Umsetzung des TCF 2.2 haben, melden Sie sich gern direkt bei uns.

Wirksame Anonymisierung – oder doch nur Pseudonymisierung?

EU-Gericht urteilt zum Personenbezug bei verschlüsselten Daten

Personenbezogene Daten werden häufig pseudonymisiert verarbeitet, indem unmittelbar identifizierende Klardaten (zum Beispiel Namen) mit Kennungen oder Codes ersetzt werden. Die Stelle, die eine Pseudonymisierung vornimmt, behält aber in der Regel Mittel in der Hand, um die hinter den pseudonymen Kennungen stehenden Personen weiterhin zu identifizieren, sodass das Datenschutzrecht und die DSGVO auf diese Daten weiterhin unmittelbar anwendbar bleiben.

Wie ist jedoch der Fall zu bewerten, wenn diese verschlüsselten Daten an ein anderes Unternehmen weitergegeben werden? Genau diese Frage musste das Europäische Gericht („EuG“) kürzlich beantworten (Urteil vom 26. April 2023, Az. T-557/20). (Hinweis: Das EuG ist eine Vorinstanz zum Europäischen Gerichtshof („EuGH“) und mit diesem daher nicht zu verwechseln!)

Der Sachverhalt

Das Single Resolution Board („SRB“), das als EU-Institution die Abwicklung von Insolvenz im Finanzsektor begleitet, erfasste über ein Online-Formular persönliche Stellungnahmen und gab diese Daten an eine Beratungsfirma weiter, ohne die Betroffenen darüber zu informieren. Vor der Weitergabe ersetzte das SRB die Namen jedoch jeweils mit einem Code.

Der nach einer Beschwerde eingeschaltete Europäische Datenschutzbeauftragte („EDSB“) sah hierin eine Weitergabe von pseudonymisierten – und damit personenbezogenen – Daten der Betroffenen an einen Dritten. Entsprechend hätte das SRB die Betroffenen über die Datenweitergabe informieren müssen.

Der SRB führte hiergegen an, dass es sich bei den weitergegebenen Daten um anonymisierte Daten handeln würde. So habe der SRB die für die Reidentifizierung der Interessenten erforderlichen Daten nicht mit der Beratungsfirma geteilt. Außerdem stünde letzterer kein Recht zu, auf die beim SRB liegenden Informationen zuzugreifen, um die Interessenten hinter den Codes zu ermitteln.

Urteil: Die Perspektive des Datenempfängers muss berücksichtigt werden

Das EuG führte in seiner Entscheidung aus, dass es für die Frage, ob pseudonymisierte Daten, die an ein anderes Unternehmen übermittelt werden, als personenbezogene Daten nach der DSGVO einzustufen sind, auf die Sicht des Datenempfängers ankommt. Es muss insoweit geprüft werden, ob der Datenempfänger (zulässige) Mittel besitzt, die er vernünftigerweise einsetzen kann, um die betroffenen Personen zu identifizieren. Diese Prüfung hatte der EDSB in dem vorliegenden Verfahren jedoch unterlassen und es für ausreichend befunden, dass jedenfalls das SRB eine Identifizierung vornehmen konnte.

Einordnung für die Praxis

Das EuG setzt mit seinem Urteil die bekannte „Breyer“-Rechtsprechung des EuGH aus dem Jahr 2016 konsequent fort. Es deutet hiermit an: Wenn ein Datenempfänger tatsächlich nicht über zusätzliche Informationen verfügt, die ihm eine erneute Identifizierung der betroffenen Personen ermöglichen, und wenn ihm keine rechtlichen Mittel zur Verfügung stehen, um auf diese Informationen zuzugreifen, stellen die ihm übermittelten (pseudonymisierten) Daten keine personenbezogenen Daten dar. Die DSGVO ist für die Verarbeitung dieser Daten in der Konsequenz auch nicht anwendbar.

Auf den ersten Blick sind dies gute Nachrichten insbesondere für Unternehmen in der Werbebranche, die pseudonymisierte Daten für das Anzeigen von Werbung speichern und verwenden, wie zum Beispiel Data Management Plattformen.

Die Feststellungen im Urteil gelten jedoch nur unter dem Vorbehalt, dass Identifier in diesen Datensätzen nicht doch noch andere Identifikatoren vorhanden sind. In der Praxis sind solche vollverschlüsselten und damit anonymisierten Datensätze allerdings nur selten anzutreffen, da die Kombination der unterschiedlichen Datenkategorien in der Regel doch einen Rückschluss zu den betroffenen Personen erlauben. Die praktischen Auswirkungen des Urteils werden daher gering sein.

In Übrigen ist eine Berufung zum EuGH möglich und auch nicht unwahrscheinlich. Es bleibt daher abzuwarten, ob das Urteil des EuG vor dem Gerichtshof bestehen wird.

Frankreich: Die Nutzung von Google Analytics verstößt gegen die DSGVO

Die französische Datenschutzbehörde CNIL gab am 10. Februar bekannt, dass sie gegen einen ungenannten französischen Website-Betreiber eine Anordnung zur Einhaltung der DSGVO erlassen hat, nachdem sie festgestellt hat, dass die Übermittlung personenbezogener Daten in die USA durch die Nutzung von Google Analytics nicht mit Art. 44 DSGVO vereinbar ist. Dies geschah im Lichte des Urteils des Europäischen Gerichtshofs in Sachen „Schrems II“ und im Anschluss an eine von None of your business („NOYB“) an die CNIL gerichtete Beschwerde.

Hintergrund des Rechtsstreits

Am 17. August 2020 reichte NOYB 101 Beschwerden gegen EU-Webseitenbetreiber ein, die weiterhin Daten von Webseitenbesuchern an Google LLC und Facebook Inc. (jetzt Meta Platforms, Inc.) übermitteln und damit angeblich trotz des Urteils in der Rechtssache Schrems II weiterhin gegen die Datenschutz-Grundverordnung verstoßen. Am 13. Januar 2022 veröffentlichte NOYB bekanntlich die erste Entscheidung, die nach der Einreichung seiner Beschwerden erging – eine Entscheidung der österreichischen Datenschutzbehörde DSB, in der festgestellt wurde, dass die Verwendung von Google Analytics durch einen nicht genannten Website-Betreiber gegen die DSGVO verstößt. Die vorliegende Verfügung der CNIL ist die zweite Entscheidung, die von einer EU-Datenschutzbehörde als Reaktion auf die 101 Beschwerden von NOYB veröffentlicht wurde.

Zur weiteren Erläuterung führte die CNIL aus, dass Google Analytics, um die Anzahl der Besuche von Internetnutzern zu messen, jedem Besucher eine eindeutige Kennung zuweist, die, wie die CNIL hervorhob, ein personenbezogenes Datum darstelle, das anschließend zusammen mit weiteren dazugehörigen Daten in die USA übermittelt werde, was somit unter Kapitel V der Datenschutz-Grundverordnung falle. Darüber hinaus erklärte die CNIL, dass sie mit ihren europäischen Kollegen zusammengearbeitet habe, um die Rechtmäßigkeit der Bedingungen zu bewerten, unter denen die durch diesen Dienst gesammelten Daten an die USA übermittelt werden.

Feststellungen der CNIL

Die CNIL hob insbesondere hervor, dass nach der DSGVO die Übermittlung personenbezogener Daten in die USA nur dann erfolgen darf, wenn angemessene Garantien zur Gewährleistung der Datensicherheit gegeben sind und stellte fest, dass dies bei der Verwendung von Google Analytics durch den Website-Betreiber nicht der Fall war. Konkret wies die CNIL darauf hin, dass Google zwar zusätzliche Maßnahmen zur Regelung der Datenübermittlung im Zusammenhang mit der Google-Analytics-Funktionalität ergriffen habe, diese jedoch nicht ausreichten, um die Zugänglichkeit dieser Daten für US-Geheimdienste auszuschließen. Folglich stellte die CNIL fest, dass die Verwendung von Google Analytics in diesem Fall bedeutet, dass die Daten von Internetnutzern in die USA übermittelt werden, was einen Verstoß gegen die Art. 44 ff. DSGVO darstelle.

Deshalb wies die CNIL den Betreiber der Website an, seine Verarbeitung mit der DSGVO in Einklang zu bringen, gegebenenfalls durch Einstellung der Verwendung von Google Analytics (unter den derzeitigen Bedingungen) oder durch Verwendung eines Tools, das keine Übermittlung personenbezogener Daten in Länder außerhalb der EU beinhaltet. Darüber hinaus stellte die CNIL fest, dass der Website-Betreiber einen Monat Zeit habe, um der Richtlinie nachzukommen.

Darüber hinaus wies die CNIL darauf hin, dass sich die laufenden Untersuchungen der CNIL und ihrer EU-Kollegen auch auf andere Tools erstrecken, die von Websites verwendet werden, die zur Übermittlung von Daten von EU-Internetnutzern in die USA führen, und betonte, dass in naher Zukunft diesbezügliche Korrekturmaßnahmen ergriffen werden könnten.