Das Thema „Newsletter-Einwilligung“ steht bei unseren Mandanten immer wieder auf der Tagesordnung – denn die rechtlichen Hürden in DSGVO und UWG stellen das E-Mail-Marketing vor große Herausforderungen.

Ein wichtiger Ankerpunkt in dieser Diskussion war dabei eine Entscheidung des Oberlandesgerichts Frankfurt aus dem Jahr 2019, nach der die Einwilligung in den Erhalt eines Newsletters zur Teilnahmevoraussetzung eines kostenlosen Gewinnspiels gemacht werden darf – ohne, dass dies einen Verstoß gegen die Voraussetzungen einer wirksamen Einwilligung darstellt. Diese Ausnahme vom „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO hatten auch Gerichte in Österreich und Italien bestätigt (wir hatten darüber informiert).

Jetzt sorgt ein kurzer Abschnitt im kürzlich veröffentlichten aktuellen Jahresbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) einerseits für Erleichterung, aber auch für Verwirrung: Zum ersten Mal äußert sich eine einflussreiche Datenschutzaufsichtsbehörde zu dieser für die Praxis so wichtige Frage – und bestätigt im Ergebnis, dass die Newsletter-Einwilligung zur Teilnahmevoraussetzung für ein kostenloses Gewinnspiel gemacht werden darf.

Leider argumentiert die LDI NRW jedoch rechtlich völlig anders als das OLG Frankfurt: Rechtsgrundlage für die Datenverarbeitung im Rahmen des Newsletterversands soll nicht die Einwilligung der Empfänger sein, sondern der Gewinnspiel-Vertrag. Das bedeutet, dass nach Ansicht der Behörde mit der Preisgabe seiner E-Mail-Adresse quasi für die Teilnahmemöglichkeit „bezahlt“. Dies müsse in den Teilnahmebedingungen entsprechend kommuniziert werden.

Der Lösungsweg der LDI NRW ist einerseits etwas umständlich und außerdem befremdlich – denn in unserer Rechtsordnung stehen die Gerichte über den Aufsichtsbehörden. Die Behörde bleibt die Antwort auf die Frage schuldig, warum sie sich in ihrer Stellungnahme nicht mit der Rechtsauffassung des OLG Frankfurt auseinandergesetzt hat.

Im Ergebnis ist jedoch erfreulich, dass das Konzept „Newsletter-Einwilligung gegen Gewinnspielteilnahme“ jedenfalls als zulässig erachtet wird. In der Praxis wird derselbe Rechtsgedanke auch bei anderen kostenlosen Angeboten wie Whitepaper-Downloads und bei der Anmeldung zu Webinaren angewandt. Hierzu gibt es jedoch bislang weder Gerichtsurteile noch Stellungnahmen der Aufsichtsbehörden.

Wir werden die Rechtsansicht des LDI NRW in der Beratung unserer Mandanten berücksichtigen. Wichtig wird in jedem Fall sein, für ausreichende Transparenz zu sorgen. Bei Fragen zu diesem und weiteren Aspekten des E-Mail-Marketings stehen wir Ihnen gern zur Verfügung.

Die italienische Datenschutzaufsichtsbehörde Garante per la protezione dei dati personali (kurz „Garante“) hat am 10. Juni eine neue Version ihrer „Leitlinien zu Cookies und anderen Tracking-Technologien“ veröffentlicht. Diese sollen den mit dem Inkrafttreten der DSGVO überholten Beschluss der Garante von 2014 ergänzen.

Die Leitlinien bieten eine praktische Orientierungshilfe bei der Einholung von Tracking-Einwilligungen. In ihrem Papier macht die Garante außerdem Vorschläge für eine interessengerechtere Gestaltung von Cookie-Bannern (consent managment plattforms, CMPs).

Wir fassen die zentralen Aussagen für Sie zusammen:

„technische Erforderlichkeit“ bei Cookies und vergleichbaren Tracking-Technologien

Die Garante bezieht sich in ihren Leitlinien sowohl auf Cookies als auch auf eine Vielzahl anderer Tracking-Technologien (Fingerprinting, RFID etc.) und ist dabei ebenso wie die französische Datenschutzaufsichtsbehörde CNIL der Ansicht, dass die Anforderungen an das Tracking als „technologieneutrale Regelungen“ zu verstehen sind. Die deutschen Datenschutzaufsichtsbehörden haben sich zu dieser Frage bislang nicht klar positioniert, das Papier der Garante ist jedoch ein Fingerzeig, in welche Richtung es auch bei uns gehen könnte.

Dabei unterscheidet die Garante zwischen solchen Cookies und vergleichbaren Tracking-Technologien, die ausschließlich dazu dienen, das Funktionieren einer Website zu ermöglichen und damit „technisch erforderlich“ sind und solchen, die für eine Vielzahl von Zwecken verwendet werden („nicht technisch erforderliche“).

Nur „technisch erforderliche“ Cookies und vergleichbare Tracker dürfen demnach ohne die Zustimmung des Nutzers genutzt werden. In allen anderen Fällen muss eine informierte Einwilligung des Betroffenen eingeholt werden. Die Garante bestätigt insofern, dass man sich nach der ePrivacy-Richtlinie nicht auf ein berechtigtes Interesse berufen kann, um die Verwendung von Cookies oder anderen Trackern zu rechtfertigen.

Scrolling und Cookie-Walls sind nur in Ausnahmefällen zulässig

Grundsätzlich teilt die Garante den Standpunkt der übrigen europäischen Datenschutzbehörden, dass das bloße Scrollen auf der Website allein nicht für eine wirksame Einwilligung ausreichen kann. Nichtsdestotrotz kann es der Garante zufolge Ausnahmen von dieser Regel geben.

Ein solcher Fall kann vorliegen, wenn das Scrollen des Nutzers Teil eines umfassenderen Prozesses ist, der es dem Nutzer ermöglicht, seine informierte Einwilligung in einer Weise zum Ausdruck zu bringen, die auf dem Server der Website dokumentiert und aufgezeichnet und als ausdrückliche Erklärung des Nutzers eingestuft werden kann. Die Handlung des Nutzers muss also unmissverständlich den Willen zum Ausdruck bringen, in die Verarbeitung einzuwilligen. Das setzt vor allem voraus, dass der Verantwortliche den Nutzer vorab dergestalt informieren muss, dass sich dieser über die Wirkung seines Verhaltens im Klaren ist.

Anders als die CNIL im Oktober letzten Jahres bezieht die Garante recht eindeutig Stellung zu so genannten Cookie-Walls, die den Nutzer dazu zwingen, seine Zustimmung zur Nutzung von Cookies und anderen Tracking-Mechanismen zu geben oder andernfalls den Zugang zu einer Website sperren. Solche Lösungen sind in Deutschland auf Presse-Websites bereits recht verbreitet.

Nach Ansicht der Garante ist eine solche Vorgehensweise grundsätzlich nicht zulässig, da es hier an der notwendigen Freiwilligkeit der Einwilligung mangele. Auch hier gibt es jedoch einen Ausnahmefall: Cookie-Walls sind zulässig, wenn der Verantwortliche dem Nutzer eine „gleichwertige Alternative“ einräumt, den Dienst (die Website) auch ohne Erteilung einer Einwilligung in die Verwendung von Cookies zu nutzen (zum Beispiel bei so genannten „Pur-Abos“). Hier bedarf es nach Ansicht der Garante einer Einzelfallprüfung.

Wiederholte Aufforderung zur Einwilligung, obwohl die Einwilligung zunächst nicht erteilt wurde

Diese, wie es die Garante in ihrem Papier ausdrückt, „redundante und aufdringliche Praxis“, bei der der Nutzer bei jedem Aufrufen der Website erneut mit einer CMP konfrontiert wird, obwohl er beim erstmaligen Besuch der Website seine Einwilligung in die Nutzung von Cookies und anderen Trackern zunächst nicht erteilt hat, kann die Freiheit des Nutzers übermäßig beeinträchtigen, indem sie den Nutzer dazu bringt, letztlich doch der Verarbeitung seiner Daten zuzustimmen, um die Website in Ruhe nutzen zu können. Sie ist daher unzulässig.

Eine erneute Einholung der Zustimmung soll nur zulässig sein, wenn

• sich der Umfang der Datenverarbeitung wesentlich geändert hat, so dass der Nutzer über die fraglichen Änderungen informiert werden muss, zum Beispiel in Bezug auf den Einsatz neuer externer Dienste,
• der Betreiber der Website nicht wissen kann, dass bereits ein Cookie gespeichert wurde,
• seit der letzten Abfrage mindestens sechs Monate vergangen sind.

Praktische Empfehlungen zur Einholung einer Einwilligung

Am Ende ihres Papiers gibt die Garante praktische Hinweise, wie die Einwilligung ihrer Meinung noch „interessengerechter“ eingeholt werden kann, insbesondere was die Ausgestaltung der CMP angeht. Diese Hinweise haben jedoch keinen(!) rechtlichen Gehalt. Hier hat sie insbesondere die Grundsätze der Datensparsamkeit und der Nutzerautonomie im Blick.

Nach der Vorstellung der Garante soll der Nutzer, der die Website zum ersten Mal besucht, eine CMP angezeigt bekommen, die sich in Größe und Gestaltung deutlich vom Rest der Seite abhebt und auch von Menschen mit Behinderung genutzt werden kann. Entscheidet sich der Nutzer gegen eine Einwilligung, soll er das Banner mit einem einfachen Befehl (z.B. ein „X“ in der oberen rechten Ecke des Banners) schließen können. Die Schaltfläche, mit der das Weitersurfen ohne Zustimmung ermöglicht wird, soll also ebenso benutzerfreundlich und zugänglich sein wie die für die Erteilung der Zustimmung vorgesehene. Auch hier folgt die Garante also dem Ansatz der CNIL, die sich wünscht, dass unmittelbar neben der Schaltfläche „alle Cookies akzeptieren“ auch ein Button „alle Cookies ablehnen“ angezeigt wird, der sich nicht versteckt in einer Second Layer der CMP befindet.

Daneben sollten CMPs nach der Vorstellung der Garante Folgendes enthalten:

• einen Hinweis, dass beim Anklicken des „X“ die Standardeinstellungen unverändert bleiben und das Surfen daher ohne Cookies oder andere Tracker fortgesetzt werden kann;
• ein Hinweis darauf, dass nur mit der Zustimmung des Nutzers Tracking-Cookies gesetzt werden;
• einen Link zur Datenschutzerklärung, die alle nach der DSGVO geforderten Informationen insbesondere zu den verwendeten Cookies und Trackern enthält
• eine Schaltfläche, über die die Zustimmung zur Nutzung aller Cookies und Tracker erteilt werden kann;
• einen Link zu einem Bereich, in dem der Nutzer individuell und informiert die Funktionen, Drittanbieter und Cookies auswählen kann, denen er zustimmen möchte.
• eine Schaltfläche auf oder in der Fußzeile der Website, über den der Nutzer seine Cookie-Einwilligung für die Website anpassen kann und der auf seinen Zweck ausdrücklich hinweist (z.B. „Passen Sie Ihre Cookie-Einstellungen an“).

Kein Einwilligungserfordernis bei Statistik-Cookies, wenn…

Wie schon in ihren Leitlinien vom Mai 2014 und wie auch die CNIL in ihrem Papier vom Oktober 2020 ist die Garante weiterhin der Ansicht, dass Analyse-Cookies als technisch erforderlich einzustufen sind und dementsprechend ohne vorherige Zustimmung der betroffenen Nutzer gesetzt werden können, soweit bestimmte Bedingungen erfüllt sind:

Damit Analyse-Cookies den technisch erforderlichen Cookies gleichgestellt werden können, muss daher die direkte Identifizierung – also das spezifische Herausfiltern – einzelner betroffener Personen verhindert werden. Maßgeblich ist also das Identifizierungspotenzial von Analyse-Cookies, auch bei der Nutzung durch Dritte.

Fazit

Es ist zu begrüßen, dass nach der CNIL auch die Garante zu den gesetzlichen Anforderungen an das Online-Tracking Stellung bezieht. Die in den Leitlinien der Garante vertretenen Ansichten könnten für die weitere Entwicklung hier in Deutschland von Bedeutung sein. Es bleibt abzuwarten, ob und wann sich die deutschen Aufsichtsbehörden hier endlich klar äußern. Gerade deshalb ist es wichtig, dass sich die deutsche Onlinemarketing-Branche in die auseinandersetzung einbringt – denn nicht jede Auslegung ist einfach so hinzunehmen. Wir beraten Sie dazu gern.

Die Datenschutzaufsichtsbehörden in 11 Bundesländern haben insgesamt 49 Websites von Medienunternehmen in Bezug auf den Einsatz von Cookies und die Einbindung von externen Tracking-Diensten untersucht. Wir hatten über den Start dieser Untersuchung berichtet („Tracking im Fokus der Aufsichtsbehörden: länderübergreifende Prüfung von Medien-Websites“). Bei der Prüfung wurde ein Schwerpunkt auf das Tracking von Nutzern zu Werbezwecken gelegt. Die meisten der geprüften Webseiten entsprachen im Ergebnis nicht den rechtlichen Anforderungen.

Rechtlicher Hintergrund

Nach § 15 Abs. 3 Telemediengesetz (TMG) (der ab dem 1. Dezember durch den inhaltlich gleich laufenden § 25 TTDSG ersetzt wird) – bedarf das Setzen von Cookies einer Einwilligung (es sei denn, ein Cookie ist für den Betrieb der Website „unbedingt erforderlich“).

Diese Einwilligung muss bestimmte, in der Datenschutzgrundverordnung (DSGVO) definierte Anforderungen erfüllen: Die Einwilligung muss freiwillig, informiert, unmissverständlich und in Bezug auf eine bestimmte Datenverarbeitung zu einem bestimmten Zweck abgegeben werden.

Überprüfung durch die Datenschutzaufsichtsbehörden

In einer gemeinsamen Aktion überprüften nun die Datenschutzbehörden in Baden-Württemberg, Bayern, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, im Saarland, Sachsen und Schleswig-Holstein, ob die Websites großer Medienanbieter diesen Anforderungen entsprachen. Hierfür war im August 2020 zunächst ein Fragebogen an die Betreiber verschickt worden.

Ein besonderer Augenmerk wurde dabei auf reichweitenstarke Onlineangebote gelegt, welche eine hohe Anzahl Tracking-Diensten verwenden, die überwiegend der Finanzierung durch nutzerspezifische Werbung dienen. Die dabei erhobenen personenbezogenen Daten werden von den Betreibern zur Erstellung und Anreicherung umfassender und seitenübergreifender Persönlichkeitsprofile weitergegeben. 

Ergebnis der Überprüfung: Regelmäßig keine wirksamen Einwilligungen

Die Datenschutzbehörden stellten bei Ihrer Überprüfung fest, dass die Websites zwar in der Regel differenzierte Einwilligungen ihrer Nutzer für die Verwendung Tracking-Diensten abfragen. In der Mehrheit der Fälle wurden die Einwilligungen allerdings nicht wirksam eingeholt.

Im Rahmen der Prüfung wurden vor allem die folgenden Mängel festgestellt:

• Tracking bereits vor der Einwilligung: Häufig wurden einwilligungsbedürftige Dienste bereits beim Laden der Website eingebunden und so Tracking-Cookies gesetzt – bevor der Nutzer eine Einwilligung gegeben hatte. Diese Praxis ist stets unzulässig! Erst nach der wirksamen Einwilligung dürfen Tracking-Dienste und vergleichbare Technologien aktiviert werden.
• fehlende Informationen: Auf der ersten Ebene der Einwilligungs-Banner wurden nur unzureichende oder falsche Informationen über das Tracking der Nutzer gegeben.
• unzureichender Umfang der Einwilligung: Wenn der Nutzer keine Einwilligung erteilte, blieben dennoch zahlreiche Tracking-Dienste aktiv.
• keine einfache Ablehnung: Während bei allen Einwilligungs-Bannern auf der ersten Ebene eine Schaltfläche vorhanden war, mit der eine Zustimmung zu sämtlichen Tracking-Diensten erteilt werden konnte, fehlte auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking abzulehnen oder das Banner ohne Entscheidung schließen zu können (ob das Gesetz eine solche Schaltfläche erfordert, ist umstritten).
• „Manipulation“ der Nutzer: Die Ausgestaltung der Einwilligungs-Banner wies zahlreiche Formen des so genannten „Nudging“ auf. Das bedeutet, Nutzer wurden unterschwellig zur Abgabe einer Einwilligung beeinflusst, indem die Schaltfläche für die Zustimmung beispielsweise durch eine farbliche Hervorhebung deutlich auffälliger gestaltet war als die Schaltfläche zum Ablehnen oder indem die Verweigerung der Einwilligung verkompliziert wurde (wo hier die Grenze des rechtlich Zulässigen verläuft, ist ebenfalls umstritten).

Konsequenzen

Nach Feststellung einer Vielzahl von Mängeln wirken die beteiligten Landesdatenschutzbehörden nun auf die Unternehmen in ihrem Zuständigkeitsbereich ein, um datenschutzkonforme Zustände herzustellen. Nach Angaben der Datenschutzaufsichtsbehörden (Pressemitteilung des Hamburgischen Datenschutzbeauftragen vom 30. Juni 2021) konnten auch erste Anpassungen bei einigen Verantwortlichen die rechtlichen Defizite bislang nicht vollständig beseitigen. Zwar wurden noch keine Bußgelder verhängt, es wurde jedoch bereits angekündigt, dass nötigenfalls weitere aufsichtsbehördliche Maßnahmen ergriffen werden.

Was bedeutet das für Sie?

Auch wenn bislang noch keine Bußgelder verhängt wurden, machen die Aufsichtsbehörden jetzt mit der Umsetzung „Planet49“-Entscheidung des Europäischen Gerichtshofs ernst. Wir empfehlen unseren Mandanten, die Ausgestaltung ihrer Einwilligungs-Banner (erneut) zu überprüfen. Nach unserer Erfahrung warten viele Website-Betreiber damit, bis es zu spät ist und die Aufsichtsbehörde „vor dem Haus steht“.

Es nur sehr eingeschränkt möglich, die nötigen Nachbesserungen zur Einholung von wirksamen Einwilligungen erst während einer Überprüfung zu ergreifen: Bereits vor Versendung der Fragebögen waren die ausgewählten Websites durch die Aufsichtsbehörden technisch gesichert und analysiert worden. So war ein Abgleich der technischen Ausgestaltung vor und nach den Antworten der Website-Betreiber möglich.

Für eine rechtliche Überprüfung Ihrer Einwilligungspraxis sind wir gern für Sie da.

Im April 2021 hatte das Bundesarbeitsgericht in einem mit Spannung erwarteten Urteil die Reichweite des datenschutzrechtlichen Auskunftsanspruchs noch offenlassen können, da die Klage bereits unzulässig war. Nun musste der Bundesgerichtshof (BGH) in einem Urteil vom 15. Juni 2021 (Az. VI ZR 576/19) dazu Stellung beziehen, wie weit dieser Auskunftsanspruch reicht und sorgt hierdurch für mehr Rechtsklarheit – jedoch nicht zur Freude der Praxis.

Grundsätzliches

Seit Geltung der Datenschutzgrundverordnung (DSGVO) ergibt sich der Auskunftsanspruch nicht mehr aus § 34 Bundesdatenschutzgesetz (BDSG), sondern aus Art. 15 DSGVO. Gemeinsam mit den Informationspflichten des Verantwortlichen aus Art. 13 DSGVO und Art. 14 DSGVO stellt Art. 15 DSGVO somit einen fundamentalen Teil der Betroffenenrechte dar.

Der Anspruch aus Art. 15 DSGVO ist dabei dreigeteilt:

1. Der Betroffene hat einen Anspruch auf Auskunft, ob ihn betreffende personenbezogene Daten verarbeitet werden.
   Hieraus folgt ebenso ein Anspruch auf Negativauskunft. Sofern keine personenbezogenen Daten des die Auskunft begehrenden Betroffenen verarbeitet werden, so ist dies zu bestätigen.
2. Werden personenbezogene Daten des Betroffenen verarbeitet, steht dem Betroffenen ein Recht auf Auskunft über diese Daten zu.
   Dem Betroffenen sind die unter Art. 15 Abs. 1 DSGVO aufgelisteten Informationen mitzuteilen. In welchem Umfang und Detail diese Informationen dem Betroffenen jeweils mitzuteilen sind, ist äußerst umstritten.
3. Darüber hinaus hat der Verantwortliche dem Betroffenen nach Art. 15 Abs. 3 DSGVO eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.
   Der Inhalt und die Reichweite des Rechts auf eine Datenkopie sind ebenso umstritten.

Was war geschehen?

Der Kläger schloss 1997 mit der Beklagten einen Vertrag über eine Lebensversicherung. Im Jahr 2016 widersprach er dem Zustandekommen des Vertrags. Nachdem das Versicherungsunternehmen den Widerspruch zurückwies, forderte der Versicherungsnehmer zunächst „Datenauskunft im Sinne von § 34 Bundesdatenschutzgesetz (BDSG)“ und anschließend Auskunft gemäß Art. 15 DSGVO. Das Versicherungsunternehmen erteilte in der Folge mehrfach Auskunft, die der Versicherungsnehmer jedoch als unvollständig empfand.

In der Folge erhob der Versicherungsnehmer Klage auf Auskunft, wobei im Vordergrund seines Auskunftsbegehrens die mit ihm geführte Korrespondenz (einschließlich E-Mails), die internen Telefon- und Gesprächsnotizen und sonstige interne Vermerke der Beklagten zu dem zwischen den Parteien bestehenden Versicherungsverhältnis und auch die internen Bewertungen der Beklagten zu den Ansprüchen des Klägers aus der streitgegenständlichen Versicherungspolice standen.

Sowohl das Amtsgericht Brühl als auch das Landgericht Köln wiesen die Auskunftsklage ab. In der Folge legte der Kläger Revision ein, weshalb sich nunmehr der BGH mit der Frage des Umfangs des Auskunftsanspruchs zu beschäftigen hatte.

Entscheidende Fragen – und Antworten

Entscheidend für die Beurteilung des Auskunftsanspruchs waren für den BGH dabei drei Fragen.

1. Fallen die begehrten Informationen unter den Begriff der personenbezogenen Daten?
   Nach Ansicht des BGH fallen die begehrten Informationen unter den Begriff der personenbezogenen Daten. Der BGH legt den Begriff der personenbezogenen Daten in seinem Urteil weit aus und lehnt eine teleologische Reduktion des Begriffs auf „signifikante biografische Informationen […], die im Vordergrund des […] Dokuments stehen“ ab. Eine solche Auslegung könne nach Ansicht des BGH vor dem Hintergrund der Rechtsprechung des Europäischen Gerichtshofs (EuGH) keinen Bestand haben.
2. Ist ein Anspruch bei Kenntnis des Betroffenen von den personenbezogenen Daten ausgeschlossen?
   Ein Anspruch auf Auskunft ist nach dem BGH auch nicht durch Kenntnis des Betroffenen von den personenbezogenen Daten ausgeschlossen. Dass der Betroffene zwangsläufig den Inhalt der von ihm versendeten oder empfangenen Schreiben schon kennt, ändere nichts an der Einordnung ihres Inhalts als personenbezogene Daten im Sinne der DSGVO. Denn dass eine Korrespondenz früher einmal stattgefunden hat, bedeute nicht, dass der Verantwortliche diese Daten aktuell immer noch verarbeitet. Die Auskunft soll den Kläger in die Lage versetzen, sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen.
   Zu beachten sei ferner, dass der Auskunftsberechtigte grundsätzlich wiederholt Auskunft verlangen kann (vgl. Erwägungsgrund 63 Satz 1, Art. 12 Abs. 5 Satz 2 DSGVO). Dies spricht ebenfalls dagegen, dass sich das Auskunftsrecht nach Art. 15 DSGVO auf Daten beschränke, die dem Betroffenen noch nicht bekannt sind.
3. Beschränkt sich der Auskunftsanspruch auf extern zugängliche Daten?
   Der Auskunftsanspruch setzt nach Ansicht des BGH offensichtlich weder nach seinem Wortlaut noch nach Sinn und Zweck voraus, dass die fraglichen Daten „extern“ zugänglich sind. Somit sind auch interne Vermerke von dem Anspruch umfasst.
   Zu beachten ist jedoch, dass nach der Rechtsprechung des EuGH rechtliche Analysen zwar personenbezogene Daten enthalten können, die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilung der Rechtslage selbst aber keine Information über den Betroffenen und damit kein personenbezogenes Datum darstellt (vgl. EuGH, Urteil vom 17. Juli 2014 – Rs. C-141/12 und C-372/12, CR 2015, 103 Rn. 39 ff.).

Vor dem BGH hatte die Revision demnach größtenteils Erfolg: Das Versicherungsunternehmen habe bisher weder zu der Korrespondenz mit dem Versicherungsnehmer noch zu internen (Telefon-)Vermerken Auskunft erteilt. Diese seien jedoch von dem Auskunftsanspruch gedeckt.

Unser Fazit

Es handelt sich um eine wegweisende Entscheidung in einem Feld, in welchem in der Praxis bisher erhebliche Rechtsunsicherheit herrschte. Zwar vermag das Urteil nicht alle offenen Fragen zu beantworten, jedoch stellt es klar, dass Art. 15 DSGVO dem Betroffenen einen umfassenden Auskunftsanspruch gewährt, welcher insbesondere auch Korrespondenz und interne Vermerke umfasst. Nun gilt es für die Praxis, sich hierauf einzustellen und interne Vorgänge in mögliche Auskunftsbegehren einzubeziehen.

Die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali, kurz „Garante“) hat am 22. Juni bekannt gegeben, dass sie gegen Iren Mercato, ein Unternehmen aus dem Energiesektor, ein Bußgeld in Höhe von 2,9 Millionen Euro verhängt hat. Der Entscheidung liegen Werbemaßnahmen zu Grunde, die nicht von einer wirksamen Einwilligung oder anderen Rechtsgrundlage gedeckt waren.

Was war passiert?

Mehrere Betroffene hatten gegen Iren Beschwerden bei der italienischen Datenschutzbehörde Garante eingereicht, nachdem sie unaufgefordert Werbung erhalten hatten. In der anschließenden Untersuchung stellte die Behörde fest, dass Iren personenbezogene Daten für Telemarketing-Aktivitäten verarbeitet hatte, die sie nicht direkt erhoben, sondern aus anderen Quellen erworben hatte. Iren hatte Listen mit personenbezogenen Daten von einem Unternehmen erhalten, das dieses wiederum von zwei anderen Unternehmen erworben hatte. Dabei hatte Iren nicht überprüft, ob für alle Übermittlungen personenbezogener Daten wirksame Einwilligungen der Betroffenen eingeholt worden waren. So stellte sich heraus, dass die Betroffenen zwar Einwilligungen für Marketingzwecke erteilt hatten, diese Einwilligungen jedoch nicht die Übermittlung von Kundendaten an Iren umfassten.

Rechtlicher Hintergrund

Grundsätzlich bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage nach der Datenschutzgrundverordnung. Am praktisch relevantesten sind dabei die Einwilligung des Betroffenen, die Erforderlichkeit der Datenverarbeitung zur Erfüllung eines Vertrags mit dem Betroffenen sowie die Datenverarbeitung auf der Grundlage berechtigter Interessen. Für Werbezwecke wie im vorliegenden Fall kommt regelmäßig lediglich die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage in Betracht.

Damit eine Einwilligung wirksam ist, müssen die folgenden Voraussetzungen erfüllt sein:

Freiwilligkeit

Die Einwilligung setzt zunächst eine freiwillige Entscheidung des Betroffenen voraus. Nach der DSGVO kann eine Einwilligung nur freiwillig sein, wenn die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.

Informiertheit

Außerdem muss die betroffene Person ihre Einwilligung „in informierter Weise“ erteilen. Das setzt voraus, dass die betroffene Person mindestens weiß, wer der Verantwortliche ist und für welchen Zweck ihre Daten verarbeitet werden sollen. Insgesamt muss die Unterrichtung die betroffene Person in die Lage versetzen zu wissen, dass und in welchem Umfang sie ihre Einwilligung erteilt.

Nach Art. 7 Abs. 3 S. 3 DSGVO ist die betroffene Person zudem darüber zu informieren, dass sie jederzeit ihre Einwilligung widerrufen kann.

Bezug auf einen bestimmten Zweck und eine bestimmte Verarbeitung

Außerdem muss sich die Einwilligung auf „einen oder mehrere bestimmte Zwecke“ beziehen.

Die Einwilligung muss sich weiterhin auf bestimmte Verarbeitungstätigkeiten beziehen. Einwilligungen, die einen im Zeitpunkt der Einwilligung nicht absehbaren Kreis von Verarbeitungstätigkeiten abdecken sollen, genügen nicht.

Unmissverständlichkeit

Zudem muss die betroffene Person die Einwilligung unmissverständlich zum Ausdruck gebracht haben. Diese Willensbekundung kann in Form einer ausdrücklichen Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erfolgen.

Keine wirksame Einwilligung für Datenübermittlungen an ungenannte Dritte

Iren hatte die Daten von einem Unternehmen erworben, welche diese wiederum von zwei anderen Unternehmen erhalten hatte. Die beiden Unternehmen, welche die Daten erhoben hatten, hatten dabei von den Betroffenen eine Einwilligung für die Weitergabe von Daten an Dritte eingeholt. Die Garante entschied, dass die Verarbeitung der Daten durch Iren als weiteren Verantwortlichen nicht auf die pauschale Einwilligung in die Weitergabe der Daten an Dritte gestützt werden kann, da die Daten von einem zwischengeschalteten Verantwortlichen erworben wurden.

Auch durfte sich Iren nicht auf eine vertragliche Regelung verlassen, nach welcher das zwischengeschaltete Unternehmen garantierte, dass eine wirksame Einwilligung vorliege. Im Fall des Erwerbs von Daten von einem Zwischenhändler könne sich Iren nicht auf eine Garantie, nach welcher das zwischengeschaltete Unternehmen die Wirksamkeit der erteilten Einwilligung vertraglich zusichert berufen. Iren hätte überprüfen müssen, ob die Einwilligung auch die erneute Datenweitergabe umfasst.

Die Garante betonte, dass die von einem Betroffenen erteilte Einwilligung in Werbeaktivitäten Dritter sich nicht auf weitere Übermittlungen an andere Dritte bezieht. Solche Übermittlungen seien nicht durch die erforderliche spezifische und in Kenntnis der Sachlage erteilte Einwilligung gedeckt.

Zum Bußgeld

Die Datenschutzbehörde nahm deshalb einen Verstoß gegen Art. 6 Abs. 1 lit. a und Art. 7 Abs. 1 DSGVO an. Zudem lag nach Ansicht der Datenschutzbehörde ein Verstoß gegen die allgemeinen Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz sowie der Rechenschaftspflicht aus Art. 5 Abs. 1 lit. a und Abs. 2 DSGVO vor.

Die Garante setzte dehsalb gegen Iren Mercato eine Geldbuße in Höhe von 2,9 Millionen Euro fest. Die Höhe der Sanktion wurde vor allem damit begründet, dass die personenbezogenen Daten, die ohne wirksame Einwilligung übermittelt worden waren, mehrere Millionen Personen betrafen.

Fazit

Die Entscheidung der Garante verdeutlicht, dass insbesondere Unternehmen, die personenbezogene Daten von anderen Unternehmen zu Werbezwecken übernehmen, genau prüfen müssen, ob eine wirksame Einwilligung der Betroffenen vorliegt und ob diese Einwilligung auch die Übermittlung an und die Nutzung durch das eigene Unternehmen umfasst. In keinem Fall darf man sich rein auf vertragliche Zusicherungen verlassen, sondern sollte konkret prüfen, ob sich die Einwilligung der Betroffenen auch auf die eigenen Verarbeitungszwecke erstreckt.