Archiv der Kategorie: Datenschutzrecht

Datenübermittlung in Nicht-EU-Staaten

In aller Kürze

  • Die Datenübermittlung in Nicht-EU-Staaten ist nur unter bestimmten Bedingungen zulässig, z.B. wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat.
  • Seit Juli 2023 gibt es ein neues Datenschutzabkommen zwischen der EU und den USA, das EU-U.S. Data Privacy Framework, das ein ausreichendes Datenschutzniveau für den Datentransfer gewährleistet.
  • Eine weitere Möglichkeit, Daten in Drittstaaten zu übermitteln, sind Standardvertragsklauseln, die von der EU-Kommission erstellt werden.
  • Das Privacy Shield war ein früheres Datenschutzabkommen zwischen der EU und den USA, das vom EuGH im Juli 2020 für ungültig erklärt wurde.

Datenübermittlung in Drittländer

Eine Datenübermittlung in Staaten außerhalb der EU ist nur ausnahmsweise erlaubt, wenn sichergestellt ist, dass in dem Land ein angemessenes Datenschutzniveau herrscht (vgl. Art. 45 DSGVO). Die europäische Kommission hat dies für bestimmte Länder festgestellt, z. B. Andorra, Neuseeland, Japan oder die Schweiz. Nach dem Brexit gibt es für Großbritannien seit Ende Juni 2021 ebenfalls einen Angemessenheitsbeschluss.

Soweit die Datenübermittlung in den Drittstaat zulässig ist, weil für den Staat ein Angemessenheitsbeschluss der Kommission vorliegt, brauchen Sie für die Übermittlung keine zusätzliche Genehmigung, wenn Daten in dem jeweiligen Drittstaat verarbeitet werden. Allerdings benötigen Sie für die Datenverarbeitung – wie stets, wenn Sie Daten verarbeiten – eine Rechtsgrundlage (z. B. Vertragsdurchführung gemäß Art. 6 Abs. 1 b DSGVO).

Datenübermittlung in die USA zulässig?

UPDATE JULI 2023: Data Privacy Framework

Am 10.7.2023 ist das EU-U.S. Data Privacy Framework (DPF) in Kraft getreten, ein Datenschutzrahmen für den Datentransfer zwischen der EU und den USA. Die EU-Kommission hat zudem in einem Angemessenheitsbeschluss für die USA ein ausreichendes Datenschutzniveau festgestellt.

Damit ist die Datenübermittlung an US-Unternehmen wie z. B. Google, die personenbezogene Daten (z. B. IP-Adressen) auch in den USA verarbeiten und unter dem dem EU-U.S. DPF zertifiziert sind, nunmehr wieder zulässig.

Denken Sie bei der Nutzung von US-Diensten daran, dass Sie weiterhin eine Rechtsgrundlage aus der DSGVO für die eigentliche Datenverarbeitung benötigen (z. B. Einwilligung in die beabsichtigte Datenverarbeitung oder berechtigte Interessen etc.).

Frühere Datenschutzabkommen mit den USA sind in der Vergangenheit mit Rechtsmitteln erfolgreich zu Fall gebracht worden, so zuletzt das Privacy Shield (s. unten). Es kann davon ausgegangen werden, dass in der Zukunft auch gegen den neuen EU-US-Datenschutzrahmen Klage erhoben werden wird. Der österreichische Datenschutzaktivist und Rechtsanwalt Max Schrems und sein Verein noyb haben bereits angekündigt, dies zu tun.

Rechtslage vor dem EU-U.S. Data Privacy Framework

EU-US Privacy Shield

Für US-Unternehmen gab es bisher die Möglichkeit, sich über den EU-US Datenschutzschild, sog. Privacy Shield, zertifizieren zu lassen. Über dieses Abkommen zwischen der EU und den USA wurde in der Vergangenheit ein angemessenes Datenschutzniveau hergeleitet. US-Konzerne wie Google, Facebook oder Microsoft haben sich entsprechend zertifizieren lassen.

EuGH erklärt Privacy Shield für ungültig

Am 16.7.2020 hat der Europäische Gerichtshof (EuGH) das Abkommen über den Privacy Shield jedoch für ungültig erklärt (EuGH, Urteil vom 16.7.2020, C-311/18, „Schrems II“) .

Der EuGH begründete seine Entscheidung damit, dass in den USA kein ausreichender Datenschutz herrscht. So dürfen US-Behörden und US-Nachrichtendienste nach amerikanischem Recht auf personenbezogene Daten zugreifen, die aus der EU in die USA übermittelt wurden. Betroffene in der EU können sich dagegen nicht wehren, weil ihnen kein Rechtsweg eröffnet ist.

Die Pressemitteilung des EuGH zum Privacy Shield finden Sie hier.

Nach dem Wegfall des Privacy Shield fehlte es an einer Grundlage für die Datenübermittlung in die USA und es wurde zumeist auf Standardvertragsklauseln zurückgegriffen.

Datenübermittlung auf Basis von Standardvertragsklauseln

Auch ohne Angemessenheitsbeschluss kann die Datenübermittlung zulässig sein, sofern es geeignete Garantien gibt. Geeignete Garantien können beispielsweise durch entsprechende Standardvertragsklauseln erbracht werden (vgl. Art. 46 Abs. 3 a DSGVO). Die Standardvertragsklauseln werden von der EU-Kommission erstellt. Sie dienen dazu, das Datenschutzniveau der EU bei einer Datenübermittlung in einen Drittstaat zu gewährleisten. Eine nach dem EuGH-Urteil aktualisierte Fassung vom Juni 2021 finden Sie hier.

Viele US-Unternehmen stützen die Datenübermittlung in die USA auf diese Standardvertragsklauseln, insbesondere in der Zeit nach dem Wegfall des Privacy Shield.

Die Nutzung der aktualisierten Standardvertragsklauseln ist seit dem 27.9.2021 für Neuverträge Pflicht, für Altverträge musste bis 27.12.2022 auf die neuen Standardvertragsklauseln umgestellt werden.

Auch wenn Sie die neuen Standardvertragsklauseln nutzen, bleiben Sie (wie bisher) dafür verantwortlich zu prüfen, dass der Datenschutz im Drittstaat auch tatsächlich eingehalten wird. Ein nicht ganz leichtes Unterfangen…

Datenschutz: Ein Überblick

Datenschutz auf der Website

In aller Kürze

  • Die Datenschutz-Grundverordnung (DSGVO) schützt personenbezogene Daten, beispielsweise Name, Telefonnummer, IP-Adresse etc.
  • Als Verantwortliche:r einer Website müssen Sie auf Ihrer Website klar und verständlich über die Datenverarbeitung informieren. Sie müssen in der Datenschutzerklärung unter anderem über die Zwecke der Datenverarbeitung, die Rechtsgrundlagen, die Dauer der Datenverarbeitung und die Rechte der Betroffenen informieren.

Im Einzelnen:

Datenschutz auf der Website

Die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in Kraft ist, schützt Personen bei der Verarbeitung ihrer personenbezogenen Daten. Personenbezogene Daten dürfen nur verarbeitet werden, wenn es hierfür eine Rechtsgrundlage in der Datenschutz-Grundverordnung (DSGVO) gibt. Die Rechtsgrundlagen finden Sie in Art. 6 DSGVO (z. B. Einwilligung oder berechtigtes Interesse). Ohne Rechtsgrundlage ist die Datenverarbeitung unzulässig. Aber auch wenn Sie sich auf eine Rechtsgrundlage berufen können, sollten Sie so wenig Daten wie möglich erheben: Es gilt das Gebot der Datensparsamkeit. Das lässt sich im Internet aber kaum umsetzen, denn schon beim Aufruf einer Website werden zumindest die Zugriffsdaten der Besucher:innen gespeichert.

Was sind personenbezogene Daten?

In Artikel 4 DSGVO finden Sie einen Katalog mit den Definitionen von Begriffen, die im Datenschutz relevant sind. Personenbezogene Daten sind danach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; (…)  (vgl. Art. 4 Nr. 1 DSGVO).

Um zu klären, ob eine Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die die verantwortliche Stelle (oder eine andere Person) nach allgemeinem Ermessen wahrscheinlich nutzen wird, um die Person direkt oder indirekt zu identifizieren (Erwägungsgrund 26 der DSGVO). Die Rechtsprechung legt den Begriff weit aus.

Beispiele für personenbezogenen Daten:

Name, Anschrift, E-Mail-Adresse, Telefonnummer, Online-Kennungen wie IP-Adresse oder Cookies, Steuernummer, Bankverbindung, Geburtsdatum, Kfz-Kennzeichen, Haarfarbe, Größe, Abbildung von Personen auf Fotos etc.

Wo werden Daten erhoben?

Auf einer Website werden – neben der IP-Adresse – häufig Daten über Kontaktformulare abgefragt, beispielsweise zwecks Anmeldung zu einem Workshop oder einem Newsletter oder bei der Anfrage für eine Dienstleistung, die Sie anbieten. Daten werden auch verarbeitet, wenn Sie auf Ihrer Website Analyse-Tools (z. B. Google Analytics) verwenden oder  Social Media Plugins nutzen (z. B. den „Gefällt-mir“-Button von Facebook).

Datenschutz: Informationspflichten nach der DSGVO

Als Verantwortliche:r der Website müssen Sie auf Ihrer Website klar und verständlich über die Datenverarbeitung informieren. Das machen Sie üblicherweise in der Datenschutzerklärung. Die Informationen, die Sie mitteilen müssen, finden Sie in Artikel 13 DSGVO. Danach müssen Sie zum Beispiel hierüber informieren:

  • Name und Kontaktdaten der verantwortlichen Stelle (und der/des Datenschutzbeauftragten, soweit vorhanden)
  • Zwecke der Datenverarbeitung, zum Beispiel für die Vertragsdurchführung, zur Website-Optimierung, für Werbezwecke usw.
  • Sie müssen auch die Rechtsgrundlagen nennen, auf deren Basis Sie die Daten verarbeiten. Wesentliche Rechtsgrundlagen sind beispielsweise die Einwilligung (Art. 6 Abs. 1 a) DSGVO) oder die Erfüllung eines Vertrags (Art. 6 Abs. 1 b)
  • Dauer der Datenverarbeitung (wann löschen Sie die Daten?) bzw. Kriterien für die Festlegung der Dauer (Art. 13 Absatz 2 a DSGVO)
  • Rechte der Betroffenen, insbesondere Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO) , Löschung (Art. 17 DSGVO), Widerspruchsrecht (Art. 21 DSGVO) etc.
  • Bei Einwilligung: Hinweis auf Widerrufsrecht erforderlich (Art. 13 Absatz 2 c DSGVO)

Als Verantwortliche:r einer Website müssen Sie die Datenschutzhinweise in transparenter Weise bereitstellen. Sie müssen also genau wie für das Impressum einen eindeutig bezeichneten Link (z. B. „Datenschutzerklärung“ oder „Datenschutz“) auf Ihrer Website bereithalten. Beim Klick auf diesen Link gelangen Ihre Besucher:innen zu den Datenschutzhinweisen. Wichtig ist dabei, dass die Nutzer:innen den Link auch aufrufen können, wenn sie sich gerade auf einer Ihrer Unterseiten befinden.  

Was Sie beim Datentransfer in Nicht-EU-Staaten beachten müssen, lesen Sie hier.

Vorsicht beim Cookie-Banner

Wenn Sie ein Cookie-Banner verwenden, achten Sie darauf, dass die Datenschutzerklärung dadurch nicht verdeckt wird. Das gilt übrigens auch für Ihr Impressum. Wenn Nutzer:innen das Banner erst „wegklicken“ müssen, um  Ihre Datenschutzerklärung und Ihr Impressum zu finden, sollten Sie das zügig reparieren.  

Datenschutz-Grundverordnung: vollständiger Text

Die vollständige Fassung der Datenschutz-Grundverordnung mit allen Erwägungsgründen finden Sie auf der Website der EU hier .

Nathalie Grudzinski

13. Mai 2016

LG Düsseldorf: Facebook „Gefällt mir“-Button wettbewerbswidrig

LG Düsseldorf vom 9.3.2016: Website-Betreiber verstoßen gegen Wettbewerbsrecht, wenn sie auf ihrer Website den Facebook „Gefällt mir“-Button einbinden, ohne die Besucher/innen der Website rechtzeitig über die mit dem Facebook-Button verbundene Datenübermittlung zu unterrichten und die erforderliche Einwilligung einzuholen.

Anlass für das Urteil des LG Düsseldorf vom 9.3.2016 war die Klage der Verbraucherzentrale NRW. Die Verbraucherzentrale mahnte verschiedene namhafte Website-Betreiber ab, darunter Unternehmen wie HRS, Nivea (Beiersdorf), Payback und Peek & Cloppenburg (Fashion ID). Die Unternehmen sollten die Einbindung des Facebook-Buttons unterlassen und eine strafbewehrte Unterlassungserklärung abgeben. Einige der Unternehmen gaben anlässlich der Abmahnung eine Unterlassungserklärung ab, andere taten dies nicht – und so landete der Streit vor Gericht.

Nach Ansicht der Verbraucherzentrale muss der Website-Betreiber die Nutzer/innen über die Funktion des „Gefällt mir“-Buttons und die damit verbundene Nutzung ihrer Daten unterrichten und die Einwilligung der Nutzer in die Datennutzung einholen muss, bevor Facebook über das Plugin Zugriff auf die Daten erhält.

Das LG Düsseldorf teilte diese Ansicht.

LG Düsseldorf gibt Verbraucherzentrale Recht  

Mit dem Besuch der Website, in denen das Facebook-Plugin integriert ist, werden Nutzungsdaten der Besucher, nämlich die IP-Adresse, erhoben. Die IP-Adresse ist personenbezogen, wenn die Nutzer der Website beim Aufruf der Seite noch bei Facebook eingeloggt sind. Diese Nutzer können mit ihrer IP-Adresse ihrem Facebook-Konto zugeordnet werden. Das gleiche gilt für die Nutzer, die sich vor dem Besuch der Website bei Facebook zwar ausgeloggt haben, aber die von Facebook gesetzten Cookies noch nicht gelöscht haben.

Das LG Düsseldorf hat die Frage offen gelassen, ob auch die Nutzer betroffen sind, die bei Facebook  gar kein Konto haben bzw. die zwar ein Konto haben, aber ausgeloggt sind und die Cookies gelöscht haben. Das Gericht tendiert aber in die Richtung, dass bereits die Übermittlung von IP-Adressen eine Übermittlung personenbezogener Daten darstellt.

Website-Betreiber verantwortlich für die Datenerhebung

Der Betreiber der Website ist aus datenschutzrechtlicher Sicht verantwortlich für die Datenerhebung – selbst wenn die IP-Adresse über das Plugin von Facebook erfasst wird. Der datenschutzrechtliche Begriff der Verantwortlichkeit, so das Gericht, sei weit zu verstehen und erfasse

„jede Stelle, die personenbezogene Daten über Dritte erhebt, verarbeitet oder verarbeiten lässt. Die Erhebung besteht in einem Beschaffen von Daten, § 3 Abs. 3 BDSG.“

Während Facebook mit Hilfe des Plugins die Daten verarbeitet, beschafft der Website-Betreiber die Daten, denn durch das Einbinden des Plugins wird die Erhebung und spätere Verwendung der Daten ermöglicht.

Facebook-Button nicht für Website-Betrieb erforderlich

Das LG Düsseldorf stellt weiter fest, dass das Einbinden des Facebook Buttons nicht für den Betrieb der Website erforderlich ist. Hier geht es um § 15 Telemediengesetz (TMG), der es den Anbietern von Telemediendiensten, also den Website-Betreibern, erlaubt, personenbezogene Daten zu erheben und zu verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.

Da die Website aber ohne Weiteres auch ohne Facebook Plugin betrieben werden kann, ist die Datenübermittlung nicht nach § 15 TMG gerechtfertigt. Das Gericht führt dazu aus:

„Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte.“

2-Klick-Lösung datenschutzkonform?    

Die Einbindung von externen Diensten wie dem Facebook-Button ist nach Ansicht des Gerichts weiterhin möglich, die Betreiber müssten dabei nur die Rechte der Nutzer angemessen wahren.  In diesem Zusammenhang weist das Gericht auf die Möglichkeit der 2-Klick-Lösung hin, bei der die Datenweiterleitung erst nach einer Einverständnisabfrage erfolgt. Allerdings betont das Gericht zugleich, dass es die Frage offen lassen kann, ob die 2-Klick-Lösung den gesetzlichen Anforderungen genügt.

Datennutzung ohne Einwilligung der Nutzer

Das Gericht bemängelt, dass keine Einwilligung der Nutzer in die Datennutzung vorliegt.

Nach § 12 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

Die Erlaubnis kann elektronisch erteilt werden. Dann muss jedoch sicher gestellt sein, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  2. die Einwilligung protokolliert wird,
  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann, vgl. § 13 Abs. 2 TMG.

Das Gericht erläutert, dass eine Einwilligung nur zulässig ist, wenn

„sie auf der freien Entscheidung des Betroffenen beruht. Weiter ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen (§ 4a abs. 1 BDSG). Dies bedeutet, dass eine Einwilligung freiwillig und informiert zu erfolgen hat. Die Einwilligung muss der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden. Die Einwilligung wiederum verlangt, dass der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird“.

Danach hätten die Nutzer, bevor das Plugin auf der Website erschien und die Datenübermittlung stattfand, eine entsprechende Erklärung abgeben bzw. anklicken müssen. Das war aber nicht der Fall. Dass der Website-Betreiber zumindest in seiner Datenschutzerklärung über das Plugin belehrte, half ihm dabei nicht. Schließlich fand auch keine Unterrichtung vor der Weiterleitung der Daten statt. Das Gericht stellt klar:

„Der bloße Link zu einer Datenschutzerklärung in der Fußzeile der Webseite stellt keinen Hinweis zu Beginn bzw. vor Einleitung des Verarbeitungsvorgangs dar.“

§ 12 und 13 Telemediengesetz (auch) zum Schutze des Wettbewerbs

Schließlich stellt das Gericht fest, dass Gesetze, die die Datenerhebung betreffen, neben dem Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung auch den Wettbewerb schützen.

„Das eingesetztes Plugin dient (auch) dem Absatz und der Werbung der Beklagten. Dem konkreten Verstoß kommt so auch wettbewerbliche Relevanz zu“.

Fazit

Der Facebook „Gefällt mir“-Button ist auf unzähligen Websites eingebunden, damit Besucher/innen Beiträge auf der Website mit ihren Facebook-Freunden teilen. Von dem Facebook Plugin werden Daten der Nutzer/innen an den Server des sozialen Netzwerks übermittelt – und zwar auch dann, wenn der Button gar nicht geklickt wird. So kann Facebook über das Plugin das Surfverhalten der Nutzer verfolgen (User Tracking).

Die datenschutzrechtliche Relevanz von Social Plugins ist seit langem bekannt: Schon im Jahr 2011 befasste sich das Berliner Kammergericht mit dem Facebook „Gefällt mir“-Button und stellte einen Verstoß gegen § 13 TMG fest. Das Gericht erkannte aber in der Verwendung des Facebook Plugins keinen Wettbewerbsverstoß.

Nunmehr hat das Landgericht Düsseldorf nochmals die datenschutzrechtliche Relevanz der Einbindung des Facebook-Buttons unterstrichen – und zusätzlich einen Wettbewerbsverstoß festgestellt.

In nächster Zeit wird sich zu dieser Frage auch das Landgericht München äußern, denn dort klagt die Verbraucherzentrale gegen ein anderes Unternehmen, das die Unterlassungserklärung nicht abgegeben hat.

Unabhängig davon, wie das LG München entscheidet:

Anlässlich des Urteils des LG Düsseldorf besteht die Gefahr einer Abmahnung für Website-Betreiber, die Social Plugins ohne vorherige Unterrichtung über die Datenweiterleitung und ohne Einwilligung der Nutzer verwenden.

Praxistipp: Einbindung von Social Plugins

Um einer Abmahnung vorzubeugen sollten Social Plugins von Facebook und auch die Plugins anderer sozialer Netzwerke wie Google + oder Twitter nicht wie in der oben genannten Konstellation eingebunden werden.

Stattdessen empfiehlt sich die von Heise entwickelte 2-Klick-Lösung bzw. die weiterentwickelte Version Shariff. Zwar hat das LG Düsseldorf sich nicht mit der Frage befassen müssen, ob das 2-Klick-Verfahren datenschutzkonform ist. Es ist aber in jedem Fall ein datenschutzfreundlicheres Verfahren, als die Social Plugins sofort aktiv in die Website einzubinden.

So funktioniert die 2-Klick-Lösung von Heise

Hier wird das Social Plugin zunächst in deaktivierter Fassung so in die Website eingebunden, dass kein Kontakt mit dem Server des sozialen Netzwerks hergestellt wird. Der Nutzer muss den Button durch einen Klick aktivieren – und hat es damit in der Hand, ob die Datenübertragung startet. Mit einem 2. Klick kann sodann die Empfehlung übermittelt werden.

Weiterentwicklung mit Shariff

Inzwischen wurde die 2-Klick-Lösung überarbeitet: Die ebenfalls von Heise entwickelte Version „Shariff“ kommt mit einem Klick weniger aus, denn anstelle der IP-Adresse wird nur die Server-Adresse des Nutzers an das soziale Netzwerk übermittelt. Wenn der Nutzer nicht auf den Button klickt, werden beim Besuch der Website keine Daten an das soziale Netzwerk übertragen.

Mehr dazu und mit ausführlicher Anleitung zur technischen Einbindung erfahren Sie auf der Seite von Heise Medien

Hier geht´s zur Entscheidung des LG Düsseldorf , Urteil v. 9.3.2016, Az. 12 O 151/15

Nathalie Grudzinski

27. April 2015

Hinweis auf bevorstehende SCHUFA-Datenübermittlung kann unzulässig sein: BGH, Urteil vom 19.3.2015

Manch ein Gläubiger oder Inkasso-Dienstleister gibt den Forderungen in seinen Mahnungen mit dem Hinweis Nachdruck, dass im Falle der Nichtzahlung Mitteilung an die SCHUFA gemacht wird. Wer hier nicht sauber formuliert, riskiert eine kostenpflichtige Abmahnung, wie die Entscheidung des Bundesgerichtshofs vom 19.3.2015 zeigt:

Mitteilung an SCHUFA als unlautere geschäftliche Handlung

Die Verbraucherzentrale Hamburg e.V. hat ein Mobilfunkunternehmen abgemahnt, das an seine säumigen Kunden über ein Inkasso-Unternehmen Mahnungen verschickte. In den Mahnschreiben wurde den Kunden eine Meldung an die SCHUFA in Aussicht gestellt. Das las sich dann so:

„Als Partner der Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA) ist die V. GmbH (der Mobilfunkanbieter, Anmerkung der Verfasserin) verpflichtet, die unbestrittene Forderung der SCHUFA mitzuteilen, sofern nicht eine noch durchzuführende Interessenabwägung in Ihrem Fall etwas anderes ergibt. Ein SCHUFA-Eintrag kann Sie bei Ihren finanziellen Angelegenheiten, z.B. der Aufnahme eines Kredits, erheblich behindern. Auch Dienstleistungen anderer Unternehmen können Sie dann unter Umständen nicht mehr oder nur noch eingeschränkt in Anspruch nehmen.“

Die Verbraucherzentrale sah in dem Passus eine unlautere geschäftliche Handlung im Sinne von § 4 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) und damit einen Verstoß gegen das Wettbewerbsrecht. Aus ihrer Sicht war die in der Mahnung verwendete Formulierung geeignet, Druck auf die Entscheidungsfreiheit der Verbraucher auszuüben: Der Kunde wird nicht sachlich über die bevorstehende SCHUFA-Mitteilung informiert, sondern es wird suggeriert, dass nur eine Zahlung die Mitteilung verhindern kann.

Da das Mobilfunkunternehmen sich von der Abmahnung unbeeindruckt zeigte, klagte die Verbraucherzentrale vor dem Landgericht Düsseldorf – das die Klage abwies. Begründung: Eine unlautere Beeinträchtigung der Entscheidungsfreiheit sei nicht gegeben, der Kunde werde nur auf die bevorstehende Mitteilung an die SCHUFA entsprechend § 28a Bundesdatenschutzgesetz (BDSG) hingewiesen.

Dieser Ansicht widersprach das Oberlandesgericht Düsseldorf in der zweiten Instanz:

Zahlung nur aus Angst vor der SCHUFA

Das Mahnschreiben „erweckt beim Adressaten den Eindruck, er müsse mit einer Übermittlung seiner Daten an die SCHUFA rechnen, wenn er die geltend gemachte Forderung nicht innerhalb der gesetzten, äußerst knapp bemessenen Frist (hier nicht einmal fünf Tage, Anm. der Verfasserin) befriedigt“, so das Oberlandesgericht.

„Wegen der einschneidenden Folgen eines solchen Eintrags wird eine nicht unerhebliche Zahl der Verbraucher dem Zahlungsverlangen der Beklagten folglich auch dann nachkommen, wenn sie die Rechnung wegen tatsächlicher oder vermeintlicher Einwendungen eigentlich nicht bezahlen wollten.“ Damit bestehe die „konkrete Gefahr einer nicht informations-, sondern allein angstgeleiteten Entscheidung“ (OLG Düsseldorf, Urteil vom 9. Juli 2013, I-20 U 102/12).

Voraussetzungen der Datenübermittlung gemäß § 28a BDSG

Diese Ankündigung einer bevorstehenden SCHUFA-Meldung findet keine Rechtfertigung aus datenschutzrechtlicher Sicht. Im Bundesdatenschutzgesetz (BDSG) ist geregelt, unter welchen engen Voraussetzungen eine Datenübermittlung an Auskunfteien wie die SCHUFA zulässig ist. Diese Voraussetzungen lagen im Streitfall aber nicht vor. So hätte der Mobilfunkanbieter den Kunden darüber informieren müssen, dass eine Übermittlung an die SCHUFA unter anderem nur dann erfolgen darf, wenn der Betroffene die Forderung nicht bestritten hat, vgl. § 28a Abs. 1 Satz 1 Nr. 4 d BDSG.

„unbestrittene“ Forderung ist missverständlich

Hier war in der Mahnung zwar von einer „unbestrittenen“ Forderung die Rede – das reiche aber nicht aus, so das OLG Düsseldorf, „um dem in der Regel juristisch nicht vorgebildeten Adressaten zu verdeutlichen, dass es allein an ihm liegt, durch ein einfaches Bestreiten der Forderung den angedrohten SCHUFA-Eintrag zumindest zunächst abzuwenden“.

Der Betroffene wurde also nicht klar genug darüber unterrichtet, dass er die Forderung nur bestreiten musste, um den SCHUFA-Eintrag abzublocken. Damit fehlte es letztlich an einer wesentlichen datenschutzrechtlichen Voraussetzung.

Der BGH hat diese Sicht der Dinge mit seinem Urteil vom 19.3.2015 bestätigt.

Fazit

Wer Mahnungen verschickt bzw. in seinem Auftrag verschicken lässt, tut gut daran, einen zweiten Blick auf die Mahnschreiben zu werfen und zu prüfen, ob die Betroffenen über die gesetzlichen Voraussetzungen für eine bevorstehende Übermittlung an die SCHUFA sachlich, korrekt und unmissverständlich unterrichtet werden. Anderenfalls drohen nicht nur Abmahnungen, sondern im Falle rechtswidriger Datenübermittlungen an die SCHUFA auch Schadensersatzansprüche der Betroffenen.

Quellen:

BGH, Urteil vom 19. März 2015, Az.: I ZR 157/13: Zur Pressemitteilung
Vorinstanzen: LG Düsseldorf, Urteil vom 27. April 2012, 38 O 134/11 und OLG Düsseldorf, Urteil vom 9. Juli 2013, I-20 U 102/12

 

Auszug aus dem Gesetz gegen den unlauteren Wettbewerb (UWG):
§ 4 Absatz 1 UWG: Beispiele unlauterer geschäftlicher Handlungen

Unlauter handelt insbesondere, wer

  1. geschäftliche Handlungen vornimmt, die geeignet sind, die Entscheidungsfreiheit der Verbraucher oder sonstiger Marktteilnehmer durch Ausübung von Druck, in menschenverachtender Weise oder durch sonstigen unangemessenen unsachlichen Einfluss zu beeinträchtigen; (…)