Tobias Rothkegel - Praxishandbuch DSGVO

23

Nach Auffassung des Bundeskartellamts verstieß Facebook als marktbeherrschendes Unternehmen für soziale Netzwerke für private Nutzer in Deutschland dadurch gegen das kartellrechtliche Verbot des Missbrauchs einer marktbeherrschenden Stellung gem. § 19 Abs. 1 GWB, dass die Registrierung von einer Einwilligung in Nutzungskonditionen abhängig gemacht wurde, die mit datenschutzrechtlichen Anforderungen unvereinbar sei. Infolgedessen sei die Einwilligung nicht wirksam und entsprechende Datenverarbeitungen unzulässig.

24

Die aufschiebende Wirkung der Verfügung ist zwar vom OLG Düsseldorf mit Entscheidung vom 26.8.2019 im Eilverfahren wieder hergestellt worden, so dass das Unternehmen bis zum Abschluss des Beschwerdeverfahrens die Untersagungsverfügung nicht umsetzen muss.25 Dies begründete das OLG Düsseldorf damit, dass Facebook zwar womöglich marktbeherrschend sei, aber die Datenverarbeitung keinen relevanten Wettbewerbsschaden bewirke.26 Weiterhin sei der erforderliche Kausalzusammenhang zwischen Nutzungsbedingungen und Marktstellung nicht hinreichend nachgewiesen worden.27 Mit anderen Worten: Selbst wenn die beanstandete Datenverarbeitung gegen Datenschutzbestimmungen verstößt, liege darin nicht zugleich ein Verstoß gegen das Kartellrecht. Diese Entscheidung wird im Schrifttum kritisiert28; das letzte Wort ist hier also noch nicht gesprochen.

25

Auch unter dem Aspekt der missbräuchlichen Verweigerung des Zugangs zu bestimmten (ggf. auch personenbezogenen) Daten besteht ein Berührungspunkt zum Kartellrecht. Hierzu gibt es jedoch erst wenige Entscheidungen; ein praxisrelevantes Beispiel bildet der Zugang unabhängiger Marktteilnehmer auf dem Kfz-Teilemarkt zu bestimmten bei Fahrzeugherstellern vorhandenen Daten einschließlich der Fahrzeugidentifikationsnummer.29

Praxishinweis

Beide Entscheidungen sind für die Praxis von höchster Relevanz: Die Entscheidungen des Bundeskartellamts und des OLG Düsseldorf offenbaren, wie kartellrechtliche Wertungen durch die DSGVO (insbesondere über die Auslegung von Erlaubnistatbeständen der DSGVO) beeinflusst werden können.

26

Auch das AGB-Recht hat starke Bezüge zum Datenschutzrecht. Dies ist dem Umstand geschuldet, dass die Verarbeitung personenbezogener Daten durch Unternehmen in vielen Fällen im Zusammenhang mit privatrechtlichen Vertragsverhältnissen erfolgt, z.B. mit Kunden oder Mitarbeitern. Besonders beachtenswert ist hierbei, dass vor allem „datenschutzrechtliche“ Vereinbarungen, allen voran vorformulierte Einwilligungserklärungen, im Regelfall einer AGB-Kontrolle i.S.d. §§ 305ff. BGB unterliegen.30

27

In der Praxis ist festzustellen, dass viele Unternehmen sich auch unnötig durch eine falsche Gestaltung eine vermeidbare AGB-Kontrolle einfangen; das gilt vor allem für Datenschutzerklärungennach Art. 13 und 14 DSGVO. Dienen Datenschutzerklärungen ausschließlich der gesetzlich verlangten Informationserteilung, können sie einer AGB-Kontrolle nicht unterzogen werden.31 Soweit eine Datenverarbeitung jedoch Entgeltcharakter aufweist oder eine Datenschutzerklärung zusätzliche Pflichten der betroffenen Person begründen soll, schließt dies einen rein informativen Inhalt der Datenschutzerklärung aus und sie kann als Vertragsbestimmung i.S.d. § 305 Abs. 1 S. 1 BGB qualifiziert werden, die wiederum in vollem Umfang einer AGB-Kontrolle unterliegt.32 Schädlich kann in diesem Zusammenhang insbesondere eine zu starke Verzahnung der Datenschutzerklärung mit den Nutzungsbedingungen sein. In diesem Sinne hat das LG Berlin entschieden, dass eine „Privacy Policy“ der AGB-Kontrolle unterliegt, wenn diese nach ihrem objektivem Wortlaut bei dem Empfänger den Eindruck hervorruft, mit ihr solle der Inhalt eines vertraglichen oder Rechtsverhältnisses bestimmt werden.33

Praxishinweis

Es sollte deshalb dringend vermieden werden, von dem Nutzer zu verlangen, dass er sich „mit den Datenschutzhinweisen einverstanden erklärt“.

28

Gegenstand der AGB-Kontrolle können auch vom Unternehmen vorformulierte Leistungsbeschreibungen sein, die eine Datenverarbeitung überhaupt erst zur Erfüllung des Vertrags erforderlich machen.34

Praxishinweis

Ein in der Praxis ebenfalls sehr häufig anzutreffender Fehler besteht darin, den Nutzer auf der Grundlage eines allgemein vorformulierten Hinweises bestätigen zu lassen, dass er die Datenschutzerklärung gelesenoder zur Kenntnis genommen habe. Bereits eine solche Klausel ist i.S.d. § 309 Nr. 12b BGB als formularmäßig erteilte Tatsachenbestätigung unwirksam.35

29

Soweit eine Klausel der AGB-Kontrolle nicht standhält, können Unternehmen in vertragsrechtlicher Hinsicht nicht auf sie zurückgreifen. Dann könnte es passieren, dass Datenverarbeitungen ohne die notwendige Rechtsgrundlage stattfinden. Die Verwendung unwirksamer AGB kann zudem zu empfindlichen Folgen im Hinblick auf das UKlaG und UWG führen und eine Schadensersatzhaftung aus culpa in contrahendo nach sich ziehen.36

30

In manchen Fällen werden personenbezogene Daten nicht nur durch die DSGVO und die bereichsspezifischen Datenschutzgesetze geschützt, sondern zusätzlich durch besondere gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten.

31

So unterliegen z.B. Geheimnisse, die einem Arzt, Apotheker, Rechtsanwalt, Notar, Steuerberater oder Wirtschaftsprüfer in dessen jeweiliger Funktion anvertraut worden sind, einer gesetzlichen Schweigepflicht, die auch über den Tod der betroffenen Person hinaus gilt. Diese Pflicht bestimmter Berufsträger zur Verschwiegenheit ergibt sich primär aus den jeweils für sie geltenden berufsrechtlichen Vorschriften, also z.B. der Berufsordnung für Ärzte (vgl. § 9 MBO-Ä), für Rechtsanwälte aus § 43a Abs. 2 BRAO und § 2 BORA, für Notare aus § 18 BNotO, für Steuerberater aus § 57 Abs. 1 StBerG und für Wirtschaftsprüfer aus § 43 Abs. 1 S. 1 WiPrO. Solche Geheimnisse werden oftmals auch personenbezogene Daten umfassen; also z.B. soweit sie sich auf eine natürliche Person als Patient oder Mandant beziehen.

32

Daneben und grundsätzlich unabhängig von den berufsrechtlichen Pflichten folgt eine gesetzliche Schweigepflicht – wiederum für Angehörige bestimmter Berufe – auch aus dem Strafrecht, und zwar aus § 203 StGB. Neben den oben genannten Berufsgruppen unterfallen dieser Klausel zusätzlich z.B. auch Angehörige von privaten Unfall-, Kranken- und Lebensversicherungen sowie die jeweils für sie berufsmäßig tätigen Gehilfen(z.B. Sprechstundenhilfen, Referendare etc.).

Praxishinweis

Im hiesigen Kontext besonders wichtig ist auch die Erstreckung der Geheimhaltungspflicht auf die jeweils bei den Verpflichteten bestellten (betrieblichen) Datenschutzbeauftragten: Nach § 203 Abs. 4 S. 1 StGB macht sich der Datenschutzbeauftragteeiner Stelle, die dem Geheimhaltungsregime unterfällt, selbst strafbar, wenn er ein ihm in seiner Eigenschaft bekannt gewordenes Geheimnis offenbart.

33

In der Praxis wirkt sich die Überschneidung von Datenschutzrecht und gesetzlichen Schweigepflichten oft aus, wenn nach beiden Rechtsmaterien geschützte Informationen einem Dritten bekannt gegeben werden sollen, ohne dass eine gesetzliche Vorschrift dies anordnen oder gestatten würde. Wird hier datenschutzrechtlich also auf das Instrument einer Einwilligunggesetzt, ist die Erklärung parallel als eine wirksame Befreiung von der Schweigepflichtauszugestalten.37