Unterlassungsansprüche bei Verstößen gegen die DSGVO
OLG Frankfurt a.M. v. 30.3.2023 - 16 U 22/22
Der Sachverhalt:
Der Kläger verlangt von der Beklagten, die einen Online-Shop betreibt, es zu unterlassen, diese Website mit bestimmten Diensten in der Weise "auszuliefern", dass beim Seitenaufruf personenbezogene oder personenbeziehbare Daten des Klägers an den jeweiligen Betreiber der Dienste übermittelt werden, sofern dies ohne seine Einwilligung erfolgt.
Bei den im Klageantrag bezeichneten 17 Diensten handelt es sich überwiegend um von der Fa. Google zur Verfügung gestellte Apps bzw. Funktionen, die den Betrieb der Online-Shop-Seite in bestimmter Weise unterstützen. So verwaltet der Google Tag Manager die Einstellungen der Website. Die Programme Google Fonts und Fonts Awesome stellen Schriftarten zur Verfügung. Die Funktionen Analytics und Trbo analysieren das Verhalten der Besucher bzw. dienen der Datenanalyse. Das Programm Cquotient generiert Empfehlungen an Kunden ("Andere Kunden, die diese Ware gekauft haben, haben sich auch für folgende Waren interessiert"). Darüber hinaus sind Funktionen von Youtube und Facebook eingebunden.
Es ist unstreitig, dass diese Funktionen von Drittanbietern in die Website der Beklagten "eingebettet" sind ("embedding"), das heißt, dass sich die Daten der Programme nicht auf dem Server, auf dem die Website gespeichert ist, befindet, sondern der Nutzer (bzw. sein Browser) auf von Dritten, den Diensteanbietern, betriebene Webseiten verwiesen/gelenkt wird. Dabei wird dem Dritt-Server die aktuelle IP-Adresse des aktuellen Nutzers der Website mitgeteilt, um den Abruf von dort zu ermöglichen (sog. Cloud-Lösung). Der Kläger hält dies für unzulässig und verweist auf die Möglichkeit, die (erhobenen) Nutzerdaten auf eigenen Servern oder bei dem Dienst "Matomo" zu speichern.
Der Kläger hat behauptet, dass neben der IP-Adresse "das Programm" auch zahlreiche Nutzungsdaten aus dem Bestellvorgang, so Informationen über Hard- und Software seiner Endgeräte, an Google in den USA übermittle. Die Empfängerin sei in der Lage, sein Nutzungsverhalten zu analysieren - auch weil Google die Daten mit Daten aus anderen von ihm betriebenen Internetdiensten zusammenführen könne.
Der Kläger hält die Einbindung jener Dienste und deren seitenübergreifendes Tracking (Ausspähen von Daten) für mit den Artt. 6, 44, 26 und 32 DS-GVO für nicht vereinbar. Für die Rechtswidrigkeit dieser Weitergabe hat der Kläger u.a. auf den Cloud Act berufen, wonach US-Regierungsbehörden einseitig ohne Gerichtsbeschluss personenbezogene Daten anfordern können.
Die Beklagte hat sich u.a. darauf berufen, dass der Nutzer über das bei Aufruf der Website erscheinende Cookie-Banner vor einer Nutzung die Einwilligung auch für den Einsatz der Drittdienste erteile.
Das LG wies die Klage ab. Das OLG hat nun auch die Berufung des Klägers zurückgewiesen und die Revision nicht zugelassen.
Die Gründe:
Das LG hat im Ergebnis zu Recht angenommen, dass dem Kläger kein Anspruch auf die von ihm begehrte Verurteilung der Beklagten zur Unterlassung der Übermittlung seiner IP-Adresse und weiterer Daten von ihm an die bezeichneten Drittdienste bei Aufruf der Webseite des Online-Shops der Beklagten zusteht. Zwar können sich aus der DS-GVO unter Umständen auch Ansprüche auf Unterlassung von Handlungen oder automatisierten Vorgängen ergeben, nicht jedoch hinsichtlich der vom Kläger als zu unterlassend geltend gemachten Handlungen. Auf Unterlassungsansprüche außerhalb der DS-GVO, insbesondere Anspruchsgrundlagen des deutschen nationalen Rechts, kann nicht zurückgegriffen werden.
In der DS-GVO ist kein Individualanspruch auf Unterlassung der Übermittlung von Daten an Dritte normiert. Die DS-GVO kennt ihrem Wortlaut nach als möglicherweise einschlägige Ansprüche zugunsten der von Datenverarbeitung betroffenen Personen lediglich einen Anspruch auf Löschung von personenbezogenen Daten (Art. 17 DS-GVO), insbesondere, wenn sie unrechtmäßig verarbeitet wurden, und auf Schadensersatz aus Art. 82 für einen Schaden aufgrund eines Verstoßes gegen die DS-GVO.
Der Anspruch auf die begehrte Unterlassung ergibt sich nicht aus Art. 17 DS-GVO. Denn der aus der inneren Logik des Anspruchs auf Löschung hergeleitete Unterlassungsanspruch richtet sich nur auf die Unterlassung der Speicherung von Daten.
Der vom Kläger geltend gemacht Unterlassungsanspruch ergibt sich auch nicht aus Art. 82 DS-GVO. Zwar kann sich unter Umständen - jedenfalls nach deutschem Verständnis der Schadensrestitution im Sinne von § 249 Abs. 1 BGB - aus einem Schadensersatzanspruch auch ein Unterlassungsanspruch ergeben. Allerdings sind die Voraussetzungen dafür hier nicht gegeben. Der Kläger hat schon einen konkreten Schaden, der ihm durch die Weiterleitung der Daten als Folge der von ihm vorgetragenen dreimaligen Aufrufe der Webseite der Beklagten entstanden sein soll, nicht dargelegt.
Zum anderen, und das ist entscheidend, kann sich aus dem Gesichtspunkt des Schadensersatzes nur dann ein Unterlassungsanspruch ergeben, wenn die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. Der Kläger verlangt hier jedoch nicht die Beseitigung von Datenweitergaben, welche anlässlich der drei behaupteten Nutzungen der Website erfolgt sind, oder die Beseitigung von deren Folgen, sondern die Unterlassung von Datenübermittlungen bei einer künftigen Nutzung der Online-Shop-Seite der Beklagten. Es handelt es insofern um einen vorbeugenden Unterlassungsanspruch.
Dem Kläger steht ein Anspruch auf Unterlassung auch nicht aus den §§ 1004 Abs. 1 S. 2 BGB i.V.m. § 823 Abs. 2 BGB i.V.m. mit den nach Auffassung des Klägers durch die Datenübermittlung an die Drittdienste verletzten Art. 5, 6 DS-GVO oder Art. 44 DS-GVO oder Art. 32 DS-GVO zu.
Das LG hat zu Recht angenommen, dass Schadensersatzansprüche und Unterlassungsansprüche des nationalen Rechts, soweit dies auf Verstöße gegen Regeln zur Verarbeitung personenbezogener Daten und anderer Regelungen der DS-GVO gestützt sind, keine Anwendung finden, weil Vorschriften des DS-GVO eine abschließende, weil voll harmonisierende europäische Regelung bilden. Wegen dieses Anwendungsvorrangs des unionsweit abschließend vereinheitlichten Datenschutzrechts kann ein Anspruch nicht auf Vorschriften des nationalen deutschen Rechts gestützt werden (BVerfG v. 6.11.2019 - 1 BvR 276/17).
Auf nationales Recht kann nur zurückgegriffen werden, wenn sich aus der DS-GVO eine entsprechende Öffnungsklausel ergibt. Eine solche Öffnung ergibt sich entgegen der Meinung des Klägers nach Wortlaut und Regelungszweck nicht aus Art. 79 Abs. 1 DS-GVO.
Mehr zum Thema:
Link zur Entscheidung des OLG im Volltext
Aufsatz:
Sperrwirkung der DSGVO: Kein Rückgriff auf § 1004 Abs. 1 S. 2 BGB (analog) für Unterlassungsansprüche
Patrick Koetsier / Sascha Kremer
Alles auch nachzulesen im Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!
Justiz Hessen online
Der Kläger verlangt von der Beklagten, die einen Online-Shop betreibt, es zu unterlassen, diese Website mit bestimmten Diensten in der Weise "auszuliefern", dass beim Seitenaufruf personenbezogene oder personenbeziehbare Daten des Klägers an den jeweiligen Betreiber der Dienste übermittelt werden, sofern dies ohne seine Einwilligung erfolgt.
Bei den im Klageantrag bezeichneten 17 Diensten handelt es sich überwiegend um von der Fa. Google zur Verfügung gestellte Apps bzw. Funktionen, die den Betrieb der Online-Shop-Seite in bestimmter Weise unterstützen. So verwaltet der Google Tag Manager die Einstellungen der Website. Die Programme Google Fonts und Fonts Awesome stellen Schriftarten zur Verfügung. Die Funktionen Analytics und Trbo analysieren das Verhalten der Besucher bzw. dienen der Datenanalyse. Das Programm Cquotient generiert Empfehlungen an Kunden ("Andere Kunden, die diese Ware gekauft haben, haben sich auch für folgende Waren interessiert"). Darüber hinaus sind Funktionen von Youtube und Facebook eingebunden.
Es ist unstreitig, dass diese Funktionen von Drittanbietern in die Website der Beklagten "eingebettet" sind ("embedding"), das heißt, dass sich die Daten der Programme nicht auf dem Server, auf dem die Website gespeichert ist, befindet, sondern der Nutzer (bzw. sein Browser) auf von Dritten, den Diensteanbietern, betriebene Webseiten verwiesen/gelenkt wird. Dabei wird dem Dritt-Server die aktuelle IP-Adresse des aktuellen Nutzers der Website mitgeteilt, um den Abruf von dort zu ermöglichen (sog. Cloud-Lösung). Der Kläger hält dies für unzulässig und verweist auf die Möglichkeit, die (erhobenen) Nutzerdaten auf eigenen Servern oder bei dem Dienst "Matomo" zu speichern.
Der Kläger hat behauptet, dass neben der IP-Adresse "das Programm" auch zahlreiche Nutzungsdaten aus dem Bestellvorgang, so Informationen über Hard- und Software seiner Endgeräte, an Google in den USA übermittle. Die Empfängerin sei in der Lage, sein Nutzungsverhalten zu analysieren - auch weil Google die Daten mit Daten aus anderen von ihm betriebenen Internetdiensten zusammenführen könne.
Der Kläger hält die Einbindung jener Dienste und deren seitenübergreifendes Tracking (Ausspähen von Daten) für mit den Artt. 6, 44, 26 und 32 DS-GVO für nicht vereinbar. Für die Rechtswidrigkeit dieser Weitergabe hat der Kläger u.a. auf den Cloud Act berufen, wonach US-Regierungsbehörden einseitig ohne Gerichtsbeschluss personenbezogene Daten anfordern können.
Die Beklagte hat sich u.a. darauf berufen, dass der Nutzer über das bei Aufruf der Website erscheinende Cookie-Banner vor einer Nutzung die Einwilligung auch für den Einsatz der Drittdienste erteile.
Das LG wies die Klage ab. Das OLG hat nun auch die Berufung des Klägers zurückgewiesen und die Revision nicht zugelassen.
Die Gründe:
Das LG hat im Ergebnis zu Recht angenommen, dass dem Kläger kein Anspruch auf die von ihm begehrte Verurteilung der Beklagten zur Unterlassung der Übermittlung seiner IP-Adresse und weiterer Daten von ihm an die bezeichneten Drittdienste bei Aufruf der Webseite des Online-Shops der Beklagten zusteht. Zwar können sich aus der DS-GVO unter Umständen auch Ansprüche auf Unterlassung von Handlungen oder automatisierten Vorgängen ergeben, nicht jedoch hinsichtlich der vom Kläger als zu unterlassend geltend gemachten Handlungen. Auf Unterlassungsansprüche außerhalb der DS-GVO, insbesondere Anspruchsgrundlagen des deutschen nationalen Rechts, kann nicht zurückgegriffen werden.
In der DS-GVO ist kein Individualanspruch auf Unterlassung der Übermittlung von Daten an Dritte normiert. Die DS-GVO kennt ihrem Wortlaut nach als möglicherweise einschlägige Ansprüche zugunsten der von Datenverarbeitung betroffenen Personen lediglich einen Anspruch auf Löschung von personenbezogenen Daten (Art. 17 DS-GVO), insbesondere, wenn sie unrechtmäßig verarbeitet wurden, und auf Schadensersatz aus Art. 82 für einen Schaden aufgrund eines Verstoßes gegen die DS-GVO.
Der Anspruch auf die begehrte Unterlassung ergibt sich nicht aus Art. 17 DS-GVO. Denn der aus der inneren Logik des Anspruchs auf Löschung hergeleitete Unterlassungsanspruch richtet sich nur auf die Unterlassung der Speicherung von Daten.
Der vom Kläger geltend gemacht Unterlassungsanspruch ergibt sich auch nicht aus Art. 82 DS-GVO. Zwar kann sich unter Umständen - jedenfalls nach deutschem Verständnis der Schadensrestitution im Sinne von § 249 Abs. 1 BGB - aus einem Schadensersatzanspruch auch ein Unterlassungsanspruch ergeben. Allerdings sind die Voraussetzungen dafür hier nicht gegeben. Der Kläger hat schon einen konkreten Schaden, der ihm durch die Weiterleitung der Daten als Folge der von ihm vorgetragenen dreimaligen Aufrufe der Webseite der Beklagten entstanden sein soll, nicht dargelegt.
Zum anderen, und das ist entscheidend, kann sich aus dem Gesichtspunkt des Schadensersatzes nur dann ein Unterlassungsanspruch ergeben, wenn die erfolgte Verletzungshandlung noch andauert oder der pflichtwidrig geschaffene Zustand fortdauert. Der Kläger verlangt hier jedoch nicht die Beseitigung von Datenweitergaben, welche anlässlich der drei behaupteten Nutzungen der Website erfolgt sind, oder die Beseitigung von deren Folgen, sondern die Unterlassung von Datenübermittlungen bei einer künftigen Nutzung der Online-Shop-Seite der Beklagten. Es handelt es insofern um einen vorbeugenden Unterlassungsanspruch.
Dem Kläger steht ein Anspruch auf Unterlassung auch nicht aus den §§ 1004 Abs. 1 S. 2 BGB i.V.m. § 823 Abs. 2 BGB i.V.m. mit den nach Auffassung des Klägers durch die Datenübermittlung an die Drittdienste verletzten Art. 5, 6 DS-GVO oder Art. 44 DS-GVO oder Art. 32 DS-GVO zu.
Das LG hat zu Recht angenommen, dass Schadensersatzansprüche und Unterlassungsansprüche des nationalen Rechts, soweit dies auf Verstöße gegen Regeln zur Verarbeitung personenbezogener Daten und anderer Regelungen der DS-GVO gestützt sind, keine Anwendung finden, weil Vorschriften des DS-GVO eine abschließende, weil voll harmonisierende europäische Regelung bilden. Wegen dieses Anwendungsvorrangs des unionsweit abschließend vereinheitlichten Datenschutzrechts kann ein Anspruch nicht auf Vorschriften des nationalen deutschen Rechts gestützt werden (BVerfG v. 6.11.2019 - 1 BvR 276/17).
Auf nationales Recht kann nur zurückgegriffen werden, wenn sich aus der DS-GVO eine entsprechende Öffnungsklausel ergibt. Eine solche Öffnung ergibt sich entgegen der Meinung des Klägers nach Wortlaut und Regelungszweck nicht aus Art. 79 Abs. 1 DS-GVO.
Link zur Entscheidung des OLG im Volltext
Aufsatz:
Sperrwirkung der DSGVO: Kein Rückgriff auf § 1004 Abs. 1 S. 2 BGB (analog) für Unterlassungsansprüche
Patrick Koetsier / Sascha Kremer
Alles auch nachzulesen im Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!