Mit Urteil vom 22.09.2017, Az. 5 U 155/14 hat das Kammergericht Berlin (KG) entschieden, dass für das Unternehmen Facebook deutsches Datenschutzrecht gilt und die streitgegenständliche Einwilligungserklärung über die Weitergabe von Daten an Applikations(App)- und Spiele-Anbieter als unzureichend und damit unwirksam anzusehen ist.
Bereits in der Vorinstanz hatte Landgerichts (LG) Berlin (Urteil vom 28.10.2014, Az. 16 O 60/13) entschieden, das die Einwilligung im Applikations-Zentrum zur Datenweitergabe an den App- bzw. Spieleanbieter aufgrund mangelhafter Belehrung über deren Umfang unwirksam ist. Dieses Urteil hat das KG Berlin bestätigt, indem es Facebook untersagt, Spiele dergestalt zu präsentieren, als dass der Nutzer durch die Bestätigung der Schaltfläche („Button“) „Spiel spielen“ die Erklärung abgibt, einer Übermittlung personenbezogener Daten an den (externen) Betreiber des Spiels zuzustimmen. Nach Auffassung des Gerichts sei zudem eine Klausel unwirksam, die es dem Betreiber erlaube, unter dem Namen des Nutzers auf Facebook Inhalte zu posten. Das Gericht verfolgt die Ansicht, dass eine ausreichende Einwilligung des Nutzers in diesen Umfang der Datenverarbeitung nicht erteilt wird.
Sofort spielen
Rief ein Nutzer ehemals die Internetseite Facebook auf, so konnte er per Link in den Bereich App-Zentrum gelangen. Im App-Zentrum konnte der Nutzer auf Spiele dritter Anbieter zugreifen, die Facebook dort zugänglich machte. Im rechten Bereich der Seite konnte der Nutzer den Button „Sofort spielen“ anklicken. Hierauf erschien ihm folgende Information:
„Durch das Anklicken von „Spiel spielen“[…], erhält diese Anwendung:
- Deine allgemeinen Informationen
- Deine E-Mail-Adresse
- Über dich
- Deine Statusmeldungen
Diese Anwendung darf in deinem Namen posten, einschließlich Punktestand und mehr.“
Der weitere Hinweis: „Wenn du fortfährst, stimmst du (…) Allgemeine Geschäftsbedingungen und Datenschutzrichtlinien zu“
Keine ausreichende Aufklärung der Verbraucher
Das KG Berlin entschied, dass eine derartige Einwilligung unwirksam sei. Es fehle an einer ausreichenden Aufklärung des Verbrauchers und es sei ebenfalls keine ausreichende Verlinkung zur Datenschutzerklärung von Facebook erfolgt, da kein Link zu den Facebook-Datenschutzrichtlinien im unmittelbaren Zusammenhang mit dem streitgegenständlichen App-Zentrum.
Es existiere zwar ein Link „Erfahre mehr über deine Privatsphäre und Facebook“ auf den weiteren Facebook-Seiten, dies sei jedoch ebenfalls nicht zielführend. Es finde keine einheitliche Information gegenüber dem Verbraucher statt, die bei seiner Entscheidung, ob er mit der Anwendung der App in die jeweilige Datenverarbeitung einverstanden ist oder nicht, eine Rolle spielt.
Die Einwilligung der Verbraucher sei zudem unwirksam, da diese den Spieleanbietern das Posten im Namen des Spielers erlaube. Dies ziele darauf ab, Empfängern des Postings zu suggerieren, die Nachrichten kämen vom Verbraucher, was bei den Empfängern ein größeres Interesse hervorrufen sollte. Diese Postings seien für den Verbraucher in ihrem Umfang nicht abschätzbar. Für eine wirksame Einwilligung des Verbrauchers, hätte über auf die Datenverwendung hinreichend konkret informiert werden müssen.
Anwendbarkeit des deutschen Datenschutzrechtes
Trotz des irischen Unternehmenssitzes von Facebook stellte das KG Berlin fest, dass deutsches Datenschutzrecht anzuwenden sei. Die Begründung hierfür liege im Angebot von Facebook, das sich auch an deutsche Nutzer richte. Darüber hinaus unterhalte Facebook eine Gesellschaft in Hamburg zur Förderung des Anzeigengeschäfts. Das KG betrachtete Facebook Deutschland als eine Niederlassung von Facebook Irland. Dies genügte um die Datenverarbeitung als Tätigkeit der Zweigniederlassung anzusehen, auch in Fällen, in denen Daten nicht von der deutschen Niederlassung verarbeitet werden.
Es finden sich keine hinreichenden Anhaltspunkte für ein Gebot in der Datenschutzrichtlinie, nach dem bei mehreren Niederlassungen in der EU nur ein nationales Datenschutzrecht anzuwenden und hierbei auf die Niederlassung mit der engsten Verbindung zur streitigen Datenverarbeitung abzustellen ist. In den Fällen bei denen eine Mehrzahl von Niederlassungen in verschiedenen Mitgliedstaaten existiert, besagt Art. 4 Abs. 1 lit. a Satz 2 der Datenschutzrichtlinie dass der für die Datenverarbeitung Verantwortliche für „jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält“, das heißt das einschlägige nationale Datenschutzrecht für jedes EU-Land (mithin auch mehrere nationale Datenschutzregelungen) anwendet, in dem er eine Niederlassung unterhält.
Somit ist der allein in einem einzigen EU-Land ansässige Unternehmer datenschutzrechtlich zwar privilegiert, verliert diese Privilegierung jedoch, wenn er weitergehend mit einer Niederlassung auch in einem anderen EU-Land tätig wird.
Haben Sie Fragen zum Thema? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M. Leistung: Anwaltliche Beratung