© V.Löhr - 1 -

(kanzleiLoehr

Rechtsfallen im Datenschutz

bei Veranstaltungen

Mai 2011

Volker Löhr Rechtsanwalt

© V.Löhr - 2 -

(kanzleiLoehr

Rechtskonformität -/- CRM

•  Die vollständige „rechtssichere“ Umsetzung aller geltenden datenschutzrechtlichen Bestimmungen kollidiert mit dem Interesse nach umfassender Erhebung, Auswertung und Nutzung von Besucherdaten

•  Risiko bei Verstößen gegen datenschutzrechtliche Bestimmungen Ø  behördliche Löschungsanordnung = Datenverlust Ø  Imageschäden Ø  Hohe Geldbußen 50 - 300T€ Ø  Gewinnabschöpfung Ø  Schadensersatzansprüche der „Verletzten“ Ø  Regelaufsicht der Datenschutzbehörden Ø  Strafrechtliche Sanktionen – (soweit die Erhebung und Nutzung in der

Absicht erfolgt, sich zu bereichern)

Das Spannungsfeld

© V.Löhr - 3 -

(kanzleiLoehr

Seite 3

Datenschutzrechtliche Grundsätze

Ø  Zum Zeitpunkt der Erhebung des jeweiligen „Datums“ muss der beabsichtigte Nutzungszweck dokumentiert feststehen. Eine spätere Nutzung personenbezogener Daten zu Zwecken, die zum Zeitpunkt der Erhebung nicht festgelegt sind, ist unzulässig

Ø Die Übermittlung/ „Abgabe“ von Besucherdaten im Rahmen

der Registrierung zum Zweck der späteren Zusendung von Werbung kann nicht mit Wirkung für die Zukunft erzwungen werden; gleiches gilt für eventuelle Einwilligungen, die die Nutzung von Daten betreffen.

© V.Löhr - 4 -

(kanzleiLoehr

Seite 4

•  Beispiel: Ticketkauf online

„Datum“ vertragliche Zweckbestimmung

Name, Anrede Firma Anschrift

Fax

E- Mail

Tel

Funktion /Position im Unternehmen, Unternehmensbranche Fachinteressen

Elektronische Zusendung Ticket X --- X -- --- --- ---

Zusendung Ticket per Post X

_

_

--

Nicht notwendige Daten für die bezeichneten Zwecke

Zweckgebundene Erforderlichkeit

© V.Löhr - 5 -

(kanzleiLoehr

Seite 5

•  Beispiel: Ticketkauf an der Kasse z.B. für eine Fachmesse

„Datum“ vertragliche Zweckbestimmung

Name, Anrede Firma Anschrift

Fax

E- Mail

Tel

Funktion /Position im Unternehmen, Unternehmensbranche Fachinteressen

Überprüfung Fachbesucherstatus X --- __ X X X ---

Eintrittskontrolle X

_

_

--

Keine notwendige Daten für die bezeichneten Zwecke bei B2B

Zweckgebundene Erforderlichkeit

Nur möglich, wenn

telefonische

Stichprobenkontrolle

des

Fachbesucherstatus

(B2B) vorgesehen ist

Keine notwendigen Daten bei B2C

© V.Löhr - 6 -

(kanzleiLoehr

Seite 6

•  Transparenz: Das informationelle Selbstbestimmungsrecht für Betroffene setzt Kenntnis über die Ziele, Nutzungszwecke und Struktur der Datenverarbeitung voraus.

•  Nur wenn die Betroffenen erfahren, welche personenbezogenen Daten über sie für welche Zwecke erhoben werden, wie die Struktur der Datenverarbeitung aussieht und wie die Prozesse grundsätzlich ablaufen und wer dafür die Verantwortung trägt, haben sie auch die Möglichkeit, ihre individuellen Rechte wahrzunehmen.

Anforderungen an Hinweise und Einwilligungen

© V.Löhr - 7 -

(kanzleiLoehr § 28 Datenerhebung und –speicherung für eigene Geschäftszwecke

Absatz1 Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig 1.wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechts- geschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegen- über dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

© V.Löhr - 8 -

(kanzleiLoehr § 28 Datenerhebung und –speicherung für eigene Geschäftszwecke

Absatz3 Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt.

Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personen gruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist 1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat, 2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder 3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g d

© V.Löhr - 9 -

(kanzleiLoehr § 28 Datenerhebung und –speicherung für eigene Geschäftszwecke

Absatz 3a Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben.

© V.Löhr - 10 -

(kanzleiLoehr § 4a Einwilligung

(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

© V.Löhr - 11 -

(kanzleiLoehr UWG § 7 Unzumutbare Belästigungen

(1) Unlauter im Sinne von § 3 handelt, wer einen Marktteilnehmer in unzumutbarer Weise belästigt.

(2) Eine unzumutbare Belästigung ist insbesondere anzunehmen

1. bei einer Werbung, obwohl erkennbar ist, dass der Empfänger diese Werbung nicht wünscht;

2. bei einer Werbung mit Telefonanrufen gegenüber Verbrauchern ohne deren Einwilligung oder gegenüber sonstigen Marktteilnehmern ohne deren zumindest mutmaßliche Einwilligung;

3. bei einer Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post, ohne dass eine Einwilligung der Adressaten vorliegt; 4. bei einer Werbung mit Nachrichten, bei der die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

© V.Löhr - 12 -

(kanzleiLoehr Einwilligung oder Hinweis

Beispiel „Opt-In“ Lösung: * Ja, ich bin damit einverstanden, dass meine Daten zu

Werbezwecken genutzt werden. Beispiel für „Opt-out“ Lösung: R Ja, ich bin damit einverstanden, dass meine Daten zu

Werbezwecken genutzt werden.

Beispiel für einen Hinweis: Ihre Daten werden auch zu Zwecken der werblichen

Ansprache durch uns genutzt.

© V.Löhr - 13 -

(kanzleiLoehr

Für die im Einzelfall erforderliche Abwägung ist die Kategorie der Beworbenen (B2B oder B2C) und die Art/ Intensität der geplanten „Maßnahme“ (Info oder Werbung) maßgeblich. Dabei kommt es entscheidend darauf an, ob sich die „Maßnahme“ aus Sicht des Adressaten als Belästigung darstellen kann.

Für die mögliche Einordnung als Information sprechen folgende Gesichtspunkte:

1. Die beabsichtigten Maßnahmen haben in erster Linie die zielgruppenorientierte Ansprache von Fachbesucher im Hinblick auf etwaige thematisch verwandte Folgeveranstaltungen zum Gegenstand.

2. Die Maßnahme erfolgt hier im Rahmen der Kundenbeziehung, die insbesondere mit Blick auf das geschäftlich geprägte Interesse an spezifischer Fachinformation des beworbenen Besuchers als Firmenvertreter, keinen Ansatz für die Annahme eines überwiegenden entgegenstehenden Interesses des Beworbenen bietet.

3. Vielmehr ist die Situation so einzuschätzen, dass der Fachbesucher an dem Informationsangebot regelmäßig interessiert sein wird und dieses insoweit nicht als Belästigung sondern als (selbstverständlichen) Service ansieht.

Information oder Werbung

© V.Löhr - 14 -

(kanzleiLoehr

LG Berlin vom 18.11.2009 (Az. 4 O 89/09 und Az. 4 O 90/09)

•  Die Tageszeitung verwendete im Rahmen einer „Leser werben Leser“-Aktion auf dem Bestellcoupon für die dafür ausgelobte Prämie folgende Einwilligungsklausel, die unter dem Feld für die persönlichen Angaben platziert war:

•  „Ich bin damit einverstanden, dass die Berliner Morgenpost meine Daten für Zwecke der Werbung, Marktforschung und Beratung nutzt und selbst oder durch Dritte verarbeitet und dass ich schriftlich, telefonisch oder per E-Mail über weitere Angebote informiert werde.“

•  Den gleichen Einwilligungstext verwendete auch die Wochenzeitung, hier allerdings im Rahmen eines Teilnahmecoupons für ein Gewinnspiel. Auch hier war der Einwilligungstext unterhalb der persönlichen Daten zu finden.

Einwilligung oder Hinweis

© V.Löhr - 15 -

(kanzleiLoehr

•  Möglichkeit zur Abwahl (Opt-in)

•  Nach Auffassung des Landgerichts Berlin sei dabei unter Berücksichtigung der Rechtsprechung des Bundesgerichtshofs erschwerend zu berücksichtigen, dass die Klausel keine Abwahlmöglichkeit beinhalte.

•  Zwar muss diese Möglichkeit zur Abwahl dabei nicht unmittelbar durch eine anzukreuzende „Checkbox“ gewährleisten werden. Zumindest aber muss die Klausel selbst eine Abwahlmöglichkeit beinhalten. Andernfalls werde das „Opt-in“-Prinzip in sein Gegenteil verkehrt. Denn der Betroffene muss sich nach den Grundsätzen des Datenschutzrechts gerade nicht durch eine „Opt out“-Erklärung vor Werbemaßnahmen schützen, sondern durch eine bewusste und autarke Entscheidung ausdrücklich für Werbemaßnahmen aussprechen.

Einwilligung oder Hinweis

© V.Löhr - 16 -

(kanzleiLoehr BGH, Urteil vom 11.11.2009, Az. VIII ZR 12/08 Die Klausel, deren Verwendung das Berufungsgericht untersagt hat, lautet: “Einwilligung in Beratung, Information, Werbung und Marketing Ich bin damit einverstanden, dass meine bei HappyDigits erhobenen persönlichen Daten (Name, Anschrift, Geburtsdatum) und meine Programmdaten (Anzahl gesammelte Digits und deren Verwendung; Art der gekauften Waren und Dienstleistungen; freiwillige Angaben) von der D GmbH [...] als Betreiberin des HappyDigits Programms und ihren Partnerunternehmen zu Marktforschungs- und schriftlichen Beratungs- und Informationszwecke Werbung über Produkte und der jeweiligen Partnerunternehmen gespeichert, verarbeitet und genutzt werden. [...] Sind Sie nicht einverstanden, streichen Sie die Klausel [...]“

© V.Löhr - 17 -

(kanzleiLoehr BGH, Urteil vom 11.11.2009, Az. VIII ZR 12/08 Der Bundesgerichtshof hat entschieden, dass die Unter dem Gesichtspunkt datenschutzrechtlicher Bestimmungen ist die Klausel nicht zu beanstanden:Danach kann die Einwilligung in die Speicherung, Verarbeitung und Nutzung von Daten zusammen mit anderen Erklärungen schriftlich erteilt werden, sofern sie – wie hier – besonders hervorgehoben wird. Zwar sieht die Klausel – im Gegensatz zu der Klausel, die Gegenstand der “Payback”-Entscheidung vom 16. Juli 2008 war – nicht die Möglichkeit vor, zu ihrer Abwahl ein zusätzliches Kästchen anzukreuzen, sondern weist fettgedruckt auf die Möglichkeit zur Streichung der Klausel hin. Die Möglichkeit zur Abwahl durch Ankreuzen ist aber nicht zwingend, wenn die Klausel eine andere Abwahlmöglichkeit enthält und dem Hervorhebungserfordernis des § 4a Abs. 1 BDSG* gerecht wird. Das ist hier der Fall. Die Klausel 1 ist in der Mitte des eine Druckseite umfassenden Formulars platziert und als einziger Absatz der Seite mit einer zusätzlichen Umrahmung versehen, so dass sie schon deshalb Aufmerksamkeit auf sich zieht. Der fettgedruckten Überschrift lässt sich schon aufgrund des verwendeten Worts “Einwilligung” unmittelbar entnehmen, dass sie ein rechtlich relevantes Einverständnis des Verbrauchers mit Werbungs- und Marketingmaßnahmen enthält, die – was einem durchschnittlich verständigen Verbraucher bekannt ist – in aller Regel mit einer Speicherung und Nutzung von Daten einhergehen.

© V.Löhr - 18 -

(kanzleiLoehr Die Einwilligungserklärung

•  Bei Einwilligungserklärungen Vorsicht walten lassen!

•  Die Urteile beweisen einmal mehr, wie wichtig es ist, bei der Verwendung von Einwilligungserklärungen Vorsicht walten zu lassen. Das gilt sowohl für die Gestaltung als auch den konkreten Inhalt.

•  Von der Versuchung, die Einwilligungserklärung bei der Abgabe mit anderen Erklärungen möglichst unauffällig zu „verstecken“, kann nur dringend abgeraten werden. Ansonsten drohen nicht nur Ansprüche von Betroffenen oder Abmahnungen von Wettbewerbern, sondern – wie im vorliegenden Fall – auch die Inanspruchnahme durch Verbraucherschutzverbände.

Urteile des Landgerichts Berlin vom 18.11.2009 (Az. 4 O 89/09 und Az. 4 O 90/09)

© V.Löhr - 19 -

(kanzleiLoehr

„E-Mail Grüße aus Düsseldorf“

Geschäftsführer haftet persönlich

Nach der aktuellen Rechtslage ist der Versand von Werbe-Mails ohne Einwilligung des jeweiligen Empfängers, rechtswidrig und führt zu Ansprüchen gegen das Unternehmen.

Nach einem Urteil des OLG Düsseldorf vom 24.11.2009 (Az.: I-20 U 137/09) kann aber neben einer Haftung des Unternehmens auch ein Anspruch gegen den Geschäftsführer der Gesellschaft persönlich aus einem unerlaubten Mailversand erwachsen.

Das OLG Düsseldorf schlussfolgerte aus dem Sachverhalt, dass der Geschäftsführer als gesetzlicher Vertreter des Unternehmens nichts gegen die unlautere Email-Werbung unternommen hat, obwohl ihm die Rechtswidrigkeit dieser bekannt war bzw. hätte bekannt sein müssen. Auch eine vor der Veranlassung der Werbeaktion durchgeführte Sicherstellung, dass Einwilligung aller in der Datei enthaltenen Personen vorlag, wurde durch den Geschäftsführer nicht vorgenommen. Aus dem Verfahren ging ferner hervor, dass eine Überprüfung der Einwilligungen erst dann erfolgt, als bereits erste Beanstandungen des Emailversands vorlagen.

© V.Löhr - 20 -

(kanzleiLoehr

Seit Ende April 2010 erlaubt Facebook Webseitenbetreibern auf den eigenen Seiten "Gefällt mir" Buttons und andere Elemente des Facebook Netzwerkes einzubauen. Durch diese so genannten Social Plugins können Facebook User auch auf fremden Seiten zum Beispiel einen Facebook "Gefällt mir" Button, wie in der folgenden Abbildung dargestellt, anklicken.

Die Verwendung von Facebook Social Plugins muss der Webseitenbetreiber in seinen Datenschutzhinweisen erläutern. Dies ergibt sich aus § 13 (1) Telemediengesetz (TMG). Danach hat ein Diensteanbieter (Webseitenbetreiber) den Nutzer über "Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten" sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU/EWR in "allgemein verständlicher Form" zu unterrichten.

© V.Löhr - 21 -

(kanzleiLoehr

Waldburgstr. 12 D-53177 Bonn Tel. +49 (0)228 931 991-46 Fax +49 (0)228 931 991-47 Mobil+49 (0)171 633 2562 v.loehr@kanzleiLoehr.de

...vielen Dank für Ihre Aufmerksamkeit

(kanzleiLoehr

Bonn

Technik – Organisation – Recht

rechtssicher wirtschaftlich kundenorientiert

anwaltliche Beratung Betreiberpflichten Vertragsmanagement Sicherheitskonzepte…

Workshops in Ihrem Unternehmen vor Ort

(kanzleiLoehr

Versammlungsstätten – Veranstaltungen Bau – Betrieb – Technischer Service – Instandhaltung/ WKP Organisation der Betreiberpflichten – Veranstaltungsleitung – Verantwortliche für Veranstaltungstechnik – Vertragsmanagement Sicherheits- und Notfallmanagement Umgang mit Besucherdaten-Daten – CRM Datenschutz