Kategorie-Archiv: Datenschutz

Entwurf einer E-Privacy-Verordnung

Am 10. Januar 2017 hat die EU-Kommission ihren offiziellen Entwurf für über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG  (Verordnung über Privatsphäre und elektronische Kommunikation)  vorgelegt. Zeitgleich mit der zum 25. Mai 2018 wirksam werdenden EU-Datenschutzgrundverordnung (DS-GVO) soll die E-Privacy Verordnung die bisher geltende e-Privacy-Richtlinie und die ergänzende Cookie-Richtlinie aus dem Jahr 2009 ersetzen. Dies war auch dringend erforderlich, da die Richtlinie zwangsläufig nicht mit der technischen Entwicklung standhalten konnte.

Die neue Privacy-Verordnung soll die EU-Datenschutz-Grundverordnung dort ergänzen, wo sie nicht hinreicht. Dies betrifft insbesondere die sogenannten Over-the-Top-Dienste (OTT). Die Kommission führt als Beispiele Kommunikationsdienste wie WhatsApp, Facebook, Messenger, Skype, Gmail, iMessage oder Viber, aber auch die Maschine zu Maschine Kommunikation im “Internet der Dinge” an.

Die Kommission erhöht in Artikel 6 Abs. 3 die Voraussetzungen für eine Analyse von Inhalten elektronischer Kommunikation wie etwa Mail- oder Messaging-Nachrichten, weil sie hier grundsätzlich ein hohes Risiko von Grundrechtsverletzungen sieht. So sollen Dienste wie Googles GMail dafür künftig vorab die Datenschutz-Aufsichtsbehörden entsprechend Artikel 63 der DS-GVO konsultieren – noch ehe sie hierfür die ausdrückliche Einwilligung der Nutzer einholen. Den Empfehlungen der Behörde müssen die Diensteanbieter dann zwingend folgen.

Art. 6 legt fest, inwieweit eine Verarbeitung elektronischer Kommunikationsdaten erlaubt ist. Grundsätzlich dürfen Unternehmen Kommunikationsdaten von Verbrauchern nur nutzen, wenn der Nutzer ausdrücklich eingewilligt hat (Abs. 3 lit. a) oder die Daten zuvor anonymisiert wurden (Abs. 3 lit. b).

Wie bei allen Einwilligungen kann der Nutzer seine einmal abgegebene Einwilligung nach Artikel 9 Abs. 3 jederzeit widerrufen. An die Widerrufsmöglichkeit muss der Nutzer in regelmäßigen Abständen von 6 Monaten erinnert werden, solange die Verarbeitung andauert.

Unter der Überschrift unerbetene Kommunikation enthält Artikel 16 eine Ausnahmeregelung für Direktwerbung, welche die Verwendung von E-Mail-Kontaktdaten ohne weitere Einwilligung erlaubt, wenn es bereits eine “Kundenbeziehung” zwischen Anbieter und Nutzer gibt. Kunden müssen klar und deutlich die Möglichkeit haben,einer solchen Nutzung kostenlos und auf einfache Weise zu widersprechen. Es läuft also auf eine Opt-Out-Regelung hinaus. Ein Verbraucher muss damit rechnen, dass er nach einem Online-Einkauf möglicherweise mit einer Flut von Newsletters und E-Mailwerbung überschüttet wird.

Die Pflicht der Webseiten-Betreiber ihre Besucher über alle Cookies zu informieren ist nicht mehr erforderlich. Dies betrifft Cookies, die zu Konfigurationszwecken gesetzt werden oder in einem Webshop für das Befüllen von Warenkörben genutzt werden. Bei Tracking-Cookies entfällt die Informationspflicht nur dann, wenn der Browser über einen Do-Not-Track-Mechanismus verfügt, der Zustimmung oder Ablehnung übermitteln kann.

Browser müssen so konfigurierbar sein, dass Cookies von der direkt besuchten Website akzeptiert, jedoch Cookies von Drittanbietern blockiert werden können. Damit ist klar, dass die Werbeindustrie Do-Not-Track nicht länger wie bisher ungestraft ignorieren darf. Gleichzeitig werden damit wohl auch die meisten Cookie-Warn-Banner überflüssig.

Etwas verklausuliert und erst beim zweiten Durchlesen wird der Inhalt des letzten Satz von Präambel 21 verständlich. Dort heißt es: „Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

Damit versucht die Kommission das Blockieren von Adblock-Nutzer auf Verlags-Webseiten zu rechtfertigen. Diese Regelung dürfte aber dem Kopplungsverbot  in Art. 7 Abs. 4  DS-GVO zu widerlaufen, wonach eine verweigerte Einwilligung nicht zu einer grundsätzlichen Blockade des Webseitenbesuchers führen darf.

Der Sanktionsrahmen der geplanten E-Privacy-Verordnung entspricht konsequenterweise der Datenschutzgrundverordnung und verleiht den Vorgaben entsprechend Nachdruck. Ein Verbandsklagerecht, wie im Vorentwurf noch vorgesehen, gibt es nicht mehr. Das deutsche Verbandsklagerecht wird davon nicht beeinträchtigt.

Der Verordnungsentwurf geht jetzt zur Beratung zum Europäischen Parlament und zum Europäischen Rat.

Kritik der Bundesbeauftragten für den Datenschutz und die Informationfreiheit an DSAnpUG-EU

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fordert, dass das Datenschutz -Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU dringend nachgebessert werden muss. Die BfDI moniert, dass die vom Bundesverfassungsgericht eingeforderten Kontrollbefugnisse der BfDI im Bereich Polizei und Justiz und außerhalb des Geltungsbereichs des EU-Rechts in dem vorliegenden Gesetzesentwurf deutlich beschränkt wurden. Sie hält eine unabhängige Kontrolle für heimliche Datenerhebungen für zwingend notwendig. Die BfDI erhalte hier keinerlei Durchsetzungsbefugnisse, möglich sind nur nicht-bindende Beanstandungen. Aus ihrer Sicht ist dies europarechtswidrig und auch in der Sache falsch.

EU-Parlament beschließt Datenschutzgrundverordnung

Vier Jahre hat es nun gedauert, seitdem die EU-Kommission im Jahr 2012 einen ersten Entwurf für eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes vorgelegt hatte. Die seit 1995 bestehende Datenschutzrichtlinie war dringend erneuerungsbedürftig, da sie aufgrund der rasanten technischen Entwicklung überholt war. Sie machte grundlegende Prinzipien wie Zweckbindung und Datensparsamkeit zum europaweiten Standard.

Die Verordnung tritt 20 Tage nach Veröffentlichung im Amtsblatt in Kraft und wird in zwei Jahren wirksam sein.

Am 4. Mai 2016 erfolgte die Veröffentlichung der DS-GVO im Amtsblatt der Europäischen Union. Sie tritt 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am 25.05.2018 für Unternehmen und Behörden verpflichtend. Der Zeitraum bis zum Wirksamwerden wirkt auf den ersten Blick sehr lang. Der Arbeitsaufwand sollte in Unternehmen und Behörden aufgrund der Vielzahl der neuen Anforderungen nicht unterschätzt werden, um die Prozesse der Datenverarbeitung den neuen Regelungen anzupassen.

Hatte das BDSG 48 Paragraphen, so kommt, die EU-Datenschutz-Grundverordnung mit 99 Artikeln und 173 Erwägungsgründen daher und ist damit deutlich umfangreicher als das Bundesdatenschutzgesetz. Die Verordnung, die zum Teil auch Richtliniencharakter hat, enthält eine Reihe von Öffnungsklauseln, die der nationale Gesetzgeber auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszufüllen hat, das gibt ihm aber auch die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. Die Herausforderung besteht  darin, dass dem Gesetzgeber ein relativ kurz bemessener Zeitraum zur Verfügung steht, die entsprechenden Gesetzgebungsverfahren durchzubringen. Durch die im Herbst 2017 stattfindende Bundestagswahl wird das gerade in der Bundesrepublik zu einer großen Herausforderung.

Es lassen sich folgende Prinzipien unterscheiden:

  • Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 a, 1. Fall),
  • Grundsatz der Fairness (Art. 5 Abs. 1 a, 2. Fall),
  • Grundsatz der Transparenz (Art. 5 Abs. 1 a, 3. Fall),
  • Grundsatz der Zweckbindung (Art. 5 Abs. 1 b),
  • Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 c),
  • Grundsatz der sachlichen Richtigkeit (Art. 5 Abs. 1 d),
  • Grundsatz der begrenzten Speicherung (Art. 5 Abs. 1 e),
  • Grundsatz der Datensicherheit, Integrität und Vertraulichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der Verantwortlichkeit (Art. 5 Abs. 1 f),
  • Grundsatz der datenschutzfreundlichen Technikgestaltung (Art. 25 Abs. 1),
  • Grundsatz der datenschutzfreundlichen Voreinstellung (Art.25 Abs. 2).

Was sind die wesentlichen Änderungen?

Einwilligung & Auskunftsrecht: Die Einwilligung bleibt wesentlicher Erlaubnistatbestand für die Datenverarbeitung und ihre Wirksamkeit wird weiterhin an strenge Voraussetzungen geknüpft, die zum Teil über die bisherigen Anforderungen hinausgehen.

 Der Einwilligende muss über Identität des Verantwortlichen und möglicher Empfänger, Art, Umfang und Zweck der Datenverarbeitung sowie das jederzeitige Widerrufsrecht informiert werden.

Das BDSG sah für die Einwilligung die Schriftform vor. Eine andere Form war wegen besonderer Umstände jedoch möglich (§ 4 a BDSG), wie z.B. im Onlinebereich mittels Mausklick.

Eine besondere Form der Einwilligung ist in der DSGVO nicht mehr vorgesehen. Die Einwilligung kann nunmehr mündlich, per Mausklick, mittels schlüssigen Verhaltens oder technischer Einstellungen am Browser erteilt werden.

Datenübertragbarkeit: Neu ist das Recht auf Datenübertragbarkeit gemäß Art. 20. Des Betroffenen erhält dadurch das Recht zur ungehinderten und uneingeschränkten Übermittlung seiner erhobenen personenbezogenen Daten durch den Verantwortlichen.

Die Datenübertragung hat in einer strukturierten, gängigen und maschinenlesbaren Form zu erfolgen.

Recht auf Vergessenwerden: Seit einem Urteil des Europäischen Gerichtshofs muss Google auf Verlangen von Nutzer*innen Suchergebnisse, welche auf sie bezogene Daten beinhalten, löschen. Dieses Recht wird nun für alle Unternehmen festgeschrieben. Sie müssen zukünftig persönliche Daten auf Wunsch der Betroffenen löschen.

Deutlich erhöhter Bußgeldrahmen: Verstöße gegen die Datenschutzregel, können mit bis zu vier Prozent des Jahresumsatzes eines Unternehmens geahnet werden. In einem früheren Entwurf war sogar ein Bußgeld von bis zu fünf Prozent des Jahresumsatzes als Strafe vorgesehen.

Mindestalter: Die Grundverordnung läßt den Mitgliedstaaten einen Entscheidungsspielraum,  ab wann sich Kinder und Jugendliche ohne Zustimmung der Eltern bei Webseiten rechtswirksam anmelden dürfen. Das könnte dazu führen, dass sich in einigen EU-Staaten Kinder bereits ab 13 Jahren beispielsweise bei Facebook anmelden dürfen, während in anderen EU-Ländern noch bis zum 16. Geburtstag die Zustimmung der Eltern dafür benötigt wird.

Marktortprinzip: Das Datenschutzrecht gilt nun für alle Unternehmen, die auf dem europäischen Markt tätig sind, unabhängig davon ob sie ihren Sitz innerhalb der EU haben oder nicht. Wo die Datenverarbeitung stattfindet, ist auch unerheblich, da jede Verarbeitung von personenbezogenen Daten von Nutzerinnen bzw. Nutzern aus der EU unter den Anwendungsbereich der Grundverordnung fällt.

Privacy by Design – Privacy by Default

Art. 25 schreibt „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor. Unternehmen sollen bereits bei der technischen Produktentwicklung bzw. bei der Produktimplementierung datenschutzfreundliche Grundeinstellungen achten.

EuGH: Safe-Harbor-Entscheidung mit den USA ungültig

Der EuGH folgte in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook] – Volltext) in seiner Entscheidung vom 6.10.2015 den Schlussanträgen (siehe Beitrag auf dieser Website) des Generalanwalts Bot. Demnach ist die Übermittlung von personenbezogenen Daten von Nutzern in Europa in die USA nicht schon auf Grundlage der sog. Safe-Harbor-Entscheidung (2000/520/EG v. 26.7.2000) durch ein „angemessenes Schutzniveau“ geschützt. Die Safe-Harbor-Entscheidung der EU-Kommission ist vielmehr ungültig, und die Datenschutzbehörden der befassten Mitgliedsstaaten sind befugt eigenständig zu prüfen, inwiefern für die USA ein sog. „angemessenes Schutzniveau“ besteht.

Inhalt des Urteils

Die Richtlinie 95/46/EG (Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281, S. 31 ff) regelt, dass eine Übermittlung von personenbezogenen Daten in ein sog. Drittland (ein Staat außerhalb von EU/EWR) nur zulässig ist, wenn dieses Drittland ein „angemessenes“ Schutzniveau der Daten gewährleistet. Nach der Richtlinie ist die Kommission legitimiert zu bestimmen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, etwa aufgrund des innerstaatlichen Rechts oder internationaler Verpflichtungen. Letztere ist die sog. Safe-Harbor-Entscheidung (näher: Beitrag auf dieser Website).

Der EuGH führt in dem Urteil vom 6.10.2015 aus, dass eine Aufsichtsbehörde aufgrund der Vermutung der Rechtmäßigkeit von Rechtsakten solange keine zuwiderlaufende Maßnahme gegen die Safe-Harbor-Entscheidung treffen könne, wie die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt werde. Aus diesem Grunde „ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese […] um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Denn der Aufsichtsbehörde müsse – trotz einer Entscheidung der Kommission – die Möglichkeit bleiben, in völliger Unabhängigkeit prüfen zu können, ob bei der Übermittlung von Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Daher könne eine Entscheidung der Kommission (hier: Safe-Harbor-Entscheidung), die Aufsichtsbehörde nicht an der Kontrolle der Übermittlung personenbezogener Daten in Drittländer hindern.

Sodann prüft der EuGH die Gültigkeit der Safe-Harbor-Entscheidung und erklärt diese für ungültig. Er beanstandet u.a., dass die Safe-Harbor-Entscheidung nur für Unternehmen mit Sitz in den USA gelte, nicht aber für die Behörden innerhalb der USA. Darüber hinaus werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung eingeräumt, weshalb die Unternehmen in den USA „ohne jede Einschränkung verpflichtet [sind], die Grundsätze […] unangewandt zu lassen“, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Dadurch werde ein Eingriff der US Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermöglicht. Hinzu komme das fehlende Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe.

Schließlich fehle die Möglichkeit des Betroffenen mittels gerichtlichen Rechtsbehelfen den Zugang zu den ihn betreffenden Daten zu erhalten und ggf. deren Berichtigung oder Löschung zu erwirken, was den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletze.
Die Entscheidung trifft die Meinung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.3.2015, die gemäß ihrer Entschließung ebenfalls auf dem Standpunkt steht, dass Safe-Harbor kein angemessenes Schutzniveau gewährleistet.

Folgen des Urteils

Die irische Datenschutzbehörde muss nun die Beschwerde von Herrn Schrems prüfen, was sie im Prüfungsverfahren abgelehnt hatte. Stellt sie fest, dass die USA kein angemessenes Schutzniveau im Sinne der Richtlinie aufweist, hat sie die Übermittlung der personenbezogenen Daten der europäischen Nutzer des Social-Media-Anbieters Facebook in die USA auszusetzen. Denkbar ist aber auch, dass die irische Datenschutzbehörde ein angemessenes Schutzniveau feststellt, was Herrn Schrems wahrscheinlich dazu bewegen wird, das Verfahren weiter zu betreiben und erneut den High Court anzurufen, sofern eine beschwerdefähige Entscheidung ergeht.

Aus alledem folgt, dass nationale Aufsichtsbehörden innerhalb der EU die Übermittlung europäischer Daten auf US-Server verbieten können. Das Urteil wirkt sich nicht nur auf personenbezogene Daten der Facebook-Nutzer aus, sondern betrifft sämtliche der mehr als 4.000 Unternehmen mit Sitz in den USA, die sich dem Safe-Harbor-Abkommen im Wege einer Selbstzertifizierung unterworfen haben. Dies führt dazu, dass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss, sofern nicht im Einzelfall unter Nutzung der EU Model Contracts vorgegangen wird. Die einzuhaltenden Grundsätze hat der EuGH in seinem Urteil skizziert. Das Urteil trifft vor allem kleinere Unternehmen, die sich bislang auf die Safe-Harbor-Entscheidung verlassen haben. Unternehmen müssen nun die Zulässigkeit der Datenübermittlung prüfen und auf andere Weise sicherstellen.

 

Generalanwalt EuGH: Safe-Harbor steht nicht über der Entscheidungsbefugnis nationaler Aufsichtsbehörden

In seinem Schlussantrag in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook], veröffentlicht am 23.09.2015 – Volltext) äußert der Generalanwalt am EuGH, Yves Bot, die Auffassung, dass die sog. Safe-Harbor-Entscheidung der EU-Kommission (2000/520/EG, ABl. L 215/7 v. 25.8.2000 – Volltext) nicht dem Vorhaben der irischen Aufsichtsbehörde entgegenstehe, die Übermittlung von Daten europäischer Facebook-Nutzer an Server in den Vereinigten Staaten verbieten zu können.

Hintergrund

Facebook als amerikanischer Social-Media-Anbieter unterhält in Irland eine Tochtergesellschaft und übermittelt von dort die Daten der Nutzer mit Wohnsitz in der EU an in den USA belegene Server. Die Richtlinie (95/46/EG – Volltext) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlaubt die Übermittlung von personenbezogenen Daten in ein Drittland (also Länder außerhalb der EU/EWR) nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Drittstaaten mit angemessenem Schutzniveau können entweder als solche festgestellt werden oder auf vertraglicher Grundlage als solche gelten. Hierauf bezog sich, soweit die USA betroffen waren, die o. a. Safe-Harbor-Entscheidung der Europäischen Kommission. Unternehmen in den USA, die der Zuständigkeit der Federal Trade Commission unterliegen, können in dem Safe-Harbor-Verfahren eine Selbstverpflichtung zur Einhaltung der in dem Abkommen niedergelegten Grundsätze erklären. Diesen Grundsätzen hatte sich das Unternehmen Facebook unterworfen, sodass der Datenaustausch nach Auffassung der zuständigen irischen Aufsichtsbehörde nicht zu beanstanden sei.

Im Zusammenhang mit dem Vorgehen des Österreichers Maximilian Schrems gegen Facebook legte der irische High-Court dem EuGH im Wege des Vorabentscheidungsersuchens die Frage vor, ob das Safe-Harbor-Verfahren eine nationale Aufsichtsbehörde daran hindere, eine Beschwerde zu untersuchen, die darauf abzielt, dass das Drittland kein angemessenes Schutzniveau gewährleiste.

Schlussantrag des Generalanwalts

Der Generalanwalt vertritt in den Schlussanträgen im Wesentlichen die Auffassung, dass die Europäische Kommission die USA nicht hätte als Safe-Harbor qualifizieren dürfen und hält dieses somit für ungültig. Er begründet seine Auffassung unter anderem mit der in den USA gelebten Praxis, personenbezogene Daten in großem Umfang zu sammeln, ohne dass Unionsbürger über einen wirksamen Rechtsschutz verfügen. Dies gelte insbesondere aufgrund der massiven und wahllosen Überwachung in den USA durch Nachrichtendienste und dem fehlenden Rechtsbehelf europäischer Bürger, was letztlich zu einem Verstoß gegen den Grundsatz der Verhältnismäßigkeit führe.

Auch stehe das Safe-Harbor-Verfahren nicht über der Entscheidungsbefugnis von nationalen Aufsichtsbehörden. Ihnen müssen als unabhängige Instanzen die Befugnis bleiben, feststellen zu können, dass kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet sei und gegebenenfalls die Übertragung dieser Daten auszusetzen.

Folgen des Schlussantrags

Folgt der EuGH den Schlussanträgen des Generalanwalts, so wie er dies meist tut, sind die Auswirkungen nicht nur für Facebook spürbar, sondern wirkt sich auf sämtliche mehr als 4.000 Unternehmen mit Sitz in den USA aus, die sich dem Safe-Harbor-Abkommen unterworfen haben. Ihnen ist dann die Rechtsgrundlage der Übermittlung personenbezogener Daten in die USA entzogen, sodass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss. Bis ein solches umgesetzt ist, können die Betroffenen ggf. den Weg über die sog. EU-Standardvertragsklauseln oder Binding-Corporate-Rules (BCR) gehen.

Update: Den Beitrag zum Urteil des EuGH finden Sie auf dieser Website.

 

BAG zur datenschutzrechtlichen Einwilligung eines Arbeitnehmers

Das Bundesarbeitsgericht (BAG) hatte sich in seinem Urteil vom 11.12.2014 (Az. 8 AZR 1010/13 – Volltext) mit der Bildnisveröffentlichung von Arbeitnehmern auf der Website des Unternehmens zu beschäftigen. In diesem Urteil ist das BAG auch auf die grundlegende Frage eingegangen, ob die datenschutzrechtliche Einwilligung eines Betroffenen in Arbeitsverhältnissen wirksam ist.

Hintergrund

Das Bundesdatenschutzgesetz (BDSG) enthält den Grundsatz des Verbots mit Erlaubnisvorbehalt. Hiernach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Dazu bestimmt § 4a Abs. 1 BDSG die Voraussetzungen an eine wirksame Einwilligung, welche kumulativ vorliegen müssen. Erforderlich für eine wirksame Einwilligung ist demnach die freie Entscheidung des Betroffenen, der Hinweis auf den vorgesehenen Zweck der Verwendung sowie auf die Folgen der Verweigerung der Einwilligung. Im Übrigen bedarf die Erklärung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Die Wirksamkeit der Einwilligung eines Beschäftigten gegenüber seinem Arbeitnehmer ist in der Literatur Gegenstand lebhafter Diskussionen, ohne jedoch ein abschließendes Ergebnis zu vermitteln. Die Uneinigkeit fokussiert sich vor allem auf die Frage, ob es im Arbeitsverhältnis überhaupt eine „freie Entscheidung” geben kann. Auch die Aufsichtsbehörden argumentierten dahingehend, dass die Einwilligung im Arbeitsverhältnis grundsätzlich nicht freiwillig erfolgen könne und damit unwirksam sei. Die Freiwilligkeit sei deshalb zu verneinen, da die Einwilligung unter Ausnutzung einer wirtschaftlichen Machtposition gefordert wird, sich der unterlegene also zur Abgabe der Einwilligung genötigt sieht. Dies sei regelmäßig in einem Abhängigkeitsverhältnis wie zwischen dem Arbeitgeber und dem Beschäftigten der Fall.

Urteil des BAG

Dem stellt sich das BAG in seinem Urteil entgegen und betont, dass auch im Rahmen von Arbeitsverhältnissen der Arbeitnehmer freie Entscheidungen treffen könne und er sich mit Eingehung eines Arbeitsverhältnisses und der Eingliederung in den Betrieb nicht seiner Grund- und Persönlichkeitsrechte begebe. Dies gelte – so das BAG – vor allem deshalb, weil in Arbeitsverhältnissen unter bestimmten Umständen eine Datenverarbeitung selbst ohne Vorliegen einer Einwilligung des Arbeitnehmers möglich sei und verweist hierzu auf den gesetzlichen Erlaubnistatbestand des § 32 BDSG.

Folgen des Urteils

Das BAG spricht in seinem Urteil nicht von „Beschäftigten“ i.S.d. § 3 Abs. 1 BDSG, sondern nur einem diesem Begriff unterfallenden Teil von Personen, nämlich  „Arbeitnehmer“ nach § 3 Abs. 11 Nr. 1 BDSG. Nichts gesagt ist durch das Urteil deshalb darüber, ob sich der Arbeitgeber auch die Einwilligung von anderen Personen, die unter den Beschäftigtenbegriff fallen, einholen kann. Diese Frage wird vor allem dann relevant, wenn es um „Bewerberinnen und Bewerber“ i.S.d. § 3 Abs. 11 Nr. 9 BDSG geht, könnte der Arbeitgeber doch den zulässigen und eng gesteckten Rahmen seines Fragerechts durch Einholung einer Einwilligung erweitern und umgehen.

Für die bewusste Differenzierung zwischen Arbeitnehmern und den übrigen als „Beschäftigte“ bezeichneten Personen durch das BAG, streitet schließlich auch sein Wortlaut, der auf ein bestehendes Arbeitsverhältnis hindeutet („Eingehung eines Arbeitsverhältnisses und die Eingliederung in den Betrieb“).

Auch und gerade bei der Verarbeitung besonders sensibler Daten i.S.d. § 3 Abs. 9 BDSG wird man deshalb nicht die Prüfung der “Freiwilligkeit” im jeweiligen Einzelfall vernachlässigen können. Dies gilt allein schon wegen der formalen und inhaltlichen Anforderungen, die das Gesetz an die wirksame Einwilligung stellt.

Leitlinien zur Vorratsdatenspeicherung

Nachdem das Bundesverfassungsgericht (BVerfG) am 02.03.2010 und der Europäische Gerichtshof (EuGH) am 08.04.2014 (siehe unseren Beitrag) die Vorratsdatenspeicherung für unzulässig erklärten, weil die massenhafte und anlasslose Speicherung von Verbindungsdaten gegen die Grundrechte der Betroffenen verstößt, wurden am 15.04.2015 die Leitlinien eines Gesetzes zur „zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten“ bekannt gegeben (Volltext der Leitlinien).

Sowohl das BVerfG als auch der EuGH machten in ihren Urteilen deutlich, dass eine Vorratsdatenspeicherung nicht von Vornherein ausgeschlossen sei; sie müsse hinsichtlich des Verfahrens aber an strengere Voraussetzungen geknüpft werden.

Um den durch die Urteile aufgestellten Grundsätzen zu genügen, sehen die Leitlinien zum Schutz der Grundrechte der Betroffenen folgende – im Vergleich zum Gesetz von 2008 – verschärfte Bestimmungen vor:

  • Schutz von Berufsgeheimnisträgern beim Abruf der Daten durch Verwendungs- und Verwertungsverbote (insb. Seelsorger, Rechtsanwälte, Ärzte, Apotheker)
  • Datenabruf nur bei schwersten Straftaten (präzisiert in Anl. 2 „Straftatenkatalog“ – insb. Terrorbekämpfung, Straftaten gegen höchstpersönliche Rechtsgüter)
  • Richtervorbehalt mit Verhältnismäßigkeitsprüfung (ohne Eilkompetenz der Staatsanwaltschaft)
  • Transparenz und Rechtsschutzmöglichkeiten des Betroffenen (grds. vorherige Benachrichtigungspflicht)
  • Hohe Anforderungen an den Datenschutz- und Datensicherheit bei den TK-Anbietern (Sicherheit nach dem Stand der Technik)
  • Löschungsverpflichtung nach Ablauf der Höchstspeicherfrist (Standortdaten nach 4 Wochen; Verkehrsdaten nach 10 Wochen)

Die in den Leitlinien dargestellten Anforderungen an die Vorratsdatenspeicherung bedeuten einen geringeren Eingriff in die Persönlichkeitsrechte der Betroffenen. Auffällig ist dabei, dass weniger Daten für einen kürzeren Zeitraum gespeichert werden. Dennoch brechen die Leitlinien den betonten strengen Schutz der Betroffenen partiell auf, zum Beispiel dann, wenn die Länder die Möglichkeit erhalten sollen, den Abruf von Verkehrsdaten in ihren Polizeigesetzen zu regeln. Nichtsdestotrotz wird wohl ohnehin noch einige Zeit vergehen bis der Gesetzesentwurf vorliegt, das Gesetz schließlich verabschiedet wird und es zur Anwendung durch Behörden und Gerichte kommt.

OVG Lüneburg: Überwachungskamera in privaten Bürogebäude ist zulässig

In seinem Urteil vom 29.9.2014 (Az. 11 LC 114/13 – Volltext hier abrufbar) hatte sich das Oberverwaltungsgericht (OVG) Lüneburg mit der datenschutzrechtlichen Zulässigkeit von Überwachungskameras in einem privaten Bürogebäude zu befassen.

Inhalt der Entscheidung

Hintergrund der Entscheidung war, dass sich in einem Gebäude mehrere vermietete Büros von Rechtsanwälten, Steuerberatern, Wirtschaftsprüfern sowie anderen Unternehmen befinden. Nachdem es dort zu Diebstählen von zwei Notebooks sowie mehreren Fällen von Graffiti-Vandalismus an der Außenwand gekommen ist, installierte die Eigentümerin und Verwalterin des Bürogebäudes dort insgesamt zehn Videokameras an verschiedenen Stellen im Inneren des Gebäudes. Hiergegen wendete sich der Landesbeauftragte für Datenschutz Niedersachsen. Dazu führte er aus, dass die Anlage gegen § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) verstoße, da weder eine Einwilligung der Betroffenen noch die Voraussetzungen des § 6b BDSG gegeben seien und untersagte den weiteren Betrieb. Hiergegen hat die Klägerin Klage erhoben.

Zuerst prüfte das OVG Lüneburg die Anwendbarkeit des BDSG. Es stellte fest, dass Fotos und Videoaufnahmen im Rahmen einer Videoüberwachung personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG sind, da der Zweck der Videoüberwachung gerade darin bestehe, die auf den Bildern festgehaltenen Personen zu identifizieren, wenn dies für erforderlich gehalten werde.

  1. Bewertung nach dem BDSG

Nach § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur dann zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt, anordnet oder der Betroffene eingewilligt hat. Eine wirksame Einwilligung muss den Anforderungen des § 4a Abs. 1 BDSG genügen. Allein durch das Betreten des Gebäudes könne trotz Hinweisschilder jedoch noch nicht eine konkludente Einwilligung angenommen werden.

  1. Rechtfertigung 

Eine Rechtfertigung könne sich aber aus der gesetzlichen Norm des § 6b BDSG ergeben. Danach ist die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) unter den dort genannten Voraussetzungen zulässig. Die Videoüberwachung stelle schon deshalb ein „Beobachten“ in diesem Sinne dar, weil unter dem Merkmal die Sichtbarmachung von Geschehnissen und Personen mit Hilfe dazu geeigneter technischer Einrichtungen von einer gewissen Dauer zu verstehen sei. Da im vorliegenden Fall die Bildaufzeichnungen für einen bestimmten Zeitraum gespeichert werden, um die Möglichkeit der anlassbezogenen nachträglichen Inaugenscheinnahme der gespeicherten Videoaufnahmen zu gewährleisten, liege ein Beobachten in diesem Sinne unzweifelhaft vor.

Sodann prüft das Gericht, ob es sich bei dem Bürogebäude um einen öffentlich zugänglichen Raum handelt und bejaht dies im Ergebnis, da Zweck der Räumlichkeiten derjenige sei, dass sie durch Beschäftigte, Kunden und Zulieferer betreten werden. Daher seien alle Räume, die von der Videoüberwachung betroffen seien, als öffentlich zugänglicher Raum zu betrachten.

a)      Rechtfertigungstatbestände des § 6b Abs. 1 BDSG

Eine Rechtfertigung lässt sich aus § 6b Abs. 1 Nr. 2 BDSG herleiten, soweit die Videoüberwachung zur Wahrnehmung des Hausrechts erforderlich ist. Das Hausrecht beinhaltet die Befugnis, darüber zu entscheiden, wer ein Gebäude betreten und darin verweilen darf. Als Eigentümerin und Verwalterin des Gebäudes habe die Klägerin ein Interesse daran, ihr Eigentum zu schützen und den nicht berechtigten Personenkreis vom Betreten des Gebäudes fernzuhalten, damit auch die Mieter der Büroräume nicht zu Schaden kommen.

Zusätzlich könne sich die Klägerin auf den Zulässigkeitstatbestand der Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke berufen (§ 6b Abs. 1 Nr. 3 BDSG). Darunter sind neben rechtlichen auch alle tatsächlichen Interessen, welches auch wirtschaftlicher oder ideeller Art sein können, erfasst. Der Einsatz von Videotechnik zum Zwecke der Gefahrenabwehr sei regelmäßig von der Wahrnehmung berechtigter Interessen gerechtfertigt.

b)      Erforderlichkeit

Schließlich sei die Videoüberwachung und Speicherung über einen Zeitraum von zehn Tagen auch erforderlich, da sie zur Abschreckung von Störern und Straftätern geeignet und keine gleich wirksamen Mittel (insb. Einsatz von Wachpersonal) erkennbar seien. Dem stünden, insbesondere auch aufgrund der Ausgestaltung der Maßnahmen und dem damit einhergehenden geringen Eingriff in die Intimsphäre der Betroffenen, keine Anhaltspunkte für das Überwiegen schutzwürdiger Interessen der Betroffenen entgegen.

Im Ergebnis liegen die Voraussetzungen des § 6b BDSG insgesamt vor, sodass die Videoüberwachung des Bürogebäudes im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt.

Auswirkungen für die Praxis

Das OVG Lüneburg prüft in seinem Urteil in ausführlicher Weise die Voraussetzungen an eine wirksame Installation von Überwachungskameras in einem öffentlich zugänglichen Bürogebäude und zeigt zugleich, welche Kriterien die Abwägungsentscheidungen beeinflussen können.

Das Gesetz bestimmt, dass die Daten unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen (§ 6b Abs. 5 BDSG). Findet eine Videoüberwachung mit Speicherung etwa zum Schutz gegen Diebstahl statt, so entfällt dieser Zweck, wenn sich nach Prüfung der Aufzeichnungen ergibt, dass es hierfür keine Anhaltspunkte gibt.

Das Gericht gibt mit seinem Urteil dem Anwender eine konkrete „zeitliche Grenze“ an die Hand, wonach eine Frist von bis zu zehn Wochentagen noch als unverzüglich im Sinne des § 6b Abs. 5 BDSG zu betrachten ist. Grundsätzlich wird man die im Urteil genannten Grundsätze auch auf die Räumlichkeiten anderer Berufsgruppen mit Publikumsverkehr (Arztpraxen, Tierärzte usw.) ausweiten können, muss allerdings dortige Besonderheiten im Datenschutzrecht bei der Interessensabwägung zwingend beachten.

Siehe auch: Urteil VG Ansbach zur sog. Dash-Cam

§ 28 Abs. 3 BDSG ist Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG

Das OLG Köln hatte sich in seinem Urteil vom 17.1.2014 (Az. 6 U 167/13 – Volltext) insbesondere mit der datenschutzrechtlichen Zulässigkeit über die Verwendung von personenbezogenen Daten zu befassen, die ein Rechtsanwalt zur Mandatsgewinnung verwendet hat, die Kontaktdaten der angesprochenen potentiellen Mandate jedoch im Rahmen eines anderen Mandatsverhältnis erlangte.

Inhalt der Entscheidung

Der Antragsgegner, eine auf „Kapitalanlegerschutz“ spezialisierte Kanzlei, verschickte an Kapitalanleger eines Immobilienfonds ein Anschreiben. Darin wurde auf die kritische Lage des Fonds aufmerksam gemacht, verbunden mit der Bitte, einer Schutzgemeinschaft zur besseren Koordinierung der künftigen Entwicklungen beizutreten. In diesem Anschreiben wurde der Anleger auf einen Internetauftritt verwiesen, welcher die Spezialisierung der Kanzlei auf das Bank- und Kapitalmarktrecht besonders darstellt. Die personenbezogenen Daten der Empfänger des Schreibens erlangte der Antragsgegener im Zusammenhang mit einem gerichtlich durchgesetzten Auskunftsanspruchs bei der Vertretung rechtlicher Interessen eines Mitanlegers.

Hierin sah der Antragsteller insbesondere eine datenschutzrechtlich unzulässige Verwendung der Kontaktdaten der Anleger und machte einen Unterlassungsanspruch geltend, gegen den sich der Antragsgegner erfolgslos wehrte. Ein Unterlassungsanspruch kann insbesondere daraus hergeleitet werden, dass der Antragsgegner einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, vgl. § 4 Nr. 11 Gesetz gegen den unlauteren Wettbewerb (UWG).

a)      § 28 Abs. 3 BDSG als Marktverhaltensregelung

Hier knüpft das OLG Köln an und führt dazu aus, dass § 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) deshalb als Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG anzusehen sei, weil das BDSG nur eingeschränkte Erlaubnistatbestände für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten vorsehe. Soweit sich ein Marktteilnehmer auf einen solchen Erlaubnistatbestand berufe, um diese Erlaubnis für eigene Werbung zu nutzen, bezwecken die Grenzen, die das BDSG einem solchen Marktverhalten setzt, den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer.

b)      Verstoß gegen § 28 Abs. 3 BDSG

Einen Verstoß gegen § 28 Abs. 3 BDSG leitet das OLG Köln daraus her, dass es in dem Schreiben an die Anleger eine „Werbung“ erkennt. Definiert wird der Begriff im BDSG nicht, lässt sich mit Rückgriff auf eine europäische Richtlinie aber als „jede Äußerung bei der Ausübung eines […] freien Berufs mit dem Ziel, […] die Erbringung von Dienstleistungen […] zu fördern“, begreifen, weshalb dieser allgemein weit und umfassend verstanden wird. Das Anschreiben einschließlich des vorbereiteten und beigefügten Antwortscheins („Möchten Sie von der Schutzgemeinschaft berate / vertreten werden?“), subsumiert das Gericht vor diesem Hintergrund unter den Begriff der Werbung. Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung ist jedoch gemäß § 28 Abs. 3 S. 1 BDSG nur dann zulässig, wenn der Betroffene eingewilligt hat, woran es in dem Sachverhalt ermangelt. Die Verwendung der erlangten Daten ist somit zur Werbung um konkrete Mandate unzulässig.

Der Rückgriff auf andere Erlaubnistatbestände zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten (z.B. § 28 Abs. 1 S. 1 BDSG) ist nach herrschender Meinung, deren sich das Gericht schließlich angeschlossen hat, deshalb ausgeschlossen, weil § 28 Abs. 3 BDSG eine abschließende Spezialregelung für die Nutzung personenbezogener Daten für die Werbung darstellt.

Auswirkungen auf die Praxis

Die Mandatswerbung stellt für eine Kanzlei, die – wie jedes Unternehmen auch – auf die wirtschaftliche Optimierung ausgerichtet ist, einen wichtigen Bestandteil dar. Hierzu macht § 43b Bundesrechtsanwaltsordnung (BRAO) bereits spezielle Vorgaben. Wie das OLG Köln in seinem Urteil festgestellt hat, treten daneben auch das UWG sowie das BDSG einschränkend hinzu. Die schwierige Abgrenzung einer legitimen Kontaktaufnahme mit weiteren Anlegern, bei der unzweifelhaft auch ein Werbeeffekt des Rechtsanwalts hervorgerufen wird und der hierüber hinausgehenden Werbung erfordert eine sorgfältige Prüfung über die Zulässigkeit einer Kontaktaufnahme im Einzelfall. Das gilt nicht nur für den hier dargestellten Fall, sondern immer dann, wenn Daten außerhalb ihres ursprünglichen Zwecks verwendet werden sollen. Dem Rechtsanwalt, welcher aus einem bestehenden Mandatsverhältnisse Kenntnis über mögliche Gruppen potentieller neuer Mandanten erlangt, wird die Kontaktaufnahme zur Akquise aus datenschutzrechlichen Gründen dadurch jedenfalls verwehrt.

LG Berlin: WhatsApp muss Datenschutzerklärung den Nutzern in deutscher Sprache zur Verfügung stellen

Mit Versäumnisurteil vom 9.5.2014 (Az. 15 O 44/13 – Volltext abrufbar über vzbv) entschied das LG Berlin nach einer Klage durch den Verbraucherzentrale Bundesverband (vzbv), dass WhatsApp, ein Messenger-Anbieter, der ermöglicht, Nachrichten zwischen Smartphones in Echtzeit zu versenden, seine Datenschutzerklärung dem Nutzer auf deutsch zur Verfügung stellen muss. Daneben rügte das Gericht die unzureichenden Angaben, die der Messenger-Anbieter auf seiner Internetseite verfügbar hält.

Inhalt der Entscheidung

Englischsprachige Datenschutzerklärung

Der vzbv beanstandete die Website der Beklagten, da die unter dem Link „Datenschutz & AGB“ enthaltenen Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzerklärung nur in englischer Sprache abgefasst worden seien, obwohl ansonsten der Kunde auf der Internetseite in deutscher Sprache angesprochen werde. Nachdem der Kläger zwei erfolglos gebliebene Abmahnungen aussprach, erhob er hierauf Klage vor dem zuständigen LG Berlin.

Das Gericht folgte der Auffassung des Klägers. Denn lediglich durch die Bereitstellung der in den AGB enthaltenen Datenschutzhinweisen enthaltenen Informationen in englischer Sprache kann nicht davon ausgegangen werden, dass die in Deutschland angesprochenen Kunden hinreichende Kenntnis vom Inhalt erlangen können.

Impressumspflicht

Daneben liegt nach Auffassung des LG Berlin auch ein Verstoß gegen die Impressumspflicht aus § 5 Abs. 1 TMG vor. Danach hat der Dienstanbieter die in der Vorschrift näher bestimmten Informationspflichten verfügbar zu machen. Diese dienen in erster Linie dazu, dass der Nutzer im Falle von Beschwerden auf einfache Möglichkeit mit dem Unternehmen in Kontakt treten kann. Um dies zu gewährleisten, nennt der Gesetzgeber Mindestangaben, die der Dienstanbieter zur Verfügung stellen muss. Auf der Internetseite von WhatsApp fehlen jedoch insbesondere die Postanschrift sowie ein zweiter Kommunikationsweg neben der E-Mail-Adresse.

Auswirkungen

Aus verbraucherrechtlicher Sicht ist das Urteil des LG Berlin begrüßenswert, sind doch auch AGB im grenzüberschreitenden Rechtsverkehr mit dem Verbraucher auf Deutsch abzufassen, wenn sich das Angebot (auch) an Kunden in Deutschland richtet.

Im vorliegenden Urteil war die Datenschutzerklärung jedenfalls den AGB zugeordnet. Bereits zuvor vertrat das LG Berlin Auffassung, dass bei einer Einbindung der Datenschutzbestimmungen in den Vertrag, diese als AGB der Inhaltskontrolle nach § 307ff. BGB unterfallen (siehe den Beitrag auf dieser Webseite).

Gleichwohl beansprucht das Urteil auch dann Geltung, wenn die Datenschutzhinweise eigenständig zu betrachten sind. Denn Rechtsgrundlage für die als Datenschutzerklärung bezeichnete Unterrichtung ist § 13 Abs. 1 TMG. Danach muss der Dienstanbieter in „allgemein verständlicher Form“ unterrichten, also die tatsächliche Verständlichkeit für den Durchschnittsnutzer gewährleisten. Wie das Gericht in seinem Urteil richtigerweise ausführt, kann grundsätzlich nicht von vornherein erwartet werden, dass Kunden in Deutschland als Empfänger einer Erklärung in englischer (Rechts-) Sprache diese ohne Weiteres verstehen werden.

Richtet ein Unternehmen mit Sitz im Ausland seine Waren oder Dienstleistungen an Kunden in Deutschland, sollte daher genau geprüft werden, ob der Dienstanbieter davon ausgehen kann, dass der Nutzer die Informationen versteht. Dies gilt umso mehr, wenn diese in den AGB enthalten sind, da andernfalls keine wirksame Einbeziehung in den Vertrag vorliegt.

Neben Google, Apple (jeweils Beiträge auf dieser Seite) und Facebook reiht sich nun WhatsApp zu den US-amerikanischen Unternehmen ein, welche allesamt nach einer Klage durch den vzbv vom LG Berlin aufgrund Fehler in den Datenschutz- oder Nutzungsbedingungen verurteilt wurden. Wird das Urteil rechtskräftig, muss WhatsApp insbesondere eine deutschsprachige Datenschutzerklärung verwenden sowie ein vollständiges Impressum bereithalten.

Hält sich WhatsApp nach Rechtskraft nicht an das Urteil, droht ein Ordnungsgeld. Gleichzeitig dürfte sich die kürzlich geführte Diskussion über die Reichweite der durch WhatsApp eingeräumten Nutzungsrechte hinsichtlich von versendeten Bildern zugunsten der Nutzer auflösen.