Voreinstellungen von StayFriends.de sind datenschutzwidrig
Leitsatz
Voreinstellungen von StayFriends.de sind datenschutzwidrig
Tenor
In dem Rechtsstreit (...) erlässt das Landgericht Nürnberg-Fürth - 7. Zivilkammer - durch (...) am 17.04.2018 aufgrund des Sachstands vom 09.03.2018 ohne mündliche Verhandlung mit Zustimmung der Parteien gemäß § 128 Abs. 2 ZPO folgendes Endurteil:
1. Die Beklagte wird verurteilt, es bei Vermeidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000 €, ersatzweise Ordnungshaft bis zu 6 Monaten oder Ordnungshaft bis zu 6 Monaten, diese zu vollstrecken an den Geschäftsführern der Beklagten, zu unterlassen, im Rahmen geschäftlicher Handlungen bei der Anmeldung auf der Seite stayfriends.de unter Profileinstellungen die Einwilligungen zur Veröffentlichung der personenbezogenen Nutzerinhalte außerhalb von stayfriends.de voreinzustellen, wenn dies geschieht wie folgt:
"Ich möchte gefunden werden (...)
von Personen, die nicht bei StayFriends sind
- bei Portalen mit Ehernaligenverzeichnissen
- bei öffentlichen Suchmaschfnen (z.B. Google)
- bei Ehemaligenseiten meiner Schule
Profilbild Wir zeigen Ihr Profilbild außerhalb von StayFriends und Sie können mit diesem Profilbild bei Suchmaschinen, wie z.B. Google, gefunden werden."
2. Die Beklagte wird verurteilt, an den Kläger 214,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit 29.11.2017 zu bezahlen.
3. Die Beklagte hat die Kosten des Rechtsstreits zu tragen.
4. Das Urteil ist gegen Sicherheitsleistung in Höhe von 5.000,00 € vorläufig vollstreckbar.
Sachverhalt
Die Parteien streiten um die Zulässigkeit der Voreinstellung im Nutzerprofi) auf der von der Beklagten betriebenen Onlineplattform „stayfriends.de" (im Folgenden: StayFriends).
Der Kläger ist ein Verbaucherschutzverband und in die Liste der qualifizierten Einrichtungen gern, § 4 UKIaG eingetragen. Er nimmt die Beklagte auf Unterlassung in Anspruch.
Im Rahmen des Anmeldeprozesses für die Onlineplattform StayFriends hat der Nutzer bei der Neuanmeldung zunächst seine Daten einzugeben und mittels Setzens eines Hakens zu erklären, dass er den AGBs und den Datenschutzbestimmungen der Beklagten zustimmt. Diesbezüglich wird auf die Anlage B1 und die Datenschutzbestimmungen der Beklagten, Anlage B2, verwiesen.
Im weiteren Verlauf der Neuanmeldung kann der Nutzer auch ein Profilfoto hochladen. Unterhalb der Maske, wo dies möglich ist, ist vermerkt: "Profilbilder sind stets öffentlich sichtbar", wobei wiederum mittels Sternchenhinweises auf einen weiteren, sich dort befindlichen Passus verwiesen wird, der wie folgt lautet:
"Das bedeutet, dass diese bspw. auch über Suchmaschinen wie Google auffindbar sind. Sollten Sie dies nicht wünschen, können Sie diese Funktion in Ihrem Profileinstellungen unter Gefunden werden jederzeit für die Zukunft deaktivieren."
Hinsichtlich der Darstellung wird auf die Anlage K1 Bezug genommen.
Mittels Klick auf die Verlinkung bei den Wörtern "Gefunden werden" (s.o. (fett)), gelangt der Nutzer auf eine weitere Seite, wo seine Einstellungen zu "Gefunden und erinnert werden" hinterlegt sind.
Dort ist unter anderem voreingestellt, dass der Nutzer von Personen gefunden werden kann, die selbst nicht bei StayFriends angemeldet sind, dies insbesondere auch über öffentliche Suchmaschinen.
Weiterhin ist dort voreingestellt, dass auch das Profilbild des Nutzers außerhalb von StayFriends "bei Suchmaschinen, wie z.B. Google" gefunden werden kann. Hinsichtlich der genauen Darstellung wird auf dje Anlage K2 Bezug genommen.
Durch Schreiben vom 24,07.2017 hat der Kläger die Beklagte abgemahnt und dazu aufgefordert, bezüglich der streitgegenständlichen Handlung eine entsprechende Unterlassungserklärung abzugeben. Diese Forderung hat die Beklagte mit Schreiben vom 07.08.2017 zurückgewiesen.
Der Kläger meint, die Beklagte verstoße durch die Voreinstellung auf ihrer Website gegen § 2 II 1 Nr. 11 UKIaG i.V.m. §§ 12, 13 TMG, §§ 4,4a BDSG. Die derartige Verwendung der Daten des jeweiligen Nutzers sei schon nicht vom Vertragszweck gedeckt, weshalb jedenfalls keine wirksame Einwilligung hierin vorliege.
Der Kläger beantragt:
1. Die Beklagte wird verurteilt, es bei Vermeidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000 €, ersatzweise Ordnungshaft bis zu 6 Monaten oder Ordnungshaft bis zu 6 Monaten, diese zu vollstrecken an den Geschäftsführern, zu unterlassen, im Rahmen geschäftlicher Handlungen bei der Anmeldung auf der Seite stayfriends.de die Einwilligung zur Veröffentlichung der personenbezogenen Nutzerinhaite außerhalb von stayfriends.de voreinzustellen, wenn dies geschieht wie in der Anlage K2 abgebildet.
2. Die Beklagte wird verurteilt, an den Kläger 214,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit Klageerhebung zu bezahlen.
Die Beklagte beantragt: Die Klage wird abgewiesen.
Die Beklagte meint, die Klägerin sei nicht klagebefugt. Desweiteren liege ein wirksames Einverständnis zur Verwendung der Daten des jeweiligen Nutzers vor, da dieser in die Datenschutzbestimmungen der Beklagten eingewilligt habe. Im Übrigen sei die vom Kläger gerügte Verwendung der Daten bereits vom Vertragszweck umfasst.
Das Gericht hat keinen Beweis erhoben. Auf die gewechselten Schriftsätze der Parteien wird entsprechend Bezug genommen.
Entscheidungsgründe
Die zulässige Klage ist vollumfänglich begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung gem. § 2 I11 Nr. 11 UKIaG i.V.m. §§ 12,13 TMG, §§ 4,4a BDSG.
I.
Die Klage ist zulässig.
Entgegen der Ansicht der Beklagten mangelt es dem Kläger nicht an der Klagebefugnis. Auch die vom OLG Düsseldorf mit Beschluss vom 17.01.2017, Az.: 20 U 40/16, vorgenommene Vorlage dieser Frage an den EuGH hegt bei der erkennenden Kammer keine Zweifel diesbezüglich. Das OLG Düsserdorf hat selbst in seinem Vorlagebeschluss bekundet, dass es von keiner Unvereinbarkeit der Klagebefugnis von Verbraucherschutzverbänden mit der Richtlinie 95/46/EG ausgeht.
Vielmehr wurde es den Mitgliedstaaten offengelassen, geeignete Maßnahmen zu treffen, um die Umsetzung der Richtlinie zu vollziehen. Dies entspricht aber auch dem Sinn und Zweck der Richtlinie, die dort genannten Ziele bestmöglich umzusetzen. Es erschließt sich nicht, weshalb die Klagebefugnis eines Verbraucherschutzverbandes gerade im Widerspruch zur Richtlinie 95/46/EG stehen soll, zumal hierdurch eine effektivere Durchsetzung der einzuhaltenden Bestimmungen ermöglicht wird.
Desweiteren hat der Gesetzgeber explizit in Umsetzung der Richtlinie die Klagebefugnis der Verbraucherschutzverbände in § 2 I11 Nr. 11 UKIaG geregelt. In der Gesetzesbegründung wird diesbezüglich angeführt, dass sich die Verpflichtung zur Vollharmonisierung nur auf das materielle Datenschutzrecht bezieht. Die Rechtsbehelfe werden aber in der Richtlinie gerade nicht abschließend geregelt {vgl. hierzu BT-Drs.: 18/4631, S. 14, Ziff. IV).
Letztlich handelt es sich bei den gerügten Verhaltensweisen aber auch um unlautere Wettbewerbshandtungen, sodass eine Klagebefugnis zumindest aus § 8 I, III Nr. 3, 3a UWG folgt.
II.
Die Klage ist begründet.
Die verwendete Voreinstellung der Beklagten, dass etwaige Daten des Nutzers auch außerhalb von StayFriends sichtbar sind, stellt einen Verstoß gegen die zwingenden gesetzlichen Regelungen §§ 4, 4a BDSG sowie §§12, 13 TMG dar, da eine Verwendung der Daten des Nutzers ohne seine entsprechende Einwilligung erfolgt.
1.
Die grundsätzliche Notwendigkeit der Einwilligung für die Verwendung von personenbezogenen Daten ergibt sich aus § 4 I BDSG, sowie § 12 I TMG. Es handelt sich um ein Verbot mit Erlaubnisvorbehalt. Demnach ist jedwede Verwendung von Daten untersagt, wenn keine entsprechende Erlaubnis bzw. Einwilligung des Betroffenen vorliegt. § 4a 1 3 BDSG schreibt vor, dass diese grundsätzlich schriftlich zu erfolgen hat. Allerdings kann wegen besonderer Umstände auch eine andere Form zulässig sein. Selbiges ergibt sich aus § 13 II TMG, der eine entsprechende Einwilligung auch in elektronischer Form zulässt.
Aus beiden Normen folgt jedenfalls, dass bei der Nutzung von Onlinediensten die Einwilligung in elektronischer Form erteilt werden kann.
Eine elektronische Einwilligung des Nutzers liegt aber weder hinsichtlich der Verwendung seines Profilbildes, noch hinsichtlich der anderweitigen personenbezogenen Daten vor.
a. Soweit die Beklagte vorbringt, dass die Nutzung dieser Daten außerhalb der Plattform StayFriends vom Vertragszweck mit umfasst und bereits deshalb eine Nutzung gem. § 28 I BDSG zulässig sei, kann dem nicht gefolgt werden.
Der Vertragszweck ist das Wiederfinden alter Schulfreunde innerhalb der Plattform, was sich so aus den AGBs der Beklagten unter Ziff. 2.1. ergibt. Dort ist geregelt, dass der Nutzer seine Daten in der Datenbank hinterlässt und er dadurch anderen Nutzern, die sich ebenfalls „registriert haben" die Möglichkeit eröffnet, ihn zu finden. Bereits aus dieser Formulierung ergibt sich, dass es sich grundsätzlich um eine geschlossene Plattform handelt, innerhalb derer die Möglichkeit der Kontaktaufnahme und des Wiederfindens besteht und damit gerade nicht um eine unkontrollierte Verbreitung der Daten im Internet.
b. Auch durch das Akzeptieren der Datenschutzbestimmung im Rahmen des Anmeldeprozesses ergibt sich keine Einwilligung des Nutzers dazu, dass seine Daten (persönliche Daten und Profilbild) außerhalb von StayFriends veröffentlicht werden dürfen.
aa. Die Datenschutzbestimmung ist bereits in sich widersprüchlich und daher in keinster Weise dazu geeignet, eine gem. §§ 4, 4a BDSG, §§ 12,13 TMG notwendige Einwilligung darzustellen.
Für eine wirksame Einwilligung im Sinne der §§ 12,13 TMG und §§ 4,4a BDSG muss ein eindeutiges Einverständnis des Nutzers vorliegen. § 4 I 1 BDSG schreibt vor, dass die Einwilligungserklärung auf einer freien Entscheidung basieren muss. Weiterhin bedarf es gem. § 41 2 BDSG einer umfassenden Aufklärung, inwieweit eine Nutzung der Daten erfolgt. Selbiges resultiert aus §§ 12 I, 13 II TMG. Ausweislich § 13 II Nr. 1 TMG muss der Nutzer die Einwilligung bewusst und eindeutig erklärt haben. Vorliegend soll die Einwilligung des Nutzers mittels Zustimmung zur Datenschutzbestimmung im Rahmen des Anmeldeprozesses erklärt werden. Ist aber die Datenschutzbestimmung selbst schon nicht eindeutig und verständlich, sondern vielmehr widersprüchlich, so kann im Umkehrschluss auch das durch Zustimmung zu ihr erklärte Einverständnis zur Datenverwendung mangels Eindeutigkeit nicht wirksam sein.
bb. In der Datenschutzbestimmung ist unter Ziff. 1. a. ("1. Wem zeigt StayFriends Informationen über mich") aufgeführt, dass es „nie voreingestellt" sei, dass eine Einsichtnahme von Daten durch Dritte erfolgen könne.
Demgegenüber lautet es aber unter Ziff. 4. lit. a., b. der Datenschutzbestimmung ("Schutz ihrer Daten, Übermittlung ihrer Daten"), dass die Daten auch auf den dort genannten Partnerseiten und bei Suchmaschinen wie beispielsweise „Google" veröffentlicht werden bzw. auffindbar seien. Der Nutzer könne einer Veröffentlichung allerdings „jederzeit widersprechen".
Die Klauseln stehen offenkundig im Widerspruch miteinander. Es bleibt deshalb völlig unklar, welche Daten nun für Dritte einsehbar sind und welche nicht. Weiterhin ist zu berücksichtigen, dass durch das bloße Setzen eines Hakens, wodurch der Datenschutzbestimmung zugestimmt wird, in keinster Weise sichergestellt ist, dass der Nutzer die Datenschutzbestimmung vollständig zur Kenntnis nimmt.
Zwar hat dieser auch eine eigene Verpflichtung sich zu informieren, zu was er letztlich zustimmt, dennoch kann davon ausgegangen werden, dass wenn ein Nutzer auf der ersten Seite liest, dass die Daten nicht an Dritte weitergegeben werden und dies auch „nie voreingestellt" ist, er darauf vertrauen darf, dass es tatsächlich nicht erfolgt. Wenn nunmehr aber unter Ziff. 4 aufgeführt wird, dass eine solche Weitergabe im dort dargestellten Umfang erfolgt, so muss der Nutzer damit aber in keinster Weise rechnen. Daher kann die Zustimmung zur Daten-schutzerklärung kein Einverständnis entsprechend den Anforderungen der §§ 4, 4a BDSG und §§ 12 I, 13 II TMG darstellen.
c. Soweit vorgetragen wird, dass hinsichtlich der Veröffentlichung des Profilbildes zumindest konkludent ein Einverständnis des Nutzers durch das Hochladen desselben erklärt werde, da dort vermerkt sei, dass das Bild „stets öffentlich sichtbar" sei, führt dies zu keinem anderen Ergebnis.
Es mangelt schon an der Aufklärung über den Zweck der Veröffentlichung des Profilbildes, was aber notwendig ist, § 4a I 2 BDSG, § 13 II TMG. Auch in der Fußzeile auf der Seite, wo das Profilbild hochgeladen werden kann (Anlage K1) und auf die mittels Sternchen verwiesen wird, wird lediglich angeführt, dass eine Veröffentlichung erfolgt, aber nicht weshalb.
Wie bereits ausgeführt, kann auch insoweit nicht auf die im Rahmen des Anmeldevorgangs akzeptierte Datenschutzbestimmung verwiesen werden, da sie nicht eindeutig ist. Im Übrigen verhält diese sich zu dem Profilbild des Nutzers überhaupt nicht, das aber ebenfalls ein personenbezogenes Datum darstellt.
Weiterhin ergibt sich auch nicht aus dem Hinweis unter dem Bild „öffentlich sichtbar", dass damit „öffentlich" im Sinne von außerhalb der Plattform StayFriends gemeint ist. Denn der Begriff „öffentlich" wird von der Beklagten uneinheitlich gebraucht. Insbesondere heißt es in der Datenschutzbestimmung unter Ziff. 1. a) „innerhalb von StayFriends öffentlich sichtbar".
d. Aus den genannten Gründen verstößt die Voreinstellung, dass die genannten Daten des Nutzers auch außerhalb von StayFriends sichtbar sind, gegen § 4 I BDSG und § 12 I TMG, da keine entsprechende Einwilligung zur derartigen Nutzung der Daten vorliegt. Der Kläger ist daher berechtigt, von der Beklagten Unterlassung zu verlangen.
Eine entsprechende Wiederholungsgefahr ergibt sich daraus, dass die Beklagte die vom Kläger zugesandte Unteriassungserklärung nicht unterzeichnet hat.
2. Der Kläger hat einen Anspruch aus Ersatz seiner Abmahnkosten in Höhe von 214 € gem. § 5 UKIaG i.V.m § 1212 UWG. Der Zinsanspruch ergibt sich aus §§ 288 11,291 S.1 BGB.
III.
Die Kostenentscheidung ergibt sich aus § 91 ZPO. Die Entscheidung hinsichtlich der vorläufigen Vollstreckbarkeit resultiert aus § 709 S. 2 ZPO.