Urteil : Streitwert bei Tracking-E-Mails (n. Anm. von RA Jonas Breyer) : aus der RDV 2/2020, Seite 98 bis 99
(Landgericht Wiesbaden, Beschluss vom 22. August 2019 – 8 O 94/19 (rechtskr.) –)
Der Streitwert für die datenschutzrechtliche Unterlassung des Versands unzulässiger Werbe-E-Mails an einen Verbraucher, wobei 62 solcher E-Mails versandt wurden und einige davon Tracking-Pixel von Google Analytics enthielten, um dem Absender Aufschluss über das Leseverhalten des Empfängers zu verschaffen, beträgt 30.000 EUR.
(Nicht amtlicher Leitsatz)
Anmerkung von RA Jonas Breyer, Wiesbaden:
Bekanntlich stellt unerlaubte E-Mail-Werbung abgesehen von wettbewerbsrechtlichen Implikationen auch einen unterlassungspflichtige Verletzung des allgemeinen Persönlichkeitsrechts dar, da der Empfänger als Ausfluss seiner privaten Lebensgestaltung grundsätzlich selbst entscheiden kann, mit wem er Kontakt haben möchte und in welchem Umfang.[1] Große Unterschiede bestehen dagegen in Bezug auf den Streitwert. Maßgeblich hierfür ist das Interesse des Klägers an der Unterbindung weiterer gleichartiger Verstöße.[2] Handelt es sich beim Empfänger um einen Unternehmer, werden häufig höhere Werte angenommen, etwa 3.000 €[3] oder auch 10.000 €. [4] Ist der Empfänger ein Verbraucher, liegt der Wert häufig mit 500 €[5] bis 3.000 €[6] darunter.
Eine neue Entscheidung hat uns nun das Landgericht Wiesbaden beschert. Im dortigen Fall nahm ein Unternehmen Online-Bestellungen von Verbrauchern zum Anlass, deren E-Mail-Adressen in seinen Newsletter-Verteiler aufzunehmen. Die E-Mails erwiesen sich als rechtswidrig, weil sie – wie zumeist – weder durch eine wirksame Einwilligung gedeckt war noch die Informationspflichten nach Art. 6 Abs. 1 Buchst. f DS-GVO i.V.m. § 7 Abs. 3 UWG erfüllt waren. Diese sind Voraussetzung für einen Opt-out-Versand.[7] Mehrere der insgesamt 62 E-Mails enthielten im Quellcode Tracking-Pixel von Google-Analytics, sodass beim Öffnen der E-Mails eine Reihe personenbezogener Daten wie die IP-Adresse an US-amerikanische Google-Server zur zweck- und seitenübergreifenden Auswertung übermittelt wurde, um das Leseverhalten des Empfängers auszuforschen. Auch kam es im Rahmen von Google Analytics zum Setzen von Cookies zu Marketing-Zwecken ohne Einwilligung.
Google Analytics wird als so invasiv beurteilt, dass es auch unabhängig vom Cookie nur durch eine Einwilligung gerechtfertigt werden kann.[8] Auch die angebliche IP-Anonymisierung von Google vermag daran nichts zu ändern, zumal diese erst von Google vorgenommen wird; im Übrigen ist auch ohne IP-Adresse eine Personenbeziehbarkeit anhand des Browser-Fingerprints und ähnlicher Daten möglich.[9] Entgegen landläufiger Meinung stellt es auch keinen Erlaubnistatbestand dar, auf Google Analytics in der Datenschutzerklärung oder via Pop-up hinzuweisen. Leider bleibt auch eine Einwilligung eine bloß theoretische Möglichkeit, da eine Einwilligung unter anderem informiert zu formulieren wäre (Art. 4 Nr. 11 DS-GVO), was wegen Googles weithin intransparenter Datenverarbeitung aber nicht möglich ist. Auch verwendet Google Daten seines Diensts Analytics laut eigener Datenschutzerklärung zu seitenübergreifenden und eigenen Zwecken, sodass jedenfalls ein Vertrag nach Art. 26 DS-GVO notwendig wäre.[10] Einen solchen bietet Google aber nicht an, und die irische Aufsichtsbehörde handelt nicht. Hinzu kommt neben der erwähnten Cookie-Problematik der Komplex „Cloud Act versus Art. 48 DS-GVO“.[11] Zu Recht hat sich die DSK gegen derlei invasive Tracker ausgesprochen, insbesondere Art. 6 Abs. 1 Buchst. f DS-GVO als Rechtsgrundlage verneint.[12]
Aus den von der DSK ausgeführten Gründen kann eine Widerspruchslösung auch nicht auf § 15 Abs. 3 TMG gestützt werden. Selbst wenn man diese Vorschrift entgegen ihrem Wortlaut für europarechtskonform auslegbar hält,[13] stellt nach der Rechtsprechung des Europäischen Gerichtshofs eine Widerspruchslösung keine Einwilligung dar, und zwar nicht nur bei Cookies.[14] Immerhin hat der Bundesgerichtshof mit seiner „europarechtskonformen Auslegung“ des § 15 Abs. 3 TMG[15] den Weg zum Europäischen Gerichtshof geebnet. Nachdem sich die Europäische Kommission auf den bemerkenswerten Standpunkt gestellt hatte, dass die deutsche Widerspruchslösung in Marketingfällen gemäß § 15 Abs. 3 TMG als Einwilligung gewertet werden könne, kam das Bemühen des deutschen Gesetzgebers endgültig zum Erliegen, § 15 Abs. 3 TMG an europäisches Recht anzupassen – sei es an die Cookie- bzw. die Datenschutz-Richtlinie oder an die DS-GVO –, wohl wissend, dass eine direkte Anwendung von Richtlinien zu Lasten nichtstaatlicher Verantwortlicher regelmäßig nicht in Betracht kommt und ihm die Unterstützung der deutschen Wirtschaft sicher ist. In dieser Konstellation wäre die Herstellung eines europarechtskonformen Zustands schwierig gewesen.
Einen Unsubscribe-Link klickte der Empfänger nicht an, da die Widerspruchsbelehrung unvollständig und die Unsubscribe-Seite ihrerseits mit unzulässigen Trackern kontaminiert war, sodass es zu 62 E-Mails kam. Schriftsätzlich wurde auf den Effektivitätsgrundsatz unter anderem im Sinne von Art. 83 DS-GVO sowie auf bereits verhängte DS-GVO-Bußgelder verwiesen; deren Bemessung schlägt im Übrigen auf zivilrechtliche Ansprüche nach Art. 82 DS-GVO durch.[16] So bewertete das Gericht das Unterlassungsinteresse des Empfängers mit 30.000 €.
(Hinweis: Der Autor ist am Rechtsstreit auf Seiten des Unterlassungsklägers beteiligt.)
[1] BGH, Urt. v. 10.07.2018 – VI ZR 225/17, Rn. 14, NJW 2018, 3506.
[2] BGH, Beschl. v. 26.04.1990 – I ZR 58/89, NJW-RR 1990, 1322.
[3] BGH, Beschl. v. 30.11.2004 – VI ZR 65/04, BeckRS 2004, 12785
[4] KG, Beschl. v. 09.08.2013 – 5 W 187/13, BeckRS 2015, 18410.
[5] OLG Hamm, Urt. v. 17.10.2013 – 6 U 95/13, NJW-RR 2014, 613.
[6] OLG Frankfurt/Main, Beschl. v. 02.03.2016 – 6 W 9/16, MMR 2016, 454.
[7] OLG Jena, Urt. v. 21.04.2010 – 2 U 88/10, MMR 2011, 101.
[8] LG Dresden, Urt. v. 11.01.2019 – 1a O 1582/18, ZD 2019, 416.
[9] Brehm, Verräterische Merkmale, c‘t 11/2016, S. 144 f.
[10] Vgl. EuGH, Urt. v. 05.06.2018 – C-210/16, Rn. 25 ff., NJW 2018, 2537, Facebook; EuGH, Urt. v. 29.07.2019 – C-40/17, Rn. 64 ff., NJW 2019, 2755, Fashion ID.
[11] Vgl. Stellungnahme des EDSA an den LIBE-Ausschuss v. 10.07.2019, https://edpb.europa.eu/our-work-tools/our-documents/letters/epdbedps-joint-response-libe-committee-impact-us-cloud-act_en, siehe auch das zugehörige Rechtsgutachten im Anhang, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf, jeweils abgerufen am 27.09.2019; Pressemeldung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen v. 09.07.2019, https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-f%C3%Bcr-datenschutz-und, abgerufen am 27.09.2019; zu rechtlichen Einzelheiten Gausling, MMR 2018, 578
[12] DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien v. März 2019, Anhang I, https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf, abgerufen am 27.09.2019.
[13] Zweifelnd auch Spittka, DB 2019, 2850, 2853.
[14] EuGH, Urt. v. 01.10.2019 – C-673/17, Rn. 44 ff., NJW 2019, 3433 – Planet49.
[15] BGH, Beschl. v. 05.10.2017 – I ZR 7/16, Planet49.
[16] Wybitul/Haß/Albrecht, NJW 2018, 113, 115.