Nachfolgend ein Beitrag vom 11.5.2018 von Klinger, jurisPR-ITR 9/2018 Anm. 2
Leitsätze
1. Zur Nichtigkeit des Vertrages, mit dem der Insolvenzverwalter einer Adresshandelsfirma Adressdaten an einen Dritten verkauft, wegen Verstoßes gegen § 28 Abs. 3 BDSG und § 7 Abs. 2 Nr. 3 i.V.m. Abs. 1 UWG.
2. Zur Anwendbarkeit des sog. Listenprivilegs nach § 28 Abs. 3 Satz 2 BDSG.
3. Zur Frage der Erteilung einer wettbewerbsrechtlichen Einwilligung der Adressinhaber im Rahmen von AGB.
4. Zum Ausschluss des Rückforderungsanspruchs des Käufers eines nichtigen Adresshandelsvertrages hinsichtlich des Kaufpreises wegen § 817 Satz 2 BGB.
A. Problemstellung
Trotz gestiegener Bedeutung des Datenschutzes, die mit der Anwendbarkeit der EU-Datenschutz-Grundverordnung (DS-GVO) ab dem 25.05.2018 nochmals erheblich zunehmen wird, sind Gerichtsentscheidungen zu datenschutzrechtlichen Sachverhalten immer noch recht selten. Daher ist es von Interesse, wenn sich ein Gericht wie in der vorliegenden Entscheidung das OLG Frankfurt mit einer zentralen datenschutzrechtlichen Frage, den Möglichkeiten und Grenzen des Verkaufs von Daten, insbesondere von Adressdaten befasst.
B. Inhalt und Gegenstand der Entscheidung
Der beklagte Insolvenzverwalter hatte sich in einem Vertrag verpflichtet, aus dem Vermögen der Schuldnerin, einer insolventen Adresshandels-Gesellschaft, an deren ehemaligen Geschäftsführer verschiedene Internet-Domains einschließlich der über diese generierten Adressen für einen Preis von 15.000 Euro netto zu übertragen. Die Daten wurden nach Zahlung des Kaufpreises auf einem USB-Stick übergeben. Sie befanden sich ursprünglich auf zwei Servern der Schuldnerin, die vom beklagten Insolvenzverwalter, ohne dass die Daten ordnungsgemäß gelöscht wurden, an eine andere Adresshandels-Gesellschaft verkauft wurden, welche die Server nochmals an eine dritte Adresshandels-Gesellschaft weiterverkaufte. Diese nutzte Teile der Daten, um Werbe-E-Mails für eine Sex-Website zu versenden. Der Erwerber der Daten, der ehemalige Geschäftsführer der Schuldnerin, wurde Geschäftsführer der Klägerin, die ebenfalls im Adresshandel tätig ist, und trat sämtliche Rechte aus dem mit dem Insolvenzverwalter geschlossenen Vertrag an diese ab.
Nach erfolgloser Aufforderung des beklagten Insolvenzverwalters, eine strafbewehrte Unterlassungserklärung hinsichtlich der weiteren Verwendung der Daten abzugeben und der Klägerin Schadensersatz wegen der nochmaligen Verwendung der Daten zu leisten, nahm die Klägerin den Beklagten vor dem LG Darmstadt auf Unterlassung und Ersatz bzw. Minderung von zwei Dritteln des Kaufpreises für die Daten sowie Erstattung der Abmahnkosten in Anspruch. Das LG Darmstadt sprach der Klägerin die gemachten Ansprüche in vollem Umfang zu.
Auf die Berufung des Beklagten hat das OLG Frankfurt die Klage abgewiesen.
Das Oberlandesgericht lehnt den von der Klägerin geltend gemachten Schadensersatz- bzw. Zahlungsanspruch wegen Nichtigkeit des zwischen dem Beklagten und dem Geschäftsführer der Klägerin geschlossenen Daten-Kaufvertrages gemäß § 134 BGB i.V.m. § 28 Abs. 3 BDSG und § 7 Abs. 2 Nr. 3 UWG ab, da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Aus den gleichen Gründen verneint es den von der Klägerin geltend gemachten Unterlassungsanspruch sowie Abmahnkostenerstattungsanspruch.
Der in dem Vertrag vereinbarte Verkauf der dort im Einzelnen bezeichneten Internet-Domains und hierüber generierten Daten verstoße gegen § 28 Abs. 3 BDSG, wonach die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung (nur) zulässig sei, soweit der Betroffene gemäß den §§ 4a Abs. 1, 28 Abs. 3a und 3b BDSG eingewilligt habe oder das sog. Listenprivileg gemäß § 28 Abs. 3 Sätze 2 bis 5 BDSG eingreife.
Hierzu führt das OLG Frankfurt zunächst aus, dass im Streitfall eine Nutzung der Daten für Zwecke des Adresshandels vorliegt, weil unter Adresshandel i.S.d. § 28 Abs. 3 Satz 1 BDSG jede Vermarktung von Kontaktdaten, wie etwa Name, Postanschrift, E-Mail-Adresse und Telefonnummer, zu verstehen ist, unerheblich ob die Daten verkauft, vermietet oder in sonstiger Form überlassen werden. Hierunter falle auch der einmalige Verkauf von Daten im Rahmen der Insolvenzverwertung. Sodann stellt das Oberlandesgericht fest, dass die Listenprivileg-Ausnahme vom Einwilligungserfordernis gemäß § 28 Abs. 3 Satz 2 BDSG nicht gegeben ist, da es sich bei den verkauften Daten, die neben den Namen und Postanschriften der betroffenen Personen auch deren Telefonnummern und E-Mail-Adressen enthalten, um keine Listendaten i.S.d. § 28 Abs. 3 Satz 2 BDSG handelt und diese Ausnahme nach ihrem Wortlaut auch nur für Werbenutzungen, nicht aber für die vorliegende Nutzung zu Zwecken des Adresshandels Anwendung findet. Eine wirksame Einwilligung der Adressinhaber zur Nutzung ihrer personenbezogenen Daten für Zwecke des Adresshandels gemäß den §§ 4a Abs. 1, 28 Abs. 3a und 3b BDSG liege ebenfalls nicht vor. Denn nach dem Wortlaut der vorgelegten Einwilligungserklärungen werden u.a. weder etwaige Datenempfänger noch Nutzungszwecke konkret genug bezeichnet, jedenfalls aber sei eine Einwilligung in die Nutzung der Daten für Zwecke des Adresshandels nicht enthalten.
Darüber hinaus nimmt das OLG Frankfurt an, dass sich die Parteien in dem Vertrag verpflichtet hätten, systematisch gegen § 7 Abs. 2 Nr. 3 UWG, also das Verbot von E-Mail-Werbung ohne vorherige ausdrückliche Einwilligung der Adressaten, zu verstoßen. Zur Begründung verweist das Oberlandesgericht darauf, dass mit dem Vertrag Daten (gemeint sind wohl die mitverkauften E-Mail-Adressen) verkauft worden sind, die (später) zu Werbezwecken eingesetzt werden (gemeint ist wohl E-Mail-Werbung), ohne dass ausreichende wettbewerbsrechtliche Einwilligungserklärungen der Betroffenen vorliegen. Die vorgelegten pauschalen Einwilligungserklärungen enthielten insbesondere keine Angaben zu den Produkten oder Dienstleistungen, die beworben werden sollen, und keine konkrete Benennung der weiteren Unternehmen, die auf Basis der Einwilligung (E-Mail-)Werbung machen möchten.
Schließlich hält das OLG Frankfurt den gesamten zwischen dem Beklagten und dem Geschäftsführer der Klägerin geschlossenen Daten-Kaufvertrag infolge der festgestellten Verstöße gegen § 7 Abs. 2 Nr. 3 UWG und § 28 Abs. 3 BDSG gemäß § 134 BGB für nichtig. Hinsichtlich § 7 Abs. 2 Nr. 3 UWG sei in Rechtsprechung und Literatur, die das OLG Frankfurt in seiner Entscheidung zitiert, anerkannt, dass ein Vertrag, der zur Begehung unlauteren Wettbewerbs verpflichte, gemäß § 134 BGB nichtig sei. Das Gleiche müsse auch für einen Adresshandelsvertrag gelten, der gegen § 28 Abs. 3 Satz 1 BDSG verstoße, weil die für eine Nutzung der Daten für Zwecke des Adresshandels erforderliche Einwilligung der Betroffenen fehle. § 28 Abs. 3 Satz 1 BDSG stelle ein Verbotsgesetz i.S.d. § 134 BGB dar, weil diese zwingende Regelung nach ihrem Wortlaut sowie Sinn und Zweck darauf abziele, den Adresshandel ohne Einwilligung der Betroffenen als solchen zu untersagen.
C. Kontext der Entscheidung
Die vorliegende Entscheidung des OLG Frankfurt ist unter datenschutzrechtlichen und wettbewerbsrechtlichen Gesichtspunkten sowie auch hinsichtlich der Anordnung der zivilrechtlichen Nichtigkeitsfolge für den streitgegenständlichen Daten-Kaufvertrag kritisch zu betrachten.
Zunächst ist fraglich, ob der streitgegenständliche Daten-Kaufvertrag in den Anwendungsbereich des § 28 Abs. 3 BDSG fällt, der seit 2009 bekanntermaßen Verarbeitungen oder Nutzungen personenbezogener Daten für Zwecke des Adresshandels oder der Werbung unter einen grundsätzlichen Einwilligungsvorbehalt der Betroffenen stellt.
Angesichts dessen, dass der streitgegenständliche Daten-Kaufvertrag offenbar primär darauf beruhte, dass der beklagte Insolvenzverwalter den betreffenden Datenbestand im Rahmen des Insolvenzverfahrens in Erfüllung seiner Aufgaben zur bestmöglichen Verwertung des noch vorhandenen Vermögens der Schuldnerin an den Geschäftsführer der Klägerin veräußerte, liegt eine Nutzung bzw. richtigerweise Übermittlung der Daten für Zwecke des Adresshandels erst einmal eher fern. Denn die Veräußerung und Übertragung von Vermögensgegenständen (Assets) an Dritte im Rahmen eines Insolvenzverfahrens durch den Insolvenzverwalter geschieht – auch wenn es sich bei den Assets um Datenbestände mit personenbezogenen Daten handelt – zumindest aus Sicht des Insolvenzverwalters und auch des betreffenden Erwerbers zunächst einmal zu Zwecken der Insolvenzverwertung und ggf. (teilweisen) Unternehmensfortführung (so etwa auch Beyer/Beyer, NZI 2016, 241, 243; Berberich/Kanschik, NZI 2017, 1, 9 m.w.N.) sowie natürlich auch zu Zwecken (der Erfüllung) der Asset-Übertragung bzw. des Asset Deals (vgl. zu Asset Deals im Rahmen von allgemeinen Unternehmenstransaktionen etwa Selk, RDV 2009, 254, 262; Behling, RDV 2010, 107, 114) und nicht, um Adresshandel zu betreiben.
Diesem Argument, das offensichtlich auch vom beklagten Insolvenzverwalter vorgebracht wurde, tritt das OLG Frankfurt mit dem Hinweis entgegen, dass unter Adresshandel i.S.d. § 28 Abs. 3 Satz 1 BDSG jede Form der Vermarktung von Kontaktdaten einschließlich E-Mail-Adressen und Telefonnummern zu verstehen sei, auch der einmalige Verkauf solcher Daten im Rahmen der Insolvenzverwertung. Dem kann jedoch nicht beigepflichtet werden. Schon die Bedeutung des Worts „Adresshandel“ lässt auf zweierlei schließen: Zum einen impliziert „Handel“ eine gewisse – wenn auch sporadische – Häufigkeit oder Mehrzahl von Aktivitäten, die sich nicht bloß in einem einmaligen Verwertungsvorgang erschöpfen. Richtig ist es zwar, wenn das OLG Frankfurt ausführt, dass anders als gemäß § 29 Abs. 1 BDSG gemäß § 28 Abs. 3 Satz 1 BDSG keine Geschäftsmäßigkeit, also kein auf Dauer angelegtes, nachhaltiges und auf Wiederholung ausgerichtetes Handeln, erforderlich ist. Allerdings wird man auch bei § 28 Abs. 3 Satz 1 BDSG wegen des Wortlauts „Handel“ mehr als einen einmaligen Verwertungsvorgang, also eine gewisse (mehrmalige) Vermarktung von Adressdaten voraussetzen müssen. Zum anderen deutet das Wort „Adresshandel“ auf postalische Adressen von Betroffenen hin. In diesem Sinne, als (mehrfache) Zurverfügungstellung von Postadressen (Vor- und Nachname sowie Straße, Hausnummer, PLZ und Ort) an Dritte, damit diese die Betroffenen auf postalischem Wege unmittelbar werblich ansprechen können, wird der Begriff „Adresshandel“ in § 28 Abs. 3 Satz 1 BDSG auch richterweise verstanden (vgl. nur Simits/Ehmann, BDSG, 8. Aufl. 2014, § 28 Rn. 75 m.w.N.).
Demnach ist im vorliegenden Fall der einmaligen Verwertung eines Datenbestandes mit personenbezogenen Daten durch dessen Veräußerung und Übertragung als Asset im Rahmen eines Insolvenzverfahrens durch den Insolvenzverwalter kein Adresshandel i.S.d. § 28 Abs. 3 Satz 1 BDSG gegeben. Das gilt umso mehr als eine solch extensive Auslegung des Begriffs „Adresshandel“ (weit) über den Schutzzweck des § 28 Abs. 3 Satz 1 BDSG hinausgehen würde. Folgte man dieser Auslegung des OLG Frankfurt, würde jede Übermittlung von Adressdaten und weiteren Kontaktdaten im Rahmen von Insolvenzverwertungen und von Asset Deals zu Zwecken einer übertragenden Sanierung oder Restrukturierung sowie darüber hinaus auch jede solche Datenübermittlung im Rahmen von allgemeinen Unternehmenstransaktionen und Asset Deals als Adresshandel unter die restriktive Vorschrift des § 28 Abs. 3 Satz 1 BDSG fallen. Sinn und Zweck des mit der BDSG-Novelle 2009 eingefügten bzw. geänderten § 28 Abs. 3 bis 4 BDSG war und ist es jedoch, ausufernde Datenübermittlungen und -nutzungen zu Werbezwecken einzudämmen und nicht Adress-, Kontakt- und Kundendatenübermittlungen im Rahmen von Insolvenzverfahren und Unternehmenstransaktionen zu behindern. Daher kann „Adresshandel“ nur die (mehrfache) Zurverfügungstellung von Postadressdaten für Zwecke der Werbung meinen, nicht aber per se schon jedwede Übermittlung solcher und weiterer Daten im Rahmen von Asset Deals (so auch Behling, RDV 2010, 107, 114).
Letztlich dürfte diese Auslegungsfrage im vorliegenden Fall jedoch keine Rolle spielen. Denn bei Datenübermittlungen kommt es weniger auf die Zwecke an, die unmittelbar mit dem Datenübermittlungsvorgang an sich verfolgt werden, sondern vielmehr gemäß § 28 Abs. 1 Satz 2 BDSG zunächst auf die bei Datenerhebung konkret festgelegten ursprünglichen Zwecke der Datenverarbeitung und gemäß § 28 Abs. 2 und 5 BDSG sodann, falls die Daten anschließend zu einem anderen Zweck als den ursprünglich festgelegten Zwecken übermittelt oder genutzt werden sollen, auf den Zweck, zu dessen Erfüllung die Daten dem Dritten übermittelt werden, also letztlich auf den vom Übermittelnden bei Datenübermittlung festgelegten Zweck der Datenverarbeitung oder -nutzung, den der datenempfangende Dritte verfolgen möchte. Angewendet auf den vorliegenden Fall bedeutet das, dass die streitgegenständlichen Daten vom beklagten Insolvenzverwalter tatsächlich zu Zwecken des Adresshandels an den Geschäftsführer der Klägerin übermittelt worden sind, zum einen weil sie von der insolventen Adresshandels-Gesellschaft wohl schon ursprünglich zu Zwecken des Adresshandels erhoben und verarbeitet worden sind und zum anderen – selbst wenn das nicht der Fall gewesen sein sollte – weil sie vom Geschäftsführer der Klägerin bzw. der Klägerin, einer ebenfalls im Adresshandel tätigen Gesellschaft, nach Übermittlung wohl wieder zu Zwecken des Adresshandels verarbeitet und genutzt werden sollen. Damit fällt der streitgegenständliche Daten-Kaufvertrag – jedoch aus anderen Gründen wie vom OLG Frankfurt angenommen – im Ergebnis doch in den Anwendungsbereich des § 28 Abs. 3 BDSG. Das liegt aber nur an der besonderen Konstellation, dass insbesondere der Käufer der Daten selbst eine Adresshandels-Gesellschaft war, und ist nicht verallgemeinerungsfähig. In anderen Konstellationen von Insolvenzverwertungen, übertragenden Sanierungen, Restrukturierungen und sonstigen (allgemeinen) Asset Deals wird in der Regel keine Datenübermittlung zu Zwecken des Adresshandels vorliegen. Bei solchen Asset-Übertragungen bzw. Asset Deals müssen vielmehr die ursprünglichen Zwecke der Datenverarbeitung und die ggf. davon abweichenden Übermittlungszwecke in jedem Einzelfall sorgfältig ermittelt und hierauf aufbauend die datenschutzrechtliche Zulässigkeit der jeweiligen Datenübermittelung anhand von § 28 Abs. 1 Satz 1 Nr. 2 BDSG, § 28 Abs. 2 i.V.m. Abs. 1 Satz 1 Nr. 2 BDSG oder § 28 Abs. 3 BDSG geprüft werden.
Somit hat das OLG Frankfurt im vorliegenden Fall – wenn auch mit unrichtiger Begründung und sieht man von der Tatsache ab, dass vom Adresshandel i.S.d. § 28 Abs. 3 BDSG eigentlich nur Postadressdaten umfasst sind – im Ergebnis zutreffend einen Verstoß gegen § 28 Abs. 3 BDSG festgestellt. Dass sich der beklagte Insolvenzverwalter nicht auf die Listenprivileg-Ausnahme gemäß § 28 Abs. 3 Satz 2 BDSG stützen konnte und keine wirksamen Einwilligungen der Adressinhaber zur Nutzung ihrer personenbezogenen Daten für Zwecke des Adresshandels gemäß den §§ 4a Abs. 1, 28 Abs. 3a und 3b BDSG vorgelegen haben, hat das OLG Frankfurt in seiner Entscheidung nachvollziehbar und zutreffend begründet.
Unzutreffend ist hingegen die Annahme eines Verstoßes gegen § 7 Abs. 2 Nr. 3 UWG. Anders als in den vom OLG Frankfurt zitierten Entscheidungen des LG Düsseldorf (Urt. v. 20.12.2013 – 33 O 95/13 – ZD 2014, 200) und des OLG Stuttgart (Beschl. v. 26.08.2008 – 6 W 55/08 – MMR 2009, 128), bei denen sich jeweils eine Vertragspartei unmittelbar im streitgegenständlichen Vertrag zur Durchführung von gemäß § 7 Abs. 2 Nr. 2 UWG unlauterer und verbotener Telefonwerbung verpflichtete, hatte der streitgegenständliche Daten-Kaufvertrag gerade keine Verpflichtung des Käufers zur Durchführung von gemäß § 7 Abs. 2 Nr. 3 UWG unlauterer und verbotener E-Mail-Werbung (mit den übermittelten E-Mail-Adressen) zum Gegenstand. Mit dem Vertrag wurden lediglich u.a. E-Mail-Adressen an den Käufer übermittelt. Ob der Käufer diese E-Mail-Adressen anschließend für E-Mail-Werbung verwendet (oder nicht) und mit dieser nachgelagerten Verwendung u.U. Verstöße gegen § 7 Abs. 2 Nr. 3 UWG begeht, steht zum einen nicht fest und hat zum anderen nicht unmittelbar etwas mit dem Kaufvertrag zu tun. Jedenfalls hat sich der Käufer im streitgegenständlichen Daten-Kaufvertrag hierzu nicht verpflichtet.
Mangels Verstoßes gegen § 7 Abs. 2 Nr. 3 UWG kann aus diesem Grund ferner keine Nichtigkeit des streitgegenständlichen Daten-Kaufvertrages gemäß § 134 BGB vorliegen. Auch ein Verstoß gegen § 28 Abs. 3 Satz 1 BDSG führt nach zutreffender ganz h.M. nicht zu einer Nichtigkeit des zugrunde liegenden Rechtsgeschäftes gemäß § 134 BGB. Denn eine solch einschneidende zivilrechtliche Rechtsfolge ist angesichts der zahlreichen sonstigen Sanktionen im Falle von unzulässigen Datenübermittlungen – angefangen bei der Pflicht zur Löschung solcher Daten über mögliche Sanktionen der Datenschutzaufsichtsbehörden bis hin zu etwaigen Bußgeldern für die Verantwortlichen und Schadensersatzansprüchen der Betroffenen – weder notwendig noch geeignet (vgl. dazu nur Beyer/Beyer, NZI 2016, 241, 245 m.w.N.). Mit der h.M. und diesen Argumenten setzt sich das OLG Frankfurt in seiner Entscheidung nicht auseinander. Im Falle von unzulässigen Datenübermittlungen im Rahmen von übertragenden Sanierungen, Restrukturierungen und sonstigen (allgemeinen) Asset Deals, denen oftmals umfassende Asset Deal- und/oder Unternehmenskaufverträge zugrunde liegen, wäre eine Nichtigkeit von Regelungen zur Datenübertragung gemäß § 134 BGB, die sehr schnell zu einer Gesamtnichtigkeit des Asset Deal- oder Unternehmenskaufvertrages führen könnte, auch verheerend. Die zivilrechtlichen Folgen von Daten-Kaufverträgen, die datenschutzrechtlich unzulässige Datenübermittlungen zum Gegenstand haben, müssten vielmehr über das allgemeine Leistungsstörungsrecht und das kaufrechtliche Gewährleistungsrecht gemäß den §§ 433 ff., 442 Abs. 1 BGB abgewickelt werden.
D. Auswirkungen für die Praxis
Wie dargelegt, kann der vorliegenden Entscheidung des OLG Frankfurt nicht in allen Punkten zugestimmt werden. Sie geht insbesondere von einer zu weiten Auslegung des Begriffs „Adresshandel“ i.S.d. § 28 Abs. 3 Satz 1 BDSG aus, nach der jede Übermittlung von Adress- und Kontaktdaten im Rahmen von Insolvenzverwertungen und Asset Deals als Adresshandel unter die restriktive Vorschrift des § 28 Abs. 3 Satz 1 BDSG fiele. Auch die Annahme der Nichtigkeit von Verträgen, die eine datenschutzrechtlich unzulässige Datenübermittlung beinhalten, gemäß § 134 BGB ist zu weitgehend. Beides würde zu unkalkulierbaren Risiken für Asset Deal- und entsprechende Unternehmenskaufverträge führen.
Nach der ab dem 25.05.2018 geltenden DS-GVO muss ohnehin eine Neubewertung derartiger Sachverhalte vorgenommen werden. Datenübermittlungen im Rahmen von Insolvenzverwertungen und Asset Deals werden dann jedenfalls – soweit keine besonderen Kategorien personenbezogener Daten betroffen sind – nicht mehr von einem grundsätzlichen Einwilligungstatbestand wie § 28 Abs. 3 BDSG abhängig sein, sondern dem allgemeinen Abwägungstatbestand des Art. 6 Abs. 1 Buchst. f) DS-GVO unterfallen.
Mühlhausen
Telefon: 03601 48 32 0
Leinefelde
Telefon: 03605 544 330
Gotha
Telefon: 03621 510 18 60 (RAe)
Telefon: 03621 510 18 00 (StB)
oder schreiben Sie hier eine Mail: