08.11.2021
Die Reform des Kaufrechts durch die sog. Warenkauf-RL und die dID-Richtlinie betrifft auch die kaufrechtlichen Sonderbestimmungen für Garantieerklärungen.
» weiterlesen ...13.03.2021
Der I. Zivilsenat des Bundesgerichtshofs hat mit dem Beschluss vom 11.02.2021 dem Gerichtshof der Europäischen Union Fragen vorgelegt, mit denen geklärt werden soll, inwieweit Internethändler Verbraucher über Herstellergarantien für die angebotenen Produkte informieren müssen. Die Beantwortung der Fragen durch den …mehr
» weiterlesen ...08.07.2019
Das Oberlandesgericht Frankfurt am Main hat entschieden, dass Amazon verlangen kann, dass sog. Drittanbieter auf amazon.de ihre Produkte nicht mit „gekauften“ Bewertungen bewerben, ohne kenntlich zu machen, dass die Tester einen vermögenswerten Vorteil erhalten haben.
» weiterlesen ...Der Bundesgerichtshof hat mit Urteil vom 25.03.2021 (Az. I ZR 203/19) entschieden, dass erhobene Zusatzgebühren für Zahlungsdienstleister wie „Paypal“ oder „Sofortüberweisung“ zulässig sind.
In dem der Entscheidung des BGH zugrunde liegenden Sachverhalt hat ein Reisedienstleister bei der Buchung von Tickets die Bezahlung unter anderen durch die Zahlungsdienstleister „Paypal“ und „Sofortüberweisung“ ermöglicht. Bei beiden Methoden musste der Kunde jedoch eine Zusatzgebühr an den Reisedienstleister bezahlen.
Daraufhin klagte die Wettbewerbszentrale gegen den Reisedienstleister mit der Begründung, die Zahlungsleistungen würden den § 270a BGB entsprechen und daher wäre ein etwaiges Entgelt unwirksam. Der § 270a BGB wurde 2018 zur Umsetzung der zweiten Zahlungsdienst-Richtlinie eingeführt. Hierdurch sollen vertragliche Vereinbarungen zwischen Schuldner und Gläubiger, durch die der Schuldner verpflichtet wird, ein Entgelt für die Nutzung bestimmter bargeldloser Zahlungsmittel zu leisten, verboten werden. Ein Verstoß wäre als Rechtsbruch nach § 3a UWG zudem wetttbewerbswidrig.
Zur Frage stand somit ob der Service der Online Zahlungsdienstleister als SEPA-Überweisung, SEPA-Lastschrift oder kartengebundene Zahlung einzustufen ist und somit entgeltfrei bleiben muss.
Der BGH hat nun mit dem Urteil vom 25.03.2021 entschieden, dass die Zahlungen mit dem Serviceleister „Sofortüberweisung“ als SEPA-Überweisungen zwar im Anwendungsbereich des § 270a BGB liege. Demgegenüber werde das Entgelt jedoch nicht für den Zahlungsverkehr, sondern für die Einschaltung des Dienstleisters und damit verbundene gesonderte Dienste, wie beispielhaft Bonitätsprüfungen und Benachrichtigungen, erhoben.
Nichts anderes gelte im Ergebnis auch für den Zahlungsdienst „Paypal“, da auch in diesem Falle das Entgelt nicht für den Zahlungsvorgang, sondern für das Einschalten des Zahlungsdienstleisters und dessen Services erhoben wurde.
Entgelte für zusätzliche Leistungen sind nach Ansicht des BGH nicht von § 270a BGB umfasst.
Durch das Urteil des BGH schafft Rechtssicherheit bei Onlinehändlern und Zahlungsdienstleistern mit entsprechenden Geschäftsmodellen. Das Weiterreichen von Gebühren für Services der Zahlungsdienstleister bleibt somit grundsätzlich möglich.
BGH Urteil vom 25.03.2021 (Az. I ZR 203/19)
Bei Fragen zum E-Commerce stehen wir Ihnen gerne zur Verfügung.
Die Bewerbung eines Fitnessstudio-Vertrages mit der monatlichen Gebühr muss auch etwaig anfallende Quartalsgebühren enthalten. Soweit die Gesamtkosten nicht eindeutig und klar erkennbar sind, ist dies wettbewerbswidrig. Das rechtswidrige Verhalten anderer Mitbewerber rechtfertigt diese Werbung nicht.
Das OLG Frankfurt am Main (Urteil vom 04.02.2021, Az. 6 U 269/19) hat die Berufung eines Fitnessstudiobetreibers gegen eine Unterlassungsverpflichtung zurückgewiesen. Das Fitnessstudio warb mit einem Monatspreis von „Euro 29,99 bei 24-Monate Abo“. Die Aussage war mit einem Sternchen markiert, welches am rechten Rand in kleiner Schrift quer den Hinweis „zzgl. Euro 9,99 Servicegebühr/Quartal“ enthielt.
Das OLG Frankfurt am Main stützte die Unterlassungsverpflichtung nach §§ 8 Abs. 1, 3 Abs. 1, 3a UWG auf den Rechtsbruch des § 1 PAngV
Nach höchstrichterlicher Rechtsprechung muss der anzugebende Gesamtpreis das „tatsächlich zu zahlende Gesamtentgelt“ inklusive Steuern und sonstiger Gebühren enthalten. Ein durch Sternchen getätigter Hinweis auf weitere Gebühren ist hier nicht zulässig. Dies wäre nur zulässig soweit der zusätzliche Preis eindeutig zu erkennen ist und die Aufspaltung keinen ausschlaggebenden Einfluss auf die Verbraucherentscheidung hat.
Vorliegend war aber der zusätzlich zu zahlende Preis grafisch extra klein und quer geschrieben und somit gerade nicht hinreichend klar erkennbar. Auch lag der Monatspreis durch die nicht Einberechnung der Servicegebühr gerade unterhalb der 30 Euro Grenze, welche den Kunden beeinflussen sollte.
Der Umstand, dass auch anderen Mitbewerber nicht mit dem Gesamtentgelt werben führt nicht zum Wegfall der in § 3a UWG erforderlichen Spürbarkeit. Zum einen werben nicht ALLE Mitbewerber in dieser Art und zum anderen kann durch den Rechtsmissbrauch einer gesamten Branche ein rechtwidrige Verhalten nicht gerechtfertigt werden. Eine Nichtverfolgung von Wettbewerbsverstößen würde gegen den Sinn und Zweck des UWG laufen.
Bei Fragen zur Preiswerbung im Wettbewerbsrecht stehen wir Ihnen gerne zur Verfügung.
Der I. Zivilsenat des Bundesgerichtshofs hat mit dem Beschluss vom 11.02.2021 dem Gerichtshof der Europäischen Union Fragen vorgelegt, mit denen geklärt werden soll, inwieweit Internethändler Verbraucher über Herstellergarantien für die angebotenen Produkte informieren müssen.
Die Beantwortung der Fragen durch den Gerichtshof der Europäischen Union ist entscheidend für die Informationspflichten im E-Commerce bezüglich möglicher Herstellergarantien. Hierbei geht es um die schon länger diskutierte Frage, in welchen Fällen dem Händler Informationspflichten obliegen. Muss bereits beim Vorliegen einer Herstellergarantie informiert werden oder nur wenn damit auch geworben wird. Darüber hinaus stellt sich die Frage wann damit geworben wird. Reicht bereits ein Hinweis oder wie im vorliegenden Fall ein Link zu einem Produktinformationsschreiben des Herstellers, welches zur Verfügung gestellt wird.
Bei Verstößen gegen etwaige Informationspflichten könnten den Onlinehändlern Abmahnungen drohen (§ 8 Abs. 1 Satz 1, § 3 Abs. 1, § 3a UWG i.V.m. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 EGBGB).
Die Parteien vertreiben Taschenmesser im Wege des Internethandels. Die Beklagte bot ein Schweizer Offiziersmesser an. Die Angebotsseite enthielt unter „Weitere technische Informationen“ einen Link mit der Bezeichnung „Betriebsanleitung“. Dieser öffnete ein Produktinformationsblatt mit Hinweis auf die Garantie, welche sich „zeitlich unbeschränkt auf jeden Material- und Fabrikationsfehler (für Elektronik 2 Jahr) erstreckt Schäden, die durch normalen Verschleiß oder unsachgemäßen Gebrauch entstehen, sind durch die Garantie nicht gedeckt.“ Weitere Informationen zur Garantie enthielt das Produktinformationsblatt nicht.
Die Klägerin hat beantragt, der Beklagten zu verbieten, den Absatz von Taschenmessern an Verbraucher mit Hinweisen auf Garantie zu bewerben, ohne hierbei auf die gesetzlichen Rechte des Verbrauchers hinzuweisen sowie darauf hinzuweisen, dass sie durch die Garantie nicht eingeschränkt werden, und ohne den räumlichen Geltungsbereich des Garantieschutzes anzugeben.
Die Klage wurde vom LG Bochum abgewiesen, jedoch war die Berufung am OLG Hamm erfolgreich. Der BGH hat nun über die zugelassene Revision zu entscheiden.
Löst das bloße Bestehen einer Herstellergarantie die Informationspflicht nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU aus. Falls dem nicht so ist genügt schon die bloße Erwähnung einer Herstellergarantie im Angebot oder wenn die Erwähnung für den Verbraucher ohne weiteres erkennbar ist.
Besteht eine Informationspflicht, wenn der Verbraucher ohne weiteres erkennen kann, dass der Unternehmer nur Angaben des Herstellers zur Garantie zugänglich macht.
Welche Informationen sind nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU über das Bestehen und die Bedingungen einer Herstellergarantie zu geben im Vergleich zu den Angaben zur Garantie nach Art. 6 Abs. 2 der Richtlinie 1999/44/EG.
Beschluss v. 11.02.2021, I ZR 241/19
Bei Fragen zu Hinweispflichten im Onlinehandel stehen wir Ihnen gern zur Verfügung.
Mit Beschluss vom 14.01.2021 hat das Bundesverfassungsgericht (Az. 1 BvR 2853/19) einer Urteilsverfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG stattgegeben. Das Gericht hätte die streitgegenständliche Frage bezüglich des Schmerzensgeldanspruchs wegen datenschutzwidriger Verwendung einer E-Mailadresse zu Werbezwecken dem EuGH vorlegen müssen.
Gegenstand der Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Der dortige Kläger und Beschwerdeführer erhielt eine Werbe-Mail an seine berufliche E-Mail-Adresse. Neben Unterlassung beantragte der Kläger auf Grundlage von Art. 82 DSGVO ein Schmerzensgeld von mindestens 500 €.
Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Das Amtsgericht Goslar gab der Klage überwiegend statt, lehnte jedoch den Schmerzensgeldanspruch mit der Begründung ab, die Erheblichkeitsschwelle sei nicht überschritten. Eine einzige Werbe-Mail, die klar erkennbar als solche zu identifizieren sei, würde den Kläger nicht erheblich stören. Die Frage, ob die Erheblichkeitsschwelle der deutschen Rechtsprechung in Bezug auf Persönlichkeitsrechtsverletzungen auch im Unionsrecht (DSGVO) gelte, warf das Gericht auf, verzichtete gleichwohl auf ein Vorabentscheidungsersuchen an den EuGH.
Gegen dieses Urteil legte der Kläger Verfassungsbeschwerde nach Art. 101 Abs. 1 Satz. 2 GG ein, da er in seinem Recht auf den gesetzlichen Richter verletzt sei. Das Amtsgericht hätte den EuGH im Wege eines Vorabentscheidungsverfahren nach Art. 267 Abs. 3 AEUV anfragen müssen. Die Richter in Karlsruhe gaben ihm Recht und sahen das Recht des Klägers auf den gesetzlichen Richter verletzt.
Die bisherige Rechtsprechung offenbart, dass die nationalen Gerichte bislang eher zurückhaltend mit dem Zusprechen von immateriellem Schadensersatz wegen Verletzungshandlungen nach Maßgabe der DSGVO sind. Zwar wird im Lichte von Art. 82 DSGVO überwiegend keine schwere Verletzung des Persönlichkeitsrechts gefordert, gleichwohl üben sich ordentliche Gerichte und Arbeitsgerichte in Zurückhaltung bei der Zuerkennung von Schmerzensgeld, insbesondere bei bloßen Bagatellverstößen. Dies mag sich mit der Rechtsprechung des EuGH in Zukunft ändern.
BVerfG Beschluss vom 14. Januar 2021 (Az. 1 BvR 28531/19)
AG Goslar Urteil vom 27. September 2019 (Az. 28 C 7/19)
Bei Fragen zum Datenschutz stehen wir Ihnen gerne zur Verfügung.
Das „Gesetz zur Stärkung des fairen Wettbewerbs“ vom 02.Dezember 2020 änderte das UWG dahingehend, dass der „fliegende Gerichtsstand“ deutlich eingeschränkt wird. Das OLG Düsseldorf bestätigte nun erstmals die Einschränkung, während das LG Düsseldorf weiterhin am fliegenden Gerichtsstand festhält.
Bis in Krafttreten der Gesetzesänderung konnte im Bereich des UWG Klage dort erhoben werden, wo die Zuwiderhandlung begangen wurde oder auch wo sie sich auswirkt (fliegender Gerichtsstand). Auf Grund der deutschlandweiten Auswirkung von unlauteren Wettbewerb im Internet konnte somit an jedem Landgericht in Deutschland Klage erhoben werden.
In der Neufassung des § 14 UWG wird nunmehr der Bereich der „Rechtsstreitigkeiten wegen Zuwiderhandlungen im elektronischen Geschäftsverkehr“ und „in Telemedien“ (Satz 3 Nr. 1) ausgeklammert. Hiermit wollte das Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) einen Missbrauch des fliegenden Gerichtsstands verhindern. Nach dem BMJV bestand die Gefahr sich die passende Rechtsprechung nach LG Bezirk auszusuchen sowie durch hohen Reise- und Kostenaufwand Beklagte abzuschrecken.
Das Landgericht Düsseldorf (Beschl. v. 15.01.2021 – 38 O 3/21) hat sich im Januar in einem einstweiligen Verfügungsverfahren mit dem fliegenden Gerichtsstand auseinandergesetzt und diesen nicht gänzlich verabschiedet. Nach dem LG Düsseldorf sei der § 14 Abs. 2 Satz 3 Nr. 1 UWG einschränkend auszulegen. Die Ausnahme greife hier nicht, da diese nur bei Geschäften greifen, welche „zwingend ein Handeln im elektronischen Geschäftsverkehr oder in den Telemedien erfordern (…) und bei Nutzung eines anderen Kommunikationskanals nicht verwirklicht werden könnten“.
Die Einschränkung in § 14 Abs. 2 Satz 3 Nr. 1 UWG würde somit nur auf Geschäfte abzielen die ausschließlich im Internet getätigt werden können. Nicht aber solche, welche auch über andere Kommunikationswege oder direkten Kontakt getätigt werden.
Das OLG Düsseldorf (Beschluss vom 16.02.2021 – I-20 W 11/21) ist der Ansicht deutlich entgegen getreten. In der Entscheidung zur sofortigen Beschwerde, die sich gegen den Entzug des gesetzlichen Richters richtete, nahm das OLG Stellung zur Auslegung des § 14 Abs. 2 Satz 3 Nr. 1 UWG.
Das OLG gab dem LG vor, im Falle eines Widerspruches die örtliche Zuständigkeit noch einmal genau zu überprüfen, da die die vorgenommene Auslegung des § 14 UWG erhebliche Bedenken hervorruft.
Weder der Wortlaut der Neufassung noch Sinn und Zweck würden eine Auslegung des Paragraphen in der Art rechtfertigen. Dem Gesetzgeber kam es gerade darauf an den fliegenden Gerichtsstand bei Verstößen im Internet einzuschränken.
Auch eine teleologische Reduktion könnte nicht vorgenommen werden, da der Gesetzgeber sich bewusst gegen die Einschränkung von nur einzelnen Bereichen im Online Wettbewerbsrecht entschieden hat. Eine solche Einschränkung wie sie das LG vorgenommen hat war somit gerade nicht gewollt.
Mit einem Beschluss vom 26. Februar 2021 – 38 O 19/21 hat das LG Düsseldorf noch einmal dessen Standpunkt dargestellt und ein weiteres Festhalten an die teleologische Reduktion erklärt. Die Ausführungen des OLG Düsseldorf hätten als obita dicta keine bindende Wirkung für das Landgericht.
Der Ansicht des LG Düsseldorf folgte nun auch das LG Frankfurt a.M. (Urteil vom 11.05.2021 Az. 3-06 O 14/21) und nahm in einem ähnlichen Fall den fliegenden Gerichtsstand an.
Bei Fragen zum Wettbewerbsrecht stehen wir Ihnen gern zur Verfügung.
Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 01.10.2019 wesentliche Fragen im Zusammenhang mit dem rechtskonformen Einsatz von Cookies beantwortet.
Die Entscheidung ist inhaltlich nicht überraschend. Bereits der Generalanwalt hatte sich zu den nun entschiedenen Fragen entsprechend positioniert. Zudem deckt sich die in der Entscheidung vom EuGH vertretene Auffassung mit der von vielen Seiten bereits seit langem vertretenen Auslegung der maßgeblichen europäischen Vorschriften. Gleichwohl sind die Konsequenzen der nun höchstrichterlich bestätigten hohen Anforderungen an den Einsatz von Cookies für Betreiber von Webseiten und Online-Diensten, insbesondere aber für die Online-Marketingbranche, erheblich.
Was wurde konkret entschieden?
Der EuGH stellt in seiner Entscheidung zunächst fest, dass der Einsatz von Cookies oder – anders ausgedrückt – das Speichern von Informationen auf dem Endgerät eines Nutzers bzw. das Abrufen von Informationen, die im Endgerät des Nutzers gespeichert sind, grundsätzlich der vorherigen Zustimmung (Einwilligung) des betreffenden Nutzers bedarf. Dabei muss die Einwilligung des Nutzers in Form einer aktiven Handlung erfolgen. Das bisher weit verbreitete Opt-Out-Verfahren, bei der die Einwilligung „voreingestellt“ ist und der Nutzers nur aktiv werden muss, wenn er die Verwendung ablehnen möchte, reicht dazu nicht aus. Nicht ausreichend sind daher auch Gestaltungen, bei denen der Nutzer durch das reine Weiternutzen eines Online-Angebotes die Zustimmung zur Verwendung der Cookies erteilen soll. Erforderlich sind vielmehr Opt-In-Verfahren bzw. solche Verfahren, bei denen der Nutzer nachvollziehbare, aktive Handlungen vornimmt, mit denen er die Zustimmung zur Verwendung der Cookies ausdrückt.
Entsprechende Einwilligungen des Nutzers sind grundsätzlich immer erforderlich, ganz gleich, ob mittels der eingesetzten Cookies personenbezogene Daten erhoben bzw. verarbeitet werden oder nicht. Ausgenommen vom Einwilligungserfordernis ist lediglich der Einsatz solcher Cookies, die zur Bereitstellung des jeweiligen Dienstes technisch erforderlich sind.
Weiter befasst sich die Entscheidung des EuGH mit der Frage des Umfangs der dem Nutzer im Zusammenhang mit seiner Einwilligung zu erteilenden Informationen. Der EuGH stellt hierzu fest, dass die Wirksamkeit der vom Nutzer erteilten Einwilligung maßgeblich davon abhänge, dass der Nutzer diese auf Grundlage klarer und umfassender Informationen über die eingesetzten Cookies erteilt. Diese Informationen müssen so beschaffen sein, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer somit in die Lage versetzen, die Konsequenzen einer von ihm erteilten Einwilligung leicht zu überblicken. Insofern müssten die Informationen insbesondere über die Funktionsweise des jeweiligen Cookies, die Funktionsdauer sowie über den Umstand aufklären, ob Dritte Zugriff auf die Cookies erhalten können.
Betreiber von Webseiten, Anbieter von Online-Shops und Online-Diensten sollten daher vor diesem Hintergrund die Gestaltung des Einsatzes von Cookies im Rahmen Ihres Angebotes zunächst dahingehend prüfen, ob sie einwilligungspflichtige, d.h. nicht technisch notwendige Cookies einsetzen. Relevant sind dabei insbesondere Tracking- und Analyse-Tools, Tools für das Retargeting und Remarketing sowie Social-Media-Plugins, die Informationen unter Verwendung von Cookies oder entsprechender Technologien verarbeiten.
In diesen Fällen ist dann zunächst das Einwilligungsverfahren so zu gestalten, dass der Nutzer aktiv und vorab seine Zustimmung erteilt (insbesondere mittels Opt-in-Lösungen) und andernfalls – bei Ablehnung durch den Nutzer – entsprechende Techniken nicht zum Einsatz kommen. Zudem muss im Kontext der Einwilligung sichergestellt sein, dass dem Nutzer vor der Erteilung der Einwilligung die erforderlichen Informationen zu den jeweiligen Cookies zur Verfügung stellt werden, etwa – soweit möglich – unmittelbar im Einwilligungsverfahren sowie ergänzend über transparent einbezogene und leicht zugängliche (Datenschutz-)Hinweise.
Bei Fragen zum Datenschutz stehen wir gern zur Verfügung.
Der EuGH hat auf der Grundlage der Datenschutzrichtlinie (Richtlinie 95/46/EG) mit Urteil vom 29.07.2019 – Az. C‑40/17 – entschieden, dass Websitebetreiber beim Einsatz des Facebook-Plugins gemeinsam mit dem Anbieter (Facebook) für die Erhebung auf der Website und die Übermittlung dieser Daten an Facebook datenschutzrechtlich verantwortlich sind. Die gemeinsame Verantwortlichkeit führt jedoch nicht zu einer allumfassenden Verantwortlichkeit des Websitebetreibers für vor- oder nachgelagerte Phasen der Datenverarbeitung, auf die keinerlei Einfluss besteht.
In dem dem Vorlageverfahren zugrunde liegenden Sachverhalt hatte ein Online-Händler (Fashion-ID) auf seiner Website ein sog. Facebook-PlugIn „Gefällt mir“ eingebunden. Aufgrund des Einsatzes des Plugins wurden beim Aufruf der Website Daten an Facebook, insbesondere IP-Adresse des Endgeräts des Besuchers sowie technische Informationen des Browers übermittelt.
Unter Bezugnahme auf die vorangegangene Rechtsprechung hat der EuGH den Website-Betreiber als gemeinsam Verantwortlichen im Sinne der Datenschutz-RL qualifiziert, da der Website-Betreiber durch die Integration des Plugins auf dessen Website die Erhebung der Daten und die Weitergabe an Facebook beeinflusse, mithin gemeinsam über „Zweck und Mittel“ der Datenverarbeitung entscheide. Demgegenüber erscheine es jedoch nach Aktenlage ausgeschlossen, dass auch eine gemeinsame Verantwortlichkeit bezüglich einer nachgelagerten Datenverarbeitung durch bzw. bei Facebook in Frage käme.
Bezüglich der Legitimation der Datenverarbeitung könnten sich die gemeinsam Verantwortlichen nur dann auf ein „berechtigtes Interesse“ berufen, wenn sowohl Website-Betreiber als auch Anbieter mit den Verarbeitungsvorgängen jeweils ein berechtigtes Interesse wahrnähmen.
Besteht beim Website-Betreiber ein solches nicht, bedürfe es neben der Erteilung der Pflichtinformationen einer vorherigen Einwilligung des Website-Besuchers. Unter Berücksichtigung der unterschiedlichen Verantwortungsbereiche in den unterschiedlichen Datenverarbeitungsphasen könne sich der Umfang der Einwilligung und die Erteilung der Pflichtinformationen jedoch auf solche Datenverarbeitungsvorgänge beschränken, welche der gemeinsamen Verantwortlichkeit unterliegen.
Hinweise:
Das Urteil des EuGH bestätigt erneut den weiten Anwendungsbereich der datenschutzrechtlichen „gemeinsamen Verantwortlichkeit“, wie sie nunmehr in Art. 4 Nr. 7, 26 DSGVO verankert ist. Geht man mit guten Gründen davon aus, dass die Bewertungsmaßstäbe für eine gemeinsame Verantwortlichkeit auf die DSGVO übertragbar sind, bedarf es unter Geltung der DSGVO nunmehr einer zusätzlichen Vereinbarung zwischen den Verantwortlichen, wobei das Wesentliche den betroffenen Personen zur Verfügung gestellt werden muss. Ob in jedem Fall auch eine Einwilligung vom Websitebetreiber einzuholen ist, lässt das Gericht grundsätzlich offen. Geht man jedoch davon aus, dass Cookies oder ähnliche Webtechnologien im Rahmen des Plugins zum Einsatz kommen bzw. Zugriff auf Informationen im Endgerät gewährt wird, die nicht notwendigerweise datenschutzrechtlich relevant sein müssen, wäre zumindest eine Einwilligung und Informationserteilung nach Maßgabe der Richtlinie 2002/58 geboten.
Bei Fragen zur gemeinsamen Verantwortlichkeit oder anderen datenschutzrechtlichen Themen stehen wir gern zur Verfügung.
Der Europäische Gerichtshof hat im Jahr 2018 wegweisende Urteile über die gemeinsame Verantwortlichkeit verkündet (u.a. „Facebook-Insights“ u. „Zeugen Jehovas“). Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Notwendigkeit einer vertraglichen Vereinbarung zwischen den beteiligten Verantwortlichen ist für viele Verantwortliche neu. Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt.
Gemäß Art. 26 Abs. 1 S. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese Definition baut auf Art. 4 Nr. 7 DSGVO auf, wonach Verantwortlicher diejenige Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Einordnung und Abgrenzung
Die „gemeinsame Verantwortlichkeit“ stellt keine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, sondern dient der Klarstellung, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, ist für diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO notwendig.
Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung nach Art. 28 DSGVO. Maßgeblich sind die tatsächlichen Umstände der Entscheidung über die Datenverarbeitung sowie der faktische Einfluss auf diese, nicht hingegen die in einer Vereinbarung festgelegte „formale“ Bezeichnung. Ein wichtiges Abgrenzungskriterium ist die Weisungsabhängigkeit.
Voraussetzungen
Voraussetzung für die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO ist eine gemeinsame Festlegung der Zwecke der und Mittel zur Verarbeitung. Eine „gemeinsame Entscheidung“ über die Zwecke und Mittel der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt.
Der Europäische Gerichtshof hat in der Entscheidung „Zeugen Jehovas“ klargestellt, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten voraussetzt. Die Akteure könnten vielmehr in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände zu beurteilen ist. Die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung setze zudem nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat. Es sei denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung gemeinsam Verantwortliche sind.
Dass ein tatsächlicher Einfluss auf die Datenverarbeitung verknüpft mit der Möglichkeit, daraus wirtschaftliche Vorteile zu ziehen, eine gemeinsame Verantwortlichkeit im Sinne des Art. 16 DSGVO begründen kann, zeigt die Rechtsprechung des Europäischen Gerichtshofs in Bezug auf die Funktion Facebook Insights.
Facebook-Fanpage Betreiber können anonymisierte statistische Daten betreffend die Nutzer in Facebook-Insights einsehen und z.B. für gezielte Werbung nutzen. Bei der Einrichtung einer Facebook-Fanpage nimmt der Betreiber der Seite eine Parametrierung u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten vor, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Außerdem kann der Betreiber die Kriterien festlegen, nach denen Statistiken erstellt werden sollen und die Kategorien von Personen bezeichnen, deren personenbezogenen Daten ausgewertet werden. Daraus schließt der Gerichtshof, dass der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung personenbezogener Daten der Besucher seiner Seite beiträgt. Durch die vorgenommene Parametrierung u.a. entsprechend dem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten sei der Fanpage Betreiber an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beteiligt und daher als gemeinsam mit Facebook Ireland für diese Verarbeitung verantwortlich.
Rechtsfolgen des Art. 26 DSGVO
Art. 26 DSGVO legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DSGVO geltenden Pflichten hinausgehen. Dadurch soll u.a. die Transparenz und Rechtsdurchsetzung für die betroffenen Personen verbessert werden. Außerdem soll bezüglich der Verantwortung und Haftung der Verantwortlichen – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – eine klare Zuteilung der Verantwortlichkeiten durch die DSGVO gewährleistet werden.
Es ist eine Vereinbarung nach Art. 26 DSGVO (Joint Controllership Agreement) abzuschließen. In dieser Vereinbarung ist gemäß Art. 26 Abs. 1 S. 2 DSGVO festzulegen, wer welche in der DSGVO geregelten Verpflichtungen, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO, erfüllt. Nach Art. 26 Abs. 1 S. 3 DSGVO kann eine Anlaufstelle für die betroffene Person angegeben werden. Art. 26 Abs. 2 S. 1 DSGVO regelt, dass die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln muss. Gemäß Art. 26 Abs. 2 S. 2 DSGVO „wird“ das Wesentliche der Vereinbarung der betroffenen Person zur Verfügung gestellt. Das umfasst eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll.
Der Abschluss einer solchen Vereinbarung ist wichtig, um die in Art. 83 Abs. 4 lit. a DSGVO enthaltenen Geldbußen zu vermeiden. Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3 DSGVO). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 DSGVO gemeinschaftlich.
Hinweise
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat ein Muster zur Vereinbarung gemäß Art. 26 Abs. 1 S. 1 DSGVO sowie zur Information betroffener Personen gemäß Art. 26 Abs. 2 S. 2 DSGVO veröffentlicht. Hingewiesen sei außerdem auf das durch die Datenschutzkonferenz veröffentlichte Kurzpapier zur gemeinsamen Verantwortlichkeit.
Links zu den Entscheidungen des Europäischen Gerichtshofs: „Facebook Insight“, „Zeugen Jehovas“
Für Fragen zur gemeinsamen Verantwortlichkeit oder anderen Themen der DSGVO stehen wir gern zur Verfügung.
Das Oberlandesgericht Frankfurt am Main hat entschieden, dass Amazon verlangen kann, dass sog. Drittanbieter auf amazon.de ihre Produkte nicht mit „gekauften“ Bewertungen bewerben, ohne kenntlich zu machen, dass die Tester einen vermögenswerten Vorteil erhalten haben.
„Gekaufte“ Bewertungen sind in diesem Zusammenhang keine inhaltlich falschen Bewertungen sondern gemeint sind Rezensionen, die nicht auf Grundlage eines Kaufentschlusses des Testers sondern nach entgeltlicher Beauftragung abgegeben werden. Im Regelfall, gegebenenfalls gegen Zahlung eines kleinen Entgelts, darf der Tester die Produkte behalten. Rezensionen dieser Art werden von sog. Drittanbietern verkauft.
„Authentische“ Bewertungen werden dagegen unbeeinflusst von Dritten, unentgeltlich und ohne die Ware ggf. kostenfrei behalten zu dürfen, abgegeben.
weiterlesen …Betreiber von Facebook-Fanpages sollten zur Risikominimierung ihre Datenschutzhinweise an die von Facebook bereitgestellte Joint-Controller-Vereinbarung anpassen. Rechtssicherheit bezüglich des datenschutzkonformen Betreibens von Social-Media-Auftritten besteht hierdurch jedoch weiterhin nicht.
Im Juni 2018 hatte der EuGH (Az. C-210/16) in einem viel beachteten Urteil entschieden, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook verantwortlich für die Verarbeitung personenbezogener Daten der Besucher sind, sog. „Joint Controllership“.
Eine gemeinsame datenschutzrechtliche Verantwortlichkeit erfordert nach Maßgabe des seit Mai 2018 anzuwendendem Art. 26 DS-GVO insbesondere auch eine sog. Joint Controller-Vereinbarung, die klarstellt, wie die gemeinsam Verantwortlichen die Pflichten aus der DSGVO erfüllen werden. Zudem müssen Fanpage-Besucher vom Betreiber der Fanpage in transparenter und verständlicher Form über die gemeinsame Datenverarbeitung informiert werden (Datenschutzhinweise). weiterlesen …
Produktplatzierung, Sponsoring und Co. in sozialen Medien verwässern die Grenzen zwischen kommerzieller Werbung und Nutzung zu privaten Zwecken bzw. zulässigen Produktberichten. Soziale Netzwerke wie Facebook und Instagram werden immer häufiger zur Präsentation von Produkten genutzt, indem bezahlte Werbepartner diese Produkte im Rahmen ihrer Posts werbewirksam platzieren. Der kommerzielle Zweck des Posts ist dabei in vielen Fällen nicht bzw. nicht ausreichend kenntlich gemacht.
Das OLG Celle hatte zu beurteilen, inwieweit die Kennzeichnung eines solchen Posts mit dem Hashtag „#ad“ am Ende eines auf Instagram geposteten und werbefinanzierten Beitrags den wettbewerbsrechtlichen Anforderungen genügt, insbesondere wenn diese Kennzeichnung an zweiter Stelle in einer Reihe von sechs Hashtags erfolgt.
Kernfrage der Beurteilung war, ob die Kennzeichnung „#ad“ den kommerziellen Zweck des werbefinanzierten Beitrags ausreichend erkennen lässt. weiterlesen …
Online-Händler sind durch die EU-Verordnung Nr. 524/2013 (ODR-Verordnung) grundsätzlich verpflichtet, auf eigenen Webseiten einen Link zur Europäischen Online-Streitbeilegungs-Plattform (OS-Plattform) bereitzuhalten. Das Oberlandesgericht Hamm hat entschieden, dass Online-Händler auch im Rahmen eigener Angebote auf Online-Marktplätzen – zusätzlich zum Betreiber des Online-Marktplatzes – verpflichtet sind, einen Link zur Streitbeilegungsplattform bereitzuhalten.
Kernfrage der Entscheidung ist, ob es sich bei einer einzelnen „Angebotsseite“ auf Online-Marktplätzen wie eBay um eine „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 der ODR-Verordnung handelt.
Art. 14 Abs. 1 Satz 1 ODR-Verordnung:
„In der Union niedergelassene Unternehmer, die Online-Kaufverträge oder Online-Dienstleistungsverträge eingehen, und in der Union niedergelassene Online-Marktplätze stellen auf ihren Websites einen Link zur OS-Plattform ein.“
Das OLG Hamm zog hier den deutsch- sowie den englischsprachigen Eintrag im Internet-Lexikon „Wikipedia“ zum Begriff „Website“ zur Beurteilung heran. Der deutschsprachige Eintrag beschreibe eine Website als Zusammenfassung aller einem Anbieter gehörenden Webseiten, die unter einer bestimmten Domain zusammengefasst sind. Der englischsprachige Eintrag lege hingegen nahe, dass die Zusammenfassung der Webseiten unter einer gemeinsamen Domain lediglich ein typisches Indiz, jedoch kein notwendiges Merkmal einer Webseite sei. Daher könne auch eine einzelne Angebotsseite bzw. der Auftritt eines Unternehmers auf einer Internetplattform als „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 verstanden werden. weiterlesen …
Das Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG) ist am 1.10.2017 in Kraft getreten. Sinn und Zweck des Gesetzes ist es, soziale Netzwerke zu einer zügigeren und umfassenderen Bearbeitung von Beschwerden über Hasskriminalität und andere strafbare Inhalte anzuhalten. weiterlesen …
Die Datenschutzgrundverordnung (DSGVO) wird die betriebliche Datenschutzpraxis in Europa insgesamt verändern und die Anforderungen an die Datenschutz-Compliance steigern.
Grundlegende Informationen dazu erhalten Sie nachfolgend im Überblick:
1. Ab wann gilt die DSGVO?
Formal betrachtet ist die DSGVO bereits am 25.05.2016 in Kraft getreten. In den europäischen Mitgliedstaaten, und damit auch in Deutschland, ist sie ab dem 25.05.2018 unmittelbar anzuwenden. Das heißt, ab dem 25.05.2018 sind die Anforderungen der DSGVO ohne weitere Umstellungsfrist einzuhalten.
2. Datenschutzorganisation
Die DSGVO stellt neue, strengere Anforderungen an die betriebliche Datenschutzorganisation sowie an die im Zusammenhang mit der Verarbeitung personenbezogener Daten implementierten Prozesse in Unternehmen.
RISIKOBASIERTER DATENSCHUTZ UND DATENSICHERHEIT
Die von der DSGVO geforderten Maßnahmen beim Umgang mit personenbezogenen Daten stehen weitgehend in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten der betroffenen Personen mit sich bringt. Insoweit sind die bisherigen Maßnahmen unter Berücksichtigung einer entsprechenden Risikoanalyse zu prüfen und anzupassen.
Unternehmen müssen zudem grundsätzlich ein – in Bezug auf die vorstehend genannten Risiken für die betroffenen Personen – angemessenes Schutzniveau im Hinblick auf die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten und die dafür zu implementierenden Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen. Verstöße im Bereich der Datensicherheit sind – anders als bisher – nunmehr bußgeldbewehrt (siehe hierzu auch unten „8. Haftung des Unternehmens und Bußgelder“).
DATENSCHUTZ-FOLGENABSCHÄTZUNG
Ein wesentliches Element der Risikoanalyse ist die sogenannte Datenschutz-Folgenabschätzung. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem bisher bekannten Prinzip der sog. Vorabkontrolle ab.
Birgt eine Datenverarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen in sich, so muss das Unternehmen vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen. Dabei sollen insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken der Datenverarbeitung bewertet werden. Das Unternehmen soll auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten und dieses Verfahren nachweisbar dokumentieren. In diesem Zusammenhang sollen auch Maßnahmen, Garantien und Verfahren geprüft werden, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können. Sofern die Datenschutz-Folgenabschätzung ergibt, dass die geplante Datenverarbeitung tatsächlich ein hohes Risiko zur Folge hätte, muss der Verantwortliche nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren, sofern keine Maßnahmen zur Eindämmung des Risikos getroffen werden.
DATENSCHUTZ DURCH TECHNIK UND DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN
Die DSGVO enthält spezifische Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DSGVO schon bei der Prozessgestaltung – Art. 25 Abs. 1 DSGVO: Grundsatz der „privacy by design“ – und bei den Voreinstellungen umzusetzen sind – Art. 25 Abs. 2 DSGVO: Anforderung der „privacy by default“.
Nach dem Grundsatz der „privacy by design“ müssen Unternehmen ihre Verarbeitungsvorgänge und IT-Systeme grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO wirksam umsetzen. Hier ist insbesondere das Gebot der Datenminimierung zu beachten, wonach Unternehmen nur gerade so viele Daten erheben und verarbeiten dürfen, wie es zur Erfüllung des verfolgten Zwecks erforderlich ist.
Zudem sollen insbesondere IT-Systeme nach der Anforderung der „privacy by default“ so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich ist.
3. Dokumentation und Nachweis
Die DSGVO rückt die Verantwortlichkeit der Unternehmen in den Vordergrund und erweitert die Dokumentations- und Nachweispflichten der Unternehmen erheblich.
RECHENSCHAFTSPFLICHT
Nach Art. 5 Abs. 2 DSGVO sind Unternehmen verpflichtet, im Rahmen der neu eingeführten Rechenschaftspflicht (sogenannte „accountability“) die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO nachweisen zu können.
NACHWEISPFLICHT GEMÄSS ART. 24 ABS. 1 DSGVO
Nach Art. 24 Abs. 1 DSGVO muss das Unternehmen nachweisen können, dass es personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet. Daher müssen Unternehmen nicht nur geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass eine Verarbeitung der Daten gemäß der DSGVO erfolgt, sondern auch jederzeit den entsprechenden Nachweis hierüber durch eine geeignete Dokumentation erbringen können. Dementsprechend sind Aufbau und die Durchführung eines effektiven Datenschutzmanagements – einschließlich der umfassenden Dokumentation der Verarbeitungstätigkeiten – zentraler Bestandteil des DSGVO-Anpassungsbedarfs.
VERZEICHNIS VON DATENVERARBEITUNGSTÄTIGKEITEN
Fast alle Unternehmen müssen zudem ein Verzeichnis über die Datenverarbeitungstätigkeiten führen, die der Zuständigkeit des jeweiligen Unternehmens unterliegen. Das heißt, alle Tätigkeiten, die sich mit personenbezogenen Daten beschäftigen, sind in einem geordneten Verzeichnis zu erfassen, die Zulässigkeit der Verarbeitung auf ihre Rechtmäßigkeit hin zu überprüfen, zu dokumentieren und ständig zu aktualisieren. Jede Verarbeitung von personenbezogenen Daten bedarf einer gesonderten Rechtsgrundlage, die im Verfahrensverzeichnis gesondert zu dokumentieren ist. Zudem sind Löschfristen zu beachten und ebenfalls zu dokumentieren.
Das entsprechende Verzeichnis ist der Aufsichtsbehörde jederzeit auf Anfrage zur Verfügung zu stellen.
4. Melde- und Benachrichtigungspflichten
Bei Verletzungen des Schutzes personenbezogener Daten sieht die DSGVO gegenüber der bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich erweiterte Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor.
Wesentliche Voraussetzung für eine entsprechende Pflicht zum Tätigwerden ist eine Verletzung des Schutzes personenbezogener Daten. Danach sind die Hürden für entsprechende Meldepflichten im Vergleich zur bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich abgesenkt. Nach der neuen, abgestuften Meldepflicht ist eine Meldung an die Aufsichtsbehörde bei einer entsprechenden Datenpanne immer erforderlich, es sei denn, dass diese voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Dies ist allerdings nur in den seltensten Fällen der Fall. Dagegen muss eine Benachrichtigung der betroffenen Person grundsätzlich nur dann erfolgen, wenn ein hohes Risiko für die entsprechenden Rechte des Betroffenen besteht.
Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden melden, nachdem das Unternehmen Kenntnis von der Verletzung erlangt hat.
Verstöße bei der Umsetzung der Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten sind mit teilweise empfindlichen Bußgeldern belegt.
5. Auftragsverarbeiter
Den Auftragsverarbeitern (Unternehmen, die weisungsgebunden für Drittunternehmen personenbezogene Daten verarbeiten) werden durch die DSGVO mehr Verantwortung und mehr Pflichten auferlegt.
Auftragsverarbeiter verarbeiten die Daten nach wie vor weisungsgebunden für die verantwortliche Stelle. Verstößt ein Auftragsverarbeiter zukünftig gegen die Pflicht zur weisungsgebundenen Verarbeitung, gilt er nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortlicher, mit allen rechtlichen Konsequenzen. Zudem unterliegt der Auftragsverarbeiter auch neuen speziellen Haftungsregelungen bei Datenschutzverletzungen, die zu Schadensersatzforderungen von Betroffenen auch gegen den Auftragsverarbeiter führen können. Von der Schadensersatzpflicht sind dabei nicht nur materielle, sondern vielmehr auch immaterielle Schäden umfasst.
Darüber hinaus besteht zukünftig für Auftragsverarbeiter die neu eingeführte Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das entsprechende Verzeichnis muss fortlaufend aktualisiert werden und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
Weiter müssen Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die er benötigt, um nachweisen zu können, dass er seine, aus der DSGVO resultierenden Pflichten erfüllt.
6. Datenschutzbeauftragter
Die Pflicht zur Bestellung eines Datenschutzbeauftragten bleibt unter der neuen Rechtslage im Wesentlichen unberührt.
Der Datenschutzbeauftragte wird nach der DSGVO aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes und der Datenschutzpraxis sowie seinen Fähigkeiten, die gesetzlichen Aufgaben zu erfüllen, benannt. Datenschutzbeauftragter kann dabei sowohl ein im Unternehmen Beschäftigter als auch ein Externer (im Dienstleistungsverhältnis) sein.
Das Unternehmen muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Datenschutzfragen eingebunden wird. Er muss bei der Erfüllung seiner Aufgaben umfassend unterstützt werden, insbesondere mit den hierzu erforderlichen Ressourcen und einem Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ausgestattet sein.
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Unternehmens und hat zukünftig unter der DSGVO folgende Aufgaben:
Der Datenschutzbeauftragte hat bei der Erfüllung seiner Aufgaben dem mit den jeweiligen Verarbeitungsvorgängen zusammenhängende Risiko gebührend Rechnung zu tragen. Dabei muss er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung stets im Blick haben.
Die Verletzung der Vorschriften zum Datenschutzbeauftragten ist nach den Regelungen der DSGVO mit Geldbuße bedroht.
7. Rechte der Betroffenen Person
Die Rechte der Personen, deren personenbezogene Daten von der Verarbeitung durch ein Unternehmen betroffen sind, werden unter Geltung der DSGVO noch einmal erweitert.
Pflicht zur Information und zur Transparenz
Unternehmen müssen betroffene Personen zukünftig deutlich umfassender als bislang darüber informieren, wie sie die personenbezogenen Daten der betroffenen Personen verarbeiten. Nach Art. 5 Abs. 1 DSGVO zählt der Transparenzgrundsatz zu den wesentlichen Prinzipien der Verordnung.
Grundsätzlich müssen Unternehmen betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ informieren. Neben spezifischen Vorgaben zu Informationspflichten bei der Erhebung personenbezogener Daten – auch diese gehen hinsichtlich des Umfangs über die bisherigen Anforderungen des bisher geltenden Rechts hinaus – sieht die DSGVO als zentrales Instrument der Transparenz ein erweitertes Auskunftsrecht des Betroffenen über den Umgang mit seinen personenbezogenen Daten vor (Art. 15 DSGVO).
Löschen von Daten und Recht auf Vergessenwerden
Die DSGVO sieht umfassendere Löschpflichten vor als das bisherige nationale Recht. Nach der zukünftigen Regelung in Art. 17 DSGVO, muss der Verantwortliche personenbezogene Daten ohne unangemessene Verzögerung löschen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. So ergibt sich eine Pflicht zum Löschen beispielsweise dann, wenn der Zweck für die Datenverarbeitung weggefallen ist, die betroffene Person ihre Einwilligung oder die entsprechenden Daten unrechtmäßig erhoben oder verarbeitet wurden.
In diesem Falle muss das Unternehmen die entsprechenden Daten löschen, sofern keine vorrangigen berechtigten Gründe für die weitere Verarbeitung vorliegen, Art. 17 Abs. 1 lit. c DSGVO.
Neu eingeführt ist die Regelung, wonach das Unternehmen, sofern es die betroffenen Daten öffentlich gemacht hat, diese nicht nur löschen muss, sondern zukünftig vielmehr auch Dritte, die diese Daten verarbeiten, darüber zu informieren hat, dass eine betroffene Person von ihnen die Löschung aller Links zu oder aller Kopien oder Replikationen von diesen personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO. Auf diese Weise soll dem sogenannten Recht auf Vergessenwerden Geltung verschafft werden.
Koppelungsverbot bei Einwilligungen
Ist die Einwilligung der betroffenen Person zur Erhebung bzw. Verarbeitung ihrer personenbezogenen Daten erforderlich, so muss die entsprechende Einwilligung nach Art. 7 DSGVO durch eine eindeutige Handlung erfolgen. Insbesondere muss die betroffene Person ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekunden, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.
Um sicherzustellen, dass die Einwilligung ohne Zwang erfolgt, darf ein Unternehmen die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung nicht mehr davon abhängig machen, dass die betroffene Person in eine Verarbeitung ihrer personenbezogenen Daten einwilligt, sofern diese Daten für die Erfüllung dieses Vertrags nicht erforderlich sind.
8. Haftung des Unternehmens und Bußgelder
Die DSGVO regelt auch die Haftung von Unternehmen bei Pflichtverletzungen sowie die Sanktionen bei Verstößen gegen die DSGVO in Form von Bußgeldern völlig neu.
Erweiterte Haftung für Verantwortliche und für Auftragsverarbeiter
Die Risiken im Zusammenhang mit der zivilrechtlichen Haftung von Unternehmen wegen tatsächlichen oder behaupteten Verstößen gegen datenschutzrechtliche Pflichten sind unter der DSGVO ebenfalls gestiegen. Nach Art. 82 Abs. 1 DSGVO sind sowohl materielle als auch ausdrücklich immaterielle Schäden zu erstatten, die auf Verstößen gegen die DSGVO beruhen. Die ausdrückliche Erwähnung der immateriellen Schäden ermöglicht es betroffenen Personen zukünftig auch ein angemessenes Schmerzensgeld bei der Verletzung der DSGVO im Rahmen der Verarbeitung ihrer personenbezogenen Daten zu verlangen.
Zudem wird durch die DSGVO nun auch die Haftung explizit auf Auftragsverarbeiter erweitert, Art. 82 Abs. 1 DSGVO.
Bußgelder
Verstöße gegen die DSGVO werden zukünftig drastischer sanktioniert, als dies bisher bei Verstößen gegen das nationale Datenschutzrecht der Fall war.
So sieht Art. 83 DSGVO für Unternehmen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes des betroffenen Unternehmens vor, je nachdem welcher Betrag höher ist. Unter dem BDSG drohte bisher ein Bußgeld von maximal 300.000,00 Euro.
Natürliche Personen, die an Verstößen gegen die DSGVO beteiligt sind, müssen mit Geldbußen von bis zu 20 Millionen Euro rechnen.
In diesem Zusammenhang ist es die Aufgabe der Aufsichtsbehörden, sicherzustellen, dass die Geldbußen für Verstöße gegen die Verordnung „wirksam, verhältnismäßig und abschreckend“ sind.
Bei Fragen zur DSGVO stehen wir gerne zur Verfügung.
Freie-Vogel-Straße 393
44269 Dortmund
Telefon: +49 231 286598-0
Telefax: +49 231 286598-51
E-Mail: kontakt@awpr.de
www.awpr.de
Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)
Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)
Am 1. August 2017 ist die neue Verordnung „zur Festlegung eines Rahmens für die Energieverbrauchskennzeichnung“ (Verordnung Nr. 2017/1369) in Kraft getreten. Die sogenannte EU-Energielabel-Verordnung dient der Umstellung des EU-Energielabels auf die neuen Energieeffizienzklassen. Die teils verwirrenden Klassen A+, A++ etc. werden abgeschafft, die Skala im Sinne der Transparenz für den Verbraucher auf die Klassen A bis G beschränkt.
Bisher sind Online-Händler verpflichtet, bei Werbung für kennzeichnungspflichtige Elektrogeräte mit preis- und energiebezogenen Informationen die Energieeffizienzklasse anzugeben. Seit dem 1. August 2017 greift die Verschärfung des Artikel 6 a der EU-Verordnung: Die Energieeffizienzklasse ist ausnahmslos bei jeder visuell wahrnehmbaren Werbung sowie in technischem Werbematerial für ein bestimmtes Modell anzugeben. Zudem muss auf das Spektrum der auf dem Energielabel verfügbaren Effizienzklassen hingewiesen werden.
Aus einem Urteil des Bundesgerichtshofs (Az. I ZR 159/16) vom 6. April 2017 geht hervor, dass die Energieeffizienzklasse bereits auf der Übersichtsseite der Werbung anzugeben oder klar erkennbar zu verlinken ist. Bei einer Verlinkung müsse der Link selbst einen Hinweis darauf geben, dass dahinter Angaben zur Effizienzklasse zu finden sind.
Darüber hinaus besteht die Pflicht, die Zustimmung des Kunden zu Änderungen, die sich nachteilig auf den Energieverbrauch des Produkts auswirken, einzuholen. Führt etwa ein Software-Update zu einem höheren Stromverbrauch und einer schlechteren Energieeffizienzklasse, so soll dem Kunden offenstehen, die Aktualisierung ohne vermeidbaren Verlust der Funktionalität ablehnen zu können.
Schrittweise Umstellung
Die Umstellung auf die neuen Energieeffizienzklassen erfolgt schrittweise in den nächsten Jahren. Bis 2. November 2018 werden entsprechende Verordnungen für die Produktgruppen Geschirrspüler, Kühlgeräte, Waschmaschinen, Fernsehgeräte und Monitore sowie Lampen und Leuchten überarbeitet. Ab Inkrafttreten der einzelnen Verordnungen haben Hersteller und Händler 12 Monate Zeit, das neue Etikett online sowie am Produkt zu platzieren.
Händler können Produktdatenblätter sowie Etiketten künftig aus einer bis spätestens 1. Januar 2019 neu eingerichteten Online-Produktdatenbank herunterladen. Ab 1. Januar 2019 müssen alle neuen Produkte in diese Datenbank eingetragen werden, bevor sie auf den Markt kommen. Produkte die zwischen dem 1. August 2017 und dem 1. Januar 2019 in Verkehr gebracht werden, müssen bis zum 30. Juni 2019 nachgetragen werden.
Bei Fragen zu diesen oder ähnlichen Themen des E-Commerce stehen wir Ihnen gerne zur Verfügung.
Die CE-Kennzeichnung auf Produkten ist eine Herstellererklärung, mit der die Verantwortung für die Konformität des Produkts mit den einschlägigen europäischen Harmonisierungsanforderungen übernommen wird. Es bestehen strenge Vorgaben, welche Produkte zu kennzeichnen sind und wie bzw. von wem die Kennzeichnung anzubringen ist.
Das Oberlandesgericht Köln hat klargestellt, dass auch Händler verpflichtet sind, zu überprüfen, ob eine CE-Kennzeichnung erforderlich und vorhanden ist (Urteil vom 28.07.2017, 6 U 193/16). Diese Pflicht geht jedoch nicht soweit, dass auch überprüft werden muss, ob die Kennzeichnung richtig auf dem Produkt oder der Verpackung platziert wurde.
Händler sollten sorgfältig prüfen, ob eine Kennzeichnungspflicht besteht und ob diese erfüllt ist. Verstöße gegen die Kennzeichnungspflicht können nicht nur zu Bußgeldern führen, sondern auch als Wettbewerbsverstöße abgemahnt werden.
Kennzeichnungspflichtige Produkte, die nicht ordnungsgemäß gekennzeichnet sind, dürfen nach § 7 Abs. 2 Nr. 2 Produktsicherheitsgesetz (ProdSG) mangels Verkehrsfähigkeit nicht auf dem Markt bereitgestellt werden. Gekennzeichnete Produkte für die jedoch keine Kennzeichnungspflicht besteht, dürfen ebenfalls nicht auf dem Markt bereitgestellt werden (§ 7 Abs. 2 Nr. 1 ProdSG).
Kennzeichnungspflichtige Produkte
CE-Kennzeichnungspflichtig sind alle Produkte, die in den Anwendungsbereich einer EU-Richtlinie fallen, die die Kennzeichnung des Produkts vorsieht. Typischerweise gilt dies etwa für Maschinen, Spielzeug, Elektroartikel usw. Entscheidend ist zudem, dass das Produkt in der EU erstmalig in Verkehr gebracht wird. Ob der Herstellungsort innerhalb oder außerhalb der EU liegt, ist unerheblich. Wichtig ist, dass Produkte, die diese Voraussetzungen nicht erfüllen auch nicht gekennzeichnet werden. Wird ein solches Produkt dennoch mit dem CE-Kennzeichen versehen, so kann dies zu Bußgeldern führen.
Grundsätze der CE-Kennzeichnung
Die Kennzeichnung erfolgt grundsätzlich im Anschluss an ein sogenanntes Konformitätsnachweisverfahren, in dem die Konformität mit den entsprechenden EU-Richtlinien geprüft wird (z.B. Erfüllung der Anforderungen an die Sicherheit), durch den Hersteller des Produkts. Wie bereits gezeigt, kommt es auf den Zeitpunkt des Inverkehrbringens, nicht den der Herstellung, an, so dass die Kennzeichnung nicht zwingend durch den Hersteller erfolgen muss. Dementsprechend sollten Importeure prüfen, ob eine Kennzeichnung bereits besteht oder noch erfolgen muss.
Das CE-Kennzeichen ist gut sichtbar, leserlich und dauerhaft auf dem Produkt oder dem Produktschild anzubringen. Ist dies aufgrund der besonderen Gegebenheiten unmöglich, so kann die Kennzeichnung hilfsweise auf der Verpackung oder den Begleitunterlagen erfolgen.
Werbung
Mit dem CE-Kennzeichen zu werben, birgt die Gefahr, dass der Eindruck erweckt wird, das Produkt sei besonders geprüft. Dies widerspricht dem Sinn und Zweck der Kennzeichnung und gerät in Konflikt mit den Grenzen der zulässigen „Werbung mit Selbstverständlichkeiten“. Eine Pflicht, Verbraucher über die Kennzeichnung zu informieren besteht nicht.
Bei Fragen zur CE-Kennzeichnung oder ähnlichen Themen der Produktsicherheit stehen wir gerne zur Verfügung.