E-Business & Social Media

Die Bewerbung eines Fitnessstudio-Vertrages mit der monatlichen Gebühr muss auch etwaig anfallende Quartalsgebühren enthalten. Soweit die Gesamtkosten nicht eindeutig und klar erkennbar sind, ist dies wettbewerbswidrig. Das rechtswidrige Verhalten anderer Mitbewerber rechtfertigt diese Werbung nicht.

Das OLG Frankfurt am Main (Urteil vom 04.02.2021, Az. 6 U 269/19) hat die Berufung eines Fitnessstudiobetreibers gegen eine Unterlassungsverpflichtung zurückgewiesen. Das Fitnessstudio warb mit einem Monatspreis von „Euro 29,99 bei 24-Monate Abo“. Die Aussage war mit einem Sternchen markiert, welches am rechten Rand in kleiner Schrift quer den Hinweis „zzgl. Euro 9,99 Servicegebühr/Quartal“ enthielt.

Das OLG Frankfurt am Main stützte die Unterlassungsverpflichtung nach §§ 8 Abs. 1, 3 Abs. 1, 3a UWG auf den Rechtsbruch des § 1 PAngV 

1. Wer Verbrauchern gemäß § 13 des Bürgerlichen Gesetzbuchs gewerbs- oder geschäftsmäßig oder wer ihnen regelmäßig in sonstiger Weise Waren oder Leistungen anbietet oder als Anbieter von Waren oder Leistungen gegenüber Verbrauchern unter Angabe von Preisen wirbt, hat die Preise anzugeben, die einschließlich der Umsatzsteuer und sonstiger Preisbestandteile zu zahlen sind (Gesamtpreise). …
2. …

Nach höchstrichterlicher Rechtsprechung muss der anzugebende Gesamtpreis das „tatsächlich zu zahlende Gesamtentgelt“ inklusive Steuern und sonstiger Gebühren enthalten. Ein durch Sternchen getätigter Hinweis auf weitere Gebühren ist hier nicht zulässig. Dies wäre nur zulässig soweit der zusätzliche Preis eindeutig zu erkennen ist und die Aufspaltung keinen ausschlaggebenden Einfluss auf die Verbraucherentscheidung hat.

Vorliegend war aber der zusätzlich zu zahlende Preis grafisch extra klein und quer geschrieben und somit gerade nicht hinreichend klar erkennbar. Auch lag der Monatspreis durch die nicht Einberechnung der Servicegebühr gerade unterhalb der 30 Euro Grenze, welche den Kunden beeinflussen sollte.

Der Umstand, dass auch anderen Mitbewerber nicht mit dem Gesamtentgelt werben führt nicht zum Wegfall der in § 3a UWG erforderlichen Spürbarkeit. Zum einen werben nicht ALLE Mitbewerber in dieser Art und zum anderen kann durch den Rechtsmissbrauch einer gesamten Branche ein rechtwidrige Verhalten nicht gerechtfertigt werden. Eine Nichtverfolgung von Wettbewerbsverstößen würde gegen den Sinn und Zweck des UWG laufen.

Bei Fragen zur Preiswerbung im Wettbewerbsrecht stehen wir Ihnen gerne zur Verfügung.

Der I. Zivilsenat des Bundesgerichtshofs hat mit dem Beschluss vom 11.02.2021 dem Gerichtshof der Europäischen Union Fragen vorgelegt, mit denen geklärt werden soll, inwieweit Internethändler Verbraucher über Herstellergarantien für die angebotenen Produkte informieren müssen.

Die Beantwortung der Fragen durch den Gerichtshof der Europäischen Union ist entscheidend für die Informationspflichten im E-Commerce bezüglich möglicher Herstellergarantien. Hierbei geht es um die schon länger diskutierte Frage, in welchen Fällen dem Händler Informationspflichten obliegen. Muss bereits beim Vorliegen einer Herstellergarantie informiert werden oder nur wenn damit auch geworben wird. Darüber hinaus stellt sich die Frage wann damit geworben wird. Reicht bereits ein Hinweis oder wie im vorliegenden Fall ein Link zu einem Produktinformationsschreiben des Herstellers, welches zur Verfügung gestellt wird.

Bei Verstößen gegen etwaige Informationspflichten könnten den Onlinehändlern Abmahnungen drohen (§ 8 Abs. 1 Satz 1, § 3 Abs. 1, § 3a UWG i.V.m. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 EGBGB).

Sachverhalt

Die Parteien vertreiben Taschenmesser im Wege des Internethandels. Die Beklagte bot ein Schweizer Offiziersmesser an. Die Angebotsseite enthielt unter „Weitere technische Informationen“ einen Link mit der Bezeichnung „Betriebsanleitung“. Dieser öffnete ein Produktinformationsblatt mit Hinweis auf die Garantie, welche sich „zeitlich unbeschränkt auf jeden Material- und Fabrikationsfehler (für Elektronik 2 Jahr) erstreckt Schäden, die durch normalen Verschleiß oder unsachgemäßen Gebrauch entstehen, sind durch die Garantie nicht gedeckt.“ Weitere Informationen zur Garantie enthielt das Produktinformationsblatt nicht.

Die Klägerin hat beantragt, der Beklagten zu verbieten, den Absatz von Taschenmessern an Verbraucher mit Hinweisen auf Garantie zu bewerben, ohne hierbei auf die gesetzlichen Rechte des Verbrauchers hinzuweisen sowie darauf hinzuweisen, dass sie durch die Garantie nicht eingeschränkt werden, und ohne den räumlichen Geltungsbereich des Garantieschutzes anzugeben.

Die Klage wurde vom LG Bochum abgewiesen, jedoch war die Berufung am OLG Hamm erfolgreich. Der BGH hat nun über die zugelassene Revision zu entscheiden.

Fragen

Löst das bloße Bestehen einer Herstellergarantie die Informationspflicht nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU aus. Falls dem nicht so ist genügt schon die bloße Erwähnung einer Herstellergarantie im Angebot oder wenn die Erwähnung für den Verbraucher ohne weiteres erkennbar ist.

Besteht eine Informationspflicht, wenn der Verbraucher ohne weiteres erkennen kann, dass der Unternehmer nur Angaben des Herstellers zur Garantie zugänglich macht.

Welche Informationen sind nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU über das Bestehen und die Bedingungen einer Herstellergarantie zu geben im Vergleich zu den Angaben zur Garantie nach Art. 6 Abs. 2 der Richtlinie 1999/44/EG.

Beschluss v. 11.02.2021, I ZR 241/19

Bei Fragen zu Hinweispflichten im Onlinehandel stehen wir Ihnen gern zur Verfügung.

Mit Beschluss vom 14.01.2021 hat das Bundesverfassungsgericht (Az. 1 BvR 2853/19) einer Urteilsverfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG stattgegeben. Das Gericht hätte die streitgegenständliche Frage bezüglich des Schmerzensgeldanspruchs wegen datenschutzwidriger Verwendung einer E-Mailadresse zu Werbezwecken dem EuGH vorlegen müssen.

Sachverhalt

Gegenstand der Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Der dortige Kläger und Beschwerdeführer erhielt eine Werbe-Mail an seine berufliche E-Mail-Adresse. Neben Unterlassung beantragte der Kläger auf Grundlage von Art. 82 DSGVO ein Schmerzensgeld von mindestens 500 €.

Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Das Amtsgericht Goslar gab der Klage überwiegend statt, lehnte jedoch den Schmerzensgeldanspruch mit der Begründung ab, die Erheblichkeitsschwelle sei nicht überschritten. Eine einzige Werbe-Mail, die klar erkennbar als solche zu identifizieren sei, würde den Kläger nicht erheblich stören. Die Frage, ob die Erheblichkeitsschwelle der deutschen Rechtsprechung in Bezug auf Persönlichkeitsrechtsverletzungen auch im Unionsrecht (DSGVO) gelte, warf das Gericht auf, verzichtete gleichwohl auf ein Vorabentscheidungsersuchen an den EuGH.

Gegen dieses Urteil legte der Kläger Verfassungsbeschwerde nach Art. 101 Abs. 1 Satz. 2 GG ein, da er in seinem Recht auf den gesetzlichen Richter verletzt sei. Das Amtsgericht hätte den EuGH im Wege eines Vorabentscheidungsverfahren nach Art. 267 Abs. 3 AEUV anfragen müssen. Die Richter in Karlsruhe gaben ihm Recht und sahen das Recht des Klägers auf den gesetzlichen Richter verletzt.

Bisherige Entscheidungspraxis

Die bisherige Rechtsprechung offenbart, dass die nationalen Gerichte bislang eher zurückhaltend mit dem Zusprechen von immateriellem Schadensersatz wegen Verletzungshandlungen nach Maßgabe der DSGVO sind. Zwar wird im Lichte von Art. 82 DSGVO überwiegend keine schwere Verletzung des Persönlichkeitsrechts gefordert, gleichwohl üben sich ordentliche Gerichte und Arbeitsgerichte in Zurückhaltung bei der Zuerkennung von Schmerzensgeld, insbesondere bei bloßen Bagatellverstößen. Dies mag sich mit der Rechtsprechung des EuGH in Zukunft ändern.

BVerfG Beschluss vom 14. Januar 2021 (Az. 1 BvR 28531/19)

AG Goslar Urteil vom 27. September 2019 (Az. 28 C 7/19)

Bei Fragen zum Datenschutz stehen wir Ihnen gerne zur Verfügung.

Das „Gesetz zur Stärkung des fairen Wettbewerbs“ vom 02.Dezember 2020 änderte das UWG dahingehend, dass der „fliegende Gerichtsstand“ deutlich eingeschränkt wird. Das OLG Düsseldorf bestätigte nun erstmals die Einschränkung, während das LG Düsseldorf weiterhin am fliegenden Gerichtsstand festhält.

Gesetzeslage

Bis in Krafttreten der Gesetzesänderung konnte im Bereich des UWG Klage dort erhoben werden, wo die Zuwiderhandlung begangen wurde oder auch wo sie sich auswirkt (fliegender Gerichtsstand). Auf Grund der deutschlandweiten Auswirkung von unlauteren Wettbewerb im Internet konnte somit an jedem Landgericht in Deutschland Klage erhoben werden.

In der Neufassung des § 14 UWG wird nunmehr der Bereich der „Rechtsstreitigkeiten wegen Zuwiderhandlungen im elektronischen Geschäftsverkehr“ und „in Telemedien“ (Satz 3 Nr. 1) ausgeklammert. Hiermit wollte das Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) einen Missbrauch des fliegenden Gerichtsstands verhindern. Nach dem BMJV bestand die Gefahr sich die passende Rechtsprechung nach LG Bezirk auszusuchen sowie durch hohen Reise- und Kostenaufwand Beklagte abzuschrecken.

LG Düsseldorf

Das Landgericht Düsseldorf (Beschl. v. 15.01.2021 – 38 O 3/21) hat sich im Januar in einem einstweiligen Verfügungsverfahren mit dem fliegenden Gerichtsstand auseinandergesetzt und diesen nicht gänzlich verabschiedet. Nach dem LG Düsseldorf sei der § 14 Abs. 2 Satz 3 Nr. 1 UWG einschränkend auszulegen. Die Ausnahme greife hier nicht, da diese nur bei Geschäften greifen, welche „zwingend ein Handeln im elektronischen Geschäftsverkehr oder in den Telemedien erfordern (…) und bei Nutzung eines anderen Kommunikationskanals nicht verwirklicht werden könnten“.

Die Einschränkung in § 14 Abs. 2 Satz 3 Nr. 1 UWG würde somit nur auf Geschäfte abzielen die ausschließlich im Internet getätigt werden können. Nicht aber solche, welche auch über andere Kommunikationswege oder direkten Kontakt getätigt werden.

OLG Düsseldorf

Das OLG Düsseldorf (Beschluss vom 16.02.2021 – I-20 W 11/21) ist der Ansicht deutlich entgegen getreten. In der Entscheidung zur sofortigen Beschwerde, die sich gegen den Entzug des gesetzlichen Richters richtete, nahm das OLG Stellung zur Auslegung des § 14 Abs. 2 Satz 3 Nr. 1 UWG.

Das OLG gab dem LG vor, im Falle eines Widerspruches die örtliche Zuständigkeit noch einmal genau zu überprüfen, da die die vorgenommene Auslegung des § 14 UWG erhebliche Bedenken hervorruft.

Weder der Wortlaut der Neufassung noch Sinn und Zweck würden eine Auslegung des Paragraphen in der Art rechtfertigen. Dem Gesetzgeber kam es gerade darauf an den fliegenden Gerichtsstand bei Verstößen im Internet einzuschränken.

Auch eine teleologische Reduktion könnte nicht vorgenommen werden, da der Gesetzgeber sich bewusst gegen die Einschränkung von nur einzelnen Bereichen im Online Wettbewerbsrecht entschieden hat. Eine solche Einschränkung wie sie das LG vorgenommen hat war somit gerade nicht gewollt.

LG Düsseldorf

Mit einem Beschluss vom 26. Februar 2021 – 38 O 19/21 hat das LG Düsseldorf noch einmal dessen Standpunkt dargestellt und ein weiteres Festhalten an die teleologische Reduktion erklärt. Die Ausführungen des OLG Düsseldorf hätten als obita dicta keine bindende Wirkung für das Landgericht.

Bei Fragen zum Wettbewerbsrecht stehen wir Ihnen gern zur Verfügung.

Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 01.10.2019 wesentliche Fragen im Zusammenhang mit dem rechtskonformen Einsatz von Cookies beantwortet.

Die Entscheidung ist inhaltlich nicht überraschend. Bereits der Generalanwalt hatte sich zu den nun entschiedenen Fragen entsprechend positioniert. Zudem deckt sich die in der Entscheidung vom EuGH vertretene Auffassung mit der von vielen Seiten bereits seit langem vertretenen Auslegung der maßgeblichen europäischen Vorschriften. Gleichwohl sind die Konsequenzen der nun höchstrichterlich bestätigten hohen Anforderungen an den Einsatz von Cookies für Betreiber von Webseiten und Online-Diensten, insbesondere aber für die Online-Marketingbranche, erheblich.

Was wurde konkret entschieden?

Der EuGH stellt in seiner Entscheidung zunächst fest, dass der Einsatz von Cookies oder – anders ausgedrückt – das Speichern von Informationen auf dem Endgerät eines Nutzers bzw. das Abrufen von Informationen, die im Endgerät des Nutzers gespeichert sind, grundsätzlich der vorherigen Zustimmung (Einwilligung) des betreffenden Nutzers bedarf. Dabei muss die Einwilligung des Nutzers in Form einer aktiven Handlung erfolgen. Das bisher weit verbreitete Opt-Out-Verfahren, bei der die Einwilligung „voreingestellt“ ist und der Nutzers nur aktiv werden muss, wenn er die Verwendung ablehnen möchte, reicht dazu nicht aus. Nicht ausreichend sind daher auch Gestaltungen, bei denen der Nutzer durch das reine Weiternutzen eines Online-Angebotes die Zustimmung zur Verwendung der Cookies erteilen soll. Erforderlich sind vielmehr Opt-In-Verfahren bzw. solche Verfahren, bei denen der Nutzer nachvollziehbare, aktive Handlungen vornimmt, mit denen er die Zustimmung zur Verwendung der Cookies ausdrückt.

Entsprechende Einwilligungen des Nutzers sind grundsätzlich immer erforderlich, ganz gleich, ob mittels der eingesetzten Cookies personenbezogene Daten erhoben bzw. verarbeitet werden oder nicht. Ausgenommen vom Einwilligungserfordernis ist lediglich der Einsatz solcher Cookies, die zur Bereitstellung des jeweiligen Dienstes technisch erforderlich sind. 

Weiter befasst sich die Entscheidung des EuGH mit der Frage des Umfangs der dem Nutzer im Zusammenhang mit seiner Einwilligung zu erteilenden Informationen. Der EuGH stellt hierzu fest, dass die Wirksamkeit der vom Nutzer erteilten Einwilligung maßgeblich davon abhänge, dass der Nutzer diese auf Grundlage klarer und umfassender Informationen über die eingesetzten Cookies erteilt. Diese Informationen müssen so beschaffen sein, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer somit in die Lage versetzen, die Konsequenzen einer von ihm erteilten Einwilligung leicht zu überblicken. Insofern müssten die Informationen insbesondere über die Funktionsweise des jeweiligen Cookies, die Funktionsdauer sowie über den Umstand aufklären, ob Dritte Zugriff auf die Cookies erhalten können.

Betreiber von Webseiten, Anbieter von Online-Shops und Online-Diensten sollten daher vor diesem Hintergrund die Gestaltung des Einsatzes von Cookies im Rahmen Ihres Angebotes zunächst dahingehend prüfen, ob sie einwilligungspflichtige, d.h. nicht technisch notwendige Cookies einsetzen. Relevant sind dabei insbesondere Tracking- und Analyse-Tools, Tools für das Retargeting und Remarketing sowie Social-Media-Plugins, die Informationen unter Verwendung von Cookies oder entsprechender Technologien verarbeiten.

In diesen Fällen ist dann zunächst das Einwilligungsverfahren so zu gestalten, dass der Nutzer aktiv und vorab seine Zustimmung erteilt (insbesondere mittels Opt-in-Lösungen) und andernfalls – bei Ablehnung durch den Nutzer – entsprechende Techniken nicht zum Einsatz kommen. Zudem muss im Kontext der Einwilligung sichergestellt sein, dass dem Nutzer vor der Erteilung der Einwilligung die erforderlichen Informationen zu den jeweiligen Cookies zur Verfügung stellt werden, etwa – soweit möglich – unmittelbar im Einwilligungsverfahren sowie ergänzend über transparent einbezogene und leicht zugängliche (Datenschutz-)Hinweise.

Bei Fragen zum Datenschutz stehen wir gern zur Verfügung.

Der EuGH hat auf der Grundlage der Datenschutzrichtlinie (Richtlinie 95/46/EG) mit Urteil vom 29.07.2019 – Az. C‑40/17 – entschieden, dass Websitebetreiber beim Einsatz des Facebook-Plugins gemeinsam mit dem Anbieter (Facebook) für die Erhebung auf der Website und die Übermittlung dieser Daten an Facebook datenschutzrechtlich verantwortlich sind. Die gemeinsame Verantwortlichkeit führt jedoch nicht zu einer allumfassenden Verantwortlichkeit des Websitebetreibers für vor- oder nachgelagerte Phasen der Datenverarbeitung, auf die keinerlei Einfluss besteht.

In dem dem Vorlageverfahren zugrunde liegenden Sachverhalt hatte ein Online-Händler (Fashion-ID) auf seiner Website ein sog. Facebook-PlugIn „Gefällt mir“ eingebunden. Aufgrund des Einsatzes des Plugins wurden beim Aufruf der Website Daten an Facebook, insbesondere IP-Adresse des Endgeräts des Besuchers sowie technische Informationen des Browers übermittelt.

Unter Bezugnahme auf die vorangegangene Rechtsprechung hat der EuGH den Website-Betreiber als gemeinsam Verantwortlichen im Sinne der Datenschutz-RL qualifiziert, da der Website-Betreiber durch die Integration des Plugins auf dessen Website die Erhebung der Daten und die Weitergabe an Facebook beeinflusse, mithin gemeinsam über „Zweck und Mittel“ der Datenverarbeitung entscheide. Demgegenüber erscheine es jedoch nach Aktenlage ausgeschlossen, dass auch eine gemeinsame Verantwortlichkeit bezüglich einer nachgelagerten Datenverarbeitung durch bzw. bei Facebook in Frage käme.

Bezüglich der Legitimation der Datenverarbeitung könnten sich die gemeinsam Verantwortlichen nur dann auf ein „berechtigtes Interesse“ berufen, wenn sowohl Website-Betreiber als auch Anbieter mit den Verarbeitungsvorgängen jeweils ein berechtigtes Interesse wahrnähmen.

Besteht beim Website-Betreiber ein solches nicht, bedürfe es neben der Erteilung der Pflichtinformationen einer vorherigen Einwilligung des Website-Besuchers. Unter Berücksichtigung der unterschiedlichen Verantwortungsbereiche in den unterschiedlichen Datenverarbeitungsphasen könne sich der Umfang der Einwilligung und die Erteilung der Pflichtinformationen jedoch auf solche Datenverarbeitungsvorgänge beschränken, welche der gemeinsamen Verantwortlichkeit unterliegen.

Hinweise:

Das Urteil des EuGH bestätigt erneut den weiten Anwendungsbereich der datenschutzrechtlichen „gemeinsamen Verantwortlichkeit“, wie sie nunmehr in Art. 4 Nr. 7, 26 DSGVO verankert ist. Geht man mit guten Gründen davon aus, dass die Bewertungsmaßstäbe für eine gemeinsame Verantwortlichkeit auf die DSGVO übertragbar sind, bedarf es unter Geltung der DSGVO nunmehr einer zusätzlichen Vereinbarung zwischen den Verantwortlichen, wobei das Wesentliche den betroffenen Personen zur Verfügung gestellt werden muss. Ob in jedem Fall auch eine Einwilligung vom Websitebetreiber einzuholen ist, lässt das Gericht grundsätzlich offen. Geht man jedoch davon aus, dass Cookies oder ähnliche Webtechnologien im Rahmen des Plugins zum Einsatz kommen bzw. Zugriff auf Informationen im Endgerät gewährt wird, die nicht notwendigerweise datenschutzrechtlich relevant sein müssen, wäre zumindest eine Einwilligung und Informationserteilung nach Maßgabe der Richtlinie 2002/58 geboten.

Bei Fragen zur gemeinsamen Verantwortlichkeit oder anderen datenschutzrechtlichen Themen stehen wir gern zur Verfügung.

Der Europäische Gerichtshof hat im Jahr 2018 wegweisende Urteile über die gemeinsame Verantwortlichkeit verkündet (u.a. „Facebook-Insights“ u. „Zeugen Jehovas“). Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Notwendigkeit einer vertraglichen Vereinbarung zwischen den beteiligten Verantwortlichen ist für viele Verantwortliche neu. Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt.

Gemäß Art. 26 Abs. 1 S. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese Definition baut auf Art. 4 Nr. 7 DSGVO auf, wonach Verantwortlicher diejenige Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Einordnung und Abgrenzung

Die „gemeinsame Verantwortlichkeit“ stellt keine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, sondern dient der Klarstellung, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, ist für diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO notwendig.

Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung nach Art. 28 DSGVO. Maßgeblich sind die tatsächlichen Umstände der Entscheidung über die Datenverarbeitung sowie der faktische Einfluss auf diese, nicht hingegen die in einer Vereinbarung festgelegte „formale“ Bezeichnung. Ein wichtiges Abgrenzungskriterium ist die Weisungsabhängigkeit.

Voraussetzungen

Voraussetzung für die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO ist eine gemeinsame Festlegung der Zwecke der und Mittel zur Verarbeitung. Eine „gemeinsame Entscheidung“ über die Zwecke und Mittel der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt.

Der Europäische Gerichtshof hat in der Entscheidung „Zeugen Jehovas“ klargestellt, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten voraussetzt. Die Akteure könnten vielmehr in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände zu beurteilen ist. Die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung setze zudem nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat. Es sei denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung gemeinsam Verantwortliche sind.

Dass ein tatsächlicher Einfluss auf die Datenverarbeitung verknüpft mit der Möglichkeit, daraus wirtschaftliche Vorteile zu ziehen, eine gemeinsame Verantwortlichkeit im Sinne des Art. 16 DSGVO begründen kann, zeigt die Rechtsprechung des Europäischen Gerichtshofs in Bezug auf die Funktion Facebook Insights.

Facebook-Fanpage Betreiber können anonymisierte statistische Daten betreffend die Nutzer in Facebook-Insights einsehen und z.B. für gezielte Werbung nutzen. Bei der Einrichtung einer Facebook-Fanpage nimmt der Betreiber der Seite eine Parametrierung u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten vor, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Außerdem kann der Betreiber die Kriterien festlegen, nach denen Statistiken erstellt werden sollen und die Kategorien von Personen bezeichnen, deren personenbezogenen Daten ausgewertet werden. Daraus schließt der Gerichtshof, dass der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung personenbezogener Daten der Besucher seiner Seite beiträgt. Durch die vorgenommene Parametrierung u.a. entsprechend dem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten sei der Fanpage Betreiber an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beteiligt und daher als gemeinsam mit Facebook Ireland für diese Verarbeitung verantwortlich.

Rechtsfolgen des Art. 26 DSGVO

Art. 26 DSGVO legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DSGVO geltenden Pflichten hinausgehen. Dadurch soll u.a. die Transparenz und Rechtsdurchsetzung für die betroffenen Personen verbessert werden. Außerdem soll bezüglich der Verantwortung und Haftung der Verantwortlichen – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – eine klare Zuteilung der Verantwortlichkeiten durch die DSGVO gewährleistet werden.

Es ist eine Vereinbarung nach Art. 26 DSGVO (Joint Controllership Agreement) abzuschließen. In dieser Vereinbarung ist gemäß Art. 26 Abs. 1 S. 2 DSGVO festzulegen, wer welche in der DSGVO geregelten Verpflichtungen, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO, erfüllt. Nach Art. 26 Abs. 1 S. 3 DSGVO kann eine Anlaufstelle für die betroffene Person angegeben werden. Art. 26 Abs. 2 S. 1 DSGVO regelt, dass die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln muss. Gemäß Art. 26 Abs. 2 S. 2 DSGVO „wird“ das Wesentliche der Vereinbarung der betroffenen Person zur Verfügung gestellt. Das umfasst eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll.

Der Abschluss einer solchen Vereinbarung ist wichtig, um die in Art. 83 Abs. 4 lit. a DSGVO enthaltenen Geldbußen zu vermeiden. Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3 DSGVO). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 DSGVO gemeinschaftlich.

Hinweise

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat ein Muster zur Vereinbarung gemäß Art. 26 Abs. 1 S. 1 DSGVO sowie zur Information betroffener Personen gemäß Art. 26 Abs. 2 S. 2 DSGVO veröffentlicht. Hingewiesen sei außerdem auf das durch die Datenschutzkonferenz veröffentlichte Kurzpapier zur gemeinsamen Verantwortlichkeit.

Links zu den Entscheidungen des Europäischen Gerichtshofs: „Facebook Insight“, „Zeugen Jehovas“

Für Fragen zur gemeinsamen Verantwortlichkeit oder anderen Themen der DSGVO stehen wir gern zur Verfügung.

Das Oberlandesgericht Frankfurt am Main hat entschieden, dass Amazon verlangen kann, dass sog. Drittanbieter auf amazon.de ihre Produkte nicht mit „gekauften“ Bewertungen bewerben, ohne kenntlich zu machen, dass die Tester einen vermögenswerten Vorteil erhalten haben.

„Gekaufte“ Bewertungen sind in diesem Zusammenhang keine inhaltlich falschen Bewertungen sondern gemeint sind Rezensionen, die nicht auf Grundlage eines Kaufentschlusses des Testers sondern nach entgeltlicher Beauftragung abgegeben werden. Im Regelfall, gegebenenfalls gegen Zahlung eines kleinen Entgelts, darf der Tester die Produkte behalten. Rezensionen dieser Art werden von sog. Drittanbietern verkauft.

„Authentische“ Bewertungen werden dagegen unbeeinflusst von Dritten, unentgeltlich und ohne die Ware ggf. kostenfrei behalten zu dürfen, abgegeben.

Betreiber von Facebook-Fanpages sollten zur Risikominimierung ihre Datenschutzhinweise an die von Facebook bereitgestellte Joint-Controller-Vereinbarung anpassen. Rechtssicherheit bezüglich des datenschutzkonformen Betreibens von Social-Media-Auftritten besteht hierdurch jedoch weiterhin nicht.

Im Juni 2018 hatte der EuGH (Az. C-210/16) in einem viel beachteten Urteil entschieden, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook verantwortlich für die Verarbeitung personenbezogener Daten der Besucher sind, sog. „Joint Controllership“.

Eine gemeinsame datenschutzrechtliche Verantwortlichkeit erfordert nach Maßgabe des seit Mai 2018 anzuwendendem Art. 26 DS-GVO insbesondere auch eine sog. Joint Controller-Vereinbarung, die klarstellt, wie die gemeinsam Verantwortlichen die Pflichten aus der DSGVO erfüllen werden. Zudem müssen Fanpage-Besucher vom Betreiber der Fanpage in transparenter und verständlicher Form über die gemeinsame Datenverarbeitung informiert werden (Datenschutzhinweise). weiterlesen …

Online-Händler sind durch die EU-Verordnung Nr. 524/2013 (ODR-Verordnung) grundsätzlich verpflichtet, auf eigenen Webseiten einen Link zur Europäischen Online-Streitbeilegungs-Plattform (OS-Plattform) bereitzuhalten. Das Oberlandesgericht Hamm hat entschieden, dass Online-Händler auch im Rahmen eigener Angebote auf Online-Marktplätzen – zusätzlich zum Betreiber des Online-Marktplatzes – verpflichtet sind, einen Link zur Streitbeilegungsplattform bereitzuhalten.

Kernfrage der Entscheidung ist, ob es sich bei einer einzelnen „Angebotsseite“ auf Online-Marktplätzen wie eBay um eine „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 der ODR-Verordnung handelt.

Art. 14 Abs. 1 Satz 1 ODR-Verordnung:
„In der Union niedergelassene Unternehmer, die Online-Kaufverträge oder Online-Dienstleistungsverträge eingehen, und in der Union niedergelassene Online-Marktplätze stellen auf ihren Websites einen Link zur OS-Plattform ein.“

Das OLG Hamm zog hier den deutsch- sowie den englischsprachigen Eintrag im Internet-Lexikon „Wikipedia“ zum Begriff „Website“ zur Beurteilung heran. Der deutschsprachige Eintrag beschreibe eine Website als Zusammenfassung aller einem Anbieter gehörenden Webseiten, die unter einer bestimmten Domain zusammengefasst sind. Der englischsprachige Eintrag lege hingegen nahe, dass die Zusammenfassung der Webseiten unter einer gemeinsamen Domain lediglich ein typisches Indiz, jedoch kein notwendiges Merkmal einer Webseite sei. Daher könne auch eine einzelne Angebotsseite bzw. der Auftritt eines Unternehmers auf einer Internetplattform als „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 verstanden werden. weiterlesen …

Das Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG) ist am 1.10.2017 in Kraft getreten. Sinn und Zweck des Gesetzes ist es, soziale Netzwerke zu einer zügigeren und umfassenderen Bearbeitung von Beschwerden über Hasskriminalität und andere strafbare Inhalte anzuhalten. weiterlesen …

Die Datenschutzgrundverordnung (DSGVO) wird die betriebliche Datenschutzpraxis in Europa insgesamt verändern und die Anforderungen an die Datenschutz-Compliance steigern.

Grundlegende Informationen dazu erhalten Sie nachfolgend im Überblick:

1. Ab wann gilt die DSGVO?

Formal betrachtet ist die DSGVO bereits am 25.05.2016 in Kraft getreten. In den europäischen Mitgliedstaaten, und damit auch in Deutschland, ist sie ab dem 25.05.2018 unmittelbar anzuwenden. Das heißt, ab dem 25.05.2018 sind die Anforderungen der DSGVO ohne weitere Umstellungsfrist einzuhalten.

2. Datenschutzorganisation

Die DSGVO stellt neue, strengere Anforderungen an die betriebliche Datenschutzorganisation sowie an die im Zusammenhang mit der Verarbeitung personenbezogener Daten implementierten Prozesse in Unternehmen.

RISIKOBASIERTER DATENSCHUTZ UND DATENSICHERHEIT

Die von der DSGVO geforderten Maßnahmen beim Umgang mit personenbezogenen Daten stehen weitgehend in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten der betroffenen Personen mit sich bringt. Insoweit sind die bisherigen Maßnahmen unter Berücksichtigung einer entsprechenden Risikoanalyse zu prüfen und anzupassen.

Unternehmen müssen zudem grundsätzlich ein – in Bezug auf die vorstehend genannten Risiken für die betroffenen Personen – angemessenes Schutzniveau im Hinblick auf die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten und die dafür zu implementierenden Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen. Verstöße im Bereich der Datensicherheit sind – anders als bisher – nunmehr bußgeldbewehrt (siehe hierzu auch unten „8. Haftung des Unternehmens und Bußgelder“).

DATENSCHUTZ-FOLGENABSCHÄTZUNG

Ein wesentliches Element der Risikoanalyse ist die sogenannte Datenschutz-Folgenabschätzung. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem bisher bekannten Prinzip der sog. Vorabkontrolle ab.
Birgt eine Datenverarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen in sich, so muss das Unternehmen vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen. Dabei sollen insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken der Datenverarbeitung bewertet werden. Das Unternehmen soll auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten und dieses Verfahren nachweisbar dokumentieren. In diesem Zusammenhang sollen auch Maßnahmen, Garantien und Verfahren geprüft werden, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können. Sofern die Datenschutz-Folgenabschätzung ergibt, dass die geplante Datenverarbeitung tatsächlich ein hohes Risiko zur Folge hätte, muss der Verantwortliche nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren, sofern keine Maßnahmen zur Eindämmung des Risikos getroffen werden.

DATENSCHUTZ DURCH TECHNIK UND DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN

Die DSGVO enthält spezifische Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DSGVO schon bei der Prozessgestaltung – Art. 25 Abs. 1 DSGVO: Grundsatz der „privacy by design“ – und bei den Voreinstellungen umzusetzen sind – Art. 25 Abs. 2 DSGVO: Anforderung der „privacy by default“.

Nach dem Grundsatz der „privacy by design“ müssen Unternehmen ihre Verarbeitungsvorgänge und IT-Systeme grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO wirksam umsetzen. Hier ist insbesondere das Gebot der Datenminimierung zu beachten, wonach Unternehmen nur gerade so viele Daten erheben und verarbeiten dürfen, wie es zur Erfüllung des verfolgten Zwecks erforderlich ist.

Zudem sollen insbesondere IT-Systeme nach der Anforderung der „privacy by default“ so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich ist.

3. Dokumentation und Nachweis

Die DSGVO rückt die Verantwortlichkeit der Unternehmen in den Vordergrund und erweitert die Dokumentations- und Nachweispflichten der Unternehmen erheblich.

RECHENSCHAFTSPFLICHT

Nach Art. 5 Abs. 2 DSGVO sind Unternehmen verpflichtet, im Rahmen der neu eingeführten Rechenschaftspflicht (sogenannte „accountability“) die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO nachweisen zu können.

NACHWEISPFLICHT GEMÄSS ART. 24 ABS. 1 DSGVO

Nach Art. 24 Abs. 1 DSGVO muss das Unternehmen nachweisen können, dass es personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet. Daher müssen Unternehmen nicht nur geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass eine Verarbeitung der Daten gemäß der DSGVO erfolgt, sondern auch jederzeit den entsprechenden Nachweis hierüber durch eine geeignete Dokumentation erbringen können. Dementsprechend sind Aufbau und die Durchführung eines effektiven Datenschutzmanagements – einschließlich der umfassenden Dokumentation der Verarbeitungstätigkeiten – zentraler Bestandteil des DSGVO-Anpassungsbedarfs.

VERZEICHNIS VON DATENVERARBEITUNGSTÄTIGKEITEN

Fast alle Unternehmen müssen zudem ein Verzeichnis über die Datenverarbeitungstätigkeiten führen, die der Zuständigkeit des jeweiligen Unternehmens unterliegen. Das heißt, alle Tätigkeiten, die sich mit personenbezogenen Daten beschäftigen, sind in einem geordneten Verzeichnis zu erfassen, die Zulässigkeit der Verarbeitung auf ihre Rechtmäßigkeit hin zu überprüfen, zu dokumentieren und ständig zu aktualisieren. Jede Verarbeitung von personenbezogenen Daten bedarf einer gesonderten Rechtsgrundlage, die im Verfahrensverzeichnis gesondert zu dokumentieren ist. Zudem sind Löschfristen zu beachten und ebenfalls zu dokumentieren.

Das entsprechende Verzeichnis ist der Aufsichtsbehörde jederzeit auf Anfrage zur Verfügung zu stellen.

4. Melde- und Benachrichtigungspflichten

Bei Verletzungen des Schutzes personenbezogener Daten sieht die DSGVO gegenüber der bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich erweiterte Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor.

Wesentliche Voraussetzung für eine entsprechende Pflicht zum Tätigwerden ist eine Verletzung des Schutzes personenbezogener Daten. Danach sind die Hürden für entsprechende Meldepflichten im Vergleich zur bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich abgesenkt. Nach der neuen, abgestuften Meldepflicht ist eine Meldung an die Aufsichtsbehörde bei einer entsprechenden Datenpanne immer erforderlich, es sei denn, dass diese voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Dies ist allerdings nur in den seltensten Fällen der Fall. Dagegen muss eine Benachrichtigung der betroffenen Person grundsätzlich nur dann erfolgen, wenn ein hohes Risiko für die entsprechenden Rechte des Betroffenen besteht.

Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden melden, nachdem das Unternehmen Kenntnis von der Verletzung erlangt hat.

Verstöße bei der Umsetzung der Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten sind mit teilweise empfindlichen Bußgeldern belegt.

5. Auftragsverarbeiter

Den Auftragsverarbeitern (Unternehmen, die weisungsgebunden für Drittunternehmen personenbezogene Daten verarbeiten) werden durch die DSGVO mehr Verantwortung und mehr Pflichten auferlegt.

Auftragsverarbeiter verarbeiten die Daten nach wie vor weisungsgebunden für die verantwortliche Stelle. Verstößt ein Auftragsverarbeiter zukünftig gegen die Pflicht zur weisungsgebundenen Verarbeitung, gilt er nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortlicher, mit allen rechtlichen Konsequenzen. Zudem unterliegt der Auftragsverarbeiter auch neuen speziellen Haftungsregelungen bei Datenschutzverletzungen, die zu Schadensersatzforderungen von Betroffenen auch gegen den Auftragsverarbeiter führen können. Von der Schadensersatzpflicht sind dabei nicht nur materielle, sondern vielmehr auch immaterielle Schäden umfasst.

Darüber hinaus besteht zukünftig für Auftragsverarbeiter die neu eingeführte Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das entsprechende Verzeichnis muss fortlaufend aktualisiert werden und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Weiter müssen Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die er benötigt, um nachweisen zu können, dass er seine, aus der DSGVO resultierenden Pflichten erfüllt.

6. Datenschutzbeauftragter

Die Pflicht zur Bestellung eines Datenschutzbeauftragten bleibt unter der neuen Rechtslage im Wesentlichen unberührt.

Der Datenschutzbeauftragte wird nach der DSGVO aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes und der Datenschutzpraxis sowie seinen Fähigkeiten, die gesetzlichen Aufgaben zu erfüllen, benannt. Datenschutzbeauftragter kann dabei sowohl ein im Unternehmen Beschäftigter als auch ein Externer (im Dienstleistungsverhältnis) sein.

Das Unternehmen muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Datenschutzfragen eingebunden wird. Er muss bei der Erfüllung seiner Aufgaben umfassend unterstützt werden, insbesondere mit den hierzu erforderlichen Ressourcen und einem Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ausgestattet sein.

Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Unternehmens und hat zukünftig unter der DSGVO folgende Aufgaben:

• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
• Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
• Zusammenarbeit mit der Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte hat bei der Erfüllung seiner Aufgaben dem mit den jeweiligen Verarbeitungsvorgängen zusammenhängende Risiko gebührend Rechnung zu tragen. Dabei muss er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung stets im Blick haben.

Die Verletzung der Vorschriften zum Datenschutzbeauftragten ist nach den Regelungen der DSGVO mit Geldbuße bedroht.

7. Rechte der Betroffenen Person

Die Rechte der Personen, deren personenbezogene Daten von der Verarbeitung durch ein Unternehmen betroffen sind, werden unter Geltung der DSGVO noch einmal erweitert.

Pflicht zur Information und zur Transparenz

Unternehmen müssen betroffene Personen zukünftig deutlich umfassender als bislang darüber informieren, wie sie die personenbezogenen Daten der betroffenen Personen verarbeiten. Nach Art. 5 Abs. 1 DSGVO zählt der Transparenzgrundsatz zu den wesentlichen Prinzipien der Verordnung.

Grundsätzlich müssen Unternehmen betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ informieren. Neben spezifischen Vorgaben zu Informationspflichten bei der Erhebung personenbezogener Daten – auch diese gehen hinsichtlich des Umfangs über die bisherigen Anforderungen des bisher geltenden Rechts hinaus – sieht die DSGVO als zentrales Instrument der Transparenz ein erweitertes Auskunftsrecht des Betroffenen über den Umgang mit seinen personenbezogenen Daten vor (Art. 15 DSGVO).

Löschen von Daten und Recht auf Vergessenwerden

Die DSGVO sieht umfassendere Löschpflichten vor als das bisherige nationale Recht. Nach der zukünftigen Regelung in Art. 17 DSGVO, muss der Verantwortliche personenbezogene Daten ohne unangemessene Verzögerung löschen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. So ergibt sich eine Pflicht zum Löschen beispielsweise dann, wenn der Zweck für die Datenverarbeitung weggefallen ist, die betroffene Person ihre Einwilligung oder die entsprechenden Daten unrechtmäßig erhoben oder verarbeitet wurden.

In diesem Falle muss das Unternehmen die entsprechenden Daten löschen, sofern keine vorrangigen berechtigten Gründe für die weitere Verarbeitung vorliegen, Art. 17 Abs. 1 lit. c DSGVO.

Neu eingeführt ist die Regelung, wonach das Unternehmen, sofern es die betroffenen Daten öffentlich gemacht hat, diese nicht nur löschen muss, sondern zukünftig vielmehr auch Dritte, die diese Daten verarbeiten, darüber zu informieren hat, dass eine betroffene Person von ihnen die Löschung aller Links zu oder aller Kopien oder Replikationen von diesen personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO. Auf diese Weise soll dem sogenannten Recht auf Vergessenwerden Geltung verschafft werden.

Koppelungsverbot bei Einwilligungen

Ist die Einwilligung der betroffenen Person zur Erhebung bzw. Verarbeitung ihrer personenbezogenen Daten erforderlich, so muss die entsprechende Einwilligung nach Art. 7 DSGVO durch eine eindeutige Handlung erfolgen. Insbesondere muss die betroffene Person ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekunden, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

Um sicherzustellen, dass die Einwilligung ohne Zwang erfolgt, darf ein Unternehmen die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung nicht mehr davon abhängig machen, dass die betroffene Person in eine Verarbeitung ihrer personenbezogenen Daten einwilligt, sofern diese Daten für die Erfüllung dieses Vertrags nicht erforderlich sind.

8. Haftung des Unternehmens und Bußgelder

Die DSGVO regelt auch die Haftung von Unternehmen bei Pflichtverletzungen sowie die Sanktionen bei Verstößen gegen die DSGVO in Form von Bußgeldern völlig neu.

Erweiterte Haftung für Verantwortliche und für Auftragsverarbeiter

Die Risiken im Zusammenhang mit der zivilrechtlichen Haftung von Unternehmen wegen tatsächlichen oder behaupteten Verstößen gegen datenschutzrechtliche Pflichten sind unter der DSGVO ebenfalls gestiegen. Nach Art. 82 Abs. 1 DSGVO sind sowohl materielle als auch ausdrücklich immaterielle Schäden zu erstatten, die auf Verstößen gegen die DSGVO beruhen. Die ausdrückliche Erwähnung der immateriellen Schäden ermöglicht es betroffenen Personen zukünftig auch ein angemessenes Schmerzensgeld bei der Verletzung der DSGVO im Rahmen der Verarbeitung ihrer personenbezogenen Daten zu verlangen.

Zudem wird durch die DSGVO nun auch die Haftung explizit auf Auftragsverarbeiter erweitert, Art. 82 Abs. 1 DSGVO.

Bußgelder

Verstöße gegen die DSGVO werden zukünftig drastischer sanktioniert, als dies bisher bei Verstößen gegen das nationale Datenschutzrecht der Fall war.

So sieht Art. 83 DSGVO für Unternehmen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes des betroffenen Unternehmens vor, je nachdem welcher Betrag höher ist. Unter dem BDSG drohte bisher ein Bußgeld von maximal 300.000,00 Euro.
Natürliche Personen, die an Verstößen gegen die DSGVO beteiligt sind, müssen mit Geldbußen von bis zu 20 Millionen Euro rechnen.

In diesem Zusammenhang ist es die Aufgabe der Aufsichtsbehörden, sicherzustellen, dass die Geldbußen für Verstöße gegen die Verordnung „wirksam, verhältnismäßig und abschreckend“ sind.

Bei Fragen zur DSGVO stehen wir gerne zur Verfügung.

Freie-Vogel-Straße 393
44269 Dortmund

Telefon: +49 231 286598-0
Telefax: +49 231 286598-51

E-Mail: kontakt@awpr.de
www.awpr.de

Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)

Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)

Am 1. August 2017 ist die neue Verordnung „zur Festlegung eines Rahmens für die Energieverbrauchskennzeichnung“ (Verordnung Nr. 2017/1369) in Kraft getreten. Die sogenannte EU-Energielabel-Verordnung dient der Umstellung des EU-Energielabels auf die neuen Energieeffizienzklassen. Die teils verwirrenden Klassen A+, A++ etc. werden abgeschafft, die Skala im Sinne der Transparenz für den Verbraucher auf die Klassen A bis G beschränkt.

Bisher sind Online-Händler verpflichtet, bei Werbung für kennzeichnungspflichtige Elektrogeräte mit preis- und energiebezogenen Informationen die Energieeffizienzklasse anzugeben. Seit dem 1. August 2017 greift die Verschärfung des Artikel 6 a der EU-Verordnung: Die Energieeffizienzklasse ist ausnahmslos bei jeder visuell wahrnehmbaren Werbung sowie in technischem Werbematerial für ein bestimmtes Modell anzugeben. Zudem muss auf das Spektrum der auf dem Energielabel verfügbaren Effizienzklassen hingewiesen werden.

Aus einem Urteil des Bundesgerichtshofs (Az. I ZR 159/16) vom 6. April 2017 geht hervor, dass die Energieeffizienzklasse bereits auf der Übersichtsseite der Werbung anzugeben oder klar erkennbar zu verlinken ist. Bei einer Verlinkung müsse der Link selbst einen Hinweis darauf geben, dass dahinter Angaben zur Effizienzklasse zu finden sind.

Darüber hinaus besteht die Pflicht, die Zustimmung des Kunden zu Änderungen, die sich nachteilig auf den Energieverbrauch des Produkts auswirken, einzuholen. Führt etwa ein Software-Update zu einem höheren Stromverbrauch und einer schlechteren Energieeffizienzklasse, so soll dem Kunden offenstehen, die Aktualisierung ohne vermeidbaren Verlust der Funktionalität ablehnen zu können.

Schrittweise Umstellung

Die Umstellung auf die neuen Energieeffizienzklassen erfolgt schrittweise in den nächsten Jahren. Bis 2. November 2018 werden entsprechende Verordnungen für die Produktgruppen Geschirrspüler, Kühlgeräte, Waschmaschinen, Fernsehgeräte und Monitore sowie Lampen und Leuchten überarbeitet. Ab Inkrafttreten der einzelnen Verordnungen haben Hersteller und Händler 12 Monate Zeit, das neue Etikett online sowie am Produkt zu platzieren.

Händler können Produktdatenblätter sowie Etiketten künftig aus einer bis spätestens 1. Januar 2019 neu eingerichteten Online-Produktdatenbank herunterladen. Ab 1. Januar 2019 müssen alle neuen Produkte in diese Datenbank eingetragen werden, bevor sie auf den Markt kommen. Produkte die zwischen dem 1. August 2017 und dem 1. Januar 2019 in Verkehr gebracht werden, müssen bis zum 30. Juni 2019 nachgetragen werden.

Bei Fragen zu diesen oder ähnlichen Themen des E-Commerce stehen wir Ihnen gerne zur Verfügung.

Die CE-Kennzeichnung auf Produkten ist eine Herstellererklärung, mit der die Verantwortung für die Konformität des Produkts mit den einschlägigen europäischen Harmonisierungsanforderungen übernommen wird. Es bestehen strenge Vorgaben, welche Produkte zu kennzeichnen sind und wie bzw. von wem die Kennzeichnung anzubringen ist.

Das Oberlandesgericht Köln hat klargestellt, dass auch Händler verpflichtet sind, zu überprüfen, ob eine CE-Kennzeichnung erforderlich und vorhanden ist (Urteil vom 28.07.2017, 6 U 193/16). Diese Pflicht geht jedoch nicht soweit, dass auch überprüft werden muss, ob die Kennzeichnung richtig auf dem Produkt oder der Verpackung platziert wurde.
Händler sollten sorgfältig prüfen, ob eine Kennzeichnungspflicht besteht und ob diese erfüllt ist. Verstöße gegen die Kennzeichnungspflicht können nicht nur zu Bußgeldern führen, sondern auch als Wettbewerbsverstöße abgemahnt werden.

Kennzeichnungspflichtige Produkte, die nicht ordnungsgemäß gekennzeichnet sind, dürfen nach § 7 Abs. 2 Nr. 2 Produktsicherheitsgesetz (ProdSG) mangels Verkehrsfähigkeit nicht auf dem Markt bereitgestellt werden. Gekennzeichnete Produkte für die jedoch keine Kennzeichnungspflicht besteht, dürfen ebenfalls nicht auf dem Markt bereitgestellt werden (§ 7 Abs. 2 Nr. 1 ProdSG).

Kennzeichnungspflichtige Produkte

CE-Kennzeichnungspflichtig sind alle Produkte, die in den Anwendungsbereich einer EU-Richtlinie fallen, die die Kennzeichnung des Produkts vorsieht. Typischerweise gilt dies etwa für Maschinen, Spielzeug, Elektroartikel usw. Entscheidend ist zudem, dass das Produkt in der EU erstmalig in Verkehr gebracht wird. Ob der Herstellungsort innerhalb oder außerhalb der EU liegt, ist unerheblich. Wichtig ist, dass Produkte, die diese Voraussetzungen nicht erfüllen auch nicht gekennzeichnet werden. Wird ein solches Produkt dennoch mit dem CE-Kennzeichen versehen, so kann dies zu Bußgeldern führen.

Grundsätze der CE-Kennzeichnung

Die Kennzeichnung erfolgt grundsätzlich im Anschluss an ein sogenanntes Konformitätsnachweisverfahren, in dem die Konformität mit den entsprechenden EU-Richtlinien geprüft wird (z.B. Erfüllung der Anforderungen an die Sicherheit), durch den Hersteller des Produkts. Wie bereits gezeigt, kommt es auf den Zeitpunkt des Inverkehrbringens, nicht den der Herstellung, an, so dass die Kennzeichnung nicht zwingend durch den Hersteller erfolgen muss. Dementsprechend sollten Importeure prüfen, ob eine Kennzeichnung bereits besteht oder noch erfolgen muss.

Das CE-Kennzeichen ist gut sichtbar, leserlich und dauerhaft auf dem Produkt oder dem Produktschild anzubringen. Ist dies aufgrund der besonderen Gegebenheiten unmöglich, so kann die Kennzeichnung hilfsweise auf der Verpackung oder den Begleitunterlagen erfolgen.

Werbung

Mit dem CE-Kennzeichen zu werben, birgt die Gefahr, dass der Eindruck erweckt wird, das Produkt sei besonders geprüft. Dies widerspricht dem Sinn und Zweck der Kennzeichnung und gerät in Konflikt mit den Grenzen der zulässigen „Werbung mit Selbstverständlichkeiten“. Eine Pflicht, Verbraucher über die Kennzeichnung zu informieren besteht nicht.

Bei Fragen zur CE-Kennzeichnung oder ähnlichen Themen der Produktsicherheit stehen wir gerne zur Verfügung.

Unternehmen, die per E-Mail werben wollen, müssen strenge rechtliche Vorgaben beachten.

E-Mail-Adressen sollten grundsätzlich nur dann für E-Mail-Werbung verwendet werden, wenn eine Einwilligung des Nutzers vorliegt. Datenverwendungen, die nicht gesetzlich legitimiert sind unterliegen einem sogenannten datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Einwilligung des Nutzers zwingende Voraussetzung für die Datenverwendung ist, wenn nicht bereits eine gesetzliche Legitimation für die Verwendung besteht. Wird ohne die notwendige Einwilligung geworben, so liegt darin eine unzumutbare Belästigung im Sinne des § 7 Abs. 2 Nr. 3 UWG.

Die Einwilligung des Nutzers muss bewusst und eindeutig erteilt werden. Da die Beweislast beim Unternehmer liegt, sollte dieser die Einwilligung dokumentieren. Der Nutzer muss die Einwilligung jederzeit abrufen können und nach § 13 Abs.2 TMG darauf hingewiesen werden, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Eine Einwilligungs-Klausel in der Datenschutzerklärung erfüllt die Anforderungen an die Ausdrücklichkeit der Einwilligung nicht. Auch sogenannte „Opt-Out“-Lösungen bei denen bereits ein Häkchen an einer Checkbox gesetzt ist, dieses aktiv entfernt werden muss damit keine Einwilligung erteilt wird, stellt keine ausdrückliche Einwilligung dar. Wird die Einwilligung im Rahmen des Bestellprozesses eingeholt, so ist eine anzuklickende („Opt-In“) Checkbox erforderlich. Zur Bestellung eines Newsletters sind die Eingabe einer E-Mail-Adresse und das anschließende Betätigen des Buttons ausreichend. weiterlesen …

§ 312g Abs. 1 BGB normiert, dass Verbrauchern bei Fernabsatzverträgen ein Widerrufsrecht zusteht. Fernabsatzverträge sind Verträge über die Lieferung von Waren oder Erbringung von Dienstleistungen, die zwischen einem Unternehmer und einem Verbraucher unter Verwendung von Fernkommunikationsmitteln zustande kommen. Verträge, die bei Bestellungen in Online-Shops zustande kommen, sind Fernabsatzverträge. Über sein Widerrufsrecht ist der Verbraucher gemäß Art. 246 § 1 Abs. 2 EGBGB zu belehren. Die Belehrung über das Widerrufsrecht muss in klarer und verständlicher Weise an der richtigen Stelle erfolgen. Fehler bei der Gestaltung oder Platzierung der Belehrung bergen das Risiko, abgemahnt zu werden.

Verbraucher müssen im Online-Shop bereits vor Abgabe der Bestellung über das Widerrufsrecht belehrt werden. Die Widerrufsbelehrung muss nicht vollständig im Bestellprozess abgebildet werden, jedoch ist eine eindeutige und als solche erkennbare Verlinkung auf die Belehrung notwendig. Der entsprechende Hinweis muss oberhalb des Bestell-Buttons an der richtigen Stelle platziert werden. Anderenfalls ist eine klare und deutliche Information nicht gegeben. Für weitere Fragen der richtigen Gestaltung von Bestellseiten empfehlen wir den Beitrag „Rechtskonforme Gestaltung von Bestellseiten im E-Commerce“. weiterlesen …

Zur ordnungsgemäßen Vertragsabwicklung im elektronischen Geschäftsverkehr gehört die Bestätigung der Bestellung seitens des Unternehmers. Kunden, die in Online-Shops Produkte bestellen erhalten daher grundsätzlich eine Bestellbestätigungs-Mail des Online-Händlers. Eine rechtssichere Gestaltung der Bestellbestätigung ist unerlässlich.

Bestätigung der Bestellung

Die Notwendigkeit einer Bestellbestätigung folgt aus § 312i Abs. 1 Nr. 3 BGB. Danach müssen Online-Händler dem Kunden den Zugang von dessen Bestellung unverzüglich auf elektronischem Wege bestätigen. Kunden sollen dadurch die Gewissheit erhalten, dass ihre Bestellung tatsächlich angekommen ist.

Bestätigung des Vertrags

Rechtlich abzugrenzen ist die Bestätigung der Bestellung von der Bestätigung des Vertrages. Aus § 312 Abs. 2 S. 1 BGB ergibt sich die Verpflichtung, dem Verbraucher eine Bestätigung des Vertrags, in der der Vertragsinhalt wiedergegeben ist, innerhalb einer angemessenen Frist nach Vertragsschluss, spätestens jedoch bei der Lieferung der Ware oder bevor mit der Ausführung der Dienstleistung begonnen wird, auf einem dauerhaften Datenträger zur Verfügung zu stellen. weiterlesen …

Ein rechtskonform gestaltetes Impressum ist im elektronischen Rechtsverkehr unerlässlich. Die detaillierten Anforderungen an den Kommunikationsweg zwischen Kunden und Online-Händlern sind in § 5 Abs. 1 Nr. 2 Telemediengesetz (TMG) verankert. Einzelne Fragen hinsichtlich der Kommunikationsmittel konkretisiert die Rechtsprechung des Bundesgerichtshofs. Dies betrifft auch die Verwendung von Mehrwertdienstenummern im Impressum. Problematisch ist dabei, dass Kunden zusätzliche Kosten für die Kontaktaufnahme entstehen.

Der BGH beleuchtet in diesem Zusammenhang insbesondere, ob seitens des Online-Händlers noch weitere Kommunikationswege zu Verfügung gestellt werden, um eine unmittelbare und effiziente Kommunikation zu ermöglichen. Die ausschließliche Möglichkeit der Kontaktaufnahme über eine kostenpflichtige Mehrwertdienstenummer sei nicht ausreichend, genüge mithin nicht den Anforderungen des § 5 Abs. 1 Nr. 2 TMG.

weiterlesen …

Die sog. Button-Lösung wurde durch eine am 1. August 2012 in Kraft getretene Gesetzesänderung eingeführt. Sie dient in erster Linie dem Schutz vor sogenannten Kosten- und Abo-Fallen, bei denen Anbieter die Kostenpflichtigkeit von Internetdiensten verschleiern. Das Gesetz zum besseren Schutz der Verbraucherinnen und Verbraucher vor Kostenfallen im elektronischen Geschäftsverkehr regelt zu diesem Zweck die rechtskonforme Gestaltung von Bestellsituationen im E-Commerce. Unternehmen werden verpflichtet, Verbrauchern bestimmte Informationen klar und verständlich in unmittelbarer zeitlicher und räumlicher Nähe des Buttons, mit dem der Verbraucher die Bestellung abgibt, zur Verfügung zu stellen. Ein Vertrag kommt darüber hinaus nur dann zustande, wenn der Verbraucher mit der Abgabe der Bestellung ausdrücklich bestätigt, dass er sich zu einer Zahlung verpflichtet. weiterlesen …