Informationstechnologie

Unsere Beratung erstreckt sich auf den gesamten Bereich des IT-Rechts. Dies umfasst die Begleitung von komplexen IT-Projekten, ebenso wie das Internetrecht, den Online-Handel sowie die Gestaltung von Internetplattformen unter ergänzender Berücksichtigung des Wettbewerbs- und Kennzeichenrechts. Besondere Beratungsexpertise haben wir im Bereich komplexer Outsourcing- und Softwareprojekte sowie im Bereich der Applications für mobile Endgeräte.

Im Rahmen solcher IT-Projekte begleiten wir bereits in der Analyse- und Konzeptphase, um etwaige Konflikte im Rahmen der Realisierung zu vermeiden und den Mandanten eine effiziente Steuerung und Kontrolle in allen Projektphasen, dem Betrieb und einem späteren Exit zu ermöglichen.

Unser Prozessteam ist wegen der besonderen Erfahrung im Führen wichtiger Prozesse besonders geschätzt. Bei komplexen technischen Problemstellungen und zur Vorbereitung von Prozessen arbeiten wir zudem mit erfahrenen EDV-Sachverständigen zusammen, die wir seit Jahren im Team-Work schätzen gelernt haben.

  • IT-Outsourcing und Outtasking
  • Hard- und Softwareprojekte
  • Projektsteuerung
  • Service-Level-Agreements
  • ITK-Infrastruktur-Verträge
  • Urheberrecht und Datenbanken
  • EVB-IT, PPP
  • Technologietransfer und Know-How
  • Lizenzverträge
  • E-Business
  • Mobile Applications
  • Datenschutz und IT-Sicherheit
  • Jugendschutz

 

07.06.2021
Telefax nicht mehr datenschutzkonform?

Die Landesbeauftragte für Datenschutz von Bremen hat in einer neuen Orientierungshilfe die Datenschutzkonformität von Telefaxen in Frage gestellt.

Die Landesbeauftragte für Datenschutz Bremen hat auf Grund der technischen Veränderung kritisch gegenüber Telefaxen ausgesprochen. Während früher die Telefaxe von einem Faxgerät zum anderen versandt wurden und hierdurch gesichert waren, werden heutzutage meist die eingehenden Faxe in einfache Mails umgewandelt oder auch direkt in virtuellen Fax-Servern gespeichert. Darüber hinaus würden auch nicht mehr durch analoge oder ISDN Ende-zu-Ende Telefonleitungen genutzt sondern paketweise IP Netze.

Nach Ansicht der Landesbeauftragten wäre somit eine Übersendung von sensiblen Daten nach § 9 Abs. 1 DSG-VO unzulässig. Auch die Übersendung von den übrigen personenbezogenen Daten sieht sie kritisch. Falls die Empfängerseite einen Mailservice oder einen Faxserver nutzt, sind diese meist nicht verschlüsselt oder diese Server befinden sich nicht in Europa. Ein angemessenes Schutzniveau läge daher nicht vor.

Da der Absender eines Telefaxes nicht weiß wie die Empfängerseite die Daten empfängt sollte grundsätzlich von Telefaxen abgesehen werden. Stattdessen sollte eine Ende-zu-Ende verschlüsselte Mail oder der Postweg genutzt werden. Die Bremer Verwaltung löst bis Ende 2022 alle Faxgeräte durch sichere Technologie ab.

Falls sich weitere Beauftragte und Gerichte dieser Meinung anschließen müssen sich viele Unternehmen und Behörden umstellen. Auch wenn das Telefax einen angestaubten Ruf hat, wird dieses immer noch viel verwendet. Die Ende-zu-Ende verschlüsselte Mail dagegen wird aktuell noch nicht flächendeckend genutzt.

Quelle: Mai 2021 Die Landesbeauftragte für Datenschutz – Telefax ist nicht Datenschutz konform (bremen.de)

Bei Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

31.03.2021
Zusatzgebühren für Online Zahlungsdienstleister zulässig

Der Bundesgerichtshof hat mit Urteil vom 25.03.2021 (Az. I ZR 203/19) entschieden, dass erhobene Zusatzgebühren für Zahlungsdienstleister wie „Paypal“ oder „Sofortüberweisung“ zulässig sind.

Sachverhalt

In dem der Entscheidung des BGH zugrunde liegenden Sachverhalt hat ein Reisedienstleister bei der Buchung von Tickets die Bezahlung unter anderen durch die Zahlungsdienstleister „Paypal“ und „Sofortüberweisung“ ermöglicht. Bei beiden Methoden musste der Kunde jedoch eine Zusatzgebühr an den Reisedienstleister bezahlen.

Daraufhin klagte die Wettbewerbszentrale gegen den Reisedienstleister mit der Begründung, die Zahlungsleistungen würden den § 270a BGB entsprechen und daher wäre ein etwaiges Entgelt unwirksam. Der § 270a BGB wurde 2018 zur Umsetzung der zweiten Zahlungsdienst-Richtlinie eingeführt. Hierdurch sollen vertragliche Vereinbarungen zwischen Schuldner und Gläubiger, durch die der Schuldner verpflichtet wird, ein Entgelt für die Nutzung bestimmter bargeldloser Zahlungsmittel zu leisten, verboten werden. Ein Verstoß wäre als Rechtsbruch nach § 3a UWG zudem wetttbewerbswidrig.

Zur Frage stand somit ob der Service der Online Zahlungsdienstleister als SEPA-Überweisung, SEPA-Lastschrift oder kartengebundene Zahlung einzustufen ist und somit entgeltfrei bleiben muss.

Entscheidung

Der BGH hat nun mit dem Urteil vom 25.03.2021 entschieden, dass die Zahlungen mit dem Serviceleister „Sofortüberweisung“ als SEPA-Überweisungen zwar im Anwendungsbereich des § 270a BGB liege. Demgegenüber werde das Entgelt jedoch nicht für den Zahlungsverkehr, sondern für die Einschaltung des Dienstleisters und damit verbundene gesonderte Dienste, wie beispielhaft Bonitätsprüfungen und Benachrichtigungen, erhoben.

Nichts anderes gelte im Ergebnis auch für den Zahlungsdienst „Paypal“, da auch in diesem Falle das Entgelt nicht für den Zahlungsvorgang, sondern für das Einschalten des Zahlungsdienstleisters und dessen Services erhoben wurde.

Entgelte für zusätzliche Leistungen sind nach Ansicht des BGH nicht von § 270a BGB umfasst.

Folgen

Durch das Urteil des BGH schafft Rechtssicherheit bei Onlinehändlern und Zahlungsdienstleistern mit entsprechenden Geschäftsmodellen. Das Weiterreichen von Gebühren für Services der Zahlungsdienstleister bleibt somit grundsätzlich möglich.

BGH Urteil vom 25.03.2021 (Az. I ZR 203/19)

Bei Fragen zum E-Commerce stehen wir Ihnen gerne zur Verfügung.

29.03.2021
Sicherheit beim Anwaltspostfach und der Kommunikation per E-Mail

In dem Urteil vom 22.03.2021 (AnwZ (Brfg) 2/20) hat der BGH entschieden, dass das Anwaltspostfach grundsätzlich sicher genug verschlüsselt sei und kein Anspruch auf eine andere Veschlüsselungstechnik bestehe.

BGH AnwZ (Brfg) 2/20

Geklagt hatten Rechtsanwälte gegen die Bundesrechtsanwaltskammer auf Grund des von der Kammer eingerichteten elektronischen Anwaltspostfach. Nach Ansicht der Kläger wäre dies nicht ausreichend verschlüsselt, um eine sichere Kommunikation zu gewährleisten. Die Kommunikation beim elektronischen Anwaltspostfach ist zwar Ende-zu-Ende verschlüsselt, jedoch wird diese nicht unmittelbar an den Empfänger übersandt, sondern in einem Hardware Security Module umgeschlüsselt. Eine Ende-zu-Ende Verschlüsselung im Sinne der europäischen Patentschrift EP 0 877 507 B1 sieht nur den direkten Versand vor. Eine solche wollten die Kläger erreichen, um eine sicherer Kommunikation unter Berufsgeheimnisträgern zu gewährleisten.

Laut Bundesrechtsanwaltskammer müsste die Kommunikation in einem Hardware Security Module umgeschlüsselt werden, damit auch mögliche Vertreter Zugriff auf die Kommunikation haben können.

Der BGH ist der Ansicht, dass die Verschlüsselungsmethode ausreichenden Schutz im Sinne der einfach gesetzlichen Vorschriften  § 19 Abs. 1 und § 20 Abs. 1 RAVPV habe. Diese Vorschriften räumen den Bundesanwaltskammern einen technischen Spielraum ein, soweit eine im Rechtsinn sichere Kommunikation gewährleistet wird. Ein Anspruch würde nur bestehen, wenn eine derartige Sicherheit allein durch die gewünschte Ende-zu-Ende Verschlüsselung (Patent EP 0 877 507 B1) gewährleistet würde. Dies hat der BGH jedoch verneint.

Nichts anderes ergebe sich auch im Lichte des Art. 12 GG, da die Berufsausübung nicht durch die im Rechtsinn sichere Kommunikation gestört wäre. Weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten sah der BGH beeinträchtigt.

Die Kläger haben bereits angekündigt eine Verfassungsbeschwerde einzulegen. Ab 2022 soll die Nutzung des Anwaltspostfachs verpflichtend sein.

VG Mainz 1 K 778/19.MZ

Bereits am 17.12.2020 hat das Verwaltungsgericht Mainz eine Entscheidung zur Kommunikation von Geheimnisberufsträgern gefällt.

Vorliegend ging es um eine Verwarnung (Art. 58 Abs. 2 lit. b DS-GVO) welche die Datenschutzbehörde Rheinland-Pfalz gegen einen Rechtsanwalt ausgesprochen hatte. Der Rechtsanwalt hatte E-Mails ohne Ende-zu-Ende Verschlüsselung verschickt. Nach Ansicht der Behörde würde der unverschlüsselte Versand keine ausreichende Sicherheit für Berufsgeheimnisträger geben.

Nach Ansicht des Verwaltungsgerichts Mainz war die Verwarnung jedoch materiell rechtswidrig. Eine angemessene Sicherheit der Datenverarbeitung wird zwar in Art. 5 Abs. 1 lit. f, Abs. 2 DS-GVO verlangt, jedoch wird hier nicht regelmäßig eine Ende-zu-Ende Verschlüsselung benötigt. Das VG Mainz sieht eine erhöhte Sicherheitsanforderung nur in Einzelfällen. Es bedarf also einer Risikoabwägung im Einzelfall. Eine übliche E-Mail sei meist durch eine Transportverschlüsselung geschützt welche “ durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen“ sei. Dies gilt auch für Berufsgeheimnisträger. Nur soweit sensible Daten, solche die zum Beispiel unter Art. 9 und 10 DS-GVO fallen, verarbeitet werden müsse eine erhöhte Sicherheit gewährt werden. Nicht jede Kommunikation eines Berufsgeheimnisträgers bedürfe eines erhöhten Schutzes.

BGH Urteil vom 22.03.2021 (AnwZ (Brfg) 2/20)

VG Mainz Urteil vom 17.12.2020 (VG Mainz 1 K 778/19.MZ)

Bei Fragen zur Datensicherheit stehen wir Ihnen gerne zur Verfügung.

24.03.2021
Veröffentlichen von Fotos auf Facebook Fanpage ohne Einwilligung

Das OVG Lüneburg (Beschluss vom 19.01.2021 – 11 LA 16/20) hat in einer Berufungszulassungsklage zu Fragen zur Veröffentlichung von Bildern auf Facebook Fanpages entschieden. Gegenstand des Verfahrens waren Bilder auf einer Facebook-Fanpage eines Ortsvereins einer Partei auf denen Privatpersonen identifizierbar waren, die nicht zuvor in die Veröffentlichung eingewilligt hatten.

Im zugrunde liegenden Sachverhalt veröffentlichte ein Ortsverein einer Partei auf ihrerr Facebook Fanpage ein vier Jahre altes Foto einer öffentlichen Bürgerversammlung. Während der Veranstaltung wurde ein Foto gemacht auf dem die Gesichter der Betroffenen eindeutig zu erkennen waren. Die Betroffenen forderten die Verantwortliche auf, das Foto zu entfernen, da ihre Einwilligung fehle und meldeten den Vorfall der Aufsichtsbehörde, die am Ende des Verfahrens den Ortsverein gemäß Art. 58 Abs. 2 lit. b DS-GVO verwarnte und ihm die Kosten des Verfahrens auferlegte. Hiergegen erhob der Ortsverein Klage, welche bezüglich der Verwarnung abgewiesen wurde.

Die Klage auf Zulassung der Berufung hatte vor dem OVG keinen Erfolg.

Eine Rechtfertigung nach Art. 6 Abs. 1 lit. f DS-GVO liege nicht vor. Zum einen sei im Rahmen der Interessenabwägung zu berücksichtigen, dass eine Anonymisierung möglich und somit auch erforderlich gewesen sie und zum anderen überwogen nach Ansicht des Senats die Rechte der Betroffenen das berechtigte Interesse der Partei.

Das Ziel der Veröffentlichung, also das Hervorheben der Aktivität und des Erfolges, hätte auch durch Veröffentlichung des Fotos mit anonymisierten Gesichter der beiden Eheleute erfolgen können..

In der Interessenabwägung stand das Interesse zur Information über die Tätigkeiten und Erfolge des Ortsvereins gegen die Rechte der Eheleute F. Hier war zwar „nur“ die Sozialsphäre der Eheleute betroffen, jedoch wurden die Betroffenen ungefragt und unbemerkt fotografiert. Sie hatten somit keinerlei Kontrolle über das Bild und konnten nicht damit rechnen, dass dieses vier Jahre später auf Facebook veröffentlicht wird.

Auch eine Rechtsfertigung nach Art. 6 Abs. 1 lit. e) DS-GVO lehnte das Gericht ab. Das Veröffentlichen von Fotos auf Facebook stelle keine Wahrnehmung einer Aufgabe dar, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, und die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DS-GVO). Parteipolitisches Handeln stellt keine Wahrnehmung staatlicher Aufgaben dar. Darüber hinaus wäre auch hier eine Erforderlichkeit aus den genannten Gründen nicht gegeben.

Art. 21 GG, § 1 ParteienG stellten ebenfalls keine Rechtsgrundlage für die Verarbeitung von Daten nach Art. 6 Abs. 1 lit. e) Abs. 2, Abs. 3 DS-GVO dar. Den Vorschriften fehle es an spezifischen Bestimmungen zur Anpassung der Anwendung der Vorschriften der Datenschutz-Grundverordnung mit Bezug auf die Verarbeitung i.S.d. Art. 6 Abs. 1 lit. e) DS-GVO.

Eine Anwendung der §§ 22, 23 KUG lehnte des Verwaltungsgericht schließlich ebenfalls ab, da es sich bei dem Foto und dem dazugehörigen Text nicht um einen überwiegend journalistischen Beitrag nach Art. 85 Abs. 2 DS-GVO handelt. Parteipolitische Aktivitäten stellen kein journalistischen Zweck dar. Die parteipolitischen Aktivitäten des Ortsvereins sind zwar zur Meinungsbildung nach außen gerichtet worden aber hatten auch werbenden Charakter. Nach der Auslegung des OVG Lüneburgs müssen die Beiträge indes ausschließlich journalistischen Charakter haben, um die Ausnahme des Art. 85 Abs. 2 DS-GVO zu erfüllen.

OVG Lüneburg (11. Senat), Beschluss vom 19.01.2021 – 11 LA 16/20

Bei Fragen zum Thema Datenschutz stehen wir Ihnen gerne zur Verfügung.

24.03.2021
Preisangaben im Fitnessstudio-Vertrag

Die Bewerbung eines Fitnessstudio-Vertrages mit der monatlichen Gebühr muss auch etwaig anfallende Quartalsgebühren enthalten. Soweit die Gesamtkosten nicht eindeutig und klar erkennbar sind, ist dies wettbewerbswidrig. Das rechtswidrige Verhalten anderer Mitbewerber rechtfertigt diese Werbung nicht.

Das OLG Frankfurt am Main (Urteil vom 04.02.2021, Az. 6 U 269/19) hat die Berufung eines Fitnessstudiobetreibers gegen eine Unterlassungsverpflichtung zurückgewiesen. Das Fitnessstudio warb mit einem Monatspreis von „Euro 29,99 bei 24-Monate Abo“. Die Aussage war mit einem Sternchen markiert, welches am rechten Rand in kleiner Schrift quer den Hinweis „zzgl. Euro 9,99 Servicegebühr/Quartal“ enthielt.

Das OLG Frankfurt am Main stützte die Unterlassungsverpflichtung nach §§ 8 Abs. 1, 3 Abs. 1, 3a UWG auf den Rechtsbruch des § 1 PAngV 

  1. Wer Verbrauchern gemäß § 13 des Bürgerlichen Gesetzbuchs gewerbs- oder geschäftsmäßig oder wer ihnen regelmäßig in sonstiger Weise Waren oder Leistungen anbietet oder als Anbieter von Waren oder Leistungen gegenüber Verbrauchern unter Angabe von Preisen wirbt, hat die Preise anzugeben, die einschließlich der Umsatzsteuer und sonstiger Preisbestandteile zu zahlen sind (Gesamtpreise). …

Nach höchstrichterlicher Rechtsprechung muss der anzugebende Gesamtpreis das „tatsächlich zu zahlende Gesamtentgelt“ inklusive Steuern und sonstiger Gebühren enthalten. Ein durch Sternchen getätigter Hinweis auf weitere Gebühren ist hier nicht zulässig. Dies wäre nur zulässig soweit der zusätzliche Preis eindeutig zu erkennen ist und die Aufspaltung keinen ausschlaggebenden Einfluss auf die Verbraucherentscheidung hat.

Vorliegend war aber der zusätzlich zu zahlende Preis grafisch extra klein und quer geschrieben und somit gerade nicht hinreichend klar erkennbar. Auch lag der Monatspreis durch die nicht Einberechnung der Servicegebühr gerade unterhalb der 30 Euro Grenze, welche den Kunden beeinflussen sollte.

Der Umstand, dass auch anderen Mitbewerber nicht mit dem Gesamtentgelt werben führt nicht zum Wegfall der in § 3a UWG erforderlichen Spürbarkeit. Zum einen werben nicht ALLE Mitbewerber in dieser Art und zum anderen kann durch den Rechtsmissbrauch einer gesamten Branche ein rechtwidrige Verhalten nicht gerechtfertigt werden. Eine Nichtverfolgung von Wettbewerbsverstößen würde gegen den Sinn und Zweck des UWG laufen.

Bei Fragen zur Preiswerbung im Wettbewerbsrecht stehen wir Ihnen gerne zur Verfügung.

13.03.2021
Garantiehinweise - Bundesgerichtshof fragt beim EuGH nach

Der I. Zivilsenat des Bundesgerichtshofs hat mit dem Beschluss vom 11.02.2021 dem Gerichtshof der Europäischen Union Fragen vorgelegt, mit denen geklärt werden soll, inwieweit Internethändler Verbraucher über Herstellergarantien für die angebotenen Produkte informieren müssen.

Die Beantwortung der Fragen durch den Gerichtshof der Europäischen Union ist entscheidend für die Informationspflichten im E-Commerce bezüglich möglicher Herstellergarantien. Hierbei geht es um die schon länger diskutierte Frage, in welchen Fällen dem Händler Informationspflichten obliegen. Muss bereits beim Vorliegen einer Herstellergarantie informiert werden oder nur wenn damit auch geworben wird. Darüber hinaus stellt sich die Frage wann damit geworben wird. Reicht bereits ein Hinweis oder wie im vorliegenden Fall ein Link zu einem Produktinformationsschreiben des Herstellers, welches zur Verfügung gestellt wird.

Bei Verstößen gegen etwaige Informationspflichten könnten den Onlinehändlern Abmahnungen drohen (§ 8 Abs. 1 Satz 1, § 3 Abs. 1, § 3a UWG i.V.m. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 EGBGB).

Sachverhalt

Die Parteien vertreiben Taschenmesser im Wege des Internethandels. Die Beklagte bot ein Schweizer Offiziersmesser an. Die Angebotsseite enthielt unter „Weitere technische Informationen“ einen Link mit der Bezeichnung „Betriebsanleitung“. Dieser öffnete ein Produktinformationsblatt mit Hinweis auf die Garantie, welche sich „zeitlich unbeschränkt auf jeden Material- und Fabrikationsfehler (für Elektronik 2 Jahr) erstreckt Schäden, die durch normalen Verschleiß oder unsachgemäßen Gebrauch entstehen, sind durch die Garantie nicht gedeckt.“ Weitere Informationen zur Garantie enthielt das Produktinformationsblatt nicht.

Die Klägerin hat beantragt, der Beklagten zu verbieten, den Absatz von Taschenmessern an Verbraucher mit Hinweisen auf Garantie zu bewerben, ohne hierbei auf die gesetzlichen Rechte des Verbrauchers hinzuweisen sowie darauf hinzuweisen, dass sie durch die Garantie nicht eingeschränkt werden, und ohne den räumlichen Geltungsbereich des Garantieschutzes anzugeben.

Die Klage wurde vom LG Bochum abgewiesen, jedoch war die Berufung am OLG Hamm erfolgreich. Der BGH hat nun über die zugelassene Revision zu entscheiden.

Fragen

Löst das bloße Bestehen einer Herstellergarantie die Informationspflicht nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU aus. Falls dem nicht so ist genügt schon die bloße Erwähnung einer Herstellergarantie im Angebot oder wenn die Erwähnung für den Verbraucher ohne weiteres erkennbar ist.

Besteht eine Informationspflicht, wenn der Verbraucher ohne weiteres erkennen kann, dass der Unternehmer nur Angaben des Herstellers zur Garantie zugänglich macht.

Welche Informationen sind nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU über das Bestehen und die Bedingungen einer Herstellergarantie zu geben im Vergleich zu den Angaben zur Garantie nach Art. 6 Abs. 2 der Richtlinie 1999/44/EG.

Beschluss v. 11.02.2021, I ZR 241/19

Bei Fragen zu Hinweispflichten im Onlinehandel stehen wir Ihnen gern zur Verfügung.

04.03.2021
BVerfG zum immateriellen Schadensersatz nach DS-GVO

Mit Beschluss vom 14.01.2021 hat das Bundesverfassungsgericht (Az. 1 BvR 2853/19) einer Urteilsverfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG stattgegeben. Das Gericht hätte die streitgegenständliche Frage bezüglich des Schmerzensgeldanspruchs wegen datenschutzwidriger Verwendung einer E-Mailadresse zu Werbezwecken dem EuGH vorlegen müssen.

Sachverhalt

Gegenstand der Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Der dortige Kläger und Beschwerdeführer erhielt eine Werbe-Mail an seine berufliche E-Mail-Adresse. Neben Unterlassung beantragte der Kläger auf Grundlage von Art. 82 DSGVO ein Schmerzensgeld von mindestens 500 €.

Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Das Amtsgericht Goslar gab der Klage überwiegend statt, lehnte jedoch den Schmerzensgeldanspruch mit der Begründung ab, die Erheblichkeitsschwelle sei nicht überschritten. Eine einzige Werbe-Mail, die klar erkennbar als solche zu identifizieren sei, würde den Kläger nicht erheblich stören. Die Frage, ob die Erheblichkeitsschwelle der deutschen Rechtsprechung in Bezug auf Persönlichkeitsrechtsverletzungen auch im Unionsrecht (DSGVO) gelte, warf das Gericht auf, verzichtete gleichwohl auf ein Vorabentscheidungsersuchen an den EuGH.

Gegen dieses Urteil legte der Kläger Verfassungsbeschwerde nach Art. 101 Abs. 1 Satz. 2 GG ein, da er in seinem Recht auf den gesetzlichen Richter verletzt sei. Das Amtsgericht hätte den EuGH im Wege eines Vorabentscheidungsverfahren nach Art. 267 Abs. 3 AEUV anfragen müssen. Die Richter in Karlsruhe gaben ihm Recht und sahen das Recht des Klägers auf den gesetzlichen Richter verletzt.

Bisherige Entscheidungspraxis

Die bisherige Rechtsprechung offenbart, dass die nationalen Gerichte bislang eher zurückhaltend mit dem Zusprechen von immateriellem Schadensersatz wegen Verletzungshandlungen nach Maßgabe der DSGVO sind. Zwar wird im Lichte von Art. 82 DSGVO überwiegend keine schwere Verletzung des Persönlichkeitsrechts gefordert, gleichwohl üben sich ordentliche Gerichte und Arbeitsgerichte in Zurückhaltung bei der Zuerkennung von Schmerzensgeld, insbesondere bei bloßen Bagatellverstößen. Dies mag sich mit der Rechtsprechung des EuGH in Zukunft ändern.

BVerfG Beschluss vom 14. Januar 2021 (Az. 1 BvR 28531/19)

AG Goslar Urteil vom 27. September 2019 (Az. 28 C 7/19)

Bei Fragen zum Datenschutz stehen wir Ihnen gerne zur Verfügung.

26.02.2021
DS-GVO Bußgeld gegen Unternehmen

Das Landgericht Bonn und das Landgericht Berlin entschieden kürzlich über die Anwendung der Unternehmerhaftung und die Bemessung des Bußgelds bei Verstößen gegen die DS-GVO.

LG Bonn

Der Entscheidung ging ein Bußgeldverfahren des Bundesdatenschutzbeauftragen(BfDI) voran, welcher gegen einem Telekommunikationsanbieter ein Bußgeld (Art. 83 DS-GVO) in Höhe von EUR 9.550.000,00 verhängte.

Das Telekommunikationsunternehmen betrieb ein Callcenter welches die Kunden durch die Telefonnummer/Kundennummer identifizierten und durch das Geburtsdatum authentifizierten. Eine Regelung für Dritte gab es nur in Bezug auf Betreuer. Dritte galten jedoch schon als legitimiert, soweit sie die Telefon-, Kundennummer oder den Namen sowie das Geburtsdatum des Kunden kannten.

Die Möglichkeit nutze eine ehemalige Lebensgefährtin eines Kunden aus um die bewusst geänderte Mobilfunknummer des Kunden zu erfahren und ihn daraufhin nachzustellen. Der BfDI wurde durch die Polizei informiert und verhängte das Bußgeld. Gegen dieses ging das Unternehmen vor.

Zunächst entschied das Gericht, dass das Unternehmen unmittelbar in die Haftung genommen werden könnte. Das Gericht ist der Ansicht, dass das Unternehmen wie im supranationalen europäischen Kartellrecht unmittelbar hafte.

„Das deutsche Sanktionsrecht kennt eine solche unmittelbare Haftung von Unternehmen bislang nicht“

Im deutschen Recht gilt bei Ordnungswidrigkeiten gemäß § 30 Abs. 1 OWiG das Rechtsträgerprinzip. Hiernach knüpft sich die Geldbuße stets an ein schuldhaftes Fehlverhalten einer natürlichen Person an und erst auf Rechtsfolgenseite stehen die Unternehmen dafür ein. Das Gericht begründete die Anwendung der direkten Unternehmerhaftung auf der europäischen Gesetzgebung. Diese hätte bei Schaffung des § 83 Abs. 4-6 DS-GVO das supranationale Kartellrecht als Vorbild gehabt.

Das Unternehmen hätte hier auch schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Der Zugang zu Daten von Dritten wäre leichtfertig ermöglicht worden. Der Namen und das Geburtsdatum wären leicht zugängliche Daten, die nicht zur Authentifizierung ausreichen dürften. Allerdings sieht das LG Bonn nur wenige sensible Daten betroffen (Kontaktdaten und Bankverbindung) und daher keinen schweren Verstoß.

Das LG Bonn kürzte jedoch das Bußgeld von EUR 9.550.000 um 90 % auf EUR 900.000. Das Gericht hat hierzu aufgeführt, dass zunächst ein Bußgeld maximal in Höhe von EUR 10.000.000 oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich ist, falls dieser Betrag höher ist. Im vorliegenden Fall lag der 2 % Umsatz bei 72,6 Millionen.

„Die Geldbuße muss spürbar sein; sie darf jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen.“

Eine reine umsatzbezogene Bemessung des Bußgeldes, wie es der BfDI es vorliegend getan hat, sei jedoch unverhältnismäßig. Der Umsatz könne jedoch bei der Wirksamkeit und Spürbarkeit als Bemessungskriterium mit einbezogen werden. Weitere Kriterien seien zum Beispiel: Anzahl der Verstöße, Art der Daten, Schaden, Motiv und Vorsatz, Kooperation mit Behörden, Korrektur der Fehler, Anzahl der Verfahren, eigene Schäden.

Im vorliegenden Fall kam es dem Unternehmen zu Gute, dass es das erste Verfahren gegen sie war, nur ein Verstoß verfolgt wurde und keine sensiblen Daten betroffen waren. Darüber hinaus ist der Reputationsschaden des Unternehmens in die Berechnung mit eingeflossen, da das Bußgeldverfahren öffentlichkeitswirksam erlassen wurde.

LG Berlin

Das Landgericht Berlin hat in seinem Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)) die unternehmerische Haftung verneint. Der § 30 OWiG müsste angewendet werden und folglich wäre ein Fehlverhalten einer natürlichen Person notwendig. Eine Ordnungswidrigkeit könne immer nur eine natürliche Person vorwerfbar begehen; der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Vorliegend war ein Verstoß eines börsennotiertes Immobilienunternehmens, welches zu einem Bußgeldbescheid der BlnBDI in Höhe von 14.549.503,15 Euro führte. Das Unternehmen kam Löschungspflichten bei nicht mehr benötigten Daten nicht nach.

Das LG Berlin hat nun das Bußgeld für rechtswidrig erklärt. Nach Ansicht des Gerichts wäre ausschließlich eine Anwendung des § 30 OWiG möglich. Der Art. 83 Abs. 8 DS-GVO verweise auf deutsches Verfahrensrecht. In der Begründung wird eingehend die Gesetzesentstehung thematisiert und dargestellt, dass der § 30 OWiG zwar zunächst ausgenommen werden sollte, dies aber Schluss endlich nicht getan wurde. Die Behörde hätte in ihrer Begründung jedoch nicht dargestellt, dass das Verhalten einer natürlichen Person den Verstoß begründete.

„Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.“

Der Beschluss des LG Berlin ist im Gegensatz zum Urteil des LG Bonn noch nicht rechtskräftig geworden. Die BlnBDI hat bereits Einspruch eingelegt.

Bußgeld gegen schwedisches Modeunternehmen

Gegen ein schwedisches Modeunternehmen verhängte der Hamburger Datenschutzbeauftragte bereits ein Bußgeld in Höhe von 35.258.707,95 Euro. Die Modekette akzeptierte dieses auch und ließ die Widerspruchsfrist verstreichen. Vorliegend kam es zu Erfassungen privater Lebensumstände über einen mehrjährigen Zeitraum. Diese umfassten zum Beispiel Familienleben, Urlaub, Krankheit und Religion. Das Bußgeld wurde aufgrund der schweren Missachtung des Beschäftigtendatenschutzes hoch angesetzt.

Auswirkungen

An den Fällen sieht man, dass Verstöße gegen die DS-GVO mit hohen Bußgeldern geahndet werden können, die Bußgelder jedoch immer im Verhältnis zum Verstoß angemessen seien müssen.

Die Frage, ob eine unternehmerische Haftung oder das Rechtsträgerprinzip anzuwenden ist, bleibt umstritten und bedarf höchstrichterlicher Entscheidung. Die Aufsichtsbehörden werden die Bußgelder zumindest genauer begründen müssen, um sicherzustellen, dass die Haftung als Unternehmen direkt oder im Zuge des Rechtsträgerprinzips greift.

DSK Berechnungsmodell

Bereits im Oktober 2019 stellte die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein Berechnungsmodell vor, mit dem ein Bußgeld berechnet werden soll. Eine Bindung für Behörden oder Gerichte gibt es hierdurch jedoch nicht. Maßstab ist immer noch der Art. 83 Abs. 1 DS-GVO, somit muss das Bußgeld wirksam, angemessen und abschreckend sein.

Das DSK Berechnungsmodell beinhaltet 5 Schritte:

1. Schritt: Das betreffende Unternehmen wird einer bestimmten Größenklasse zugeordnet.
2. Schritt: Es wird der mittlere Jahresumsatz der jeweiligen Größenklasse-Untergruppe ermittelt.
3. Schritt: Der wirtschaftliche Grundwert wird ermittelt.
4. Schritt: Dieser Grundwert wird mit einem von der Schwere der Tat abhängigen Faktor multipliziert.
5. Schritt: Berücksichtigung und Anpassung des Wertes anhand täterbezogener und sonstiger, noch nicht berücksichtigter Umstände.

LG Bonn Urteil vom 11.11.2020 Az. 29 OWi 1/20

LG Berlin Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20))

Bei Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

23.02.2021
Der fliegende Gerichtsstand im Internet

Das „Gesetz zur Stärkung des fairen Wettbewerbs“ vom 02.Dezember 2020 änderte das UWG dahingehend, dass der „fliegende Gerichtsstand“ deutlich eingeschränkt wird. Das OLG Düsseldorf bestätigte nun erstmals die Einschränkung, während das LG Düsseldorf weiterhin am fliegenden Gerichtsstand festhält.

Gesetzeslage

Bis in Krafttreten der Gesetzesänderung konnte im Bereich des UWG Klage dort erhoben werden, wo die Zuwiderhandlung begangen wurde oder auch wo sie sich auswirkt (fliegender Gerichtsstand). Auf Grund der deutschlandweiten Auswirkung von unlauteren Wettbewerb im Internet konnte somit an jedem Landgericht in Deutschland Klage erhoben werden.

In der Neufassung des § 14 UWG wird nunmehr der Bereich der „Rechtsstreitigkeiten wegen Zuwiderhandlungen im elektronischen Geschäftsverkehr“ und „in Telemedien“ (Satz 3 Nr. 1) ausgeklammert. Hiermit wollte das Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) einen Missbrauch des fliegenden Gerichtsstands verhindern. Nach dem BMJV bestand die Gefahr sich die passende Rechtsprechung nach LG Bezirk auszusuchen sowie durch hohen Reise- und Kostenaufwand Beklagte abzuschrecken.

LG Düsseldorf

Das Landgericht Düsseldorf (Beschl. v. 15.01.2021 – 38 O 3/21) hat sich im Januar in einem einstweiligen Verfügungsverfahren mit dem fliegenden Gerichtsstand auseinandergesetzt und diesen nicht gänzlich verabschiedet. Nach dem LG Düsseldorf sei der § 14 Abs. 2 Satz 3 Nr. 1 UWG einschränkend auszulegen. Die Ausnahme greife hier nicht, da diese nur bei Geschäften greifen, welche „zwingend ein Handeln im elektronischen Geschäftsverkehr oder in den Telemedien erfordern (…) und bei Nutzung eines anderen Kommunikationskanals nicht verwirklicht werden könnten“.

Die Einschränkung in § 14 Abs. 2 Satz 3 Nr. 1 UWG würde somit nur auf Geschäfte abzielen die ausschließlich im Internet getätigt werden können. Nicht aber solche, welche auch über andere Kommunikationswege oder direkten Kontakt getätigt werden.

OLG Düsseldorf

Das OLG Düsseldorf (Beschluss vom 16.02.2021 – I-20 W 11/21) ist der Ansicht deutlich entgegen getreten. In der Entscheidung zur sofortigen Beschwerde, die sich gegen den Entzug des gesetzlichen Richters richtete, nahm das OLG Stellung zur Auslegung des § 14 Abs. 2 Satz 3 Nr. 1 UWG.

Das OLG gab dem LG vor, im Falle eines Widerspruches die örtliche Zuständigkeit noch einmal genau zu überprüfen, da die die vorgenommene Auslegung des § 14 UWG erhebliche Bedenken hervorruft.

Weder der Wortlaut der Neufassung noch Sinn und Zweck würden eine Auslegung des Paragraphen in der Art rechtfertigen. Dem Gesetzgeber kam es gerade darauf an den fliegenden Gerichtsstand bei Verstößen im Internet einzuschränken.

Auch eine teleologische Reduktion könnte nicht vorgenommen werden, da der Gesetzgeber sich bewusst gegen die Einschränkung von nur einzelnen Bereichen im Online Wettbewerbsrecht entschieden hat. Eine solche Einschränkung wie sie das LG vorgenommen hat war somit gerade nicht gewollt.

LG Düsseldorf

Mit einem Beschluss vom 26. Februar 2021 – 38 O 19/21 hat das LG Düsseldorf noch einmal dessen Standpunkt dargestellt und ein weiteres Festhalten an die teleologische Reduktion erklärt. Die Ausführungen des OLG Düsseldorf hätten als obita dicta keine bindende Wirkung für das Landgericht.

Der Ansicht des LG Düsseldorf folgte nun auch das LG Frankfurt a.M. (Urteil vom 11.05.2021 Az. 3-06 O 14/21) und nahm in einem ähnlichen Fall den fliegenden Gerichtsstand an.

Bei Fragen zum Wettbewerbsrecht stehen wir Ihnen gern zur Verfügung.

04.01.2021
DS-GVO nach Brexit

Seit dem 01.01.2021 ist das Vereinigte Königreich nicht mehr Teil der EU. Der Austritt hat auch Auswirkungen auf den Datenschutz. Abhilfe schafft zunächst das Brexit-Abkommen.

Der Datentransfer zwischen Unternehmen in verschiedenen Ländern ist allgegenwärtig. Innerhalb der EU ist dies im Rahmen der DSGVO möglich. Durch den Austritt Großbritanniens drohte Ungewissheit in wie fern ein Datentransfer weiterhin zulässig wäre.

Durch das in letzter Sekunde zustande gekommene Brexit-Abkommen verschaffen sich das Vereinigte Königreich und die EU Zeit um den Datenaustausch weiterhin zulässig zu ermöglichen. Wäre Großbritannien ohne Abkommen aus der EU ausgeschieden hätte ein Datentransfer in ein Drittland vorgelegen, welcher nur unter strengen Voraussetzungen erlaubt gewesen wäre und bei dem gemäß Art. 46 Abs. 1 DS-GVO „geeignete Garantien“ vorgesehen werden müssen und den Betroffenen „durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“ müssen.

Im Brexit-Abkommen (Teil 7, Art. FINPROV.10A Abs. 1) wurde jetzt aber eine Übergangszeit von zunächst 4 Monaten (stillschweigend verlängerbar auf 6 Monate) festgehalten, in der Großbritannien nicht als Drittstaat gilt. Innerhalb dieser Zeit soll ein Angemessenheitsbeschluss durch die EU-Kommission nach Art. 45 Abs. 3 DS-GVO verabschiedet werden. Dieser würde den angemessenen Schutz feststellen und ein Datentransfer nach Großbritannien wäre einem innereuropäischen Datentransfer gleichgestellt.

Bis jetzt ist jedoch ein solcher Angemessenheitsbeschluss nicht verabschiedet worden.

Wenn Sie Fragen zum Thema Datenschutz haben stehen wir Ihnen gerne zur Verfügung.

02.04.2020
Datenschutz im HomeOffice

Eine Vielzahl von Unternehmen ermöglichen zum Schutz ihrer Mitarbeiterinnen und Mitarbeiter die Telearbeit bzw. das „HomeOffice“. Nach Maßgabe datenschutzrechtlicher Anforderungen und dem Geschäftsgeheimnisgesetz obliegt es dem Arbeitgeber die erforderlichen Maßnahmen zum Schutze dieser Daten zu treffen.

Mit dem „HomeOffice“ einhergehend stellt sich regelmäßig die Frage nach den technischen und organisatorischen Maßnahmen zum Schutze von vertraulichen und personenbezogenen Daten, die im HomeOffice außerhalb der Sphäre und der unmittelbaren Kontrolle des Unternehmens liegen.

Leitlinien, welche technischen Standardmaßnahmen im Rahmen des HomeOffice berücksichtigt werden sollten, können beispielsweise beim Bundesamt für Informationssicherheit (BSI) hier nachvollzogen werden. Als organisatorische Maßnahmen zum Datenschutz werden Arbeitgeber in aller Regel zudem entsprechende HomeOffice-Vereinbarung mit dem Arbeitnehmer zu treffen haben, um den datenschutzrechtlichen Anforderungen zu genügen.

Sollten im Rahmen der Anwendung bzw. Umsetzung solcher Maßnahmen Fragen bestehen, sprechen Sie uns gerne an.

04.10.2019
EuGH: Strenge Anforderungen an den Einsatz von Cookies

Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 01.10.2019 wesentliche Fragen im Zusammenhang mit dem rechtskonformen Einsatz von Cookies beantwortet.

Die Entscheidung ist inhaltlich nicht überraschend. Bereits der Generalanwalt hatte sich zu den nun entschiedenen Fragen entsprechend positioniert. Zudem deckt sich die in der Entscheidung vom EuGH vertretene Auffassung mit der von vielen Seiten bereits seit langem vertretenen Auslegung der maßgeblichen europäischen Vorschriften. Gleichwohl sind die Konsequenzen der nun höchstrichterlich bestätigten hohen Anforderungen an den Einsatz von Cookies für Betreiber von Webseiten und Online-Diensten, insbesondere aber für die Online-Marketingbranche, erheblich.

Was wurde konkret entschieden?

Der EuGH stellt in seiner Entscheidung zunächst fest, dass der Einsatz von Cookies oder – anders ausgedrückt – das Speichern von Informationen auf dem Endgerät eines Nutzers bzw. das Abrufen von Informationen, die im Endgerät des Nutzers gespeichert sind, grundsätzlich der vorherigen Zustimmung (Einwilligung) des betreffenden Nutzers bedarf. Dabei muss die Einwilligung des Nutzers in Form einer aktiven Handlung erfolgen. Das bisher weit verbreitete Opt-Out-Verfahren, bei der die Einwilligung „voreingestellt“ ist und der Nutzers nur aktiv werden muss, wenn er die Verwendung ablehnen möchte, reicht dazu nicht aus. Nicht ausreichend sind daher auch Gestaltungen, bei denen der Nutzer durch das reine Weiternutzen eines Online-Angebotes die Zustimmung zur Verwendung der Cookies erteilen soll. Erforderlich sind vielmehr Opt-In-Verfahren bzw. solche Verfahren, bei denen der Nutzer nachvollziehbare, aktive Handlungen vornimmt, mit denen er die Zustimmung zur Verwendung der Cookies ausdrückt.

Entsprechende Einwilligungen des Nutzers sind grundsätzlich immer erforderlich, ganz gleich, ob mittels der eingesetzten Cookies personenbezogene Daten erhoben bzw. verarbeitet werden oder nicht. Ausgenommen vom Einwilligungserfordernis ist lediglich der Einsatz solcher Cookies, die zur Bereitstellung des jeweiligen Dienstes technisch erforderlich sind. 

Weiter befasst sich die Entscheidung des EuGH mit der Frage des Umfangs der dem Nutzer im Zusammenhang mit seiner Einwilligung zu erteilenden Informationen. Der EuGH stellt hierzu fest, dass die Wirksamkeit der vom Nutzer erteilten Einwilligung maßgeblich davon abhänge, dass der Nutzer diese auf Grundlage klarer und umfassender Informationen über die eingesetzten Cookies erteilt. Diese Informationen müssen so beschaffen sein, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer somit in die Lage versetzen, die Konsequenzen einer von ihm erteilten Einwilligung leicht zu überblicken. Insofern müssten die Informationen insbesondere über die Funktionsweise des jeweiligen Cookies, die Funktionsdauer sowie über den Umstand aufklären, ob Dritte Zugriff auf die Cookies erhalten können.

Betreiber von Webseiten, Anbieter von Online-Shops und Online-Diensten sollten daher vor diesem Hintergrund die Gestaltung des Einsatzes von Cookies im Rahmen Ihres Angebotes zunächst dahingehend prüfen, ob sie einwilligungspflichtige, d.h. nicht technisch notwendige Cookies einsetzen. Relevant sind dabei insbesondere Tracking- und Analyse-Tools, Tools für das Retargeting und Remarketing sowie Social-Media-Plugins, die Informationen unter Verwendung von Cookies oder entsprechender Technologien verarbeiten.

In diesen Fällen ist dann zunächst das Einwilligungsverfahren so zu gestalten, dass der Nutzer aktiv und vorab seine Zustimmung erteilt (insbesondere mittels Opt-in-Lösungen) und andernfalls – bei Ablehnung durch den Nutzer – entsprechende Techniken nicht zum Einsatz kommen. Zudem muss im Kontext der Einwilligung sichergestellt sein, dass dem Nutzer vor der Erteilung der Einwilligung die erforderlichen Informationen zu den jeweiligen Cookies zur Verfügung stellt werden, etwa – soweit möglich – unmittelbar im Einwilligungsverfahren sowie ergänzend über transparent einbezogene und leicht zugängliche (Datenschutz-)Hinweise.

Bei Fragen zum Datenschutz stehen wir gern zur Verfügung.

30.07.2019
EuGH zur Zulässigkeit von Facebook-Plugins

Der EuGH hat auf der Grundlage der Datenschutzrichtlinie (Richtlinie 95/46/EG) mit Urteil vom 29.07.2019 – Az. C‑40/17 – entschieden, dass Websitebetreiber beim Einsatz des Facebook-Plugins gemeinsam mit dem Anbieter (Facebook) für die Erhebung auf der Website und die Übermittlung dieser Daten an Facebook datenschutzrechtlich verantwortlich sind. Die gemeinsame Verantwortlichkeit führt jedoch nicht zu einer allumfassenden Verantwortlichkeit des Websitebetreibers für vor- oder nachgelagerte Phasen der Datenverarbeitung, auf die keinerlei Einfluss besteht.

In dem dem Vorlageverfahren zugrunde liegenden Sachverhalt hatte ein Online-Händler (Fashion-ID) auf seiner Website ein sog. Facebook-PlugIn „Gefällt mir“ eingebunden. Aufgrund des Einsatzes des Plugins wurden beim Aufruf der Website Daten an Facebook, insbesondere IP-Adresse des Endgeräts des Besuchers sowie technische Informationen des Browers übermittelt.

Unter Bezugnahme auf die vorangegangene Rechtsprechung hat der EuGH den Website-Betreiber als gemeinsam Verantwortlichen im Sinne der Datenschutz-RL qualifiziert, da der Website-Betreiber durch die Integration des Plugins auf dessen Website die Erhebung der Daten und die Weitergabe an Facebook beeinflusse, mithin gemeinsam über „Zweck und Mittel“ der Datenverarbeitung entscheide. Demgegenüber erscheine es jedoch nach Aktenlage ausgeschlossen, dass auch eine gemeinsame Verantwortlichkeit bezüglich einer nachgelagerten Datenverarbeitung durch bzw. bei Facebook in Frage käme.

Bezüglich der Legitimation der Datenverarbeitung könnten sich die gemeinsam Verantwortlichen nur dann auf ein „berechtigtes Interesse“ berufen, wenn sowohl Website-Betreiber als auch Anbieter mit den Verarbeitungsvorgängen jeweils ein berechtigtes Interesse wahrnähmen.

Besteht beim Website-Betreiber ein solches nicht, bedürfe es neben der Erteilung der Pflichtinformationen einer vorherigen Einwilligung des Website-Besuchers. Unter Berücksichtigung der unterschiedlichen Verantwortungsbereiche in den unterschiedlichen Datenverarbeitungsphasen könne sich der Umfang der Einwilligung und die Erteilung der Pflichtinformationen jedoch auf solche Datenverarbeitungsvorgänge beschränken, welche der gemeinsamen Verantwortlichkeit unterliegen.

Hinweise:

Das Urteil des EuGH bestätigt erneut den weiten Anwendungsbereich der datenschutzrechtlichen „gemeinsamen Verantwortlichkeit“, wie sie nunmehr in Art. 4 Nr. 7, 26 DSGVO verankert ist. Geht man mit guten Gründen davon aus, dass die Bewertungsmaßstäbe für eine gemeinsame Verantwortlichkeit auf die DSGVO übertragbar sind, bedarf es unter Geltung der DSGVO nunmehr einer zusätzlichen Vereinbarung zwischen den Verantwortlichen, wobei das Wesentliche den betroffenen Personen zur Verfügung gestellt werden muss. Ob in jedem Fall auch eine Einwilligung vom Websitebetreiber einzuholen ist, lässt das Gericht grundsätzlich offen. Geht man jedoch davon aus, dass Cookies oder ähnliche Webtechnologien im Rahmen des Plugins zum Einsatz kommen bzw. Zugriff auf Informationen im Endgerät gewährt wird, die nicht notwendigerweise datenschutzrechtlich relevant sein müssen, wäre zumindest eine Einwilligung und Informationserteilung nach Maßgabe der Richtlinie 2002/58 geboten.

Bei Fragen zur gemeinsamen Verantwortlichkeit oder anderen datenschutzrechtlichen Themen stehen wir gern zur Verfügung.

08.07.2019
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

Der Europäische Gerichtshof hat im Jahr 2018 wegweisende Urteile über die gemeinsame Verantwortlichkeit verkündet (u.a. „Facebook-Insights“ u. „Zeugen Jehovas“). Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Notwendigkeit einer vertraglichen Vereinbarung zwischen den beteiligten Verantwortlichen ist für viele Verantwortliche neu. Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt.

Gemäß Art. 26 Abs. 1 S. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese Definition baut auf Art. 4 Nr. 7 DSGVO auf, wonach Verantwortlicher diejenige Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Einordnung und Abgrenzung

Die „gemeinsame Verantwortlichkeit“ stellt keine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, sondern dient der Klarstellung, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, ist für diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO notwendig.

Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung nach Art. 28 DSGVO. Maßgeblich sind die tatsächlichen Umstände der Entscheidung über die Datenverarbeitung sowie der faktische Einfluss auf diese, nicht hingegen die in einer Vereinbarung festgelegte „formale“ Bezeichnung. Ein wichtiges Abgrenzungskriterium ist die Weisungsabhängigkeit.

Voraussetzungen

Voraussetzung für die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO ist eine gemeinsame Festlegung der Zwecke der und Mittel zur Verarbeitung. Eine „gemeinsame Entscheidung“ über die Zwecke und Mittel der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt.

Der Europäische Gerichtshof hat in der Entscheidung „Zeugen Jehovas“ klargestellt, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten voraussetzt. Die Akteure könnten vielmehr in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände zu beurteilen ist. Die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung setze zudem nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat. Es sei denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung gemeinsam Verantwortliche sind.

Dass ein tatsächlicher Einfluss auf die Datenverarbeitung verknüpft mit der Möglichkeit, daraus wirtschaftliche Vorteile zu ziehen, eine gemeinsame Verantwortlichkeit im Sinne des Art. 16 DSGVO begründen kann, zeigt die Rechtsprechung des Europäischen Gerichtshofs in Bezug auf die Funktion Facebook Insights.

Facebook-Fanpage Betreiber können anonymisierte statistische Daten betreffend die Nutzer in Facebook-Insights einsehen und z.B. für gezielte Werbung nutzen. Bei der Einrichtung einer Facebook-Fanpage nimmt der Betreiber der Seite eine Parametrierung u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten vor, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Außerdem kann der Betreiber die Kriterien festlegen, nach denen Statistiken erstellt werden sollen und die Kategorien von Personen bezeichnen, deren personenbezogenen Daten ausgewertet werden. Daraus schließt der Gerichtshof, dass der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung personenbezogener Daten der Besucher seiner Seite beiträgt. Durch die vorgenommene Parametrierung u.a. entsprechend dem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten sei der Fanpage Betreiber an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beteiligt und daher als gemeinsam mit Facebook Ireland für diese Verarbeitung verantwortlich.

Rechtsfolgen des Art. 26 DSGVO

Art. 26 DSGVO legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DSGVO geltenden Pflichten hinausgehen. Dadurch soll u.a. die Transparenz und Rechtsdurchsetzung für die betroffenen Personen verbessert werden. Außerdem soll bezüglich der Verantwortung und Haftung der Verantwortlichen – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – eine klare Zuteilung der Verantwortlichkeiten durch die DSGVO gewährleistet werden.

Es ist eine Vereinbarung nach Art. 26 DSGVO (Joint Controllership Agreement) abzuschließen. In dieser Vereinbarung ist gemäß Art. 26 Abs. 1 S. 2 DSGVO festzulegen, wer welche in der DSGVO geregelten Verpflichtungen, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO, erfüllt. Nach Art. 26 Abs. 1 S. 3 DSGVO kann eine Anlaufstelle für die betroffene Person angegeben werden. Art. 26 Abs. 2 S. 1 DSGVO regelt, dass die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln muss. Gemäß Art. 26 Abs. 2 S. 2 DSGVO „wird“ das Wesentliche der Vereinbarung der betroffenen Person zur Verfügung gestellt. Das umfasst eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll.

Der Abschluss einer solchen Vereinbarung ist wichtig, um die in Art. 83 Abs. 4 lit. a DSGVO enthaltenen Geldbußen zu vermeiden. Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3 DSGVO). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 DSGVO gemeinschaftlich.

Hinweise

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat ein Muster zur Vereinbarung gemäß Art. 26 Abs. 1 S. 1 DSGVO sowie zur Information betroffener Personen gemäß Art. 26 Abs. 2 S. 2 DSGVO veröffentlicht. Hingewiesen sei außerdem auf das durch die Datenschutzkonferenz veröffentlichte Kurzpapier zur gemeinsamen Verantwortlichkeit.

Links zu den Entscheidungen des Europäischen Gerichtshofs: „Facebook Insight“, „Zeugen Jehovas“

Für Fragen zur gemeinsamen Verantwortlichkeit oder anderen Themen der DSGVO stehen wir gern zur Verfügung.

08.07.2019
Keine Veröffentlichung "gekaufter" Kundenrezensionen ohne Hinweis auf Entgeltlichkeit

Das Oberlandesgericht Frankfurt am Main hat entschieden, dass Amazon verlangen kann, dass sog. Drittanbieter auf amazon.de ihre Produkte nicht mit „gekauften“ Bewertungen bewerben, ohne kenntlich zu machen, dass die Tester einen vermögenswerten Vorteil erhalten haben.

„Gekaufte“ Bewertungen sind in diesem Zusammenhang keine inhaltlich falschen Bewertungen sondern gemeint sind Rezensionen, die nicht auf Grundlage eines Kaufentschlusses des Testers sondern nach entgeltlicher Beauftragung abgegeben werden. Im Regelfall, gegebenenfalls gegen Zahlung eines kleinen Entgelts, darf der Tester die Produkte behalten. Rezensionen dieser Art werden von sog. Drittanbietern verkauft.

„Authentische“ Bewertungen werden dagegen unbeeinflusst von Dritten, unentgeltlich und ohne die Ware ggf. kostenfrei behalten zu dürfen, abgegeben.

Ausgangspunkt des o.g. Verfahrens war der von Amazon gestellte Antrag auf Erlass einer einstweiligen Verfügung gegen ein Unternehmen, das Drittanbietern auf amazon.de die Erstellung und Veröffentlichung von Kundenrezensionen gegen Entgelt angeboten hatte. Das Unternehmen vermittelte registrierten Drittanbietern auf Wunsch einen Tester, der das über amazon.de erworbene Produkt bewertete und dieses im Regelfall, gegebenenfalls gegen Zahlung eines kleinen Eigenanteils behalten darf. Die Rezension wird über das Portal der Antragsgegnerin automatisiert auf amazon.de eingestellt. Amazon hielt es für unlauter, dass die Antragsgegnerin die „bezahlten“ Kundenrezensionen auf amazon.de veröffentlicht, ohne darauf hinzuweisen, dass der Rezensent hierfür einen vermögenswerten Vorteil erhalten hat.

Das Oberlandesgericht Frankfurt a.M. hat der Antragsgegnerin verboten, auf amazon.de „gekaufte“ Kundenrezensionen zu veröffentlichen, ohne gleichzeitig darauf hinzuweisen, dass diese Rezensionen entgeltlich beauftragt wurden.

Nach Auffassung des Oberlandesgerichts handelt die Antragsgegnerin unlauter, da sie den kommerziellen Zweck der eingestellten Produktrezensionen nicht kenntlich macht. Der Durchschnittsverbraucher gehe bei Produktbewertungen davon aus, dass diese grundsätzlich ohne Gegenleistung erstellt würden. Die Idee eines jeden Bewertungsportals beruhe darauf, dass die Bewertenden die Produkte aufgrund eines eigenständigen Kaufentschlusses erworben haben und nunmehr ihre Bewertung unbeeinflusst von Dritten mitteilen. Der Verbraucher erwarte zwar nicht unbedingt eine mit einem redaktionellen Bericht vergleichbare objektive Bewertung, wohl aber eine „authentische“ nicht „gekaufte“ Bewertung.

OLG Frankfurt a.M., Beschl. v. 22.02.2019, Az. 6 W 9/19

Bei Fragen zum Wettbewerbsrecht stehen wir gern zur Verfügung.

03.06.2019
„Berechtigtes Interesse“ als Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der genannten Rechtsgrundlagen vorliegt. Neben einer Einwilligung oder der Erfüllung eines Vertrags ist das „berechtigte Interesse“ zentrale Rechtsgrundlage.

Nach Art. 6 Abs. 1 lit. f) DSGVO  ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Daraus folgen drei Voraussetzungen, die vorliegen müssen, damit die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO bzw. ein „berechtigtes Interesse“ gestützt werden kann.

  • Der für die Verarbeitung personenbezogener Daten Verantwortliche oder ein Dritter hat ein berechtigtes Interesse an der Datenverarbeitung
  • Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich
  • Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht

Berechtigtes Interesse

Die Datenschutzgrundverordnung enthält keine Regelung, was genau ein „berechtigtes Interesse“ des Verantwortlichen oder eines Dritten ist. Es handelt sich um einen unbestimmten Rechtsbegriff, dessen Bedeutung durch Auslegung zu ermitteln ist. Der Begriff „Interesse“ ist sehr weit gefasst und umfasst grundsätzlich jedes rechtliche, tatsächliche oder wirtschaftliche Interesse. Das Wort „berechtigt“ schränkt den Begriff „Interesse“ insoweit ein, als dass nur die Interessen, die der Rechtsordnung nicht zuwiderlaufen, geschützt werden sollen. Das zugrundeliegende Interesse darf nicht verboten oder strafrechtlich relevant sein.

Die vor Geltung der DSGVO anwendbare Datenschutzrichtlinie RL 95/46/EG kannte den Begriff des berechtigten Interesses bereits. Die Artikel-29-Datenschutzgruppe hatte dieses als „das Bestreben im weiteren Sinne, das ein für die Verarbeitung Verantwortlicher an dieser Verarbeitung haben kann, oder der Nutzen, den der für die Verarbeitung Verantwortliche aus der Verarbeitung zieht – oder den die Gesellschaft daraus ziehen könnte“ definiert.

In den Erwägungsgründen 47 bis 49 zur DSGVO sind einige Beispiele genannt. Ein berechtigtes Interesse kann vorliegen, wenn „eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Bei der Verarbeitung personenbezogener Daten zur Verhinderung von Betrug zum Zwecke der Direktwerbung kann ebenfalls ein berechtigtes Interesse vorliegen. Darüber hinaus kann die Übermittlung zwischen Teilen von Unternehmensgruppen oder Gruppen von Einrichtungen für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigen ein berechtigtes Interesse darstellen.

Erforderlichkeit

Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich, soweit der Zweck der Verarbeitung nicht auch in zumutbarer Weise durch ein anderes, milderes Mittel erreicht werden kann.

Interessenabwägung

Ob die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, ist durch Abwägung mit den Interessen des Verantwortlichen oder des Dritten zu ermitteln. Die DSGVO enthält keine Regelung, welche Kriterien dabei anzuwenden sind. Daher sollten die Interessen des Verantwortlichen oder des Dritten benannt und gewichtet werden. Hohes Gewicht kommt einem Interesse etwa dann zu, wenn es sich auf ein oder gar mehrere Grundrechte stützen lässt. Außerdem hat ein Interesse mehr Gewicht, soweit die Verarbeitung nicht ausschließlich dem Verantwortlichen, sondern zumindest auch der Allgemeinheit zugutekommt.

Demgegenüber stehen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. Diese sind ebenfalls zu gewichten, um eine Abwägung zu ermöglichen. Dabei kann insbesondere auf die Art der Daten, die Menge der Daten und der betroffenen Personen, die Quelle der Daten, die Anzahl der Verarbeiter, die Dauer der Verarbeitung sowie die Sicherheit der Verarbeitung Bezug genommen werden. Zu berücksichtigen ist zudem, ob die betroffene Person im Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen diese Erhebung erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für den angestrebten Zweck erfolgen wird (Erwägungsgrund 47 Satz 1 bis 3).

Überwiegen nunmehr die Interessen des Verantwortlichen oder des Dritten die der betroffenen Person, so ist die Datenverarbeitung zulässig. Überwiegen die Interessen des Verantwortlichen oder des Dritten die der betroffenen Person nicht, so ist die Datenverarbeitung unzulässig. In diesem Fall kann durch geeignete Maßnahmen wie eine Verkürzung der Dauer der Verarbeitung oder der Erhöhung der Sicherheit der Verarbeitung möglicherweise ein Überwiegen der Interessen des Verantwortlichen gerechtfertigt werden.

Bei Fragen zur Datenschutzgrundverordnung (DSGVO) stehen wir Ihnen jederzeit gerne zur Verfügung.

03.06.2019
Einwilligung nach der Datenschutz-Grundverordnung (DSGVO)

Eine Verarbeitung personenbezogener Daten ist nach Art. 6 Abs. 1 DSGVO nur dann rechtmäßig, wenn sie auf eine der sechs genannten Rechtsgrundlagen gestützt werden kann. Nach Art. 6 Abs. 1 lit. a) DSGVO ist eine Verarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Die DSGVO regelt insbesondere in Art. 7 DSGVO spezielle Anforderungen für die Wirksamkeit einer Einwilligung.

Nach Artikel 4 Nr. 11 DSGVO ist eine „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Freiwilligkeit

Eine freiwillige Einwilligung liegt nur vor, wenn eine echte und freie Wahl, mithin die Möglichkeit besteht, die Einwilligung zu verweigern oder zurückzuziehen, ohne dass Nachteile eintreten. Die Erfüllung eines Vertrages darf daher im Sinne des sog. Koppelungsverbots nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist (Artikel 7 Abs. 4 DSGVO).

Vorab zu erteilende Informationen

Vorab muss darüber informiert werden, wer für die Datenverarbeitung verantwortlich ist und zu welchen Zwecken personenbezogene Daten verarbeitet werden sollen. Wird eine vorformulierte Einwilligungserklärung bereitgestellt, so muss diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache gefasst sein. Nach Auffassung des Europäischen Datenschutzausschusses ist zudem über die Art der Daten, über das Widerrufsrecht, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DSGVO zu informieren.

Unmissverständliche Willensbekundung

Einwilligungen müssen nicht schriftlich abgegeben werden. Allerdings muss eine unmissverständlich abgegebene Willensbekundung vorliegen. Diese kann in Form einer Erklärung oder durch eine sonstige eindeutig bestätigende Handlung – wie das Anklicken eines Feldes oder eine mündliche Aussage – erfolgen. Dabei muss das Einverständnis zur Datenverarbeitung unmissverständlich sein. Stillschweigen, bereits angeklickte Kästchen oder Untätigkeit stellen keine Einwilligung dar.

Im Gegensatz zur bisherigen Rechtsprechung (BGH, 11.11.2009, VIII ZR 12/08) reicht es nicht mehr aus, auf Vertragsklauseln zu verweisen, die eine fiktive Einwilligung enthalten. Ein vorformulierter Einwilligungstext, der nicht durchgestrichen wird oder ein Kreuz zur Nichterteilung einer Einwilligung ist keine wirksame Einwilligung.

Nachweis

Nach Artikel 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf der Einwilligung beruht. Wird die Einwilligung elektronisch erteilt, ist daher sicherzustellen, dass die Einwilligung protokolliert wird. Mit Blick auf die Nachweispflicht sind mündliche Einwilligungen eher wenig praktikabel.

Widerruf

Nach Artikel 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf durchgeführten Verarbeitung personenbezogener Daten nicht berührt. Die betroffene Person muss vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Besondere Kategorien personenbezogener Daten

Für die Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten, genetische Daten oder biometrische Daten ist gemäß Artikel 9 Abs. 2 lit. a DSGVO eine ausdrückliche Einwilligung erforderlich. Konkludente Handlungen sind in diesem Zusammenhang ausgeschlossen. Für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft enthält Artikel 8 DSGVO besondere Bedingungen. Im Beschäftigtendatenschutz sieht das neue BDSG grundsätzlich weiterhin das Erfordernis der Schriftform vor.

Fortgeltung „alter“ Einwilligungen

Einwilligungen, die vor der Anwendbarkeit der DSGVO erteilt wurden gelten grundsätzlich weiterhin. Voraussetzung dafür ist, dass sie ihrer Art nach den Bedingungen der DSGVO entsprechen. Dabei ist entscheidend, dass die Einwilligung nachgewiesen werden kann und freiwillig abgegeben wurde. Außerdem muss die betroffene Person vorab insbesondere darüber informiert worden sein, wer Verantwortlicher für die Datenverarbeitung ist und zu welchem Zweck personenbezogene Daten verarbeitet werden. Darüber hinaus muss über das Widerrufsrecht informiert worden sein und es müssen Mechanismen bereitstehen, die den Widerruf der Einwilligung ermöglichen. Einwilligungen, die diesen Anforderungen nicht genügen sind unwirksam und damit keine wirksame Rechtsgrundlage für eine Verarbeitung personenbezogener Daten.

Folgen einer unwirksamen Einwilligung

Im Falle einer unwirksamen Einwilligung kann die Datenverarbeitung grundsätzlich nicht auf eine andere Rechtsgrundlage wie die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Artikel 6 Abs. 1 lit. f DSGVO) gestützt werden. Dies liegt daran, dass der Verantwortliche die Grundsätze der Fairness und Transparenz (Artikel 5 Abs. 1 lit. a DSGVO) zu beachten hat.

Bei Verstößen gegen die Grundsätze der Verarbeitung einschließlich der Bedingungen für die Einwilligung kann von der zuständigen Aufsichtsbehörde nach Maßgabe von Artikel 83 Abs. 5 lit. a DSGVO eine Geldbuße verhängt werden.

Bei Fragen zur Datenschutz-Grundverordnung (DSGVO) stehen wir Ihnen jederzeit gerne zur Verfügung.

21.11.2018
DSGVO: Meldung der Kontaktdaten des Datenschutzbeauftragten bis zum 31.12.2018 in NRW

Unternehmen in Nordrhein-Westfalen müssen spätestens bis zum Jahresende ihren Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde registrieren, um Sanktionen zu vermeiden.

Gemäß Art. 37 Abs. 7 DS-GVO sind Verantwortliche und Auftragsverarbeiter nicht bloß verpflichtet, die Kontaktdaten ihrer/ihres Datenschutzbeauftragten (DSB) zu veröffentlichen, sondern müssen diesen auch gegenüber den zuständigen Aufsichtsbehörden benennen. Verstöße hiergegen sind gemäß Art. 83 Abs. 4 lit. a) DSGVO bußgeldbewehrt.

Ob eine Pflicht zur Benennung eines DSB grundsätzlich besteht richtet sich nach den Bestimmungen der DSGVO als auch nach nationalem Recht. Gemäß Art. 37 Abs. 1 lit. a) – c) DSGVO ist ein DSB zu benennen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln) oder
  • Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen oder • Kerntätigkeit mit umfangreicher Verarbeitung besonders sensibler Daten (Artikel 9, 10 DSGVO).

Ergänzend dazu bestimmt der § 38 BDSG-neu, dass eine Benennung eines DSB auch in folgenden Fällen erforderlich ist:

  • es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Meldungen können in NRW online vorgenommen werden. Zuständig für die Registrierung ist grundsätzlich das Unternehmen als datenschutzrechtlich „Verantwortliche“.

Die Pflicht zur Meldung gegenüber den Aufsichtsbehörden ist grundsätzlich mit Anwendbarkeit der DSGVO zum 25.05.2018 entstanden. In Nordrhein-Westfalen hat die zuständige Aufsichtsbehörde diesbezüglich jedoch mitgeteilt, dass unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße verfolgt bzw. geahndet werden sollen.

Bei Fragen zu diesen oder ähnlichen Datenschutz-Aspekten stehen wir Ihnen jederzeit gerne zur Verfügung.

21.11.2018
DSGVO: Update Facebook und Datenschutz - Joint-Controller-Vereinbarungen und Datenschutzhinweise für Facebook-Fanpages

Betreiber von Facebook-Fanpages sollten zur Risikominimierung ihre Datenschutzhinweise an die von Facebook bereitgestellte Joint-Controller-Vereinbarung anpassen. Rechtssicherheit bezüglich des datenschutzkonformen Betreibens von Social-Media-Auftritten besteht hierdurch jedoch weiterhin nicht.

Im Juni 2018 hatte der EuGH (Az. C-210/16) in einem viel beachteten Urteil entschieden, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook verantwortlich für die Verarbeitung personenbezogener Daten der Besucher sind, sog. „Joint Controllership“.

Eine gemeinsame datenschutzrechtliche Verantwortlichkeit erfordert nach Maßgabe des seit Mai 2018 anzuwendendem Art. 26 DS-GVO insbesondere auch eine sog. Joint Controller-Vereinbarung, die klarstellt, wie die gemeinsam Verantwortlichen die Pflichten aus der DSGVO erfüllen werden. Zudem müssen Fanpage-Besucher vom Betreiber der Fanpage in transparenter und verständlicher Form über die gemeinsame Datenverarbeitung informiert werden (Datenschutzhinweise).

Die Datenschutzaufsichtsbehörden haben nach Veröffentlichung des EuGH-Urteils im Rahmen der sog. Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) reagiert und in zwei Positionspapieren Stellung zu den daraus resultierenden Konsequenzen für Fanpage-Betreiber bezogen. In dem im September 2018 zuletzt veröffentlichten DSK-Beschluss kündigte die DSK an, auf europäischer Ebene gegen Facebook vorgehen zu wollen. Darüber hinaus wiederholte sie ihre Position, dass sich auch Fanpage-Betreiber ihrer Verantwortung stellen müssten und der Betrieb einer Fanpage ohne entsprechende Joint Controller-Vereinbarung rechtswidrig sei. Ihrem Beschluss hatte die DSK acht Fragen beigefügt, wobei sie nicht nur Facebook, sondern auch die Fanpage-Betreiber in der Pflicht sieht, diese beantworten zu können.

Facebook hat mittlerweile reagiert und bietet eine solche Joint Controller-Vereinbarung für alle Nutzer an, die Zugang zu den sogenannten Seiten-Insights auf Facebook haben. Die Vereinbarung soll automatisch gelten, so dass es insofern keiner weiteren Handlung des Fanpage-Betreibers bedarf. Durch die Bereitstellung dieser Vereinbarung werden daher zumindest in formaler Hinsicht die Anforderungen der DSGVO bzw. der DSK in Bezug auf die gemeinsame Verantwortlichkeit für die Datenverarbeitung im Rahmen der Facebook-Fanpages umgesetzt. Gleichwohl verbleibt eine nicht unerhebliche Rechtsunsicherheit, insbesondere auch, da die Rechtsmäßigkeit der Datenverarbeitung vom Fanpage-Betreiber zu bewerten bleibt und die DSK im Rahmen eines umstrittenen Positionspapiers zu sog. Trackingmethoden das berechtigte Interesse der Verantwortlichen als Rechtsgrundlage der Datenverarbeitung verneint hat. Konsequenz daraus ist, dass der Fanpage-Besucher grundsätzlich seine Einwilligung erteilen müsste, was technisch durch Facebook bislang nicht umgesetzt worden ist.

Unbeschadet dieser weiteren Problemstellungen ist Fanpage-Betreibern zu empfehlen, Datenschutzhinweise für die Facebook-Fanpages vorzuhalten und diese zumindest der Joint-Controller-Vereinbarung entsprechend anzupassen. Darüber hinaus sollte kritisch geprüft werden, ob diese Hinweise den seitens der DSK gestellten Anforderungen bezüglich der Datenverarbeitung auf Facebook genügen.

Bei Fragen zur Joint-Controller-Vereinbarung oder anderen datenschutzrechtlichen Aspekten stehen wir gern zur Verfügung.

Freie-Vogel-Straße 393
44269 Dortmund

Telefon: +49 231 286598-0
Telefax: +49 231 286598-51

E-Mail: kontakt@awpr.de
www.awpr.de

Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)

Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)

10.01.2018
OS-Plattform Verlinkung auch bei Angeboten auf Online-Marktplätzen erforderlich

Online-Händler sind durch die EU-Verordnung Nr. 524/2013 (ODR-Verordnung) grundsätzlich verpflichtet, auf eigenen Webseiten einen Link zur Europäischen Online-Streitbeilegungs-Plattform (OS-Plattform) bereitzuhalten. Das Oberlandesgericht Hamm hat entschieden, dass Online-Händler auch im Rahmen eigener Angebote auf Online-Marktplätzen – zusätzlich zum Betreiber des Online-Marktplatzes – verpflichtet sind, einen Link zur Streitbeilegungsplattform bereitzuhalten.

Kernfrage der Entscheidung ist, ob es sich bei einer einzelnen „Angebotsseite“ auf Online-Marktplätzen wie eBay um eine „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 der ODR-Verordnung handelt.

Art. 14 Abs. 1 Satz 1 ODR-Verordnung:
„In der Union niedergelassene Unternehmer, die Online-Kaufverträge oder Online-Dienstleistungsverträge eingehen, und in der Union niedergelassene Online-Marktplätze stellen auf ihren Websites einen Link zur OS-Plattform ein.“

Das OLG Hamm zog hier den deutsch- sowie den englischsprachigen Eintrag im Internet-Lexikon „Wikipedia“ zum Begriff „Website“ zur Beurteilung heran. Der deutschsprachige Eintrag beschreibe eine Website als Zusammenfassung aller einem Anbieter gehörenden Webseiten, die unter einer bestimmten Domain zusammengefasst sind. Der englischsprachige Eintrag lege hingegen nahe, dass die Zusammenfassung der Webseiten unter einer gemeinsamen Domain lediglich ein typisches Indiz, jedoch kein notwendiges Merkmal einer Webseite sei. Daher könne auch eine einzelne Angebotsseite bzw. der Auftritt eines Unternehmers auf einer Internetplattform als „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 verstanden werden.

Darüber hinaus wies das Gericht auf die Regelung des Art. 14 Abs. 2 Satz 2 der ODR-Verordnung hin, da auch hier der Begriff „Website“ verwendet wird.

Art. 14 Abs. 2 Satz 1 u. 2 ODR-Verordnung:
„In der Union niedergelassene Unternehmer, die Online-Kaufverträge oder Online-Dienstleistungsverträge eingehen und sich verpflichtet haben oder verpflichtet sind, eine oder mehrere AS-Stellen für die Beilegung von Streitigkeiten mit Verbrauchern zu nutzen, informieren die Verbraucher über die Existenz der OS-Plattform und die Möglichkeit, diese für die Beilegung ihrer Streitigkeiten zu nutzen. Sie stellen auf ihren Websites sowie, falls das Angebot über E-Mail erfolgt, in dieser E-Mail einen Link zu der OS-Plattform ein.“

Es sei kein vernünftiger Grund ersichtlich, warum die Verpflichtung aus Art. 14 Abs. 2 Satz 2 der ODR-Verordnung einen Unternehmer, der seine Dienstleistungs- und Warenangebote allein auf einer Internetplattform wie eBay unterbreitet, nicht treffen solle.

Entscheidend für die Auslegung des Begriffs der „Website“ seien Sinn und Zweck der ODR-Verordnung, die ein weites Verständnis des Begriffs erforderten. Hier verwies der Senat auf die Ausführungen des OLG Koblenz in einer früheren Entscheidung vom 25.01.2017 (Az. 9 W 426/16).

Nach Auffassung des OLG Koblenz sei es Sinn und Zweck der Verpflichtung zur Verlinkung auf die OS-Plattform, das Vertrauen der Verbraucher in den digitalen Binnenmarkt zu stärken und so den freien Verkehr von Waren und Dienstleistungen im Online-Handel zu gewährleisten. Dazu sei ein einfaches, effizientes, schnelles und kostengünstiges Streitbeilegungsverfahren notwendig. Um ein solches Verfahren zu nutzen und dessen Möglichkeit bei der Kaufentscheidung zu berücksichtigen, bedürfe es einer einfach zugänglichen Kenntnisnahmemöglichkeit. Verzichte man auf eine eigene Verlinkung auf die OS-Plattform durch die Online-Händler auf Online-Marktplätzen, so sei diese einfach zugängliche Kenntnisnahmemöglichkeit nicht gewährleistet.

Das OLG Hamm kommt zum Ergebnis, dass es sich bei einer einzelnen „Angebotsseite“ um eine „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 der ODR-Verordnung handelt. Die Verpflichtung zur Einstellung eines Links zur OS-Plattform nach Art. 14 Abs. 1 Satz 1 der ODR-Verordnung besteht auch hinsichtlich der einzelnen Angebotsseiten auf einer Internetplattform wie eBay.

OLG Hamm, 03.08.2017, 4 U 50/17

Die Entscheidung deckt sich im Ergebnis mit derjenigen des OLG Koblenz, widerspricht hingegen einer ebenfalls früheren Entscheidung des OLG Dresden, über die wir bereits berichtet hatten (17.01.2017, 14 U 1462/16). Obgleich diese Rechtsfrage höchstrichterlich noch nicht geklärt ist, so ist jedoch eine Tendenz zugunsten der weiten Auslegung des Begriffs „Website“ und damit zur Verpflichtung von Online-Händlern, im Rahmen ihrer Angebote auf Online-Marktplätzen Dritter eine eigene Verlinkung auf die OS-Plattform vorzuhalten, erkennbar.

Weitere Details zu den Informationspflichten der Online-Händler finden Sie unter: http://awpr.de/e-commerce-update/aussergerichtliche-streitbeilegung-wieder-neue-informationspflichten-nicht-nur-fuer-online-haendler-und-dienstleister

Gerne stehen wir für Fragen zum E-Business zur Verfügung.