Informationstechnologie

Ab dem 17. Februar 2024 müssen eine Vielzahl von Unternehmen der Digitalbranche den novellierten europäischen Rechtsrahmen des Gesetzes über digitale Dienste (auch „Digital Services Act“ genannt) umgesetzt haben, der vornehmlich der Bekämpfung von illegalen (Dritt-)Inhalten dient und diesbezügliche Sorgfaltspflichten der Anbieter statuiert.

Was ist Gegenstand des Gesetzes über digitale Dienste?

Das Gesetz über digitale Dienste dient primär der Bekämpfung von illegalen Inhalten im Internet und regelt diesbezügliche Sorgfalts- und Transparenzpflichten sowie die Haftung von Vermittlungsdienste für (Dritt-)Inhalte. Damit löst das Gesetz zugleich die sog. „E-Commerce-Richtlinie“ und das diesbezügliche Haftungsregime des Telemediengesetzes ab.

Für welche Anbieter gilt das Gesetz über digitale Dienste?

Das Gesetz richtet sich an digitale „Vermittlungsdienste“, d.h. an solche Dienste, die der Durchleitung, dem Caching oder dem Hosting von fremden Inhalten dienen, und die im europäischen Binnenmarkt angeboten werden. Anbieter in diesem Sinne sind zum Beispiel Internetprovider, Anbieter von Hosting- bzw. Cloud-Diensten, Online-Marktplätze, soziale Netzwerke oder Suchmaschinen.

Welche Pflichten ergeben sich für die Anbieter digitaler Dienste?

Illegale Inhalte sollen europaweit im Rahmen der Nutzung von digitalen Diensten effektiver bekämpft werden, indem die Anbieter beispielhaft entsprechende Kontaktstellen und Melde- und Abhilfeverfahren für Betroffene etablieren.

Zudem soll die Entscheidungsfreiheit der Nutzer durch Transparenzpflichten, den Schutz Minderjähriger, Anforderungen an die Werbung oder das Verbot von sog. „dark patterns“ geschützt werden.

Die diesbezüglichen Anforderungen an die Anbieter werden nach Dienstekategorien durch vier aufeinander aufbauende Regulierungsstufen für Vermittlungsdienste, Hosting- und Plattformdienste sowie sehr große Plattform- und Suchmaschinendienste geordnet. Während der Normadressatenkreis in diesen Kategorien zunehmend kleiner wird, steigen die Anforderungen an die Anbieter bzw. werden auf höherer Stufe regelungsintensiver.

Ab wann gilt das Gesetz über digitale Dienste

Das Gesetz über digitale Dienste wurde am 23. April 2022 vom Europäischen Parlament und vom Rat angenommen. Am 27. Oktober 2022 wurde es im Amtslatt veröffentlicht. Damit trat das Gesetz zum 16. November 2022 in Kraft und gilt ab dem 17. Februar 2024 in allen EU-Staaten.

Welche Sanktionen drohen bei Verstößen gegen das Gesetz

Verstöße gegen den DSA können durch erhebliche Geldbußen von bis zu 6 % des gesamten weltweiten Jahresumsatzes geahndet werden. Darüber hinaus etabliert der DSA ein Recht auf Entschädigung der Nutzer von Vermittlungsdiensten für Schäden oder Verluste die durch einen Verstoß des Anbieters gegen seine Verpflichtungen aus der Verordnung entstanden sind.

Anbieter von digitalen Vermittlungsdiensten sollten daher rechtzeitig prüfen, ob und in welchem Umfange sie in den weiten Anwendungsbereichdes DSA fallen und die erforderlichen Maßnahmen ergreifen.

Ab dem 01.03.2022 können Verträge nach Ablauf der ersten Vertragslaufzeit stillschweigend durch AGB  nur noch auf „unbestimmte Zeit“ mit einer Kündigungsfrist von höchstens einem Monat verlängert werden. Für Verträge, die vor diesem Stichtag geschlossen wurden, gilt dies jedoch nicht.

Mit dem Gesetz für faire Verbraucherverträge ändert der Gesetzgeber die Regelungen in § 309 Nr. 9 lit. b und c BGB. Wie zuvor können Unternehmer mit Verbrauchern zwar oftmals eine Vertragserstlaufzeit von 2 Jahren vereinbaren. Stillschweigende Vertragsverlängerung sind zukünftig aber nur noch dann wirksam, wenn sich das Vertragsverhältnis  auf unbestimmte Zeit verlängert und dem Verbraucher das Recht eingeräumt wird, das verlängerte Vertragsverhältnis jederzeit mit einer Frist von höchstens einem Monat zu kündigen. Die bisherige Gesetzeslage, wonach eine bindende Verlängerungslaufzeit von bis zu 1 Jahr zulässig war, wird damit aufgegeben.

Ebenfalls für Unternehmen zu beachten ist die Neuregelung des § 309 Nr. 9 lit. c BGB, wonach Klauseln, die eine Kündigungsfrist von mehr als einem Monat vor Ablauf der zunächst vereinbarten Vertragslaufzeit vorsehen, ebenfalls unwirksam sind.

Auf Altverträge sind die Neuregelungen gem. Art. 229 § 60 EGBGB jedoch nicht anwendbar. Für diese bleibt die aktuelle Rechtslage unverändert.

Die Reform des Kaufrechts durch die sog. Warenkauf-RL und die dID-Richtlinie betrifft auch die kaufrechtlichen Sonderbestimmungen für Garantieerklärungen. Bis zum In-Kraft-Treten des neuen Kaufrechts zum 01.01.2022 sind Garantieerklärungen durch Hersteller bzw. Händler daher entsprechend anzupassen.

Ab dem 01.01.2022 tritt das neue Kaufrecht in Umsetzung der europäischen Warenkauf-RL (Richtlinie (EU) 2019/771) und im Kontext der europäischen Richtlinie über digitale Inhalte (RL (EU) 2019/770) in Kraft. Die damit einhergehenden Gesetzesänderungen des Kaufrechts betreffen in erster Linie den Verbrauchsgüterkauf (B2C) und in diesem Rahmen auch den § 479 BGB, welcher Sonderbestimmungen für Garantien beim Verbrauchsgüterkauf betrifft. Der § 479 Abs. 1 BGB n.F. lautet ab 2022 (wesentliche Änderungen sind kursiv hervorgehoben):

(1) Eine Garantieerklärung (§ 443) muss einfach und verständlich abgefasst sein. Sie muss Folgendes enthalten:
1. den Hinweis auf die gesetzlichen Rechte des Verbrauchers bei Mängeln, darauf, dass die Inanspruchnahme dieser Rechte unentgeltlich ist, sowie darauf, dass diese Rechte durch die Garantie nicht eingeschränkt werden,
2. den Namen und die Anschrift des Garantiegebers,
3. das vom Verbraucher einzuhaltende Verfahren für die Geltendmachung der Garantie,
4. die Nennung der Ware, auf die sich die Garantie bezieht, und
5. die Bestimmungen der Garantie, insbesondere die Dauer und den räumlichen Geltungsbereich des Garantieschutzes.

Ergänzend dazu muss die Garantieerklärung gem. § 479 Abs. 2 BGB n.F. dem Verbraucher spätestens zum Zeitpunkt der Lieferung der Ware auf einem dauerhaften Datenträger zur Verfügung gestellt werden und im Falle einer Haltbarkeitsgarantie inhaltlich zumindest den Nacherfüllungsanspruch beinhalten.

Praxistipp:

Etwaige Garantieerklärungen sind folglich rechtzeitig bis zum Jahresende entsprechend anzupassen. Entspricht die Garantieerklärung nicht den gesetzlichen Anforderungen berührt dies gem. § 479 Abs. 4 BGB n.F. zum Schutze der Verbraucher jedoch nicht die Wirksamkeit der Garantieerklärung, könnte jedoch unter wettbewerbsrechtlichen Gesichtspunkten Ansprüche der nach Maßgabe des UWG anspruchsberechtigten Mitbewerber und Verbänden begründen.

Ab dem 01.01.2022 treten zahlreiche Änderungen im Kaufrecht, insbesondere für Verbrauchsgüterkäufe über digitale Produkte bzw. Waren mit digitalen Elementen, in Kraft. Aufgrund der Gesetzesreformen ergeben sich für Unternehmen in den unterschiedlichen Vertriebskanälen neue Anforderungen und Pflichten, die bis zum Jahresende umzusetzen sind.

Die Gesetzesnovellen dienen der Umsetzung europäischer Richtlinien, namentlich der Richtline (EU) 2019/770 vom 20.05.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen sowie der Richtlinie (EU) 2019/771 vom 20.05.2019 über bestimmte vertragsrechtliche Aspekte des Warenkaufs, zur Änderung der Verordnung (EU) 2017/2394 und der RL 1999/44/EG. Inhaltlich betroffen sind neben dem Kaufrecht auch die sonstigen Vertragstypen des BGB, wie beispielhaft Miet-, Dienst- oder Werkverträge, soweit Gegenstand der Verträge die Überlassung bzw. Bereitstellung von digitalen Inhalten ist.

Abgrenzung von digitalen Produkten und Waren mit digitalen Elementen.

Die sachliche Anwendbarkeit der Normen richtet sich im Bereich der hier gegenständlichen Gesetzesnovellen zukünftig danach, ob es sich um digitale Produkten, d.h. digitale Inhalte (z.B. Software, Video-/Audiodateien, elektronische Bücher) oder digitale Dienstleistungen(ASP/Saas, Cloud-Dienste, Plattformen oder soziale Medien) oder um Kaufverträge über Waren mit digitalen Elementen. Letztere sind nach der Legaldefinition Kaufsachen, die in einer Weise digitale Produkte enthalten oder mit ihnen verbunden sind, dass die Waren ihre Funktionen ohne diese digitalen Produkte nicht erfüllen können (z.B. Smart-TV).

Daten als Gegenleistung

Die in den §§ 327ff. BGB kodifizierten, übergreifenden Bestimmungen für digitale Produkte einschließlich etwaiger Gewährleistungsrechte, gelten zukünftig nicht nur für entgeltliche Verträge zwischen Unternehmern und Verbrauchern, sondern gem. §§ 312, 327 Abs. 3 BGB n.F. auch dann, wenn der Verbraucher dem Unternehmer als Gegenleistung für das digitale Produkte personenbezogene Daten bereitstellt bzw. sich hierzu verpflichtet, sofern solche personenbezogenen Daten nicht ausschließlich zur Erfüllung der Pflichten des Unternehmers oder gesetzlicher Anforderungen verarbeitet werden.

Sachmangelbegriff

Während die Gesetzesänderungen im Wesentlichen allein Verbraucherverträge betreffen, wird ein modifizierter Sachmangelbegriff für das gesamte Kaufrecht eingeführt mit der Folge, dass nunmehr subjektive und objektive Abweichungen gleichrangig einen Mangel der Kaufsache begründen.

Wichtig für den Verbrauchsgüterkauf ist zukünftig zu beachten, dass die Wirksamkeit von sog. „negativen Beschaffenheitsvereinbarungen“ nunmehr eine vorvertragliche Informationspflicht des Unternehmers voraussetzen und eine Abweichung von (objektiven) Anforderungen im Vertrag ausdrücklich und gesondert zu vereinbaren sind.

Updatepflicht

Für digitale Produkte als auch Waren mit digitalen Elementen sehen die Gesetzesänderungen ab dem. 01.01.2022 eine Aktualisierungspflicht vor. Eine solche besteht nicht nur nach Maßgabe der vertraglichen Vereinbarungen (subjektive Anforderungen), sondern auch nach Maßgabe der an die Kaufsache bestehenden objektiven Anforderungen. Demzufolge ist der Verkäufer verpflichtet, dem Verbraucher während des Zeitraums, den er aufgrund der Art und des Zwecks der Ware und ihrer digitalen Elemente sowie unter Berücksichtigung der Umstände und der Art des Vertrags erwarten kann, Aktualisierungen bereitstellen, die für den Erhalt der Vertragsmäßigkeit der Ware erforderlich sind und den Verbraucher über diese Aktualisierungen informieren (sog. Updatepflicht).

Ansprüche des Käufers wegen einer Verletzung dieser Updatepflicht verjähren nach § 475e BGB n.F. nicht vor Ablauf von 12 Monaten nach dem Ende des Zeitraums der Aktualisierungspflicht. Der Verkäufer haftet jedoch dann nicht für Sachmängel, wenn er seinen Aktualisierungs- und miteinhergehenden Informationspflichten nachweislich genügt und ein Sachmangel bei ordnungsgemäßer Installation des Updates durch den Käufer nicht aufgetreten wäre.

Beweislastumkehr und Verjährung

Die bereits aktuell für Verbrauchsgüterkäufe geltende Beweislastumkehr wird grundsätzlich von sechs Monaten auf ein Jahr verlängert.

Darüber hinaus tritt die Verjährung nicht vor Ablauf von vier Monaten nach dem Zeitpunkt ein, in dem sich der Mangel während der Dauer der Verjährungsfrist erstmals gezeigt hat. Eine Verkürzung der Verjährungsfrist bleibt insbesondere für gebrauchte Sachen zulässig, unterliegt zukünftig jedoch denselben strengen Anforderungen wie die Vereinbarung einer negativen Beschaffenheit.

Fazit:

Unternehmen, die digitale Produkte vertreiben oder Waren mit digitalen Elementen verkaufen, wird empfohlen, sich einen Überblick über die neuen gesetzlichen Anforderungen zu verschaffen und die Produkte entsprechend zu qualifizieren. Dies gilt insbesondere auch für solche Produkte bzw. Dienste, die grundsätzlich unentgeltlich erbracht werden. Auf dieser Grundlage werden in den unterschiedlichen Vertriebskanälen entsprechende Anpassungen bezüglich der Informationspflichten und der Allgemeinen Geschäftsbedingungen umzusetzen sein. Darüber hinaus bedarf es ggfs. der Prüfung der Prozesse zur Aktualisierung der Produkte und der diesbezüglichen Abstimmung mit dem Hersteller, der in der Regel für die Bereitstellung der (Sicherheits-)Updates am Ende der Lieferkette verantwortlich ist.

Seit dem 01.10.2021 gelten strengere Aufbewahrungs- und Dokumentationspflichten für die Einwilligungserklärung des Verbrauchers in die Telefonwerbung. Werbende Unternehmen sind verpflichtet, die vorherige ausdrückliche Einwilligung des Verbrauchers angemessen zu dokumentieren und diese für einen Zeitraum von fünf Jahren nach jeder Verwendung aufzubewahren. Auf Verlangen der Bundesnetzagentur sind die entsprechenden Nachweise zudem unverzüglich vorzulegen.

Durch das Gesetz für faire Verbraucherverträge wurde der neue § 7a UWG in das UWG eingeführt und ist am 01.10.2021 in Kraft getreten. Werbende Unternehmen sind danach verpflichtet, nicht nur einen rechtssicheren Nachweis bezüglich des Vorliegens einer Werbeeinwilligung zu schaffen, sondern müssen den Nachweis zudem für einen Zeitraum von 5 Jahren nach jeder Verwendung aufbewahren. Verstöße dagegen sind gem. § 20 Abs. 1 Nr. 2, Abs. 2 UWG als Ordnungswidrigkeiten ausgestaltet und können mit einem Bußgeld von bis zu EUR 50.000,- sanktioniert werden.

Welche konkreten Anforderungen an den Nachweis der Erteilung der Einwilligung in den unterschiedlichen Kommunikationskanälen gestellt werden, regelt die Norm nicht ausdrücklich. Wichtige Anhaltungspunkte hierzu finden sich jedoch in den von der Bundesnetzagentur als zuständige Aufsichtsbehörde veröffentlichten Auslegungshinweisen, die sich derzeit noch im Konsultationsverfahren befinden. Danach dürfte die BNetzA zukünftig strenge Anforderungen an Art und Umfang der Dokumentation der Einwilligung als auch bezüglich der Dokumentation des Widerrufs stellen.

Vor diesem Hintergrund sollten werbende Unternehmen ihre aktuellen Prozesse kritisch überprüfen und die organisatorischen und ggfs. technischen Maßnahmen zur Umsetzung der neuen Anforderung etablieren. Dies gilt insbesondere auch dann, wenn sich Unternehmen in diesem Rahmen Dritter, z.B. eines Adresshändlers oder eines Callcenters, bedienen.

Die Landesbeauftragte für Datenschutz von Bremen hat in einer neuen Orientierungshilfe die Datenschutzkonformität von Telefaxen in Frage gestellt.

Die Landesbeauftragte für Datenschutz Bremen hat auf Grund der technischen Veränderung kritisch gegenüber Telefaxen ausgesprochen. Während früher die Telefaxe von einem Faxgerät zum anderen versandt wurden und hierdurch gesichert waren, werden heutzutage meist die eingehenden Faxe in einfache Mails umgewandelt oder auch direkt in virtuellen Fax-Servern gespeichert. Darüber hinaus würden auch nicht mehr durch analoge oder ISDN Ende-zu-Ende Telefonleitungen genutzt sondern paketweise IP Netze.

Nach Ansicht der Landesbeauftragten wäre somit eine Übersendung von sensiblen Daten nach § 9 Abs. 1 DSG-VO unzulässig. Auch die Übersendung von den übrigen personenbezogenen Daten sieht sie kritisch. Falls die Empfängerseite einen Mailservice oder einen Faxserver nutzt, sind diese meist nicht verschlüsselt oder diese Server befinden sich nicht in Europa. Ein angemessenes Schutzniveau läge daher nicht vor.

Da der Absender eines Telefaxes nicht weiß wie die Empfängerseite die Daten empfängt sollte grundsätzlich von Telefaxen abgesehen werden. Stattdessen sollte eine Ende-zu-Ende verschlüsselte Mail oder der Postweg genutzt werden. Die Bremer Verwaltung löst bis Ende 2022 alle Faxgeräte durch sichere Technologie ab.

Falls sich weitere Beauftragte und Gerichte dieser Meinung anschließen müssen sich viele Unternehmen und Behörden umstellen. Auch wenn das Telefax einen angestaubten Ruf hat, wird dieses immer noch viel verwendet. Die Ende-zu-Ende verschlüsselte Mail dagegen wird aktuell noch nicht flächendeckend genutzt.

Quelle: Mai 2021 Die Landesbeauftragte für Datenschutz – Telefax ist nicht Datenschutz konform (bremen.de)

Bei Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

Der Bundesgerichtshof hat mit Urteil vom 25.03.2021 (Az. I ZR 203/19) entschieden, dass erhobene Zusatzgebühren für Zahlungsdienstleister wie „Paypal“ oder „Sofortüberweisung“ zulässig sind.

Sachverhalt

In dem der Entscheidung des BGH zugrunde liegenden Sachverhalt hat ein Reisedienstleister bei der Buchung von Tickets die Bezahlung unter anderen durch die Zahlungsdienstleister „Paypal“ und „Sofortüberweisung“ ermöglicht. Bei beiden Methoden musste der Kunde jedoch eine Zusatzgebühr an den Reisedienstleister bezahlen.

Daraufhin klagte die Wettbewerbszentrale gegen den Reisedienstleister mit der Begründung, die Zahlungsleistungen würden den § 270a BGB entsprechen und daher wäre ein etwaiges Entgelt unwirksam. Der § 270a BGB wurde 2018 zur Umsetzung der zweiten Zahlungsdienst-Richtlinie eingeführt. Hierdurch sollen vertragliche Vereinbarungen zwischen Schuldner und Gläubiger, durch die der Schuldner verpflichtet wird, ein Entgelt für die Nutzung bestimmter bargeldloser Zahlungsmittel zu leisten, verboten werden. Ein Verstoß wäre als Rechtsbruch nach § 3a UWG zudem wetttbewerbswidrig.

Zur Frage stand somit ob der Service der Online Zahlungsdienstleister als SEPA-Überweisung, SEPA-Lastschrift oder kartengebundene Zahlung einzustufen ist und somit entgeltfrei bleiben muss.

Entscheidung

Der BGH hat nun mit dem Urteil vom 25.03.2021 entschieden, dass die Zahlungen mit dem Serviceleister „Sofortüberweisung“ als SEPA-Überweisungen zwar im Anwendungsbereich des § 270a BGB liege. Demgegenüber werde das Entgelt jedoch nicht für den Zahlungsverkehr, sondern für die Einschaltung des Dienstleisters und damit verbundene gesonderte Dienste, wie beispielhaft Bonitätsprüfungen und Benachrichtigungen, erhoben.

Nichts anderes gelte im Ergebnis auch für den Zahlungsdienst „Paypal“, da auch in diesem Falle das Entgelt nicht für den Zahlungsvorgang, sondern für das Einschalten des Zahlungsdienstleisters und dessen Services erhoben wurde.

Entgelte für zusätzliche Leistungen sind nach Ansicht des BGH nicht von § 270a BGB umfasst.

Folgen

Durch das Urteil des BGH schafft Rechtssicherheit bei Onlinehändlern und Zahlungsdienstleistern mit entsprechenden Geschäftsmodellen. Das Weiterreichen von Gebühren für Services der Zahlungsdienstleister bleibt somit grundsätzlich möglich.

BGH Urteil vom 25.03.2021 (Az. I ZR 203/19)

Bei Fragen zum E-Commerce stehen wir Ihnen gerne zur Verfügung.

In dem Urteil vom 22.03.2021 (AnwZ (Brfg) 2/20) hat der BGH entschieden, dass das Anwaltspostfach grundsätzlich sicher genug verschlüsselt sei und kein Anspruch auf eine andere Veschlüsselungstechnik bestehe.

BGH AnwZ (Brfg) 2/20

Geklagt hatten Rechtsanwälte gegen die Bundesrechtsanwaltskammer auf Grund des von der Kammer eingerichteten elektronischen Anwaltspostfach. Nach Ansicht der Kläger wäre dies nicht ausreichend verschlüsselt, um eine sichere Kommunikation zu gewährleisten. Die Kommunikation beim elektronischen Anwaltspostfach ist zwar Ende-zu-Ende verschlüsselt, jedoch wird diese nicht unmittelbar an den Empfänger übersandt, sondern in einem Hardware Security Module umgeschlüsselt. Eine Ende-zu-Ende Verschlüsselung im Sinne der europäischen Patentschrift EP 0 877 507 B1 sieht nur den direkten Versand vor. Eine solche wollten die Kläger erreichen, um eine sicherer Kommunikation unter Berufsgeheimnisträgern zu gewährleisten.

Laut Bundesrechtsanwaltskammer müsste die Kommunikation in einem Hardware Security Module umgeschlüsselt werden, damit auch mögliche Vertreter Zugriff auf die Kommunikation haben können.

Der BGH ist der Ansicht, dass die Verschlüsselungsmethode ausreichenden Schutz im Sinne der einfach gesetzlichen Vorschriften  § 19 Abs. 1 und § 20 Abs. 1 RAVPV habe. Diese Vorschriften räumen den Bundesanwaltskammern einen technischen Spielraum ein, soweit eine im Rechtsinn sichere Kommunikation gewährleistet wird. Ein Anspruch würde nur bestehen, wenn eine derartige Sicherheit allein durch die gewünschte Ende-zu-Ende Verschlüsselung (Patent EP 0 877 507 B1) gewährleistet würde. Dies hat der BGH jedoch verneint.

Nichts anderes ergebe sich auch im Lichte des Art. 12 GG, da die Berufsausübung nicht durch die im Rechtsinn sichere Kommunikation gestört wäre. Weder die Vertraulichkeit der Kommunikation noch das anwaltliche Vertrauensverhältnis zum Mandanten sah der BGH beeinträchtigt.

Die Kläger haben bereits angekündigt eine Verfassungsbeschwerde einzulegen. Ab 2022 soll die Nutzung des Anwaltspostfachs verpflichtend sein.

VG Mainz 1 K 778/19.MZ

Bereits am 17.12.2020 hat das Verwaltungsgericht Mainz eine Entscheidung zur Kommunikation von Geheimnisberufsträgern gefällt.

Vorliegend ging es um eine Verwarnung (Art. 58 Abs. 2 lit. b DS-GVO) welche die Datenschutzbehörde Rheinland-Pfalz gegen einen Rechtsanwalt ausgesprochen hatte. Der Rechtsanwalt hatte E-Mails ohne Ende-zu-Ende Verschlüsselung verschickt. Nach Ansicht der Behörde würde der unverschlüsselte Versand keine ausreichende Sicherheit für Berufsgeheimnisträger geben.

Nach Ansicht des Verwaltungsgerichts Mainz war die Verwarnung jedoch materiell rechtswidrig. Eine angemessene Sicherheit der Datenverarbeitung wird zwar in Art. 5 Abs. 1 lit. f, Abs. 2 DS-GVO verlangt, jedoch wird hier nicht regelmäßig eine Ende-zu-Ende Verschlüsselung benötigt. Das VG Mainz sieht eine erhöhte Sicherheitsanforderung nur in Einzelfällen. Es bedarf also einer Risikoabwägung im Einzelfall. Eine übliche E-Mail sei meist durch eine Transportverschlüsselung geschützt welche “ durchaus als sozialadäquat und wohl derzeit noch als (Mindest-)Stand der Technik einzustufen“ sei. Dies gilt auch für Berufsgeheimnisträger. Nur soweit sensible Daten, solche die zum Beispiel unter Art. 9 und 10 DS-GVO fallen, verarbeitet werden müsse eine erhöhte Sicherheit gewährt werden. Nicht jede Kommunikation eines Berufsgeheimnisträgers bedürfe eines erhöhten Schutzes.

BGH Urteil vom 22.03.2021 (AnwZ (Brfg) 2/20)

VG Mainz Urteil vom 17.12.2020 (VG Mainz 1 K 778/19.MZ)

Bei Fragen zur Datensicherheit stehen wir Ihnen gerne zur Verfügung.

Das OVG Lüneburg (Beschluss vom 19.01.2021 – 11 LA 16/20) hat in einer Berufungszulassungsklage zu Fragen zur Veröffentlichung von Bildern auf Facebook Fanpages entschieden. Gegenstand des Verfahrens waren Bilder auf einer Facebook-Fanpage eines Ortsvereins einer Partei auf denen Privatpersonen identifizierbar waren, die nicht zuvor in die Veröffentlichung eingewilligt hatten.

Im zugrunde liegenden Sachverhalt veröffentlichte ein Ortsverein einer Partei auf ihrerr Facebook Fanpage ein vier Jahre altes Foto einer öffentlichen Bürgerversammlung. Während der Veranstaltung wurde ein Foto gemacht auf dem die Gesichter der Betroffenen eindeutig zu erkennen waren. Die Betroffenen forderten die Verantwortliche auf, das Foto zu entfernen, da ihre Einwilligung fehle und meldeten den Vorfall der Aufsichtsbehörde, die am Ende des Verfahrens den Ortsverein gemäß Art. 58 Abs. 2 lit. b DS-GVO verwarnte und ihm die Kosten des Verfahrens auferlegte. Hiergegen erhob der Ortsverein Klage, welche bezüglich der Verwarnung abgewiesen wurde.

Die Klage auf Zulassung der Berufung hatte vor dem OVG keinen Erfolg.

Eine Rechtfertigung nach Art. 6 Abs. 1 lit. f DS-GVO liege nicht vor. Zum einen sei im Rahmen der Interessenabwägung zu berücksichtigen, dass eine Anonymisierung möglich und somit auch erforderlich gewesen sie und zum anderen überwogen nach Ansicht des Senats die Rechte der Betroffenen das berechtigte Interesse der Partei.

Das Ziel der Veröffentlichung, also das Hervorheben der Aktivität und des Erfolges, hätte auch durch Veröffentlichung des Fotos mit anonymisierten Gesichter der beiden Eheleute erfolgen können..

In der Interessenabwägung stand das Interesse zur Information über die Tätigkeiten und Erfolge des Ortsvereins gegen die Rechte der Eheleute F. Hier war zwar „nur“ die Sozialsphäre der Eheleute betroffen, jedoch wurden die Betroffenen ungefragt und unbemerkt fotografiert. Sie hatten somit keinerlei Kontrolle über das Bild und konnten nicht damit rechnen, dass dieses vier Jahre später auf Facebook veröffentlicht wird.

Auch eine Rechtsfertigung nach Art. 6 Abs. 1 lit. e) DS-GVO lehnte das Gericht ab. Das Veröffentlichen von Fotos auf Facebook stelle keine Wahrnehmung einer Aufgabe dar, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, und die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DS-GVO). Parteipolitisches Handeln stellt keine Wahrnehmung staatlicher Aufgaben dar. Darüber hinaus wäre auch hier eine Erforderlichkeit aus den genannten Gründen nicht gegeben.

Art. 21 GG, § 1 ParteienG stellten ebenfalls keine Rechtsgrundlage für die Verarbeitung von Daten nach Art. 6 Abs. 1 lit. e) Abs. 2, Abs. 3 DS-GVO dar. Den Vorschriften fehle es an spezifischen Bestimmungen zur Anpassung der Anwendung der Vorschriften der Datenschutz-Grundverordnung mit Bezug auf die Verarbeitung i.S.d. Art. 6 Abs. 1 lit. e) DS-GVO.

Eine Anwendung der §§ 22, 23 KUG lehnte des Verwaltungsgericht schließlich ebenfalls ab, da es sich bei dem Foto und dem dazugehörigen Text nicht um einen überwiegend journalistischen Beitrag nach Art. 85 Abs. 2 DS-GVO handelt. Parteipolitische Aktivitäten stellen kein journalistischen Zweck dar. Die parteipolitischen Aktivitäten des Ortsvereins sind zwar zur Meinungsbildung nach außen gerichtet worden aber hatten auch werbenden Charakter. Nach der Auslegung des OVG Lüneburgs müssen die Beiträge indes ausschließlich journalistischen Charakter haben, um die Ausnahme des Art. 85 Abs. 2 DS-GVO zu erfüllen.

OVG Lüneburg (11. Senat), Beschluss vom 19.01.2021 – 11 LA 16/20

Bei Fragen zum Thema Datenschutz stehen wir Ihnen gerne zur Verfügung.

Die Bewerbung eines Fitnessstudio-Vertrages mit der monatlichen Gebühr muss auch etwaig anfallende Quartalsgebühren enthalten. Soweit die Gesamtkosten nicht eindeutig und klar erkennbar sind, ist dies wettbewerbswidrig. Das rechtswidrige Verhalten anderer Mitbewerber rechtfertigt diese Werbung nicht.

Das OLG Frankfurt am Main (Urteil vom 04.02.2021, Az. 6 U 269/19) hat die Berufung eines Fitnessstudiobetreibers gegen eine Unterlassungsverpflichtung zurückgewiesen. Das Fitnessstudio warb mit einem Monatspreis von „Euro 29,99 bei 24-Monate Abo“. Die Aussage war mit einem Sternchen markiert, welches am rechten Rand in kleiner Schrift quer den Hinweis „zzgl. Euro 9,99 Servicegebühr/Quartal“ enthielt.

Das OLG Frankfurt am Main stützte die Unterlassungsverpflichtung nach §§ 8 Abs. 1, 3 Abs. 1, 3a UWG auf den Rechtsbruch des § 1 PAngV 

1. Wer Verbrauchern gemäß § 13 des Bürgerlichen Gesetzbuchs gewerbs- oder geschäftsmäßig oder wer ihnen regelmäßig in sonstiger Weise Waren oder Leistungen anbietet oder als Anbieter von Waren oder Leistungen gegenüber Verbrauchern unter Angabe von Preisen wirbt, hat die Preise anzugeben, die einschließlich der Umsatzsteuer und sonstiger Preisbestandteile zu zahlen sind (Gesamtpreise). …
2. …

Nach höchstrichterlicher Rechtsprechung muss der anzugebende Gesamtpreis das „tatsächlich zu zahlende Gesamtentgelt“ inklusive Steuern und sonstiger Gebühren enthalten. Ein durch Sternchen getätigter Hinweis auf weitere Gebühren ist hier nicht zulässig. Dies wäre nur zulässig soweit der zusätzliche Preis eindeutig zu erkennen ist und die Aufspaltung keinen ausschlaggebenden Einfluss auf die Verbraucherentscheidung hat.

Vorliegend war aber der zusätzlich zu zahlende Preis grafisch extra klein und quer geschrieben und somit gerade nicht hinreichend klar erkennbar. Auch lag der Monatspreis durch die nicht Einberechnung der Servicegebühr gerade unterhalb der 30 Euro Grenze, welche den Kunden beeinflussen sollte.

Der Umstand, dass auch anderen Mitbewerber nicht mit dem Gesamtentgelt werben führt nicht zum Wegfall der in § 3a UWG erforderlichen Spürbarkeit. Zum einen werben nicht ALLE Mitbewerber in dieser Art und zum anderen kann durch den Rechtsmissbrauch einer gesamten Branche ein rechtwidrige Verhalten nicht gerechtfertigt werden. Eine Nichtverfolgung von Wettbewerbsverstößen würde gegen den Sinn und Zweck des UWG laufen.

Bei Fragen zur Preiswerbung im Wettbewerbsrecht stehen wir Ihnen gerne zur Verfügung.

Der I. Zivilsenat des Bundesgerichtshofs hat mit dem Beschluss vom 11.02.2021 dem Gerichtshof der Europäischen Union Fragen vorgelegt, mit denen geklärt werden soll, inwieweit Internethändler Verbraucher über Herstellergarantien für die angebotenen Produkte informieren müssen.

Die Beantwortung der Fragen durch den Gerichtshof der Europäischen Union ist entscheidend für die Informationspflichten im E-Commerce bezüglich möglicher Herstellergarantien. Hierbei geht es um die schon länger diskutierte Frage, in welchen Fällen dem Händler Informationspflichten obliegen. Muss bereits beim Vorliegen einer Herstellergarantie informiert werden oder nur wenn damit auch geworben wird. Darüber hinaus stellt sich die Frage wann damit geworben wird. Reicht bereits ein Hinweis oder wie im vorliegenden Fall ein Link zu einem Produktinformationsschreiben des Herstellers, welches zur Verfügung gestellt wird.

Bei Verstößen gegen etwaige Informationspflichten könnten den Onlinehändlern Abmahnungen drohen (§ 8 Abs. 1 Satz 1, § 3 Abs. 1, § 3a UWG i.V.m. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 EGBGB).

Sachverhalt

Die Parteien vertreiben Taschenmesser im Wege des Internethandels. Die Beklagte bot ein Schweizer Offiziersmesser an. Die Angebotsseite enthielt unter „Weitere technische Informationen“ einen Link mit der Bezeichnung „Betriebsanleitung“. Dieser öffnete ein Produktinformationsblatt mit Hinweis auf die Garantie, welche sich „zeitlich unbeschränkt auf jeden Material- und Fabrikationsfehler (für Elektronik 2 Jahr) erstreckt Schäden, die durch normalen Verschleiß oder unsachgemäßen Gebrauch entstehen, sind durch die Garantie nicht gedeckt.“ Weitere Informationen zur Garantie enthielt das Produktinformationsblatt nicht.

Die Klägerin hat beantragt, der Beklagten zu verbieten, den Absatz von Taschenmessern an Verbraucher mit Hinweisen auf Garantie zu bewerben, ohne hierbei auf die gesetzlichen Rechte des Verbrauchers hinzuweisen sowie darauf hinzuweisen, dass sie durch die Garantie nicht eingeschränkt werden, und ohne den räumlichen Geltungsbereich des Garantieschutzes anzugeben.

Die Klage wurde vom LG Bochum abgewiesen, jedoch war die Berufung am OLG Hamm erfolgreich. Der BGH hat nun über die zugelassene Revision zu entscheiden.

Fragen

Löst das bloße Bestehen einer Herstellergarantie die Informationspflicht nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU aus. Falls dem nicht so ist genügt schon die bloße Erwähnung einer Herstellergarantie im Angebot oder wenn die Erwähnung für den Verbraucher ohne weiteres erkennbar ist.

Besteht eine Informationspflicht, wenn der Verbraucher ohne weiteres erkennen kann, dass der Unternehmer nur Angaben des Herstellers zur Garantie zugänglich macht.

Welche Informationen sind nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU über das Bestehen und die Bedingungen einer Herstellergarantie zu geben im Vergleich zu den Angaben zur Garantie nach Art. 6 Abs. 2 der Richtlinie 1999/44/EG.

Beschluss v. 11.02.2021, I ZR 241/19

Bei Fragen zu Hinweispflichten im Onlinehandel stehen wir Ihnen gern zur Verfügung.

Mit Beschluss vom 14.01.2021 hat das Bundesverfassungsgericht (Az. 1 BvR 2853/19) einer Urteilsverfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG stattgegeben. Das Gericht hätte die streitgegenständliche Frage bezüglich des Schmerzensgeldanspruchs wegen datenschutzwidriger Verwendung einer E-Mailadresse zu Werbezwecken dem EuGH vorlegen müssen.

Sachverhalt

Gegenstand der Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Der dortige Kläger und Beschwerdeführer erhielt eine Werbe-Mail an seine berufliche E-Mail-Adresse. Neben Unterlassung beantragte der Kläger auf Grundlage von Art. 82 DSGVO ein Schmerzensgeld von mindestens 500 €.

Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Das Amtsgericht Goslar gab der Klage überwiegend statt, lehnte jedoch den Schmerzensgeldanspruch mit der Begründung ab, die Erheblichkeitsschwelle sei nicht überschritten. Eine einzige Werbe-Mail, die klar erkennbar als solche zu identifizieren sei, würde den Kläger nicht erheblich stören. Die Frage, ob die Erheblichkeitsschwelle der deutschen Rechtsprechung in Bezug auf Persönlichkeitsrechtsverletzungen auch im Unionsrecht (DSGVO) gelte, warf das Gericht auf, verzichtete gleichwohl auf ein Vorabentscheidungsersuchen an den EuGH.

Gegen dieses Urteil legte der Kläger Verfassungsbeschwerde nach Art. 101 Abs. 1 Satz. 2 GG ein, da er in seinem Recht auf den gesetzlichen Richter verletzt sei. Das Amtsgericht hätte den EuGH im Wege eines Vorabentscheidungsverfahren nach Art. 267 Abs. 3 AEUV anfragen müssen. Die Richter in Karlsruhe gaben ihm Recht und sahen das Recht des Klägers auf den gesetzlichen Richter verletzt.

Bisherige Entscheidungspraxis

Die bisherige Rechtsprechung offenbart, dass die nationalen Gerichte bislang eher zurückhaltend mit dem Zusprechen von immateriellem Schadensersatz wegen Verletzungshandlungen nach Maßgabe der DSGVO sind. Zwar wird im Lichte von Art. 82 DSGVO überwiegend keine schwere Verletzung des Persönlichkeitsrechts gefordert, gleichwohl üben sich ordentliche Gerichte und Arbeitsgerichte in Zurückhaltung bei der Zuerkennung von Schmerzensgeld, insbesondere bei bloßen Bagatellverstößen. Dies mag sich mit der Rechtsprechung des EuGH in Zukunft ändern.

BVerfG Beschluss vom 14. Januar 2021 (Az. 1 BvR 28531/19)

AG Goslar Urteil vom 27. September 2019 (Az. 28 C 7/19)

Bei Fragen zum Datenschutz stehen wir Ihnen gerne zur Verfügung.

Das Landgericht Bonn und das Landgericht Berlin entschieden kürzlich über die Anwendung der Unternehmerhaftung und die Bemessung des Bußgelds bei Verstößen gegen die DS-GVO.

LG Bonn

Der Entscheidung ging ein Bußgeldverfahren des Bundesdatenschutzbeauftragen(BfDI) voran, welcher gegen einem Telekommunikationsanbieter ein Bußgeld (Art. 83 DS-GVO) in Höhe von EUR 9.550.000,00 verhängte.

Das Telekommunikationsunternehmen betrieb ein Callcenter welches die Kunden durch die Telefonnummer/Kundennummer identifizierten und durch das Geburtsdatum authentifizierten. Eine Regelung für Dritte gab es nur in Bezug auf Betreuer. Dritte galten jedoch schon als legitimiert, soweit sie die Telefon-, Kundennummer oder den Namen sowie das Geburtsdatum des Kunden kannten.

Die Möglichkeit nutze eine ehemalige Lebensgefährtin eines Kunden aus um die bewusst geänderte Mobilfunknummer des Kunden zu erfahren und ihn daraufhin nachzustellen. Der BfDI wurde durch die Polizei informiert und verhängte das Bußgeld. Gegen dieses ging das Unternehmen vor.

Zunächst entschied das Gericht, dass das Unternehmen unmittelbar in die Haftung genommen werden könnte. Das Gericht ist der Ansicht, dass das Unternehmen wie im supranationalen europäischen Kartellrecht unmittelbar hafte.

„Das deutsche Sanktionsrecht kennt eine solche unmittelbare Haftung von Unternehmen bislang nicht“

Im deutschen Recht gilt bei Ordnungswidrigkeiten gemäß § 30 Abs. 1 OWiG das Rechtsträgerprinzip. Hiernach knüpft sich die Geldbuße stets an ein schuldhaftes Fehlverhalten einer natürlichen Person an und erst auf Rechtsfolgenseite stehen die Unternehmen dafür ein. Das Gericht begründete die Anwendung der direkten Unternehmerhaftung auf der europäischen Gesetzgebung. Diese hätte bei Schaffung des § 83 Abs. 4-6 DS-GVO das supranationale Kartellrecht als Vorbild gehabt.

Das Unternehmen hätte hier auch schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Der Zugang zu Daten von Dritten wäre leichtfertig ermöglicht worden. Der Namen und das Geburtsdatum wären leicht zugängliche Daten, die nicht zur Authentifizierung ausreichen dürften. Allerdings sieht das LG Bonn nur wenige sensible Daten betroffen (Kontaktdaten und Bankverbindung) und daher keinen schweren Verstoß.

Das LG Bonn kürzte jedoch das Bußgeld von EUR 9.550.000 um 90 % auf EUR 900.000. Das Gericht hat hierzu aufgeführt, dass zunächst ein Bußgeld maximal in Höhe von EUR 10.000.000 oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich ist, falls dieser Betrag höher ist. Im vorliegenden Fall lag der 2 % Umsatz bei 72,6 Millionen.

„Die Geldbuße muss spürbar sein; sie darf jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen.“

Eine reine umsatzbezogene Bemessung des Bußgeldes, wie es der BfDI es vorliegend getan hat, sei jedoch unverhältnismäßig. Der Umsatz könne jedoch bei der Wirksamkeit und Spürbarkeit als Bemessungskriterium mit einbezogen werden. Weitere Kriterien seien zum Beispiel: Anzahl der Verstöße, Art der Daten, Schaden, Motiv und Vorsatz, Kooperation mit Behörden, Korrektur der Fehler, Anzahl der Verfahren, eigene Schäden.

Im vorliegenden Fall kam es dem Unternehmen zu Gute, dass es das erste Verfahren gegen sie war, nur ein Verstoß verfolgt wurde und keine sensiblen Daten betroffen waren. Darüber hinaus ist der Reputationsschaden des Unternehmens in die Berechnung mit eingeflossen, da das Bußgeldverfahren öffentlichkeitswirksam erlassen wurde.

LG Berlin

Das Landgericht Berlin hat in seinem Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)) die unternehmerische Haftung verneint. Der § 30 OWiG müsste angewendet werden und folglich wäre ein Fehlverhalten einer natürlichen Person notwendig. Eine Ordnungswidrigkeit könne immer nur eine natürliche Person vorwerfbar begehen; der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Vorliegend war ein Verstoß eines börsennotiertes Immobilienunternehmens, welches zu einem Bußgeldbescheid der BlnBDI in Höhe von 14.549.503,15 Euro führte. Das Unternehmen kam Löschungspflichten bei nicht mehr benötigten Daten nicht nach.

Das LG Berlin hat nun das Bußgeld für rechtswidrig erklärt. Nach Ansicht des Gerichts wäre ausschließlich eine Anwendung des § 30 OWiG möglich. Der Art. 83 Abs. 8 DS-GVO verweise auf deutsches Verfahrensrecht. In der Begründung wird eingehend die Gesetzesentstehung thematisiert und dargestellt, dass der § 30 OWiG zwar zunächst ausgenommen werden sollte, dies aber Schluss endlich nicht getan wurde. Die Behörde hätte in ihrer Begründung jedoch nicht dargestellt, dass das Verhalten einer natürlichen Person den Verstoß begründete.

„Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.“

Der Beschluss des LG Berlin ist im Gegensatz zum Urteil des LG Bonn noch nicht rechtskräftig geworden. Die BlnBDI hat bereits Einspruch eingelegt.

Bußgeld gegen schwedisches Modeunternehmen

Gegen ein schwedisches Modeunternehmen verhängte der Hamburger Datenschutzbeauftragte bereits ein Bußgeld in Höhe von 35.258.707,95 Euro. Die Modekette akzeptierte dieses auch und ließ die Widerspruchsfrist verstreichen. Vorliegend kam es zu Erfassungen privater Lebensumstände über einen mehrjährigen Zeitraum. Diese umfassten zum Beispiel Familienleben, Urlaub, Krankheit und Religion. Das Bußgeld wurde aufgrund der schweren Missachtung des Beschäftigtendatenschutzes hoch angesetzt.

Auswirkungen

An den Fällen sieht man, dass Verstöße gegen die DS-GVO mit hohen Bußgeldern geahndet werden können, die Bußgelder jedoch immer im Verhältnis zum Verstoß angemessen seien müssen.

Die Frage, ob eine unternehmerische Haftung oder das Rechtsträgerprinzip anzuwenden ist, bleibt umstritten und bedarf höchstrichterlicher Entscheidung. Die Aufsichtsbehörden werden die Bußgelder zumindest genauer begründen müssen, um sicherzustellen, dass die Haftung als Unternehmen direkt oder im Zuge des Rechtsträgerprinzips greift.

DSK Berechnungsmodell

Bereits im Oktober 2019 stellte die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein Berechnungsmodell vor, mit dem ein Bußgeld berechnet werden soll. Eine Bindung für Behörden oder Gerichte gibt es hierdurch jedoch nicht. Maßstab ist immer noch der Art. 83 Abs. 1 DS-GVO, somit muss das Bußgeld wirksam, angemessen und abschreckend sein.

Das DSK Berechnungsmodell beinhaltet 5 Schritte:

1. Schritt: Das betreffende Unternehmen wird einer bestimmten Größenklasse zugeordnet.
2. Schritt: Es wird der mittlere Jahresumsatz der jeweiligen Größenklasse-Untergruppe ermittelt.
3. Schritt: Der wirtschaftliche Grundwert wird ermittelt.
4. Schritt: Dieser Grundwert wird mit einem von der Schwere der Tat abhängigen Faktor multipliziert.
5. Schritt: Berücksichtigung und Anpassung des Wertes anhand täterbezogener und sonstiger, noch nicht berücksichtigter Umstände.

LG Bonn Urteil vom 11.11.2020 Az. 29 OWi 1/20

LG Berlin Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20))

Bei Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

Das „Gesetz zur Stärkung des fairen Wettbewerbs“ vom 02.Dezember 2020 änderte das UWG dahingehend, dass der „fliegende Gerichtsstand“ deutlich eingeschränkt wird. Das OLG Düsseldorf bestätigte nun erstmals die Einschränkung, während das LG Düsseldorf weiterhin am fliegenden Gerichtsstand festhält.

Gesetzeslage

Bis in Krafttreten der Gesetzesänderung konnte im Bereich des UWG Klage dort erhoben werden, wo die Zuwiderhandlung begangen wurde oder auch wo sie sich auswirkt (fliegender Gerichtsstand). Auf Grund der deutschlandweiten Auswirkung von unlauteren Wettbewerb im Internet konnte somit an jedem Landgericht in Deutschland Klage erhoben werden.

In der Neufassung des § 14 UWG wird nunmehr der Bereich der „Rechtsstreitigkeiten wegen Zuwiderhandlungen im elektronischen Geschäftsverkehr“ und „in Telemedien“ (Satz 3 Nr. 1) ausgeklammert. Hiermit wollte das Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) einen Missbrauch des fliegenden Gerichtsstands verhindern. Nach dem BMJV bestand die Gefahr sich die passende Rechtsprechung nach LG Bezirk auszusuchen sowie durch hohen Reise- und Kostenaufwand Beklagte abzuschrecken.

LG Düsseldorf

Das Landgericht Düsseldorf (Beschl. v. 15.01.2021 – 38 O 3/21) hat sich im Januar in einem einstweiligen Verfügungsverfahren mit dem fliegenden Gerichtsstand auseinandergesetzt und diesen nicht gänzlich verabschiedet. Nach dem LG Düsseldorf sei der § 14 Abs. 2 Satz 3 Nr. 1 UWG einschränkend auszulegen. Die Ausnahme greife hier nicht, da diese nur bei Geschäften greifen, welche „zwingend ein Handeln im elektronischen Geschäftsverkehr oder in den Telemedien erfordern (…) und bei Nutzung eines anderen Kommunikationskanals nicht verwirklicht werden könnten“.

Die Einschränkung in § 14 Abs. 2 Satz 3 Nr. 1 UWG würde somit nur auf Geschäfte abzielen die ausschließlich im Internet getätigt werden können. Nicht aber solche, welche auch über andere Kommunikationswege oder direkten Kontakt getätigt werden.

OLG Düsseldorf

Das OLG Düsseldorf (Beschluss vom 16.02.2021 – I-20 W 11/21) ist der Ansicht deutlich entgegen getreten. In der Entscheidung zur sofortigen Beschwerde, die sich gegen den Entzug des gesetzlichen Richters richtete, nahm das OLG Stellung zur Auslegung des § 14 Abs. 2 Satz 3 Nr. 1 UWG.

Das OLG gab dem LG vor, im Falle eines Widerspruches die örtliche Zuständigkeit noch einmal genau zu überprüfen, da die die vorgenommene Auslegung des § 14 UWG erhebliche Bedenken hervorruft.

Weder der Wortlaut der Neufassung noch Sinn und Zweck würden eine Auslegung des Paragraphen in der Art rechtfertigen. Dem Gesetzgeber kam es gerade darauf an den fliegenden Gerichtsstand bei Verstößen im Internet einzuschränken.

Auch eine teleologische Reduktion könnte nicht vorgenommen werden, da der Gesetzgeber sich bewusst gegen die Einschränkung von nur einzelnen Bereichen im Online Wettbewerbsrecht entschieden hat. Eine solche Einschränkung wie sie das LG vorgenommen hat war somit gerade nicht gewollt.

LG Düsseldorf

Mit einem Beschluss vom 26. Februar 2021 – 38 O 19/21 hat das LG Düsseldorf noch einmal dessen Standpunkt dargestellt und ein weiteres Festhalten an die teleologische Reduktion erklärt. Die Ausführungen des OLG Düsseldorf hätten als obita dicta keine bindende Wirkung für das Landgericht.

Der Ansicht des LG Düsseldorf folgte nun auch das LG Frankfurt a.M. (Urteil vom 11.05.2021 Az. 3-06 O 14/21) und nahm in einem ähnlichen Fall den fliegenden Gerichtsstand an.

Bei Fragen zum Wettbewerbsrecht stehen wir Ihnen gern zur Verfügung.

Seit dem 01.01.2021 ist das Vereinigte Königreich nicht mehr Teil der EU. Der Austritt hat auch Auswirkungen auf den Datenschutz. Abhilfe schafft zunächst das Brexit-Abkommen.

Der Datentransfer zwischen Unternehmen in verschiedenen Ländern ist allgegenwärtig. Innerhalb der EU ist dies im Rahmen der DSGVO möglich. Durch den Austritt Großbritanniens drohte Ungewissheit in wie fern ein Datentransfer weiterhin zulässig wäre.

Durch das in letzter Sekunde zustande gekommene Brexit-Abkommen verschaffen sich das Vereinigte Königreich und die EU Zeit um den Datenaustausch weiterhin zulässig zu ermöglichen. Wäre Großbritannien ohne Abkommen aus der EU ausgeschieden hätte ein Datentransfer in ein Drittland vorgelegen, welcher nur unter strengen Voraussetzungen erlaubt gewesen wäre und bei dem gemäß Art. 46 Abs. 1 DS-GVO „geeignete Garantien“ vorgesehen werden müssen und den Betroffenen „durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen“ müssen.

Im Brexit-Abkommen (Teil 7, Art. FINPROV.10A Abs. 1) wurde jetzt aber eine Übergangszeit von zunächst 4 Monaten (stillschweigend verlängerbar auf 6 Monate) festgehalten, in der Großbritannien nicht als Drittstaat gilt. Innerhalb dieser Zeit soll ein Angemessenheitsbeschluss durch die EU-Kommission nach Art. 45 Abs. 3 DS-GVO verabschiedet werden. Dieser würde den angemessenen Schutz feststellen und ein Datentransfer nach Großbritannien wäre einem innereuropäischen Datentransfer gleichgestellt.

Bis jetzt ist jedoch ein solcher Angemessenheitsbeschluss nicht verabschiedet worden.

Wenn Sie Fragen zum Thema Datenschutz haben stehen wir Ihnen gerne zur Verfügung.

Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 01.10.2019 wesentliche Fragen im Zusammenhang mit dem rechtskonformen Einsatz von Cookies beantwortet.

Die Entscheidung ist inhaltlich nicht überraschend. Bereits der Generalanwalt hatte sich zu den nun entschiedenen Fragen entsprechend positioniert. Zudem deckt sich die in der Entscheidung vom EuGH vertretene Auffassung mit der von vielen Seiten bereits seit langem vertretenen Auslegung der maßgeblichen europäischen Vorschriften. Gleichwohl sind die Konsequenzen der nun höchstrichterlich bestätigten hohen Anforderungen an den Einsatz von Cookies für Betreiber von Webseiten und Online-Diensten, insbesondere aber für die Online-Marketingbranche, erheblich.

Was wurde konkret entschieden?

Der EuGH stellt in seiner Entscheidung zunächst fest, dass der Einsatz von Cookies oder – anders ausgedrückt – das Speichern von Informationen auf dem Endgerät eines Nutzers bzw. das Abrufen von Informationen, die im Endgerät des Nutzers gespeichert sind, grundsätzlich der vorherigen Zustimmung (Einwilligung) des betreffenden Nutzers bedarf. Dabei muss die Einwilligung des Nutzers in Form einer aktiven Handlung erfolgen. Das bisher weit verbreitete Opt-Out-Verfahren, bei der die Einwilligung „voreingestellt“ ist und der Nutzers nur aktiv werden muss, wenn er die Verwendung ablehnen möchte, reicht dazu nicht aus. Nicht ausreichend sind daher auch Gestaltungen, bei denen der Nutzer durch das reine Weiternutzen eines Online-Angebotes die Zustimmung zur Verwendung der Cookies erteilen soll. Erforderlich sind vielmehr Opt-In-Verfahren bzw. solche Verfahren, bei denen der Nutzer nachvollziehbare, aktive Handlungen vornimmt, mit denen er die Zustimmung zur Verwendung der Cookies ausdrückt.

Entsprechende Einwilligungen des Nutzers sind grundsätzlich immer erforderlich, ganz gleich, ob mittels der eingesetzten Cookies personenbezogene Daten erhoben bzw. verarbeitet werden oder nicht. Ausgenommen vom Einwilligungserfordernis ist lediglich der Einsatz solcher Cookies, die zur Bereitstellung des jeweiligen Dienstes technisch erforderlich sind. 

Weiter befasst sich die Entscheidung des EuGH mit der Frage des Umfangs der dem Nutzer im Zusammenhang mit seiner Einwilligung zu erteilenden Informationen. Der EuGH stellt hierzu fest, dass die Wirksamkeit der vom Nutzer erteilten Einwilligung maßgeblich davon abhänge, dass der Nutzer diese auf Grundlage klarer und umfassender Informationen über die eingesetzten Cookies erteilt. Diese Informationen müssen so beschaffen sein, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer somit in die Lage versetzen, die Konsequenzen einer von ihm erteilten Einwilligung leicht zu überblicken. Insofern müssten die Informationen insbesondere über die Funktionsweise des jeweiligen Cookies, die Funktionsdauer sowie über den Umstand aufklären, ob Dritte Zugriff auf die Cookies erhalten können.

Betreiber von Webseiten, Anbieter von Online-Shops und Online-Diensten sollten daher vor diesem Hintergrund die Gestaltung des Einsatzes von Cookies im Rahmen Ihres Angebotes zunächst dahingehend prüfen, ob sie einwilligungspflichtige, d.h. nicht technisch notwendige Cookies einsetzen. Relevant sind dabei insbesondere Tracking- und Analyse-Tools, Tools für das Retargeting und Remarketing sowie Social-Media-Plugins, die Informationen unter Verwendung von Cookies oder entsprechender Technologien verarbeiten.

In diesen Fällen ist dann zunächst das Einwilligungsverfahren so zu gestalten, dass der Nutzer aktiv und vorab seine Zustimmung erteilt (insbesondere mittels Opt-in-Lösungen) und andernfalls – bei Ablehnung durch den Nutzer – entsprechende Techniken nicht zum Einsatz kommen. Zudem muss im Kontext der Einwilligung sichergestellt sein, dass dem Nutzer vor der Erteilung der Einwilligung die erforderlichen Informationen zu den jeweiligen Cookies zur Verfügung stellt werden, etwa – soweit möglich – unmittelbar im Einwilligungsverfahren sowie ergänzend über transparent einbezogene und leicht zugängliche (Datenschutz-)Hinweise.

Bei Fragen zum Datenschutz stehen wir gern zur Verfügung.

Der EuGH hat auf der Grundlage der Datenschutzrichtlinie (Richtlinie 95/46/EG) mit Urteil vom 29.07.2019 – Az. C‑40/17 – entschieden, dass Websitebetreiber beim Einsatz des Facebook-Plugins gemeinsam mit dem Anbieter (Facebook) für die Erhebung auf der Website und die Übermittlung dieser Daten an Facebook datenschutzrechtlich verantwortlich sind. Die gemeinsame Verantwortlichkeit führt jedoch nicht zu einer allumfassenden Verantwortlichkeit des Websitebetreibers für vor- oder nachgelagerte Phasen der Datenverarbeitung, auf die keinerlei Einfluss besteht.

In dem dem Vorlageverfahren zugrunde liegenden Sachverhalt hatte ein Online-Händler (Fashion-ID) auf seiner Website ein sog. Facebook-PlugIn „Gefällt mir“ eingebunden. Aufgrund des Einsatzes des Plugins wurden beim Aufruf der Website Daten an Facebook, insbesondere IP-Adresse des Endgeräts des Besuchers sowie technische Informationen des Browers übermittelt.

Unter Bezugnahme auf die vorangegangene Rechtsprechung hat der EuGH den Website-Betreiber als gemeinsam Verantwortlichen im Sinne der Datenschutz-RL qualifiziert, da der Website-Betreiber durch die Integration des Plugins auf dessen Website die Erhebung der Daten und die Weitergabe an Facebook beeinflusse, mithin gemeinsam über „Zweck und Mittel“ der Datenverarbeitung entscheide. Demgegenüber erscheine es jedoch nach Aktenlage ausgeschlossen, dass auch eine gemeinsame Verantwortlichkeit bezüglich einer nachgelagerten Datenverarbeitung durch bzw. bei Facebook in Frage käme.

Bezüglich der Legitimation der Datenverarbeitung könnten sich die gemeinsam Verantwortlichen nur dann auf ein „berechtigtes Interesse“ berufen, wenn sowohl Website-Betreiber als auch Anbieter mit den Verarbeitungsvorgängen jeweils ein berechtigtes Interesse wahrnähmen.

Besteht beim Website-Betreiber ein solches nicht, bedürfe es neben der Erteilung der Pflichtinformationen einer vorherigen Einwilligung des Website-Besuchers. Unter Berücksichtigung der unterschiedlichen Verantwortungsbereiche in den unterschiedlichen Datenverarbeitungsphasen könne sich der Umfang der Einwilligung und die Erteilung der Pflichtinformationen jedoch auf solche Datenverarbeitungsvorgänge beschränken, welche der gemeinsamen Verantwortlichkeit unterliegen.

Hinweise:

Das Urteil des EuGH bestätigt erneut den weiten Anwendungsbereich der datenschutzrechtlichen „gemeinsamen Verantwortlichkeit“, wie sie nunmehr in Art. 4 Nr. 7, 26 DSGVO verankert ist. Geht man mit guten Gründen davon aus, dass die Bewertungsmaßstäbe für eine gemeinsame Verantwortlichkeit auf die DSGVO übertragbar sind, bedarf es unter Geltung der DSGVO nunmehr einer zusätzlichen Vereinbarung zwischen den Verantwortlichen, wobei das Wesentliche den betroffenen Personen zur Verfügung gestellt werden muss. Ob in jedem Fall auch eine Einwilligung vom Websitebetreiber einzuholen ist, lässt das Gericht grundsätzlich offen. Geht man jedoch davon aus, dass Cookies oder ähnliche Webtechnologien im Rahmen des Plugins zum Einsatz kommen bzw. Zugriff auf Informationen im Endgerät gewährt wird, die nicht notwendigerweise datenschutzrechtlich relevant sein müssen, wäre zumindest eine Einwilligung und Informationserteilung nach Maßgabe der Richtlinie 2002/58 geboten.

Bei Fragen zur gemeinsamen Verantwortlichkeit oder anderen datenschutzrechtlichen Themen stehen wir gern zur Verfügung.

Der Europäische Gerichtshof hat im Jahr 2018 wegweisende Urteile über die gemeinsame Verantwortlichkeit verkündet (u.a. „Facebook-Insights“ u. „Zeugen Jehovas“). Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Notwendigkeit einer vertraglichen Vereinbarung zwischen den beteiligten Verantwortlichen ist für viele Verantwortliche neu. Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt.

Gemäß Art. 26 Abs. 1 S. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese Definition baut auf Art. 4 Nr. 7 DSGVO auf, wonach Verantwortlicher diejenige Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Einordnung und Abgrenzung

Die „gemeinsame Verantwortlichkeit“ stellt keine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, sondern dient der Klarstellung, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, ist für diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO notwendig.

Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung nach Art. 28 DSGVO. Maßgeblich sind die tatsächlichen Umstände der Entscheidung über die Datenverarbeitung sowie der faktische Einfluss auf diese, nicht hingegen die in einer Vereinbarung festgelegte „formale“ Bezeichnung. Ein wichtiges Abgrenzungskriterium ist die Weisungsabhängigkeit.

Voraussetzungen

Voraussetzung für die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO ist eine gemeinsame Festlegung der Zwecke der und Mittel zur Verarbeitung. Eine „gemeinsame Entscheidung“ über die Zwecke und Mittel der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt.

Der Europäische Gerichtshof hat in der Entscheidung „Zeugen Jehovas“ klargestellt, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten voraussetzt. Die Akteure könnten vielmehr in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände zu beurteilen ist. Die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung setze zudem nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat. Es sei denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung gemeinsam Verantwortliche sind.

Dass ein tatsächlicher Einfluss auf die Datenverarbeitung verknüpft mit der Möglichkeit, daraus wirtschaftliche Vorteile zu ziehen, eine gemeinsame Verantwortlichkeit im Sinne des Art. 16 DSGVO begründen kann, zeigt die Rechtsprechung des Europäischen Gerichtshofs in Bezug auf die Funktion Facebook Insights.

Facebook-Fanpage Betreiber können anonymisierte statistische Daten betreffend die Nutzer in Facebook-Insights einsehen und z.B. für gezielte Werbung nutzen. Bei der Einrichtung einer Facebook-Fanpage nimmt der Betreiber der Seite eine Parametrierung u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten vor, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Außerdem kann der Betreiber die Kriterien festlegen, nach denen Statistiken erstellt werden sollen und die Kategorien von Personen bezeichnen, deren personenbezogenen Daten ausgewertet werden. Daraus schließt der Gerichtshof, dass der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung personenbezogener Daten der Besucher seiner Seite beiträgt. Durch die vorgenommene Parametrierung u.a. entsprechend dem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten sei der Fanpage Betreiber an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beteiligt und daher als gemeinsam mit Facebook Ireland für diese Verarbeitung verantwortlich.

Rechtsfolgen des Art. 26 DSGVO

Art. 26 DSGVO legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DSGVO geltenden Pflichten hinausgehen. Dadurch soll u.a. die Transparenz und Rechtsdurchsetzung für die betroffenen Personen verbessert werden. Außerdem soll bezüglich der Verantwortung und Haftung der Verantwortlichen – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – eine klare Zuteilung der Verantwortlichkeiten durch die DSGVO gewährleistet werden.

Es ist eine Vereinbarung nach Art. 26 DSGVO (Joint Controllership Agreement) abzuschließen. In dieser Vereinbarung ist gemäß Art. 26 Abs. 1 S. 2 DSGVO festzulegen, wer welche in der DSGVO geregelten Verpflichtungen, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO, erfüllt. Nach Art. 26 Abs. 1 S. 3 DSGVO kann eine Anlaufstelle für die betroffene Person angegeben werden. Art. 26 Abs. 2 S. 1 DSGVO regelt, dass die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln muss. Gemäß Art. 26 Abs. 2 S. 2 DSGVO „wird“ das Wesentliche der Vereinbarung der betroffenen Person zur Verfügung gestellt. Das umfasst eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll.

Der Abschluss einer solchen Vereinbarung ist wichtig, um die in Art. 83 Abs. 4 lit. a DSGVO enthaltenen Geldbußen zu vermeiden. Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3 DSGVO). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 DSGVO gemeinschaftlich.

Hinweise

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat ein Muster zur Vereinbarung gemäß Art. 26 Abs. 1 S. 1 DSGVO sowie zur Information betroffener Personen gemäß Art. 26 Abs. 2 S. 2 DSGVO veröffentlicht. Hingewiesen sei außerdem auf das durch die Datenschutzkonferenz veröffentlichte Kurzpapier zur gemeinsamen Verantwortlichkeit.

Links zu den Entscheidungen des Europäischen Gerichtshofs: „Facebook Insight“, „Zeugen Jehovas“

Für Fragen zur gemeinsamen Verantwortlichkeit oder anderen Themen der DSGVO stehen wir gern zur Verfügung.

Das Oberlandesgericht Frankfurt am Main hat entschieden, dass Amazon verlangen kann, dass sog. Drittanbieter auf amazon.de ihre Produkte nicht mit „gekauften“ Bewertungen bewerben, ohne kenntlich zu machen, dass die Tester einen vermögenswerten Vorteil erhalten haben.

„Gekaufte“ Bewertungen sind in diesem Zusammenhang keine inhaltlich falschen Bewertungen sondern gemeint sind Rezensionen, die nicht auf Grundlage eines Kaufentschlusses des Testers sondern nach entgeltlicher Beauftragung abgegeben werden. Im Regelfall, gegebenenfalls gegen Zahlung eines kleinen Entgelts, darf der Tester die Produkte behalten. Rezensionen dieser Art werden von sog. Drittanbietern verkauft.

„Authentische“ Bewertungen werden dagegen unbeeinflusst von Dritten, unentgeltlich und ohne die Ware ggf. kostenfrei behalten zu dürfen, abgegeben.

Ausgangspunkt des o.g. Verfahrens war der von Amazon gestellte Antrag auf Erlass einer einstweiligen Verfügung gegen ein Unternehmen, das Drittanbietern auf amazon.de die Erstellung und Veröffentlichung von Kundenrezensionen gegen Entgelt angeboten hatte. Das Unternehmen vermittelte registrierten Drittanbietern auf Wunsch einen Tester, der das über amazon.de erworbene Produkt bewertete und dieses im Regelfall, gegebenenfalls gegen Zahlung eines kleinen Eigenanteils behalten darf. Die Rezension wird über das Portal der Antragsgegnerin automatisiert auf amazon.de eingestellt. Amazon hielt es für unlauter, dass die Antragsgegnerin die „bezahlten“ Kundenrezensionen auf amazon.de veröffentlicht, ohne darauf hinzuweisen, dass der Rezensent hierfür einen vermögenswerten Vorteil erhalten hat.

Das Oberlandesgericht Frankfurt a.M. hat der Antragsgegnerin verboten, auf amazon.de „gekaufte“ Kundenrezensionen zu veröffentlichen, ohne gleichzeitig darauf hinzuweisen, dass diese Rezensionen entgeltlich beauftragt wurden.

Nach Auffassung des Oberlandesgerichts handelt die Antragsgegnerin unlauter, da sie den kommerziellen Zweck der eingestellten Produktrezensionen nicht kenntlich macht. Der Durchschnittsverbraucher gehe bei Produktbewertungen davon aus, dass diese grundsätzlich ohne Gegenleistung erstellt würden. Die Idee eines jeden Bewertungsportals beruhe darauf, dass die Bewertenden die Produkte aufgrund eines eigenständigen Kaufentschlusses erworben haben und nunmehr ihre Bewertung unbeeinflusst von Dritten mitteilen. Der Verbraucher erwarte zwar nicht unbedingt eine mit einem redaktionellen Bericht vergleichbare objektive Bewertung, wohl aber eine „authentische“ nicht „gekaufte“ Bewertung.

OLG Frankfurt a.M., Beschl. v. 22.02.2019, Az. 6 W 9/19

Bei Fragen zum Wettbewerbsrecht stehen wir gern zur Verfügung.

Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn eine der genannten Rechtsgrundlagen vorliegt. Neben einer Einwilligung oder der Erfüllung eines Vertrags ist das „berechtigte Interesse“ zentrale Rechtsgrundlage.

Nach Art. 6 Abs. 1 lit. f) DSGVO  ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Daraus folgen drei Voraussetzungen, die vorliegen müssen, damit die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO bzw. ein „berechtigtes Interesse“ gestützt werden kann.

• Der für die Verarbeitung personenbezogener Daten Verantwortliche oder ein Dritter hat ein berechtigtes Interesse an der Datenverarbeitung

• Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich

• Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht

Berechtigtes Interesse

Die Datenschutzgrundverordnung enthält keine Regelung, was genau ein „berechtigtes Interesse“ des Verantwortlichen oder eines Dritten ist. Es handelt sich um einen unbestimmten Rechtsbegriff, dessen Bedeutung durch Auslegung zu ermitteln ist. Der Begriff „Interesse“ ist sehr weit gefasst und umfasst grundsätzlich jedes rechtliche, tatsächliche oder wirtschaftliche Interesse. Das Wort „berechtigt“ schränkt den Begriff „Interesse“ insoweit ein, als dass nur die Interessen, die der Rechtsordnung nicht zuwiderlaufen, geschützt werden sollen. Das zugrundeliegende Interesse darf nicht verboten oder strafrechtlich relevant sein.

Die vor Geltung der DSGVO anwendbare Datenschutzrichtlinie RL 95/46/EG kannte den Begriff des berechtigten Interesses bereits. Die Artikel-29-Datenschutzgruppe hatte dieses als „das Bestreben im weiteren Sinne, das ein für die Verarbeitung Verantwortlicher an dieser Verarbeitung haben kann, oder der Nutzen, den der für die Verarbeitung Verantwortliche aus der Verarbeitung zieht – oder den die Gesellschaft daraus ziehen könnte“ definiert.

In den Erwägungsgründen 47 bis 49 zur DSGVO sind einige Beispiele genannt. Ein berechtigtes Interesse kann vorliegen, wenn „eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Bei der Verarbeitung personenbezogener Daten zur Verhinderung von Betrug zum Zwecke der Direktwerbung kann ebenfalls ein berechtigtes Interesse vorliegen. Darüber hinaus kann die Übermittlung zwischen Teilen von Unternehmensgruppen oder Gruppen von Einrichtungen für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigen ein berechtigtes Interesse darstellen.

Erforderlichkeit

Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich, soweit der Zweck der Verarbeitung nicht auch in zumutbarer Weise durch ein anderes, milderes Mittel erreicht werden kann.

Interessenabwägung

Ob die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, ist durch Abwägung mit den Interessen des Verantwortlichen oder des Dritten zu ermitteln. Die DSGVO enthält keine Regelung, welche Kriterien dabei anzuwenden sind. Daher sollten die Interessen des Verantwortlichen oder des Dritten benannt und gewichtet werden. Hohes Gewicht kommt einem Interesse etwa dann zu, wenn es sich auf ein oder gar mehrere Grundrechte stützen lässt. Außerdem hat ein Interesse mehr Gewicht, soweit die Verarbeitung nicht ausschließlich dem Verantwortlichen, sondern zumindest auch der Allgemeinheit zugutekommt.

Demgegenüber stehen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. Diese sind ebenfalls zu gewichten, um eine Abwägung zu ermöglichen. Dabei kann insbesondere auf die Art der Daten, die Menge der Daten und der betroffenen Personen, die Quelle der Daten, die Anzahl der Verarbeiter, die Dauer der Verarbeitung sowie die Sicherheit der Verarbeitung Bezug genommen werden. Zu berücksichtigen ist zudem, ob die betroffene Person im Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen diese Erhebung erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für den angestrebten Zweck erfolgen wird (Erwägungsgrund 47 Satz 1 bis 3).

Überwiegen nunmehr die Interessen des Verantwortlichen oder des Dritten die der betroffenen Person, so ist die Datenverarbeitung zulässig. Überwiegen die Interessen des Verantwortlichen oder des Dritten die der betroffenen Person nicht, so ist die Datenverarbeitung unzulässig. In diesem Fall kann durch geeignete Maßnahmen wie eine Verkürzung der Dauer der Verarbeitung oder der Erhöhung der Sicherheit der Verarbeitung möglicherweise ein Überwiegen der Interessen des Verantwortlichen gerechtfertigt werden.

Bei Fragen zur Datenschutzgrundverordnung (DSGVO) stehen wir Ihnen jederzeit gerne zur Verfügung.