Die rechtlichen Anforderungen im E-Business unterliegen im europäischen Kontext einem stetigen Wandel, der eine Vielzahl von rechtlichen Themengebieten betrifft.
Im Bereich des E-Commerce zählen dazu lediglich beispielhaft die Vielzahl von Anforderungen und Informationspflichten der Anbieter aufgrund der Vorgaben im elektronischen Geschäftsverkehr, im Fernabsatz, des Datenschutz oder des Wettbewerbs- und AGB-Rechts.
Daneben entstehen auf den Portalen und im Bereich der Werbung, insbesondere auch im Bereich Social Media, neue Fragestellungen, die die Persönlichkeitsrechte und den Datenschutz von Kunden und Mitarbeitern betreffen.
- E-Commerce / Online-Vertrieb
- Plattformen und Social Media
- Marken und Domains
- Werbung und Emails
- E-Payment
- Webdesign
- Allgemeine Nutzungsbedingungen
- Allgemeine Geschäftsbedingungen (AGB)
- Datenschutz
- Pflichtangaben / Impressum
- Persönlichkeitsschutz
Ab dem 17. Februar 2024 müssen eine Vielzahl von Unternehmen der Digitalbranche den novellierten europäischen Rechtsrahmen des Gesetzes über digitale Dienste (auch „Digital Services Act“ genannt) umgesetzt haben, der vornehmlich der Bekämpfung von illegalen (Dritt-)Inhalten dient und diesbezügliche Sorgfaltspflichten der Anbieter statuiert.
Was ist Gegenstand des Gesetzes über digitale Dienste?
Das Gesetz über digitale Dienste dient primär der Bekämpfung von illegalen Inhalten im Internet und regelt diesbezügliche Sorgfalts- und Transparenzpflichten sowie die Haftung von Vermittlungsdienste für (Dritt-)Inhalte. Damit löst das Gesetz zugleich die sog. „E-Commerce-Richtlinie“ und das diesbezügliche Haftungsregime des Telemediengesetzes ab.
Für welche Anbieter gilt das Gesetz über digitale Dienste?
Das Gesetz richtet sich an digitale „Vermittlungsdienste“, d.h. an solche Dienste, die der Durchleitung, dem Caching oder dem Hosting von fremden Inhalten dienen, und die im europäischen Binnenmarkt angeboten werden. Anbieter in diesem Sinne sind zum Beispiel Internetprovider, Anbieter von Hosting- bzw. Cloud-Diensten, Online-Marktplätze, soziale Netzwerke oder Suchmaschinen.
Welche Pflichten ergeben sich für die Anbieter digitaler Dienste?
Illegale Inhalte sollen europaweit im Rahmen der Nutzung von digitalen Diensten effektiver bekämpft werden, indem die Anbieter beispielhaft entsprechende Kontaktstellen und Melde- und Abhilfeverfahren für Betroffene etablieren.
Zudem soll die Entscheidungsfreiheit der Nutzer durch Transparenzpflichten, den Schutz Minderjähriger, Anforderungen an die Werbung oder das Verbot von sog. „dark patterns“ geschützt werden.
Die diesbezüglichen Anforderungen an die Anbieter werden nach Dienstekategorien durch vier aufeinander aufbauende Regulierungsstufen für Vermittlungsdienste, Hosting- und Plattformdienste sowie sehr große Plattform- und Suchmaschinendienste geordnet. Während der Normadressatenkreis in diesen Kategorien zunehmend kleiner wird, steigen die Anforderungen an die Anbieter bzw. werden auf höherer Stufe regelungsintensiver.
Ab wann gilt das Gesetz über digitale Dienste
Das Gesetz über digitale Dienste wurde am 23. April 2022 vom Europäischen Parlament und vom Rat angenommen. Am 27. Oktober 2022 wurde es im Amtslatt veröffentlicht. Damit trat das Gesetz zum 16. November 2022 in Kraft und gilt ab dem 17. Februar 2024 in allen EU-Staaten.
Welche Sanktionen drohen bei Verstößen gegen das Gesetz
Verstöße gegen den DSA können durch erhebliche Geldbußen von bis zu 6 % des gesamten weltweiten Jahresumsatzes geahndet werden. Darüber hinaus etabliert der DSA ein Recht auf Entschädigung der Nutzer von Vermittlungsdiensten für Schäden oder Verluste die durch einen Verstoß des Anbieters gegen seine Verpflichtungen aus der Verordnung entstanden sind.
Anbieter von digitalen Vermittlungsdiensten sollten daher rechtzeitig prüfen, ob und in welchem Umfange sie in den weiten Anwendungsbereichdes DSA fallen und die erforderlichen Maßnahmen ergreifen.
Ab dem 01.03.2022 können Verträge nach Ablauf der ersten Vertragslaufzeit stillschweigend durch AGB nur noch auf „unbestimmte Zeit“ mit einer Kündigungsfrist von höchstens einem Monat verlängert werden. Für Verträge, die vor diesem Stichtag geschlossen wurden, gilt dies jedoch nicht.
Mit dem Gesetz für faire Verbraucherverträge ändert der Gesetzgeber die Regelungen in § 309 Nr. 9 lit. b und c BGB. Wie zuvor können Unternehmer mit Verbrauchern zwar oftmals eine Vertragserstlaufzeit von 2 Jahren vereinbaren. Stillschweigende Vertragsverlängerung sind zukünftig aber nur noch dann wirksam, wenn sich das Vertragsverhältnis auf unbestimmte Zeit verlängert und dem Verbraucher das Recht eingeräumt wird, das verlängerte Vertragsverhältnis jederzeit mit einer Frist von höchstens einem Monat zu kündigen. Die bisherige Gesetzeslage, wonach eine bindende Verlängerungslaufzeit von bis zu 1 Jahr zulässig war, wird damit aufgegeben.
Ebenfalls für Unternehmen zu beachten ist die Neuregelung des § 309 Nr. 9 lit. c BGB, wonach Klauseln, die eine Kündigungsfrist von mehr als einem Monat vor Ablauf der zunächst vereinbarten Vertragslaufzeit vorsehen, ebenfalls unwirksam sind.
Auf Altverträge sind die Neuregelungen gem. Art. 229 § 60 EGBGB jedoch nicht anwendbar. Für diese bleibt die aktuelle Rechtslage unverändert.
Die Reform des Kaufrechts durch die sog. Warenkauf-RL und die dID-Richtlinie betrifft auch die kaufrechtlichen Sonderbestimmungen für Garantieerklärungen. Bis zum In-Kraft-Treten des neuen Kaufrechts zum 01.01.2022 sind Garantieerklärungen durch Hersteller bzw. Händler daher entsprechend anzupassen.
Ab dem 01.01.2022 tritt das neue Kaufrecht in Umsetzung der europäischen Warenkauf-RL (Richtlinie (EU) 2019/771) und im Kontext der europäischen Richtlinie über digitale Inhalte (RL (EU) 2019/770) in Kraft. Die damit einhergehenden Gesetzesänderungen des Kaufrechts betreffen in erster Linie den Verbrauchsgüterkauf (B2C) und in diesem Rahmen auch den § 479 BGB, welcher Sonderbestimmungen für Garantien beim Verbrauchsgüterkauf betrifft. Der § 479 Abs. 1 BGB n.F. lautet ab 2022 (wesentliche Änderungen sind kursiv hervorgehoben):
(1) Eine Garantieerklärung (§ 443) muss einfach und verständlich abgefasst sein. Sie muss Folgendes enthalten:
1. den Hinweis auf die gesetzlichen Rechte des Verbrauchers bei Mängeln, darauf, dass die Inanspruchnahme dieser Rechte unentgeltlich ist, sowie darauf, dass diese Rechte durch die Garantie nicht eingeschränkt werden,
2. den Namen und die Anschrift des Garantiegebers,
3. das vom Verbraucher einzuhaltende Verfahren für die Geltendmachung der Garantie,
4. die Nennung der Ware, auf die sich die Garantie bezieht, und
5. die Bestimmungen der Garantie, insbesondere die Dauer und den räumlichen Geltungsbereich des Garantieschutzes.
Ergänzend dazu muss die Garantieerklärung gem. § 479 Abs. 2 BGB n.F. dem Verbraucher spätestens zum Zeitpunkt der Lieferung der Ware auf einem dauerhaften Datenträger zur Verfügung gestellt werden und im Falle einer Haltbarkeitsgarantie inhaltlich zumindest den Nacherfüllungsanspruch beinhalten.
Praxistipp:
Etwaige Garantieerklärungen sind folglich rechtzeitig bis zum Jahresende entsprechend anzupassen. Entspricht die Garantieerklärung nicht den gesetzlichen Anforderungen berührt dies gem. § 479 Abs. 4 BGB n.F. zum Schutze der Verbraucher jedoch nicht die Wirksamkeit der Garantieerklärung, könnte jedoch unter wettbewerbsrechtlichen Gesichtspunkten Ansprüche der nach Maßgabe des UWG anspruchsberechtigten Mitbewerber und Verbänden begründen.
Ab dem 01.01.2022 treten zahlreiche Änderungen im Kaufrecht, insbesondere für Verbrauchsgüterkäufe über digitale Produkte bzw. Waren mit digitalen Elementen, in Kraft. Aufgrund der Gesetzesreformen ergeben sich für Unternehmen in den unterschiedlichen Vertriebskanälen neue Anforderungen und Pflichten, die bis zum Jahresende umzusetzen sind.
Die Gesetzesnovellen dienen der Umsetzung europäischer Richtlinien, namentlich der Richtline (EU) 2019/770 vom 20.05.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen sowie der Richtlinie (EU) 2019/771 vom 20.05.2019 über bestimmte vertragsrechtliche Aspekte des Warenkaufs, zur Änderung der Verordnung (EU) 2017/2394 und der RL 1999/44/EG. Inhaltlich betroffen sind neben dem Kaufrecht auch die sonstigen Vertragstypen des BGB, wie beispielhaft Miet-, Dienst- oder Werkverträge, soweit Gegenstand der Verträge die Überlassung bzw. Bereitstellung von digitalen Inhalten ist.
Abgrenzung von digitalen Produkten und Waren mit digitalen Elementen.
Die sachliche Anwendbarkeit der Normen richtet sich im Bereich der hier gegenständlichen Gesetzesnovellen zukünftig danach, ob es sich um digitale Produkten, d.h. digitale Inhalte (z.B. Software, Video-/Audiodateien, elektronische Bücher) oder digitale Dienstleistungen(ASP/Saas, Cloud-Dienste, Plattformen oder soziale Medien) oder um Kaufverträge über Waren mit digitalen Elementen. Letztere sind nach der Legaldefinition Kaufsachen, die in einer Weise digitale Produkte enthalten oder mit ihnen verbunden sind, dass die Waren ihre Funktionen ohne diese digitalen Produkte nicht erfüllen können (z.B. Smart-TV).
Daten als Gegenleistung
Die in den §§ 327ff. BGB kodifizierten, übergreifenden Bestimmungen für digitale Produkte einschließlich etwaiger Gewährleistungsrechte, gelten zukünftig nicht nur für entgeltliche Verträge zwischen Unternehmern und Verbrauchern, sondern gem. §§ 312, 327 Abs. 3 BGB n.F. auch dann, wenn der Verbraucher dem Unternehmer als Gegenleistung für das digitale Produkte personenbezogene Daten bereitstellt bzw. sich hierzu verpflichtet, sofern solche personenbezogenen Daten nicht ausschließlich zur Erfüllung der Pflichten des Unternehmers oder gesetzlicher Anforderungen verarbeitet werden.
Sachmangelbegriff
Während die Gesetzesänderungen im Wesentlichen allein Verbraucherverträge betreffen, wird ein modifizierter Sachmangelbegriff für das gesamte Kaufrecht eingeführt mit der Folge, dass nunmehr subjektive und objektive Abweichungen gleichrangig einen Mangel der Kaufsache begründen.
Wichtig für den Verbrauchsgüterkauf ist zukünftig zu beachten, dass die Wirksamkeit von sog. „negativen Beschaffenheitsvereinbarungen“ nunmehr eine vorvertragliche Informationspflicht des Unternehmers voraussetzen und eine Abweichung von (objektiven) Anforderungen im Vertrag ausdrücklich und gesondert zu vereinbaren sind.
Updatepflicht
Für digitale Produkte als auch Waren mit digitalen Elementen sehen die Gesetzesänderungen ab dem. 01.01.2022 eine Aktualisierungspflicht vor. Eine solche besteht nicht nur nach Maßgabe der vertraglichen Vereinbarungen (subjektive Anforderungen), sondern auch nach Maßgabe der an die Kaufsache bestehenden objektiven Anforderungen. Demzufolge ist der Verkäufer verpflichtet, dem Verbraucher während des Zeitraums, den er aufgrund der Art und des Zwecks der Ware und ihrer digitalen Elemente sowie unter Berücksichtigung der Umstände und der Art des Vertrags erwarten kann, Aktualisierungen bereitstellen, die für den Erhalt der Vertragsmäßigkeit der Ware erforderlich sind und den Verbraucher über diese Aktualisierungen informieren (sog. Updatepflicht).
Ansprüche des Käufers wegen einer Verletzung dieser Updatepflicht verjähren nach § 475e BGB n.F. nicht vor Ablauf von 12 Monaten nach dem Ende des Zeitraums der Aktualisierungspflicht. Der Verkäufer haftet jedoch dann nicht für Sachmängel, wenn er seinen Aktualisierungs- und miteinhergehenden Informationspflichten nachweislich genügt und ein Sachmangel bei ordnungsgemäßer Installation des Updates durch den Käufer nicht aufgetreten wäre.
Beweislastumkehr und Verjährung
Die bereits aktuell für Verbrauchsgüterkäufe geltende Beweislastumkehr wird grundsätzlich von sechs Monaten auf ein Jahr verlängert.
Darüber hinaus tritt die Verjährung nicht vor Ablauf von vier Monaten nach dem Zeitpunkt ein, in dem sich der Mangel während der Dauer der Verjährungsfrist erstmals gezeigt hat. Eine Verkürzung der Verjährungsfrist bleibt insbesondere für gebrauchte Sachen zulässig, unterliegt zukünftig jedoch denselben strengen Anforderungen wie die Vereinbarung einer negativen Beschaffenheit.
Fazit:
Unternehmen, die digitale Produkte vertreiben oder Waren mit digitalen Elementen verkaufen, wird empfohlen, sich einen Überblick über die neuen gesetzlichen Anforderungen zu verschaffen und die Produkte entsprechend zu qualifizieren. Dies gilt insbesondere auch für solche Produkte bzw. Dienste, die grundsätzlich unentgeltlich erbracht werden. Auf dieser Grundlage werden in den unterschiedlichen Vertriebskanälen entsprechende Anpassungen bezüglich der Informationspflichten und der Allgemeinen Geschäftsbedingungen umzusetzen sein. Darüber hinaus bedarf es ggfs. der Prüfung der Prozesse zur Aktualisierung der Produkte und der diesbezüglichen Abstimmung mit dem Hersteller, der in der Regel für die Bereitstellung der (Sicherheits-)Updates am Ende der Lieferkette verantwortlich ist.
Der Bundesgerichtshof hat mit Urteil vom 25.03.2021 (Az. I ZR 203/19) entschieden, dass erhobene Zusatzgebühren für Zahlungsdienstleister wie „Paypal“ oder „Sofortüberweisung“ zulässig sind.
Sachverhalt
In dem der Entscheidung des BGH zugrunde liegenden Sachverhalt hat ein Reisedienstleister bei der Buchung von Tickets die Bezahlung unter anderen durch die Zahlungsdienstleister „Paypal“ und „Sofortüberweisung“ ermöglicht. Bei beiden Methoden musste der Kunde jedoch eine Zusatzgebühr an den Reisedienstleister bezahlen.
Daraufhin klagte die Wettbewerbszentrale gegen den Reisedienstleister mit der Begründung, die Zahlungsleistungen würden den § 270a BGB entsprechen und daher wäre ein etwaiges Entgelt unwirksam. Der § 270a BGB wurde 2018 zur Umsetzung der zweiten Zahlungsdienst-Richtlinie eingeführt. Hierdurch sollen vertragliche Vereinbarungen zwischen Schuldner und Gläubiger, durch die der Schuldner verpflichtet wird, ein Entgelt für die Nutzung bestimmter bargeldloser Zahlungsmittel zu leisten, verboten werden. Ein Verstoß wäre als Rechtsbruch nach § 3a UWG zudem wetttbewerbswidrig.
Zur Frage stand somit ob der Service der Online Zahlungsdienstleister als SEPA-Überweisung, SEPA-Lastschrift oder kartengebundene Zahlung einzustufen ist und somit entgeltfrei bleiben muss.
Entscheidung
Der BGH hat nun mit dem Urteil vom 25.03.2021 entschieden, dass die Zahlungen mit dem Serviceleister „Sofortüberweisung“ als SEPA-Überweisungen zwar im Anwendungsbereich des § 270a BGB liege. Demgegenüber werde das Entgelt jedoch nicht für den Zahlungsverkehr, sondern für die Einschaltung des Dienstleisters und damit verbundene gesonderte Dienste, wie beispielhaft Bonitätsprüfungen und Benachrichtigungen, erhoben.
Nichts anderes gelte im Ergebnis auch für den Zahlungsdienst „Paypal“, da auch in diesem Falle das Entgelt nicht für den Zahlungsvorgang, sondern für das Einschalten des Zahlungsdienstleisters und dessen Services erhoben wurde.
Entgelte für zusätzliche Leistungen sind nach Ansicht des BGH nicht von § 270a BGB umfasst.
Folgen
Durch das Urteil des BGH schafft Rechtssicherheit bei Onlinehändlern und Zahlungsdienstleistern mit entsprechenden Geschäftsmodellen. Das Weiterreichen von Gebühren für Services der Zahlungsdienstleister bleibt somit grundsätzlich möglich.
BGH Urteil vom 25.03.2021 (Az. I ZR 203/19)
Bei Fragen zum E-Commerce stehen wir Ihnen gerne zur Verfügung.
Die Bewerbung eines Fitnessstudio-Vertrages mit der monatlichen Gebühr muss auch etwaig anfallende Quartalsgebühren enthalten. Soweit die Gesamtkosten nicht eindeutig und klar erkennbar sind, ist dies wettbewerbswidrig. Das rechtswidrige Verhalten anderer Mitbewerber rechtfertigt diese Werbung nicht.
Das OLG Frankfurt am Main (Urteil vom 04.02.2021, Az. 6 U 269/19) hat die Berufung eines Fitnessstudiobetreibers gegen eine Unterlassungsverpflichtung zurückgewiesen. Das Fitnessstudio warb mit einem Monatspreis von „Euro 29,99 bei 24-Monate Abo“. Die Aussage war mit einem Sternchen markiert, welches am rechten Rand in kleiner Schrift quer den Hinweis „zzgl. Euro 9,99 Servicegebühr/Quartal“ enthielt.
Das OLG Frankfurt am Main stützte die Unterlassungsverpflichtung nach §§ 8 Abs. 1, 3 Abs. 1, 3a UWG auf den Rechtsbruch des § 1 PAngV
- Wer Verbrauchern gemäß § 13 des Bürgerlichen Gesetzbuchs gewerbs- oder geschäftsmäßig oder wer ihnen regelmäßig in sonstiger Weise Waren oder Leistungen anbietet oder als Anbieter von Waren oder Leistungen gegenüber Verbrauchern unter Angabe von Preisen wirbt, hat die Preise anzugeben, die einschließlich der Umsatzsteuer und sonstiger Preisbestandteile zu zahlen sind (Gesamtpreise). …
- …
Nach höchstrichterlicher Rechtsprechung muss der anzugebende Gesamtpreis das „tatsächlich zu zahlende Gesamtentgelt“ inklusive Steuern und sonstiger Gebühren enthalten. Ein durch Sternchen getätigter Hinweis auf weitere Gebühren ist hier nicht zulässig. Dies wäre nur zulässig soweit der zusätzliche Preis eindeutig zu erkennen ist und die Aufspaltung keinen ausschlaggebenden Einfluss auf die Verbraucherentscheidung hat.
Vorliegend war aber der zusätzlich zu zahlende Preis grafisch extra klein und quer geschrieben und somit gerade nicht hinreichend klar erkennbar. Auch lag der Monatspreis durch die nicht Einberechnung der Servicegebühr gerade unterhalb der 30 Euro Grenze, welche den Kunden beeinflussen sollte.
Der Umstand, dass auch anderen Mitbewerber nicht mit dem Gesamtentgelt werben führt nicht zum Wegfall der in § 3a UWG erforderlichen Spürbarkeit. Zum einen werben nicht ALLE Mitbewerber in dieser Art und zum anderen kann durch den Rechtsmissbrauch einer gesamten Branche ein rechtwidrige Verhalten nicht gerechtfertigt werden. Eine Nichtverfolgung von Wettbewerbsverstößen würde gegen den Sinn und Zweck des UWG laufen.
Bei Fragen zur Preiswerbung im Wettbewerbsrecht stehen wir Ihnen gerne zur Verfügung.
Der I. Zivilsenat des Bundesgerichtshofs hat mit dem Beschluss vom 11.02.2021 dem Gerichtshof der Europäischen Union Fragen vorgelegt, mit denen geklärt werden soll, inwieweit Internethändler Verbraucher über Herstellergarantien für die angebotenen Produkte informieren müssen.
Die Beantwortung der Fragen durch den Gerichtshof der Europäischen Union ist entscheidend für die Informationspflichten im E-Commerce bezüglich möglicher Herstellergarantien. Hierbei geht es um die schon länger diskutierte Frage, in welchen Fällen dem Händler Informationspflichten obliegen. Muss bereits beim Vorliegen einer Herstellergarantie informiert werden oder nur wenn damit auch geworben wird. Darüber hinaus stellt sich die Frage wann damit geworben wird. Reicht bereits ein Hinweis oder wie im vorliegenden Fall ein Link zu einem Produktinformationsschreiben des Herstellers, welches zur Verfügung gestellt wird.
Bei Verstößen gegen etwaige Informationspflichten könnten den Onlinehändlern Abmahnungen drohen (§ 8 Abs. 1 Satz 1, § 3 Abs. 1, § 3a UWG i.V.m. § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Satz 1 Nr. 9 EGBGB).
Sachverhalt
Die Parteien vertreiben Taschenmesser im Wege des Internethandels. Die Beklagte bot ein Schweizer Offiziersmesser an. Die Angebotsseite enthielt unter „Weitere technische Informationen“ einen Link mit der Bezeichnung „Betriebsanleitung“. Dieser öffnete ein Produktinformationsblatt mit Hinweis auf die Garantie, welche sich „zeitlich unbeschränkt auf jeden Material- und Fabrikationsfehler (für Elektronik 2 Jahr) erstreckt Schäden, die durch normalen Verschleiß oder unsachgemäßen Gebrauch entstehen, sind durch die Garantie nicht gedeckt.“ Weitere Informationen zur Garantie enthielt das Produktinformationsblatt nicht.
Die Klägerin hat beantragt, der Beklagten zu verbieten, den Absatz von Taschenmessern an Verbraucher mit Hinweisen auf Garantie zu bewerben, ohne hierbei auf die gesetzlichen Rechte des Verbrauchers hinzuweisen sowie darauf hinzuweisen, dass sie durch die Garantie nicht eingeschränkt werden, und ohne den räumlichen Geltungsbereich des Garantieschutzes anzugeben.
Die Klage wurde vom LG Bochum abgewiesen, jedoch war die Berufung am OLG Hamm erfolgreich. Der BGH hat nun über die zugelassene Revision zu entscheiden.
Fragen
Löst das bloße Bestehen einer Herstellergarantie die Informationspflicht nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU aus. Falls dem nicht so ist genügt schon die bloße Erwähnung einer Herstellergarantie im Angebot oder wenn die Erwähnung für den Verbraucher ohne weiteres erkennbar ist.
Besteht eine Informationspflicht, wenn der Verbraucher ohne weiteres erkennen kann, dass der Unternehmer nur Angaben des Herstellers zur Garantie zugänglich macht.
Welche Informationen sind nach Art. 6 Abs. 1 Buchstabe m der Richtlinie 2011/83/EU über das Bestehen und die Bedingungen einer Herstellergarantie zu geben im Vergleich zu den Angaben zur Garantie nach Art. 6 Abs. 2 der Richtlinie 1999/44/EG.
Beschluss v. 11.02.2021, I ZR 241/19
Bei Fragen zu Hinweispflichten im Onlinehandel stehen wir Ihnen gern zur Verfügung.
Mit Beschluss vom 14.01.2021 hat das Bundesverfassungsgericht (Az. 1 BvR 2853/19) einer Urteilsverfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter gemäß Art. 101 Abs. 1 Satz 2 GG stattgegeben. Das Gericht hätte die streitgegenständliche Frage bezüglich des Schmerzensgeldanspruchs wegen datenschutzwidriger Verwendung einer E-Mailadresse zu Werbezwecken dem EuGH vorlegen müssen.
Sachverhalt
Gegenstand der Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Der dortige Kläger und Beschwerdeführer erhielt eine Werbe-Mail an seine berufliche E-Mail-Adresse. Neben Unterlassung beantragte der Kläger auf Grundlage von Art. 82 DSGVO ein Schmerzensgeld von mindestens 500 €.
Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Das Amtsgericht Goslar gab der Klage überwiegend statt, lehnte jedoch den Schmerzensgeldanspruch mit der Begründung ab, die Erheblichkeitsschwelle sei nicht überschritten. Eine einzige Werbe-Mail, die klar erkennbar als solche zu identifizieren sei, würde den Kläger nicht erheblich stören. Die Frage, ob die Erheblichkeitsschwelle der deutschen Rechtsprechung in Bezug auf Persönlichkeitsrechtsverletzungen auch im Unionsrecht (DSGVO) gelte, warf das Gericht auf, verzichtete gleichwohl auf ein Vorabentscheidungsersuchen an den EuGH.
Gegen dieses Urteil legte der Kläger Verfassungsbeschwerde nach Art. 101 Abs. 1 Satz. 2 GG ein, da er in seinem Recht auf den gesetzlichen Richter verletzt sei. Das Amtsgericht hätte den EuGH im Wege eines Vorabentscheidungsverfahren nach Art. 267 Abs. 3 AEUV anfragen müssen. Die Richter in Karlsruhe gaben ihm Recht und sahen das Recht des Klägers auf den gesetzlichen Richter verletzt.
Bisherige Entscheidungspraxis
Die bisherige Rechtsprechung offenbart, dass die nationalen Gerichte bislang eher zurückhaltend mit dem Zusprechen von immateriellem Schadensersatz wegen Verletzungshandlungen nach Maßgabe der DSGVO sind. Zwar wird im Lichte von Art. 82 DSGVO überwiegend keine schwere Verletzung des Persönlichkeitsrechts gefordert, gleichwohl üben sich ordentliche Gerichte und Arbeitsgerichte in Zurückhaltung bei der Zuerkennung von Schmerzensgeld, insbesondere bei bloßen Bagatellverstößen. Dies mag sich mit der Rechtsprechung des EuGH in Zukunft ändern.
BVerfG Beschluss vom 14. Januar 2021 (Az. 1 BvR 28531/19)
AG Goslar Urteil vom 27. September 2019 (Az. 28 C 7/19)
Bei Fragen zum Datenschutz stehen wir Ihnen gerne zur Verfügung.
Das „Gesetz zur Stärkung des fairen Wettbewerbs“ vom 02.Dezember 2020 änderte das UWG dahingehend, dass der „fliegende Gerichtsstand“ deutlich eingeschränkt wird. Das OLG Düsseldorf bestätigte nun erstmals die Einschränkung, während das LG Düsseldorf weiterhin am fliegenden Gerichtsstand festhält.
Gesetzeslage
Bis in Krafttreten der Gesetzesänderung konnte im Bereich des UWG Klage dort erhoben werden, wo die Zuwiderhandlung begangen wurde oder auch wo sie sich auswirkt (fliegender Gerichtsstand). Auf Grund der deutschlandweiten Auswirkung von unlauteren Wettbewerb im Internet konnte somit an jedem Landgericht in Deutschland Klage erhoben werden.
In der Neufassung des § 14 UWG wird nunmehr der Bereich der „Rechtsstreitigkeiten wegen Zuwiderhandlungen im elektronischen Geschäftsverkehr“ und „in Telemedien“ (Satz 3 Nr. 1) ausgeklammert. Hiermit wollte das Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) einen Missbrauch des fliegenden Gerichtsstands verhindern. Nach dem BMJV bestand die Gefahr sich die passende Rechtsprechung nach LG Bezirk auszusuchen sowie durch hohen Reise- und Kostenaufwand Beklagte abzuschrecken.
LG Düsseldorf
Das Landgericht Düsseldorf (Beschl. v. 15.01.2021 – 38 O 3/21) hat sich im Januar in einem einstweiligen Verfügungsverfahren mit dem fliegenden Gerichtsstand auseinandergesetzt und diesen nicht gänzlich verabschiedet. Nach dem LG Düsseldorf sei der § 14 Abs. 2 Satz 3 Nr. 1 UWG einschränkend auszulegen. Die Ausnahme greife hier nicht, da diese nur bei Geschäften greifen, welche „zwingend ein Handeln im elektronischen Geschäftsverkehr oder in den Telemedien erfordern (…) und bei Nutzung eines anderen Kommunikationskanals nicht verwirklicht werden könnten“.
Die Einschränkung in § 14 Abs. 2 Satz 3 Nr. 1 UWG würde somit nur auf Geschäfte abzielen die ausschließlich im Internet getätigt werden können. Nicht aber solche, welche auch über andere Kommunikationswege oder direkten Kontakt getätigt werden.
OLG Düsseldorf
Das OLG Düsseldorf (Beschluss vom 16.02.2021 – I-20 W 11/21) ist der Ansicht deutlich entgegen getreten. In der Entscheidung zur sofortigen Beschwerde, die sich gegen den Entzug des gesetzlichen Richters richtete, nahm das OLG Stellung zur Auslegung des § 14 Abs. 2 Satz 3 Nr. 1 UWG.
Das OLG gab dem LG vor, im Falle eines Widerspruches die örtliche Zuständigkeit noch einmal genau zu überprüfen, da die die vorgenommene Auslegung des § 14 UWG erhebliche Bedenken hervorruft.
Weder der Wortlaut der Neufassung noch Sinn und Zweck würden eine Auslegung des Paragraphen in der Art rechtfertigen. Dem Gesetzgeber kam es gerade darauf an den fliegenden Gerichtsstand bei Verstößen im Internet einzuschränken.
Auch eine teleologische Reduktion könnte nicht vorgenommen werden, da der Gesetzgeber sich bewusst gegen die Einschränkung von nur einzelnen Bereichen im Online Wettbewerbsrecht entschieden hat. Eine solche Einschränkung wie sie das LG vorgenommen hat war somit gerade nicht gewollt.
LG Düsseldorf
Mit einem Beschluss vom 26. Februar 2021 – 38 O 19/21 hat das LG Düsseldorf noch einmal dessen Standpunkt dargestellt und ein weiteres Festhalten an die teleologische Reduktion erklärt. Die Ausführungen des OLG Düsseldorf hätten als obita dicta keine bindende Wirkung für das Landgericht.
Der Ansicht des LG Düsseldorf folgte nun auch das LG Frankfurt a.M. (Urteil vom 11.05.2021 Az. 3-06 O 14/21) und nahm in einem ähnlichen Fall den fliegenden Gerichtsstand an.
Bei Fragen zum Wettbewerbsrecht stehen wir Ihnen gern zur Verfügung.
Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 01.10.2019 wesentliche Fragen im Zusammenhang mit dem rechtskonformen Einsatz von Cookies beantwortet.
Die Entscheidung ist inhaltlich nicht überraschend. Bereits der Generalanwalt hatte sich zu den nun entschiedenen Fragen entsprechend positioniert. Zudem deckt sich die in der Entscheidung vom EuGH vertretene Auffassung mit der von vielen Seiten bereits seit langem vertretenen Auslegung der maßgeblichen europäischen Vorschriften. Gleichwohl sind die Konsequenzen der nun höchstrichterlich bestätigten hohen Anforderungen an den Einsatz von Cookies für Betreiber von Webseiten und Online-Diensten, insbesondere aber für die Online-Marketingbranche, erheblich.
Was wurde konkret entschieden?
Der EuGH stellt in seiner Entscheidung zunächst fest, dass der Einsatz von Cookies oder – anders ausgedrückt – das Speichern von Informationen auf dem Endgerät eines Nutzers bzw. das Abrufen von Informationen, die im Endgerät des Nutzers gespeichert sind, grundsätzlich der vorherigen Zustimmung (Einwilligung) des betreffenden Nutzers bedarf. Dabei muss die Einwilligung des Nutzers in Form einer aktiven Handlung erfolgen. Das bisher weit verbreitete Opt-Out-Verfahren, bei der die Einwilligung „voreingestellt“ ist und der Nutzers nur aktiv werden muss, wenn er die Verwendung ablehnen möchte, reicht dazu nicht aus. Nicht ausreichend sind daher auch Gestaltungen, bei denen der Nutzer durch das reine Weiternutzen eines Online-Angebotes die Zustimmung zur Verwendung der Cookies erteilen soll. Erforderlich sind vielmehr Opt-In-Verfahren bzw. solche Verfahren, bei denen der Nutzer nachvollziehbare, aktive Handlungen vornimmt, mit denen er die Zustimmung zur Verwendung der Cookies ausdrückt.
Entsprechende Einwilligungen des Nutzers sind grundsätzlich immer erforderlich, ganz gleich, ob mittels der eingesetzten Cookies personenbezogene Daten erhoben bzw. verarbeitet werden oder nicht. Ausgenommen vom Einwilligungserfordernis ist lediglich der Einsatz solcher Cookies, die zur Bereitstellung des jeweiligen Dienstes technisch erforderlich sind.
Weiter befasst sich die Entscheidung des EuGH mit der Frage des Umfangs der dem Nutzer im Zusammenhang mit seiner Einwilligung zu erteilenden Informationen. Der EuGH stellt hierzu fest, dass die Wirksamkeit der vom Nutzer erteilten Einwilligung maßgeblich davon abhänge, dass der Nutzer diese auf Grundlage klarer und umfassender Informationen über die eingesetzten Cookies erteilt. Diese Informationen müssen so beschaffen sein, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer somit in die Lage versetzen, die Konsequenzen einer von ihm erteilten Einwilligung leicht zu überblicken. Insofern müssten die Informationen insbesondere über die Funktionsweise des jeweiligen Cookies, die Funktionsdauer sowie über den Umstand aufklären, ob Dritte Zugriff auf die Cookies erhalten können.
Betreiber von Webseiten, Anbieter von Online-Shops und Online-Diensten sollten daher vor diesem Hintergrund die Gestaltung des Einsatzes von Cookies im Rahmen Ihres Angebotes zunächst dahingehend prüfen, ob sie einwilligungspflichtige, d.h. nicht technisch notwendige Cookies einsetzen. Relevant sind dabei insbesondere Tracking- und Analyse-Tools, Tools für das Retargeting und Remarketing sowie Social-Media-Plugins, die Informationen unter Verwendung von Cookies oder entsprechender Technologien verarbeiten.
In diesen Fällen ist dann zunächst das Einwilligungsverfahren so zu gestalten, dass der Nutzer aktiv und vorab seine Zustimmung erteilt (insbesondere mittels Opt-in-Lösungen) und andernfalls – bei Ablehnung durch den Nutzer – entsprechende Techniken nicht zum Einsatz kommen. Zudem muss im Kontext der Einwilligung sichergestellt sein, dass dem Nutzer vor der Erteilung der Einwilligung die erforderlichen Informationen zu den jeweiligen Cookies zur Verfügung stellt werden, etwa – soweit möglich – unmittelbar im Einwilligungsverfahren sowie ergänzend über transparent einbezogene und leicht zugängliche (Datenschutz-)Hinweise.
Bei Fragen zum Datenschutz stehen wir gern zur Verfügung.
Der EuGH hat auf der Grundlage der Datenschutzrichtlinie (Richtlinie 95/46/EG) mit Urteil vom 29.07.2019 – Az. C‑40/17 – entschieden, dass Websitebetreiber beim Einsatz des Facebook-Plugins gemeinsam mit dem Anbieter (Facebook) für die Erhebung auf der Website und die Übermittlung dieser Daten an Facebook datenschutzrechtlich verantwortlich sind. Die gemeinsame Verantwortlichkeit führt jedoch nicht zu einer allumfassenden Verantwortlichkeit des Websitebetreibers für vor- oder nachgelagerte Phasen der Datenverarbeitung, auf die keinerlei Einfluss besteht.
In dem dem Vorlageverfahren zugrunde liegenden Sachverhalt hatte ein Online-Händler (Fashion-ID) auf seiner Website ein sog. Facebook-PlugIn „Gefällt mir“ eingebunden. Aufgrund des Einsatzes des Plugins wurden beim Aufruf der Website Daten an Facebook, insbesondere IP-Adresse des Endgeräts des Besuchers sowie technische Informationen des Browers übermittelt.
Unter Bezugnahme auf die vorangegangene Rechtsprechung hat der EuGH den Website-Betreiber als gemeinsam Verantwortlichen im Sinne der Datenschutz-RL qualifiziert, da der Website-Betreiber durch die Integration des Plugins auf dessen Website die Erhebung der Daten und die Weitergabe an Facebook beeinflusse, mithin gemeinsam über „Zweck und Mittel“ der Datenverarbeitung entscheide. Demgegenüber erscheine es jedoch nach Aktenlage ausgeschlossen, dass auch eine gemeinsame Verantwortlichkeit bezüglich einer nachgelagerten Datenverarbeitung durch bzw. bei Facebook in Frage käme.
Bezüglich der Legitimation der Datenverarbeitung könnten sich die gemeinsam Verantwortlichen nur dann auf ein „berechtigtes Interesse“ berufen, wenn sowohl Website-Betreiber als auch Anbieter mit den Verarbeitungsvorgängen jeweils ein berechtigtes Interesse wahrnähmen.
Besteht beim Website-Betreiber ein solches nicht, bedürfe es neben der Erteilung der Pflichtinformationen einer vorherigen Einwilligung des Website-Besuchers. Unter Berücksichtigung der unterschiedlichen Verantwortungsbereiche in den unterschiedlichen Datenverarbeitungsphasen könne sich der Umfang der Einwilligung und die Erteilung der Pflichtinformationen jedoch auf solche Datenverarbeitungsvorgänge beschränken, welche der gemeinsamen Verantwortlichkeit unterliegen.
Hinweise:
Das Urteil des EuGH bestätigt erneut den weiten Anwendungsbereich der datenschutzrechtlichen „gemeinsamen Verantwortlichkeit“, wie sie nunmehr in Art. 4 Nr. 7, 26 DSGVO verankert ist. Geht man mit guten Gründen davon aus, dass die Bewertungsmaßstäbe für eine gemeinsame Verantwortlichkeit auf die DSGVO übertragbar sind, bedarf es unter Geltung der DSGVO nunmehr einer zusätzlichen Vereinbarung zwischen den Verantwortlichen, wobei das Wesentliche den betroffenen Personen zur Verfügung gestellt werden muss. Ob in jedem Fall auch eine Einwilligung vom Websitebetreiber einzuholen ist, lässt das Gericht grundsätzlich offen. Geht man jedoch davon aus, dass Cookies oder ähnliche Webtechnologien im Rahmen des Plugins zum Einsatz kommen bzw. Zugriff auf Informationen im Endgerät gewährt wird, die nicht notwendigerweise datenschutzrechtlich relevant sein müssen, wäre zumindest eine Einwilligung und Informationserteilung nach Maßgabe der Richtlinie 2002/58 geboten.
Bei Fragen zur gemeinsamen Verantwortlichkeit oder anderen datenschutzrechtlichen Themen stehen wir gern zur Verfügung.
Der Europäische Gerichtshof hat im Jahr 2018 wegweisende Urteile über die gemeinsame Verantwortlichkeit verkündet (u.a. „Facebook-Insights“ u. „Zeugen Jehovas“). Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Notwendigkeit einer vertraglichen Vereinbarung zwischen den beteiligten Verantwortlichen ist für viele Verantwortliche neu. Entscheiden mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung, so sind sie gemeinsam verantwortlich und müssen untereinander vereinbaren, wer im Innenverhältnis welcher Pflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommt.
Gemäß Art. 26 Abs. 1 S. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese Definition baut auf Art. 4 Nr. 7 DSGVO auf, wonach Verantwortlicher diejenige Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Einordnung und Abgrenzung
Die „gemeinsame Verantwortlichkeit“ stellt keine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, sondern dient der Klarstellung, wer welche Aufgaben aus der DSGVO zu erfüllen hat. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, ist für diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO notwendig.
Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung nach Art. 28 DSGVO. Maßgeblich sind die tatsächlichen Umstände der Entscheidung über die Datenverarbeitung sowie der faktische Einfluss auf diese, nicht hingegen die in einer Vereinbarung festgelegte „formale“ Bezeichnung. Ein wichtiges Abgrenzungskriterium ist die Weisungsabhängigkeit.
Voraussetzungen
Voraussetzung für die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO ist eine gemeinsame Festlegung der Zwecke der und Mittel zur Verarbeitung. Eine „gemeinsame Entscheidung“ über die Zwecke und Mittel der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt.
Der Europäische Gerichtshof hat in der Entscheidung „Zeugen Jehovas“ klargestellt, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten voraussetzt. Die Akteure könnten vielmehr in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände zu beurteilen ist. Die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung setze zudem nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat. Es sei denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung gemeinsam Verantwortliche sind.
Dass ein tatsächlicher Einfluss auf die Datenverarbeitung verknüpft mit der Möglichkeit, daraus wirtschaftliche Vorteile zu ziehen, eine gemeinsame Verantwortlichkeit im Sinne des Art. 16 DSGVO begründen kann, zeigt die Rechtsprechung des Europäischen Gerichtshofs in Bezug auf die Funktion Facebook Insights.
Facebook-Fanpage Betreiber können anonymisierte statistische Daten betreffend die Nutzer in Facebook-Insights einsehen und z.B. für gezielte Werbung nutzen. Bei der Einrichtung einer Facebook-Fanpage nimmt der Betreiber der Seite eine Parametrierung u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten vor, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Außerdem kann der Betreiber die Kriterien festlegen, nach denen Statistiken erstellt werden sollen und die Kategorien von Personen bezeichnen, deren personenbezogenen Daten ausgewertet werden. Daraus schließt der Gerichtshof, dass der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung personenbezogener Daten der Besucher seiner Seite beiträgt. Durch die vorgenommene Parametrierung u.a. entsprechend dem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten sei der Fanpage Betreiber an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beteiligt und daher als gemeinsam mit Facebook Ireland für diese Verarbeitung verantwortlich.
Rechtsfolgen des Art. 26 DSGVO
Art. 26 DSGVO legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DSGVO geltenden Pflichten hinausgehen. Dadurch soll u.a. die Transparenz und Rechtsdurchsetzung für die betroffenen Personen verbessert werden. Außerdem soll bezüglich der Verantwortung und Haftung der Verantwortlichen – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – eine klare Zuteilung der Verantwortlichkeiten durch die DSGVO gewährleistet werden.
Es ist eine Vereinbarung nach Art. 26 DSGVO (Joint Controllership Agreement) abzuschließen. In dieser Vereinbarung ist gemäß Art. 26 Abs. 1 S. 2 DSGVO festzulegen, wer welche in der DSGVO geregelten Verpflichtungen, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO, erfüllt. Nach Art. 26 Abs. 1 S. 3 DSGVO kann eine Anlaufstelle für die betroffene Person angegeben werden. Art. 26 Abs. 2 S. 1 DSGVO regelt, dass die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln muss. Gemäß Art. 26 Abs. 2 S. 2 DSGVO „wird“ das Wesentliche der Vereinbarung der betroffenen Person zur Verfügung gestellt. Das umfasst eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll.
Der Abschluss einer solchen Vereinbarung ist wichtig, um die in Art. 83 Abs. 4 lit. a DSGVO enthaltenen Geldbußen zu vermeiden. Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3 DSGVO). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 DSGVO gemeinschaftlich.
Hinweise
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat ein Muster zur Vereinbarung gemäß Art. 26 Abs. 1 S. 1 DSGVO sowie zur Information betroffener Personen gemäß Art. 26 Abs. 2 S. 2 DSGVO veröffentlicht. Hingewiesen sei außerdem auf das durch die Datenschutzkonferenz veröffentlichte Kurzpapier zur gemeinsamen Verantwortlichkeit.
Links zu den Entscheidungen des Europäischen Gerichtshofs: „Facebook Insight“, „Zeugen Jehovas“
Für Fragen zur gemeinsamen Verantwortlichkeit oder anderen Themen der DSGVO stehen wir gern zur Verfügung.
Das Oberlandesgericht Frankfurt am Main hat entschieden, dass Amazon verlangen kann, dass sog. Drittanbieter auf amazon.de ihre Produkte nicht mit „gekauften“ Bewertungen bewerben, ohne kenntlich zu machen, dass die Tester einen vermögenswerten Vorteil erhalten haben.
„Gekaufte“ Bewertungen sind in diesem Zusammenhang keine inhaltlich falschen Bewertungen sondern gemeint sind Rezensionen, die nicht auf Grundlage eines Kaufentschlusses des Testers sondern nach entgeltlicher Beauftragung abgegeben werden. Im Regelfall, gegebenenfalls gegen Zahlung eines kleinen Entgelts, darf der Tester die Produkte behalten. Rezensionen dieser Art werden von sog. Drittanbietern verkauft.
„Authentische“ Bewertungen werden dagegen unbeeinflusst von Dritten, unentgeltlich und ohne die Ware ggf. kostenfrei behalten zu dürfen, abgegeben.
Ausgangspunkt des o.g. Verfahrens war der von Amazon gestellte Antrag auf Erlass einer einstweiligen Verfügung gegen ein Unternehmen, das Drittanbietern auf amazon.de die Erstellung und Veröffentlichung von Kundenrezensionen gegen Entgelt angeboten hatte. Das Unternehmen vermittelte registrierten Drittanbietern auf Wunsch einen Tester, der das über amazon.de erworbene Produkt bewertete und dieses im Regelfall, gegebenenfalls gegen Zahlung eines kleinen Eigenanteils behalten darf. Die Rezension wird über das Portal der Antragsgegnerin automatisiert auf amazon.de eingestellt. Amazon hielt es für unlauter, dass die Antragsgegnerin die „bezahlten“ Kundenrezensionen auf amazon.de veröffentlicht, ohne darauf hinzuweisen, dass der Rezensent hierfür einen vermögenswerten Vorteil erhalten hat.
Das Oberlandesgericht Frankfurt a.M. hat der Antragsgegnerin verboten, auf amazon.de „gekaufte“ Kundenrezensionen zu veröffentlichen, ohne gleichzeitig darauf hinzuweisen, dass diese Rezensionen entgeltlich beauftragt wurden.
Nach Auffassung des Oberlandesgerichts handelt die Antragsgegnerin unlauter, da sie den kommerziellen Zweck der eingestellten Produktrezensionen nicht kenntlich macht. Der Durchschnittsverbraucher gehe bei Produktbewertungen davon aus, dass diese grundsätzlich ohne Gegenleistung erstellt würden. Die Idee eines jeden Bewertungsportals beruhe darauf, dass die Bewertenden die Produkte aufgrund eines eigenständigen Kaufentschlusses erworben haben und nunmehr ihre Bewertung unbeeinflusst von Dritten mitteilen. Der Verbraucher erwarte zwar nicht unbedingt eine mit einem redaktionellen Bericht vergleichbare objektive Bewertung, wohl aber eine „authentische“ nicht „gekaufte“ Bewertung.
OLG Frankfurt a.M., Beschl. v. 22.02.2019, Az. 6 W 9/19
Bei Fragen zum Wettbewerbsrecht stehen wir gern zur Verfügung.
Betreiber von Facebook-Fanpages sollten zur Risikominimierung ihre Datenschutzhinweise an die von Facebook bereitgestellte Joint-Controller-Vereinbarung anpassen. Rechtssicherheit bezüglich des datenschutzkonformen Betreibens von Social-Media-Auftritten besteht hierdurch jedoch weiterhin nicht.
Im Juni 2018 hatte der EuGH (Az. C-210/16) in einem viel beachteten Urteil entschieden, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook verantwortlich für die Verarbeitung personenbezogener Daten der Besucher sind, sog. „Joint Controllership“.
Eine gemeinsame datenschutzrechtliche Verantwortlichkeit erfordert nach Maßgabe des seit Mai 2018 anzuwendendem Art. 26 DS-GVO insbesondere auch eine sog. Joint Controller-Vereinbarung, die klarstellt, wie die gemeinsam Verantwortlichen die Pflichten aus der DSGVO erfüllen werden. Zudem müssen Fanpage-Besucher vom Betreiber der Fanpage in transparenter und verständlicher Form über die gemeinsame Datenverarbeitung informiert werden (Datenschutzhinweise).
Die Datenschutzaufsichtsbehörden haben nach Veröffentlichung des EuGH-Urteils im Rahmen der sog. Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) reagiert und in zwei Positionspapieren Stellung zu den daraus resultierenden Konsequenzen für Fanpage-Betreiber bezogen. In dem im September 2018 zuletzt veröffentlichten DSK-Beschluss kündigte die DSK an, auf europäischer Ebene gegen Facebook vorgehen zu wollen. Darüber hinaus wiederholte sie ihre Position, dass sich auch Fanpage-Betreiber ihrer Verantwortung stellen müssten und der Betrieb einer Fanpage ohne entsprechende Joint Controller-Vereinbarung rechtswidrig sei. Ihrem Beschluss hatte die DSK acht Fragen beigefügt, wobei sie nicht nur Facebook, sondern auch die Fanpage-Betreiber in der Pflicht sieht, diese beantworten zu können.
Facebook hat mittlerweile reagiert und bietet eine solche Joint Controller-Vereinbarung für alle Nutzer an, die Zugang zu den sogenannten Seiten-Insights auf Facebook haben. Die Vereinbarung soll automatisch gelten, so dass es insofern keiner weiteren Handlung des Fanpage-Betreibers bedarf. Durch die Bereitstellung dieser Vereinbarung werden daher zumindest in formaler Hinsicht die Anforderungen der DSGVO bzw. der DSK in Bezug auf die gemeinsame Verantwortlichkeit für die Datenverarbeitung im Rahmen der Facebook-Fanpages umgesetzt. Gleichwohl verbleibt eine nicht unerhebliche Rechtsunsicherheit, insbesondere auch, da die Rechtsmäßigkeit der Datenverarbeitung vom Fanpage-Betreiber zu bewerten bleibt und die DSK im Rahmen eines umstrittenen Positionspapiers zu sog. Trackingmethoden das berechtigte Interesse der Verantwortlichen als Rechtsgrundlage der Datenverarbeitung verneint hat. Konsequenz daraus ist, dass der Fanpage-Besucher grundsätzlich seine Einwilligung erteilen müsste, was technisch durch Facebook bislang nicht umgesetzt worden ist.
Unbeschadet dieser weiteren Problemstellungen ist Fanpage-Betreibern zu empfehlen, Datenschutzhinweise für die Facebook-Fanpages vorzuhalten und diese zumindest der Joint-Controller-Vereinbarung entsprechend anzupassen. Darüber hinaus sollte kritisch geprüft werden, ob diese Hinweise den seitens der DSK gestellten Anforderungen bezüglich der Datenverarbeitung auf Facebook genügen.
Bei Fragen zur Joint-Controller-Vereinbarung oder anderen datenschutzrechtlichen Aspekten stehen wir gern zur Verfügung.
Freie-Vogel-Straße 393
44269 Dortmund
Telefon: +49 231 286598-0
Telefax: +49 231 286598-51
E-Mail: kontakt@awpr.de
www.awpr.de
Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)
Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)
Produktplatzierung, Sponsoring und Co. in sozialen Medien verwässern die Grenzen zwischen kommerzieller Werbung und Nutzung zu privaten Zwecken bzw. zulässigen Produktberichten. Soziale Netzwerke wie Facebook und Instagram werden immer häufiger zur Präsentation von Produkten genutzt, indem bezahlte Werbepartner diese Produkte im Rahmen ihrer Posts werbewirksam platzieren. Der kommerzielle Zweck des Posts ist dabei in vielen Fällen nicht bzw. nicht ausreichend kenntlich gemacht.
Das OLG Celle hatte zu beurteilen, inwieweit die Kennzeichnung eines solchen Posts mit dem Hashtag „#ad“ am Ende eines auf Instagram geposteten und werbefinanzierten Beitrags den wettbewerbsrechtlichen Anforderungen genügt, insbesondere wenn diese Kennzeichnung an zweiter Stelle in einer Reihe von sechs Hashtags erfolgt.
Kernfrage der Beurteilung war, ob die Kennzeichnung „#ad“ den kommerziellen Zweck des werbefinanzierten Beitrags ausreichend erkennen lässt.
Eine unzureichende Kennzeichnung kommerzieller Beiträge stellt eine unlautere geschäftliche Handlung im Wettbewerb (Schleichwerbung) dar. Nach § 3 Abs. 1 i.V.m. § 5a Abs. 6 UWG handelt unlauter, wer den kommerziellen Zweck einer geschäftlichen Handlung nicht kenntlich macht, sofern sich dieser nicht unmittelbar aus den Umständen ergibt und das Nichtkenntlichmachen geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er anderenfalls nicht getroffen hätte.
Der Begriff der geschäftlichen Handlung im Sinne des § 2 Abs. 1 Nr. 1 UWG ist dabei weit zu verstehen. Er erfasst alle Maßnahmen, die auf die Förderung eines beliebigen wirtschaftlichen Geschäftszwecks gerichtet sind.
Im Bereich des Influencer Marketings ist für Verbraucher ohne Kennzeichnung kaum erkennbar, ob es sich um einen werbefinanzierten Beitrag handelt oder nicht. Der kommerzielle Zweck ist zumeist nicht unmittelbar aus den Umständen heraus erkennbar. Ziel des Influencer Marketings ist aber, Produkte „ins rechte Licht zu rücken“, um so den Absatz des Produkts zugunsten des eigenen oder eines fremden Unternehmens zu fördern.
Instagram-Posting
Im vorliegenden Fall vergütete ein Unternehmen eine Werbepartnerin für einen Hinweis auf einen Rabatt für Augen-Make-Up einer bestimmten Marke mittels eines Instagram Postings. Das geteilte Foto zeigte zwei weibliche Unterarme mit Kosmetika und Schmuckstücken. Das Bild war mit einem Rabatthinweis versehen und enthielt 6 Hashtags. Der zweite Hashtag lautete „#ad“.
Entscheidung
Das OLG Celle stufte das Posting als geschäftliche Handlung ein und entschied, dass zumindest in dieser Gestaltung keine ausreichende Kenntlichmachung des kommerziellen Zwecks des werbefinanzierten Beitrags vorliege. Entscheidend sei, dass der kommerzielle Zweck auf den ersten Blick hervortreten müsse. Es sei nicht damit zu rechnen, dass durchschnittliche Betracheter den zweiten Hashtag nach dem eigentlichen Bilduntertitel zur Kenntnis nehmen. Das Gericht ließ allerdings ausdrücklich offen, ob die Kennzeichnung mit dem Hashtag „#ad“ grundsätzlich zur Kennzeichnung von werbefinanzierten Beiträgen auf Instagram geeignet sei.
Ferner ergebe sich der kommerzielle Charakter des Postings nicht bereits unmittelbar aus den Umständen. Dass der gepostete Beitrag Begriffe und Hashtags enthalte, die auf einen werblichen Charakter schließen ließen, sichere nicht die Erkennbarkeit der Werbung auf den ersten Blick. Vielmehr sei die Werbung in diesem Fall nur bei vollständiger und sinnentnehmender Kenntnisnahme des gesamten Beitrags inklusive der Hashtags erkennbar.
Das Gericht führte aus, dass es gerade Sinn und Zweck einer solchen Marketing-maßnahme sei, Verbraucher zum Erwerb der rabattierten Gegenstände zu bewegen, die diese anderenfalls zu einem anderen Zeitpunkt (der Rabatt galt nur am Folgetag), nicht bei dem werbenden Unternehmen oder gar nicht gekauft hätten. Daher bejahte das OLG Celle, dass sich der Beitrag dazu eignet, Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die sie anderenfalls nicht getroffen hätten.
Fazit
Online-Marketing-Kampagnen erfordern die Beachtung verschiedener rechtlicher Vorgaben. Zentrale Aspekte sind die Transparenz bzw. Erkennbarkeit des kommerziellen Zwecks des Beitrags sowie der Trennungsgrundsatz wonach Werbung streng von redaktionellen Inhalten zu trennen ist.
Die Entscheidung des OLG Celle bietet zumindest Anhaltspunkte für die Praxis der Influencer, bis sich im Laufe der Zeit eine höchstrichterliche Rechtsprechung zur Kennzeichnung werbefinanzierter Inhalte auf sozialen Netzwerken wie Instagram entwickelt.
OLG Celle, 8.6.2017, 13 U 53/17
Bei Fragen zum Wettbewerbsrecht stehen wir gerne zur Verfügung.
Online-Händler sind durch die EU-Verordnung Nr. 524/2013 (ODR-Verordnung) grundsätzlich verpflichtet, auf eigenen Webseiten einen Link zur Europäischen Online-Streitbeilegungs-Plattform (OS-Plattform) bereitzuhalten. Das Oberlandesgericht Hamm hat entschieden, dass Online-Händler auch im Rahmen eigener Angebote auf Online-Marktplätzen – zusätzlich zum Betreiber des Online-Marktplatzes – verpflichtet sind, einen Link zur Streitbeilegungsplattform bereitzuhalten.
Kernfrage der Entscheidung ist, ob es sich bei einer einzelnen „Angebotsseite“ auf Online-Marktplätzen wie eBay um eine „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 der ODR-Verordnung handelt.
Art. 14 Abs. 1 Satz 1 ODR-Verordnung:
„In der Union niedergelassene Unternehmer, die Online-Kaufverträge oder Online-Dienstleistungsverträge eingehen, und in der Union niedergelassene Online-Marktplätze stellen auf ihren Websites einen Link zur OS-Plattform ein.“
Das OLG Hamm zog hier den deutsch- sowie den englischsprachigen Eintrag im Internet-Lexikon „Wikipedia“ zum Begriff „Website“ zur Beurteilung heran. Der deutschsprachige Eintrag beschreibe eine Website als Zusammenfassung aller einem Anbieter gehörenden Webseiten, die unter einer bestimmten Domain zusammengefasst sind. Der englischsprachige Eintrag lege hingegen nahe, dass die Zusammenfassung der Webseiten unter einer gemeinsamen Domain lediglich ein typisches Indiz, jedoch kein notwendiges Merkmal einer Webseite sei. Daher könne auch eine einzelne Angebotsseite bzw. der Auftritt eines Unternehmers auf einer Internetplattform als „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 verstanden werden.
Darüber hinaus wies das Gericht auf die Regelung des Art. 14 Abs. 2 Satz 2 der ODR-Verordnung hin, da auch hier der Begriff „Website“ verwendet wird.
Art. 14 Abs. 2 Satz 1 u. 2 ODR-Verordnung:
„In der Union niedergelassene Unternehmer, die Online-Kaufverträge oder Online-Dienstleistungsverträge eingehen und sich verpflichtet haben oder verpflichtet sind, eine oder mehrere AS-Stellen für die Beilegung von Streitigkeiten mit Verbrauchern zu nutzen, informieren die Verbraucher über die Existenz der OS-Plattform und die Möglichkeit, diese für die Beilegung ihrer Streitigkeiten zu nutzen. Sie stellen auf ihren Websites sowie, falls das Angebot über E-Mail erfolgt, in dieser E-Mail einen Link zu der OS-Plattform ein.“
Es sei kein vernünftiger Grund ersichtlich, warum die Verpflichtung aus Art. 14 Abs. 2 Satz 2 der ODR-Verordnung einen Unternehmer, der seine Dienstleistungs- und Warenangebote allein auf einer Internetplattform wie eBay unterbreitet, nicht treffen solle.
Entscheidend für die Auslegung des Begriffs der „Website“ seien Sinn und Zweck der ODR-Verordnung, die ein weites Verständnis des Begriffs erforderten. Hier verwies der Senat auf die Ausführungen des OLG Koblenz in einer früheren Entscheidung vom 25.01.2017 (Az. 9 W 426/16).
Nach Auffassung des OLG Koblenz sei es Sinn und Zweck der Verpflichtung zur Verlinkung auf die OS-Plattform, das Vertrauen der Verbraucher in den digitalen Binnenmarkt zu stärken und so den freien Verkehr von Waren und Dienstleistungen im Online-Handel zu gewährleisten. Dazu sei ein einfaches, effizientes, schnelles und kostengünstiges Streitbeilegungsverfahren notwendig. Um ein solches Verfahren zu nutzen und dessen Möglichkeit bei der Kaufentscheidung zu berücksichtigen, bedürfe es einer einfach zugänglichen Kenntnisnahmemöglichkeit. Verzichte man auf eine eigene Verlinkung auf die OS-Plattform durch die Online-Händler auf Online-Marktplätzen, so sei diese einfach zugängliche Kenntnisnahmemöglichkeit nicht gewährleistet.
Das OLG Hamm kommt zum Ergebnis, dass es sich bei einer einzelnen „Angebotsseite“ um eine „Website“ im Sinne des Art. 14 Abs. 1 Satz 1 der ODR-Verordnung handelt. Die Verpflichtung zur Einstellung eines Links zur OS-Plattform nach Art. 14 Abs. 1 Satz 1 der ODR-Verordnung besteht auch hinsichtlich der einzelnen Angebotsseiten auf einer Internetplattform wie eBay.
OLG Hamm, 03.08.2017, 4 U 50/17
Die Entscheidung deckt sich im Ergebnis mit derjenigen des OLG Koblenz, widerspricht hingegen einer ebenfalls früheren Entscheidung des OLG Dresden, über die wir bereits berichtet hatten (17.01.2017, 14 U 1462/16). Obgleich diese Rechtsfrage höchstrichterlich noch nicht geklärt ist, so ist jedoch eine Tendenz zugunsten der weiten Auslegung des Begriffs „Website“ und damit zur Verpflichtung von Online-Händlern, im Rahmen ihrer Angebote auf Online-Marktplätzen Dritter eine eigene Verlinkung auf die OS-Plattform vorzuhalten, erkennbar.
Weitere Details zu den Informationspflichten der Online-Händler finden Sie unter: https://awpr.de/e-commerce-update/aussergerichtliche-streitbeilegung-wieder-neue-informationspflichten-nicht-nur-fuer-online-haendler-und-dienstleister
Gerne stehen wir für Fragen zum E-Business zur Verfügung.
Das Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG) ist am 1.10.2017 in Kraft getreten. Sinn und Zweck des Gesetzes ist es, soziale Netzwerke zu einer zügigeren und umfassenderen Bearbeitung von Beschwerden über Hasskriminalität und andere strafbare Inhalte anzuhalten.
Das NetzDG führt gesetzliche Compliance-Regeln ein, die binnen 3 Monaten seit Inkrafttreten des Gesetzes, somit bis zum 1.1.2018, durch ein wirksames Beschwerdemanagement umgesetzt werden mussten. Ferner gilt für soziale Netzwerke nunmehr eine gesetzliche Berichtspflicht über den Umgang mit Hasskriminalität und anderen strafbaren Inhalten. Darüber hinaus ist ein inländischer Zustellungsbevollmächtigter zu benennen. Verstöße sind bußgeldbewährt. Opfer von Persönlichkeitsrechtsverletzungen haben die Möglichkeit, mittels gerichtlicher Anordnung die Bestandsdaten der Verletzer von Diensteanbietern zu erhalten.
Gerne stehen wir für weitere Informationen und Fragen zur Verfügung.
Freie-Vogel-Straße 393
44269 Dortmund
Telefon: +49 231 286598-0
Telefax: +49 231 286598-51
E-Mail: kontakt@awpr.de
www.awpr.de
Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)
Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)
Die Datenschutzgrundverordnung (DSGVO) wird die betriebliche Datenschutzpraxis in Europa insgesamt verändern und die Anforderungen an die Datenschutz-Compliance steigern.
Grundlegende Informationen dazu erhalten Sie nachfolgend im Überblick:
1. Ab wann gilt die DSGVO?
Formal betrachtet ist die DSGVO bereits am 25.05.2016 in Kraft getreten. In den europäischen Mitgliedstaaten, und damit auch in Deutschland, ist sie ab dem 25.05.2018 unmittelbar anzuwenden. Das heißt, ab dem 25.05.2018 sind die Anforderungen der DSGVO ohne weitere Umstellungsfrist einzuhalten.
2. Datenschutzorganisation
Die DSGVO stellt neue, strengere Anforderungen an die betriebliche Datenschutzorganisation sowie an die im Zusammenhang mit der Verarbeitung personenbezogener Daten implementierten Prozesse in Unternehmen.
RISIKOBASIERTER DATENSCHUTZ UND DATENSICHERHEIT
Die von der DSGVO geforderten Maßnahmen beim Umgang mit personenbezogenen Daten stehen weitgehend in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten der betroffenen Personen mit sich bringt. Insoweit sind die bisherigen Maßnahmen unter Berücksichtigung einer entsprechenden Risikoanalyse zu prüfen und anzupassen.
Unternehmen müssen zudem grundsätzlich ein – in Bezug auf die vorstehend genannten Risiken für die betroffenen Personen – angemessenes Schutzniveau im Hinblick auf die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten und die dafür zu implementierenden Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen. Verstöße im Bereich der Datensicherheit sind – anders als bisher – nunmehr bußgeldbewehrt (siehe hierzu auch unten „8. Haftung des Unternehmens und Bußgelder“).
DATENSCHUTZ-FOLGENABSCHÄTZUNG
Ein wesentliches Element der Risikoanalyse ist die sogenannte Datenschutz-Folgenabschätzung. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem bisher bekannten Prinzip der sog. Vorabkontrolle ab.
Birgt eine Datenverarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen in sich, so muss das Unternehmen vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen. Dabei sollen insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken der Datenverarbeitung bewertet werden. Das Unternehmen soll auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten und dieses Verfahren nachweisbar dokumentieren. In diesem Zusammenhang sollen auch Maßnahmen, Garantien und Verfahren geprüft werden, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können. Sofern die Datenschutz-Folgenabschätzung ergibt, dass die geplante Datenverarbeitung tatsächlich ein hohes Risiko zur Folge hätte, muss der Verantwortliche nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren, sofern keine Maßnahmen zur Eindämmung des Risikos getroffen werden.
DATENSCHUTZ DURCH TECHNIK UND DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN
Die DSGVO enthält spezifische Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DSGVO schon bei der Prozessgestaltung – Art. 25 Abs. 1 DSGVO: Grundsatz der „privacy by design“ – und bei den Voreinstellungen umzusetzen sind – Art. 25 Abs. 2 DSGVO: Anforderung der „privacy by default“.
Nach dem Grundsatz der „privacy by design“ müssen Unternehmen ihre Verarbeitungsvorgänge und IT-Systeme grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO wirksam umsetzen. Hier ist insbesondere das Gebot der Datenminimierung zu beachten, wonach Unternehmen nur gerade so viele Daten erheben und verarbeiten dürfen, wie es zur Erfüllung des verfolgten Zwecks erforderlich ist.
Zudem sollen insbesondere IT-Systeme nach der Anforderung der „privacy by default“ so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich ist.
3. Dokumentation und Nachweis
Die DSGVO rückt die Verantwortlichkeit der Unternehmen in den Vordergrund und erweitert die Dokumentations- und Nachweispflichten der Unternehmen erheblich.
RECHENSCHAFTSPFLICHT
Nach Art. 5 Abs. 2 DSGVO sind Unternehmen verpflichtet, im Rahmen der neu eingeführten Rechenschaftspflicht (sogenannte „accountability“) die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO nachweisen zu können.
NACHWEISPFLICHT GEMÄSS ART. 24 ABS. 1 DSGVO
Nach Art. 24 Abs. 1 DSGVO muss das Unternehmen nachweisen können, dass es personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet. Daher müssen Unternehmen nicht nur geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass eine Verarbeitung der Daten gemäß der DSGVO erfolgt, sondern auch jederzeit den entsprechenden Nachweis hierüber durch eine geeignete Dokumentation erbringen können. Dementsprechend sind Aufbau und die Durchführung eines effektiven Datenschutzmanagements – einschließlich der umfassenden Dokumentation der Verarbeitungstätigkeiten – zentraler Bestandteil des DSGVO-Anpassungsbedarfs.
VERZEICHNIS VON DATENVERARBEITUNGSTÄTIGKEITEN
Fast alle Unternehmen müssen zudem ein Verzeichnis über die Datenverarbeitungstätigkeiten führen, die der Zuständigkeit des jeweiligen Unternehmens unterliegen. Das heißt, alle Tätigkeiten, die sich mit personenbezogenen Daten beschäftigen, sind in einem geordneten Verzeichnis zu erfassen, die Zulässigkeit der Verarbeitung auf ihre Rechtmäßigkeit hin zu überprüfen, zu dokumentieren und ständig zu aktualisieren. Jede Verarbeitung von personenbezogenen Daten bedarf einer gesonderten Rechtsgrundlage, die im Verfahrensverzeichnis gesondert zu dokumentieren ist. Zudem sind Löschfristen zu beachten und ebenfalls zu dokumentieren.
Das entsprechende Verzeichnis ist der Aufsichtsbehörde jederzeit auf Anfrage zur Verfügung zu stellen.
4. Melde- und Benachrichtigungspflichten
Bei Verletzungen des Schutzes personenbezogener Daten sieht die DSGVO gegenüber der bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich erweiterte Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor.
Wesentliche Voraussetzung für eine entsprechende Pflicht zum Tätigwerden ist eine Verletzung des Schutzes personenbezogener Daten. Danach sind die Hürden für entsprechende Meldepflichten im Vergleich zur bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich abgesenkt. Nach der neuen, abgestuften Meldepflicht ist eine Meldung an die Aufsichtsbehörde bei einer entsprechenden Datenpanne immer erforderlich, es sei denn, dass diese voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Dies ist allerdings nur in den seltensten Fällen der Fall. Dagegen muss eine Benachrichtigung der betroffenen Person grundsätzlich nur dann erfolgen, wenn ein hohes Risiko für die entsprechenden Rechte des Betroffenen besteht.
Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden melden, nachdem das Unternehmen Kenntnis von der Verletzung erlangt hat.
Verstöße bei der Umsetzung der Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten sind mit teilweise empfindlichen Bußgeldern belegt.
5. Auftragsverarbeiter
Den Auftragsverarbeitern (Unternehmen, die weisungsgebunden für Drittunternehmen personenbezogene Daten verarbeiten) werden durch die DSGVO mehr Verantwortung und mehr Pflichten auferlegt.
Auftragsverarbeiter verarbeiten die Daten nach wie vor weisungsgebunden für die verantwortliche Stelle. Verstößt ein Auftragsverarbeiter zukünftig gegen die Pflicht zur weisungsgebundenen Verarbeitung, gilt er nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortlicher, mit allen rechtlichen Konsequenzen. Zudem unterliegt der Auftragsverarbeiter auch neuen speziellen Haftungsregelungen bei Datenschutzverletzungen, die zu Schadensersatzforderungen von Betroffenen auch gegen den Auftragsverarbeiter führen können. Von der Schadensersatzpflicht sind dabei nicht nur materielle, sondern vielmehr auch immaterielle Schäden umfasst.
Darüber hinaus besteht zukünftig für Auftragsverarbeiter die neu eingeführte Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das entsprechende Verzeichnis muss fortlaufend aktualisiert werden und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
Weiter müssen Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die er benötigt, um nachweisen zu können, dass er seine, aus der DSGVO resultierenden Pflichten erfüllt.
6. Datenschutzbeauftragter
Die Pflicht zur Bestellung eines Datenschutzbeauftragten bleibt unter der neuen Rechtslage im Wesentlichen unberührt.
Der Datenschutzbeauftragte wird nach der DSGVO aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes und der Datenschutzpraxis sowie seinen Fähigkeiten, die gesetzlichen Aufgaben zu erfüllen, benannt. Datenschutzbeauftragter kann dabei sowohl ein im Unternehmen Beschäftigter als auch ein Externer (im Dienstleistungsverhältnis) sein.
Das Unternehmen muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Datenschutzfragen eingebunden wird. Er muss bei der Erfüllung seiner Aufgaben umfassend unterstützt werden, insbesondere mit den hierzu erforderlichen Ressourcen und einem Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ausgestattet sein.
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Unternehmens und hat zukünftig unter der DSGVO folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Der Datenschutzbeauftragte hat bei der Erfüllung seiner Aufgaben dem mit den jeweiligen Verarbeitungsvorgängen zusammenhängende Risiko gebührend Rechnung zu tragen. Dabei muss er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung stets im Blick haben.
Die Verletzung der Vorschriften zum Datenschutzbeauftragten ist nach den Regelungen der DSGVO mit Geldbuße bedroht.
7. Rechte der Betroffenen Person
Die Rechte der Personen, deren personenbezogene Daten von der Verarbeitung durch ein Unternehmen betroffen sind, werden unter Geltung der DSGVO noch einmal erweitert.
Pflicht zur Information und zur Transparenz
Unternehmen müssen betroffene Personen zukünftig deutlich umfassender als bislang darüber informieren, wie sie die personenbezogenen Daten der betroffenen Personen verarbeiten. Nach Art. 5 Abs. 1 DSGVO zählt der Transparenzgrundsatz zu den wesentlichen Prinzipien der Verordnung.
Grundsätzlich müssen Unternehmen betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ informieren. Neben spezifischen Vorgaben zu Informationspflichten bei der Erhebung personenbezogener Daten – auch diese gehen hinsichtlich des Umfangs über die bisherigen Anforderungen des bisher geltenden Rechts hinaus – sieht die DSGVO als zentrales Instrument der Transparenz ein erweitertes Auskunftsrecht des Betroffenen über den Umgang mit seinen personenbezogenen Daten vor (Art. 15 DSGVO).
Löschen von Daten und Recht auf Vergessenwerden
Die DSGVO sieht umfassendere Löschpflichten vor als das bisherige nationale Recht. Nach der zukünftigen Regelung in Art. 17 DSGVO, muss der Verantwortliche personenbezogene Daten ohne unangemessene Verzögerung löschen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. So ergibt sich eine Pflicht zum Löschen beispielsweise dann, wenn der Zweck für die Datenverarbeitung weggefallen ist, die betroffene Person ihre Einwilligung oder die entsprechenden Daten unrechtmäßig erhoben oder verarbeitet wurden.
In diesem Falle muss das Unternehmen die entsprechenden Daten löschen, sofern keine vorrangigen berechtigten Gründe für die weitere Verarbeitung vorliegen, Art. 17 Abs. 1 lit. c DSGVO.
Neu eingeführt ist die Regelung, wonach das Unternehmen, sofern es die betroffenen Daten öffentlich gemacht hat, diese nicht nur löschen muss, sondern zukünftig vielmehr auch Dritte, die diese Daten verarbeiten, darüber zu informieren hat, dass eine betroffene Person von ihnen die Löschung aller Links zu oder aller Kopien oder Replikationen von diesen personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO. Auf diese Weise soll dem sogenannten Recht auf Vergessenwerden Geltung verschafft werden.
Koppelungsverbot bei Einwilligungen
Ist die Einwilligung der betroffenen Person zur Erhebung bzw. Verarbeitung ihrer personenbezogenen Daten erforderlich, so muss die entsprechende Einwilligung nach Art. 7 DSGVO durch eine eindeutige Handlung erfolgen. Insbesondere muss die betroffene Person ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekunden, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.
Um sicherzustellen, dass die Einwilligung ohne Zwang erfolgt, darf ein Unternehmen die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung nicht mehr davon abhängig machen, dass die betroffene Person in eine Verarbeitung ihrer personenbezogenen Daten einwilligt, sofern diese Daten für die Erfüllung dieses Vertrags nicht erforderlich sind.
8. Haftung des Unternehmens und Bußgelder
Die DSGVO regelt auch die Haftung von Unternehmen bei Pflichtverletzungen sowie die Sanktionen bei Verstößen gegen die DSGVO in Form von Bußgeldern völlig neu.
Erweiterte Haftung für Verantwortliche und für Auftragsverarbeiter
Die Risiken im Zusammenhang mit der zivilrechtlichen Haftung von Unternehmen wegen tatsächlichen oder behaupteten Verstößen gegen datenschutzrechtliche Pflichten sind unter der DSGVO ebenfalls gestiegen. Nach Art. 82 Abs. 1 DSGVO sind sowohl materielle als auch ausdrücklich immaterielle Schäden zu erstatten, die auf Verstößen gegen die DSGVO beruhen. Die ausdrückliche Erwähnung der immateriellen Schäden ermöglicht es betroffenen Personen zukünftig auch ein angemessenes Schmerzensgeld bei der Verletzung der DSGVO im Rahmen der Verarbeitung ihrer personenbezogenen Daten zu verlangen.
Zudem wird durch die DSGVO nun auch die Haftung explizit auf Auftragsverarbeiter erweitert, Art. 82 Abs. 1 DSGVO.
Bußgelder
Verstöße gegen die DSGVO werden zukünftig drastischer sanktioniert, als dies bisher bei Verstößen gegen das nationale Datenschutzrecht der Fall war.
So sieht Art. 83 DSGVO für Unternehmen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes des betroffenen Unternehmens vor, je nachdem welcher Betrag höher ist. Unter dem BDSG drohte bisher ein Bußgeld von maximal 300.000,00 Euro.
Natürliche Personen, die an Verstößen gegen die DSGVO beteiligt sind, müssen mit Geldbußen von bis zu 20 Millionen Euro rechnen.
In diesem Zusammenhang ist es die Aufgabe der Aufsichtsbehörden, sicherzustellen, dass die Geldbußen für Verstöße gegen die Verordnung „wirksam, verhältnismäßig und abschreckend“ sind.
Bei Fragen zur DSGVO stehen wir gerne zur Verfügung.
Freie-Vogel-Straße 393
44269 Dortmund
Telefon: +49 231 286598-0
Telefax: +49 231 286598-51
E-Mail: kontakt@awpr.de
www.awpr.de
Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)
Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)
Am 1. August 2017 ist die neue Verordnung „zur Festlegung eines Rahmens für die Energieverbrauchskennzeichnung“ (Verordnung Nr. 2017/1369) in Kraft getreten. Die sogenannte EU-Energielabel-Verordnung dient der Umstellung des EU-Energielabels auf die neuen Energieeffizienzklassen. Die teils verwirrenden Klassen A+, A++ etc. werden abgeschafft, die Skala im Sinne der Transparenz für den Verbraucher auf die Klassen A bis G beschränkt.
Bisher sind Online-Händler verpflichtet, bei Werbung für kennzeichnungspflichtige Elektrogeräte mit preis- und energiebezogenen Informationen die Energieeffizienzklasse anzugeben. Seit dem 1. August 2017 greift die Verschärfung des Artikel 6 a der EU-Verordnung: Die Energieeffizienzklasse ist ausnahmslos bei jeder visuell wahrnehmbaren Werbung sowie in technischem Werbematerial für ein bestimmtes Modell anzugeben. Zudem muss auf das Spektrum der auf dem Energielabel verfügbaren Effizienzklassen hingewiesen werden.
Aus einem Urteil des Bundesgerichtshofs (Az. I ZR 159/16) vom 6. April 2017 geht hervor, dass die Energieeffizienzklasse bereits auf der Übersichtsseite der Werbung anzugeben oder klar erkennbar zu verlinken ist. Bei einer Verlinkung müsse der Link selbst einen Hinweis darauf geben, dass dahinter Angaben zur Effizienzklasse zu finden sind.
Darüber hinaus besteht die Pflicht, die Zustimmung des Kunden zu Änderungen, die sich nachteilig auf den Energieverbrauch des Produkts auswirken, einzuholen. Führt etwa ein Software-Update zu einem höheren Stromverbrauch und einer schlechteren Energieeffizienzklasse, so soll dem Kunden offenstehen, die Aktualisierung ohne vermeidbaren Verlust der Funktionalität ablehnen zu können.
Schrittweise Umstellung
Die Umstellung auf die neuen Energieeffizienzklassen erfolgt schrittweise in den nächsten Jahren. Bis 2. November 2018 werden entsprechende Verordnungen für die Produktgruppen Geschirrspüler, Kühlgeräte, Waschmaschinen, Fernsehgeräte und Monitore sowie Lampen und Leuchten überarbeitet. Ab Inkrafttreten der einzelnen Verordnungen haben Hersteller und Händler 12 Monate Zeit, das neue Etikett online sowie am Produkt zu platzieren.
Händler können Produktdatenblätter sowie Etiketten künftig aus einer bis spätestens 1. Januar 2019 neu eingerichteten Online-Produktdatenbank herunterladen. Ab 1. Januar 2019 müssen alle neuen Produkte in diese Datenbank eingetragen werden, bevor sie auf den Markt kommen. Produkte die zwischen dem 1. August 2017 und dem 1. Januar 2019 in Verkehr gebracht werden, müssen bis zum 30. Juni 2019 nachgetragen werden.
Bei Fragen zu diesen oder ähnlichen Themen des E-Commerce stehen wir Ihnen gerne zur Verfügung.
Die CE-Kennzeichnung auf Produkten ist eine Herstellererklärung, mit der die Verantwortung für die Konformität des Produkts mit den einschlägigen europäischen Harmonisierungsanforderungen übernommen wird. Es bestehen strenge Vorgaben, welche Produkte zu kennzeichnen sind und wie bzw. von wem die Kennzeichnung anzubringen ist.
Das Oberlandesgericht Köln hat klargestellt, dass auch Händler verpflichtet sind, zu überprüfen, ob eine CE-Kennzeichnung erforderlich und vorhanden ist (Urteil vom 28.07.2017, 6 U 193/16). Diese Pflicht geht jedoch nicht soweit, dass auch überprüft werden muss, ob die Kennzeichnung richtig auf dem Produkt oder der Verpackung platziert wurde.
Händler sollten sorgfältig prüfen, ob eine Kennzeichnungspflicht besteht und ob diese erfüllt ist. Verstöße gegen die Kennzeichnungspflicht können nicht nur zu Bußgeldern führen, sondern auch als Wettbewerbsverstöße abgemahnt werden.
Kennzeichnungspflichtige Produkte, die nicht ordnungsgemäß gekennzeichnet sind, dürfen nach § 7 Abs. 2 Nr. 2 Produktsicherheitsgesetz (ProdSG) mangels Verkehrsfähigkeit nicht auf dem Markt bereitgestellt werden. Gekennzeichnete Produkte für die jedoch keine Kennzeichnungspflicht besteht, dürfen ebenfalls nicht auf dem Markt bereitgestellt werden (§ 7 Abs. 2 Nr. 1 ProdSG).
Kennzeichnungspflichtige Produkte
CE-Kennzeichnungspflichtig sind alle Produkte, die in den Anwendungsbereich einer EU-Richtlinie fallen, die die Kennzeichnung des Produkts vorsieht. Typischerweise gilt dies etwa für Maschinen, Spielzeug, Elektroartikel usw. Entscheidend ist zudem, dass das Produkt in der EU erstmalig in Verkehr gebracht wird. Ob der Herstellungsort innerhalb oder außerhalb der EU liegt, ist unerheblich. Wichtig ist, dass Produkte, die diese Voraussetzungen nicht erfüllen auch nicht gekennzeichnet werden. Wird ein solches Produkt dennoch mit dem CE-Kennzeichen versehen, so kann dies zu Bußgeldern führen.
Grundsätze der CE-Kennzeichnung
Die Kennzeichnung erfolgt grundsätzlich im Anschluss an ein sogenanntes Konformitätsnachweisverfahren, in dem die Konformität mit den entsprechenden EU-Richtlinien geprüft wird (z.B. Erfüllung der Anforderungen an die Sicherheit), durch den Hersteller des Produkts. Wie bereits gezeigt, kommt es auf den Zeitpunkt des Inverkehrbringens, nicht den der Herstellung, an, so dass die Kennzeichnung nicht zwingend durch den Hersteller erfolgen muss. Dementsprechend sollten Importeure prüfen, ob eine Kennzeichnung bereits besteht oder noch erfolgen muss.
Das CE-Kennzeichen ist gut sichtbar, leserlich und dauerhaft auf dem Produkt oder dem Produktschild anzubringen. Ist dies aufgrund der besonderen Gegebenheiten unmöglich, so kann die Kennzeichnung hilfsweise auf der Verpackung oder den Begleitunterlagen erfolgen.
Werbung
Mit dem CE-Kennzeichen zu werben, birgt die Gefahr, dass der Eindruck erweckt wird, das Produkt sei besonders geprüft. Dies widerspricht dem Sinn und Zweck der Kennzeichnung und gerät in Konflikt mit den Grenzen der zulässigen „Werbung mit Selbstverständlichkeiten“. Eine Pflicht, Verbraucher über die Kennzeichnung zu informieren besteht nicht.
Bei Fragen zur CE-Kennzeichnung oder ähnlichen Themen der Produktsicherheit stehen wir gerne zur Verfügung.