Was sind die Spezialgebiete eines Fachanwalts für IT-Recht?

Fachanwälte müssen auf den jeweiligen Fachgebieten praktische Erfahrung nachweisen und sich jährlich qualifiziert fortbilden. Das tue ich und will das näher beschreiben, was das bedeutet.
Die Fachanwaltsordnung Stand 1.1.2020 definiert das Fachgebiet Informationstechnologie für Fachanwälte wie folgt (meine Schwerunkte habe ich fett gekennzeichnet):
§ 14k der Fachanwaltsordnung – Nachzuweisende besondere Kenntnisse im Informationstechnologierecht Für das Fachgebiet Informationstechnologierecht sind besondere Kenntnisse nachzuweisen in den Be-reichen:
1. Vertragsrecht der Informationstechnologien, einschließlich der Gestaltung individueller Verträge und AGB,
2. Recht des elektronischen Geschäftsverkehrs, einschließlich der Gestaltung von Provider-Verträgen und Nutzungsbedingungen (Online-/Mobile Business),
3. Grundzüge des Immaterialgüterrechts im Bereich der Informationstechnologien, Bezüge zum Kennzeichenrecht, insbesondere Domainrecht,
4. Recht des Datenschutzes und der Sicherheit der Informationstechnologien einschließlich Verschlüsselungen und Signaturen sowie deren berufsspezifischer Besonderheiten,
5. Das Recht der Kommunikationsnetze und -dienste, insbesondere das Recht der Telekommunikation und deren Dienste,

6. Öffentliche Vergabe von Leistungen der Informationstechnologien (einschließlich e-Government) mit Bezügen zum europäischen und deutschen Kartellrecht,
7. Internationale Bezüge einschließlich Internationales Privatrecht,
8. Besonderheiten des Strafrechts im Bereich der Informationstechnologien,
9. Besonderheiten der Verfahrens- und Prozessführung.
Es handelt sich derzeit um ein besonders herausforderndes Gebiet mit hohen Risiken und Herausforderungen für die praktische Umsetzung und erfogreiche Durchsetzung bzw. Abwehr bei Streitigkeiten in diesem Bereich.

EUGH hat das US-Privacy Shield für ungültig erklärt – Handlungsempfehlungen für KMU.

Was müssen Webseitenbetreiber und Nutzer von sonstigen Cloud-Diensten US-amerikanischer Anbieter nun tun, nachdem der EUGH das US-Privacy Shield (im heutigen Urteil vom 16.07.2020 in der Rechtssache Max Schrems gegen Facebook) für ungültig erklärt hat?
Geschäftliche Nutzer von Clouddiensten z.B. Webseitenbetreiber von WordPress-Webseiten oder Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter einsetzen, sollten nun prüfen, ob hinsichtlich der Übermittlung personenbezogener Kunden- und Mitarbeiter- oder auch nur Nutzerdaten von Nutzern der Webseite, Data Privacy Agreements oder „Data Privacy Addendum“ vorliegen, die sie mit den Anbietern abgeschlossen haben sollten und ob diese inhaltlich die Vorgaben der EU-Kommission zur Verwendung von EU-Standardvertragsklauseln (Data Controller to processor EU-Data Standard Model Clauses) nach Art. 45 DSGVO beinhalten. Denn diese Standardvertragsklauseln hat der EUGH ausdrücklich als gültig bestätigt.
Grund: Der EUGH hat mit Urteil von heute 16.07.2020 in der Rechtssache Max Schrems gegen Facebook verkündet, dass das US-Privacy Shield unwirksam ist und kein angemessenes Datenschutzniveau im Sinne von Art. 46 DSGVO gewährleistet. Im wesentlichen hat er das – zu Recht – damit begründet, dass die USA dieses Abkommen nicht einhalten, insbesondere EU-Bürger keinen wirksamen Rechtsschutz in den USA zur Wahrung ihrer Datenschutzrechte nach der DSGVO haben, vor allem ist der nach dem US-Privacy Shield Abkommen zugesicherte Ombudsmann tatsächlich nicht wirklich arbeitsfähig und erreichbar für EU Bürger. Das Urteil ist nicht überraschend, weil schon lange u.a. auch vom EU-Parlament diese Missstände angeprangert und moniert wurden.
Das bedeutet, wer Clouddienste U.S.-amerikanischer Anbieter nutzt und darin Nutzer IDs, IP-Adressen, und ähnliche personenbezogene Daten von den Cloud Diensten verarbeiten lässt, benötigt Verträge zum Datenschutz, die die EU-Standardvertragsklauseln (EU-Data Processing Model Clauses Controller to Processor) bei Auftragsverarbeitungen im Sinne von Art. 28 DSGVO oder Processor to Processor Model Clauses bei sog. Gemeinsamen Verantwortlichen nach Art. 26 DSGVO verwendet.
Den Abschluss der entsprechenden Verträge, die nach der DSGVO auch elektronisch erfolgen können, etwa über AGB, müssen Sie z.B. als Webseitenbetreiber oder Arbeitgeber zuverlässig als verantwortliche Stelle nach Art. 5 DSGVO nachweisen können. Die US-Anbieter ordnen Sie nämlich nicht unbedingt als EU-Kunde ein, wenn Sie die entsprechenden Zusatzvereinbarungen nicht abgeschlossen haben, weil es darauf ankommt, wessen personenbezogene Daten Sie nach Ihrem Geschäftsmodell zu welchen Zwecken verarbeiten. Da die USA weitestgehend und Südamerika sowieso keine angemessenen Datenschutzgesetzte hat (außer Kalifornien und Canada) wird von vielen US-Anbietern ohne dokumentiertem Abschluss der entsprechenden Zusatzvereinbarungen diese auch nicht aktiviert.
Praxistipp: Sie sollten nun zur Vermeidung von Abmahnungen oder hohen Bussgeldern wegen Verstößen gegen die Vorschriften des Datenschutzrechtes für die Internetseite und sonstige Prozesse, bei denen US-Clouddienste in Ihrem Unternehmen zum Einsatz kommen, die Liste Ihrer verwendeten US-Anbieter z.B. anhand Ihrer Datenschutzhinweise und Verarbeitungsverzeichnisse durchgehen und prüfen lassen, ob für die Dienste vom Anbieter die entsprechenden Data Privacy Addendums oder sonstige entsprechende Data Processing Terms vorliegen, die die Voraussetzungen der EU-Kommission zu den o.g. Angemessenheitsbeschlüssen erfüllen, die – soweit noch nicht geschehen – abschließen und das dokumentieren. Ferner sollten Sie Ihre Verarbeitungsverzeichnisse sowie Datenschutzhinweise gemäß DSGVO anpassen und die entsprechenden Passagen, die auf das nicht mehr gültige EU-Privacy Shield nach Art. 46 DSGVO z.B. in Ihren Datenschutzhinweisen rekurrieren, abändern. Viele US-Anbieter wie z.B. Automattic Inc. mit Sitz in den USA – WordPress.com stellen entsprechende Data Privacy Addendums bereits zur Verfügung, weil diese Entscheidung des EUGH absehbar war.
Falls der US-Cloud Anbieter keine rechtmäßigen Vertragsklauseln der beschriebenen Art anbietet, ist zu prüfen, ob ggfs. Ausnahmetatbestände z.B. zum Schutze lebenswichtiger Interessen der betroffenen Person greifen nach Art. 49 DSGVO Amtliche Bussgelder aufgrund von DSGVO-Verstössen – soweit teilweise amtlich bestätigt oder veröffentlicht – gibt es hier https://www.enforcementtracker.com/ oder hier https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php

#DSGVO #Schadenersatzansprüche betroffener Händler und Kunden bei Datenpannen?

Hier am aktuellen Beispiel zur #Datenpanne bei #Mastercard Priceless Specials vom August 2019. Jetzt nehmen die Schadenersatzverfahren Fahrt auf, weil das Programm endgültig eingestellt wurde.

Ca. 90.000 Teilnehmer des Mastercard Priceless Specials Programms waren im Sommer 2019 betroffen von einer Datenpanne, weil die Datenbank offen mit Namen, Anschrift, Mobilfunknummer, E-mail, Geburtsdatum und Kreditkartendaten im Internet abrufbar waren. Mastercard hatte die Datenpanne unweigerlich offiziell bestätigen müssen und sich entschuldigt, die Plattform mit Bonusprogramm „vorläufig“ und inzwischen endgültig deaktiviert, aber eine Verantwortlichkeit für die Datenpanne pauschal abgestritten. Die Aufsichtsbehörden in Hessen (HBDI) – hier die Pressemitteilung des HBDI vom 23.08.2019 mit den späteren updates – und die federführende Aufsichtsbehörde des datenschutzrechtlichen Untersuchungsverfahrens in Belgien DPA in Brüssel – https://www.dataprotectionauthority.be/contact-us -erhielten zahlreiche Beschwerden Betroffener über unzureichende Auskünfte. Aber bis heute hat Mastercard nicht viel zur Aufklärung über die Verantwortlichkeit beigetragen, obwohl die Datenpanne nach Art. 82 III DSGVO indiziert, dass Mastercard für den Datenschutz verantwortlich ist oder ihn ermöglicht hat, wenn und soweit Mastercard als Verantwortliche nicht nachweist, in keiner Weise für den massiven Verstoß durch diesen Datenpanne ein Verschulden zu tragen. Das ist bisher nicht geschehen und offenbar ist Mastercard weder in der Lage noch gewillt, dass Programm wie bisher angekündigt, wieder datenschutzkonform zu aktivieren. Priceless ist gekündigt und wurde zum 4.7.2020 endgültig beendet. Der Schadenersatz nach Art. 82 I DSGVO umfasst anders als nach früherem Datenschutzrecht nunmehr neben den Vermögensschäden auch immaterielle Schäden, die Betroffene durch den Datenschutzverstoß erleiden, den Mastercard – dafür sprechen einige Indizien – mitverschuldet haben dürfte. Wenn die Plattform nicht wieder aktiviert werden kann, spricht das für fundamentale Sicherheitsmängel des Bonusprogramms und der beteiligten Systeme, die einen Verstoß gegen die Pflichten nach Art. 5, 24 und 32 DSGVO durch Mastercard wahrscheinlich machen.

Am 4.6.2020 schließlich kündigte Mastercard seinen Kunden den Vertrag über das Bonusprogramm mit Wirkung zum 4.7.2020 auf und kündigte Infos an, wie die gesammelten Coins dann nun eingelöst werden können. Diese liegen bisher nach meinen Informationen noch nicht vor.

Derzeit laufen einige Auskunfts- und Schadenersatzverfahren Betroffener gegen Mastercard beim zuständigen Amts- bzw. Landgericht (je nach geforderter Summe und Streitwert). Neben den entgangenen Coins hatten einige Betroffene weitere Schäden wie gesperrte Kreditkarten, Kreditkartenbetrug, nicht blockierbare Spamanrufe mit gefakten Rufnummern, belästigende Spamnachrichten auf das Mobiltelefon oder Spammails, Identitätsdiebstahl d.h. z.B. das Erstellen von Fakeshops mit der Identität der illegal veröffentlichten Daten der Teilnehmer, Inkassorechnungen und Mahnungen von getäuschten Onlinehändlern, bei denen mit der gestohlenen Identität eingekauft wurde und weitere Folgeschäden, insbesondere auch der sog. Emotional Distress, den Opfer von solchen massiven Datenschutzverstößen erleiden. Die Betroffenen haben in vielen Fällen auch Beschwerden bei der Aufsichtsbehörde eingelegt, aber die Hessische Aufsichtsbehörde hat mit Verweis auf die anhängigen Schadenersatzklagen in den mir vorliegenden Fällen das Verfahren ausgesetzt und verweist auf die belgische federführende Aufsichtsbehörde, obwohl fast nur deutsche Kunden betroffen sind und daher die Schadenersatzklagen hier nach § 44 I BDSG am Gerichtsstand der deutschen Niederlassung in Frankfurt am Main geführt werden und hinsichtlich der Feststellung der Datenschutzverstöße und Ahndung der Verletzung u.a. der Auskunftsansprüche der Betroffenen der Hessische Datenschutzbeauftragte zuständig ist. Nach dem One-Stop-Prinzip der DSGVO für grenzüberschreitende Datenpannen hat hier die Belgische Datenaufsichtsbehörde die Federführung übernommen – vgl. deren Pressemitteilung zur Datenpanne von Mastercard Priceless Specials. Es kommt daher auch eine Untätigkeitsbeschwerde nach 3 Monaten Untätigkeit gegen die Datenschutz-Aufsichtsbehörde nach Art. 78 II DSGVO in Betracht. Wir werden in Belgien zum Stand des Verfahrens nachfragen und unseren Mandanten, die wir betreuen, berichten. Aber unklar ist, ob unter diesen Umständen diese Aussetzung des Beschwerdeverfahrens bis zum rechtskräftigem Abschluss des gegenständlichen zivilgerichtlichen Gerichtsverfahren und Verweisung auf die belgische Aufsichtsbehörde DSGVO konform ist. Der HBDI verweist auf Nachfrage als Rechtsgrundlage auf § 17 GVG analog – aber zum einen geht die DSGVO vor und ausserdem ist fraglich, ob das sinnvoll ist. Nach Art. 78 DSGVO soll nämlich unbeschadet von anderen Rechtsmitteln vor den Gerichten auch gerade verhindert werden, dass Betroffene auf ausländische Behörden und Gerichte verwiesen werden, um ihre Betroffenenrechte effektiv sowohl über Beschwerdeverfahren bei den Aufsichtsbehörden als auch Zivilklagen vor den Gerichten verfolgen zu können.
Man kann gespannt sein, ob die Betroffenen die Kündigung von Mastercard ohne Entschädigung für den Schaden so hinnehmen werden oder erfolgreich ihre Ansprüche vor den Gerichten durchsetzen können. Anders als früher sind nach der DSGVO die Bußgelder und Schadenersatzbeträge viel höher, denn nach Erwägungsgrund 146 müssen sie abschreckend und wirksam sein und müssen bei den Verbraucherrechten Wertungswidersprüche vermieden werden – so auch zuletzt der BGH mit Urteil vom 6.6.2019 – I ZR 216/17 – zu unbegründeten Zahlungsaufforderungen aufgrund unbestellten Waren wegen Identitätsdiebstahls. Allein für die Verletzung der Auskunftspflichten hatte kürzlich das Arbeitsgericht Düsseldorf den Arbeitgeber bereits 5.000 Euro Schadenersatz verurteilt. Das Urteil ist zwar nicht rechtskräftig, weil das Berufungsverfahren anhängig ist, aber die Tendenz ist klar: Die Schadenersatzklagen werden von den Unternehmen ernst zu nehmen sein. Unternehmen sollten daher DSGVO-Auskunftsanfragen pflichtgemäß beantworten und sich bei der Digitalisierung auch nachhaltig um die Einhaltung der Pflichten zur rechtmäßigen sicheren Datenverarbeitung nach der DSGVO kümmern. Nur wenn die Unternehmen das proaktiv fortlaufend tun, sind wir alle vor den massiven Schäden geschützt, die Datenpannen für Betroffene und beteiligte Unternehmen auslösen. Wertungswidersprüche würden auch zu den Bussgeldern entstehen, die die DSGVO in Höhe von bis zu 4 % des weltweiten Umsatzes der unternehmensgruppe ansetzt – diese Grundsätze und ein DSGVO Verstoß bei 500 Gewinnspielteilnehmern haben nach einer Pressemitteilung der Behörde zuletzt z.B. bei der AOK zu einem Bußgeldbescheid des Landesdatenschutzbeauftragten von Baden-Württemberg von 1.240.000 Euro geführt.
Interessant und bisher ungeklärt ist auch die Frage, ob Schadenersatzansprüche nur die betroffenen Kunden des Mastercard Priceless Specials Programm haben oder auch die in Mitleidenschaft gezogenen Händler, bei denen dann mit gefälschten Kreditkarten und Identitäten eingekauft und geliefert wurde. In Artikel 82 heißt es nämlich, dass jedermann, der durch den Datenschutzverstoß des Verantwortlichen einen Schaden erleidet, Anspruch auf Ersatz des materiellen und immateriellen Schaden gegen den Verantwortlichen hat. Dessen Verschulden ist dabei nach Art. 82 III DSGVO indiziert. Nach Erwägungsgrund 146 heißt es dazu: ….Satz 3: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. 7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. 8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. 9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.“
Es spricht also auch der Wortlaut und der europarechtlich geltende Effektivitätsgrundsatz dafür, dass auch die geschädigten Händler Schadenersatzansprüche gegen Mastercard haben (vgl. z.B. so auch Paal in MMR 2020, 14f.).
Zur Höhe des Schadenersatzes für die immateriellen Schäden bei einem Datenbreach spricht nach vorherrschender Ansicht der Datenschutzexperten, dass dieser analog etwa der Faktorrechtsprechung bei Verletzung von Urheberrechten durch Filesharing (Beispiel OLG Frankfurt Az. 11 U 44/19: 50facher Wert des Einzelpreises der „Downloadversion“ des Computerspiels betrug fast 1.950 Euro und führte zu einem Schadenersatzurteil über 2.100 Euro) abhängig von der Dauer und dem Ausmaß der Datenpanne ein Vielfaches des Wertes der Daten als eine fiktive Lizenzgebühr als Schadenersatz zuzuerkennen ist. Gerade das unkontrollierbare der einfachen anonymen Weiterverbreitung über Filehoster und die enorme Ersparnis des Zeitaufwandes für die gewerblichen Betrüger durch offen im Internet erhältliche illegale Datenbanken führen ja zu den gezielten massenweisen Verwertung durch Hacking-, Erpressungs- und Betrugsattacken der Straftäter. Es ist also wichtig, daß diese Ansprüche effektiv verfolgt werden können und möglichst alle Betroffenen entschädigt werden.

#Abmahnungen wegen Marken mit Gattungsbezeichnungen – keine gute Idee

Die Registrierung einer Marke mit Gattungsbezeichnung, d.h. mit Begriffen, die für die eingetragenen Waren oder Dienstleistungen nur beschreibend sind, kommt immer wieder vor, obwohl das eigentlich nach dem Markengesetz nicht vorgesehen ist und das Amt bei der Anmeldung das Bestehen absoluter Schutzhindernisse dieser Art prüfen soll. Mitunter wird aus der Marke aber auch erst nach der Eintragung mit der Zeit durch Änderungen im Sprachgebrauch eine Gattungsbezeichnung. Spätestens aber wenn der Markeninhaber die Marke gar nicht markenmäßig, sondern ebenso wie viele andere nur rein beschreibend benutzt und sich der Begriff zu einer Gattungsbezeichnung entwickelt, ist klar, daß die Schutzrechtsverlängerung und Abmahnung bösgläubig erfolgt z.B. um über die eingesammelten „Vergleichsgebühren“ und Schadenersatzbeträge nicht anwaltlich beratener Opfer seines Vorgehens Einnahmen zu erzielen oder gezielt Wettbewerber zu behindern. Das kann für den Markeninhaber und Abmahner am Ende aber teuer werden oder anders ausgedrückt „nach hinten losgehen“.

Ärgerlich ist es zwar zunächst für die Abgemahnten, die sich – ggfs. mit anwaltlichem Rat – zur Wehr setzen müssen, um sich erfolgreich zur Wehr zu setzen und nicht vom Regen in die Traufe zu kommen. Aber als Abgemahnter hat man die Möglichkeit, einen Löschungsantrag beim Markenamt zu stellen, der zu begründen ist. Wenn andere das bereits gemacht haben, wird das auch nach ca. 1 Monat im Markenregister veröffentlicht. Für den Antrag verlangt das DPMA zwar Gebühren (400 Euro bei Löschung wegen absoluter Schutzhindernisse und 100 Euro bei Verfall nach § 49 MarkenG), aber in begründeten Fällen wird das Markenamt nach § 63 Abs. 1 MarkenG in Fällen der bösgläubigen Markenanmeldung bzw. gezielter Behinderung des Wettbewerbs mit mißbräuchlich zu Unrecht eingetragener Marken dem Markeninhaber die Kosten des Verfahrens auferlegen d.h. dem Antragsteller werden dann die Kosten erstattet.

Ferner kommen auch Schadenersatzansprüche wegen sittenwidriger Schädigung nach § 826 BGB gegen den Abmahner in Betracht.

All dies scheint aber in Zeiten von Corona die Inhaberin eines Biergartens nicht gestört zu haben, die die Wortmarke „Bierpass“ beim Deutschen Marken- und Patentamt zum Aktenzeichen 3020100247495 seit 15.06.2010 für sich hat eintragen und so für „Dienstleistungen zur Verpflegung und Beherbergung von Gästen“ schützen lassen. Der Begriff Bierpass ist Besuchern von Bierfestivals und Festen aber bekannt als Begriff für Verzehrkarten, also Gutscheine für Getränke, insbesondere eben Bier. Google spuckt bei Eingabe des Begriffs Bierpass entsprechend tausende von Ergebnissen der Veranstalter von solchen Festen und anderen Werbetreibenden zu diesem Kontext aus. Dennoch hat die Inhaberin der Marke „Bierpass“ einen meiner Mandanten und offenbar auch weitere Werbetreibende in diesem Bereich markenrechtlich abgemahnt, d.h. eine Markenverletzung wegen der Verwendung des Wortes „Bierpass“ auf eben solchen Papierwaren für entsprechende Verzehrkarten in Anspruch genommen. Betroffene haben daraufhin auch bereits am 29.06.2020 Löschungsantrag wegen Nichtigkeit wegen absoluter Schutzhindernisse beim DPMA gestellt. Es bleibt zu hoffen, daß das Markenamt dem Antrag nachkommt und der Inhaberin die Kosten auferlegt, damit solche unseriösen Vorgehensweisen nicht Schule machen.

Leider ist die Abmahnung mit „Bierpass“ kein Einzelfall für solches mißbräuchliches Vorgehen aus zu Unrecht registrierten Marken mit Gattungsbezeichnungen. Im Juni 2020 soll es angeblich (so derzeit ein kursierendes Gerücht) auch Abmahnungen des Inhabers der Wortmarke „Webinar“ gegeben haben, die seit 2003 registriert ist zum Aktenzeichen 303160438 für „Vermittlung von Handels- und Wirtschaftskontakten, auch über das Internet; Präsentation von Firmen im Internet und anderen Medien; Dienstleistungen einer Werbeagentur; Durchführung von Auktionen und Versteigerungen, auch im Internet; Vermietung von Werbeflächen, auch im Internet; Bereitstellen von Informationen im Internet; Bereitstellung von Plattformen im Internet; Bereitstellung von Portalen im Internet; Veranstaltung und Durchführung von Seminaren; Organisation und Veranstaltung von Konferenzen“. Ob der Inhaber Herr Mark Keller aus Kuala Lumpur, MY, tatsächlich gegen Webinaranbieter rechtlich vorgegangen ist und Abmahnungen versendet hat bzw. über seine anwaltlichen Vertreter hat verschicken lassen, ist noch nicht bestätigt, aber jedenfalls soweit Online-Kursanbieter das Wort „Webinar“ rein beschreibend verwenden, ist ohnehin nicht von einer markenmäßigen Nutzung und damit Markenverletzung auszugehen, weil der Begriff Webinar inzwischen rein beschreibend für Online-Seminare per Video und damit auch „Veranstaltung und Durchführung von Seminaren“ im Internet sein dürfte. Gerade in Zeiten der pandemiebedingten Kontaktbeschränkungen haben Webinare als Instrumente der Fortbildung stark zugenommen. Ein Antrag auf teilweise Löschung beim DPMA scheint damit also für Betroffene Abgemahnte das Mittel der Wahl zu sein.


Das Löschungs- und Nichtigkeitsverfahren im Fall des Bestehens von absoluten Schutzhindernissen ist jedoch nach § 50 Abs. 2 MarkenG erschwert, wenn eine Löschung erst nach Ablauf von 10 Jahren beantragt wird, also mit der Begründung dass der Begriff für die eingetragenen Dienstleistungen oder Waren rein beschreibend ist und das auch schon bei der Eintragung so war. Aber die Löschung kommt immer noch in Betracht kommt, wenn die Registrierung bösgläubig erfolgt oder wegen Verfall. Der liegt vor, wenn die Marke vom Markeninhaber in den letzten 5 Jahren nicht markenmäßig benutzt wird oder wenn wegen Untätigkeit des Markeninhabers der  Begriff zu einer Gattungsbezeichnung wurde. Beides dürfte jedoch für den Beispielfall, dass die Bierpass-Abmahnerin auch andere Biergärten oder Veranstalter von Festen wegen der Verwendung von Bierpässen als Verzehrkarten und der Werbung hiermit abmahnen sollte, vermutlich mit Aussicht auf Erfolg gut begründbar sein. Die Ausgabe von Verzehrkarten mit der Aufschrift „Bierpass“ ist hier meiner Meinung nach wegen der inzwischen rein beschreibenden Angabe keine markenmäßigige Benutzung. Im Fall Webinar liegen mir keine gesicherten Informationen vor – hier handelt es sich möglicherweise nur um ein Gerücht, dass der Markeninhaber solche Abmahnungen gegen Webinaranbieter hat versenden lassen. Falls ja, sollten die Abgemahnten keine Angst haben und keine selbst formulierten Unterlassungserklärungen abgeben, sondern sich zur Wehr setzen.

Fachanwältin für IT-Recht – Video-Beratung @RaStefanieHagendorff – mein kleiner Beitrag zur Corona-Krise

Video-Rechtsberatung: Persönliche Beratung in Zeiten der Corona-Krise

Online- Videokonferenzen nach vorheriger Vereinbarung. Derzeit sind leider viele unsichere Videokonferenztools beliebt (Stichwort „Zoombombing“) – ich habe mich nach besseren Alternativen umgeschaut. Auf Anfrage kann ich daher eine sichere Kommunikation per Webkonferenz via wire.com anbieten. Nach vorheriger Terminvereinbarung sende ich Ihnen per Mail eine Einladung zur Videokonferenz über diesen Dienst. Sie selbst benötigen als Gast keinen Account bei meinem Webkonferenz-Dienstleister wire.com und müssen auch sonst keine App installieren – ein Gerät mit Internetzugang z.B. Laptop mit funktionierender Kamera und Mikrofon reicht völlig aus. Wenn Sie jedoch ein Smartphone nutzen möchten, müssen Sie die App und eigenes Wire-Account auf dem Gerät installieren, das für Privatnutzer kostenlos ist.

Nützlich ist auch die Möglichkeit über die App Dokumente und Bildschirme zu teilen – natürlich in verschlüsselter Form – so können Sachverhalte und rechtliche Fragestellung besonders anschaulich besprochen werden.

Mein Dienstleister und Auftragsverarbeiter für die Videokonferenzen ist die Wire Swiss GmbH mit Sitz in der Schweiz, auf deren Datenschutzhinweise ich Bezug nehme. Die Videokonferenzen sind Ende-zu-Ende-verschlüsselt. Ihre Daten werden zum Zwecke der Bearbeitung Ihrer Anfrage bzw. bei Beauftragung zum Zwecke der mandatsbezogenen Beratung bei mir gespeichert, bis die Angelegenheit erledigt ist und meine anwaltlichen Aufbewahrungspflichten nach der BRAO enden.

Nähere Details zum Datenschutz wie immer in den Datenschutzhinweisen.

Bleiben Sie alle gesund. Senden Sie Ihre Anfrage mit Ihren Kontaktdaten per E-mail direkt an stefanie@kanzlei-hagendorff.de und Ihrer Nachricht
oder
über folgendes verschlüsselte Formular via WordPress – Auttomatic Inc. USA:

Unterlassungsurteil des OLG Naumburg vom 07.11.2019 gegen Apotheker: Handel auf Amazon ohne Einwilligung in Gesundheitsdatenverarbeitung für Werbezwecke ist wettbewerbswidrig

Auf eine in 2017 ausgesprochene Abmahnung eines Apothekers gegen einen Wettbewerber, der auf Amazon Medikamente anbot, erging nun ein Unterlassungsurteil des OLG Naumburg gegen den Amazon Händler wegen fehlender Einwilligung in Verarbeitung von Gesundheitsdaten für Werbezwecke
(Volltext als pdf: OLG Naumburg, Urteile vom 07.11.2019 -9 U 6/19 und 9 U 39/18).
Das OLG Naumburg hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO wettbewerbswidrig sei und Mitbewerbern ein Unterlassungsanspruch zustehe, wenn die verletzte Norm in der konkreten Fallkonstellation als Marktverhaltensregelung einzuordnen ist. Vorliegend ging es um die Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace. Das Gericht hat einen Wettbewerbsverstoß durch Verletzung von Art. 9 Abs. 1 DSGVO angenommen, weil der Händler die Bekanntheit der Amazon Plattform für Werbezwecke ausnutze und für sich ausnutze, dass Amazon auf Grundlage der Gesundheitsdaten weitere Produktvorschläge macht und somit Rückschlüsse auf die sensiblen Krankheitsdaten des Kunden oder seiner Familie geschlossen werde, ohne die nach Art. 9 Abs. 1 DSGVO ausdrückliche Einwilligung. Diese Verarbeitung von Gesundheitsdaten zu Werbezwecken müsse zudem nach dem Berufsrecht laut Entschließung der zuständigen Apothekerkammer ausdrücklich und schriftlich erfolgen.
Der Senat schließt sich damit nunmehr als 2. OLG der Auffassung des Hanseatischen OLG Hamburg an (OLG Hamburg, Urteil vom 25.10.2018 – 3 U66/17), wonach Datenschutzverstöße unter Umständen abmahnbar sein können durch Wettbewerber, und zwar müsse nach Inkrafttreten der DSGVO die jeweilige Norm der DSGVO, gegen die verstoßen wurde, konkret darauf überprüft werden, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat (OLG Hamburg a.a.O. Rn. 72 juris). Dies war hier bei Art. 9 Abs.1 DSGVO zu bejahen, wie das OLG sorgfältig ausgeführt hat.
Ferner hat unter IV. der Entscheidung das OLG Naumburg aber auch entschieden, daß ein Schadenersatzanspruch hier mangels Verschulden nicht zuerkannt wird. Ein möglicher Schadenersatzanspruch gemäß § 9 UWG und ein vorbereitender Auskunftsanspruch setzen ein Verschulden voraus. Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigte der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

#Medienrecht #Bewertungen im Internet – hier: Google

Ein Gasthaus erhielt auf Google Maps eine schlechte 1-Sterne Bewertung – ohne Begründung des Nutzers. Das Gasthaus beschwerte sich erfolglos bei Google. Nun hat auf Klage des Gasthauses das Landgericht Hamburg mit Urteil vom 12.01.2018 dem Gasthaus Recht gegeben und Google verurteilt, es zu unterlassen, diese Bewertung zu verbreiten (sprich: Google muss die Bewertung des Gasthauses entfernen). Grund hierfür sei, dass die negative Bewertung ohne Begleittext keinerlei tatsächliche Anknpfungspunkte habe und der Suchmaschinendienst daher spätestens bei der Meldung des Gasthauses mit der URL der beanstandeten Bewertung seine Prüfpflichten verletzt hat. Ohne tatsächliche Anhaltspunkte, dass es ein Kunde des Gasthauses war, der hier bewertet und ohne Begründung ist die Veröffentlichung nicht gerechtfertigt, da nur Kunden des Gasthauses, die aufgrund einer eigenen Kundenerfahrung bewerten, sich auf die Meinungsfreiheit nach Art. 5 GG berufen können. Das Gasthaus und sein guter Ruf wird daher ohne eine Begründung verletzt. Google darf die negative Bewertung nicht ohne eine Begründung zulassen und hätte das sofort erkennen müssen. Die Bewertung hatte keinen Begleittext und war daher ohne weiteres für Google-Mitarbeiter als rechtswidrig erkennbar. Google und Facebook sollten sich also überlegen, ob es überhaupt zulässig ist, 1-6 Sterne Bewertungen über Unternehmen zu ermöglichen – ohne eine Begründung. Die Frage wird wohl zu verneinen sein und Entscheidungen wie diese werden hoffentlich kurz über lang dazu führen, daß die Anbieter Ihre Dienste anpassen, um solchen Mißbrauch auszuschließen oder zumindest nach Meldung umgehend tätig werden.

Wenn Sie ebenfalls Probleme mit einer negativen Bewertung haben, die nicht irgendwie nachvollziehbar begründet ist oder offensichtlich von keinem Kunden stammt (Fake-Bewertungen), unterstütze ich Sie als Fachanwältin für IT-Recht gerne. Kontakt Kanzlei Hagendorff hier.

Jameda muß Arztprofil löschen – BGH Urteil vom 20. Februar 2018 – VI ZR 30/17

Der BGH hat laut Mitteilung der Pressestelle heute ein weitreichendes Urteil für Bewertungsportale und Werbung im Internet gefällt: Das Arztsuche- und Bewertungsportal muß alle Daten der Ärzte, die nicht gelistet werden wollen, löschen. Warum? Nach den bisherigen Informationen ist die wesentliche Begründung, dass Jameda die Neutralität bei der Listung der Bewertung verlassen habe und könne sich für diese Bevorzugung nicht mehr auf die Meinungsfreiheit ihrer User berufen. Denn Jameda bevorzugt(e) jene Ärzte, die für die Werbung auf Jameda bezahlen in einer Gestaltungsweise, die nicht für den User hinreichend als Werbeanzeige erkennbar ist. Ähnliche Probleme bestehen auch mit anderen Bewertungsportalen und Plattformen im Internet, die Bewertungen anonymer User zulassen, sodaß vermutlich nunmehr auch Hotels, Gastronomie, Handwerker, Anwälte und andere betroffene Berufsgruppen gegen Portalbetreiber vorgehen könnten.

Im einzelnen heißt es laut Pressemitteilung 34/18:

„…Nach § 35 Abs. 2 Satz 2 Nr. 1 BDSG sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist. Dies war vorliegend der Fall.

Der Senat hat mit Urteil vom 23. September 2014 – VI ZR 358/13 (BGHZ 202, 242) für das von der Beklagten betriebene Bewertungsportal bereits im Grundsatz entschieden, dass eine Speicherung der personenbezogenen Daten mit eine Bewertung der Ärzte durch Patienten zulässig ist.

Der vorliegende Fall unterscheidet sich vom damaligen in einem entscheidenden Punkt. Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als „neutraler“ Informationsmittler. Während sie bei den nichtzahlenden Ärzten dem ein Arztprofil aufsuchenden Internetnutzer die „Basisdaten“ nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens „Anzeige“ Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres „Premium“-Kunden – ohne dies dort dem Internetnutzer hinreichend offenzulegen – solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als „neutraler“ Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit (Art. 5 Abs. 1 Satz 1 GG, Art. 10 EMRK) gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten (Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK) auch nur mit geringerem Gewicht geltend machen. Das führt hier zu einem Überwiegen der Grundrechtsposition der Klägerin, so dass ihr ein „schutzwürdiges Interesse an dem Ausschluss der Speicherung“ ihrer Daten (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG) zuzubilligen ist.

BGH zur Reichweite eines Unterlassungstitels wegen Markenverletzung

Bevor eine Unterlassungserklärung unterzeichnet wird oder wenn im Wege der einstweiligen Verfügung oder durch ein gerichtliches Unterlassungsurteil vorliegt, ist es wichtig für den Abgemahnten bzw. zur Unterlassung verurteilten, was er tun muß, um die Unterlassungserklärung oder den Unterlassungstitel einzuhalten und eine Vertragsstrafe zu vermeiden.

Der BGH hat mit Urteil vom Oktober 2017 hatte über die Reichweite des Unterlassungstitels zu entscheiden, den ein Händler betraf, der den Vertrieb von Piraterieprodukten mit nicht lizensierten Aufdrucken einer fremden Marke betraf. Der BGH hat mit Urteil Az.I ZB 96/16 bestätigt, daß der Händler auch zum Rückruf der bereits unerlaubt in den Handel gekommenen Produkte verpflichtet war. Der Unterlassungstitel umfasst damit nicht nur die Pflicht, den weiteren Vertrieb zu stoppen, sondern auch aktiv zu werden und die Piraterieprodukte bei den Kunden zurückzufordern.

Benötigen Sie Beratung zu einer Abmahnung wegen Markenverletzung? Kontaktieren Sie mich, ich berate Sie gerne, damit Sie teure Fehler zu vermeiden.

#Widerrufsrecht bei Verträgen über individuelle Abzüge mit Luftbildaufnahmen

Das Oberlandesgericht Brandenburg hat am 14.11.2017 entschieden, daß Verträge mit Privatleuten, die außerhalb der Geschäftsräume des Anbieters über Abzüge von Luftbildaufnahmen ihres Hauses zustandegekommen waren, ein Widerrufsrecht nach § 355 BGB haben. Werden sie dazu falsch über ihr Widerrufsrecht belehrt, wird die 14 Tagesfrist nicht in Gang gesetzt, sondern ist der Vertrag 1 Jahr und 2 Wochen lang ab Erhalt der Ware widerruflich. Der Anbieter war der Meinung, das Widerrufsrecht sei hier nach § 312g Abs. 2 Nr. 1 BGB  ausgeschlossen und hatte Widerrufserklärungen der in ihrem Hause überrumpelten Hausbesitzer nicht akzeptiert. Dagegen ging eine Verbraucherzentrale mit Abmahnung und Unterlassungsklage vor. Das Oberlandesgericht hat darauf hingewiesen, daß die Luftbildaufnahmen der Häuser der Käufer ja gerade bereits vorher gefertigt und die nach Art und Gestaltung bestellten Abzüge der Käufer nur als unwesentliche Nebenleistung erscheine, die keinen besonderen Schutz des Anbieters gegenüber dem Verbraucher rechtfertige wie etwa ein Verkäufer, der eine Ware extra nach individuellen Wünschen für den Käufer anfertige.

Das Urteil Brandenburgisches Oberlandesgericht, Urteil vom 14. November 2017 – 6 U 12/16 – ist noch nicht rechtskräftig, da ein Revisionsverfahren beim Bundesgerichtshof anhängig ist (BGH: VIII ZR 277/17).