Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Uncategorized Verbraucherschutz

EUGH klärt Streitfrage zur #DSGVO Auskunftspflicht über die Identität der Empfänger

Mit dem Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 12.01.2023, C 154/21 (Österreichische Post AG) ist endlich eine der zentralen Streitpunkte zur DSGVO-Auskunftspflicht geklärt, nämlich dass der Verantwortliche über den Namen und Identität der Serviceprovider und sonstigen Empfänger der personenbezogenen Daten seines Mitarbeiters oder Kunden informieren muss. Das war bisher bei zahlreichen meiner Mandate einer der zentralen Streitpunkte, die oft gerade auch nach Datenpannen vor Gericht gelandet sind, weil die Verantwortlichen hier eine klare Auskunft verweigert haben. Ein Beispiel ist bei mir (unter vielen) der immer noch anhängige Rechtsstreit vor dem OLG Frankfurt, bei dem Mastercard Europe SA nach der Datenpanne in 2019 bei Mastercard Priceless Specials keine korrekte Auskunft über die Identität des Serviceproviders erteilt hat und erst als wir diese durch intensive überobligationsmäßige Recherchen in II. Instanz herausgefunden haben, den Serviceprovider aus Österreich und UK mitverklagt haben, der Kläger in dem Punkt Klarheit erlangt hat; hier hat also sehr mühsam und viel zu spät der Kläger erst aufgrund des weiteren Vortrags in den Berufungserwiderungen hierüber Klarheit erlangt und hat die Verletzung der Auskunftspflicht den Schaden noch vergrößert. Wegen des Schadenersatzes dafür wird noch auf die Entscheidung zu warten sein. Das Thema ist in vielen Branchen sehr relevant, gerade auch in der Versicherungswirtschaft, Finanzwesen, Gesundheitsbereich, e-Learning, Forschung und Entwicklung sowie öffentliche Verwaltung.

Wie der EuGH klargestellt hat, ist der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden sollen, verpflichtet, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen.
Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen.
Dies gilt ebenfalls, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Grund ist, dass der Kerngehalt der informationellen Selbstbestimmung verletzt wird und ein Kontrollverlust einsetzt, wenn der Verantwortliche die Identität der Auftragsverarbeiter und Geschäftspartner, an die er übermittelt, geheimhalten darf. Der Auftragsverarbeiter kann ja vom Betroffenen z.B. bei einer schuldhaften Datenpanne auch als Gesamtschuldner in Anspruch genommen werden. Soweit der Wortlaut von Art. 12, 15 DSGVO scheinbar ein Wahlrecht einräumt, sind damit nur die Fälle gemeint, in denen die Identität für den Verantwortlichen selbst nicht ermittelbar ist – etwa nach einer Datenpanne oder andere Ausnahmefälle, in denen wegen der Menge das Auskunftsersuchen des Betroffenen sinnlos und exzessiv ist.

Praxistipp: Unternehmen sollten ihre Praxis bei Auskunftsersuchen und die Datenschutzerklärungen hierzu ergänzen. Betroffene können wegen der Verletzung dieser Pflicht ggfs. Schadenersatzansprüche geltend machen und sich bei Aufsichtsbehörden beschweren (beides unabhängig voneinander wie der EUGH ebenfalls am 12.1.2023 in einem weiteren Urteil klargestellt hat). Bei Rückfragen dazu stehe ich gerne zur Verfügung, nehmen Sie gerne Kontakt zu mir auf.
Den Volltext des EUGH Urteils gibt es hier: Den https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=186062

Kategorien
Blogroll Datenschutzrecht Internetrecht IT-Strafrecht Schadenersatzrecht Schadensrecht Uncategorized

Ermittlungen der Generalstaatsanwaltschaft Berlin und Arrest der Einnahmen in Sachen Abmahnwelle Google Fonts

Die Generalstaatsanwaltschaft Berlin bei dem Anwalt und dessen Mandant des angeblichen Vereins „IG Datenschutz“, die mit serienmäßigen Abmahnschreiben in diesem Jahr für viel Aufregung gesorgt haben, Durchsuchungen wegen des Verdachts des gewerblichen Betruges durchgeführt und Beweise gesichert. Hierbei hat die Generalstaatsanwaltschaft Einnahmen aus dem vermutlichen Betrug in Höhe von 346.000 Euro im Wege des Arrests nach der Strafprozessordnung sichergestellt.

Zwar war der dynamische Einsatz von Google Fonts auf vielen Seiten tatsächlich ein Datenschutzverstoß, aber wenn wie hier die Abmahner die Seiten bewusst mit dem Ziel aufsuchen oder mittels eines Webcrawlers scannen lassen, um hiermit Einnahmen aus den serienmäßigen Zahlungsaufforderungen zu generieren, bestehen die behaupteten Unterlassungs- und Schadenersatzansprüche nicht, sondern handelt es sich um Betrug bzw. bei denen, die nichts gezahlt haben um versuchten Betrug und ferner zivilrechtlich um einen Eingriff in den Gewerbebetrieb, der seinerseits schadenersatzpflichtig ist. Hier war mutmasslich „der Datenschutz“ wie leider so oft offenbar von diesen Abmahnern nur mißbraucht worden, was ich als Datenschützerin sehr bedaure. Dies ist also nicht mit dem Thema zu verwechseln, dass Webseitenbetreiber sich ihre Dienstleister gut aussuchen sollten und diese ausreichend prüfen und kontrollieren sollten, um solche vermeidbaren Datenschutzverstöße zu vermeiden. Letztlich wünschen sich auch Ihre Kunden vertrauenswürdige Anbieter, die mit ihren personenbezogenen Daten verantwortlich und rechtskonform umgehen. Es ist also wichtig, dass Betrüger und unzuverlässige Dienstleister keinen Erfolg haben und zur Verantwortung gezogen werden.

Pünktlich zu Weihnachten sind damit die Gelder aus der Abmahnwelle noch gesichert worden :-). Nähere Details finden sich in der Pressemeldung der Generalstaatsanwaltschaft.

Kategorien
Blogroll Datenschutzrecht Internetrecht Schadenersatzrecht Schadensrecht

Handlungsempfehlungen aus Anlass der DSGVO-Abmahnwelle wegen Google Fonts

Handlungsempfehlungen zum richtigen Umgang mit den #Abmahnungen wegen Google #Webfonts #DSGVO #Webseitenchecks #Abmahnwelle

Hintergrund: Webfonts sind Schriften, die für Webseiten entweder lokal auf den eigenen Webservern gespeichert sind oder dynamisch bei Google, Adobe oder anderen Anbietern kostenlos abgerufen werden können. Letzteres ist eindeutig nicht vereinbar mit der DSGVO und § 25 TTDSG (dem deutschen Datenschutzgesetz für Webseitenbetreiber), weil dann beim Aufruf der Seite die Google Schriften von den dortigen Servern nachgeladen werden und hiermit personenbezogene Nutzerdaten unbefugt an Google gesendet werden. Seit Juni 2022 versenden einige Abmahner mit oder ohne Anwalt Aufforderungsschreiben an Firmen und Vereine, die eine Webseite betreiben und Google Dienste ohne Zustimmung des Nutzers bei Aufruf der Seite nachladen. Auslöser war ein Urteil des Landgerichts München, das einem Nutzer 100 Euro Schadenersatz nach Art. 82 DSGVO zugesprochen hat wegen datenschutzrechtswidrigem Nachladen von Google Diensten wie Webfonts von den Google Servern bei Aufruf der Webseite des beklagten Unternehmens. Dadurch werden Nutzerdaten wie die IP-Adresse und weitere Profildaten an die Google Server in die USA zum Abruf der dort gespeicherten Schriften nachgeladen. Dies ist nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG nicht zulässig, weil diese dynamische Einbindung der Schriften nicht technisch notwendig ist und Google zu großen Mengen an Daten darüber liefert, welche Nutzer wann welche Seiten im Internet aufgerufen haben. Inzwischen ist bekannt geworden, dass die Abmahner auch vor Gericht Widerspruch gegen eine einstweilige Verfügung des Landgerichts Baden Baden eingelegt haben und vor dem Landgericht Mosbach ein Klage auf Auskunft, Unterlassung und Schadenersatz eingereicht haben. Es ist also ab kommenden Jahr mit weiteren Gerichtsverfahren zu rechnen.

Sind die Abmahnungen berechtigt?:

Die meisten sind es nicht, aber eine verbindliche Einschätzung kann ich nur in Ihrem individuellen Einzelfall treffen. Bei den massenweise versendeten Abmahnungen einzelner Auftraggeber ist ein redlicher Anspruch jedenfalls hinsichtlich des Schadenersatzbegehrens nicht anzunehmen. [ update 22.12.2022: Inzwischen hat die Generalstaatsanwaltschaft Berlin wegen des Verdachts des Betruges im Falle der Abmahnwelle des Berliner Anwaltes L. zu Google Fonts im Auftrag der „IG Datenschutz“ Hausdurchsuchungen durchgeführt und 346.000 Euro sichergestellt. Siehe Beitrag dazu hier ]

Aber der Nachweis des vorsätzlichen Rechtsmissbrauchs ist erfahrungsgemäß vor Gericht nicht einfach. Die Gerichte haben bei vergangenen Abmahnwellen oft argumentiert, viele Rechtsverletzungen erfordern viele Abmahnungen und die Pflicht zur Einhaltung lässt sich nicht wegdiskutieren. Zwar sind Abmahnungen dieser Art dann rechtsmissbräuchlich, wenn die Nutzer gezielt mit einem Webcrawler Webseiten aufsuchen, um die Betreiber zur Zahlung von Schadenersatz aufzufordern. Zeitungsartikel mit Berichten über #Abmahnwellen sind jedoch vor Gericht kein Beweismittel für die automatisierten Scans und die massenweise Versendung durch die gleiche Person. Zudem können Verbraucher ihre Ansprüche an Inkassodienstleister abtreten, damit diese gebündelt Schadenersatzforderungen durchsetzen können – das hat der Bundesgerichtshof zu wenigermiete.de und anläßlich anderer Sammelklagen in Verbrauchersachen entschieden.

Wenn aber ein einzelner Betroffener gezielt in gewerblichem Umfang massenweise Webseiten aufsuchen lässt, nur um den Schadenersatz als Einnahmen massenweise einzufordern, wird ein Rechtsmißbrauch anzunehmen sein. Denn dann geht es den Abmahnern nicht um die Wahrnehmung ihrer Rechte auf informationelle Selbstbestimmung nach der DSGVO, sondern um ein Geschäftsmodell zur Generierung von Einnahmen. Dies ist nach § 242 BGB rechtsmißbräuchlich und dürfte einen rechtswidrigen Eingriff in den Gewerbebetrieb des Seitenbetreibers sein. Deshalb sollten Sie den geforderten Schadenersatz – selbst wenn es „nur“ 170 Euro sind – nicht an die abmahnende Anwaltskanzlei bezahlen, sondern helfen, Beweise für die massenhafte Versendung durch einen Webcrawler zu sichern. Lassen Sie sich durch diese Bagatellbeträge nicht in die Irre führen, denn die Abmahner sammeln wahrscheinlich massenweise Gelder ein und werden wahrscheinlich auch klagen. Das haben andere Abmahnwellen nach meiner anwaltlichen Erfahrung im Bereich Urheberrecht oder Wettbewerbsrecht in den letzten Jahren gezeigt.

Handlungsempfehlungen:

1. Werfen Sie das Abmahnschreiben mit Umschlag und den Anlagen nicht weg, sondern geben Sie es lieber mir. Die Beweise für die massenweise Versendung sollten gesammelt werden, weil eine Klagewelle in den nächsten Jahren wahrscheinlich ist. Gerne können Sie mir mißbräuchliche Abmahnschreiben zum Sammeln der Beweise des Rechtsmißbrauchs der Abmahner vorsorglich für den Fall einer späteren Klage kostenlos an info@it-fachanwaeltin.de oder an meine Kanzleiadresse zusenden. Meine Postadresse finden Sie hier Kontakt Kanzlei Stefanie Hagendorff. Ich bin anwaltlich zur Verschwiegenheit verpflichtet und verwende die Daten nur, um anhand der anonymisierten Daten für den Fall einer Klagewelle vor Gericht für die späteren Beklagten Parteien mit Aussicht auf Erfolg nachweisen zu können, ob der Kläger einen Webcrawler verwendet hat und deshalb mißbräuchlich vorgegangen ist.

2. Falls die Schreiben auch Auskunftsverlangen enthalten, ist Vorsicht geboten. Dann ist anwaltlicher Rat sinnvoll. Hierzu berate ich Sie gerne, denn ein falscher Umgang mit den Auskunftsersuchen kann das Risiko einer Schadenersatzklage unnötig erhöhen.

3. Lassen Sie Ihre Webseite von einem geeigneten IT-Sicherheitsdienstleister überprüfen und scannen. Senden Sie die Prüfberichte Ihrem Webdesigner mit der Bitte, diese Datenschutzverstöße zu beheben. Falls hoffentlich kein Verstoss feststellbar ist, dokumentieren Sie auch diese Scans zu Ihrer Entlastung (Stichwort Beweissicherung und Rechenschaftspflicht) und archivieren Sie diese in Ihrem Ordner für das Datenschutzmanagement. Die regelmäßige Kontrolle ist auch unter IT-Sicherheitsaspekten in Ihrem eigenen Interesse. Fragen Sie Ihre Webagentur oder wenden sich an geeignete IT-Dienstleister, die professionelle IT-Schwachstellenanalysen und Google Webfont Scans einschließlich aller Unterseiten erstellen und Hilfe bei der Analyse etwaigen Handlungsbedarfs und Fehlerbeschreibung für den Fachmann diesbezüglich anbieten, z.B. locaterisk.com, https://sicher3.de/ https://54gradsoftware.de/blog/google-fonts-checker oder https://dr-dsgvo.de/webseiten-check/

4. Falls die gegnerische Anwaltskanzlei oder ein Betroffener eine DSGVO-Auskunft verlangt und behauptet, der Auftraggeber habe zu einem bestimmten Zeitpunkt mit einer bestimmten IP-Adresse Ihre Webseite aufgerufen, können Sie auf die hoffentlich korrekte Datenschutzerklärung verweisen, da Sie den Nutzer ja in der Regel nicht identifizieren können und daher keine individuelle Auskunft möglich ist bzw. nur eine sogenannte Negativauskunft. Achten Sie darauf, dass Logfiles über die Zugriffe auf Ihre Webseite nur solange gespeichert werden wie nötig; das sind nicht 30 Tage oder länger, sondern maximal 7 Tage. Logfiles mit den Protokolldaten, die bei Aufruf der Webseite kurz gespeichert werden, um den Dienst zu erbringen und aus Gründen der IT-Sicherheit und Funktionsfähigkeit Fehler der Website zu analysieren und ggfs. abzuwehren, dürfen nur eine kurze Zeit für diese Zwecke gespeichert werden und müssen danach automatisch gelöscht werden. Anderes gilt nur, wenn Vorfälle dokumentiert werden und ausgewertet werden müssen, damit keine unbemerkten Angreifer in Ihre IT-Systeme eindringen und Accounts übernehmen.

5. Bitte keine Checkboxen mit einer „Einwilligung in Datenschutzbestimmungen“. Häufig ist auch die Datenschutzerklärung nicht korrekt oder es werden fälschlicherweise Checkboxen zur „Einwilligung“ in die „Datenschutzbestimmungen“ bei Kontaktformularen verwendet. Das ist nicht ratsam und sollten Sie ändern. Die Datenschutzhinweise werden sonst Bestandteil von AGB und das ist für Sie als Unternehmen in dem Fall nicht gut. Denn die Datenschutzhinweise müssen ohne Zustimmung der Nutzer jeweils bei Bedarf aktualisiert werden und stellen nur Pflichtinformationen dar, keine AGB.

6. Ohne Zustimmung aktivierte Cookies und falsch eingebundene Cookie-Banner: Klar, die Cookie-Banner sind nervig. Aber Jammern hilft nichts. Entgegen der insoweit eindeutigen Rechtslage nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG werden auf vielen Webseiten in der Datenschutzerklärung bei Aufruf der Webseite Cookies auf Basis einer Interessenabwägung gesetzt, ohne danach zu unterscheiden, ob sie technisch unbedingt notwendig sind oder nur für statistische und Marketingzwecke oder Mediendienste erwünscht. Der Nutzer muss jedoch die Wahl haben und eine informierte Zustimmung in Marketing-Cookies zu erteilen oder die Möglichkeit haben, diese abzulehnen oder Details abzurufen und auch die Änderungen seiner Zustimmung zu speichern. Nach insoweit gefestigter höchstrichterlicher Rechtsprechung sind die nicht unbedingt notwendigen Cookies oder sonstigen Tracker nur mit einer freiwilligen, informierten vorherigen Zustimmung des Nutzers erlaubt.

Fazit: Typische Fehler dieser Art führen zu Abmahnungen und dies wird künftig auch zunehmen, daher sollten Sie die Verstöße auf Ihrer Webseite beheben und sich auf mögliche Klagewellen vorbereiten. Nach einem aktuellen Urteil des Landgerichts München kann jeder Nutzer (also nicht ein Webcrawler, der im Auftrag mißbräuchlicher Abmahner, die Webseiten scannt nur um Schadenersatzansprüche zu „generieren“) 100 Euro immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO vom Webseitenbetreiber verlangen. Die Tendenz der anderen Gerichte ist noch nicht eindeutig, aber immer mehr Gerichte sprechen immateriellen Schadenersatz zu, um die effektive Durchsetzung der Datenschutzvorschriften im Interesse der Betroffenen zu erreichen. Das Urteil des Landgerichts München hat Serienabmahnungen wie aktuell z.B. diejenigen des Rechtsanwalt Kilian Lenard aus Berlin im Auftrag von M. I. aus H. und anderer Abmahner ausgelöst, die voraussichtlich nach der Taktik der Abmahner auch zu Klagen führen wird. Auch wenn es lästig ist, also nicht einfach nur in die Tonne treten, sondern sich auf künftige Abmahnwellen oder Klagen vorbereiten und der Community helfen mit gutem Austausch der Informationen.

7. Oft finden Betroffene oder Abmahner noch weitere Fehler in der Datenschutzerklärung z.B. das Fehlen des Hinweises auf das Recht des Betroffenen, bei einem Datenschutzverstoß eine Beschwerde nach Art. 12 DSGVO bei einer Aufsichtsbehörde nach Art. 77 DSGVO einzureichen.

8. Gewerbetreibende oder Freiberufler mit zulassungspflichtigen Berufen, machen auch häufig Fehler bei den Pflichtangaben im Impressum. Nach § 5 Abs. 1 Nr. 5 TMG müssen bei Berufen, die wie z.B. bei Heilpraktikern oder einem Elektromeister entsprechende Dienstleistungen nur mit einem Befähigungsnachweis einer gesetzlich zuständigen Stelle wie etwa Gesundheitsamt oder Handwerkskammer angeboten werden dürfen, weitere Angaben machen. Es ist die für Sie zuständige Aufsichtsbehörde oder Stelle anzugeben, also etwa Handwerkskammer oder Innung oder Gesundheitsamt mit den Kontaktdaten, die gesetzliche Berufsbezeichnung und der Staat, in dem die Berufsbezeichnung verliehen worden ist und die Bezeichnung der berufsrechtlichen Regelungen und Links zu den Vorschriften, denen der Anbieter für diesen Beruf unterliegt. https://www.gesetze-im-internet.de/tmg/__5.html

Ich hoffe, die Tipps helfen Ihnen weiter. Wenn ich Ihnen mit einem rechtlichen Webseitencheck helfen soll (DSGVO, Urheber- und Markenrecht, Wettbewerbsrecht…), Vertragsprüfungen, Haftung der Webagentur oder Sie weitere Fragen zum Thema haben, schreiben Sie mir gerne dazu eine Nachricht oder sprechen Sie mich an. Herzliche Grüße Stefanie Hagendorff, Rechtsanwältin und Fachanwältin für IT-Recht Kontakt

Kategorien
Blogroll Digitale Produkte Schadenersatzrecht Schadensrecht Vertragsrecht

Haftung eines B2B-Software-as-a-Service-Anbieters für unzureichende Aufklärung über Anforderungen

Die Anbieter von Software-as-a-Service-Business-Lösungen haben das Bestreben, Lizenzverträge nur langfristig zu vergeben und dies ist anders als im Privatkundenbereich im B2B Bereich meist eine Laufzeit über viele Jahre. Umso ärgerlicher ist es für den Kunden, wenn sich nach Abschluss des Vertrages herausstellt, dass erwartbare Funktionen bei ihm nicht funktionieren. Beispielsweise weil die Vernetzung mit weiteren vorhandenen Systemen einer ERP Software nicht erfolgreich hergestellt werden kann und die hierfür nötigen Schnittstellen erst noch programmiert werden müssten oder mangels Mithilfe von Drittanbietern nicht erstellt werden können. Auch wenn etwa wegen individueller Besonderheiten und Anforderungen des Geschäfts des Kunden wesentliche Funktionen der Software gar nicht genutzt werden können.

Schadenersatz eines IT-Anbieters wegen Verletzung der vorvertraglichen Aufklärungspflichten über konkreten Anforderungen des Kunden
Das OLG München hat nun in einem Beschluss vom 08.08.2022 Az. 20 U 3236/22 (wie Rechtsanwalt Thomas Stadler, Freising, Bayern, Deutschland berichtet) entschieden, dass der Anbieter einer Buchungssoftware für Hotels von sich aus klären muss, welcher Art der Betrieb seines Kunden ist und welche Anforderungen sein Geschäft an die zu verwendende Buchungssoftware erfüllen soll. Dies gilt jedenfalls dann, wenn anhand weniger Grundfragen – unabhängig von einem Pflichtenheft – diese Anforderungen zu klären gewesen wären. Im Streitfall hatte der Anbieter die Buchungssoftware vermietet, jedoch nicht vor Abschluss des Vertrages darüber aufgeklärt, dass die Software nur jeweils tageweise Buchungen und Rechnungen ermöglicht, keine monatsweise Vermietung vorgesehen ist und die monatsweise Buchung und steuerlich einwandfreie Abrechnung mit Mehrwertsteuer unabhängig von der Anzahl der Anzahl der Tage des jeweiligen Monats diese Buchungssoftware nicht ermöglichte.

Die Verletzung der Aufklärungspflichten machte den Anbieter schadenersatzpflichtig wegen vorvertraglichem Verschuldens nach §§ 280, 311 Abs. 2 BGB auf Rückgängigmachung des Vertrages und Rückerstattung der bereits geleisteten Zahlung, weil bei pflichtgemäßer Aufklärung der Kunde den Vertrag gar nicht abgeschlossen hätte.

Bauprozessoptimierungssoftware ohne konkret benötigte Schnittstellen.
Ähnlich ging es einer Baufirma auch in einem mir vorliegenden Fall, in dem ein deutscher Spezialanbieter für eine Prozessoptimierung der Planung und Logistik für Straßenbaufirmen, die die Vernetzung der Beton- und Asphaltmischanlagen mit Wiegesystem sowie den automatischen Datenaustausch der Geräte zur optimierten Planung in Echtzeit mit einem Software-as-a-Service-System anbot. Obwohl die Software laut Anbieter bei über 200 Mischanlagen funktioniert, stellte sich nach Vertragsschluss heraus, dass der Anbieter für die konkreten Mischanlagen des Kunden und das Wiegesystem keine Schnittstellen bereitstellen konnte und die für die Prozessoptimierung benötigte Vernetzung der Anlagen nicht funktioniert. Des Weiteren stellten sich auch die Werbeaussagen eines automatischen digitalen Lieferscheins, das der Bauleiter „vor Ort“ auf Knopfdruck erstellen lassen kann, als irreführend heraus. In diesem Fall kam es anschließend ebenfalls zum Streit über die Wirksamkeit der fristlosen Kündigung und über die gegenseitigen Zahlungs- oder Schadenersatzansprüche, der nun beide Unternehmen schwer belastet und über den es noch zu keiner Einigung oder gerichtlichen Entscheidung kam.

#Softwarerecht #Haftung des IT-Anbieters #Schadenersatzpflicht wegen fehlender vorvertraglicher Aufklärung über Anforderungen #Digitale Produkte

Praxistipp für die IT-Beschaffung Achten Sie darauf, die wesentlichen Erwartungen an die Funktionen der Software und deren Systemspezifikationen vor Vertragsschluss mit den konkreten Anforderungen des Kunden abzugleichen und dies im Vertrag oder einer Anlage, die zum Bestandteil des Vertrags gemacht wird, ausdrücklich zu dokumentieren. Soweit diese Anforderungen noch nicht geklärt sind und der Anbieter hierbei nicht hilft, fragen Sie nach einem Beratungsvertrag, Vorvertrag oder Letter-of-Intend vor Abschluss des Hauptvertrages. Lassen Sie besser unternehmenskritische IT-Verträge vor Abschluss fachanwaltlich prüfen.

Wenn Sie anwaltliche Hilfe bei einer ähnlichen Fallgestaltung haben und z.B. eine Vertragsprüfung benötigen, schreiben Sie mir gerne eine Nachricht.

Kategorien
Blogroll Datenschutzrecht Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

OLG Karlsruhe: Krankenhaus darf AWS Hostingdienstleistungen mit Servern in Frankfurt einsetzen

AWS-Cloud der luxemburgischen Tochter kann DSGVO-konform mit vertraglichen Zusage und Servern in Frankfurt eingesetzt werden
Mit Beschluss vom 7.9.2022 hat das OLG Karlsruhe die umstrittene Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 aufgehoben, mit der ein Wettbewerber erfolgreich den Ausschluss eines Anbieters mit AWS-Cloud wegen Verstoß gegen die DSGVO in einem Vergabeverfahren eines öffentlich-rechtlichen Krankenhauses erwirkt hatte. Laut Vorinstanz (Vergabekammer Baden-Württemberg 13.7.2022, – 1 VK 23/22) war das Angebot mit AWS-Cloudservices trotz Vertrag mit der luxemburgischen Tochter und Serverstandort Frankfurt am Main nicht vereinbar mit der DSGVO, weil das latente Risiko eines Zugriffs der US-amerikanischen Mutter bzw. der US-Behörden auf die sensiblen Patientendaten bestehe, und zwar auch dann, wenn wie hier die Daten in einer europäischen Serverumgebung der luxemburgischen Tochtergesellschaft des US-amerikanischen Amazon-Web-Services-AWS-Konzerns gespeichert sind. Laut Vorinstanz sei der Serverstandort Frankfurt am Main unbeachtlich, da allein die latente Möglichkeit des Zugriffs der US-Behörden oder US-Muttergesellschaft Amazon Web Services aufgrund der US-amerikanischen Gesetzeslage ein erhebliches latentes Risiko einer unzulässigen Übermittlung der Patientendaten in die USA darstelle. Die USA ist datenschutzrechtlich ein unsicheres Drittland, in dem europäische Patienten praktisch keinen Rechtsschutz wegen Verletzung ihrer Datenschutz- und Persönlichkeitsrechte haben. Diese umstrittene Entscheidung hatte Aufsehen erregt, da es ja nur um das latente Risiko einer Übermittlung oder Zugriff aus den USA ging, die Server in Frankfurt/Main in einem sicheren Rechenzentrum stehen und AWS vertraglich zusichert, dass kein Zugriff aus Drittländern wie den USA gewährt wird. Nun hat laut Pressemeldung des Gerichts das OLG Karlsruhe mit Beschluss vom 7.9.2022, Aktenzeichen 15 Verg8/22 diese Entscheidung wieder aufgehoben. Die Entscheidung ist rechtskräftig.

Auftraggeber kann sich auf Zusagen verlassen, solange keine anderen Anhaltspunkte bekannt sind
Laut Pressemeldung ist der wesentliche Grund, dass die Krankenhausgesellschaft sich nach Ansicht des Senats durchaus auf die verbindlichen vertraglichen Zusagen des Anbieters verlassen dürfe, dass die Daten allein auf den Servern in Frankfurt am Main der luxemburgischen Tochter von AWS gespeichert bleibe und hierfür auch technische und organisatorische Maßnahmen getroffen worden seien. Erst wenn es tatsächliche Anhaltspunkte dafür gebe, dass die vertraglich gemachten Zusagen insofern nicht eingehalten werden, gelte anderes.

Praxishinweis
Damit hat das OLG Karlsruhe ein für die Praxis wichtige Entscheidung getroffen, wonach unter Umständen auch europäische Tochtergesellschaften, die entsprechende vertragliche und technisch-organisatorische Maßnahmen zum Schutz vor unbefugten Zugriffen getroffen haben, einsetzbar sind. Dies ist für die Praxis in vielen Bereichen wichtig, da gerade im Bereich von Hosting und sonstigen Clouddiensten oft US-amerikanische Unternehmen verbundene Unternehmen der europäischen Anbieter sind und auf diese Weise in vielen Bereichen viele Anbieter für deutsche oder europäische Anwenderunternehmen nicht DSGVO-konform einsetzbar wären, wenn sensible Kunden- oder Mitarbeiterdaten im Spiel sind. update: Die Entscheidung liegt inzwisschen im Volltext OLG Karlsruhe (Az.15 Verg 8/22) vor. Stark verkürzt ergibt sich die wesentliche Begründung bereits aus der Pressemeldung vom 7.9.2022 OLG Karlsruhe Beschluss Az. 15 Verg 8/22

Haben Sie ähnliche Fragen?
Haben Sie Fragen zur DSGVO-Konformität oder andere vertragliche Fragen beim Einsatz eines IT-Dienstleisters? Gerne übernehme ich eine Vertragsprüfung und berate Sie hierzu, damit Sie eine Haftung oder Bußgelder bei Rechtsverstößen vermeiden können. Schreiben Sie mir gerne eine Nachricht mit qualifizierter Anfrage.

Kategorien
Blogroll Internetrecht Online-Handel Schadensrecht Uncategorized Vertragsrecht Wettbewerbs- und Werberecht Wettbewerbsrecht

LG Frankfurt: Keinen Vertrag mit Abmahnverein abschließen wenn Mißbrauch bekannt ist

Volltext des Urteils LG Frankfurt vom 03.06.2022 IDO Interessenverband gegen Händler wegen Vertragsstrafe (noch nicht rechtskräftig):

Landgericht Frankfurt am Main Verkündet am: 03.06.2022
Aktenzeichen: 3-12 O 1/22

Justizangestellte M.

ElNGEGANGEN 17. Juni 2022
I m N a m e n d e s V o l k e s
U r t e i l
ln dem Rechtsstreit
IDO Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen e.V. vertr.d d Vorstand Sarah Spayou, Uhlandstr. 1, 51379 Leverkusen,
Kläger
Prozessbevollmächtigte: Rechtsanw. ………………….
gegen
……………………………………….. ….. Frankfurt am Main
Beklagte
Prozessbevollmächtigte: Rechtsanw. Stefanie Hagendorff, Am Straßbach 2, 61169 Friedberg,
Geschäftszeichen…………
hat die 12. Kammer für Handelssachen des Landgerichts Frankfurt am Main durch die Vorsitzende Richterin am Landgericht Hübner
aufgrund der mündlichen Verhandlung vom 01.04.2022
für Recht erkannt:
ZP 11 – Urschrift und Ausfertigung eines Urteils (EU CU OO.DOT) -(11.09)22
Die Beklagte wird verurteilt, an den Kläger EUR 1.190,– nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 18.12.2021 zu zahlen.
Im Übrigen wird die Klage abgewiesen.
Die Widerklage wird abgewiesen.
Die Kosten des Rechtsstreits tragen der Kläger zu 2/3, die Beklagte zu 1/3.
Das Urteil ist vorläufig vollstreckbar. Beide Parteien dürfen die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des jeweils aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die jeweils andere Partei Sicherheit in gleicher Höhe leistet.
Tatbestand
Der Kläger macht gegen die Beklagte die Verwirkung einer Vertragsstrafe geltend.
Die 71jährige Beklagte ist Rentnerin mit einer Rente von EUR 455,83 und handelt auf der Internetplattform „e-Bay“ mit Dekorartikeln und Textilien wie Stolas und indischen Saris unter dem e-Bay-Namen in einem kleinunternehmerischen Umfang.
Der Kläger hatte die Beklagte wegen wettbewerbsrechtlicher Verstöße in Zusammenhang mit dem Verkauf von Waren abgemahnt, woraufhin die Beklagte am 01.08.2014 eine strafbewehrte Unterlassungserklärung (Anlage K 1, Bl. 9 f. d.A.) Unterzeichnete.
Am 03.12.2021 erlangte der Kläger Kenntnis von zwei Verstößen. Zum einen fehlte gem. Ziff. 1 e der Unterlassungserklärung in den Warenpräsentationen der Beklagten das Muster-Widerrufsformular. Zum anderen fehlte gem. Ziff. 2 der Unterlassungserklärung die Information, ob der Vertragstext nach dem Vertragsschluss von ihr selbst gespeichert wird, und ob sie dem Kunden den Vertragstext zugänglich macht.
Der Kläger forderte die Beklagte daraufhin mit Schreiben vom 06.12.2021 zur Zahlung einer angemessenen Vertragsstrafe in Höhe von EUR 3.570,-brutto auf, was die Beklagte ablehnte. Sie focht den Unterlassungsvertrag mit anwaltlichem Schreiben vom 20.12.2021 (Bl. 68 ff. d.A.) wegen Irrtums und hilfsweise wegen arglistiger Täuschung an. Äußerst hilfsweise kündigte sie den Vertrag wegen unzulässiger Rechtsausübung gem. § 242 BGB.
Der Kläger ist der Auffassung, dass die Beklagte eine angemessene Vertragsstrafe verwirkt habe. Angesichts der Tatsache, dass die Beklagte derzeit 349 Angebote auf E-Bay veröffentliche und angesichts der Schwere der Verstöße hält der Kläger eine Vertragsstrafe von EUR 3.000,-netto für angemessen.

Der Kläger beantragt, die Beklagte zu verurteilen, an ihn EUR 3.750,-nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 18.12.2021 zu zahlen. Die Beklagte beantragt,
die Klage abzuweisen.
Widerklagend beantragt sie,
den Kläger zu verurteilen, an sie EUR 164,30 nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz sei dem 16.12.2021 zu zahlen.
Der Kläger beantragt,
die Widerklage abzuweisen.
Die Beklagte bestreitet die Aktivlegitimation des Klägers, weil dieser nicht über die Voraussetzungen nach Art. 8 III Nr. 2 UWG verfüge und auch 2014 nicht darüber verfügt habe. Er sei auch nicht ohne Grund nicht auf die beim Bundesamt der Justiz geführte Liste gern. § 8b, § 8 III Nr. 2 UWG gelangt. Die Anfechtungsfrist habe erst mit positiver Kenntnis der fehlenden Aktivlegitimation infolge der erneuten anwaltlichen Beratung, also im Dezember 2021 zu laufen begonnen. Der Kläger handele missbräuchlich, weil er planvoll nur selektiv gegen kleine e-Bay-Händler wie die Beklagte vorgehe. Die streitgegenständlichen Verstöße seien nur versehentlich erfolgt. Äußerst hilfsweise macht die Beklagte geltend, dass die Höhe der Vertragsstrafe unverhältnismäßig sei, weil die 71-jährige Beklagte sich zu ihrer geringen Rente lediglich ein kleines Zubrot mit ihrem e-Bay-Handel dazuverdiene.
Mit der Widerklage begehrt die Beklagte die Rechtsanwaltskosten, die ihr dadurch entstanden seien, dass sie sich aufgrund der Geltendmachung der Vertragsstrafe anwaltlicher Hilfe habe bedienen müssen.

Wegen des weiteren Parteivorbringens wird auf die gewechselten Schriftsätze ergänzend Bezug genommen.
Entscheidungsgründe
Die Klage ist in dem aus dem Tenor ersichtlichen Umfang zulässig und begründet, die Widerklage ist unbegründet.
1. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung einer Vertragsstrafe aus dem Unterlassungsvertrag vom 01.08.2014.
a) Die Aktivlegitimation des Klägers ergibt sich aus dem Unterlassungsvertrag vom 01.08.2014.
Dieser ist auch nicht infolge Anfechtung nichtig. Zu den objektiven und subjektiven Tatbestandsvoraussetzungen der Anfechtungstatbestände gern. §§ 119 ff. BGB hat die Beklagte nicht ausreichend substantiiert vorgetragen. Allein die Tatsache, dass der Kläger nicht auf der Liste gemäß § 8b UWG aufgeführt ist, begründet keinen Anfechtungsgrund.
Darüber hinaus ist sowohl die Anfechtungsfrist gern. § 121 I BGB als auch diejenige des § 124 I BGB abgelaufen. Die Beklagte hat selbst vorgetragen, dass der Kläger ein Verband sei, der „seit Jahren dafür bekannt“ sei, „missbräuchlich gezielt kleine e-Bay und Amazon-Händler serienmäßig wegen nicht spürbarer UWG-Verstöße abzumahnen, um Einnahmen aus Abmahngebühren und Vertragsstrafen massenweise zu generieren“. Des Weiteren trägt sie vor, dass bereits 2014 auffällig gewesen sei, dass der Kläger große Wettbewerber nicht abgemahnt gehabt habe. Der Missbrauchsverdacht sei bereits damals gegenüber dem Kläger eingewandt worden.
Aus dem anwaltlichen Schreiben der Beklagten vom 01.08.2014 (Anlage B1, Bl. 51 f. d.A.) ergibt sich ferner, dass die Aktivlegitimation schon damals angezweifelt wurde.
Bloßes Kennenmüssen reicht für §§ 121, 124 BGB zwar nicht aus, jedoch ist auch nicht erforderlich, dass der Anfechtungsberechtigte alle Einzelheiten des Anfechtungstatbestandes kennt. Nach dem Vortrag der Beklagten lagen bereits 2014 mehr als bloße Verdachtsgründe vor. Damit ist die mit Schreiben vom 20.12.2021 erklärte Anfechtung verfristet.
b) Auch die „Kündigung“ wegen Rechtsmissbrauchs geht ins Leere. Die hohen Anforderungen, die die Rechtsprechung an den Missbrauchseinwand stellt, sind hier nicht erfüllt (vgl. Köhler/Bornkamm/Feddersen, UWG, 40. Aufl. 2022, § 13 Rn. 205 ff )
Letztlich muss sich die Beklagte an dem Grundsatz „pacta sunt servanda“ festhalten lassen.

Mit den unstreitigen Verstößen gegen den Unterlassungsvertrag hat die Beklagte die Vertragsstrafe verwirkt.
2. Nach der Unterlassungserklärung vom 01.08.2014 wird die Höhe der „angemessenen“ Vertragsstrafe vom Unterlassungsgläubiger nach billigem Ermessen bestimmt und im Streitfälle vom zuständigen Gericht auf Antrag auf Angemessenheit überprüft.
Die Beklagte hat vorliegend die Höhe der Vertragsstrafe moniert und vorgebracht, dass sich die 71jährige Beklagte mit ihrem e-Bay-Handel lediglich ein Zubrot zu ihrer geringen Rente hinzuverdiene.
In die Erwägungen eingestellt werden muss außerdem die Tatsache, dass die Spürbarkeit der Verstöße als gering einzustufen ist, dass es sich bei der Unternehmung der Beklagten um ein Kleingewerbe mit Artikeln im untersten Preissegment handelt und dass die Verstöße unstreitig versehentlich erfolgten.
Nach einer Gesamtschau der Umstände des hiesigen Einzelfalls erachtet das erkennende Gericht vorliegend eine Vertragsstrafe von EUR 1.000,- netto, also EUR 1.190 – incl. Mehrwertsteuer für angemessen und ausreichend.
3. Der Zinsanspruch ergibt sich aus §§ 286, 288 I BGB.
4. Da das erkennende Gericht eine missbräuchliche Geltendmachung von Ansprüchen gem. § 8c UWG verneint hat, war die Widerklage abzuweisen.
Nach alledem war zu entscheiden wie aus dem Tenor ersichtlich.
5. Die Kostenentscheidung beruht auf § 92 I, II ZPO. Die Entscheidung zur vorläufigen
Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 711 ZPO.

Hübner
Beglaubigt
Frankfurt am Main, 10. Juni 2022

———-Ende VOLLTEXT
Das Urteil ist noch nicht rechtskräftig. Wenn Sie eine fachanwaltliche Beratung benötigen wegen einer Abmahnung im Wettbewerbsrecht oder Hilfe bei der Vertragsgestaltung und mich mandatieren möchten, schreiben Sie mir eine Nachricht. Ich rufe meist innerhalb von 1 Werktag zurück oder schreibe eine kurze Antwort auf Ihre Anfrage.

Kategorien
Blogroll Internetrecht IT-Strafrecht Uncategorized Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

Abmahnungen per E-mail mit Link oder Anhang NICHT ÖFFNEN und keine Links ANKLICKEN!

Wenn Sie so eine E-mail- oder Messenger-Nachricht wie im Beispielbild erhalten, sollten Sie KEINESFALLS auf die Links oder Anhänge KLICKEN.
#Ransomware-Angriffe per E-mail-Anhang oder mit Buttons von WETRANSFER.

So erkennen Sie echte Abmahnungen oder Mahnschreiben
Abmahnungen oder Mahnschreiben müssen Ihnen die Absender nämlich per Post schreiben oder den Text dann schon direkt in die E-Mail reinschreiben mit der eigentlichen Nachricht. Auch Bilder, die ebenfalls boshafte Skripte enthalten können, müssen nicht aktiviert werden. Sie als Empfänger sind nicht verpflichtet, sich dem Risiko von Ransomware oder Erpressersoftware auszusetzen. Anders als bei der Briefpost im geschäftlichen Briefkasten muss man solche E-Mails oder Messenger-Nachrichten mit bösen Links nicht öffnen.

Diese Folgen drohen
Denn hinter solchen E-Mails verbirgt sich oft Ransomware mit einem Virus, um Ihre Daten auszuspähen. Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden oder weitere schädliche Nachrichten unter Ihrem Namen an Ihre Kontakte versenden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Inzwischen bekommen ständig kleine und mittelständische Unternehmen oder auch Private regelmäßig solche oder ähnliche Nachrichten. Ich natürlich auch. Aber sowas öffne ich nicht. Muss ich ja auch nicht.

Flüchtigkeit und Eile sind die Freunde der Betrüger
Die Angreifer versehen diese je nach Branche mit Reizwörtern wie „dringend“ oder „Mahnung“ oder „Abmahnung“ oder „Marken- und Produktpiraterie“. Der flüchtige in Eile befindliche Empfänger soll dazu gebracht werden auf einen Link oder Anhang zu klicken. Der Anbieter Wetransfer wird immer wieder für einen solchen Angriff missbraucht, weil dieser Filesharing-Dienst die Versendung von Links ohne eine Authentifizierung des Absenders, nämlich nur mit einfacher E-Mail Adresse, ermöglicht.

Kleiner Klick, große Wirkung
Im Zweifel verbirgt sich hinter dem verlinkten Button oder in dem Anhang Malware, d.h. ein Programm mit einer Schadsoftware, die ihre Systeme infiziert und beschädigt. Das ist zwar vielen Empfängern bekannt, aber leider kommt es trotzdem immer wieder vor, dass unsichere oder gerade abgelenkte Empfänger trotzdem versehentlich in der Hektik des Alltags auf den Anhang oder den Link klicken – und dann Erpressungssoftware z.B. ein Trojaner oder Verschlüsselungsprogramm auf ihrem System aktiviert wird, sodass dann nichts mehr funktioniert….

Kleiner Klick, große Wirkung
Nicht nur aus Gründen der IT-Sicherheit sollte kein Empfänger auf solche Links oder Anhänge senden und im Zweifel, falls es scheinbar ein bekannter Absender ist, dort erst telefonisch nachfragen. Auch aus rechtlichen Gründen gibt es keinen Grund, sich sowas gefallen zu lassen, selbst wenn es tatsächlich ein Anwalt, Inkassobüro oder sonstiger Gläubiger einer Forderung sein sollte. Denn wegen dieser IT-Sicherheitsrisiken ist kein Inhaber eines E-Mail Postfachs verpflichtet, Anhänge in E-Mails und Nachrichten dieser Art zu öffnen – das hat kürzlich auch das Oberlandesgericht Hamm, Az. 4 W 119/20 mit Urteil vom 09.03.2022 bestätigt: Anwälte hatten im Auftrag eine wettbewerbliche Abmahnung per E-Mail mit einem im Anhang befindlichen Schreiben versandt. Der Empfänger öffnete die E-Mail nicht. Deshalb muss die Gegenseite die Prozesskosten zahlen. Das Oberlandesgericht bestätigte in dem auf die hier echte Abmahnung folgenden Eilverfahren, dass der Inhaber des Empfänger-E-Mail-Postfachs die Kosten der nachfolgenden einstweiligen Verfügung, die gegen ihn erging, mangels Zugang und Kenntnisnahme von dem Anhang mit dem Schreiben nicht zu tragen hatte. In der Sache erging damit zwar eine wirksame Unterlassungsverfügung, weil der Wettbewerbsverstoß tatsächlich gegeben war und daher zu Recht der Auftraggeber der Abmahnung die Beendigung der fraglichen unlauteren Werbemaßnahme und Unterzeichnung einer strafbewehrten Unterlassungserklärung gefordert hatte. Aber da das Abmahnschreiben nicht mit einem Einschreiben, sondern per Dateianhang per E-Mail gesendet worden war, musste der Antragsteller die gesamten Anwalts- und Prozesskosten der Abmahnung und des einstweiligen Verfügungsverfahrens tragen. Wie das OLG im Leitsatz entschieden hat, ist eine Abmahnung bei einem Abmahnschreiben im Dateianhang erst dann zugegangen, wenn der E-Mail Empfänger den Dateianhang auch tatsächlich geöffnet hat. Und das war nicht der Fall – aus Gründen.

Experten-Rat lohnt sich
Wenn Sie Fragen im IT-Recht haben, zum Beispiel von Abmahnungen oder Hacking-Angriffen betroffen sind, und anwaltlichen Rat und Hilfe benötigen, rufen Sie an unter +49 6031 6708843. Oder schreiben Sie eine Anfrage über mein Kontaktformular mit Ihren Kontaktdaten. Dann rufe ich werktags innerhalb von 24 Stunden zurück oder sende Ihnen per E-mail eine Antwort.

Kategorien
Blogroll e-Learning Fernunterricht Internetrecht Uncategorized Verbraucherschutz Vertragsrecht Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

Abmahnungen der Wettbewerbszentrale gegen Anbieter von Online-Kursen

Derzeit geht die Zentrale zur Bekämpfung unlauteren Wettbewerbs Frankfurt am Main e. V. (wettbewerbszentrale.de) gegen Anbieter von Online-Kursen wegen wettbewerbsrechtlicher Verstöße vor. Gerügt werden etwa fehlendes und unzureichendes Impressum sowie die fehlenden Angaben zu einer Zulassung bei der ZFU als Fernunterricht nach § 12 FernUSG. Wer nicht zulassungspflichtig ist, obwohl es auf den ersten Blick so aussieht, sollte sich darauf vorbereiten und das anhand seiner Werbung und Teilnehmer-Verträgen belegen können. Bei falschen oder fehlenden Angaben der Betreiber, die oft derzeit im Ausland sitzen, wie etwa in Dubai, Österreich oder Luxemburg, nimmt die Wettbewerbszentrale dabei zunächst den Domaininhaber in Anspruch. Dessen Kontaktdaten erhält sie nach dem Telemediengesetz über die zuständige Registrierungsstelle, d.h. bei einer .de Adresse über die Denic.

Die Wettbewerbszentrale wird z.B. tätig, wenn sich Betroffene Teilnehmer oder Wettbewerber bei ihr über Anbieter von Fernlehrgängen beschweren. Die Wettbewerbszentrale gehört zu den abmahnberechtigten beim Bundesamt für Justiz nach dem UWG eingetragenen Verbänden und ist bekannt dafür, auch gerichtlich die gerügten Verstöße zu verfolgen. Anbieter von Online-Seminaren, die Zertifikate vergeben oder mit ähnlichen Bescheinigungen eine erfolgreiche Teilnahme ihren Teilnehmern versprechen, sollten daher nicht nur auf Post von der ZFU, sondern auch auf unangenehme Post von der Wettbewerbszentrale mit Abmahnungen vorbereitet sein. Domaininhaber und Betreiber der Webseite werden aufgefordert, eine strafbewehrte Unterlassungserklärung zu unterschreiben.

Nach § 12 FernUSG sind Fernlernkurse wie es Online-Seminare mit Zertifikaten oder ähnlichen Bescheinigungen dann zulassungspflichtig, wenn es sich um Fernunterricht im Sinne des Gesetzes handelt. Dies muss jeder Anbieter im e-Learning-Bereich wissen und rechtssicher klären.

Gerne helfe ich hierbei bei Fertigung des korrekten Impressums ebenso wie bei der Anpassung von AGB, Verträgen, Geschäftsmodell, Werbung und Vertrieb, um hier Fallstricke zu vermeiden. Es drohen nicht nur Abmahnungen der Wettbewerbszentrale aufgrund von Beschwerden betroffener Teilnehmer, sondern auch Bußgelder bis zu 10.000 Euro bei fehlender Zulassung, die die ZFU mit Sitz in Köln nach dem FernUSG verhängen kann, wenn Anbieter irrig annehmen, sie seien aufgrund ihrer konkreten Gestaltung zulassungsfrei.

Wenn Sie dazu Fragen haben, wenden Sie sich gerne an mich telefonisch oder über das Kontaktformular hier. Sie erhalten von mir eine Antwort auf Ihr Anfrage werktags innerhalb von 24 Stunden. Nähere Informationen zum Thema finden Sie auch in meinem Blogbeitrag Online-Seminare und das Fernunterrichtsgesetz

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

OLG Frankfurt: Xing-Irrläufernachricht – Gericht fordert konkrete Darlegung des immateriellen Schadens für den erfolglosen Bewerber

E-mail Irrläufer sind ebenso wie über einen Messenger schnell passiert. Ein Händler hat sich 2018 bei einer Bank beworben via Xing und wegen eines versehentlichen „Klicks“ auf die falsche Person, sendete die Bank irrtümlich eine Nachricht an einen Bekannten des Händlers, der pikanterweise bei der gleichen Bankengruppe beschäftigt war. Die eigentlich für den Kläger bestimmte Nachricht enthielt den Text:

Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter – Herr C – findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D


Der Empfänger kannte den Herrn B. und späteren Kläger des Rechtsstreits gegen die Bank und fragte bei ihm zurück. „Du?“ So bekam der Kläger – wie oft bei solchen Irrläufern – zufällig Kenntnis von der Datenpanne. Während das Landgericht nach erfolgloser Abmahnung und Klage auf Unterlassung, Kostenerstattung und Schadenersatz die Bank u.a. zu 1.000 Euro immateriellem Schadenersatz verurteilt hatte, hat der 13. Senat des Oberlandesgerichts Frankfurt am Main nun dieses Urteil des Landgerichts Darmstadt vom 26. Mai 2020 im Hinblick auf den Schadenersatz aufgehoben. Im Übrigen bestätigte er aber auch die Verurteilung der Bank zur Unterlassung und Kostenerstattung in Bezug auf die Anwaltskosten für die Abmahnung in Höhe von 1.025,55 € nebst Zinsen (OLG Frankfurt, 13. Zivilsenat, Urteil vom 02.03.2022, Az. 13 U 206/20 – noch nicht rechtskräftig).

Begründung des Senats stark verkürzt zusammengefasst: Zwar bestehe ein Unterlassungsanspruch, weil den Umständen nach aufgrund der persönlichen Bekanntheit des irrtümlichen Empfängers der über XING gesendeten Nachricht, dieser den Betroffenen „Herr B…“ anhand Name, Anrede und Kontext der Nachricht identifizieren konnte. Identifizierbar seien solche Nachrichten auch dann, wenn der Nachname häufig vorkommt. Es ist nämlich auch nicht erforderlich, dass die zur Identifizierbarkeit erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EUGH, Urteil vom 20. Dezember 2017 – Rs. C-434/16, NJW 2018, 767 – Nowak). Es ist auch nicht erforderlich, dass die Identifizierbarkeit zweifelsfrei erfolgt, denn vorliegend ist es dem Dritten ja unmittelbar gelungen, den Kläger zu identifizieren, auch wenn er sicherheitshalber nachgefragt hat, indem er die Nachricht an ihn weitergeleitet hat und dazu die Frage schrieb: „Du?“

Der Kläger habe aber keinen immateriellen Schaden im Sinne von Art. 82 DSGVO vorgetragen. Damit folgt der 13. Senat der bei den Zivilgerichten vorherrschenden Auffassung, dass allein der Kontrollverlust und die Ungewissheit bei einer Datenpanne, wer die durch den Datenschutzverstoß erlangten Daten unbefugt genutzt oder sogar noch weitergegeben hat, kein ersatzfähiger immaterieller Schaden sei.

Anmerkung zum Urteil von Rechtsanwältin Hagendorff: Diese Sichtweise, es sei doch kein Schaden entstanden, erscheint hier nicht überzeugend. Denn der Kläger wurde ja nicht eingestellt und hatte die Ungewissheit, ob der Bekannte, der im Rahmen der Unternehmensgruppe seines Arbeitgebers arbeitete, die Daten vertraulich behandelte oder möglicherweise dem jetzigen Arbeitgeber einen Hinweis gegeben hat, dass der Kläger sich anderweitig bewerbe und mit welchen Gehaltsvorstellungen. Das wäre sicher für seine Karriere im Unternehmen seines bisherigen Arbeitgebers nicht förderlich, sondern eher schädigend gewesen. Wechselwillige Mitarbeiter werden nicht befördert und müssen berufliche Nachteile beim bisherigen Arbeitgeber erwarten. Es ist doch lebensfern, vom geschädigten Kläger zu erwarten, das dezidiert darzulegen, denn es liegt auf der Hand. Da es rechtswidrig weitergegebene Informationen sind, würde in so einem Fall ihm kaum jemand bei seinem Arbeitgeber darauf hinweisen. Nach Erwägungsgrund 146 S. 6 soll der immaterielle Schadenersatzanspruch sicherstellen, dass der verletzte Betroffene einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält und dieser abschreckend sein soll. Im Ergebnis wird also der effektive Rechtsschutz entgegen dem Effektivitätsgebot und den Grundsätzen des EUGH zum „effet utile“ verkürzt auf die wenigen Fälle, in denen der Betroffene zufällig an die Informationen zum Schadenseintritt gelangt. Das erscheint mir nicht europarechtskonform und nicht sonderlich überzeugend zu sein. In der Praxis unterstützt das nämlich die Haltung, die leider in vielen Unternehmen und Behörden vorherrscht: Stößt man zufällig auf einen Datenschutzverstoß und macht die Löschung und einen Schadenersatzverstoß geltend, heisst es regelmäßig, es sei doch ein Versehen gewesen, ein Einzelfall und es sei doch „kein Schaden“ entstanden….Der Datenschutz wird ohne Sanktion eben nicht hinreichend ernst genommen. Dies hat hier auch die Beweisaufnahme durch Vernehmung des Zeugen beim Landgericht bestätigt: Es gab laut Gericht 1. Instanz keine richtigen Schulungsmaßnahmen oder anderweitige Vorkehrungen bei der Beklagten, die der betreffenden Mitarbeiterin oder weiteren Mitarbeitern effektive Maßnahmen an die Hand gegeben hätten, eine Wiederholung von Irrläufern und Pannen dieser Art zu vermeiden. Ohne Schadenersatzrisiken wird sich daran wahrscheinlich in Zukunft auch nicht viel ändern. Von dem Urteil des OLG geht daher das falsche Signal aus.

Auch das angeführte Argument, dass sonst ein Ausufern bei für den Betroffenen tatsächlich folgenlosen Datenpannen zu befürchten sei, geht an der Rechtswirklichkeit vorbei. Denn wegen des Aufwands eines Rechtsstreits sind nur wenige Betroffene bereit, in solchen Fällen zu klagen – jedenfalls solange es um verhältnismäßig geringe Beträge wie hier 1.000 Euro laut Landgerichts Urteil oder 2.500 Euro wie vom Kläger in der Anschlussberufung beantragt – geht.

Positiv aber ist, dass die häufig ebenfalls zu hörende Standardausrede, der Anspruch werde mißbräuchlich geltend gemacht, vom OLG auch nicht akzeptiert wurde und sowohl die Abmahnung als berechtigt und damit wenigstens auch die Anwaltskostenerstattung bestätigt worden ist (hier aus einem Streitwert von 15.000 € also 10.000 für die Unterlassung, 5.000 für die Auskunft). Möglicherweise hätte hier der Kläger zu seiner Angst vor beruflichen Nachteilen bei seinem bisherigen Arbeitgeber bei Kenntnisnahme von der Bewerbung näher vortragen sollen – so meint der Senat. Dass der Kläger sich mit solchen Darlegungen dann aber zusätzlich selbst weiter geschädigt hätte, obwohl dies naheliegt, hat der Senat hierbei aber nicht bedacht. Schließlich sind sowohl die mündlichen Verhandlungen öffentlich als auch die Urteile – auch wenn der Name der Parteien anonymisiert wird, wird er für Insider der Branche oft bekannt. Positiv ist auch, dass der Senat bestätigt hat, dass in Fällen wie diesen die Hinzuziehung eines Rechtsanwalts wegen der Schwierigkeit der Angelegenheit zur zweckentsprechenden Rechtsverfolgung erforderlich ist und dessen Kosten erstattungsfähig sind in der gesetzlichen Höhe nach dem RVG.

Eine Ausuferung von Schadenersatzklagen bei solchen Beträgen ist wegen des unverhältnismäßigen Aufwands nicht zu befürchten, wenn für Fälle dieser Art ein Schadenersatz von 1.000-2.000 Euro zu erstatten ist. Erst bei höheren Beträgen ziehen erfahrungsgemäß überhaupt eine relevante Anzahl von Menschen und Anwälten die Rechtsverfolgung und aufwendigen Klageverfahren in Betracht. Insgesamt überzeugt mich das Urteil aber wegen der Abweisung des immateriellen Schadenersatzes aber nicht.

Noch ein Hinweis: Wie das Gericht zu Recht anmerkt, sieht das Bundesarbeitsgericht, weitere Arbeitsgerichte und Oberlandesgericht München ebenfalls bereits den Kontrollverlust wegen einer unbefugten Weitergabe personenbezogenen Daten oder eine Datenschutzverletzung durch verspätete oder unvollständige Auskünfte nach Art. 15, 82 DSGVO als erstattungsfähigen immateriellen Schaden an und hat wegen der grundsätzlichen Bedeutung der Senat auch die Revision zum Bundesgerichtshof zugelassen. Die Frage ist also noch nicht abschließend geklärt. Zudem gibt es auch bereits einschlägige Vorlageverfahren beim Europäischen Gerichtshof dazu.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

Landgericht Mainz verurteilt Stromanbieter zu 5.000 Euro Schadenersatz wegen rechtswidriger Meldung an SCHUFA

Vorschnelle negative Schufa-Meldungen sind ein erheblicher Schaden für die Kreditfähigkeit eines Betroffenen. Die Voraussetzungen sind daher streng geregelt. Das Landgericht Mainz hat mit Urteil vom 12.11.2021 – Az. 3 O 12/20 einen Stromanbieter u.a. zur Zahlung von 5.000 Euro immateriellem Schadenersatz nach Art. 82 Abs. 1 DSGVO verurteilt, weil dieser vorschnell eine rechtswidrige negative Schufaeinmeldung als „uneinbringlich“ im Laufe eines gerichtlichen Mahnverfahrens veranlasst hatte. Es stellten sich Pannen im Vorverfahren heraus und der Vollstreckungsbescheid war noch nicht rechtskräftig. Der Stromanbieter und spätere Beklagte hatte zwar Mahnungen versendet und ein gerichtliches Mahnverfahren wegen der erfolglos angemahnten Stromrechnung durchgeführt, jedoch den Zugang der Mahnungen und Mahnbescheid sowie die nach § 31 BDSG vorgeschriebene vorherige Ankündigung der negativen Schufa-Einmeldung hatte der betroffene Kläger bestritten und konnte der Stromanbieter nicht beweisen, also wäre eine Einmeldung erst mit einem rechtskräftigen Vollstreckungsbescheid zulässig gewesen. Der Stromanbieter hat aber bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids diese Einmeldung verfrüht und damit rechtswidrig bei der Schufa eingemeldet. Der klägerische Familienvater hatte glaubhaft versichert, dass er die Mahnungen mit Unterrichtung über den drohenden Schufa-Eintrag nicht erhalten hatte; der Mahnbescheid lag ihm auch nicht vor, den hatte wohl das Au-pair-Mädchen seiner Kinder angenommen, ihm aber nicht ausgehändigt. Nach Zustellung des Vollstreckungsbescheids hatte der Kläger die Forderung dann bezahlt, sodass sich er sich zu Recht gegen die Einmeldung als „uneinbringliche Forderung“ gewendet hat. Die Einmeldung war – so das Gericht – nicht aufgrund der Bestimmung des Art. 6 Abs. 1 lit f, Abs. 4 DSGVO zulässig. Zwar besteht ein erhebliches Interesse der Kreditwirtschaft an den Bonitätsdaten und somit ein erhebliches Informationsinteresse der Verkehrsteilnehmer, aber bei der gebotenen Interessenabwägung sind die Wertungen des § 31 BDSG zu berücksichtigen, die sicherstellen sollen, dass bei der Verarbeitung von Bonitätsdaten dem Schuldner vorher rechtliches Gehör gewährt wird und er innerhalb einer angemessenen Karenzzeit die Möglichkeit hat, den Eintrag zu vermeiden und vorher die Schulden zu begleichen. Hier war es so, dass die Stromrechnung von 493,81 € zwar angemahnt worden war, jedoch der Zugang einer vorherigen Ankündigung einer drohenden Schufa-Einmeldung nicht nachgewiesen werden konnte. Gleiches galt für die Zustellung des gerichtlichen Mahnbescheids. Die Einmeldung bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids war unter diesen Umständen verfrüht. Mit Fehlern bei der Zustellung muss ein Absender rechnen, wenn ihm kein Zugangsnachweis vorliegt und damit war zur Überzeugung des Gerichts wegen der streitigen Zustellungspannen noch nicht sicher eine hinreichende Karenzzeit verstrichen, in der der klägerische Schuldner die Gelegenheit hatte, die Forderung zu begleichen. Diese Wertungen entnimmt das Gericht der Regelung des § 31 BDSG, weil darin die Voraussetzungen geregelt sind, unter denen Auskunftsdienste wie die SCHUFA AG  Bonitätsdaten nutzen und damit einen Scorewert erstellen und diesen beauskunften dürfen. Die Voraussetzungen des § 31 BDSG waren hier im Zeitpunkt der Einmeldung nicht hinreichend dargetan und bewiesen. Dies hätte der Stromanbieter bei gewissenhafter Prüfung erkennen müssen, insbesondere bei Titulierung mit dem Vollstreckungsbescheid dem Schuldner erst noch eine angemessene Karenzzeit zur Begleichung der Fordlerung einräumen müssen, nachdem er keine Beweise für den fehlerfreien Zugang der Mahnungen, Ankündigungen und des Mahnbescheids des Gericht vorliegen hatte.

Die Höhe des immateriellen Schadenersatzes nach Artikel 82 Abs. 1 DSGVO hat das Gericht hier mit 5.000 Euro bemessen. Aufgrund des Negativ-Eintrags bei der Schufa wurden dem Kläger die Kreditkarten gesperrt, die er beruflich benötigte, und drohte ihm eine Immobilienfinanzierung zu platzen. Deshalb erlitt er einen massiven immateriellen Schaden in Form des Verlusts der Bonität bei Kreditgebern durch einen negativen Scorewert bei der Schufa. Dieser Schaden war nach Ansicht des Gerichts auch zumindest fahrlässig verschuldet, weil nach Art. 82 Abs. 3 DSGVO eine Fahrlässigkeit vermutet wird, wenn nicht der Beklagte als verantwortliches Unternehmen Umstände darlegen und beweisen kann, die ihn entschuldigen. Mangels Beweisen für die behaupteten Mahnungen mit Unterrichtung über die drohende Schufa-Einmeldung und auch mangels Beweis für die Zustellung des Mahnbescheids, den der Kläger bestritten hatte, konnte der Stromanbieter somit das Vorliegen der Voraussetzungen der Einmeldung als „uneinbringliche Forderung“ nicht nachweisen. Eine Einmeldung nach § 31 Abs. 2 Nr. 4 BDSG, der die Voraussetzung der Verarbeitung von Bonitätsdaten durch Auskunftsdienste regelt, darf nur erfolgen wenn entweder nach Nr. 1 ein rechtskräftiges Urteil über eine offene Forderung vorliegt (der Vollstreckungsbescheid war bei Erlass hier noch nicht rechtskräftig, weil dagegen erst noch ein Einspruch zulässig ist) und nach § 31 Abs. 2 Nr. 4 BDSG ohne einen rechtskäftigen gerichtlichen Zahlungstitel folgende Voraussetzungen hätten vorliegen müssen, die hier auch nicht gegeben waren, nämlich:

  • der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
  • die erste Mahnung mindestens vier Wochen zurückliegt,
  • der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
  • der Schuldner die Forderung nicht bestritten hat

Daneben hat das Gericht den Stromanbieter auch verpflichtet, der Schufa Holding AG mitzuteilen, dass derjenige Zustand auch im Hinblick auf die Berechnung von Scorewerten wiederhergestellt werden soll, als habe es den näher bezeichneten Negativeintrag der Beklagten nicht gegeben. Das Urteil vom 12.11.2021 ist noch nicht rechtskräftig.

Wie viel Tage die Karenzzeit dauert, darüber hatte das Gericht hier nicht zu entscheiden. Aber unter Berücksichtigung der Wertungen des § 31 BDSG, auf die das Gericht im Rahmen der Auslegung der Rechtsgrundlage nach Art. 6 Abs. 1 lit.f DSGVO abstellt, hätte die für den Vollstreckungsbescheid vorgeschriebene Einspruchsfrist von 2 Wochen ab dessen Zustellung abgewartet werden müssen oder hätte der Stromanbieter Nachweise für mindestens 2 vorgerichtliche Mahnungen mit den nach § 31 BDSG vorgeschriebenen Zeitabständen und Ankündigung einer Meldung an die Schufa sicherstellen müssen, um Zustellungsfehler auszuschließen. Die 2 Wochen-Notfrist entspricht auch der Einspruchfrist gegen den Vollstreckungsbescheid nach §§ 700 i.V.m. 339 Abs. 1 ZPO, daher ist davon auszugehen, dass die angemessene Karenzzeit bei vorgerichtlichen unbestrittenen Mahnungen 2 x 2 Wochen ist und ansonsten im gerichtlichen Verfahren abgewartet werden muss, ob innerhalb der genannten Fristen Rechtsmittel gegen das Urteil oder den Vollstreckungsbescheid eingelegt wurde.