Was sind die Spezialgebiete eines Fachanwalts für IT-Recht?

Fachanwälte müssen auf den jeweiligen Fachgebieten praktische Erfahrung nachweisen und sich jährlich qualifiziert fortbilden. Das tue ich und will das näher beschreiben, was das bedeutet.
Die Fachanwaltsordnung Stand 1.1.2020 definiert das Fachgebiet Informationstechnologie für Fachanwälte wie folgt (meine Schwerunkte habe ich fett gekennzeichnet):
§ 14k der Fachanwaltsordnung – Nachzuweisende besondere Kenntnisse im Informationstechnologierecht Für das Fachgebiet Informationstechnologierecht sind besondere Kenntnisse nachzuweisen in den Be-reichen:
1. Vertragsrecht der Informationstechnologien, einschließlich der Gestaltung individueller Verträge und AGB,
2. Recht des elektronischen Geschäftsverkehrs, einschließlich der Gestaltung von Provider-Verträgen und Nutzungsbedingungen (Online-/Mobile Business),
3. Grundzüge des Immaterialgüterrechts im Bereich der Informationstechnologien, Bezüge zum Kennzeichenrecht, insbesondere Domainrecht,
4. Recht des Datenschutzes und der Sicherheit der Informationstechnologien einschließlich Verschlüsselungen und Signaturen sowie deren berufsspezifischer Besonderheiten,
5. Das Recht der Kommunikationsnetze und -dienste, insbesondere das Recht der Telekommunikation und deren Dienste,

6. Öffentliche Vergabe von Leistungen der Informationstechnologien (einschließlich e-Government) mit Bezügen zum europäischen und deutschen Kartellrecht,
7. Internationale Bezüge einschließlich Internationales Privatrecht,
8. Besonderheiten des Strafrechts im Bereich der Informationstechnologien,
9. Besonderheiten der Verfahrens- und Prozessführung.
Es handelt sich derzeit um ein besonders herausforderndes Gebiet mit hohen Risiken und Herausforderungen für die praktische Umsetzung und erfogreiche Durchsetzung bzw. Abwehr bei Streitigkeiten in diesem Bereich.

EUGH hat das US-Privacy Shield für ungültig erklärt – Handlungsempfehlungen für KMU.

Was müssen Webseitenbetreiber und Nutzer von sonstigen Cloud-Diensten US-amerikanischer Anbieter nun tun, nachdem der EUGH das US-Privacy Shield (im Urteil vom 16.07.2020 in der Rechtssache Max Schrems gegen Facebook) für ungültig erklärt hat?
Geschäftliche Nutzer von Clouddiensten z.B. Webseitenbetreiber von WordPress-Webseiten oder Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter einsetzen, sollten nun prüfen, ob hinsichtlich der Übermittlung personenbezogener Kunden- und Mitarbeiter- oder auch nur Nutzerdaten von Nutzern der Webseite, Data Privacy Agreements oder „Data Privacy Addendum“ vorliegen, die sie mit den Anbietern abgeschlossen haben sollten und ob diese inhaltlich die Vorgaben der EU-Kommission zur Verwendung von EU-Standardvertragsklauseln (Data Controller to processor EU-Data Standard Model Clauses) nach Art. 45 DSGVO beinhalten. Denn diese Standardvertragsklauseln hat der EUGH ausdrücklich als gültig bestätigt.
Grund: Der EUGH hat mit Urteil von heute 16.07.2020 in der Rechtssache Max Schrems gegen Facebook verkündet, dass das US-Privacy Shield unwirksam ist und kein angemessenes Datenschutzniveau im Sinne von Art. 46 DSGVO gewährleistet. Im wesentlichen hat er das – zu Recht – damit begründet, dass die USA dieses Abkommen nicht einhalten, insbesondere EU-Bürger keinen wirksamen Rechtsschutz in den USA zur Wahrung ihrer Datenschutzrechte nach der DSGVO haben, vor allem ist der nach dem US-Privacy Shield Abkommen zugesicherte Ombudsmann tatsächlich nicht wirklich arbeitsfähig und erreichbar für EU Bürger. Das Urteil ist nicht überraschend, weil schon lange u.a. auch vom EU-Parlament diese Missstände angeprangert und moniert wurden.
Das bedeutet, wer Clouddienste U.S.-amerikanischer Anbieter nutzt und darin Nutzer IDs, IP-Adressen, und ähnliche personenbezogene Daten von den Cloud Diensten verarbeiten lässt, benötigt Verträge zum Datenschutz, die die EU-Standardvertragsklauseln (EU-Data Processing Model Clauses Controller to Processor) bei Auftragsverarbeitungen im Sinne von Art. 28 DSGVO oder Processor to Processor Model Clauses bei sog. Gemeinsamen Verantwortlichen nach Art. 26 DSGVO verwendet.
Den Abschluss der entsprechenden Verträge, die nach der DSGVO auch elektronisch erfolgen können, etwa über AGB, müssen Sie z.B. als Webseitenbetreiber oder Arbeitgeber zuverlässig als verantwortliche Stelle nach Art. 5 DSGVO nachweisen können. Die US-Anbieter ordnen Sie nämlich nicht unbedingt als EU-Kunde ein, wenn Sie die entsprechenden Zusatzvereinbarungen nicht abgeschlossen haben, weil es darauf ankommt, wessen personenbezogene Daten Sie nach Ihrem Geschäftsmodell zu welchen Zwecken verarbeiten. Da die USA weitestgehend und Südamerika sowieso keine angemessenen Datenschutzgesetzte hat (außer Kalifornien und Canada) wird von vielen US-Anbietern ohne dokumentiertem Abschluss der entsprechenden Zusatzvereinbarungen diese auch nicht aktiviert.
Praxistipp: Sie sollten nun zur Vermeidung von Abmahnungen oder hohen Bussgeldern wegen Verstößen gegen die Vorschriften des Datenschutzrechtes für die Internetseite und sonstige Prozesse, bei denen US-Clouddienste in Ihrem Unternehmen zum Einsatz kommen, die Liste Ihrer verwendeten US-Anbieter z.B. anhand Ihrer Datenschutzhinweise und Verarbeitungsverzeichnisse durchgehen und prüfen lassen, ob für die Dienste vom Anbieter die entsprechenden Data Privacy Addendums oder sonstige entsprechende Data Processing Terms vorliegen, die die Voraussetzungen der EU-Kommission zu den o.g. Angemessenheitsbeschlüssen erfüllen, die – soweit noch nicht geschehen – abschließen und das dokumentieren. Ferner sollten Sie Ihre Verarbeitungsverzeichnisse sowie Datenschutzhinweise gemäß DSGVO anpassen und die entsprechenden Passagen, die auf das nicht mehr gültige EU-Privacy Shield nach Art. 46 DSGVO z.B. in Ihren Datenschutzhinweisen rekurrieren, abändern. Viele US-Anbieter wie z.B. Automattic Inc. mit Sitz in den USA – WordPress.com stellen entsprechende Data Privacy Addendums bereits zur Verfügung, weil diese Entscheidung des EUGH absehbar war.
Standardvertragsklauseln können aber laut EUGH Urteil vom 16.07.2020 – Schrems II nur dann eingesetzt werden, wenn sie nach den konkreten Umständen auch von den Vertragsparteien eingehalten werden können. Das könnten etwa besondere Verschlüsselungen sein, die gewährleisten, daß die US-Behörden und der US-Anbieter faktisch nicht auf die zu schützenden Inhalts- und Metadaten zugreifen können und wenn der Anbieter garantiert, dass die Server in der EU sich befinden in gesicherten Rechenzentren. Dann können ggfs. EU-Standardvertragsklauseln auch mit US-Anbietern geschlossen werden. Klar dazu hat sich der EUGH allerdings nicht geäussert. Falls der US-Cloud Anbieter keine rechtmäßigen Vertragsklauseln der beschriebenen Art anbietet, ist zu prüfen, ob ggfs. Ausnahmetatbestände anwendbar sind. Das ist nach Art. 49 Abs. 1 a DSGVO zum einen eine Einwilligung des Betroffenen, die ausdrücklich gegeben wird, nachdem der Betroffene auf die besonderen Risiken hingewiesen wurde. Das ist derzeit z.B. bei Cookie Consent Managern für Webseiten (Also die Banner, die bei Aufruf von Webseiten zunächst für die Cookies fragen, ob diese zugelassen werden oder abgelehnt werden) – ein Anwendungsfall, wenn nicht erforderliche Cookies von Anbietern wie Google, Facebook, Adobe usw. aus Drittländern eingesetzt werden sollen und hierfür eine Einwilligung zu deren Aktivierung benötigt wird. Ferner zählt Art. 49 noch eine Reihe weiterer Ausnahmetatbestände auf wie etwa, wenn die Drittlandübermittlung z.B. zum Schutze lebenswichtiger Interessen der betroffenen Person erforderlich ist. Art. 49 DSGVO Die Prüfung und Anpassung der Prozesse, ggfs. Wechsel von Anbietern oder zumindest Änderungen von deren Verträgen und Einbindungen sowie der Datenschutzhinweise erfordern nun Aufwand. Dieser ist aber wohl unvermeidlich, denn weder der EUGH noch die Aufsichtsbehörden billigen nach ihren Reaktionen auf das Urteil relevante Umsetzungsfristen zu. Zwar wird eine Umsetzungfrist dann in der Praxis für eine kurze Übergangszeit aus Verhältnismäßigkeitsgründen den Unternehmen eingeräumt werden. Wegen der Unklarheit, wie lange diese eingeräumt wird, ist es aber nur eine Frage der Zeit, dass einzelne „schärfere“ Aufsichtsbehörden aufgrund von Beschwerden oder wiederholender Datenpannen tätig werden und Bussgeldverfahren einleiten werden. Amtliche Bussgelder aufgrund von DSGVO-Verstössen – soweit teilweise amtlich bestätigt oder veröffentlicht – können teilweise hier nachgelesen werden (ohne Anspruch auf Vollständigkeit): https://www.enforcementtracker.com/ oder hier https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php Die Stellungnahme der Datenschutzkonferenz der deutschen Datenschutzaufsichtsbehörden vom 28.07.2020: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf verweist auf die Stellungnahme des EDSA (Europäischer Datenschutzausschuss bei der EU): https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de Dieser antwortet recht streng auf die Frage, ob es eine Umsetzungsfrist gibt: „No, the Court has invalidated the Privacy Shield Decision without maintaining its effects, because the U.S.law assessed by the Court does not provide an essentially equivalent level of protection tothe EU. This assessment has to be taken into account for any transfer to the U.S. …“ FAZIT: Vor diesem Hintergrund antworten derzeit die deutschen Aufsichtsbehörden auf die Frage nur vage und zähneknirschend mit: „zeitnah“ – was auch immer das nun dann in den Augen der Gerichte, die später bei Streitfällen zu entscheiden haben werden, sein wird. Dort, wo es möglich und zumutbar ist, sollten Unternehmen daher unbedingt unverzüglich auf EU-Anbieter umstellen oder die o.g. angesprochenen Änderungen und Anpassungen vornehmen.

#DSGVO #Schadenersatzansprüche betroffener Händler und Kunden bei Datenpannen?

Hier am aktuellen Beispiel zur #Datenpanne bei #Mastercard Priceless Specials vom August 2019. Jetzt nehmen die Schadenersatzverfahren Fahrt auf, weil das Programm endgültig eingestellt wurde.

Ca. 90.000 Teilnehmer des Mastercard Priceless Specials Programms waren im Sommer 2019 betroffen von einer Datenpanne, weil die Datenbank offen mit Namen, Anschrift, Mobilfunknummer, E-mail, Geburtsdatum und Kreditkartendaten im Internet abrufbar waren. Mastercard hatte die Datenpanne unweigerlich offiziell bestätigen müssen und sich entschuldigt, die Plattform mit Bonusprogramm „vorläufig“ und inzwischen endgültig deaktiviert, aber eine Verantwortlichkeit für die Datenpanne pauschal abgestritten. Die Aufsichtsbehörden in Hessen (HBDI) – hier die Pressemitteilung des HBDI vom 23.08.2019 mit den späteren updates – und die federführende Aufsichtsbehörde des datenschutzrechtlichen Untersuchungsverfahrens in Belgien DPA in Brüssel – https://www.dataprotectionauthority.be/contact-us -erhielten zahlreiche Beschwerden Betroffener über unzureichende Auskünfte. Aber bis heute hat Mastercard nicht viel zur Aufklärung über die Verantwortlichkeit beigetragen, obwohl die Datenpanne nach Art. 82 III DSGVO indiziert, dass Mastercard für den Datenschutz verantwortlich ist oder ihn ermöglicht hat, wenn und soweit Mastercard als Verantwortliche nicht nachweist, in keiner Weise für den massiven Verstoß durch diesen Datenpanne ein Verschulden zu tragen. Das ist bisher nicht geschehen und offenbar ist Mastercard weder in der Lage noch gewillt, dass Programm wie bisher angekündigt, wieder datenschutzkonform zu aktivieren. Priceless ist gekündigt und wurde zum 4.7.2020 endgültig beendet. Der Schadenersatz nach Art. 82 I DSGVO umfasst anders als nach früherem Datenschutzrecht nunmehr neben den Vermögensschäden auch immaterielle Schäden, die Betroffene durch den Datenschutzverstoß erleiden, den Mastercard – dafür sprechen einige Indizien – mitverschuldet haben dürfte. Wenn die Plattform nicht wieder aktiviert werden kann, spricht das für fundamentale Sicherheitsmängel des Bonusprogramms und der beteiligten Systeme, die einen Verstoß gegen die Pflichten nach Art. 5, 24 und 32 DSGVO durch Mastercard wahrscheinlich machen.

Am 4.6.2020 schließlich kündigte Mastercard seinen Kunden den Vertrag über das Bonusprogramm mit Wirkung zum 4.7.2020 auf und kündigte Infos an, wie die gesammelten Coins dann nun eingelöst werden können. Diese liegen bisher nach meinen Informationen noch nicht vor.

Derzeit laufen einige Auskunfts- und Schadenersatzverfahren Betroffener gegen Mastercard beim zuständigen Amts- bzw. Landgericht (je nach geforderter Summe und Streitwert). Neben den entgangenen Coins hatten einige Betroffene weitere Schäden wie gesperrte Kreditkarten, Kreditkartenbetrug, nicht blockierbare Spamanrufe mit gefakten Rufnummern, belästigende Spamnachrichten auf das Mobiltelefon oder Spammails, Identitätsdiebstahl d.h. z.B. das Erstellen von Fakeshops mit der Identität der illegal veröffentlichten Daten der Teilnehmer, Inkassorechnungen und Mahnungen von getäuschten Onlinehändlern, bei denen mit der gestohlenen Identität eingekauft wurde und weitere Folgeschäden, insbesondere auch der sog. Emotional Distress, den Opfer von solchen massiven Datenschutzverstößen erleiden. Die Betroffenen haben in vielen Fällen auch Beschwerden bei der Aufsichtsbehörde eingelegt, aber die Hessische Aufsichtsbehörde hat mit Verweis auf die anhängigen Schadenersatzklagen in den mir vorliegenden Fällen das Verfahren ausgesetzt und verweist auf die belgische federführende Aufsichtsbehörde, obwohl fast nur deutsche Kunden betroffen sind und daher die Schadenersatzklagen hier nach § 44 I BDSG am Gerichtsstand der deutschen Niederlassung in Frankfurt am Main geführt werden und hinsichtlich der Feststellung der Datenschutzverstöße und Ahndung der Verletzung u.a. der Auskunftsansprüche der Betroffenen der Hessische Datenschutzbeauftragte zuständig ist. Nach dem One-Stop-Prinzip der DSGVO für grenzüberschreitende Datenpannen hat hier die Belgische Datenaufsichtsbehörde die Federführung übernommen – vgl. deren Pressemitteilung zur Datenpanne von Mastercard Priceless Specials. Es kommt daher auch eine Untätigkeitsbeschwerde nach 3 Monaten Untätigkeit gegen die Datenschutz-Aufsichtsbehörde nach Art. 78 II DSGVO in Betracht. Wir werden in Belgien zum Stand des Verfahrens nachfragen und unseren Mandanten, die wir betreuen, berichten. Aber unklar ist, ob unter diesen Umständen diese Aussetzung des Beschwerdeverfahrens bis zum rechtskräftigem Abschluss des gegenständlichen zivilgerichtlichen Gerichtsverfahren und Verweisung auf die belgische Aufsichtsbehörde DSGVO konform ist. Der HBDI verweist auf Nachfrage als Rechtsgrundlage auf § 17 GVG analog – aber zum einen geht die DSGVO vor und ausserdem ist fraglich, ob das sinnvoll ist. Nach Art. 78 DSGVO soll nämlich unbeschadet von anderen Rechtsmitteln vor den Gerichten auch gerade verhindert werden, dass Betroffene auf ausländische Behörden und Gerichte verwiesen werden, um ihre Betroffenenrechte effektiv sowohl über Beschwerdeverfahren bei den Aufsichtsbehörden als auch Zivilklagen vor den Gerichten verfolgen zu können.
Man kann gespannt sein, ob die Betroffenen die Kündigung von Mastercard ohne Entschädigung für den Schaden so hinnehmen werden oder erfolgreich ihre Ansprüche vor den Gerichten durchsetzen können. Anders als früher sind nach der DSGVO die Bußgelder und Schadenersatzbeträge viel höher, denn nach Erwägungsgrund 146 müssen sie abschreckend und wirksam sein und müssen bei den Verbraucherrechten Wertungswidersprüche vermieden werden – so auch zuletzt der BGH mit Urteil vom 6.6.2019 – I ZR 216/17 – zu unbegründeten Zahlungsaufforderungen aufgrund unbestellten Waren wegen Identitätsdiebstahls. Allein für die Verletzung der Auskunftspflichten hatte kürzlich das Arbeitsgericht Düsseldorf den Arbeitgeber bereits 5.000 Euro Schadenersatz verurteilt. Das Urteil ist zwar nicht rechtskräftig, weil das Berufungsverfahren anhängig ist, aber die Tendenz ist klar: Die Schadenersatzklagen werden von den Unternehmen ernst zu nehmen sein. Unternehmen sollten daher DSGVO-Auskunftsanfragen pflichtgemäß beantworten und sich bei der Digitalisierung auch nachhaltig um die Einhaltung der Pflichten zur rechtmäßigen sicheren Datenverarbeitung nach der DSGVO kümmern. Nur wenn die Unternehmen das proaktiv fortlaufend tun, sind wir alle vor den massiven Schäden geschützt, die Datenpannen für Betroffene und beteiligte Unternehmen auslösen. Wertungswidersprüche würden auch zu den Bussgeldern entstehen, die die DSGVO in Höhe von bis zu 4 % des weltweiten Umsatzes der unternehmensgruppe ansetzt – diese Grundsätze und ein DSGVO Verstoß bei 500 Gewinnspielteilnehmern haben nach einer Pressemitteilung der Behörde zuletzt z.B. bei der AOK zu einem Bußgeldbescheid des Landesdatenschutzbeauftragten von Baden-Württemberg von 1.240.000 Euro geführt.
Interessant und bisher ungeklärt ist auch die Frage, ob Schadenersatzansprüche nur die betroffenen Kunden des Mastercard Priceless Specials Programm haben oder auch die in Mitleidenschaft gezogenen Händler, bei denen dann mit gefälschten Kreditkarten und Identitäten eingekauft und geliefert wurde. In Artikel 82 heißt es nämlich, dass jedermann, der durch den Datenschutzverstoß des Verantwortlichen einen Schaden erleidet, Anspruch auf Ersatz des materiellen und immateriellen Schaden gegen den Verantwortlichen hat. Dessen Verschulden ist dabei nach Art. 82 III DSGVO indiziert. Nach Erwägungsgrund 146 heißt es dazu: ….Satz 3: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. 7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. 8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. 9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.“
Es spricht also auch der Wortlaut und der europarechtlich geltende Effektivitätsgrundsatz dafür, dass auch die geschädigten Händler Schadenersatzansprüche gegen Mastercard haben (vgl. z.B. so auch Paal in MMR 2020, 14f.).
Zur Höhe des Schadenersatzes für die immateriellen Schäden bei einem Datenbreach spricht nach vorherrschender Ansicht der Datenschutzexperten, dass dieser analog etwa der Faktorrechtsprechung bei Verletzung von Urheberrechten durch Filesharing (Beispiel OLG Frankfurt Az. 11 U 44/19: 50facher Wert des Einzelpreises der „Downloadversion“ des Computerspiels betrug fast 1.950 Euro und führte zu einem Schadenersatzurteil über 2.100 Euro) abhängig von der Dauer und dem Ausmaß der Datenpanne ein Vielfaches des Wertes der Daten als eine fiktive Lizenzgebühr als Schadenersatz zuzuerkennen ist. Gerade das unkontrollierbare der einfachen anonymen Weiterverbreitung über Filehoster und die enorme Ersparnis des Zeitaufwandes für die gewerblichen Betrüger durch offen im Internet erhältliche illegale Datenbanken führen ja zu den gezielten massenweisen Verwertung durch Hacking-, Erpressungs- und Betrugsattacken der Straftäter. Es ist also wichtig, daß diese Ansprüche effektiv verfolgt werden können und möglichst alle Betroffenen entschädigt werden.

Unterlassungsurteil des OLG Naumburg vom 07.11.2019 gegen Apotheker: Handel auf Amazon ohne Einwilligung in Gesundheitsdatenverarbeitung für Werbezwecke ist wettbewerbswidrig

Auf eine in 2017 ausgesprochene Abmahnung eines Apothekers gegen einen Wettbewerber, der auf Amazon Medikamente anbot, erging nun ein Unterlassungsurteil des OLG Naumburg gegen den Amazon Händler wegen fehlender Einwilligung in Verarbeitung von Gesundheitsdaten für Werbezwecke
(Volltext als pdf: OLG Naumburg, Urteile vom 07.11.2019 -9 U 6/19 und 9 U 39/18).
Das OLG Naumburg hat entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO wettbewerbswidrig sei und Mitbewerbern ein Unterlassungsanspruch zustehe, wenn die verletzte Norm in der konkreten Fallkonstellation als Marktverhaltensregelung einzuordnen ist. Vorliegend ging es um die Verarbeitung von Gesundheitsdaten beim Verkauf von Medikamenten über Amazon Markteplace. Das Gericht hat einen Wettbewerbsverstoß durch Verletzung von Art. 9 Abs. 1 DSGVO angenommen, weil der Händler die Bekanntheit der Amazon Plattform für Werbezwecke ausnutze und für sich ausnutze, dass Amazon auf Grundlage der Gesundheitsdaten weitere Produktvorschläge macht und somit Rückschlüsse auf die sensiblen Krankheitsdaten des Kunden oder seiner Familie geschlossen werde, ohne die nach Art. 9 Abs. 1 DSGVO ausdrückliche Einwilligung. Diese Verarbeitung von Gesundheitsdaten zu Werbezwecken müsse zudem nach dem Berufsrecht laut Entschließung der zuständigen Apothekerkammer ausdrücklich und schriftlich erfolgen.
Der Senat schließt sich damit nunmehr als 2. OLG der Auffassung des Hanseatischen OLG Hamburg an (OLG Hamburg, Urteil vom 25.10.2018 – 3 U66/17), wonach Datenschutzverstöße unter Umständen abmahnbar sein können durch Wettbewerber, und zwar müsse nach Inkrafttreten der DSGVO die jeweilige Norm der DSGVO, gegen die verstoßen wurde, konkret darauf überprüft werden, ob gerade jene Norm eine Regelung des Marktverhaltens zum Gegenstand hat (OLG Hamburg a.a.O. Rn. 72 juris). Dies war hier bei Art. 9 Abs.1 DSGVO zu bejahen, wie das OLG sorgfältig ausgeführt hat.
Ferner hat unter IV. der Entscheidung das OLG Naumburg aber auch entschieden, daß ein Schadenersatzanspruch hier mangels Verschulden nicht zuerkannt wird. Ein möglicher Schadenersatzanspruch gemäß § 9 UWG und ein vorbereitender Auskunftsanspruch setzen ein Verschulden voraus. Angesichts der bisher noch nicht abschließend von der Rechtsprechung geklärten Rechtslage zum marktregelnden Charakter der DSGVO billigte der Senat dem Beklagten einen unvermeidbaren Verbotsirrtum gemäß § 17 S. 1 StGB analog zu.

#Medienrecht #Bewertungen im Internet – hier: Google

Ein Gasthaus erhielt auf Google Maps eine schlechte 1-Sterne Bewertung – ohne Begründung des Nutzers. Das Gasthaus beschwerte sich erfolglos bei Google. Nun hat auf Klage des Gasthauses das Landgericht Hamburg mit Urteil vom 12.01.2018 dem Gasthaus Recht gegeben und Google verurteilt, es zu unterlassen, diese Bewertung zu verbreiten (sprich: Google muss die Bewertung des Gasthauses entfernen). Grund hierfür sei, dass die negative Bewertung ohne Begleittext keinerlei tatsächliche Anknpfungspunkte habe und der Suchmaschinendienst daher spätestens bei der Meldung des Gasthauses mit der URL der beanstandeten Bewertung seine Prüfpflichten verletzt hat. Ohne tatsächliche Anhaltspunkte, dass es ein Kunde des Gasthauses war, der hier bewertet und ohne Begründung ist die Veröffentlichung nicht gerechtfertigt, da nur Kunden des Gasthauses, die aufgrund einer eigenen Kundenerfahrung bewerten, sich auf die Meinungsfreiheit nach Art. 5 GG berufen können. Das Gasthaus und sein guter Ruf wird daher ohne eine Begründung verletzt. Google darf die negative Bewertung nicht ohne eine Begründung zulassen und hätte das sofort erkennen müssen. Die Bewertung hatte keinen Begleittext und war daher ohne weiteres für Google-Mitarbeiter als rechtswidrig erkennbar. Google und Facebook sollten sich also überlegen, ob es überhaupt zulässig ist, 1-6 Sterne Bewertungen über Unternehmen zu ermöglichen – ohne eine Begründung. Die Frage wird wohl zu verneinen sein und Entscheidungen wie diese werden hoffentlich kurz über lang dazu führen, daß die Anbieter Ihre Dienste anpassen, um solchen Mißbrauch auszuschließen oder zumindest nach Meldung umgehend tätig werden.

Wenn Sie ebenfalls Probleme mit einer negativen Bewertung haben, die nicht irgendwie nachvollziehbar begründet ist oder offensichtlich von keinem Kunden stammt (Fake-Bewertungen), unterstütze ich Sie als Fachanwältin für IT-Recht gerne. Kontakt Kanzlei Hagendorff hier.

Jameda muß Arztprofil löschen – BGH Urteil vom 20. Februar 2018 – VI ZR 30/17

Der BGH hat laut Mitteilung der Pressestelle heute ein weitreichendes Urteil für Bewertungsportale und Werbung im Internet gefällt: Das Arztsuche- und Bewertungsportal muß alle Daten der Ärzte, die nicht gelistet werden wollen, löschen. Warum? Nach den bisherigen Informationen ist die wesentliche Begründung, dass Jameda die Neutralität bei der Listung der Bewertung verlassen habe und könne sich für diese Bevorzugung nicht mehr auf die Meinungsfreiheit ihrer User berufen. Denn Jameda bevorzugt(e) jene Ärzte, die für die Werbung auf Jameda bezahlen in einer Gestaltungsweise, die nicht für den User hinreichend als Werbeanzeige erkennbar ist. Ähnliche Probleme bestehen auch mit anderen Bewertungsportalen und Plattformen im Internet, die Bewertungen anonymer User zulassen, sodaß vermutlich nunmehr auch Hotels, Gastronomie, Handwerker, Anwälte und andere betroffene Berufsgruppen gegen Portalbetreiber vorgehen könnten.

Im einzelnen heißt es laut Pressemitteilung 34/18:

„…Nach § 35 Abs. 2 Satz 2 Nr. 1 BDSG sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist. Dies war vorliegend der Fall.

Der Senat hat mit Urteil vom 23. September 2014 – VI ZR 358/13 (BGHZ 202, 242) für das von der Beklagten betriebene Bewertungsportal bereits im Grundsatz entschieden, dass eine Speicherung der personenbezogenen Daten mit eine Bewertung der Ärzte durch Patienten zulässig ist.

Der vorliegende Fall unterscheidet sich vom damaligen in einem entscheidenden Punkt. Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als „neutraler“ Informationsmittler. Während sie bei den nichtzahlenden Ärzten dem ein Arztprofil aufsuchenden Internetnutzer die „Basisdaten“ nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens „Anzeige“ Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres „Premium“-Kunden – ohne dies dort dem Internetnutzer hinreichend offenzulegen – solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als „neutraler“ Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit (Art. 5 Abs. 1 Satz 1 GG, Art. 10 EMRK) gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten (Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK) auch nur mit geringerem Gewicht geltend machen. Das führt hier zu einem Überwiegen der Grundrechtsposition der Klägerin, so dass ihr ein „schutzwürdiges Interesse an dem Ausschluss der Speicherung“ ihrer Daten (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG) zuzubilligen ist.

Neue Termine Datenschutz-Workshop: Sind Sie fit für die Datenschutzgrundverordnung (EU-DSGVO)?

Datenschutz-Workshop mit praktischen Tipps zur Umsetzung für KMU

Veranstaltungsort: D-61169 Friedberg (Hessen)

Ist Ihr Unternehmen und sind Ihre Mitarbeiter auf die ab 25.05.2018 gültige EU-Datenschutzgrundverordnung und die Begleitgesetze vorbereitet? Die Änderungen sind gravierend und machen die Umsetzung zur Chefsache in den Unternehmen. Aufsichtsbehörden der Länder haben teilweise bereits Fragebögen versendet, da sie anlaßunabhängig prüfen werden. Hervorzuheben sind dabei:

  • Rechenschaftspflicht und Einrichtung eines effektiven Datenschutzmanagementsystems
  • Organisation des Meldesystems bei Pannen und Informationsrechte der Betroffenen
  • Ausweitung der Betroffenenrechte einschließlich Vermögensschadenersatzansprüche mit Beweislastumkehr
  • drakonischen Erhöhung der Bußgelder nach Artikel 83 bei Verstößen in Höhe von bis 4 % des weltweiten Umsatzes im Unternehmensverbund oder 20 Mio. EURO
  • Haftung und Bußgelder nicht versicherbar

Laut aktueller Umfragen haben viele Unternehmen noch erhebliche Schwierigkeiten, die Vorgaben rechtzeitig richtig umzusetzen und bestehen noch viele Unsicherheiten. Wir wollen Ihnen helfen. Gerne machen wir auch inhouse-Workshops in Ihrem Unternehmen, sprechen Sie uns an.

Für eine praxistaugliche Anleitung und Tipps, wie ein effektives und rechtskonformes Datenschutzmanagement eingerichtet und fortlaufend effizient durchgeführt werden kann, referiert der langjährig erfahrene Datenschutzbeauftragte Peter Suhling aus Weinheim (suhling.biz). Er ist ISO 27001 Lead Auditor Managementsysteme, Datenschutzbeauftragter, KRITIS-Auditor.

>update 02.01.2018: Ferner vermittelt Thomas Novak, IT-Sicherheitsspezialist und Geschäftsführer der @one it GmbH (http://www.one-it.de) den Teilnehmern wichtiges aktuelles Sicherheits-Know-how zur Abwehr von Hacking-Angriffen auf Ihre Unternehmenssysteme in einer kurzen Präsentation mit dem Titel „Cyber Defense für Windows-Umgebungen im deutschen Mittelstand“.<

Für die rechtlichen Fragestellungen möchte ich aus anwaltlicher Sicht als Fachanwältin für IT-Recht aus meiner Praxis eine Einführung geben und berichten, was Unternehmer zu der Reform meines Erachtens wissen sollten. Anhand aktueller Beispiele will ich Sie bei der Umsetzung unterstützen. Anschließend bietet der Workshop in kleinem Teilnehmerkreis die Möglichkeit zu vertiefender Diskussion.

Termine:

Freitag, 02. Februar 2018, 15.00 Uhr bis ca. 17:30 Uhr (Anmeldung bis 19.01.2018) oder

Freitag, 16. März 2018, 15.00 bis ca. 17.30 Uhr (Anmeldung bis 02. März) abgesagt


Veranstaltungsort: Kanzlei Hagendorff, Am Straßbach 2 (Eingang Pfingstweide), 61169 Friedberg (Hessen)

Mindestteilnehmerzahl: 8 Teilnehmer

Teilnahmeentgelt 369 € zzgl. 19 % USt. je Teilnehmer, ab 2. Teilnehmer je Unternehmen 269 € zzgl.USt. inklusive Getränke

Zielgruppe: Datenschutzbeauftragte, Führungskräfte aus kleinen und mittelständischen Unternehmen, Betriebsräte, Selbständige

Veranstaltet von Stefanie Hagendorff – it-fachanwaeltin.de

P.S. Bitte nutzen Sie diese Unterlagen für die Anmeldung: Sind Sie fit für die EU-DSGVO(T2+3)2

#Arbeitnehmerdatenschutz im Unternehmen #Facebook-Fanpage

Die Digitalisierung schreitet weiter voran und führt auch gerade in Unternehmen zunehmend zu Konflikten mit betroffenen Mitarbeitern oder den Betriebsräten. In einem aktuellen Fall konnten sich die Parteien bis zuletzt nicht einig werden über die Facebook-Seite des Unternehmens und kam es daher zu einer Entscheidung des Bundesarbeitsgerichts. Die Facebook-Fanpage ermöglichte es öffentlich Lob, Kritik und Beschwerden über den Support der Arbeitgeberin und damit konkreter Mitarbeiter zu veröffentlichen. Daher verlangte der Konzernbetriebsrat die Abschaltung der Fanpage von der Arbeitgeberin, die sich weigerte. Hilfsweise verlangte der Konzernbetriebsrat zumindest erstmal eine Einigung über die Modalitäten des Betriebs der Fanpage herbeizuführen und die Fanpage bis dahin zu deaktivieren. Auch hierüber kam es nicht zur Einigung und der Konzernbetriebsrat verlangte vor dem Arbeitsgericht im Beschlussverfahren die Durchsetzung seiner Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG, der dem Gremium ein Mitbestimmungsrecht bei der Einführung von IT-Systemen, die zur Überwachung der Mitarbeiter geeignet sind, durchzusetzen. Teilweise zu Recht, wie schließlich das BAG entschied:

zur Mitbestimmung bei Einrichtung und Betrieb einer Facebookseite (Beschluss vom 13.12.2016, 1 ABR 7/15):
Eine vom Arbeitgeber betriebene Facebookseite, die es den Nutzern von Facebook ermöglicht, über die Funktion „Besucher-Beiträge“ Postings zum Verhalten und zur Leistung der beschäftigten Arbeitnehmer einzustellen, ist eine technische Einrichtung, die zur Überwachung der Arbeitnehmer iSd. § 87 Abs. 1 Nr. 6 BetrVG bestimmt ist. Die Bereitstellung der Funktion „Besucher-Beiträge“ unterliegt der Mitbestimmung des Betriebsrats, weil sie es Nutzern ermöglicht, zu bestimmten Mitarbeitern öffentliche Posts zur Leistung zu veröffentlichen, die sich einzelnen Mitarbeitern individuell zuordnen läßt.

Entsprechend verpflichtete das Bundesarbeitsgericht den Arbeitgeber auf den Hilfsantrag des Konzernbetriebsrats

„die Arbeitgeberin zu verpflichten, es zu unterlassen, den Nutzern der Internetplattform Facebook die Seite http://www.facebook.com/d…. zur Übermittlung (Posting) von Informationen zur Verfügung zu stellen, solange nicht die Zustimmung des Konzernbetriebsrats oder ein die Zustimmung ersetzender Beschluss der Einigungsstelle vorliegt,
Zum Volltext

Fazit: Wenn die Arbeitgeberin eine Facebook-Fanpage einrichtet oder  IT-Systeme, die Mitarbeiterdaten betreffen, in die Cloud geben, sollte mit dem Betriebsrat Betriebsvereinbarung ausgehandelt werden, die die Belange der Mitarbeiter schützt. Dabei sind je nach Situation im Unternehmen konkrete Regelungen sinnvoll und keine allgemeinen Pauschallösungen. Der Betriebsrat konnte hier laut BAG zwar nicht komplett die Unterlassung der Facebook-Fanpage verlangen, aber mit gestaltenden Regelungspunkten durchsetzen, daß die Mitarbeiter vor individueller Bloßstellung und Überwachung geschützt sind. Die Regelungen sollten aber je nach Umständen konkret formuliert werden. Da ich seit einiger Zeit verstärkt auch in diesem Bereich beratend tätig bin, unterstütze ich Betriebsräte oder Unternehmen bei diesen Verhandlungen gerne. Der Zwang der Unternehmen, sich auf die ab 25.08.2018 geltende EU-Datenschutzgrundverordnung (EU-DSGVO) einzustellen neben den gleichzeitig dann in Kraft tretenden Änderungen des Bundesdatenschutzgesetzes (siehe § 26 BDSG-neu), hat hierbei die Möglichkeiten der Mitarbeiter als Betroffener und der Betriebsräte deutlich erhöht, für die nötigen Betriebsvereinbarungen vorbereitend umfassend ihre Informationsrechte für die geplanten IT-Projekte geltend zu machen. Diese sollten die Betriebsräte selbstbewußt und mit Nachdruck geltend machen, um bessere und damit sinnvolle, effektive Betriebsvereinbarungen zu erzielen oder diese notfalls eben über Einigungsstelle bzw. Arbeitsgericht durchsetzen. Hilfreich ist hierbei u.a. die nach Art. 5 Abs. 3 und 82 Abs. 3 EU-DSGVO auf die Unternehmen zukommende Darlegungs- und Beweispflicht, was die Einhaltung der Datenschutzvorschriften angeht. Hierbei hilft auch, dass die Unternehmen nunmehr umfassend mit einem Datenschutzmanagement die Überlegungen, Prüfungen und Maßnahmen dokumentieren müssen und die Bußgelder bei Verstößen drastisch erhöht wurden, sodaß  die Bußgelder die Unternehmen wirksam zu angemessenen Maßnahmen anhaltend und das Risiko der Haftung abschreckend sein sollen  (bis zu 4 % des weltweiten Umsatz im Konzern nach Artikel 83 Abs. 5 EU-DSGVO). Betriebsräte tun damit nicht nur ihre Pflicht, sondern auch ihren Chefs einen Gefallen, wenn sie hier eindringlich nachbohren. Sie haben umfassende (weiter als bisher gehende)  Informationsrechte, um die nach Datenschutzrecht erforderliche Einwilligung informiert tun zu können. Übrigens: Vorstände und Geschäftsführer können sich gegen diese Bußgelder auch nicht mit einer sog. Directors & Officers Police absichern – wegen der Dokumentationspflichten wird in der Regel ein Vorsatz bei Durchführung von IT-Projekten ohne hinreichendes Datenschutzmanagement und ohne Betriebsvereinbarung anzunehmen sein und bei Vorsatz sind die Bußgelder und immateriellen Schadenersatzansprüche der Betroffenen, die auch noch hinzukommen, nicht abgedeckt.

Negative Bewertung im Internet löschen lassen – Jameda, Yelp, Tripadvisor & Co

Foto Tastatur-Boxhandschuhe-K&RJameda, Yelp, Tripadvisor & Co. machen Ärzten und Hotels das Leben schwer. Einige Tipps.

Bewertungsportale nehmen in einigen Branchen deutlich an Bedeutung zu. Der Trend ist nicht aufzuhalten. Das zeigen die vielen Bewertungen in bestimmten Branchen. Junge Nutzer und auch Business-Kunden sowie Rentner, die viel reisen, nutzen diese mit ständig zunehmender Tendenz. Auch Händler sind davon betroffen. Wer nicht mitspielt, hat das Nachsehen. Trotz häufiger Beschwerden lohnt sich das Geschäft wohl für die Portalbetreiber und die gut bewerteten Unternehmen. Vor allem Ärzte und Hotels, aber auch Restaurants, Frisöre oder andere Betriebe sind hiervon zunehmend betroffen, auch wenn sie keinen Werbeeintrag bei den Online-Portalen beantragt haben. Laut Rechtsprechung müssen alle Unternehmer und Selbständige, die Waren oder Dienstleistungen anbieten, es sich gefallen lassen, anonym bewertet zu werden, aber der Portal-Betreiber kann in Haftung genommen werden, wenn er Prüfpflichten verletzt. Das ist Ihre Chance, wenn Sie Opfer eines üblen Negativ-Kommentars geworden sind, der die zulässigen Grenzen überschreitet und vor allem dann, wenn üble Nachrede und Beleidigungen enthalten sind. Im Folgenden möchte ich Ihnen als erfahrene Fachanwältin für Internetrecht einige Tipps beim Umgang mit solchen Vorfällen geben:

  1. Nutzen Sie Google Alert oder andere Monitoring-Dienste, um möglichst umgehend Nachricht über öffentliche Äußerungen zu Ihrem Unternehmen zu bekommen. Als Schlüsselwort müssen Sie dort den Namen oder die Marke Ihres Unternehmens angeben und Ihre E-Mail Adresse. Wenn Sie bei Yelp & Co. registriert sind, erhalten Sie die Nachricht auch direkt von dem Portalbetreiber.
  2. Nehmen Sie als erstes die Möglichkeit wahr, direkt online auf dem Portal dem Kommentator höflich, aber sachlich bestimmt zu antworten. Agieren Sie möglichst zeitnah. Ein gutes Monitoring mit Suchagenten (z.B. den kostenlosen Dienst Google Alerts oder komplette Media-Monitoring Agenturen für große Marken). Zweck ist es zum einen, den wütenden Troll zu besänftigen und öffentlich zu zeigen, dass Sie als guter Serviceanbieter Beschwerden ernst nehmen und prüfen. Das beweist guten Kundenservice und da viele Interessenten wissen, daß es immer Leute gibt, die etwas zu meckern haben, machen Sie dann bei geschickter Umgangsweise sogar aus einer negativen Bewertung ein Beispiel, wie Sie professionell daran arbeiten, immer besser zu werden. Es gibt auch Agenturen für Reputation-Management, aber auch Anwälte wie ich helfen Ihnen gerne dabei, hier geschickt zu kommunizieren. Sie beweisen somit den anderen Lesern auch, dass der Eintrag kein Fake-Account ist mit lauter unechten Lobeshymnen auf Ihren Betrieb. Denn Fake-Bewertungen der Werbetreibenden gibt es teilweise ja leider auch. Wer viele Bewertungen hat, dem schadet es nicht so sehr, wenn dann auch mal ältere schlechte dabei sind.
  3. Meldung auf Portal machen. Den Namen und Anschrift des Nutzers muss der Portalbetreiber aus Datenschutzgründen dem bewerteten Unternehmen nicht schildern, das hat der Bundesgerichtshof bereits entschieden. Aber der Portalbetreiber muß ein Impressum mit dem inhaltlich verantwortlichen für das Portal vorhalten, der angeschrieben werden sollte. Auf Ihre Beschwerde muß er plausibel machen können, ob es tatsächlich ein ehemaliger Patient oder Kunde ihres Geschäfts ist, der hier die Bewertung abgegeben hat und bei Beschwerden beim Nutzer rückfragen. Kann der Nutzer Zweifel nicht ausräumen, hat der negativ bewertete Unternehmer Anspruch auf Entfernung der negativen Äußerung von dem Portal (BGH, Urteil vom 1.3.2016, Az. VI ZR 34/15). Gleiches gilt bei unwahren Behauptungen. Wenden Sie sich bei unzulässigen Bewertungen wie Schmähtiraden, die keine sachliche Grundlage haben, unmittelbar über den Link „Problem melden“ an den inhaltlich verantwortlichen Portalbetreiber. Bei den meisten Portalen ist der Link direkt neben dem Post zu finden, und füllen Sie das Online-Formular aus. Es ist häufig effektiver als gleich per Post einen Schriftwechsel zu führen. Der Anbieter ist dann rechtlich verpflichtet, bei dem Nutzer zurückzufragen und sich – etwa bei Zweifeln an der Patienteneigenschaft /Kundeneigenschaft – Belege oder Indizien, die den Sachverhalt glaubhaft machen, zu erfragen und an Sie weiterzuleiten. Wird z.B. behauptet: „In dem Hotel schimmelt es im Bad“ und ist dies falsch oder jedenfalls nicht mehr aktuell, handelt es sich um eine falsche Tatsachenbehauptung und damit irreführend. Der Nutzer muss dann sagen, wann genau und in welchem Zimmer er gebucht hat, oder Zahlungs-Belege des Hotels vorlegen, damit Sie die Kundeneigenschaft und Richtigkeit der Behauptung überprüfen können. Möglicherweise sind die Bäder inzwischen vollständig renoviert und die Bewertung dadurch falsch, weil nicht dabei steht, dass der Besuch 2 Jahre her ist. Dann ist es wahrscheinlich kein echter Kunde, sondern ein Wettbewerber, der unzulässige üble Nachrede vom Hörensagen betreibt, um sich einen unlauteren Vorteil zu verschaffen. Wichtig ist also erst einmal rauszubekommen, ob es wirklich ein ehemaliger Kunde war, der Ihnen hier schadet. Das eventuell auszuschließen, geht am besten mit Indizien, die das Portal liefern muss, wenn die Bewertung gemeldet wird. Können die es nicht, muss die Bewertung einschließlich schlechter Note entfernt werden.
  4. Schalten Sie mich oder einen anderen Fachanwalt für IT-Recht oder gewerblichen Rechtsschutz ein, wenn nicht innerhalb von 10 -12 Tagen nach Ihrer Beschwerde die Sache geklärt ist. Ich prüfe nach Ihrer Beauftragung die Aussichten und kann den Portalbetreiber in geeigneten Fällen anwaltlich abmahnen d.h. zur Löschung auffordern und Abgabe einer strafbewehrten Unterlassungserklärung, damit sich Verletzungen dieser Art nicht wiederholen. Wird die Bewertung nicht oder nur teilweise entfernt, bleibt aber die schlechte Note auch erhalten, kann allein dies auch schon Ansprüche auf Entfernung der schlechten Bewertung gegen den Portalbetreiber begründen.
  5. Kosten der Beauftragung sind nach dem RVG abhängig vom Streitwert. Dieser beträgt je nach Lage des Falles in diesen Bewertungsfällen häufig zwischen 10.000 und 25.000 €. Die Anwaltskosten für Beratung und anwaltliche Abmahnung mit anschließender Korrespondenz liegen daher bei ca. 900 – 1200 Euro. Wird eine einstweilige Verfügung erforderlich oder eine Klage ist mit 4.000 – 6.000 Euro Anwalts- und Gerichtskosten zu rechnen, die das Portal dann, wenn es haftbar gemacht werden kann, Ihnen oder der Rechtsschutzversicherung zu erstatten hat. Rechtsschutzversicherungen für Selbständige oder Unternehmen übernehmen die Anwalts- und Gerichtskosten oft. Die Erstattungsansprüche gehen dann auf diese über.


Noch Fragen
? Dann rufen Sie in meinen Bürozeiten Mo-Fr von 10.00 bis 17.00 Uhr gerne an und vereinbaren ein Beratungsgespräch!

Rechtsanwältin Stefanie Hagendorff * Fachanwältin für IT-Recht *
Friedrichsdorf bei Frankfurt am Main – Tel. +49 6172-688 014

Kontakt

#Abmahnungen wegen #Datenschutz #Social-Media Wie sollte man vorbeugen

Bei der Einbindung von Like Buttons und anderen sogenannten Social Plugins in die Webseite kann man sich als werbetreibender und damit verantwortlicher Unternehmer unangenehme und teure Abmahnungen von Verbraucherzentrale, Wettbewerbsvereinen oder Mitbewerbern einhandeln. Seit einigen Monaten dürfen auch diese Abmahnvereine wegen Datenschutzverstößen abmahnen, weil das Unterlassungsklagengesetz entsprechend geändert wurde. Einige wissenswerte Tipps für die Webdesigner, die versuchen wollen, ihre Kunden soweit als möglich zu schützen (Liste keineswegs vollständig, aber immerhin…) hat hier ein SEO Experte übersichtlich erklärt http://t3n.de/news/schutz-vor-social-plugin-abmahnungen-697470/