Datenschutz in Unternehmen: Viel zu tun wegen der DSGVO – Tipps für KMU

Wenn es in diesen schwierigen Tagen um Prozesse und Datenschutz in Unternehmen geht, gerade solche mit vielen Prozessen und in großen Unternehmensgruppen, stellen diese fest: das ist nicht so einfach, die Prozesse anzupassen und soweit möglich umzustellen. Es muss aber leider sein. Die Auftragsverarbeitungsverträge (AV Verträge) mit Partnern müssen überprüft werden, ggfs. sind sie seit 05/2018 oftmals nicht mehr DSGVO-konform und es drohen sehr hohe Haftungsrisiken, die nach Art. 83 DSGVO je nach Verstoss von 2 % bis zu 4 % der weltweiten Umsatze der Unernehmensgruppe betragen köennen. Es ist daher trotz der Schwerfälligkeit der Behörden keine gute Idee, diese Risiken tatenlos einzugehen – es gilt die altbewährte Regel: die Behörden sind zwar langsam, aber wenn sie dann auf den Plan gerufen sind, können sie ggfs. recht gründich sein aufgrund der hoheitlichen erweiterten Eingriffs- und Nachschaubefugnisse, die nun seit 2018 im Datenschutzrecht den Aufsichtsbehörden nach der DSGVO zuerkannt worden sind. Im Zweifel greift auch keine Versicherung bei grobfahrlässiger Vernachlässigung von Pflichten zum Datenschutzmanaement nach den Art. 5, 24, 26, 28, 30, 32 DSGVO und den daraus sich ergebennden Pflichten, die prozesse im Hinblick auf den Datenschutz vorher zu prüfen, anzupassen, datenschutzfreundlich zu gestalten und das zu dokumentieren… Ferner gibt es die seit 2018 neue Rechtsfigur der sog. gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, die Auftragsverarbeitungsverträge zwischen den gemeinsam Verantwortlichen Partnern ausschliesst. Auch hier sind Verträge in vielen Unternehmensgruppen oder Partnerschaften anzupassen.
Wenn Sie als Unternehmen nur Auftragsverarbeitungsverträge haben obwohl teilweise richtigerweise gemeinsame Verarbeitungen vorliegen und daher Vereinbarungen nach Art. 26 DSGVO anstatt von AVs erforderlich sind oder ggfs. nicht ausreichende Datenschutzvereinbarungen mit Ihren Partnern geschlossen haben, sollten diese überprüft werden und gibt es Handlungsbedarf, wenn das nicht richtig passt. Dann kann es sein, dass dringender Handlungsbedarf besteht, weil die falschen Verträge geschlossen wurden und die Prozesse falsch bewertet worden sind, das ist dann dringend zu ändern (wegen der Höhe der Haftung). Das sollte dann besser anwaltlich abgeklärt und nachgebessssert werden. Denn: In einigen Fällen handelt es sich nach den Kriterien von Art. 4 i.V.m. Art. 26 DSGVO bei der Verarbeitung von Nutzer- oder Kudnendaten bzw. Mitarbeiterdaten (jedenfalls personenbezogenen Daten), um eine gemeinsame Verantwortlichkeit, auch wenn Sie keinen Zugriff auf die Nutzer- oder Kundendaten haben – dazu gab es in 20. Das iste ein häufiger Irrtum – so die eindeutige Rechtssprechung des EUGH in den Verfahren daß diese nicht die nach Art. 26 DSGVO erforderlichen Voraussetzungen erfüllen. D. h. dann Uups – statt einer Kooperationsvereinbarung bzw. „joint controller agreement“ nach Art. 26 DSAGVO nur einen Auftragsverarbeitungsvertrag (AV Vertrag) nach Art. 28 DSGVO abgeschlossen oder nur irgendwelche unzureichende Datenschutzvereinbarungen geschlossen? Das bereitet einigen Unternehmen massive Probleme haftungsrechtlicher Art, sei es im Verhältnis zu Partnern, Kunden oder Mitarbeitern oder bei Beschwerden oder Schadenersatzklagen nach Art. 82 DSGVO auch aufgrund deren Klagen für die Unternehmen. …. Denn das alte Bundesdatenschutzgesetz (BDSG) in der alten vor dem Mai 2018 geltenden Fassung kannte die Rechtsfigur der gemeinsamen Verantwortlichkeit in Deutschland nicht. Daher gab es hier andere vertragliche und datenschutzrechtliche Konzepte. Nunmehr poppt immer mehr auf, dass aufgrund der Art- 26 DSGVO i.V.m. Art. 6, 24 DSGVO in allen Fällen, in denen gem. Art. 4 DSGVO jemand gemeinsam Verantwortlicher ist mit Partnern, eine solche Regelung nach Art.26 DSGVO schliessen muß und das auch den Betroffenen im Wesentlichen in den Datenschutzhinweisen offenlegen muss, insbesondere damit der weiss, wer für welche Datenverarbeitungen bei dieser Kooperation zuständig ist. Das ist für die Unternehmen ungewohnt, wird nun aber zunehmend viel Aufwand bei der Umstellung von Prozessen in Anspruch.
Die Prozesse sind hier komplex und daher kann ich hier in dem Blogbeitrag keine Standardlösungen aufzeigen. Soweit die Aufsichtsbehörden meinen, dass aufgrund des Wegfalls des US-Privacy Shields als Rechtfertigung für die Übermittlung an US-Dienstleister dies „zeitnah“ so der EDSA und die DSK umzusetzen seien – was immer das heisst, wird es eine kurze Umsetzungsfrist geben, deren Dauer unklar ist. Wenige Wochen oder Monate wird das abdecken. Viele Unternehmen können nicht alle Dienste sofort umstellen, sondern es gibt Dienste, die zumutbar nicht kurzfristig verzichtbar sind und deren Umstellung auf andere Anbieter Zeit braucht. Es wird dazu gerichtliche Streitigkeiten geben, ob und wie lange das erforderlich war… und wer nichts gemacht hat und diese Umstände nicht darlegen kann, dass er sich bemüht hat, dem werden sehr hohe Abmahnstrafen/Vertragsstrafen/Rufschaden und/ oder Bussgelder der Datenschutzaufsichtsbehörden nach Art. 83 DSGVO in Höhe von bis zu 4 % der Umsätze der Unternehmensgruppe drohen, je nach Art und Schwere der Verstösse und / oder Schäden der Betroffenen, und dies ins Risikokalkül aufzunehmen haben. Schadenersatzansprüche haben nach Art. 82 DSGVO aktuell in der Rechtssprechung ebenfalls stark aufsteigende Tendenz, weil dies nach Art. 82 DSGVO gemessen an dem bisherigen Datenschutzrecht auch gar nicht mehr von den Richtern vertretbar wäre. Entsprechend gab es bereits Urteile, die allein für die unzureichende Auskunft entgegen Art. 15 DSGVO 5000 Euro Schadeneresatz zuerkannt haben (ArbG Düsseldorf) und sind weitere Verfahren bei verschiedenen deutschen Amts- und Landgerichten anhägig, in denen sich ähnliches abzeichnet. Es ist also nur eine Frage der Zeit, dass hier Schadenersatzklagen wegen ihrer Masse und ggfs. auch ihrer Höhe ernst zu nehmen sind. Dabei werden Director & Officers Versicherungen nicht eintreten, wenn grob fahrlässiges Verhalten vorliegt. Das ist der Fall, wenn Pflichten der DSGVO nach Art..24 DSGVO verletzt worden sind, d.h. falsche Verträge ohne ordnungsgemäßes Datenschutzmanagement geschlossen werden, die Prozesse nicht richtig in Verarbeitungsverzeichnissen nach Art. 30 DSGVO angeschaut und laufend aktualisiert worden sind und nicht nach Art. 24 DSGVO je nach Risiko die angemessenen Massnahmen organisiert worden sind. Je nach Lage sind dann zur Qualifizierung der Prozesse erforderlich, ob Datenschutzkonzepte, Löschungskonzepte, Auftragsverarbeitungsverträge nach Art- 29 DSGVP oder Joint-controller-agreements nach Art. 26 DSGVO erforderlich sind bei Einschaltung von Dienstleistern mit den jeweils dort vorgeschriebenen Regelungen.

Was sind die Spezialgebiete eines Fachanwalts für IT-Recht?

Fachanwälte müssen auf den jeweiligen Fachgebieten praktische Erfahrung nachweisen und sich jährlich qualifiziert fortbilden. Das tue ich und will das näher beschreiben, was das bedeutet.
Die Fachanwaltsordnung Stand 1.1.2020 definiert das Fachgebiet Informationstechnologie für Fachanwälte wie folgt (meine Schwerunkte habe ich fett gekennzeichnet):
§ 14k der Fachanwaltsordnung – Nachzuweisende besondere Kenntnisse im Informationstechnologierecht Für das Fachgebiet Informationstechnologierecht sind besondere Kenntnisse nachzuweisen in den Be-reichen:
1. Vertragsrecht der Informationstechnologien, einschließlich der Gestaltung individueller Verträge und AGB,
2. Recht des elektronischen Geschäftsverkehrs, einschließlich der Gestaltung von Provider-Verträgen und Nutzungsbedingungen (Online-/Mobile Business),
3. Grundzüge des Immaterialgüterrechts im Bereich der Informationstechnologien, Bezüge zum Kennzeichenrecht, insbesondere Domainrecht,
4. Recht des Datenschutzes und der Sicherheit der Informationstechnologien einschließlich Verschlüsselungen und Signaturen sowie deren berufsspezifischer Besonderheiten,
5. Das Recht der Kommunikationsnetze und -dienste, insbesondere das Recht der Telekommunikation und deren Dienste,

6. Öffentliche Vergabe von Leistungen der Informationstechnologien (einschließlich e-Government) mit Bezügen zum europäischen und deutschen Kartellrecht,
7. Internationale Bezüge einschließlich Internationales Privatrecht,
8. Besonderheiten des Strafrechts im Bereich der Informationstechnologien,
9. Besonderheiten der Verfahrens- und Prozessführung.
Es handelt sich derzeit um ein besonders herausforderndes Gebiet mit hohen Risiken und Herausforderungen für die praktische Umsetzung und erfogreiche Durchsetzung bzw. Abwehr bei Streitigkeiten in diesem Bereich.

EUGH hat das US-Privacy Shield für ungültig erklärt – Handlungsempfehlungen für KMU.

Was müssen Webseitenbetreiber und Nutzer von sonstigen Cloud-Diensten US-amerikanischer Anbieter nun tun, nachdem der EUGH das US-Privacy Shield (im Urteil vom 16.07.2020 in der Rechtssache Max Schrems gegen Facebook) für ungültig erklärt hat?
Geschäftliche Nutzer von Clouddiensten z.B. Webseitenbetreiber von WordPress-Webseiten oder Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter einsetzen, sollten nun prüfen, ob hinsichtlich der Übermittlung personenbezogener Kunden- und Mitarbeiter- oder auch nur Nutzerdaten von Nutzern der Webseite, Data Privacy Agreements oder „Data Privacy Addendum“ vorliegen, die sie mit den Anbietern abgeschlossen haben sollten und ob diese inhaltlich die Vorgaben der EU-Kommission zur Verwendung von EU-Standardvertragsklauseln (Data Controller to processor EU-Data Standard Model Clauses) nach Art. 45 DSGVO beinhalten. Denn diese Standardvertragsklauseln hat der EUGH ausdrücklich als gültig bestätigt.
Grund: Der EUGH hat mit Urteil von heute 16.07.2020 in der Rechtssache Max Schrems gegen Facebook verkündet, dass das US-Privacy Shield unwirksam ist und kein angemessenes Datenschutzniveau im Sinne von Art. 46 DSGVO gewährleistet. Im wesentlichen hat er das – zu Recht – damit begründet, dass die USA dieses Abkommen nicht einhalten, insbesondere EU-Bürger keinen wirksamen Rechtsschutz in den USA zur Wahrung ihrer Datenschutzrechte nach der DSGVO haben, vor allem ist der nach dem US-Privacy Shield Abkommen zugesicherte Ombudsmann tatsächlich nicht wirklich arbeitsfähig und erreichbar für EU Bürger. Das Urteil ist nicht überraschend, weil schon lange u.a. auch vom EU-Parlament diese Missstände angeprangert und moniert wurden.
Das bedeutet, wer Clouddienste U.S.-amerikanischer Anbieter nutzt und darin Nutzer IDs, IP-Adressen, und ähnliche personenbezogene Daten von den Cloud Diensten verarbeiten lässt, benötigt Verträge zum Datenschutz, die die EU-Standardvertragsklauseln (EU-Data Processing Model Clauses Controller to Processor) bei Auftragsverarbeitungen im Sinne von Art. 28 DSGVO oder Processor to Processor Model Clauses bei sog. Gemeinsamen Verantwortlichen nach Art. 26 DSGVO verwendet.
Den Abschluss der entsprechenden Verträge, die nach der DSGVO auch elektronisch erfolgen können, etwa über AGB, müssen Sie z.B. als Webseitenbetreiber oder Arbeitgeber zuverlässig als verantwortliche Stelle nach Art. 5 DSGVO nachweisen können. Die US-Anbieter ordnen Sie nämlich nicht unbedingt als EU-Kunde ein, wenn Sie die entsprechenden Zusatzvereinbarungen nicht abgeschlossen haben, weil es darauf ankommt, wessen personenbezogene Daten Sie nach Ihrem Geschäftsmodell zu welchen Zwecken verarbeiten. Da die USA weitestgehend und Südamerika sowieso keine angemessenen Datenschutzgesetzte hat (außer Kalifornien und Canada) wird von vielen US-Anbietern ohne dokumentiertem Abschluss der entsprechenden Zusatzvereinbarungen diese auch nicht aktiviert.
Praxistipp: Sie sollten nun zur Vermeidung von Abmahnungen oder hohen Bussgeldern wegen Verstößen gegen die Vorschriften des Datenschutzrechtes für die Internetseite und sonstige Prozesse, bei denen US-Clouddienste in Ihrem Unternehmen zum Einsatz kommen, die Liste Ihrer verwendeten US-Anbieter z.B. anhand Ihrer Datenschutzhinweise und Verarbeitungsverzeichnisse durchgehen und prüfen lassen, ob für die Dienste vom Anbieter die entsprechenden Data Privacy Addendums oder sonstige entsprechende Data Processing Terms vorliegen, die die Voraussetzungen der EU-Kommission zu den o.g. Angemessenheitsbeschlüssen erfüllen, die – soweit noch nicht geschehen – abschließen und das dokumentieren. Ferner sollten Sie Ihre Verarbeitungsverzeichnisse sowie Datenschutzhinweise gemäß DSGVO anpassen und die entsprechenden Passagen, die auf das nicht mehr gültige EU-Privacy Shield nach Art. 46 DSGVO z.B. in Ihren Datenschutzhinweisen rekurrieren, abändern. Viele US-Anbieter wie z.B. Automattic Inc. mit Sitz in den USA – WordPress.com stellen entsprechende Data Privacy Addendums bereits zur Verfügung, weil diese Entscheidung des EUGH absehbar war.
Standardvertragsklauseln können aber laut EUGH Urteil vom 16.07.2020 – Schrems II nur dann eingesetzt werden, wenn sie nach den konkreten Umständen auch von den Vertragsparteien eingehalten werden können. Das könnten etwa besondere Verschlüsselungen sein, die gewährleisten, daß die US-Behörden und der US-Anbieter faktisch nicht auf die zu schützenden Inhalts- und Metadaten zugreifen können und wenn der Anbieter garantiert, dass die Server in der EU sich befinden in gesicherten Rechenzentren. Dann können ggfs. EU-Standardvertragsklauseln auch mit US-Anbietern geschlossen werden. Klar dazu hat sich der EUGH allerdings nicht geäussert. Falls der US-Cloud Anbieter keine rechtmäßigen Vertragsklauseln der beschriebenen Art anbietet, ist zu prüfen, ob ggfs. Ausnahmetatbestände anwendbar sind. Das ist nach Art. 49 Abs. 1 a DSGVO zum einen eine Einwilligung des Betroffenen, die ausdrücklich gegeben wird, nachdem der Betroffene auf die besonderen Risiken hingewiesen wurde. Das ist derzeit z.B. bei Cookie Consent Managern für Webseiten (Also die Banner, die bei Aufruf von Webseiten zunächst für die Cookies fragen, ob diese zugelassen werden oder abgelehnt werden) – ein Anwendungsfall, wenn nicht erforderliche Cookies von Anbietern wie Google, Facebook, Adobe usw. aus Drittländern eingesetzt werden sollen und hierfür eine Einwilligung zu deren Aktivierung benötigt wird. Ferner zählt Art. 49 noch eine Reihe weiterer Ausnahmetatbestände auf wie etwa, wenn die Drittlandübermittlung z.B. zum Schutze lebenswichtiger Interessen der betroffenen Person erforderlich ist. Art. 49 DSGVO Die Prüfung und Anpassung der Prozesse, ggfs. Wechsel von Anbietern oder zumindest Änderungen von deren Verträgen und Einbindungen sowie der Datenschutzhinweise erfordern nun Aufwand. Dieser ist aber wohl unvermeidlich, denn weder der EUGH noch die Aufsichtsbehörden billigen nach ihren Reaktionen auf das Urteil relevante Umsetzungsfristen zu. Zwar wird eine Umsetzungfrist dann in der Praxis für eine kurze Übergangszeit aus Verhältnismäßigkeitsgründen den Unternehmen eingeräumt werden. Wegen der Unklarheit, wie lange diese eingeräumt wird, ist es aber nur eine Frage der Zeit, dass einzelne „schärfere“ Aufsichtsbehörden aufgrund von Beschwerden oder wiederholender Datenpannen tätig werden und Bussgeldverfahren einleiten werden. Amtliche Bussgelder aufgrund von DSGVO-Verstössen – soweit teilweise amtlich bestätigt oder veröffentlicht – können teilweise hier nachgelesen werden (ohne Anspruch auf Vollständigkeit): https://www.enforcementtracker.com/ oder hier https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php Die Stellungnahme der Datenschutzkonferenz der deutschen Datenschutzaufsichtsbehörden vom 28.07.2020: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf verweist auf die Stellungnahme des EDSA (Europäischer Datenschutzausschuss bei der EU): https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de Dieser antwortet recht streng auf die Frage, ob es eine Umsetzungsfrist gibt: „No, the Court has invalidated the Privacy Shield Decision without maintaining its effects, because the U.S.law assessed by the Court does not provide an essentially equivalent level of protection tothe EU. This assessment has to be taken into account for any transfer to the U.S. …“ FAZIT: Vor diesem Hintergrund antworten derzeit die deutschen Aufsichtsbehörden auf die Frage nur vage und zähneknirschend mit: „zeitnah“ – was auch immer das nun dann in den Augen der Gerichte, die später bei Streitfällen zu entscheiden haben werden, sein wird. Dort, wo es möglich und zumutbar ist, sollten Unternehmen daher unbedingt unverzüglich auf EU-Anbieter umstellen oder die o.g. angesprochenen Änderungen und Anpassungen vornehmen.

#DSGVO #Schadenersatzansprüche betroffener Händler und Kunden bei Datenpannen?

Hier am aktuellen Beispiel zur #Datenpanne bei #Mastercard Priceless Specials vom August 2019. Jetzt nehmen die Schadenersatzverfahren Fahrt auf, weil das Programm endgültig eingestellt wurde.

Ca. 90.000 Teilnehmer des Mastercard Priceless Specials Programms waren im Sommer 2019 betroffen von einer Datenpanne, weil die Datenbank offen mit Namen, Anschrift, Mobilfunknummer, E-mail, Geburtsdatum und Kreditkartendaten im Internet abrufbar waren. Mastercard hatte die Datenpanne unweigerlich offiziell bestätigen müssen und sich entschuldigt, die Plattform mit Bonusprogramm „vorläufig“ und inzwischen endgültig deaktiviert, aber eine Verantwortlichkeit für die Datenpanne pauschal abgestritten. Die Aufsichtsbehörden in Hessen (HBDI) – hier die Pressemitteilung des HBDI vom 23.08.2019 mit den späteren updates – und die federführende Aufsichtsbehörde des datenschutzrechtlichen Untersuchungsverfahrens in Belgien DPA in Brüssel – https://www.dataprotectionauthority.be/contact-us -erhielten zahlreiche Beschwerden Betroffener über unzureichende Auskünfte. Aber bis heute hat Mastercard nicht viel zur Aufklärung über die Verantwortlichkeit beigetragen, obwohl die Datenpanne nach Art. 82 III DSGVO indiziert, dass Mastercard für den Datenschutz verantwortlich ist oder ihn ermöglicht hat, wenn und soweit Mastercard als Verantwortliche nicht nachweist, in keiner Weise für den massiven Verstoß durch diesen Datenpanne ein Verschulden zu tragen. Das ist bisher nicht geschehen und offenbar ist Mastercard weder in der Lage noch gewillt, dass Programm wie bisher angekündigt, wieder datenschutzkonform zu aktivieren. Priceless ist gekündigt und wurde zum 4.7.2020 endgültig beendet. Der Schadenersatz nach Art. 82 I DSGVO umfasst anders als nach früherem Datenschutzrecht nunmehr neben den Vermögensschäden auch immaterielle Schäden, die Betroffene durch den Datenschutzverstoß erleiden, den Mastercard – dafür sprechen einige Indizien – mitverschuldet haben dürfte. Wenn die Plattform nicht wieder aktiviert werden kann, spricht das für fundamentale Sicherheitsmängel des Bonusprogramms und der beteiligten Systeme, die einen Verstoß gegen die Pflichten nach Art. 5, 24 und 32 DSGVO durch Mastercard wahrscheinlich machen.

Am 4.6.2020 schließlich kündigte Mastercard seinen Kunden den Vertrag über das Bonusprogramm mit Wirkung zum 4.7.2020 auf und kündigte Infos an, wie die gesammelten Coins dann nun eingelöst werden können. Diese liegen bisher nach meinen Informationen noch nicht vor.

Derzeit laufen einige Auskunfts- und Schadenersatzverfahren Betroffener gegen Mastercard beim zuständigen Amts- bzw. Landgericht (je nach geforderter Summe und Streitwert). Neben den entgangenen Coins hatten einige Betroffene weitere Schäden wie gesperrte Kreditkarten, Kreditkartenbetrug, nicht blockierbare Spamanrufe mit gefakten Rufnummern, belästigende Spamnachrichten auf das Mobiltelefon oder Spammails, Identitätsdiebstahl d.h. z.B. das Erstellen von Fakeshops mit der Identität der illegal veröffentlichten Daten der Teilnehmer, Inkassorechnungen und Mahnungen von getäuschten Onlinehändlern, bei denen mit der gestohlenen Identität eingekauft wurde und weitere Folgeschäden, insbesondere auch der sog. Emotional Distress, den Opfer von solchen massiven Datenschutzverstößen erleiden. Die Betroffenen haben in vielen Fällen auch Beschwerden bei der Aufsichtsbehörde eingelegt, aber die Hessische Aufsichtsbehörde hat mit Verweis auf die anhängigen Schadenersatzklagen in den mir vorliegenden Fällen das Verfahren ausgesetzt und verweist auf die belgische federführende Aufsichtsbehörde, obwohl fast nur deutsche Kunden betroffen sind und daher die Schadenersatzklagen hier nach § 44 I BDSG am Gerichtsstand der deutschen Niederlassung in Frankfurt am Main geführt werden und hinsichtlich der Feststellung der Datenschutzverstöße und Ahndung der Verletzung u.a. der Auskunftsansprüche der Betroffenen der Hessische Datenschutzbeauftragte zuständig ist. Nach dem One-Stop-Prinzip der DSGVO für grenzüberschreitende Datenpannen hat hier die Belgische Datenaufsichtsbehörde die Federführung übernommen – vgl. deren Pressemitteilung zur Datenpanne von Mastercard Priceless Specials. Es kommt daher auch eine Untätigkeitsbeschwerde nach 3 Monaten Untätigkeit gegen die Datenschutz-Aufsichtsbehörde nach Art. 78 II DSGVO in Betracht. Wir werden in Belgien zum Stand des Verfahrens nachfragen und unseren Mandanten, die wir betreuen, berichten. Aber unklar ist, ob unter diesen Umständen diese Aussetzung des Beschwerdeverfahrens bis zum rechtskräftigem Abschluss des gegenständlichen zivilgerichtlichen Gerichtsverfahren und Verweisung auf die belgische Aufsichtsbehörde DSGVO konform ist. Der HBDI verweist auf Nachfrage als Rechtsgrundlage auf § 17 GVG analog – aber zum einen geht die DSGVO vor und ausserdem ist fraglich, ob das sinnvoll ist. Nach Art. 78 DSGVO soll nämlich unbeschadet von anderen Rechtsmitteln vor den Gerichten auch gerade verhindert werden, dass Betroffene auf ausländische Behörden und Gerichte verwiesen werden, um ihre Betroffenenrechte effektiv sowohl über Beschwerdeverfahren bei den Aufsichtsbehörden als auch Zivilklagen vor den Gerichten verfolgen zu können.
Man kann gespannt sein, ob die Betroffenen die Kündigung von Mastercard ohne Entschädigung für den Schaden so hinnehmen werden oder erfolgreich ihre Ansprüche vor den Gerichten durchsetzen können. Anders als früher sind nach der DSGVO die Bußgelder und Schadenersatzbeträge viel höher, denn nach Erwägungsgrund 146 müssen sie abschreckend und wirksam sein und müssen bei den Verbraucherrechten Wertungswidersprüche vermieden werden – so auch zuletzt der BGH mit Urteil vom 6.6.2019 – I ZR 216/17 – zu unbegründeten Zahlungsaufforderungen aufgrund unbestellten Waren wegen Identitätsdiebstahls. Allein für die Verletzung der Auskunftspflichten hatte kürzlich das Arbeitsgericht Düsseldorf den Arbeitgeber bereits 5.000 Euro Schadenersatz verurteilt. Das Urteil ist zwar nicht rechtskräftig, weil das Berufungsverfahren anhängig ist, aber die Tendenz ist klar: Die Schadenersatzklagen werden von den Unternehmen ernst zu nehmen sein. Unternehmen sollten daher DSGVO-Auskunftsanfragen pflichtgemäß beantworten und sich bei der Digitalisierung auch nachhaltig um die Einhaltung der Pflichten zur rechtmäßigen sicheren Datenverarbeitung nach der DSGVO kümmern. Nur wenn die Unternehmen das proaktiv fortlaufend tun, sind wir alle vor den massiven Schäden geschützt, die Datenpannen für Betroffene und beteiligte Unternehmen auslösen. Wertungswidersprüche würden auch zu den Bussgeldern entstehen, die die DSGVO in Höhe von bis zu 4 % des weltweiten Umsatzes der unternehmensgruppe ansetzt – diese Grundsätze und ein DSGVO Verstoß bei 500 Gewinnspielteilnehmern haben nach einer Pressemitteilung der Behörde zuletzt z.B. bei der AOK zu einem Bußgeldbescheid des Landesdatenschutzbeauftragten von Baden-Württemberg von 1.240.000 Euro geführt.
Interessant und bisher ungeklärt ist auch die Frage, ob Schadenersatzansprüche nur die betroffenen Kunden des Mastercard Priceless Specials Programm haben oder auch die in Mitleidenschaft gezogenen Händler, bei denen dann mit gefälschten Kreditkarten und Identitäten eingekauft und geliefert wurde. In Artikel 82 heißt es nämlich, dass jedermann, der durch den Datenschutzverstoß des Verantwortlichen einen Schaden erleidet, Anspruch auf Ersatz des materiellen und immateriellen Schaden gegen den Verantwortlichen hat. Dessen Verschulden ist dabei nach Art. 82 III DSGVO indiziert. Nach Erwägungsgrund 146 heißt es dazu: ….Satz 3: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. 7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. 8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. 9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.“
Es spricht also auch der Wortlaut und der europarechtlich geltende Effektivitätsgrundsatz dafür, dass auch die geschädigten Händler Schadenersatzansprüche gegen Mastercard haben (vgl. z.B. so auch Paal in MMR 2020, 14f.).
Zur Höhe des Schadenersatzes für die immateriellen Schäden bei einem Datenbreach spricht nach vorherrschender Ansicht der Datenschutzexperten, dass dieser analog etwa der Faktorrechtsprechung bei Verletzung von Urheberrechten durch Filesharing (Beispiel OLG Frankfurt Az. 11 U 44/19: 50facher Wert des Einzelpreises der „Downloadversion“ des Computerspiels betrug fast 1.950 Euro und führte zu einem Schadenersatzurteil über 2.100 Euro) abhängig von der Dauer und dem Ausmaß der Datenpanne ein Vielfaches des Wertes der Daten als eine fiktive Lizenzgebühr als Schadenersatz zuzuerkennen ist. Gerade das unkontrollierbare der einfachen anonymen Weiterverbreitung über Filehoster und die enorme Ersparnis des Zeitaufwandes für die gewerblichen Betrüger durch offen im Internet erhältliche illegale Datenbanken führen ja zu den gezielten massenweisen Verwertung durch Hacking-, Erpressungs- und Betrugsattacken der Straftäter. Es ist also wichtig, daß diese Ansprüche effektiv verfolgt werden können und möglichst alle Betroffenen entschädigt werden.

#Abmahnungen wegen Marken mit Gattungsbezeichnungen – keine gute Idee

Die Registrierung einer Marke mit Gattungsbezeichnung, d.h. mit Begriffen, die für die eingetragenen Waren oder Dienstleistungen nur beschreibend sind, kommt immer wieder vor, obwohl das eigentlich nach dem Markengesetz nicht vorgesehen ist und das Amt bei der Anmeldung das Bestehen absoluter Schutzhindernisse dieser Art prüfen soll. Mitunter wird aus der Marke aber auch erst nach der Eintragung mit der Zeit durch Änderungen im Sprachgebrauch eine Gattungsbezeichnung. Spätestens aber wenn der Markeninhaber die Marke gar nicht markenmäßig, sondern ebenso wie viele andere nur rein beschreibend benutzt und sich der Begriff zu einer Gattungsbezeichnung entwickelt, ist klar, daß die Schutzrechtsverlängerung und Abmahnung bösgläubig erfolgt z.B. um über die eingesammelten „Vergleichsgebühren“ und Schadenersatzbeträge nicht anwaltlich beratener Opfer seines Vorgehens Einnahmen zu erzielen oder gezielt Wettbewerber zu behindern. Das kann für den Markeninhaber und Abmahner am Ende aber teuer werden oder anders ausgedrückt „nach hinten losgehen“.

Ärgerlich ist es zwar zunächst für die Abgemahnten, die sich – ggfs. mit anwaltlichem Rat – zur Wehr setzen müssen, um sich erfolgreich zur Wehr zu setzen und nicht vom Regen in die Traufe zu kommen. Aber als Abgemahnter hat man die Möglichkeit, einen Löschungsantrag beim Markenamt zu stellen, der zu begründen ist. Wenn andere das bereits gemacht haben, wird das auch nach ca. 1 Monat im Markenregister veröffentlicht. Für den Antrag verlangt das DPMA zwar Gebühren (400 Euro bei Löschung wegen absoluter Schutzhindernisse und 100 Euro bei Verfall nach § 49 MarkenG), aber in begründeten Fällen wird das Markenamt nach § 63 Abs. 1 MarkenG in Fällen der bösgläubigen Markenanmeldung bzw. gezielter Behinderung des Wettbewerbs mit mißbräuchlich zu Unrecht eingetragener Marken dem Markeninhaber die Kosten des Verfahrens auferlegen d.h. dem Antragsteller werden dann die Kosten erstattet.

Ferner kommen auch Schadenersatzansprüche wegen sittenwidriger Schädigung nach § 826 BGB gegen den Abmahner in Betracht.

All dies scheint aber in Zeiten von Corona die Inhaberin eines Biergartens nicht gestört zu haben, die die Wortmarke „Bierpass“ beim Deutschen Marken- und Patentamt zum Aktenzeichen 3020100247495 seit 15.06.2010 für sich hat eintragen und so für „Dienstleistungen zur Verpflegung und Beherbergung von Gästen“ schützen lassen. Der Begriff Bierpass ist Besuchern von Bierfestivals und Festen aber bekannt als Begriff für Verzehrkarten, also Gutscheine für Getränke, insbesondere eben Bier. Google spuckt bei Eingabe des Begriffs Bierpass entsprechend tausende von Ergebnissen der Veranstalter von solchen Festen und anderen Werbetreibenden zu diesem Kontext aus. Dennoch hat die Inhaberin der Marke „Bierpass“ einen meiner Mandanten und offenbar auch weitere Werbetreibende in diesem Bereich markenrechtlich abgemahnt, d.h. eine Markenverletzung wegen der Verwendung des Wortes „Bierpass“ auf eben solchen Papierwaren für entsprechende Verzehrkarten in Anspruch genommen. Betroffene haben daraufhin auch bereits am 29.06.2020 Löschungsantrag wegen Nichtigkeit wegen absoluter Schutzhindernisse beim DPMA gestellt. Es bleibt zu hoffen, daß das Markenamt dem Antrag nachkommt und der Inhaberin die Kosten auferlegt, damit solche unseriösen Vorgehensweisen nicht Schule machen.

Leider ist die Abmahnung mit „Bierpass“ kein Einzelfall für solches mißbräuchliches Vorgehen aus zu Unrecht registrierten Marken mit Gattungsbezeichnungen. Im Juni 2020 soll es angeblich (so derzeit ein kursierendes Gerücht) auch Abmahnungen des Inhabers der Wortmarke „Webinar“ gegeben haben, die seit 2003 registriert ist zum Aktenzeichen 303160438 für „Vermittlung von Handels- und Wirtschaftskontakten, auch über das Internet; Präsentation von Firmen im Internet und anderen Medien; Dienstleistungen einer Werbeagentur; Durchführung von Auktionen und Versteigerungen, auch im Internet; Vermietung von Werbeflächen, auch im Internet; Bereitstellen von Informationen im Internet; Bereitstellung von Plattformen im Internet; Bereitstellung von Portalen im Internet; Veranstaltung und Durchführung von Seminaren; Organisation und Veranstaltung von Konferenzen“. Ob der Inhaber Herr Mark Keller aus Kuala Lumpur, MY, tatsächlich gegen Webinaranbieter rechtlich vorgegangen ist und Abmahnungen versendet hat bzw. über seine anwaltlichen Vertreter hat verschicken lassen, ist noch nicht bestätigt, aber jedenfalls soweit Online-Kursanbieter das Wort „Webinar“ rein beschreibend verwenden, ist ohnehin nicht von einer markenmäßigen Nutzung und damit Markenverletzung auszugehen, weil der Begriff Webinar inzwischen rein beschreibend für Online-Seminare per Video und damit auch „Veranstaltung und Durchführung von Seminaren“ im Internet sein dürfte. Gerade in Zeiten der pandemiebedingten Kontaktbeschränkungen haben Webinare als Instrumente der Fortbildung stark zugenommen. Ein Antrag auf teilweise Löschung beim DPMA scheint damit also für Betroffene Abgemahnte das Mittel der Wahl zu sein.


Das Löschungs- und Nichtigkeitsverfahren im Fall des Bestehens von absoluten Schutzhindernissen ist jedoch nach § 50 Abs. 2 MarkenG erschwert, wenn eine Löschung erst nach Ablauf von 10 Jahren beantragt wird, also mit der Begründung dass der Begriff für die eingetragenen Dienstleistungen oder Waren rein beschreibend ist und das auch schon bei der Eintragung so war. Aber die Löschung kommt immer noch in Betracht kommt, wenn die Registrierung bösgläubig erfolgt oder wegen Verfall. Der liegt vor, wenn die Marke vom Markeninhaber in den letzten 5 Jahren nicht markenmäßig benutzt wird oder wenn wegen Untätigkeit des Markeninhabers der  Begriff zu einer Gattungsbezeichnung wurde. Beides dürfte jedoch für den Beispielfall, dass die Bierpass-Abmahnerin auch andere Biergärten oder Veranstalter von Festen wegen der Verwendung von Bierpässen als Verzehrkarten und der Werbung hiermit abmahnen sollte, vermutlich mit Aussicht auf Erfolg gut begründbar sein. Die Ausgabe von Verzehrkarten mit der Aufschrift „Bierpass“ ist hier meiner Meinung nach wegen der inzwischen rein beschreibenden Angabe keine markenmäßigige Benutzung. Im Fall Webinar liegen mir keine gesicherten Informationen vor – hier handelt es sich möglicherweise nur um ein Gerücht, dass der Markeninhaber solche Abmahnungen gegen Webinaranbieter hat versenden lassen. Falls ja, sollten die Abgemahnten keine Angst haben und keine selbst formulierten Unterlassungserklärungen abgeben, sondern sich zur Wehr setzen.

#Medienrecht #Bewertungen im Internet – hier: Google

Ein Gasthaus erhielt auf Google Maps eine schlechte 1-Sterne Bewertung – ohne Begründung des Nutzers. Das Gasthaus beschwerte sich erfolglos bei Google. Nun hat auf Klage des Gasthauses das Landgericht Hamburg mit Urteil vom 12.01.2018 dem Gasthaus Recht gegeben und Google verurteilt, es zu unterlassen, diese Bewertung zu verbreiten (sprich: Google muss die Bewertung des Gasthauses entfernen). Grund hierfür sei, dass die negative Bewertung ohne Begleittext keinerlei tatsächliche Anknpfungspunkte habe und der Suchmaschinendienst daher spätestens bei der Meldung des Gasthauses mit der URL der beanstandeten Bewertung seine Prüfpflichten verletzt hat. Ohne tatsächliche Anhaltspunkte, dass es ein Kunde des Gasthauses war, der hier bewertet und ohne Begründung ist die Veröffentlichung nicht gerechtfertigt, da nur Kunden des Gasthauses, die aufgrund einer eigenen Kundenerfahrung bewerten, sich auf die Meinungsfreiheit nach Art. 5 GG berufen können. Das Gasthaus und sein guter Ruf wird daher ohne eine Begründung verletzt. Google darf die negative Bewertung nicht ohne eine Begründung zulassen und hätte das sofort erkennen müssen. Die Bewertung hatte keinen Begleittext und war daher ohne weiteres für Google-Mitarbeiter als rechtswidrig erkennbar. Google und Facebook sollten sich also überlegen, ob es überhaupt zulässig ist, 1-6 Sterne Bewertungen über Unternehmen zu ermöglichen – ohne eine Begründung. Die Frage wird wohl zu verneinen sein und Entscheidungen wie diese werden hoffentlich kurz über lang dazu führen, daß die Anbieter Ihre Dienste anpassen, um solchen Mißbrauch auszuschließen oder zumindest nach Meldung umgehend tätig werden.

Wenn Sie ebenfalls Probleme mit einer negativen Bewertung haben, die nicht irgendwie nachvollziehbar begründet ist oder offensichtlich von keinem Kunden stammt (Fake-Bewertungen), unterstütze ich Sie als Fachanwältin für IT-Recht gerne. Kontakt Kanzlei Hagendorff hier.

Jameda muß Arztprofil löschen – BGH Urteil vom 20. Februar 2018 – VI ZR 30/17

Der BGH hat laut Mitteilung der Pressestelle heute ein weitreichendes Urteil für Bewertungsportale und Werbung im Internet gefällt: Das Arztsuche- und Bewertungsportal muß alle Daten der Ärzte, die nicht gelistet werden wollen, löschen. Warum? Nach den bisherigen Informationen ist die wesentliche Begründung, dass Jameda die Neutralität bei der Listung der Bewertung verlassen habe und könne sich für diese Bevorzugung nicht mehr auf die Meinungsfreiheit ihrer User berufen. Denn Jameda bevorzugt(e) jene Ärzte, die für die Werbung auf Jameda bezahlen in einer Gestaltungsweise, die nicht für den User hinreichend als Werbeanzeige erkennbar ist. Ähnliche Probleme bestehen auch mit anderen Bewertungsportalen und Plattformen im Internet, die Bewertungen anonymer User zulassen, sodaß vermutlich nunmehr auch Hotels, Gastronomie, Handwerker, Anwälte und andere betroffene Berufsgruppen gegen Portalbetreiber vorgehen könnten.

Im einzelnen heißt es laut Pressemitteilung 34/18:

„…Nach § 35 Abs. 2 Satz 2 Nr. 1 BDSG sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist. Dies war vorliegend der Fall.

Der Senat hat mit Urteil vom 23. September 2014 – VI ZR 358/13 (BGHZ 202, 242) für das von der Beklagten betriebene Bewertungsportal bereits im Grundsatz entschieden, dass eine Speicherung der personenbezogenen Daten mit eine Bewertung der Ärzte durch Patienten zulässig ist.

Der vorliegende Fall unterscheidet sich vom damaligen in einem entscheidenden Punkt. Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als „neutraler“ Informationsmittler. Während sie bei den nichtzahlenden Ärzten dem ein Arztprofil aufsuchenden Internetnutzer die „Basisdaten“ nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens „Anzeige“ Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres „Premium“-Kunden – ohne dies dort dem Internetnutzer hinreichend offenzulegen – solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als „neutraler“ Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit (Art. 5 Abs. 1 Satz 1 GG, Art. 10 EMRK) gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten (Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK) auch nur mit geringerem Gewicht geltend machen. Das führt hier zu einem Überwiegen der Grundrechtsposition der Klägerin, so dass ihr ein „schutzwürdiges Interesse an dem Ausschluss der Speicherung“ ihrer Daten (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG) zuzubilligen ist.

#Werbevideos und #Vertragsfallen

Das Internet ist voller engagierter Experten, die uns euphorisch erklären, wie wir angeblich kinderleicht von zuhause ein erfolgreiches Online-Business aufziehen können. Auf tollen Events mit sympathischen, dynamischen Referenten wird den Interessenten rhetorisch perfekt und überzeugend vermittelt, sie könnten von dem erfolgreichen Jungunternehmern lernen, wie man „ganz einfach“ ebenfalls ein erfolreiches Online-Business aufbaut – ohne Vorkenntnisse. Man müsse nur die vielen Videos, Webinare und Anleitungen durcharbeiten und das umsetzen, dann sei das kinderleicht. Wenn man nicht zurechtkomme, helfe auch noch ein Online-Support-Team. In den Videos und telefonisch per Videotelefonie oder Messenger versprechen die freundlichen Mitarbeiter des Referenten auch, dass man 30 Tage oder 5 Wochen eine Zufriedenheitsgarantie bekomme. „Du erhälst garantiert dein Geld zurück, wenn Du nicht zufrieden bist und kannst den Vertrag widerrufen.“, sagen sie dir. Leider hast Du aber keinen schriftlichen Vertrag, hast aber ganz euphoisch schon mal die erste Rate gezahlt, um endlich starten zu können. Nachdem du gezahlt hast, ist das Video weg. E-mails enthalten keine echten Daten, die die Identität der Vertragspartner verschleiern. Webseiten kannst Du auch nicht mehr finden. Spätestens jetzt ist recht klar: Du bist in eine Vertragsfalle geraten. Du hast keinen Vertrag, in dem die Widerrufsfrist und Zufriedenheits-Geld-Zurück-Garantie geregelt und die Identität des anderen verifiziert wäre. Solche und ähnliche Maschen sind leider bei geschäftlich unerfahrenen Menschen erfolgreich, weil diese mit einem zu geringen Einkommen leben müssen und durch die geschickt gemachten Videos und Webinare Hoffnung schöpfen, einen Weg zu finden, sich „online“ ein „Business“ aufzubauen. Tatsächlich ist es natürlich nicht so einfach und fehlen klare Verträge, um die Zufriedenheitsgarantie bei Widerruf durchzusetzen und das Geld zurückzubekommen.

Tipps für Betroffene:

  1. Wem das passiert ist und Zahlungen geleistet hat, sollte umgehend ein Widerrufsschreiben an den Anbieter senden und hilfsweise wegen Täuschung anfechten und das Geld zurückverlangen – auch wenn das oft nicht erfolgreich ist, weil die Durchsetzung davon abhängt, ob Betroffene es schaffen, die Zusagen und Frist der „Zufriedenheitsgarantie“ irgendwie zu belegen.
  2. Es gibt manchmal noch die Chance, über den Käuferschutz bei dem Bezahldienst z.B. bei Paypal innerhalb von 180 Tagen das Geld zurückzuerhalten. Dazu muß man sich an den Bezahldienst wenden, über den man die Zahlung geleistet hat. Bei Paypal sind die AGB und die Käuferschutzrichtlinien zu beachten. Es kommt darauf an, ob der Käuferschutz nach den Paypal-Käuferrichtlinie im konkreten Fall ausgeschlossen ist und dies hängt von den Umständen des konkreten Falls ab. Beispielsweise ist er bei Ratenzahlungen oft ausgeschlossen. Betrugsopfer, die Zahlungen in der Zeit 2004 bis 19.1.2017 (nicht später) über Western Union geleistet haben, bietet Western Union Erstattung an. Nähere Informationen finden Betroffene bei Western Union hier.
  3. Die Angebote der genannten Anbieter dieser tollen Vertriebsprodukte enthalten meist keine klaren Verträge. Belege muß man sich daher indirekt beschaffen, wenn man Geld zurückbekommen möchte. Man muß aber nicht kampflos aufgeben, wenn man taktisch und konsequent vorgeht. Die Zusagen dürften sinngemäß auf einen Handelsvertretervertrag im Sinne der §§ 84 folgende Handelsgesetzbuch hinauslaufen. Das Wort „Vertrag“ oder „Handelsvertreter“ nimmt der Speaker allerdings niemals in den Mund. Juristisches und „Papierkram“ wird von ihm vermieden. Dabei hat man als „Käufer“ eines solchen digitalen Vertriebsprodukts Anspruch auf eine Vertragsurkunde nach § 85 HGB. Will der Anbieter mit seinem Vertriebssystem weitermachen, wird er vielleicht auf Sie eingehen, wenn Sie so auf ihn Druck ausüben.
  4. An Strafanträge wegen gewerblichen Betrugs ist auch rechtzeitig zu denken. Sie sind bei Antragsdelikten innerhalb von 90 Tagen beim Staatsanwalt einzureichen, sonst verfolgen die Strafverfolgungsbehörden nur bei „öffentlichem Interesse“. Die Frist sollten Sie beachten. Strafanträge dürfen aber nicht leichtfertig gestellt werden, sonst droht am Ende eine Kostenpflicht des Anzeigenden nach § 469 Strafprozessordnung – StPO.
    Wenn Sie anwaltliche Beratung wünschen, kontaktieren Sie mich hier für einen Termin oder fordern Sie eine Online-Erstberatung an.

 

Neues Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen #Netzwerken in Kraft

Ab heute gibt es nach dem neuen Netzwerkdurchsetzungsgesetz verschärfte Prüfpflichten der #Sozialen #Netzwerke (#NetzDG) .
Seit 01.01.2018 ist das „Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz – NetzDG)“ in Kraft getreten. Es soll nach dem Willen des Gesetzgebers den Opfern von verletzenden Hassreden, Volksverhetzung Verleumdung, Bedrohung, Beleidigung, übler Nachrede auf Facebook, Twitter & anderen Social Media Plattformen helfen sich mit den Mitteln des Rechts zu wehren. Auch den Strafverfolgungsbehörden soll es helfen, im Falle von strafbaren Aktivitäten von Nutzern die Rechtsverfolgung zu verbessern – den anfragenden Staatsanwaltschaften muß der Plattformanbieter innerhalb von 48 Stunden ein Auskunftsersuchen beantwortet werden.
Neben den verschärften Prüfpflichten der Sozialen Netzwerke bei der Meldung von verletzenden Posts, hat auch das Justizministerium eine extra hierfür zuständige Meldestelle geschaffen. Werden offensichtlich rechtswidrige Posts nicht von den Netzwerken innerhalb von 24 Stunden gelöscht, oder rechtswidrige Inhalte, die eine Prüfung erfordern, zumindest innerhalb von 7 Tagen bearbeitet, können Betroffene dies dem Justizministerium melden und droht den Betreibern jeweils ein drastisches Bußgeld von bis zu 5 Mio. Euro je Einzelfall wegen Verletzung der Prüfpflichten. Hierzu müssen auch innerhalb von einer Umsetzungsfrist von 3 Monaten geregelte, leicht erkennbare und über die Plattformen erreichbare Verfahren eingerichtet werden mit ausreichend geschultem Personal.
Das Gesetz legt zur praktischen Rechtsdurchsetzung von Beschwerden oder auch für die Zustellung von Klagen und einstweiligen Verfügungen den Sozialen Netzwerken, die im Inland Nutzer haben, auch die Pflicht auf, einen deutschen Ansprechpartner und Zustellungsbevollmächtigten zu benennen; ein Verstoß hiergegen würde sie 500 000 Euro Bußgeld kosten. Daher ist davon auszugehen, daß sie der Pflicht nachkommen werden. Die Rechtsdurchsetzung gegenüber ausländischen Anbietern wird dadurch wesentlich erleichtert, denn wie die Vergangenheit gezeigt hat, haben Anbieter wie Facebook & Co. sich bereits rein formal gegen die Zustellung von gerichtlichen Verfügungen und Anträgen vor Gericht damit verteidigt, sie verstünden kein Deutsch, obwohl sie Millionen von gewerblichen deutschen Kunden sowie deutsche Privatnutzer haben und sich ferner mit weiteren Scheinargumenten verteidigt, um die Rechtsverfolgung zu erschweren. Trauriges Beispiel hierfür war etwa das Verfahren gegen Facebook und einen User, der Falschmeldungen über einen Flüchtling verbreitet hatte, vor dem Landgericht Würzburg. Facebook hatte lediglich einen falschen Post mit öffentlicher Falschbeschuldigung eines Flüchtlings als „Terrorist“ gelöscht, nicht aber die Weiterverbreitung dieser Falschmeldungen (sog. „Fake-News“) gesperrt. Problem Nr. 1 ist oft, daß die Täter anonym handeln können, weil Facebook, Twitter & Co. private Nutzer normalerweise nicht authentifiziert und das Account nicht zuverlässig verifiziert.
Leider sind die von Twitter und Facebook bisher online gestellten Meldeformulare der Betreiber jedoch so gestaltet, dass sie den juristischen Laien überfordern. Er muß jeweils angeben, welchen gesetzlichen Straftatbestand genau der gemeldete Post erfüllt, denn nach § 1 Abs. 3 NetzwerkDG sind einschlägig nur solche Posts, die den „Tatbestand der §§ 86, 86a, 89a, 91, 100a, 111, 126, 129 bis 129b, 130, 131, 140, 166, 184b in Verbindung mit 184d, 185 bis 187, 201a, 241 oder 269 des Strafgesetzbuchs erfüllen und nicht gerechtfertigt sind.“ Die Gesetzestexte sind zwar im Internet abrufbar, aber die Bearbeitung und Begründung werden Betroffene wohl oft überfordern.
Sie werden daher wohl so wie bisher oft Rechtsanwälte beauftragen müssen, um nicht von den Netzwerken abgebügelt zu werden oder von der Rechtsverfolgung frustiert absehen. Das ist ganz offensichtlich der Plan der Netzwerke, den sie auch bisher leider oft mit Erfolg verfolgt haben, – nämlich betroffene Nutzer aus praktischen Gründen in vielen Fällen von der Meldung abzuhalten und die Meldungen mit Standardverfahren und lapidaren Textbausteinen abzuschmettern.

Kritiker befürchten, daß die Netzwerke zur Vermeidung von drastischen Bußgeldern und zu großer Bearbeitungskosten der Meldeverfahren eher zu viele Inhalte löschen und damit auch zulässige Meinungsäußerungen oder Gegendarstellungen entfernen werden.

Wie sich nun das NetzwerkDG auswirkt, wird sich spätestens in 6 Monaten zeigen. Denn dann müssen die großen Netzwerke ihren ersten Halbjahres-Bericht über die Anzahl und Art der Beschwerden, Einzelheiten zum Umgang und Ergebnis detailliert berichten und die Berichte auf ihrer Webseite veröffentlichen (vgl. § 2 NetzwerkDG). Betroffenen, die bei einem Shitstorm echte Hilfe benötigen und keine nervigen Formulare bewältigen wollen oder können, ist zu raten, sich nicht vorschnell von den juristischen Formularen entmutigen zu lassen. Denken Sie daran, dass Facebook oder Youtube viele Millionen Euro mit unseren Daten verdient – laut einer Schätzung ist der Wert jedes einzelnen Privatusers für Facebook im Schnitt ca. 1.000 € pro Jahr wert – das ist auch an der hohen Marktkapitalisierung dieser Netzwerke ablesbar. Es ist also richtig, wenn die Sozialen Netzwerke stärker als bisher in die Mitverantwortung genommen werden, da sie die anonymisierte Veröffentlichung und das unbegrenzte weltweite Teilen beliebiger Inhalte ermöglichen und hiermit große Gewinne machen – besonders bei „Aufregern“ unter den Nutzern, die auf hohes Interesse unter der Nutzergemeinde stossen. Nötigenfalls sollten Sie als Opfer solcher Shitstorms sich also fachanwaltliche Hilfe holen.

Wenn Sie in solchen Sache Hilfe benötigen oder Fragen haben, biete ich gerne persönliche Beratung oder telefonisch oder per E-Mail. Rufen Sie mich als Fachanwältin für IT-Recht gerne an +49 6031 670 8843 oder nutzen Sie das Kontaktformular. Die Anfrage ist selbstverständlich kostenlos.
Wenn Sie eine verschlüsselte E-Mail-Kommunikation wünschen und ein S/Mime-Zertifikat in Ihrem Client installiert haben, können Sie auch eine E-Mail signiert mit Ihrem S/Mime-Zertifkat an stefanie@kanzlei-hagendorff.de senden, dann kann ich Ihnen ebenfalls verschlüsselt antworten. Wünschen Sie ein andere Art der vertraulichen Kommunikation, rufen Sie bitte vorher an.

#Vertragsfallen #Versteckte Preiserhöung unwirksam (OLG Frankfurt Urteil vom 19.10.2017)

OLG Frankfurt erlässt Unterlassungsverfügung gegen WinSim (Drillisch Online AG) aus Maintal wegen versteckter Preiserhöhung mit E-Mail /SMS, die lediglich einen Hinweis auf „Neue Informationen in Ihrem WinSim-Online-Postfach“ enthielt.

Anbieter versuchen teilweise mit unlauteren Mitteln Preiserhöhungen oder Vertragsverlängerungen gegenüber ihren Kunden durchzusetzen. So hat aktuelle das Oberlandesgericht Frankfurt einem Unterlassungsantrag gegen Winsim stattgegeben. Winsim –eine Marke der Drillisch Online GmbH im Verbund von Telefonica – hatte eine Preiserhöhung mit juristisch unlauteren Mitteln versucht durchzusetzen, indem sie per E-Mail und SMS lediglich auf „Neue Informationen in Ihrem Postfach“ hingewiesen hatten und aufgefordert diese im Online-Bereich abzurufen. Tatsächlich verbarg sich dahinter eine versteckte Preiserhöung für die Mobilfunktleistungen, die dann nach den AGB von WinSIm wirksam werden sollte, wenn nicht innerhalb einer kurzen Frist der Kunde widerspricht. Da dies aber keine wirksame „Mitteilung“ der Preiserhöhung ist, so bescheinigten auch die Richter des Oberlandesgerichts, war sie nicht wirksam und die gleichwohl berechneten höheren Entgelte irreführende unlautere geschäftliche Handlungen.

Natürlich setzte WinSim darauf, dass die meisten Kunden die auf diese Weise versteckte Preiserhöhung übersehen oder sich jedenfalls nicht wehren.

Hauptleistungspflichten wie der Preis dürfen aber nicht in AGB versteckt werden, sonst handelt es sich nicht um eine überraschende und damit unwirksame Regelung.

Betroffene Kunden können daher die Gutschrift der zuviel abgebuchten Beträge verlangen. Das Urteil des OLG Frankfurt vom 19.10.2017 – 6 U 110/17 ist rechtskräftig und unlautere Methoden dieser Art sollten sich die Kunden nicht gefallen lassen. Leider sind Fälle dieser Art kein Einzelfall.

Wenn Sie anwaltliche Hilfe in Fällen dieser Art benötigen, kontaktieren Sie mich.