Kategorien
Blogroll Internetrecht Online-Handel Schadensrecht Uncategorized Vertragsrecht Wettbewerbs- und Werberecht Wettbewerbsrecht

LG Frankfurt: Keinen Vertrag mit Abmahnverein abschließen wenn Mißbrauch bekannt ist

Volltext des Urteils LG Frankfurt vom 03.06.2022 IDO Interessenverband gegen Händler wegen Vertragsstrafe (noch nicht rechtskräftig):

Landgericht Frankfurt am Main Verkündet am: 03.06.2022
Aktenzeichen: 3-12 O 1/22

Justizangestellte M.

ElNGEGANGEN 17. Juni 2022
I m N a m e n d e s V o l k e s
U r t e i l
ln dem Rechtsstreit
IDO Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen e.V. vertr.d d Vorstand Sarah Spayou, Uhlandstr. 1, 51379 Leverkusen,
Kläger
Prozessbevollmächtigte: Rechtsanw. ………………….
gegen
……………………………………….. ….. Frankfurt am Main
Beklagte
Prozessbevollmächtigte: Rechtsanw. Stefanie Hagendorff, Am Straßbach 2, 61169 Friedberg,
Geschäftszeichen…………
hat die 12. Kammer für Handelssachen des Landgerichts Frankfurt am Main durch die Vorsitzende Richterin am Landgericht Hübner
aufgrund der mündlichen Verhandlung vom 01.04.2022
für Recht erkannt:
ZP 11 – Urschrift und Ausfertigung eines Urteils (EU CU OO.DOT) -(11.09)22
Die Beklagte wird verurteilt, an den Kläger EUR 1.190,– nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 18.12.2021 zu zahlen.
Im Übrigen wird die Klage abgewiesen.
Die Widerklage wird abgewiesen.
Die Kosten des Rechtsstreits tragen der Kläger zu 2/3, die Beklagte zu 1/3.
Das Urteil ist vorläufig vollstreckbar. Beide Parteien dürfen die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des jeweils aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht die jeweils andere Partei Sicherheit in gleicher Höhe leistet.
Tatbestand
Der Kläger macht gegen die Beklagte die Verwirkung einer Vertragsstrafe geltend.
Die 71jährige Beklagte ist Rentnerin mit einer Rente von EUR 455,83 und handelt auf der Internetplattform „e-Bay“ mit Dekorartikeln und Textilien wie Stolas und indischen Saris unter dem e-Bay-Namen in einem kleinunternehmerischen Umfang.
Der Kläger hatte die Beklagte wegen wettbewerbsrechtlicher Verstöße in Zusammenhang mit dem Verkauf von Waren abgemahnt, woraufhin die Beklagte am 01.08.2014 eine strafbewehrte Unterlassungserklärung (Anlage K 1, Bl. 9 f. d.A.) Unterzeichnete.
Am 03.12.2021 erlangte der Kläger Kenntnis von zwei Verstößen. Zum einen fehlte gem. Ziff. 1 e der Unterlassungserklärung in den Warenpräsentationen der Beklagten das Muster-Widerrufsformular. Zum anderen fehlte gem. Ziff. 2 der Unterlassungserklärung die Information, ob der Vertragstext nach dem Vertragsschluss von ihr selbst gespeichert wird, und ob sie dem Kunden den Vertragstext zugänglich macht.
Der Kläger forderte die Beklagte daraufhin mit Schreiben vom 06.12.2021 zur Zahlung einer angemessenen Vertragsstrafe in Höhe von EUR 3.570,-brutto auf, was die Beklagte ablehnte. Sie focht den Unterlassungsvertrag mit anwaltlichem Schreiben vom 20.12.2021 (Bl. 68 ff. d.A.) wegen Irrtums und hilfsweise wegen arglistiger Täuschung an. Äußerst hilfsweise kündigte sie den Vertrag wegen unzulässiger Rechtsausübung gem. § 242 BGB.
Der Kläger ist der Auffassung, dass die Beklagte eine angemessene Vertragsstrafe verwirkt habe. Angesichts der Tatsache, dass die Beklagte derzeit 349 Angebote auf E-Bay veröffentliche und angesichts der Schwere der Verstöße hält der Kläger eine Vertragsstrafe von EUR 3.000,-netto für angemessen.

Der Kläger beantragt, die Beklagte zu verurteilen, an ihn EUR 3.750,-nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 18.12.2021 zu zahlen. Die Beklagte beantragt,
die Klage abzuweisen.
Widerklagend beantragt sie,
den Kläger zu verurteilen, an sie EUR 164,30 nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz sei dem 16.12.2021 zu zahlen.
Der Kläger beantragt,
die Widerklage abzuweisen.
Die Beklagte bestreitet die Aktivlegitimation des Klägers, weil dieser nicht über die Voraussetzungen nach Art. 8 III Nr. 2 UWG verfüge und auch 2014 nicht darüber verfügt habe. Er sei auch nicht ohne Grund nicht auf die beim Bundesamt der Justiz geführte Liste gern. § 8b, § 8 III Nr. 2 UWG gelangt. Die Anfechtungsfrist habe erst mit positiver Kenntnis der fehlenden Aktivlegitimation infolge der erneuten anwaltlichen Beratung, also im Dezember 2021 zu laufen begonnen. Der Kläger handele missbräuchlich, weil er planvoll nur selektiv gegen kleine e-Bay-Händler wie die Beklagte vorgehe. Die streitgegenständlichen Verstöße seien nur versehentlich erfolgt. Äußerst hilfsweise macht die Beklagte geltend, dass die Höhe der Vertragsstrafe unverhältnismäßig sei, weil die 71-jährige Beklagte sich zu ihrer geringen Rente lediglich ein kleines Zubrot mit ihrem e-Bay-Handel dazuverdiene.
Mit der Widerklage begehrt die Beklagte die Rechtsanwaltskosten, die ihr dadurch entstanden seien, dass sie sich aufgrund der Geltendmachung der Vertragsstrafe anwaltlicher Hilfe habe bedienen müssen.

Wegen des weiteren Parteivorbringens wird auf die gewechselten Schriftsätze ergänzend Bezug genommen.
Entscheidungsgründe
Die Klage ist in dem aus dem Tenor ersichtlichen Umfang zulässig und begründet, die Widerklage ist unbegründet.
1. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung einer Vertragsstrafe aus dem Unterlassungsvertrag vom 01.08.2014.
a) Die Aktivlegitimation des Klägers ergibt sich aus dem Unterlassungsvertrag vom 01.08.2014.
Dieser ist auch nicht infolge Anfechtung nichtig. Zu den objektiven und subjektiven Tatbestandsvoraussetzungen der Anfechtungstatbestände gern. §§ 119 ff. BGB hat die Beklagte nicht ausreichend substantiiert vorgetragen. Allein die Tatsache, dass der Kläger nicht auf der Liste gemäß § 8b UWG aufgeführt ist, begründet keinen Anfechtungsgrund.
Darüber hinaus ist sowohl die Anfechtungsfrist gern. § 121 I BGB als auch diejenige des § 124 I BGB abgelaufen. Die Beklagte hat selbst vorgetragen, dass der Kläger ein Verband sei, der „seit Jahren dafür bekannt“ sei, „missbräuchlich gezielt kleine e-Bay und Amazon-Händler serienmäßig wegen nicht spürbarer UWG-Verstöße abzumahnen, um Einnahmen aus Abmahngebühren und Vertragsstrafen massenweise zu generieren“. Des Weiteren trägt sie vor, dass bereits 2014 auffällig gewesen sei, dass der Kläger große Wettbewerber nicht abgemahnt gehabt habe. Der Missbrauchsverdacht sei bereits damals gegenüber dem Kläger eingewandt worden.
Aus dem anwaltlichen Schreiben der Beklagten vom 01.08.2014 (Anlage B1, Bl. 51 f. d.A.) ergibt sich ferner, dass die Aktivlegitimation schon damals angezweifelt wurde.
Bloßes Kennenmüssen reicht für §§ 121, 124 BGB zwar nicht aus, jedoch ist auch nicht erforderlich, dass der Anfechtungsberechtigte alle Einzelheiten des Anfechtungstatbestandes kennt. Nach dem Vortrag der Beklagten lagen bereits 2014 mehr als bloße Verdachtsgründe vor. Damit ist die mit Schreiben vom 20.12.2021 erklärte Anfechtung verfristet.
b) Auch die „Kündigung“ wegen Rechtsmissbrauchs geht ins Leere. Die hohen Anforderungen, die die Rechtsprechung an den Missbrauchseinwand stellt, sind hier nicht erfüllt (vgl. Köhler/Bornkamm/Feddersen, UWG, 40. Aufl. 2022, § 13 Rn. 205 ff )
Letztlich muss sich die Beklagte an dem Grundsatz „pacta sunt servanda“ festhalten lassen.

Mit den unstreitigen Verstößen gegen den Unterlassungsvertrag hat die Beklagte die Vertragsstrafe verwirkt.
2. Nach der Unterlassungserklärung vom 01.08.2014 wird die Höhe der „angemessenen“ Vertragsstrafe vom Unterlassungsgläubiger nach billigem Ermessen bestimmt und im Streitfälle vom zuständigen Gericht auf Antrag auf Angemessenheit überprüft.
Die Beklagte hat vorliegend die Höhe der Vertragsstrafe moniert und vorgebracht, dass sich die 71jährige Beklagte mit ihrem e-Bay-Handel lediglich ein Zubrot zu ihrer geringen Rente hinzuverdiene.
In die Erwägungen eingestellt werden muss außerdem die Tatsache, dass die Spürbarkeit der Verstöße als gering einzustufen ist, dass es sich bei der Unternehmung der Beklagten um ein Kleingewerbe mit Artikeln im untersten Preissegment handelt und dass die Verstöße unstreitig versehentlich erfolgten.
Nach einer Gesamtschau der Umstände des hiesigen Einzelfalls erachtet das erkennende Gericht vorliegend eine Vertragsstrafe von EUR 1.000,- netto, also EUR 1.190 – incl. Mehrwertsteuer für angemessen und ausreichend.
3. Der Zinsanspruch ergibt sich aus §§ 286, 288 I BGB.
4. Da das erkennende Gericht eine missbräuchliche Geltendmachung von Ansprüchen gem. § 8c UWG verneint hat, war die Widerklage abzuweisen.
Nach alledem war zu entscheiden wie aus dem Tenor ersichtlich.
5. Die Kostenentscheidung beruht auf § 92 I, II ZPO. Die Entscheidung zur vorläufigen
Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 711 ZPO.

Hübner
Beglaubigt
Frankfurt am Main, 10. Juni 2022

———-Ende VOLLTEXT
Das Urteil ist noch nicht rechtskräftig. Wenn Sie eine fachanwaltliche Beratung benötigen wegen einer Abmahnung im Wettbewerbsrecht oder Hilfe bei der Vertragsgestaltung und mich mandatieren möchten, schreiben Sie mir eine Nachricht. Ich rufe meist innerhalb von 1 Werktag zurück oder schreibe eine kurze Antwort auf Ihre Anfrage.

Kategorien
Blogroll Internetrecht IT-Strafrecht Uncategorized Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

Abmahnungen per E-mail mit Link oder Anhang NICHT ÖFFNEN und keine Links ANKLICKEN!

Wenn Sie so eine E-mail- oder Messenger-Nachricht wie im Beispielbild erhalten, sollten Sie KEINESFALLS auf die Links oder Anhänge KLICKEN.
#Ransomware-Angriffe per E-mail-Anhang oder mit Buttons von WETRANSFER.

So erkennen Sie echte Abmahnungen oder Mahnschreiben
Abmahnungen oder Mahnschreiben müssen Ihnen die Absender nämlich per Post schreiben oder den Text dann schon direkt in die E-Mail reinschreiben mit der eigentlichen Nachricht. Auch Bilder, die ebenfalls boshafte Skripte enthalten können, müssen nicht aktiviert werden. Sie als Empfänger sind nicht verpflichtet, sich dem Risiko von Ransomware oder Erpressersoftware auszusetzen. Anders als bei der Briefpost im geschäftlichen Briefkasten muss man solche E-Mails oder Messenger-Nachrichten mit bösen Links nicht öffnen.

Diese Folgen drohen
Denn hinter solchen E-Mails verbirgt sich oft Ransomware mit einem Virus, um Ihre Daten auszuspähen. Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden oder weitere schädliche Nachrichten unter Ihrem Namen an Ihre Kontakte versenden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Inzwischen bekommen ständig kleine und mittelständische Unternehmen oder auch Private regelmäßig solche oder ähnliche Nachrichten. Ich natürlich auch. Aber sowas öffne ich nicht. Muss ich ja auch nicht.

Flüchtigkeit und Eile sind die Freunde der Betrüger
Die Angreifer versehen diese je nach Branche mit Reizwörtern wie „dringend“ oder „Mahnung“ oder „Abmahnung“ oder „Marken- und Produktpiraterie“. Der flüchtige in Eile befindliche Empfänger soll dazu gebracht werden auf einen Link oder Anhang zu klicken. Der Anbieter Wetransfer wird immer wieder für einen solchen Angriff missbraucht, weil dieser Filesharing-Dienst die Versendung von Links ohne eine Authentifizierung des Absenders, nämlich nur mit einfacher E-Mail Adresse, ermöglicht.

Kleiner Klick, große Wirkung
Im Zweifel verbirgt sich hinter dem verlinkten Button oder in dem Anhang Malware, d.h. ein Programm mit einer Schadsoftware, die ihre Systeme infiziert und beschädigt. Das ist zwar vielen Empfängern bekannt, aber leider kommt es trotzdem immer wieder vor, dass unsichere oder gerade abgelenkte Empfänger trotzdem versehentlich in der Hektik des Alltags auf den Anhang oder den Link klicken – und dann Erpressungssoftware z.B. ein Trojaner oder Verschlüsselungsprogramm auf ihrem System aktiviert wird, sodass dann nichts mehr funktioniert….

Kleiner Klick, große Wirkung
Nicht nur aus Gründen der IT-Sicherheit sollte kein Empfänger auf solche Links oder Anhänge senden und im Zweifel, falls es scheinbar ein bekannter Absender ist, dort erst telefonisch nachfragen. Auch aus rechtlichen Gründen gibt es keinen Grund, sich sowas gefallen zu lassen, selbst wenn es tatsächlich ein Anwalt, Inkassobüro oder sonstiger Gläubiger einer Forderung sein sollte. Denn wegen dieser IT-Sicherheitsrisiken ist kein Inhaber eines E-Mail Postfachs verpflichtet, Anhänge in E-Mails und Nachrichten dieser Art zu öffnen – das hat kürzlich auch das Oberlandesgericht Hamm, Az. 4 W 119/20 mit Urteil vom 09.03.2022 bestätigt: Anwälte hatten im Auftrag eine wettbewerbliche Abmahnung per E-Mail mit einem im Anhang befindlichen Schreiben versandt. Der Empfänger öffnete die E-Mail nicht. Deshalb muss die Gegenseite die Prozesskosten zahlen. Das Oberlandesgericht bestätigte in dem auf die hier echte Abmahnung folgenden Eilverfahren, dass der Inhaber des Empfänger-E-Mail-Postfachs die Kosten der nachfolgenden einstweiligen Verfügung, die gegen ihn erging, mangels Zugang und Kenntnisnahme von dem Anhang mit dem Schreiben nicht zu tragen hatte. In der Sache erging damit zwar eine wirksame Unterlassungsverfügung, weil der Wettbewerbsverstoß tatsächlich gegeben war und daher zu Recht der Auftraggeber der Abmahnung die Beendigung der fraglichen unlauteren Werbemaßnahme und Unterzeichnung einer strafbewehrten Unterlassungserklärung gefordert hatte. Aber da das Abmahnschreiben nicht mit einem Einschreiben, sondern per Dateianhang per E-Mail gesendet worden war, musste der Antragsteller die gesamten Anwalts- und Prozesskosten der Abmahnung und des einstweiligen Verfügungsverfahrens tragen. Wie das OLG im Leitsatz entschieden hat, ist eine Abmahnung bei einem Abmahnschreiben im Dateianhang erst dann zugegangen, wenn der E-Mail Empfänger den Dateianhang auch tatsächlich geöffnet hat. Und das war nicht der Fall – aus Gründen.

Experten-Rat lohnt sich
Wenn Sie Fragen im IT-Recht haben, zum Beispiel von Abmahnungen oder Hacking-Angriffen betroffen sind, und anwaltlichen Rat und Hilfe benötigen, rufen Sie an unter +49 6031 6708843. Oder schreiben Sie eine Anfrage über mein Kontaktformular mit Ihren Kontaktdaten. Dann rufe ich werktags innerhalb von 24 Stunden zurück oder sende Ihnen per E-mail eine Antwort.

Kategorien
Blogroll e-Learning Fernunterricht Internetrecht Uncategorized Verbraucherschutz Vertragsrecht Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

Abmahnungen der Wettbewerbszentrale gegen Anbieter von Online-Kursen

Derzeit geht die Zentrale zur Bekämpfung unlauteren Wettbewerbs Frankfurt am Main e. V. (wettbewerbszentrale.de) gegen Anbieter von Online-Kursen wegen wettbewerbsrechtlicher Verstöße vor. Gerügt werden etwa fehlendes und unzureichendes Impressum sowie die fehlenden Angaben zu einer Zulassung bei der ZFU als Fernunterricht nach § 12 FernUSG. Wer nicht zulassungspflichtig ist, obwohl es auf den ersten Blick so aussieht, sollte sich darauf vorbereiten und das anhand seiner Werbung und Teilnehmer-Verträgen belegen können. Bei falschen oder fehlenden Angaben der Betreiber, die oft derzeit im Ausland sitzen, wie etwa in Dubai, Österreich oder Luxemburg, nimmt die Wettbewerbszentrale dabei zunächst den Domaininhaber in Anspruch. Dessen Kontaktdaten erhält sie nach dem Telemediengesetz über die zuständige Registrierungsstelle, d.h. bei einer .de Adresse über die Denic.

Die Wettbewerbszentrale wird z.B. tätig, wenn sich Betroffene Teilnehmer oder Wettbewerber bei ihr über Anbieter von Fernlehrgängen beschweren. Die Wettbewerbszentrale gehört zu den abmahnberechtigten beim Bundesamt für Justiz nach dem UWG eingetragenen Verbänden und ist bekannt dafür, auch gerichtlich die gerügten Verstöße zu verfolgen. Anbieter von Online-Seminaren, die Zertifikate vergeben oder mit ähnlichen Bescheinigungen eine erfolgreiche Teilnahme ihren Teilnehmern versprechen, sollten daher nicht nur auf Post von der ZFU, sondern auch auf unangenehme Post von der Wettbewerbszentrale mit Abmahnungen vorbereitet sein. Domaininhaber und Betreiber der Webseite werden aufgefordert, eine strafbewehrte Unterlassungserklärung zu unterschreiben.

Nach § 12 FernUSG sind Fernlernkurse wie es Online-Seminare mit Zertifikaten oder ähnlichen Bescheinigungen dann zulassungspflichtig, wenn es sich um Fernunterricht im Sinne des Gesetzes handelt. Dies muss jeder Anbieter im e-Learning-Bereich wissen und rechtssicher klären.

Gerne helfe ich hierbei bei Fertigung des korrekten Impressums ebenso wie bei der Anpassung von AGB, Verträgen, Geschäftsmodell, Werbung und Vertrieb, um hier Fallstricke zu vermeiden. Es drohen nicht nur Abmahnungen der Wettbewerbszentrale aufgrund von Beschwerden betroffener Teilnehmer, sondern auch Bußgelder bis zu 10.000 Euro bei fehlender Zulassung, die die ZFU mit Sitz in Köln nach dem FernUSG verhängen kann, wenn Anbieter irrig annehmen, sie seien aufgrund ihrer konkreten Gestaltung zulassungsfrei.

Wenn Sie dazu Fragen haben, wenden Sie sich gerne an mich telefonisch oder über das Kontaktformular hier. Sie erhalten von mir eine Antwort auf Ihr Anfrage werktags innerhalb von 24 Stunden. Nähere Informationen zum Thema finden Sie auch in meinem Blogbeitrag Online-Seminare und das Fernunterrichtsgesetz

Kategorien
Blogroll Internetrecht Online-Handel Uncategorized Verbraucherschutz Vertragsrecht

Widerrufsrecht bei Handwerkerleistungen (Werklieferungsverträgen)

Handwerker können sich bei individuellem Einbau von Waren wie z.B. einem Treppenlift nicht auf den Ausschluss des Widerrufsrechts nach § 312 Abs. 2 Nr. 1 BGB berufen, das hat der BGH entschieden. Privatkunden steht beim Kauf eines maßangefertigten Treppenlifts also ein vierzehntägiges Widerrufsrecht zu, so der Bundesgerichtshof (BGH) mit Urteil vom 19.10.2021, Az. I ZR 96/20. Der Ausschluss des Widerrufsrechts ist nämlich nur bei Kaufverträgen anwendbar, so der BGH, und nicht bei Werklieferverträgen oder Werkverträgen. Das ist insofern überraschend als die individuelle Anpassung nach den individuellen Wünschen des Kunden ja den Vertrag immer zu einem Werkliefervertrag macht und somit eigentlich unklar ist, welchen Anwendungsbereich diese Ausnahme dann haben sollte und so hatte noch die Vorinstanz (das Oberlandesgericht Köln) das Widerrufsrecht als nach § 312g Abs. 2 Nr. 1 Bürgerliches Gesetzbuch (BGB) ausgeschlossen. Jedoch sah der Bundesgerichtshof dies anders und hob das OLG Urteil auf.

Praxistipp: Handwerker, die Maschinen, Möbel oder sowas wie einen Treppenlift bei Privatkunden einbauen und hierzu nicht in ihrem eigenen Ladengeschäft, sondern vor Ort oder über das Internet beauftragt werden, müssen daran denken, dass der Kunde nach § 312g Abs. 1 BGB ein 14-tägiges Widerrufsrecht hat und darüber korrekt belehrt werden muss. 14 Tage abwarten bevor der Auftrag ausgeführt wird, hilft nicht, da die Widerrufsfrist da noch nicht beginnt. Ferner sollten sich bei Beauftragung neben der Widerrufsbelehrung und Widerrufsformular ausdrücklich auch eine Bestätigung vom Kunden geben lassen, dass der Kunde für den Fall des Widerrufs verstanden hat, dass er dann nach § 357d BGB Wertersatz schuldet, wenn der Handwerker bei Erhalt der Widerrufserklärung bereits mit dem Werk angefangen oder dieses sogar fertiggestellt hat. Ferner sollte er zur Frage, wie sich der Wertersatz berechnet, eine möglichst klare und sinnvolle Regelung, die angemessen den Wert der Leistung und verwendeten Teile berechnen lässt, beifügen, damit über die Höhe des Wertersatzes möglichst keine Unklarheiten im Streitfall aufkommen.

Kategorien
Blogroll Internetrecht Online-Handel Uncategorized Verbraucherschutz Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

eCommerce: Die Lieferzeitangabe „i.d.R. 48 Stunden“ im Online-Shop ist zulässig

Das OLG Hamm entschied in einem Verfahren über eine einstweilige Verfügung, dass die Lieferzeitangabe „i.d.R. 48 Stunden“ in einem Onlineshop zulässig ist (OLG Hamm, Urt. v. 19.8.2021 – 4 U 57/21). Dem typischen Verbraucher sei bekannt, dass die Lieferzeit wegen der manchmal divergierenden Postlaufzeiten nicht exakt angegeben werden kann. Die Abmahnung eines Wettbewerbers war damit unwirksam.

Kategorien
Blogroll Internetrecht Uncategorized Urheberrecht Vertragsrecht

BGH: Keine urheberrechtliche Veröffentlichung eines Fotos bei URL mit 70 Zeichen

BGH Urteil vom 27.05.2021, Az. I ZR 119/20 #Fotorecht #Urheberrecht #Bildrechte #Abmahnungen- Keine urheberrechtliche Veröffentlichung bei URL mit 70 Zeichen und daher auch keine Vertragsstrafe
Bei strafbewehrten Unterlassungserklärungen kommt es immer wieder zum Streit, ob dagegen verstoßen worden ist und eine Vertragsstrafe verwirkt wurde. Der BGH hat dies nun in einem Streitfall verneint, bei dem die URL, über die das Foto noch abrufbar war, 70 Zeichen lang war und nicht über die Bildersuche bei Google abrufbar war.
Wenn das Bild wie hier nur über eine solche URL abrufbar ist, die nicht über die Bildersuche bei Google oder anderen Suchmaschinen abrufbar ist, sondern nur für denjenigen, der diese spezielle URL mit 70 Zeichen hat, dann ist das Bild nicht öffentlich und liegt kein Verstoß gegen die Unterlassungserklärung vor (so sinngemäß der BGH, Urteil vom 27. Mai 2021 – I ZR 119/20).

In dem Fall war die Internetadresse mit 70 Zeichen so lang, dass praktisch niemand sie abgerufen haben dürfte, so der BGH. Dies führt dazu, dass das Foto unter der URL nicht als öffentlich zugänglich gilt. Das Merkmal „recht viele Personen“ ist nicht gegeben, wenn nur theoretisch abrufbar bei so einer langen URL.

Dennoch sollten bei Abgabe einer Unterlassungserklärungen rechtsverletzende Fotos inklusive weiterer Versionen vom Server gelöscht werden.

Ferner sollte der Index der Webseiten bei Suchmaschinen wie google gemeldet werden, damit Google diese neu indexiert ohne die beanstandeten Fotos.
Idealerweise sollte der Datei robots.txt der Webseite untersagt werden, Bildverzeichnisse zu indexieren. Denn ein Foto, das über Google gefunden wird, ist öffentlich zugänglich.

Kategorien
Blogroll Datenschutzrecht Internetrecht Medienrecht Uncategorized

OLG Frankfurt: Wahre Warnhinweise können rechtwidrig sein, es ist konkret abzuwägen…

OLG Frankfurt: Der wahre Warnhinweis gegenüber Werbepartnern über einen verurteilten Betrüger, er sei ein Betrüger kann rechtswidrig sein, wenn die Tat über 7 Jahre zurückliegt und keine aktuellen Verfehlungen ähnlicher Art hinzugetreten sind
Wenn es sich um Äußerungen mit ehrrührigen Meinungen oder Aussagen mit wahrem Tatsachenkern über ehemalige Geschäftspartner, handelnde Personen von Unternehmen oder Freunde handelt, dann können die Streitigkeiten schnell sehr hoch eskalieren. Die Frage, ob die Äußerung rechtswidrig war, erfordert dann aber neben einem Informationsinteresse des Erklärungsempfängers oder bei öffentlichen Posts dann eben der Öffentlichkeit – je nach Kontext der Äußerungen – nach ständiger Rechtsprechung eine Abwägung der widerstreitenden Grundrechte und Interessen. Konkrete Beispielsfälle und wie die Richter das beurteilen helfen hier allen weiter. Es kommt nicht selten zwischen ehemaligen Kunden, Mitarbeitern oder Ehepartnern, Freunden oder auch mit Angehörigen zu sehr heftigen Streitigkeiten, die für alle Seiten sehr belastend sind und auch fachanwaltlicher Betreuung und Beratung und Prozessvertretung bedürfen, um den Schaden zu begrenzen. Die Rechtsprechung ist hier von starkem Interesse, weil hier die Sach- und Rechtslage oft kompliziert zu beurteilen ist und leider viele Entscheidungen nicht veröffentlicht werden.
Nur etwa 1 % deutscher Urteile werden veröffentlicht und viele Rechtsstreitigkeiten enden auch durch außergerichtlichen oder gerichtlichen Prozessvergleich, sodass der größte Teil der Streitigkeiten und der gerichtlichen Einschätzung oder Entscheidungen gar nicht veröffentlicht wird siehe Bericht in LTO vom 02.07.2021 nach einer Studie – Details siehe https://www.lto.de/recht/justiz/j/studie-veroeffentlichung-gerichtsentscheidungen-deutschland-transparenz-justiz/ Das ist leider eigentlich rechtsstaatswidrig wie eine aktuelle Studie laut Beitrag bei der lto.de auch mit Hinweis auf die höchstrichterliche Rechtsprechung zur Wichtigkeit der Transparenz von gerichtlichen Entscheidungen Dr. Dr. Hanjo Hamann aktuell am 2.7.2021 berichtet hat in der Legal Tribune Online, jedoch tägliche Praxis, wobei hier negativ einige Gerichte mit nur äußerst wenigen Veröffentlichungen besonders auffallen wie etwa z.B. das Landgericht Gießen. Das war auch hier in einem Beispielfall, in dem immerhin aufgrund einer Berufung das Oberlandesgericht in einem ausführlich begründeten Prozesskostenhilfebeschluss die Sach- und Rechtslage ausführlich ausgeführt hat, das ursprüngliche Streitgericht. Leider kann wegen der identifizierenden Angaben der Beschluss nicht im Volltext veröffentlicht werden, aber:
Ich habe mir vorgenommen, Entscheidungen, die mir aus meiner Praxis vorliegen in hinreichend anonymisierter Form zu veröffentlichen, soweit nicht Interessen meiner Mandanten entgegenstehen.
Daher kann ich zumindest auszugsweise zwei Aussagen aus einem Prozesskostenhilfebeschluss des Oberlandesgerichts Frankfurt vom 07.05.2021 Az. 19 U 251/20 wiedergeben, die von allgemeinem Interesse sein dürften, und auf ihre Kernaussagen zusammenfassen:
1. Einer strafbewehrten Unterlassungserklärung kann nicht allein deswegen ein Mangel an Ernstlichkeit abgesprochen werden, weil sie nicht sofort nach Abmahnung und auch in der Mündlichen Verhandlung nach Widerspruch gegen eine einstweilige Verfügung ergeht. Auch noch in der Berufung kann die Wiederholungsgefahr auch durch eine arme Partei ausgeräumt werden. Auch eine arme Partei, die Prozesskostenhilfe benötigt, kann bei einer Unterlassungsklage wegen einer rechtwidrigen Äußerung den Schaden durch eine strafbewehrte Unterlassungserklärung begrenzen, so dass keine Verurteilung zur Unterlassung mehr begründet ist. Nur weil die arme prozesskostenhilfebedürftige Partei erkennbar keine Vertragsstrafe, zu der sie sich in der strafbewehrten Unterlassungserklärung nach ständiger Rechtsprechung verpflichten muss, derzeit nicht leisten kann, fehlt es nicht an der Ernstlichkeit. Es ist nicht ohne weiteres anzunehmen, dass die arme Partei weitere Schulden machen möchte. Für die Anschlussberufung ist der Berufungsführerin und Verfügungsbeklagte daher im Streitfall Prozesskostenhilfe zu bewilligen.
2. Insolvenz einer Person oder andere negative Tatsachen können Menschen in ihrem weiteren Lebensweg sehr stark beeinträchtigen und daher müssen mit dem Ziel, die Betroffenen nach einer längeren Wohlverhaltensphase wieder zu resozialisieren und ihnen eine neue Chance zu ermöglichen, negative Tatsachen, auch dann wenn sie wahr sind, geheim bleiben. Die wahre ehrrührige Aussage gegenüber Werbepartnern, dass der Kläger ein Betrüger sei, war in o.g. Beispielfall daher vom Oberlandesgericht vorläufig im Prozesskostenhilfebeschluss für die Beklagte als rechtswidrig eingestuft worden, weil die strafrechtliche Verurteilung bereits über 7 Jahre zurücklag und das Resozialisierungsinteresse des betroffenen Verfügungsklägers in der zu treffenden Abwägungsentscheidung insoweit überwiegt. Anders liegt der Fall allerdings, wenn die Verfehlungen aktuell andauern.

Wörtlich Zitat aus dem oben genannten Beschluss des Oberlandesgerichts Frankfurt vom 07.05.2021 Az. 19 U 251/20::“

…Im Streitfall ist das durch Art. 2 Abs. 1 Art. 1 Abs. 1 gewährleistete Interesse des Verfügungsklägers… auf Schutz seiner Persönlichkeit und seines guten Rufs mit dem in Art. 5 Abs. 1 GG verankerten Recht der Verfügungsbeklagten auf Meinungsfreiheit abzuwägen.

Dabei hängt zwar die Abwägung zwischen dem allgemeinen Persönlichkeitsrecht einerseits und der Meinungsfreiheit bei Tatsachenberichten auch vom Wahrheitsgehalt ab, und zwar in der Weise, dass wahre Aussagen in der Regel hingenommen werden müssen, auch wenn sie nachteilig für den Betroffenen sind (vgl. BVerfG NJW 1999, 1322; NJW 2012, 1500).

So liegen die Dinge hier. Die Verurteilung des Verfügungsklägers lag im Zeitpunkt der Äußerung sieben Jahre zurück. Unter diesen Umständen wiegt das Interesse des Verfügungsklägers schwer, nicht als ehemaliger Straftäter identifiziert zu werden, weil durch diese negative Qualifizierung seine Resozialisierung bedroht ist (vgl. MüKoBGB/Rixecker, 8. Aufl. 2018, Anh. § 12 Rn. 214). Ein berechtigtes Interesse kann die Verfügungsbeklagte demgegenüber nicht geltend machen. Dass man mit ihm allein wegen seiner Vergangenheit besser keine Geschäfte machen solle, ist kein Gesichtspunkt, den man dem berechtigten Resozialisierungsinteresse des Verfügungsklägers legitimer weise entgegensetzen kann. Es liegt auch kein Fall vor, dass einschlägige Verfehlungen Anlass gäben, die Vorstrafen des Verfügungsklägers in Erinnerung zu rufen…..“

Fazit: Wenn auch aktuell weitere Verfehlungen ähnlicher Art begangen wurden, wäre die Beurteilung anders ausgefallen. Darüber und weiterer Streitpunkte des Falles wollten die Parteien nicht weiter streiten und so kam es auf Anraten des Gerichts zu einem gütlichen Vergleich, der auch die Rücknahme der Schadenersatzklage umfasste. Die Parteien hier waren vorgerichtlich nicht anwaltlich beraten, daher konnten wir Anwälte die Sache nur gerichtlich vertreten und im Ergebnis mit einer für beide Seiten fairen Regelung nach Anraten des Gerichts in einem umfassenden Vergleich gütlich beilegen.

Wenn Sie fachanwaltliche Beratung in einer äußerungsrechtlichen Streitigkeit benötigen, berate ich Sie gerne mit allen Facetten, die so etwas umfasst!

Anmerkungen: die Parteien haben sich in dem äußerungsrechtlichen Verfahren sowie in der Schadenersatzklage zur Hauptsache gütlich geeinigt. Es gibt daher kein Urteil.

Kategorien
Blogroll Datenschutzrecht Internetrecht Schadensrecht Verbraucherschutz

#DSGVO: Bundesverfassungsgericht zur Vorlagepflicht bei Klageabweisung wegen immateriellem Schadenersatz nach Art. 82

Das Bundesverfassungsgericht (BVerfG) hat in einem Beschluss vom 14. Januar 2021 (Az.: 1 BvR 2853/19) einer Verfassungsbeschwerde stattgegeben und dem Amtsgericht Goslar aufgegeben, eine unionsrechtlich nicht geklärte Frage zur Schadenersatzpflicht bei Datenschutzverstößen von Unternehmen nach Art. 82 DSGVO dem Europäischen Gerichtshof (EUGH) zur klärenden Entscheidung vorzulegen. Indem das Amtsgericht über die entscheidungserhebliche Frage, ob die Schadenersatzpflicht nach Art. 82 DSGVO auch in Bagatellfällen besteht oder eine Erheblichkeitsschwelle als ungeschriebene Tatbestandsvoraussetzung zu statuieren ist, selbst entschieden hat, ohne die Sache dem EUGH vorzulegen, hat das Amtsgericht das Grundrecht des Klägers auf seinen gesetzlichen Richter nach Art. 101 Grundgesetz (GG) verletzt. Eine solche Erheblichkeitsschwelle findet sich nämlich nicht in der DSGVO und ist auch nicht den Erwägungsgründen zu entnehmen. Deshalb war dann nach Erschöpfung des Rechtswegs die Verfassungsbeschwerde erfolgreich.
Das Bundesverfassungsgericht hat nun dafür gesorgt, dass die praxisrelevante Frage nun endlich dem EUGH zur unionseinheitlichen Auslegung und klärenden Entscheidung vorgelegt wird. Der Amtsrichter hätte hier die noch nicht unionsrechtlich geklärte, hier aber entscheidungserhebliche Frage, ob ein Bagatellverstoß bestehend aus einer einzelnen Spam-E-Mail oder ähnliche Bagatellverstöße schadenersatzpflichtig nach Art. 82 DSGVO sind oder nicht, nach Art. 267 AEUV dem Europäischen Gerichtshof zur Entscheidung vorlegen müssen.
Den Hintergrund des Streits gut erklärt hat Rechtsanwalt Wybitul, der für seine internationalen Klienten mit seinem Team zunehmend mit der Abwehr von vielen Schadenersatzklagen bei der Kanzlei Latham & Watkins beschäftigt ist und dessen Mandanten ein hohes Interesse haben, Bagatellgrenzen, Rechtsmissbrauch und andere Argumente gegen die Schadenersatzklagen Betroffener bei Datenschutzverletzungen von großen Unternehmen zu Felde zu ziehen – hier https://www.cr-online.de/blog/

Hierbei muss ich sagen, dass es doch sehr erstaunlich ist, was die Richter in dem Bestreben, die Sache einfach arbeitssparend abzuweisen, alles als Bagatelle abtun… aber dazu an anderer Stelle…

Die Entscheidung wird aber noch weitere Folgen haben, nicht nur die Klärung der Frage zu der Erheblichkeitsschwelle: Im Zusammenhang mit den Schadenersatzklagen gibt es noch eine Reihe weiterer nicht geklärter Fragen zur Auslegung der DSGVO, insbesondere solche zur Auslegung der Auskunftsrechte des Betroffenen nach Art. 13-15 DSGVO. Sie sind weit gefasst und sollen es nach dem Erwägungsgründen dem Betroffenen ermöglichen, zu erfahren, wer auf welcher Grundlage personenbezogene Daten verarbeitet (Transparenzgebot) und deren Rechtmäßigkeit zu prüfen bzw. bei Datenschutzverstößen, die ihn geschädigt haben, wenigstens Schadenersatzansprüche nach Art. 82 DSGVO effektiv durchsetzen zu können (Stichwort informationelle Selbstbestimmung als Schutzgut von Art. 8 Grundrechtecharta (GrCH) sowie der DSGVO). Während bisher die deutsche Richterschaft mehrheitlich dem alten Konzept von der Persönlichkeitsrechtsverletzung, die nur bei schweren Eingriffen ein Schmerzensgeld auslöste verhaftet bleibt, versucht die DSGVO unserer zunehmenden Digitalisierung gerecht zu werden. Daher ist der DSGVO richtigerweise nach meiner Einschätzung keine solche Erheblichkeitsgrenze zu entnehmen, sondern sind diese Fragen einfach bei der Entscheidung über die Höhe der Entschädigung zu berücksichtigen. Während im Einzelfall eine E-mail oder andere Bagatellverstöße nicht schwerwiegend sein mögen, zahlen sich die massenweise rechtswidrige Weiterverarbeitung von personenbezogenen Daten in einem Kontrollverlust für jeden Einzelnen bemerkbar, der es ohne eine effektive Rechtsdruchsetzung auch kleiner Verstöße nicht wirksam eingedämmt werden kann. Es ist daher zu erwarten, dass nunmehr infolge dieses Paukenschlags des BVerfG nun in einer Reihe weiterer Schadenersatzklagen die Gerichte ihre Vorlagepflicht besser prüfen werden und weitere umstrittene Zweifelsfragen zur Auslegung und Reichweite der Auskunftsansprüche der DSGVO nach Art. 267 AEUV dem Europäischen Gerichtshof zur Klärung vorlegen müssen.

Kategorien
Datenschutzrecht Internetrecht Schadensrecht Uncategorized Verbraucherschutz Vertragsrecht

#DSGVO-Beschwerde und #Schadenersatzdurchsetzung: hier Durchsetzung bei Datenpanne ist für Verletzte schwierig

Datenpannen passieren häufig im Ausland und zuständige federführende Aufsichtsbehörden nach der DSGVO sind oft ebenfalls nicht in Deutschland. Betroffene, die Auskunfts- und Schadenersatzansprüche gegen den Verantwortlichen und/oder Auftragsverarbeiter nach Art. 82 DSGVO durchsetzen wollen, bzw. Unternehmen, die nach einer solchen Panne sich fragen, was sie konkret mitteilen müssen, haben derzeit daher an 2 Fronten zu kämpfen. Einmal bei den Zivilgerichten, die die Auskunfts-, Darlegungs- und Beweisgrundsätze bisher nicht einheitlich und zum Teil entgegen Art. 82 DSGVO und den nach Erwägungsgrund 146 DSGVO zu beachtenden Effektivitätsgrundsätzen restriktiv auslegen. So hat das Landgericht Frankfurt, und zwar einmal die 27. Zivilkammer mit Urteil Landgericht Frankfurt/Main Az. 2-27 O 100/20 und in einem Parallelfall eines anderen Klägers nunmehr erneut die 30. Zivilkammer mit etwas anderem Tatbestand mit Urteil vom 18.01.2021 20210118_anonym.LG Ffm Urteil 18.01.2021 15+82 DSGVO_Geschwärzt eine Auskunfts- und Schadenersatzklage gegen die in Belgien sitzende Mastercard Europe SA im Zusammenhang mit dem Databreach aus August 2019 im Rahmen des Mastercard Priceless Specials Germany Bonusprogramms abgewiesen (nicht rechtskräftig). Der Kläger wird in die Berufung gehen. Update 6.2.2021 Letzter Stand der Klägerseite hier: Tatbestandsberichtigungsantrag ist fristgemäß gestellt, weil es hier offensichtliche Unrichtigkeiten im Tatbestand gibt. Den Auskunftsantrag (Mastercard hat verspätet und unvollständig beauskunftet und will die konkreten Serviceprovider nicht angeben, bzw. hat erst in der Klageerwiderung die Namen „Brain Behind Ltd und Brain Behind GmbH“ vorgetragen, wobei unklar blieb, bei wem genau das unsichere Administratorpasswort den unbefugten Zugriff auf die Systeme der „BB“ 2019 ermöglicht hat. Ferner ist es so, dass es eine „Brain Behind GmbH“ ausweislich des Handelsregisters weder in Deutschland und ebenso auch nicht in Österreich gibt, wie man dem amtlichen firmenbuch.at entnehmen kann). Der Streitfrage ging das Gericht damit überraschend aus dem Weg, indem es im Urteil plötzlich meinte, es sei nicht ersichtlich, wieso die GmbH nicht identifizierbar sei und eine Pflichtverletzung von Mastercard sei „nicht indiziert.“ Der Kläger hatte vorgetragen, dass diese Angaben unklar sind und deshalb in der mündlichen Verhandlung den Auskunftsantrag nicht für erledigt erklärt. Die Beklagte hatte sich auch gar nicht damit verteidigt, das sei erledigt, denn man müsse diese nicht konkret angeben. Damit war diese rechtliche Streitfrage an sich zu entscheiden, die in der Praxis auch hoch relevant ist, ob – jedenfalls nach einer Datenpanne – nach Art. 12, 15 Abs. 1 lit.c DSGVO der Serviceprovider, der als Auftragsverarbeiter und damit „Empfänger“ der Kundendaten involviert war, konkret zu benennen ist. Mit vagen Angaben wie hier, kann ein geschädigter Betroffener nichts anfangen, daher (so auch die herrschende Meinung in der für das Gericht natürlich zitierten Kommentarliteratur mit allen Argumenten) konkret anzugeben, jedenfalls spätestens nach einer Datenpanne und ausdrücklicher DSGVO-Auskunftsanfrage des betroffenen Kunden. Mal sehen, ob das Gericht die offenbaren Unrichtigkeiten nun auf Antrag im Tatbestand berichtigen wird, damit in der II. Instanz das Gericht wenigstens den Sachverhalt richtig versteht, über den es zu befinden haben wird….Puh.

Die andere Baustelle ist die Erlangung von näheren Informationen und Akteneinsichten bei den Aufsichtsbehörden, die für die Beschwerde- und Bussgeldverfahren nach einer Datenpanne zuständig sind. Auszug aus meiner Korrespondenz mit dem HBDI (Hessischer Beauftragter für Datenschutz und Informationsfreiheit):
UPDATE VOM 09.02.2021: Nun liegt eine neue Antwort des HBDI vor:

Sehr geehrte Frau Rechtsanwältin Hagendorff,

die belgischen Kollegen haben mir mitgeteilt, dass die Untersuchungen noch andauern und die Daten zum Verfahren derzeit nach belgischem Recht vertraulich sind. Entsprechend wurde auch mir keine weitere Auskunft erteilt und so kann ich Ihnen auch keine weiteren Informationen zur Verfügung stellen.

Mit freundlichen Grüßen
Im Auftrag

……….
—–Meine E-mail an das HBDI in einem Beschwerdeverfahren einer Klientin gegen Mastercard Europe SA:
Sehr geehrter Herr……,
danke für Ihre E-mail vom 20.10.2020 zum Akteneinsichtsgesuch …und ich habe die Angelegenheit inzwischen nochmals geprüft.

Wenn die Akte zum Beschwerdeverfahren zu o.g. Az. nur meine Eingaben enthält, wird auf die Akteneinsicht selbstverständlich verzichtet.
Aber ich möchte Sie bitten, gemäß Art. 77 Abs. 2 DSGVO i.V.m. § 19 Abs. 2 S.3 BDSG uns den Informationsstand und das Ergebnis oder hilfsweise das Zwischenergebnis des Beschwerdeverfahrens bei der federführenden Aufsichtsbehörde in Belgien mitzuteilen. Nach § 19 Abs. 2 S. 3 BDSG soll dann, wenn wie hier die Verantwortliche in Deutschland keinen Sitz und keine Niederlassung hat, die Aufsichtsbehörde hier als empfangende Behörde dem Beschwerdeführer über das Ergebnis des Verfahrens informieren, d.h. soweit das Verfahren abgeschlossen ist, den Beschluss der Belgischen Aufsichtsbehörde mitteilen oder falls es noch nicht abgeschlossen ist, zumindest den Zwischenstand über die Erkenntnisse, die zur Datenpanne geführt haben.

Nach § 19 Abs. 2 Satz 3 BDSG weist der deutsche Gesetzgeber die nach der DSGVO zugewiesenen Aufgaben der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, kraft Gesetzes der „empfangenden Aufsichtsbehörde“ zu. Das bedeutet, dass die Zuständigkeiten gebündelt werden, damit die Aufsichtsbehörde den Verletzten nicht an ausländische Aufsichtsbehörden verweisen kann. [Vermerk: Ausserdem ist sie zur Kooperation und Weiterleitung einer Beschwerde an die federführende Aufsichtsbehörde in der EU verpflichtet, At. 60ff DSGVO]. Damit verleiht das BDSG dem Grundgedanke der DSGVO, dass der Betroffene bei der Aufsichtsbehörde seiner Wahl in Deutschland Beschwerde einlegen kann, damit er nicht auf eine Aufsichtsbehörde im Ausland verwiesen werden kann, ihre Wirkung (vgl. sinngemäß so auch Hellmich in Taeger/Gabel, DSGVO.BDSG, 3. Auflage, Rn. 7 zu BDSG § 19 m.w.N.). Das bedeutet, dass das HBDI vorliegend die Kommunikationsaufgaben, sprich Information über das Ergebnis des Verfahrens oder bei überlanger Dauer wie hier zumindest den Stand und Zwischenergebnis des Verfahrens zu unterrichten hat. Wäre der Betroffene auf die Durchsetzung von Informations- und Akteneinsichtsersuchen bei der ausländischen federführenden Behörde angewiesen, würde dies dem Grundgedanken der DSGVO widersprechen, die aus Gründen der Fairness und des europarechtlichen Grundgedankens des effet utile die praktische Durchsetzung seiner Informations- und Abwehrrechte gegen unrechtmäßige Verarbeitungen überhaupt erst ermöglichen sollen. Dies ist gerade bei grenzüberschreitenden Datenverarbeitungen, die hier auch die Kreditkartenumsätze umfassen, die zweckentsprechend zum Gutschreiben der Coins im Bonusprogramm automatisch abgeglichen und somit miteinander vernetzt gewesen sein dürften, nur praktisch möglich, wenn § 19 Abs. 2 S. 3 BDSG wie vom Gesetzgeber beabsichtigt, dem Betroffenen die deutsche Aufsichtsbehörde sichert, auch wenn federführend eine ausländische Aufsichtsbehörde zuständig ist nach den Art. 60ff DSGVO.

Nach nochmaliger Prüfung der Sach- und Rechtslage ist es demnach nicht statthaft, die Beschwerdeführerin auf die ausländische federführende Aufsichtsbehörde vorliegend zu verweisen oder bis zum rechtskräftigen Abschluss etwaiger Zivilklagen mit dem Bericht das Verfahren auszusetzen.

Wie dargelegt, besteht der Verdacht, dass Mastercard Europe SA oder deren Auftragsverarbeiter die Datenpanne durch unzureichende Datensicherheitsmassnahmen nach Art. 32 DSGVO z.B. durch ein unsicheres Administratorpasswort eines Auftragsverarbeiters, das höchstwahrscheinlich entdeckt worden wäre, wenn die nach der PCI-DSS v3.2.4 abrufbar in Deutsch und in Englischer Sprache unter https://www.pcisecuritystandards.org/document_library auf S. 128 vorgeschriebenen Penetrationstests alle 6 Monate durchgeführt worden wären.
Auf S. 128 der vorgenannten Payment Card Informationsystem Data Security Standards heisst es unter 11.2.4.1. „Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods.“
Diese Vorgabe ist nach meinen Informationen seit Februar 2018 in Kraft und die Einhaltung der PCI-DSS waren hier wegen der Vernetzung mit dem Zahlungssystem zwischen Mastercard und Brain Behind auch vereinbart.

Mastercard hat keine Auskunft über die genauen Empfänger der Brain Behind Gruppe erteilt (also wer genau wo aus der Gruppe die Kundendaten für das Bonusprogramm verarbeitet hat), sodass Name und Anschrift des Auftragsverarbeiters, bei dem die Datenabfluss stattgefunden hat z.B. wegen unzureichender Schutzmassnahmen und Penetrationstests hier nicht vorliegen. Handelt es sich um die aus dem Imprint von brain-behind.com veröffentlichte Brain Behind Ltd?
Die Anschrift dort ist laut Impressum (Inprint):
Brain Behind Ltd.
30 Moorgate
London, EC2R 6PJ, United Kingdom
xxxxxxxxxx
Phone: +44xxxxx

Ist es korrekt, dass dort ein unsicheres Administratorpasswort den Zugriff auf die geleakten Kundendaten aus dem Mastercard Priceless Specials Databreach in 2019 durch unbekannte Dritte ermöglicht haben?
Dies müsste doch unzureichende Datensicherheitsmassnahmen indizieren, weil für das Bonusprogramm laut unseren Informationen zwischen Mastercard Inc oder Mastercard Europe SA für das Mastercard Priceless Specials die Einhaltung der Sicherheitsmassnahmen nach den Vorgaben der PCI-DSS vereinbart war. Letztere sehen alle 6 Monate Penetrationstests vor.

Die fehlende Auskunft über den Empfänger entgegen Art. 15 Abs. 1 c DSGVO dürfte ebenfalls ein Verstoß beinhalten, denn Mastercard hat dazu keine Auskünfte erteilt, weder in der Datenschutzerklärung noch in der Meldung zur Datenpanne noch nachdem sie zur Auskunft aufgefordert wurde und hat Ende 2019 nur pauschal auf die Datenschutzerklärung verwiesen und ein Verschulden zurückgewiesen. Mit vagen Auskünften, es seien die Daten in Grossbritannien von einem Auftragsverabeiter verarbeitet worden, kann der Verletzte nichts anfangen. Der Begriff des Schadens [und die Auskunftsansprüche des Betroffenen nach den 12ff. DSGVO) sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Der Beschwerdeführerin ist auch ein immaterieller und ein materieller Schaden i.S. von Art. 82 Abs. 1 DSGVO entstanden. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht (ErwG 146 S.3 DSGVO). Zum Schaden gehört im Lichte der Grundfreiheiten auch der Kontrollverlust, der entsteht, wenn bei einer Datenpanne nicht der Verletzte informiert wird, wie es zu der Datenpanne kam und bei wem die Daten, insbesondere Empfänger/Auftragsverarbeiter der Verantwortliche die Kundendaten hat verarbeiten lassen. Der Betroffene (Verletzte i.S. der DSGVO) hat sonst nicht die Möglichkeit, ggfs. auch gegenüber dem Auftragsverarbeiter mangels Namen und Anschrift seine Rechte geltend zu machen, z.B. eine Streitverkündung im Zivilrechtsstreit zu ermöglichen oder Auskunftsansprüche nach Art. 15 DSGVO geltend zu machen. Nach überwiegender Auffassung der Kommentarliteratur muss sinnvollerweise also der Auftragsverarbeiter konkret nach einer Datenpanne benannt werden, identifizierbar und das hat Mastercard gegenüber der Beschwerdeführerin nicht getan. Es ist auch nicht eindeutig anhand Ihrer Auskünfte ersichtlich bisher. Die Mastercard Priceless Specials Germany Bonusprogramm hinterlegte Mastercard Kreditkarte von xxxxx xxx wurde wie in der Beschwerde dargelegt von ihrem Kreditinstitut aus Anlass der streitgegenständlichen Datenpanne vorsorglich im September 2019 gesperrt und ausgewechselt. Auch der Kontrollverlust bei einer unbefugten Weitergabe oder wie hier sogar Veröffentlichung durch anonyme Dritte ist ein Schaden [Vermerk: 85 S.2 ErwG: Die Menschen sollten die Kontrolle über ihre Daten besitzen und sich effektiv gegen unrechtmäßige Datenverarbeitung schützen können vgl. ErwG 7 der DSGVO.] Hier ist der Verdacht begründet, dass neben den Kontaktdaten auch die Kreditkartenumsätze geleakt worden waren, die eine Profilbildung ermöglichen. Zudem konnte sie infolge der Kreditkartenauswechselung zwar einer möglicherweise drohenden Kreditkartenbetrug verhindern, aber wegen des inzwischen gesperrten Portals keine weiteren Coins mit der neuen
Kreditkarte sammeln, weil die neue Mastercard nunmehr nicht mehr auf der gesperrten Seite des Mastercard Priceless Specials Programms hinterlegt werden konnte.

Bitte erteilen Sie bitte daher nunmehr die Auskünfte über das Ergebnis oder zumindest Zwischenstand der Ermittlungen, wer und was zu der Datenpanne geführt hat. Rein vorsorglich rüge ich nochmals auch nach § 46 OwiG i.v.m. § 198 GVG, dass ansonsten der Beschwerdeführerin ein weiterer Schaden entsteht, wenn sie gegenüber Mastercard und Brain Behind mangels ausreichender Auskünfte nicht ihre Rechte auf Schadenersatz auf dem Zivilrechtswege durchsetzen kann.
Wegen der Vielzahl der Betroffenen und Beschwerden dürfte es hier auch nicht unverhältnismäßig sein, wenn das HBDI diese Auskunft den Betroffenen Beschwerdeführern erteilt.
Würde Mastercard sich mit pauschalen Schutzbehauptungen bei einer Datenpanne wie geschehen wehren können, ohne transparente Informationen über das Ergebnis der Ermittlungen zur Datenpanne zu leisten gegenüber den geschädigten Kunden, dann hätte das verheerende Signalwirkung.

Freundliche Grüße

Stefanie Hagendorff
Rechtsanwältin

Am Straßbach 2
(Eingang Pfingstweide)
D-61169 Friedberg (Hessen)

Am 20.10.2020 um 08:41 schrieb x@datenschutz.hessen.de:
> Sehr geehrte Frau Rechtsanwältin Hagendorff,
>
> zu der Beschwerde von xxx sind in der Akte lediglich Ihr Beschwerdeschreiben vom 20.12.2019, Ihre weitere Email vom 23.07.2020 und meine Antwort vom 28.07.2020 enthalten. Der Akteninhalt liegt Ihnen daher vollständig vor. Sollten Sie dennoch ihren Antrag auf Akteneinsicht aufrechterhalten, bitte ich um einen Hinweis.
>
> Mit freundlichen Grüßen
> Im Auftrag ….
> ——————————————————————————–
> Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
> Gustav-Stresemann-Ring 1
> 65189 Wiesbaden
————

Kategorien
Blogroll Datenschutzrecht Internetrecht Uncategorized Vertragsrecht

Datenschutz in Unternehmen: Viel zu tun wegen der DSGVO – Tipps für KMU

Wenn es in diesen schwierigen Tagen um Prozesse und Datenschutz in Unternehmen geht, gerade solche mit vielen Prozessen und in großen Unternehmensgruppen, stellen diese fest: das ist nicht so einfach, die Prozesse anzupassen und soweit möglich umzustellen. Es muss aber leider sein. Die Auftragsverarbeitungsverträge (AV Verträge) mit Partnern müssen überprüft werden, ggfs. sind sie seit 05/2018 oftmals nicht mehr DSGVO-konform und es drohen sehr hohe Haftungsrisiken, die nach Art. 83 DSGVO je nach Verstoss von 2 % bis zu 4 % der weltweiten Umsatze der Unernehmensgruppe betragen köennen. Es ist daher trotz der Schwerfälligkeit der Behörden keine gute Idee, diese Risiken tatenlos einzugehen – es gilt die altbewährte Regel: die Behörden sind zwar langsam, aber wenn sie dann auf den Plan gerufen sind, können sie ggfs. recht gründich sein aufgrund der hoheitlichen erweiterten Eingriffs- und Nachschaubefugnisse, die nun seit 2018 im Datenschutzrecht den Aufsichtsbehörden nach der DSGVO zuerkannt worden sind. Im Zweifel greift auch keine Versicherung bei grobfahrlässiger Vernachlässigung von Pflichten zum Datenschutzmanaement nach den Art. 5, 24, 26, 28, 30, 32 DSGVO und den daraus sich ergebennden Pflichten, die prozesse im Hinblick auf den Datenschutz vorher zu prüfen, anzupassen, datenschutzfreundlich zu gestalten und das zu dokumentieren… Ferner gibt es die seit 2018 neue Rechtsfigur der sog. gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, die Auftragsverarbeitungsverträge zwischen den gemeinsam Verantwortlichen Partnern ausschliesst. Auch hier sind Verträge in vielen Unternehmensgruppen oder Partnerschaften anzupassen.
Wenn Sie als Unternehmen nur Auftragsverarbeitungsverträge haben obwohl teilweise richtigerweise gemeinsame Verarbeitungen vorliegen und daher Vereinbarungen nach Art. 26 DSGVO anstatt von AVs erforderlich sind oder ggfs. nicht ausreichende Datenschutzvereinbarungen mit Ihren Partnern geschlossen haben, sollten diese überprüft werden und gibt es Handlungsbedarf, wenn das nicht richtig passt. Dann kann es sein, dass dringender Handlungsbedarf besteht, weil die falschen Verträge geschlossen wurden und die Prozesse falsch bewertet worden sind, das ist dann dringend zu ändern (wegen der Höhe der Haftung). Das sollte dann besser anwaltlich abgeklärt und nachgebessssert werden. Denn: In einigen Fällen handelt es sich nach den Kriterien von Art. 4 i.V.m. Art. 26 DSGVO bei der Verarbeitung von Nutzer- oder Kudnendaten bzw. Mitarbeiterdaten (jedenfalls personenbezogenen Daten), um eine gemeinsame Verantwortlichkeit, auch wenn Sie keinen Zugriff auf die Nutzer- oder Kundendaten haben – dazu gab es in 20. Das iste ein häufiger Irrtum – so die eindeutige Rechtssprechung des EUGH in den Verfahren daß diese nicht die nach Art. 26 DSGVO erforderlichen Voraussetzungen erfüllen. D. h. dann Uups – statt einer Kooperationsvereinbarung bzw. „joint controller agreement“ nach Art. 26 DSAGVO nur einen Auftragsverarbeitungsvertrag (AV Vertrag) nach Art. 28 DSGVO abgeschlossen oder nur irgendwelche unzureichende Datenschutzvereinbarungen geschlossen? Das bereitet einigen Unternehmen massive Probleme haftungsrechtlicher Art, sei es im Verhältnis zu Partnern, Kunden oder Mitarbeitern oder bei Beschwerden oder Schadenersatzklagen nach Art. 82 DSGVO auch aufgrund deren Klagen für die Unternehmen. …. Denn das alte Bundesdatenschutzgesetz (BDSG) in der alten vor dem Mai 2018 geltenden Fassung kannte die Rechtsfigur der gemeinsamen Verantwortlichkeit in Deutschland nicht. Daher gab es hier andere vertragliche und datenschutzrechtliche Konzepte. Nunmehr poppt immer mehr auf, dass aufgrund der Art- 26 DSGVO i.V.m. Art. 6, 24 DSGVO in allen Fällen, in denen gem. Art. 4 DSGVO jemand gemeinsam Verantwortlicher ist mit Partnern, eine solche Regelung nach Art.26 DSGVO schliessen muß und das auch den Betroffenen im Wesentlichen in den Datenschutzhinweisen offenlegen muss, insbesondere damit der weiss, wer für welche Datenverarbeitungen bei dieser Kooperation zuständig ist. Das ist für die Unternehmen ungewohnt, wird nun aber zunehmend viel Aufwand bei der Umstellung von Prozessen in Anspruch.
Die Prozesse sind hier komplex und daher kann ich hier in dem Blogbeitrag keine Standardlösungen aufzeigen. Soweit die Aufsichtsbehörden meinen, dass aufgrund des Wegfalls des US-Privacy Shields als Rechtfertigung für die Übermittlung an US-Dienstleister dies „zeitnah“ so der EDSA und die DSK umzusetzen seien – was immer das heisst, wird es eine kurze Umsetzungsfrist geben, deren Dauer unklar ist. Wenige Wochen oder Monate wird das abdecken. Viele Unternehmen können nicht alle Dienste sofort umstellen, sondern es gibt Dienste, die zumutbar nicht kurzfristig verzichtbar sind und deren Umstellung auf andere Anbieter Zeit braucht. Es wird dazu gerichtliche Streitigkeiten geben, ob und wie lange das erforderlich war… und wer nichts gemacht hat und diese Umstände nicht darlegen kann, dass er sich bemüht hat, dem werden sehr hohe Abmahnstrafen/Vertragsstrafen/Rufschaden und/ oder Bussgelder der Datenschutzaufsichtsbehörden nach Art. 83 DSGVO in Höhe von bis zu 4 % der Umsätze der Unternehmensgruppe drohen, je nach Art und Schwere der Verstösse und / oder Schäden der Betroffenen, und dies ins Risikokalkül aufzunehmen haben. Schadenersatzansprüche haben nach Art. 82 DSGVO aktuell in der Rechtssprechung ebenfalls stark aufsteigende Tendenz, weil dies nach Art. 82 DSGVO gemessen an dem bisherigen Datenschutzrecht auch gar nicht mehr von den Richtern vertretbar wäre. Entsprechend gab es bereits Urteile, die allein für die unzureichende Auskunft entgegen Art. 15 DSGVO 5000 Euro Schadeneresatz zuerkannt haben (ArbG Düsseldorf) und sind weitere Verfahren bei verschiedenen deutschen Amts- und Landgerichten anhägig, in denen sich ähnliches abzeichnet. Es ist also nur eine Frage der Zeit, dass hier Schadenersatzklagen wegen ihrer Masse und ggfs. auch ihrer Höhe ernst zu nehmen sind. Dabei werden Director & Officers Versicherungen nicht eintreten, wenn grob fahrlässiges Verhalten vorliegt. Das ist der Fall, wenn Pflichten der DSGVO nach Art..24 DSGVO verletzt worden sind, d.h. falsche Verträge ohne ordnungsgemäßes Datenschutzmanagement geschlossen werden, die Prozesse nicht richtig in Verarbeitungsverzeichnissen nach Art. 30 DSGVO angeschaut und laufend aktualisiert worden sind und nicht nach Art. 24 DSGVO je nach Risiko die angemessenen Massnahmen organisiert worden sind. Je nach Lage sind dann zur Qualifizierung der Prozesse erforderlich, ob Datenschutzkonzepte, Löschungskonzepte, Auftragsverarbeitungsverträge nach Art- 29 DSGVP oder Joint-controller-agreements nach Art. 26 DSGVO erforderlich sind bei Einschaltung von Dienstleistern mit den jeweils dort vorgeschriebenen Regelungen.