Was sind die Spezialgebiete eines Fachanwalts für IT-Recht?

Fachanwälte müssen auf den jeweiligen Fachgebieten praktische Erfahrung nachweisen und sich jährlich qualifiziert fortbilden. Das tue ich und will das näher beschreiben, was das bedeutet.
Die Fachanwaltsordnung Stand 1.1.2020 definiert das Fachgebiet Informationstechnologie für Fachanwälte wie folgt (meine Schwerunkte habe ich fett gekennzeichnet):
§ 14k der Fachanwaltsordnung – Nachzuweisende besondere Kenntnisse im Informationstechnologierecht Für das Fachgebiet Informationstechnologierecht sind besondere Kenntnisse nachzuweisen in den Be-reichen:
1. Vertragsrecht der Informationstechnologien, einschließlich der Gestaltung individueller Verträge und AGB,
2. Recht des elektronischen Geschäftsverkehrs, einschließlich der Gestaltung von Provider-Verträgen und Nutzungsbedingungen (Online-/Mobile Business),
3. Grundzüge des Immaterialgüterrechts im Bereich der Informationstechnologien, Bezüge zum Kennzeichenrecht, insbesondere Domainrecht,
4. Recht des Datenschutzes und der Sicherheit der Informationstechnologien einschließlich Verschlüsselungen und Signaturen sowie deren berufsspezifischer Besonderheiten,
5. Das Recht der Kommunikationsnetze und -dienste, insbesondere das Recht der Telekommunikation und deren Dienste,

6. Öffentliche Vergabe von Leistungen der Informationstechnologien (einschließlich e-Government) mit Bezügen zum europäischen und deutschen Kartellrecht,
7. Internationale Bezüge einschließlich Internationales Privatrecht,
8. Besonderheiten des Strafrechts im Bereich der Informationstechnologien,
9. Besonderheiten der Verfahrens- und Prozessführung.
Es handelt sich derzeit um ein besonders herausforderndes Gebiet mit hohen Risiken und Herausforderungen für die praktische Umsetzung und erfogreiche Durchsetzung bzw. Abwehr bei Streitigkeiten in diesem Bereich.

#DSGVO #Schadenersatzansprüche betroffener Händler und Kunden bei Datenpannen?

Hier am aktuellen Beispiel zur #Datenpanne bei #Mastercard Priceless Specials vom August 2019. Jetzt nehmen die Schadenersatzverfahren Fahrt auf, weil das Programm endgültig eingestellt wurde.

Ca. 90.000 Teilnehmer des Mastercard Priceless Specials Programms waren im Sommer 2019 betroffen von einer Datenpanne, weil die Datenbank offen mit Namen, Anschrift, Mobilfunknummer, E-mail, Geburtsdatum und Kreditkartendaten im Internet abrufbar waren. Mastercard hatte die Datenpanne unweigerlich offiziell bestätigen müssen und sich entschuldigt, die Plattform mit Bonusprogramm „vorläufig“ und inzwischen endgültig deaktiviert, aber eine Verantwortlichkeit für die Datenpanne pauschal abgestritten. Die Aufsichtsbehörden in Hessen (HBDI) – hier die Pressemitteilung des HBDI vom 23.08.2019 mit den späteren updates – und die federführende Aufsichtsbehörde des datenschutzrechtlichen Untersuchungsverfahrens in Belgien DPA in Brüssel – https://www.dataprotectionauthority.be/contact-us -erhielten zahlreiche Beschwerden Betroffener über unzureichende Auskünfte. Aber bis heute hat Mastercard nicht viel zur Aufklärung über die Verantwortlichkeit beigetragen, obwohl die Datenpanne nach Art. 82 III DSGVO indiziert, dass Mastercard für den Datenschutz verantwortlich ist oder ihn ermöglicht hat, wenn und soweit Mastercard als Verantwortliche nicht nachweist, in keiner Weise für den massiven Verstoß durch diesen Datenpanne ein Verschulden zu tragen. Das ist bisher nicht geschehen und offenbar ist Mastercard weder in der Lage noch gewillt, dass Programm wie bisher angekündigt, wieder datenschutzkonform zu aktivieren. Priceless ist gekündigt und wurde zum 4.7.2020 endgültig beendet. Der Schadenersatz nach Art. 82 I DSGVO umfasst anders als nach früherem Datenschutzrecht nunmehr neben den Vermögensschäden auch immaterielle Schäden, die Betroffene durch den Datenschutzverstoß erleiden, den Mastercard – dafür sprechen einige Indizien – mitverschuldet haben dürfte. Wenn die Plattform nicht wieder aktiviert werden kann, spricht das für fundamentale Sicherheitsmängel des Bonusprogramms und der beteiligten Systeme, die einen Verstoß gegen die Pflichten nach Art. 5, 24 und 32 DSGVO durch Mastercard wahrscheinlich machen.

Am 4.6.2020 schließlich kündigte Mastercard seinen Kunden den Vertrag über das Bonusprogramm mit Wirkung zum 4.7.2020 auf und kündigte Infos an, wie die gesammelten Coins dann nun eingelöst werden können. Diese liegen bisher nach meinen Informationen noch nicht vor.

Derzeit laufen einige Auskunfts- und Schadenersatzverfahren Betroffener gegen Mastercard beim zuständigen Amts- bzw. Landgericht (je nach geforderter Summe und Streitwert). Neben den entgangenen Coins hatten einige Betroffene weitere Schäden wie gesperrte Kreditkarten, Kreditkartenbetrug, nicht blockierbare Spamanrufe mit gefakten Rufnummern, belästigende Spamnachrichten auf das Mobiltelefon oder Spammails, Identitätsdiebstahl d.h. z.B. das Erstellen von Fakeshops mit der Identität der illegal veröffentlichten Daten der Teilnehmer, Inkassorechnungen und Mahnungen von getäuschten Onlinehändlern, bei denen mit der gestohlenen Identität eingekauft wurde und weitere Folgeschäden, insbesondere auch der sog. Emotional Distress, den Opfer von solchen massiven Datenschutzverstößen erleiden. Die Betroffenen haben in vielen Fällen auch Beschwerden bei der Aufsichtsbehörde eingelegt, aber die Hessische Aufsichtsbehörde hat mit Verweis auf die anhängigen Schadenersatzklagen in den mir vorliegenden Fällen das Verfahren ausgesetzt und verweist auf die belgische federführende Aufsichtsbehörde, obwohl fast nur deutsche Kunden betroffen sind und daher die Schadenersatzklagen hier nach § 44 I BDSG am Gerichtsstand der deutschen Niederlassung in Frankfurt am Main geführt werden und hinsichtlich der Feststellung der Datenschutzverstöße und Ahndung der Verletzung u.a. der Auskunftsansprüche der Betroffenen der Hessische Datenschutzbeauftragte zuständig ist. Nach dem One-Stop-Prinzip der DSGVO für grenzüberschreitende Datenpannen hat hier die Belgische Datenaufsichtsbehörde die Federführung übernommen – vgl. deren Pressemitteilung zur Datenpanne von Mastercard Priceless Specials. Es kommt daher auch eine Untätigkeitsbeschwerde nach 3 Monaten Untätigkeit gegen die Datenschutz-Aufsichtsbehörde nach Art. 78 II DSGVO in Betracht. Wir werden in Belgien zum Stand des Verfahrens nachfragen und unseren Mandanten, die wir betreuen, berichten. Aber unklar ist, ob unter diesen Umständen diese Aussetzung des Beschwerdeverfahrens bis zum rechtskräftigem Abschluss des gegenständlichen zivilgerichtlichen Gerichtsverfahren und Verweisung auf die belgische Aufsichtsbehörde DSGVO konform ist. Der HBDI verweist auf Nachfrage als Rechtsgrundlage auf § 17 GVG analog – aber zum einen geht die DSGVO vor und ausserdem ist fraglich, ob das sinnvoll ist. Nach Art. 78 DSGVO soll nämlich unbeschadet von anderen Rechtsmitteln vor den Gerichten auch gerade verhindert werden, dass Betroffene auf ausländische Behörden und Gerichte verwiesen werden, um ihre Betroffenenrechte effektiv sowohl über Beschwerdeverfahren bei den Aufsichtsbehörden als auch Zivilklagen vor den Gerichten verfolgen zu können.
Man kann gespannt sein, ob die Betroffenen die Kündigung von Mastercard ohne Entschädigung für den Schaden so hinnehmen werden oder erfolgreich ihre Ansprüche vor den Gerichten durchsetzen können. Anders als früher sind nach der DSGVO die Bußgelder und Schadenersatzbeträge viel höher, denn nach Erwägungsgrund 146 müssen sie abschreckend und wirksam sein und müssen bei den Verbraucherrechten Wertungswidersprüche vermieden werden – so auch zuletzt der BGH mit Urteil vom 6.6.2019 – I ZR 216/17 – zu unbegründeten Zahlungsaufforderungen aufgrund unbestellten Waren wegen Identitätsdiebstahls. Allein für die Verletzung der Auskunftspflichten hatte kürzlich das Arbeitsgericht Düsseldorf den Arbeitgeber bereits 5.000 Euro Schadenersatz verurteilt. Das Urteil ist zwar nicht rechtskräftig, weil das Berufungsverfahren anhängig ist, aber die Tendenz ist klar: Die Schadenersatzklagen werden von den Unternehmen ernst zu nehmen sein. Unternehmen sollten daher DSGVO-Auskunftsanfragen pflichtgemäß beantworten und sich bei der Digitalisierung auch nachhaltig um die Einhaltung der Pflichten zur rechtmäßigen sicheren Datenverarbeitung nach der DSGVO kümmern. Nur wenn die Unternehmen das proaktiv fortlaufend tun, sind wir alle vor den massiven Schäden geschützt, die Datenpannen für Betroffene und beteiligte Unternehmen auslösen. Wertungswidersprüche würden auch zu den Bussgeldern entstehen, die die DSGVO in Höhe von bis zu 4 % des weltweiten Umsatzes der unternehmensgruppe ansetzt – diese Grundsätze und ein DSGVO Verstoß bei 500 Gewinnspielteilnehmern haben nach einer Pressemitteilung der Behörde zuletzt z.B. bei der AOK zu einem Bußgeldbescheid des Landesdatenschutzbeauftragten von Baden-Württemberg von 1.240.000 Euro geführt.
Interessant und bisher ungeklärt ist auch die Frage, ob Schadenersatzansprüche nur die betroffenen Kunden des Mastercard Priceless Specials Programm haben oder auch die in Mitleidenschaft gezogenen Händler, bei denen dann mit gefälschten Kreditkarten und Identitäten eingekauft und geliefert wurde. In Artikel 82 heißt es nämlich, dass jedermann, der durch den Datenschutzverstoß des Verantwortlichen einen Schaden erleidet, Anspruch auf Ersatz des materiellen und immateriellen Schaden gegen den Verantwortlichen hat. Dessen Verschulden ist dabei nach Art. 82 III DSGVO indiziert. Nach Erwägungsgrund 146 heißt es dazu: ….Satz 3: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. 7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. 8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. 9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.“
Es spricht also auch der Wortlaut und der europarechtlich geltende Effektivitätsgrundsatz dafür, dass auch die geschädigten Händler Schadenersatzansprüche gegen Mastercard haben (vgl. z.B. so auch Paal in MMR 2020, 14f.).
Zur Höhe des Schadenersatzes für die immateriellen Schäden bei einem Datenbreach spricht nach vorherrschender Ansicht der Datenschutzexperten, dass dieser analog etwa der Faktorrechtsprechung bei Verletzung von Urheberrechten durch Filesharing (Beispiel OLG Frankfurt Az. 11 U 44/19: 50facher Wert des Einzelpreises der „Downloadversion“ des Computerspiels betrug fast 1.950 Euro und führte zu einem Schadenersatzurteil über 2.100 Euro) abhängig von der Dauer und dem Ausmaß der Datenpanne ein Vielfaches des Wertes der Daten als eine fiktive Lizenzgebühr als Schadenersatz zuzuerkennen ist. Gerade das unkontrollierbare der einfachen anonymen Weiterverbreitung über Filehoster und die enorme Ersparnis des Zeitaufwandes für die gewerblichen Betrüger durch offen im Internet erhältliche illegale Datenbanken führen ja zu den gezielten massenweisen Verwertung durch Hacking-, Erpressungs- und Betrugsattacken der Straftäter. Es ist also wichtig, daß diese Ansprüche effektiv verfolgt werden können und möglichst alle Betroffenen entschädigt werden.

LG München II: Manipulationssoftware in VW Golf berechtigt zum Rücktritt

Erfreulich deutliche Worte hat der Richter am Landgericht München II (Urteil vom 15.11.2016 Az. 12 O 1482/16 in einem Fall zum VW-Abgasskandal gefunden, bei dem der Vorsitzende entschieden hat, dass der Käufer die Rückzahlung des Kaufpreises (abzüglich einer Minderung durch die Fahrleistung hier 13.697,66 €) Zug um Zug gegen Rückgabe des VW Golf Finxxxxxx  verlangen kann und er auch von seinen vorgerichtlichen Anwaltskosten für die Rücktrittserklärung mit Begründung in Höhe von 1.059,10 € freizustellen ist.

Zwar war die Anfechtungserklärung nicht wirksam, da die Händler selbst nicht getäuscht haben, aber wegen der Manipulationssoftware, die in Prüfsituationen den Abgasprüfern falsche Abgaswerte des Fahrzeugs simuliert, ist das Fahrzeug mangelhaft, nachdem sogar bis zum Ende der mündlichen Verhandlung unklar blieb, ob das Fahrzeug nach Reparatur und Änderung der Software wieder zulassungsfähig ist. Diese Unklarheit ist für den Käufer nicht zumutbar, daher war er – wie der Richter richtig entschieden hat – zum Rücktritt vom Kaufvertrag berechtigt.

Der Händler bzw. die Herstellerin als Beklagte zu 2 hat sich somit erfolglos damit zu verteidigen versucht, dass die Software dem „Stand der Technik“ entspreche, denn unstreitig gibt es Fahrzeuge, die ohne eine entsprechende Manipulationssoftware zu den vorschriftsmäßigen Abgaswerten kommen. Das Gericht führt dazu in der Begründung erfreulich klar aus:

„…Soweit die Beklagte zu 2) der Auffassung ist, dass es sich bei der verbauten Software um keine „Abschalteinrichtung“ im Sinne von Art. 3 Nr. 10 VO (EG) Nr. 715/2007 handelt…. Ist dies offensichtlich unzutreffend….Denn die Software ermittelt Parameter zum Erkennen des Strassenbetriebs und schaltet hierfür die AGR (= Abgasrückführung) ab….“

Schummelsoftware ist also mangelhaft im Sinne des Kaufrechts. Das wäre endlich geklärt und freut mich als IT-Fachanwältin umso mehr, wenn das endlich auch mal klar gerichtlich bestätigt wird. Für viele Tausend von den Prospektangaben getäuschte VW-Kunden bleibt zu hoffen, dass das Urteil rechtskräftig wird. Wozu haben wir zum Schutz der Umwelt Abgaswerte, wenn Hersteller und Händler und ihre in diesem Fall wohl skrupellosen Softwareentwicklern mit sowas durchkommen würden. Tun sie zum Glück nicht. Zwar war die Klage gegen VW als Herstellerin selbst nicht erfolgreich, weil zu ihr kein Vertragsverhältnis besteht und auch eine Prospekthaftung ausscheidet, aber der Händler kann ja beim Hersteller als Lieferanten Rückgriff nehmen.

 

 

BGH: Tierarzt muß für nachlässige Untersuchung 40.000 € Schadenersatz zahlen

mare-561221_640#(Tier-)Arzthaftung
Tierärzte müssen bei einem groben Behandlungsfehler im Streitfall grundsätzlich beweisen, dass dieser Fehler nicht für einen danach entstandenen Schaden verantwortlich ist. Das hat der Bundesgerichtshof (BGH) entschieden (Urt. v. 10.05.2016, Az. VI ZR 247/15) und somit muß ein Tierarzt für ein grob fahrlässig nicht richtig untersuchtes teures Pferd mit Wert von 40 000 € Schadenersatz zahlen. Das ist eine wichtige Beweiserleichterung für geschädigte Tierhalter, deren Tier an den Folgen leidet oder gar eingeschläfert werden muss, denn die Beweisführung dafür, dass ohne den Behandlungsfehler das Tier geheilt worden wäre, wird dem Tierhalter oft schwer bis unmöglich sein. Die in der Humanmedizin entwickelten Rechtsgrundsätze zur Beweislastumkehr bei groben Behandlungsfehlern sind daher nach der Entscheidung des höchsten deutschen Zivilgerichts auch bei tierärztlichen Behandlungen anzuwenden.
Grobe Behandlungsfehler sind insbesondere Befunderhebungsfehler. Ein wertvoller Hengst musste im zugrunde liegenden Fall eingeschläfert werden, weil der Tierarzt nach einer Trittverletzung nur die Wunde versorgt hatte, aber nicht wie es nach den Regeln der ärztlichen Kunst geboten gewesen wäre, näher untersucht hatte, ob das Tier eine Fissur am Knochen erlitten hatte. Wie sich einige Tage später herausstellte, hatte das Tier eine Fissur am Knochen erlitten und brach sich beim Aufstehen schließlich das Bein. Dieser Beinbruch konnte bei diesem Pferd wohl nicht mehr geheilt werden – die näheren Details dazu gehen aus der Pressemitteilung nicht hervor, aber Beinbrüche sind bei Pferden oft nicht heilbar. Wäre die Fissur bei der Untersuchung des Tierarztes erkannt und behandelt worden, hätte das verhindert werden können. Die nachlässige Untersuchung und Behandlung führte nun zur Haftung des Tierarztes auf Schadenersatz.