Kategorien
Blogroll Datenschutzrecht Uncategorized Verbraucherschutz Wettbewerbs- und Werberecht

#DSGVO-Compliance: Gerichte entscheiden uneinheitlich zu Unterlassungsklagen bei nicht rechtskonform gestaltetem Einsatz von Marketingtools mit “Drittlandtransfer”

Warum ist das Risiko für Unternehmen beim Einsatz von Marketing-Analysetrackern oft hoch? Weil sie teilweise Verfahrensverzeichnisse mit den Rechtsgrundlagen und Datenschutzverträge mit den Anbietern nicht richtig vorher geprüft haben und daher im Falle eines Rechtsstreits nicht die nötigen Informationen und Dokumente darüber bereitstellen können. Immer wieder ist es schwierig, die nötigen Informationen und Verträge im Unternehmen systematisch zu erfassen und bei Bedarf der Behörde oder dem Betroffenen die korrekten Auskünfte zu erteilen. Das führt immer wieder zu Rechtsstreitigkeiten, erst recht wenn rauskommt, dass die Rechtsgrundlage fehlte.

Während die Arbeitsgerichte mit der Verurteilung zur Unterlassung oder Schadenersatz bei Datenschutzverstößen etwa gegen Auskunftsersuchen nach Art. 15 DSGVO teilweise recht hohe Verurteilungen aussprechen in Deutschland, etwa z.B. ArbG Duisburg Urteil vom 23.3.2023, 3 CA 44/23 – 10.000 Euro Schadenersatz wegen nicht erforderlicher Übermittlung von detaillierten personenbezogenen Daten eines Arbeitnehers und vorsätzlicher Verweigerung der Auskunft, entscheiden die Zivilgerichte noch recht uneinheitlich, wenn es um DSGVO-Verletzungen wegen datenschutzwidrigem Einsatz von Marketing-Tracking-Tools geht. Sowas ist der Fall, wenn ein Unternehmen beim Einsatz von Marketing-Tools personenbezogene Daten über die Nutzeraktivitäten ohne Einwilligung der Betroffenen auf Webseiten oder in E-mail Newslettern an Drittanbieter weiterleiten; das passiert oft so, indem in Webseiten oder marketing-Emails Codes über den Anbieter eingebettet werden, die die Daten weitersenden. Während das Landgericht Köln mit Urteil vom 23.03.2023 Az. 33 O 376/22 auf Antrag der Verbraucherzentrale NRW den Provider Congstar (eine Tochter der Deutschen Telekom) verurteilt hat, es zu unterlassen, ohne Zustimmung der Nutzer deren Daten mittels Drittanbietern wie Google zu Zwecken der Werbung und Retargeting ohne Rechtsgrundlage zu übermitteln, hat der 16. Senat des OLG Frankfurt am Main auf Antrag eines einzelnen Nutzers derartige Unterlassungsansprüche abgelehnt. Der Senat des OLG Frankfurt hat nun entschieden, dass ein Nutzer eines Online-Shops keine Unterlassungsansprüche wegen möglicherweise rechtswidrigem Tracking für Marketingzwecke durch Einbindung von US-Diensten wie z.B. Google gegen den Online-Shop mit Erfolg gerichtlich gelted machen könne. Dem Kläger stehen laut der insoweit umstrittenen Ansicht des Senats keine individuellen Unterlassungsansprüche zu und die Abmahnung sei deshalb auch unbegründet. Die Klageabweisung des Landgerichts Wiesbaden wurde damit bestätigt.

In dem Fall hatte zwar die Beklagte in ihrem Online-Shop ohne Rechtsgrundlage ca. 17 Marketing-Tools zur Datenanalyse und personalisierter Werbung u.a. von Google eingesetzt, um anhand Profildaten und Aktivitäten sowie Ergebnis der Auswertung Marketing-Funktionen auszuspielen z.B. “Folgende Produkte könnten Sie auch interessieren”. Aber, so der 16. Senat, bereits der Unterlassungsantrag sei zu unbestimmt, jedenfalls aber unbegründet, weil kein Schaden ersichtlich sei. Nur weil in Verbindung mit der IP-Adresse möglicherweise teilweise rechtswidrig Daten über Nutzeraktivitäten auf der Webseite des Beklagten erfassen und an Drittanbieter entgegen der Voraussetzungen nach Art. 45ff DSGVO weiterleiten, sei allein aus dem Rechtsverstoß noch kein Schaden und damit auch kein Individualanspruch auf Unterlassung gegeben. Im Fall des Klägers hier, der vorträgt Techniker zu sein und eine statische IP-Adresse verwendet zu haben, handelte es sich zwar um ein personenbezogenes Datum, aber aus Sicht des Senats war kein Schaden ersichtlich. Zudem muss für einen Unterlassungsanspruch der rechtswidrige Zustand andauern oder Wiederholungsgefahr bestehen.

Dem Kläger verbleibe die Möglichkeit, sich bei der Aufsichtsbehörde zu beschweren. Individuelle Unterlassungs- und Schadenersatzansprüche bei Datenschutzverstößen dieser Art ohne konkreten Schaden sehe die DSGVO nicht vor.

Dazu Zitat der 16. Senat des OLG Frankfurt (OLG Frankfurt, Urteil vom 30. März 2023 – 16 U 22/22)….. Zitat:”…

Soweit vereinzelt die Auffassung vertreten wird, auf der Basis von Art. 79 DS-GVO könnten auch Unterlassungsansprüche gegen Verantwortliche und Auftragsverarbeiter geltend gemacht werden, betrifft dies meist die (erweiternde) Auslegung von Ansprüchen nach der DS-GVO (so wohl: Kühling/Buchner/Bergt, DS-GVO, 3. Aufl. Art. 79 Rz. 1 und 13;), die oben unter a) erörtert wurden. Soweit daraus abgeleitet wird, es könne auf Unterlassungsansprüche des nationalen Rechts zurückgegriffen werden, vermag der Senat dem aus den vorstehenden Gründen nicht zu folgen (so auch: Leibold/Laoutounai, ZD Aktuell 2021, 05583). Entgegen der Meinung des Klägers wird auch in der obergerichtlichen Rechtsprechung nicht die Auffassung vertreten, wegen Verstößen gegen die DS-GVO könne aufgrund nationalen Rechts – aus §§ 1004 Abs. 1 S. 2, 823 Abs. 1 oder 2 BGB – auf Unterlassung geklagt werden (näher unten III.). Soweit der Kläger sich für seine Rechtsauffassung auf Urteile des Bundesgerichtshofs und von Oberlandesgerichten beruft, betreffen diese Veröffentlichungen in der Presse, bei denen nach Art. 85 Abs. 1 und 2 DS-GVO ergänzende und abweichende nationale Regelungen zur DS-GVO getroffen werden können (so insbesondere die angeführte Entscheidung BGH, Urteil vom 21.1.2021 – I ZR 207/19 Rz. 36 – 44: Bildnisveröffentlichung).

Durch die Beschränkung auf die von der DS-GVO in den Art. 15, 17 und 82 DS-GVO eingeräumten Individualansprüche stehen die von einem Verstoß gegen die Datenverarbeitungsregeln der DS-GVO Betroffenen nicht rechtlos da. Die Aufgabe der Durchsetzung und Überwachung der DS-GVO ist – neben den Individualansprüchen – nach Art. 51 Abs. 1 und Art. 57 Abs. 1 a) DS-GVO grundsätzlich umfassend den Aufsichtsbehörden im Sinne eines „Public Enforcement“ zugewiesen. Die DS-GVO sieht dafür in den Art. 77 und 78 DS-GVO vor, dass der Betroffene sich wegen angenommener Verstöße gegen die DS-GVO mit einer Beschwerde an die Aufsichtsbehörde wenden kann. Im Fall einer ablehnenden Entscheidung steht ihm nach Art. 78 DS-GVO der Klageweg gegen die Aufsichtsbehörde offen (vgl. Kühling/Buchner/Bergt, a.a.O. Art. 78 Rz. 9 ff.). Die Entscheidung des Europäischen Gerichtshofs, auf welche sich der Kläger mit seiner Klage zentral beruft, nämlich das Urteil vom 16.7.2020 (C-311/18, NJW 2020, 559 „Schrems II“), welches die Voraussetzungen für eine Übermittlung von Daten in Drittländer nach den Artt. 45, 46 DS-GVO betrifft, beruht dementsprechend auf einem Ausgangsverfahren, bei dem der Kläger von der Aufsichtsbehörde bestimmte Maßnahmen gegen Facebook verlangt hat. Diese wurden abgelehnt und danach (zunächst) Klage gegen die Aufsichtsbehörde erhoben.

Ein sachlicher Grund für diese Rechtslage, dass Individualansprüche der Betroffenen gegen die Verantwortlichen gerade bezüglich der Einhaltung der Regelungen der Art. 44 ff. DS-GVO nicht vorgesehen wurden, besteht darin, dass über die generelle Frage der Zulässigkeit der Übermittlung ins Ausland auf dem Beschwerdeweg über Datenschutzbehörden einheitlich entschieden werden kann (vgl. Art. 51 Abs. 2 DS-GVO: Mitarbeit der Datenschutzbehörden bei der einheitlichen Anwendung der DS-GVO). Insofern überzeugt der Hinweis, dass die Möglichkeit, sich an Aufsichtsbehörden zu wenden, sachgerechter ist, weil dies abgestimmtes Verhalten ermöglicht und deren Anordnungen – anders als zivilgerichtliche Urteile – nicht nur inter partes wirken (Nink ZD 2022, 238). Schließlich ist darauf hinzuweisen, dass der Betroffenen, dem durch eine rechtswidrige Übermittlung seiner Daten ins Ausland ein Schaden entsteht, ein Schadensersatzanspruch nach Art. 82 DS-GVO zusteht…..”

OLG Frankfurt, Urteil vom 30. März 2023 – 16 U 22/22

Volltext: Volltext des Urteils auf der amtlichen Seite

Ob das richtig ist und vor dem EUGH halten wird, ist aber durchaus fraglich. Nach dem EUGH und Bundesverfassungsgericht ist das Speichern und Senden von Cookies und anderen Codes im Browser der Computer der Nutzer nicht für Marketing- oder sonstige nicht unbedingt technisch notwendige Zwecke ohne ausdrückliche Zustimmung des Nutzers nicht erlaubt. Ebenso auch nach dem deutschen § 25 TTDSG. Das kann man gut finden oder nicht, ist aber jedenfalls eindeutig so geregelt und höchstrichterlich entschieden, weil damit Unternehmen, die Daten an große Tech-Unternehmen wie Google, Amazon, Adobe, Facebook bzw. Meta und weitere senden und auswerten lassen, ohne das sie selbst und geschweige denn der betroffene Nutzer die Kontrolle über die weitere Datenverwendung hat und zudem Google und Co. selbst einräumen, die Daten auch für eigene Zwecke zu verwenden. Die Analyse der Nutzeraktivitäten für Marketingdienste klingt zwar für viele unbedenklich, aber wegen der mangelnden Transparenz und fehlendem effektiven Rechtsschutz ist mit dem völligen Kontrollverlust für die Nutzung der Informationen zu ihrer Person der Kernbereich der informationellen Selbstbestimmung verletzt und gehört genau das, etwa wegen der Manipulations- und Mißbrauchsrisiken etwa für politische Zwecke genau zu den Risiken, vor denen die DSGVO nach den Erwägungsgründen des Normgesetzgebers schützen will. Wenn man sich die Entscheidung des 16. Senats des OLG Frankfurt anschaut, hat dabei die EU aber die Rechnung ohne die deutschen Richter gemacht, die den Schutzzweck der Norm nicht nachvollziehen können. Der Senat hat hier nun Unterlassungsansprüche eines individuellen Nutzers abgelehnt; vermutlich spielt hier auch eine große Rolle, dass wegen der umfangreichen potenziellen Betroffenen die Richter weitere Massenklagen befürchten und schon deshalb besonders kritisch hinterfragen, ob diese Ansprüche wirklich berechtigt sind oder nicht eher mißbräuchlich sind.

Mißbräuchliche Abmahner und Kläger sind seit einiger Zeit leider vermehrt tätig und drangsalieren Unternehmen, das ist in der Tat zu beobachten. Einerseits erscheint es richtig, dass insoweit ein irgendwie feststellbarer, subjektiver Schaden des Betroffenen eingetreten sein muss oder für den vorbeugenden Unterlassungsanspruch zumindest konkret drohen sollte, um deliktische Unterlassungssprüche gerichtlich bei Rechtsverstößen erwirken zu können. Aber um Klarheit zu erhalten, wann ein solcher Schaden vorliegt, müsste eigentlich eine nähere Auseinandersetzung mit dem Schutzzweck der DSGVO bzw. des Verbotes des Trackings zu Marketingzwecken mit Transfer an Datengiganten erfolgen. Daran fehlt es in der Rechtssprechung leider noch weitgehend. Eine solche Auseinandersetzung fehlt auch hier völlig in der Entscheidung und deshalb wird lapidar auch darauf verwiesen, dass kein Schaden ersichtlich sei. So weit zu gehen, dass generell keine individuellen deliktischen Unterlassungsansprüche bei DSGVO-Verstößen dieser Art bestehen, wie der Senat des OLG Frankfurt es hier tut, ist aber aus mehreren Gründen nicht überzeugend:
1) Es entstehen große Wertungswidersprüche wegen der massiven Eingreifbefugnisse der Datenschutzaufsichtsbehörden einschließlich der hohen Bussgelder, die bei Datenschutzverstößen nach der DSGVO vorgesehen sind und teilweise auch ausgesprochen werden.
2) Der Verweis auf die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde erscheint fragwürdig, weil er an der Praxis jedenfalls hier in Hessen vorbei geht. Der Betroffene hatte zunächst vor dem Landgericht Wiesbaden geklagt, dürfte also in Hessen ansässig sein. Einen Schaden hat der Kläger anscheinend selbst nicht behauptet und dazu auch keinen Schadenersatz verfolgt. In der Praxis vieler Aufsichtsbehörden – jedenfalls z.B. hier in Hessen oder Niedersachsen – bleiben Betroffene bei Beschwerden nach meiner Erfahrung aber untätig, wenn sie keinen greifbaren Schaden erkennen können und verweisen z.B. auch bei Datenpannen ihrerseits die Betroffenen auf den Zivilrechtsweg. Es ergibt sich dann also ein Ping-Pong-Spiel, bei dem sowohl die Unternehmen die Verlierer sind, die durch die sehr strengen Regeln der DSGVO massiv belastet werden, als auch die Betroffenen, die bei dieser Rechtssprechung in der Praxis keinen Rechtsschutz erhalten.

Wenn Sie anwaltlichen Rat zum Datenschutzrecht und dem rechtskonformen Einsatz von Tracking-Tools in Ihrem Unternehmen und rund um das Thema benötigen, können Sie hier gerne eine Nachricht zur Kontaktaufnahme senden.

Kategorien
Blogroll Digitale Produkte e-Learning Fernunterricht Internetrecht Verbraucherschutz Vertragsrecht

Landgericht Berlin: Online-Lehrgang zum Fitnesstrainer ohne ZFU-Zulassung verboten

Achtung Vertragsfallen bei Online-Ausbildungen und Zertifikatskursen ohne Zulassung
In diesem Beitrag berichte ich über zwei aktuelle praxisrelevante Urteile im Bereich #e-Learning und #Online-Zertifikats-Lehrgänge. Online-Ausbildungen und Zertifikatslehrgänge (zu oft nicht anerkannten) Berufen wie „Transformationscoach“ oder „Fitnesstrainer“ haben in der Pandemie stark zugenommen und stellen für die Teilnehmer oft eine sehr erhebliche zeitliche und finanzielle Investition in ihre berufliche Karriere dar. Bitter für die Anbieter: Sie erhalten nicht nur auf Antrag etwa eines Teilnehmers, Wettbewerbers, einer Verbraucherzentrale oder der Aufsichtsbehörde (hier die ZFU.de) eine Untersagungsverfügung mit Kostenrechnung, sondern müssen den Teilnehmern auch das Geld zurück zahlen. Viele Teilnehmer sind hier zwar ihrer Rechte nicht bewusst. Es ist aber sowohl für die Anbieter als auch die Teilnehmer umso wichtiger, wenn Anbieter die rechtlichen und qualitativen Anforderungen einhalten, darüber Klarheit hergestellt wird und Teilnehmer vor unseriösen Anbietern effektiv geschützt werden. Deshalb ist Fernunterricht in vielen Fällen nach dem Fernunterrichtsgesetz (FernUSG) zulassungspflichtig und ist auf einen Vertrag zu achten, indem alle essentiellen Details klar geregelt sind. In zwei aktuellen Entscheidungen war das nicht der Fall.

1. Unterlassungsverfügung des Landgerichts Berlin gegen Online-Kurs zum Fitnesstrainer
Das Landgericht Berlin hat mit einer einstweiligen Unterlassungsverfügung vom 15.02.2022 auf Antrag der Wettbewerbszentrale einem Anbieter für einen Online-Lehrgang zum Fitnesstrainer verboten, diesen rein online stattfindenden Lehrgang ohne eine Zulassung der Zentralstelle für Fernunterricht (ZFU) anzubieten. Denn in dem Lehrgang war es möglich, Fragen zu stellen und er sollte zum Beruf des Fitnesstrainers ausbilden. Das stellte nach dem Landgericht einen zulassungspflichtigen Fernunterricht nach dem Fernunterrichtsschutzgesetz (FernUSG) dar. Nach § 8 FernUSG sind Gestaltungen, mit denen die strengen Vorgaben an die Vertragsgestaltung und Zulassung bei der zuständigen ZFU umgangen werden, verboten. Die Regelungen sind zum Schutze der Teilnehmer weit auszulegen.
Die Entscheidung ist unter LG Berlin, Urteil vom 15.02.2022 – 102 O 42/21 – openJur im Volltext abrufbar.

2. Rechtswidrige Zertifikatskurse
Weitere Negativ-Beispiele aus meiner Praxis sind Anbieter, die mit einer sehr aggressiven Vertriebspraxis Unternehmer und Selbständige zur Buchung von hochpreisigen Lehrgängen zum „Verhandlungsexperten“ und „Zertifikatskurs“en über Social Media zu zunächst kostenlosen Workshops einladen – sei es online oder in Präsens- oder Hybridveranstaltungen –, um dann den von den Workshops begeisterten Interessenten über den telefonischen Vertrieb oder über Online-Formulare Verträge und „Zertifikatskurse“ zu horrenden Preisen zu verkaufen, deren Inhalt und Details nicht dokumentiert werden und oft rechtswidrig sind. Über wichtige Vertragsbestandteile wie Vertragspartner, Lehrgangsinhalte, Leistungspflichten, Preisbestandteile und Nebenkosten sowie Gesamtpreis, Kündigungs- und Widerrufsrechte und ähnliches sind in Textform vor Vertragsschluss zu informieren und die unseriösen Anbieter tun das nicht oder jedenfalls nicht in der vorgeschriebenen Form bzw. machen irreführende Angaben. Wenn die Teilnehmer dann nach der geleisteten Anzahlung feststellen, dass sie keinen dokumentierten Vertrag haben oder die Bestätigung einen anderen Inhalt hat als nach der Werbung gedacht, oder überraschend z.B. in eine „Probe-Mitgliedschaft“ in einer Europäischen Wirtschaftsgemeinschaft (EWIV) zugestimmt haben, die angeblich die Steuern zum Lehrgang ersparen soll, wird den meisten Teilnehmern klar, dass der Vertrag wohl nicht so ganz rechtskonform ist. Teilnehmer sind dann oft wegen der fehlenden oder irreführenden Vertragsgestaltungen unsicher, wie sie sich wehren können. Diesen Teilnehmern kann ich sagen: Lassen Sie sich nicht durch Drohungen einschüchtern, sondern kündigen Sie und widersprechen Sie in dokumentierter Form zeitnah diesen Vertragsfallen mit einer kurzen Begründung und senden Sie dies sowohl per E-mail als auch Einschreiben an die Anbieter. Holen Sie sich im Zweifel anwaltliche Hilfe, wenn der Anbieter Ihnen die Auflösung nicht bestätigt, sondern trotzdem Zahlungsaufforderungen und Inkassoschreiben sendet.

2. Praxistipp für Anbieter von Lehrgängen und Fernkursen: lassen Sie sich lieber vorbeugend anwaltlich beraten, ob und wie ihr Angebot zulassungspflichtig ist und den sonstigen Anforderungen entspricht, damit ihr Geschäftsmodell solide aufgestellt ist.

3.Praxistipp für die reingelegten Teilnehmer: Die Scham ist oft groß, wenn man feststellt, dass man sogar als intelligenter Mensch in so eine Falle getappt ist. Aber das ist nicht berechtigt, denn die Anbieter sind verschlagen und jeder hat mal einen schlechten Tag und macht Fehler. Kommen Sie aus so einem Vertrag wieder heraus oder müssen Sie die „Gebühren“ zahlen? Die Antwort ist wie immer: Ich denke, in vielen Fällen ja, aber es ist rechtlich unter anderem wegen der Beweisführung oft kompliziert und nicht eindeutig. Also: es kommt drauf an, lassen Sie es – wenn es um einen hohen Betrag geht – anwaltlich prüfen.

4. Wichtig ist dazu auch das zweite dazu ergangene Urteil des Landgericht Hannover: Auch Selbständige und Unternehmer können als Teilnehmer nach dem Fernunterrichtsgesetz unberechtigte Forderungen zurückweisen, wenn der Lehrgang nach dem Fernunterrichtsgesetz zulassungsbedürftig ist und der Anbieter die Zulassung nicht vorher eingeholt hat, so jedenfalls die Ansicht der ZFU, die z.B. vom Landgericht Hannover geteilt wird. Ohne die Zulassung ist ein insoweit zulassungspflichtiger Vertrag nach §§ 7, 12 FernUSG nichtig und darauf können sich auch Selbständige und Unternehmer berufen, so die Ansicht der ZFU, die aktuell auch vom Landgericht Hannover (Urteil vom 20.02.2023, Az.: 13 S 23/22) bestätigt wurde. Die Entscheidung ist allerdings noch nicht rechtskräftig und noch nicht höchstsrichterlich geklärt.

Auf Nachfrage erhielt ich dazu auch den Hinweis:
Zitat ——-„…

Aus ZFU-Sicht findet das Fernunterrichtsschutzgesetz (FernUSG) auch auf Unternehmer im Sinne von § 14 BGB Anwendung.
Nach Auffassung des Gerichts ist der Begriff „Teilnehmer“ nicht auf Verbraucher in diesem Zusammenhang beschränkt. Darüber hinaus sind die Voraussetzungen einer teleologischen Reduktion nicht gegeben. Hinweise auf eine planwidrige „Zuvielregelung“ des Gesetzes sind nicht ersichtlich. Der „Teilnehmende“ wird in ähnlicher Weise geschützt, wie ein Verbraucher (BeckOGK/Alexander, 1.11.2022, BGB § 13 Rn. 169.1; BeckOK BGB/Martens, 63. Ed. 1.8.2022, § 13, Rn. 19, beck-online), ohne Verbraucher im Sinne des § 13 BGB sein zu müssen.
Nicht zuletzt trat das FernUSG bereits vor Einführung des Verbraucherbegriffs (im Sinne des § 13 BGB) in Kraft. Soweit in der Gesetzesbegründung (vgl. BT-Drs. 7/4245) vom Verbraucherschutz die Rede ist, schließt dies grundsätzlich nicht die Anwendung auf Unternehmer im Sinne des § 14 BGB aus, die im Hinblick auf die Vermittlung von Wissen der Sache nach auch Endverbraucher sind. Insoweit handelt es sich um Verbraucherschutzrecht im weiten Sinne (Tamm/Tonner/Brönneke, Verbraucherrecht, § 1 Verbraucherschutz und Privatautonomie Rn. 4, beck-online).
Im Übrigen hatte der Gesetzgeber aufgrund diverser Novellierungen die Gelegenheit, das FernUSG zu ändern. Diese Möglichkeit wurde nicht wahrgenommen. Vor diesem Hintergrund ist davon auszugehen, dass der vom FernUSG geschützte Personenkreis somit nicht eingegrenzt werden sollte, indem der Begriff „Teilnehmer“ durch den Begriff „Verbraucher“ ersetzt wird…

>“ ——Zitatende

5. Selbst wenn je nach Gestaltung des Angebots kein zulassungspflichtiger Fernunterricht nach § 1 FernUSG vorliegen sollte, kommen weitere Gründe je nach Einzelfall in Betracht, die eine Nichtigkeit begründen können oder dem Teilnehmer ein Widerrufs-/Anfechtungs- oder Kündigungsrecht nach dem BGB einräumen, sodass gegebenenfalls sogar die Anzahlung zurückbezahlt werden muss. Zwar können Selbständige und Unternehmer sich im Normalfall nicht auf ein Widerrufsrecht nach dem Fernabsatzrecht wie ein Verbraucher berufen, aber bei Irreführung, Wucher, Täuschung oder wenn eine entgeltliche Finanzierungshilfe gewährt wird, haben auch Selbständige und Unternehmer nach dem BGB in vielen dieser Fälle dennoch rechtliche Möglichkeiten, die Verträge mit einer Kündigung mangels Vertrauen hilfseise Anfechtungserklärung wegen Irrtum aufzulösen, da es Dienste höherer Art sind, die nach dem BGB immer eine vorzeitige Kündigungsmöglichkeit des Dauervertrags ermöglichen müssen. Diese Erklärungen müssen aber zeitnah ab Kenntnis der Gründe erfolgen. Ferner können auch Existenzgründer sich auf ein Widerrufsrecht berufen, wenn der Anbieter oder Kooperationspartner für die Zahlung auf Raten eine entgeltliche Finanzierungshilfe gegeben haben. Es kommt also darauf an, dass Sie die entsprechende Korrespondenz, Zahlungsseiten, Videos und E-mails dokumentieren können, aus denen sich das ergibt. Hilfsweise sollte auch eine Anfechtung wegen Irrtums spätestens innerhalb von 2 Wochen oder arglistiger Täuschung spätestens innerhalb von 1 Jahr erklärt werden. Auf diese Weise können die Verträge oft wirksam wieder aufgelöst werden. Manchmal wird auch Nichtigkeit wegen Wuchers nach § 138 BGB vorliegen je nach Lage des Falls. Achten sollten Sie dann aber darauf, dass sie die Erklärung mit Begründung nachweislich in dokumentierter Form am besten nicht nur per E-Mail sondern auch Einschreiben mit Sendungsbeleg an die Anbieter senden. Zum Problem, dass einige Anbieter von Online-Seminaren, die Zulassungsfrage nach dem Fernunterrichtsgesetz übersehen, hatte ich bereits 2017 hier berichtet.

Wenn Sie als Anbieter ihren Prozess rechtskonform aufsetzen möchten oder als betroffener Teilnehmer einen ähnlichen Problemfall haben, fragen Sie gerne bei mir mit einer kurzen Schilderung des aktuellen Problems und Situation bei mir an.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Uncategorized Verbraucherschutz

EUGH klärt Streitfrage zur #DSGVO Auskunftspflicht über die Identität der Empfänger

Mit dem Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 12.01.2023, C 154/21 (Österreichische Post AG) ist endlich eine der zentralen Streitpunkte zur DSGVO-Auskunftspflicht geklärt, nämlich dass der Verantwortliche über den Namen und Identität der Serviceprovider und sonstigen Empfänger der personenbezogenen Daten seines Mitarbeiters oder Kunden informieren muss. Das war bisher bei zahlreichen meiner Mandate einer der zentralen Streitpunkte, die oft gerade auch nach Datenpannen vor Gericht gelandet sind, weil die Verantwortlichen hier eine klare Auskunft verweigert haben. Ein Beispiel ist bei mir (unter vielen) der immer noch anhängige Rechtsstreit vor dem OLG Frankfurt, bei dem Mastercard Europe SA nach der Datenpanne in 2019 bei Mastercard Priceless Specials keine korrekte Auskunft über die Identität des Serviceproviders erteilt hat und erst als wir diese durch intensive überobligationsmäßige Recherchen in II. Instanz herausgefunden haben, den Serviceprovider aus Österreich und UK mitverklagt haben, der Kläger in dem Punkt Klarheit erlangt hat; hier hat also sehr mühsam und viel zu spät der Kläger erst aufgrund des weiteren Vortrags in den Berufungserwiderungen hierüber Klarheit erlangt und hat die Verletzung der Auskunftspflicht den Schaden noch vergrößert. Wegen des Schadenersatzes dafür wird noch auf die Entscheidung zu warten sein. Das Thema ist in vielen Branchen sehr relevant, gerade auch in der Versicherungswirtschaft, Finanzwesen, Gesundheitsbereich, e-Learning, Forschung und Entwicklung sowie öffentliche Verwaltung.

Wie der EuGH klargestellt hat, ist der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden sollen, verpflichtet, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen.
Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen.
Dies gilt ebenfalls, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Grund ist, dass der Kerngehalt der informationellen Selbstbestimmung verletzt wird und ein Kontrollverlust einsetzt, wenn der Verantwortliche die Identität der Auftragsverarbeiter und Geschäftspartner, an die er übermittelt, geheimhalten darf. Der Auftragsverarbeiter kann ja vom Betroffenen z.B. bei einer schuldhaften Datenpanne auch als Gesamtschuldner in Anspruch genommen werden. Soweit der Wortlaut von Art. 12, 15 DSGVO scheinbar ein Wahlrecht einräumt, sind damit nur die Fälle gemeint, in denen die Identität für den Verantwortlichen selbst nicht ermittelbar ist – etwa nach einer Datenpanne oder andere Ausnahmefälle, in denen wegen der Menge das Auskunftsersuchen des Betroffenen sinnlos und exzessiv ist.

Praxistipp: Unternehmen sollten ihre Praxis bei Auskunftsersuchen und die Datenschutzerklärungen hierzu ergänzen. Betroffene können wegen der Verletzung dieser Pflicht ggfs. Schadenersatzansprüche geltend machen und sich bei Aufsichtsbehörden beschweren (beides unabhängig voneinander wie der EUGH ebenfalls am 12.1.2023 in einem weiteren Urteil klargestellt hat). Bei Rückfragen dazu stehe ich gerne zur Verfügung, nehmen Sie gerne Kontakt zu mir auf.
Den Volltext des EUGH Urteils gibt es hier: Den https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=186062

Kategorien
Blogroll e-Learning Fernunterricht Internetrecht Uncategorized Verbraucherschutz Vertragsrecht Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

Abmahnungen der Wettbewerbszentrale gegen Anbieter von Online-Kursen

Derzeit geht die Zentrale zur Bekämpfung unlauteren Wettbewerbs Frankfurt am Main e. V. (wettbewerbszentrale.de) gegen Anbieter von Online-Kursen wegen wettbewerbsrechtlicher Verstöße vor. Gerügt werden etwa fehlendes und unzureichendes Impressum sowie die fehlenden Angaben zu einer Zulassung bei der ZFU als Fernunterricht nach § 12 FernUSG. Wer nicht zulassungspflichtig ist, obwohl es auf den ersten Blick so aussieht, sollte sich darauf vorbereiten und das anhand seiner Werbung und Teilnehmer-Verträgen belegen können. Bei falschen oder fehlenden Angaben der Betreiber, die oft derzeit im Ausland sitzen, wie etwa in Dubai, Österreich oder Luxemburg, nimmt die Wettbewerbszentrale dabei zunächst den Domaininhaber in Anspruch. Dessen Kontaktdaten erhält sie nach dem Telemediengesetz über die zuständige Registrierungsstelle, d.h. bei einer .de Adresse über die Denic.

Die Wettbewerbszentrale wird z.B. tätig, wenn sich Betroffene Teilnehmer oder Wettbewerber bei ihr über Anbieter von Fernlehrgängen beschweren. Die Wettbewerbszentrale gehört zu den abmahnberechtigten beim Bundesamt für Justiz nach dem UWG eingetragenen Verbänden und ist bekannt dafür, auch gerichtlich die gerügten Verstöße zu verfolgen. Anbieter von Online-Seminaren, die Zertifikate vergeben oder mit ähnlichen Bescheinigungen eine erfolgreiche Teilnahme ihren Teilnehmern versprechen, sollten daher nicht nur auf Post von der ZFU, sondern auch auf unangenehme Post von der Wettbewerbszentrale mit Abmahnungen vorbereitet sein. Domaininhaber und Betreiber der Webseite werden aufgefordert, eine strafbewehrte Unterlassungserklärung zu unterschreiben.

Nach § 12 FernUSG sind Fernlernkurse wie es Online-Seminare mit Zertifikaten oder ähnlichen Bescheinigungen dann zulassungspflichtig, wenn es sich um Fernunterricht im Sinne des Gesetzes handelt. Dies muss jeder Anbieter im e-Learning-Bereich wissen und rechtssicher klären.

Gerne helfe ich hierbei bei Fertigung des korrekten Impressums ebenso wie bei der Anpassung von AGB, Verträgen, Geschäftsmodell, Werbung und Vertrieb, um hier Fallstricke zu vermeiden. Es drohen nicht nur Abmahnungen der Wettbewerbszentrale aufgrund von Beschwerden betroffener Teilnehmer, sondern auch Bußgelder bis zu 10.000 Euro bei fehlender Zulassung, die die ZFU mit Sitz in Köln nach dem FernUSG verhängen kann, wenn Anbieter irrig annehmen, sie seien aufgrund ihrer konkreten Gestaltung zulassungsfrei.

Wenn Sie dazu Fragen haben, wenden Sie sich gerne an mich telefonisch oder über das Kontaktformular hier. Sie erhalten von mir eine Antwort auf Ihr Anfrage werktags innerhalb von 24 Stunden. Nähere Informationen zum Thema finden Sie auch in meinem Blogbeitrag Online-Seminare und das Fernunterrichtsgesetz

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

OLG Frankfurt: Xing-Irrläufernachricht – Gericht fordert konkrete Darlegung des immateriellen Schadens für den erfolglosen Bewerber

E-mail Irrläufer sind ebenso wie über einen Messenger schnell passiert. Ein Händler hat sich 2018 bei einer Bank beworben via Xing und wegen eines versehentlichen „Klicks“ auf die falsche Person, sendete die Bank irrtümlich eine Nachricht an einen Bekannten des Händlers, der pikanterweise bei der gleichen Bankengruppe beschäftigt war. Die eigentlich für den Kläger bestimmte Nachricht enthielt den Text:

Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter – Herr C – findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D


Der Empfänger kannte den Herrn B. und späteren Kläger des Rechtsstreits gegen die Bank und fragte bei ihm zurück. „Du?“ So bekam der Kläger – wie oft bei solchen Irrläufern – zufällig Kenntnis von der Datenpanne. Während das Landgericht nach erfolgloser Abmahnung und Klage auf Unterlassung, Kostenerstattung und Schadenersatz die Bank u.a. zu 1.000 Euro immateriellem Schadenersatz verurteilt hatte, hat der 13. Senat des Oberlandesgerichts Frankfurt am Main nun dieses Urteil des Landgerichts Darmstadt vom 26. Mai 2020 im Hinblick auf den Schadenersatz aufgehoben. Im Übrigen bestätigte er aber auch die Verurteilung der Bank zur Unterlassung und Kostenerstattung in Bezug auf die Anwaltskosten für die Abmahnung in Höhe von 1.025,55 € nebst Zinsen (OLG Frankfurt, 13. Zivilsenat, Urteil vom 02.03.2022, Az. 13 U 206/20 – noch nicht rechtskräftig).

Begründung des Senats stark verkürzt zusammengefasst: Zwar bestehe ein Unterlassungsanspruch, weil den Umständen nach aufgrund der persönlichen Bekanntheit des irrtümlichen Empfängers der über XING gesendeten Nachricht, dieser den Betroffenen „Herr B…“ anhand Name, Anrede und Kontext der Nachricht identifizieren konnte. Identifizierbar seien solche Nachrichten auch dann, wenn der Nachname häufig vorkommt. Es ist nämlich auch nicht erforderlich, dass die zur Identifizierbarkeit erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EUGH, Urteil vom 20. Dezember 2017 – Rs. C-434/16, NJW 2018, 767 – Nowak). Es ist auch nicht erforderlich, dass die Identifizierbarkeit zweifelsfrei erfolgt, denn vorliegend ist es dem Dritten ja unmittelbar gelungen, den Kläger zu identifizieren, auch wenn er sicherheitshalber nachgefragt hat, indem er die Nachricht an ihn weitergeleitet hat und dazu die Frage schrieb: „Du?“

Der Kläger habe aber keinen immateriellen Schaden im Sinne von Art. 82 DSGVO vorgetragen. Damit folgt der 13. Senat der bei den Zivilgerichten vorherrschenden Auffassung, dass allein der Kontrollverlust und die Ungewissheit bei einer Datenpanne, wer die durch den Datenschutzverstoß erlangten Daten unbefugt genutzt oder sogar noch weitergegeben hat, kein ersatzfähiger immaterieller Schaden sei.

Anmerkung zum Urteil von Rechtsanwältin Hagendorff: Diese Sichtweise, es sei doch kein Schaden entstanden, erscheint hier nicht überzeugend. Denn der Kläger wurde ja nicht eingestellt und hatte die Ungewissheit, ob der Bekannte, der im Rahmen der Unternehmensgruppe seines Arbeitgebers arbeitete, die Daten vertraulich behandelte oder möglicherweise dem jetzigen Arbeitgeber einen Hinweis gegeben hat, dass der Kläger sich anderweitig bewerbe und mit welchen Gehaltsvorstellungen. Das wäre sicher für seine Karriere im Unternehmen seines bisherigen Arbeitgebers nicht förderlich, sondern eher schädigend gewesen. Wechselwillige Mitarbeiter werden nicht befördert und müssen berufliche Nachteile beim bisherigen Arbeitgeber erwarten. Es ist doch lebensfern, vom geschädigten Kläger zu erwarten, das dezidiert darzulegen, denn es liegt auf der Hand. Da es rechtswidrig weitergegebene Informationen sind, würde in so einem Fall ihm kaum jemand bei seinem Arbeitgeber darauf hinweisen. Nach Erwägungsgrund 146 S. 6 soll der immaterielle Schadenersatzanspruch sicherstellen, dass der verletzte Betroffene einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält und dieser abschreckend sein soll. Im Ergebnis wird also der effektive Rechtsschutz entgegen dem Effektivitätsgebot und den Grundsätzen des EUGH zum „effet utile“ verkürzt auf die wenigen Fälle, in denen der Betroffene zufällig an die Informationen zum Schadenseintritt gelangt. Das erscheint mir nicht europarechtskonform und nicht sonderlich überzeugend zu sein. In der Praxis unterstützt das nämlich die Haltung, die leider in vielen Unternehmen und Behörden vorherrscht: Stößt man zufällig auf einen Datenschutzverstoß und macht die Löschung und einen Schadenersatzverstoß geltend, heisst es regelmäßig, es sei doch ein Versehen gewesen, ein Einzelfall und es sei doch „kein Schaden“ entstanden….Der Datenschutz wird ohne Sanktion eben nicht hinreichend ernst genommen. Dies hat hier auch die Beweisaufnahme durch Vernehmung des Zeugen beim Landgericht bestätigt: Es gab laut Gericht 1. Instanz keine richtigen Schulungsmaßnahmen oder anderweitige Vorkehrungen bei der Beklagten, die der betreffenden Mitarbeiterin oder weiteren Mitarbeitern effektive Maßnahmen an die Hand gegeben hätten, eine Wiederholung von Irrläufern und Pannen dieser Art zu vermeiden. Ohne Schadenersatzrisiken wird sich daran wahrscheinlich in Zukunft auch nicht viel ändern. Von dem Urteil des OLG geht daher das falsche Signal aus.

Auch das angeführte Argument, dass sonst ein Ausufern bei für den Betroffenen tatsächlich folgenlosen Datenpannen zu befürchten sei, geht an der Rechtswirklichkeit vorbei. Denn wegen des Aufwands eines Rechtsstreits sind nur wenige Betroffene bereit, in solchen Fällen zu klagen – jedenfalls solange es um verhältnismäßig geringe Beträge wie hier 1.000 Euro laut Landgerichts Urteil oder 2.500 Euro wie vom Kläger in der Anschlussberufung beantragt – geht.

Positiv aber ist, dass die häufig ebenfalls zu hörende Standardausrede, der Anspruch werde mißbräuchlich geltend gemacht, vom OLG auch nicht akzeptiert wurde und sowohl die Abmahnung als berechtigt und damit wenigstens auch die Anwaltskostenerstattung bestätigt worden ist (hier aus einem Streitwert von 15.000 € also 10.000 für die Unterlassung, 5.000 für die Auskunft). Möglicherweise hätte hier der Kläger zu seiner Angst vor beruflichen Nachteilen bei seinem bisherigen Arbeitgeber bei Kenntnisnahme von der Bewerbung näher vortragen sollen – so meint der Senat. Dass der Kläger sich mit solchen Darlegungen dann aber zusätzlich selbst weiter geschädigt hätte, obwohl dies naheliegt, hat der Senat hierbei aber nicht bedacht. Schließlich sind sowohl die mündlichen Verhandlungen öffentlich als auch die Urteile – auch wenn der Name der Parteien anonymisiert wird, wird er für Insider der Branche oft bekannt. Positiv ist auch, dass der Senat bestätigt hat, dass in Fällen wie diesen die Hinzuziehung eines Rechtsanwalts wegen der Schwierigkeit der Angelegenheit zur zweckentsprechenden Rechtsverfolgung erforderlich ist und dessen Kosten erstattungsfähig sind in der gesetzlichen Höhe nach dem RVG.

Eine Ausuferung von Schadenersatzklagen bei solchen Beträgen ist wegen des unverhältnismäßigen Aufwands nicht zu befürchten, wenn für Fälle dieser Art ein Schadenersatz von 1.000-2.000 Euro zu erstatten ist. Erst bei höheren Beträgen ziehen erfahrungsgemäß überhaupt eine relevante Anzahl von Menschen und Anwälten die Rechtsverfolgung und aufwendigen Klageverfahren in Betracht. Insgesamt überzeugt mich das Urteil aber wegen der Abweisung des immateriellen Schadenersatzes aber nicht.

Noch ein Hinweis: Wie das Gericht zu Recht anmerkt, sieht das Bundesarbeitsgericht, weitere Arbeitsgerichte und Oberlandesgericht München ebenfalls bereits den Kontrollverlust wegen einer unbefugten Weitergabe personenbezogenen Daten oder eine Datenschutzverletzung durch verspätete oder unvollständige Auskünfte nach Art. 15, 82 DSGVO als erstattungsfähigen immateriellen Schaden an und hat wegen der grundsätzlichen Bedeutung der Senat auch die Revision zum Bundesgerichtshof zugelassen. Die Frage ist also noch nicht abschließend geklärt. Zudem gibt es auch bereits einschlägige Vorlageverfahren beim Europäischen Gerichtshof dazu.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

Landgericht Mainz verurteilt Stromanbieter zu 5.000 Euro Schadenersatz wegen rechtswidriger Meldung an SCHUFA

Vorschnelle negative Schufa-Meldungen sind ein erheblicher Schaden für die Kreditfähigkeit eines Betroffenen. Die Voraussetzungen sind daher streng geregelt. Das Landgericht Mainz hat mit Urteil vom 12.11.2021 – Az. 3 O 12/20 einen Stromanbieter u.a. zur Zahlung von 5.000 Euro immateriellem Schadenersatz nach Art. 82 Abs. 1 DSGVO verurteilt, weil dieser vorschnell eine rechtswidrige negative Schufaeinmeldung als “uneinbringlich” im Laufe eines gerichtlichen Mahnverfahrens veranlasst hatte. Es stellten sich Pannen im Vorverfahren heraus und der Vollstreckungsbescheid war noch nicht rechtskräftig. Der Stromanbieter und spätere Beklagte hatte zwar Mahnungen versendet und ein gerichtliches Mahnverfahren wegen der erfolglos angemahnten Stromrechnung durchgeführt, jedoch den Zugang der Mahnungen und Mahnbescheid sowie die nach § 31 BDSG vorgeschriebene vorherige Ankündigung der negativen Schufa-Einmeldung hatte der betroffene Kläger bestritten und konnte der Stromanbieter nicht beweisen, also wäre eine Einmeldung erst mit einem rechtskräftigen Vollstreckungsbescheid zulässig gewesen. Der Stromanbieter hat aber bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids diese Einmeldung verfrüht und damit rechtswidrig bei der Schufa eingemeldet. Der klägerische Familienvater hatte glaubhaft versichert, dass er die Mahnungen mit Unterrichtung über den drohenden Schufa-Eintrag nicht erhalten hatte; der Mahnbescheid lag ihm auch nicht vor, den hatte wohl das Au-pair-Mädchen seiner Kinder angenommen, ihm aber nicht ausgehändigt. Nach Zustellung des Vollstreckungsbescheids hatte der Kläger die Forderung dann bezahlt, sodass sich er sich zu Recht gegen die Einmeldung als “uneinbringliche Forderung” gewendet hat. Die Einmeldung war – so das Gericht – nicht aufgrund der Bestimmung des Art. 6 Abs. 1 lit f, Abs. 4 DSGVO zulässig. Zwar besteht ein erhebliches Interesse der Kreditwirtschaft an den Bonitätsdaten und somit ein erhebliches Informationsinteresse der Verkehrsteilnehmer, aber bei der gebotenen Interessenabwägung sind die Wertungen des § 31 BDSG zu berücksichtigen, die sicherstellen sollen, dass bei der Verarbeitung von Bonitätsdaten dem Schuldner vorher rechtliches Gehör gewährt wird und er innerhalb einer angemessenen Karenzzeit die Möglichkeit hat, den Eintrag zu vermeiden und vorher die Schulden zu begleichen. Hier war es so, dass die Stromrechnung von 493,81 € zwar angemahnt worden war, jedoch der Zugang einer vorherigen Ankündigung einer drohenden Schufa-Einmeldung nicht nachgewiesen werden konnte. Gleiches galt für die Zustellung des gerichtlichen Mahnbescheids. Die Einmeldung bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids war unter diesen Umständen verfrüht. Mit Fehlern bei der Zustellung muss ein Absender rechnen, wenn ihm kein Zugangsnachweis vorliegt und damit war zur Überzeugung des Gerichts wegen der streitigen Zustellungspannen noch nicht sicher eine hinreichende Karenzzeit verstrichen, in der der klägerische Schuldner die Gelegenheit hatte, die Forderung zu begleichen. Diese Wertungen entnimmt das Gericht der Regelung des § 31 BDSG, weil darin die Voraussetzungen geregelt sind, unter denen Auskunftsdienste wie die SCHUFA AG  Bonitätsdaten nutzen und damit einen Scorewert erstellen und diesen beauskunften dürfen. Die Voraussetzungen des § 31 BDSG waren hier im Zeitpunkt der Einmeldung nicht hinreichend dargetan und bewiesen. Dies hätte der Stromanbieter bei gewissenhafter Prüfung erkennen müssen, insbesondere bei Titulierung mit dem Vollstreckungsbescheid dem Schuldner erst noch eine angemessene Karenzzeit zur Begleichung der Fordlerung einräumen müssen, nachdem er keine Beweise für den fehlerfreien Zugang der Mahnungen, Ankündigungen und des Mahnbescheids des Gericht vorliegen hatte.

Die Höhe des immateriellen Schadenersatzes nach Artikel 82 Abs. 1 DSGVO hat das Gericht hier mit 5.000 Euro bemessen. Aufgrund des Negativ-Eintrags bei der Schufa wurden dem Kläger die Kreditkarten gesperrt, die er beruflich benötigte, und drohte ihm eine Immobilienfinanzierung zu platzen. Deshalb erlitt er einen massiven immateriellen Schaden in Form des Verlusts der Bonität bei Kreditgebern durch einen negativen Scorewert bei der Schufa. Dieser Schaden war nach Ansicht des Gerichts auch zumindest fahrlässig verschuldet, weil nach Art. 82 Abs. 3 DSGVO eine Fahrlässigkeit vermutet wird, wenn nicht der Beklagte als verantwortliches Unternehmen Umstände darlegen und beweisen kann, die ihn entschuldigen. Mangels Beweisen für die behaupteten Mahnungen mit Unterrichtung über die drohende Schufa-Einmeldung und auch mangels Beweis für die Zustellung des Mahnbescheids, den der Kläger bestritten hatte, konnte der Stromanbieter somit das Vorliegen der Voraussetzungen der Einmeldung als “uneinbringliche Forderung” nicht nachweisen. Eine Einmeldung nach § 31 Abs. 2 Nr. 4 BDSG, der die Voraussetzung der Verarbeitung von Bonitätsdaten durch Auskunftsdienste regelt, darf nur erfolgen wenn entweder nach Nr. 1 ein rechtskräftiges Urteil über eine offene Forderung vorliegt (der Vollstreckungsbescheid war bei Erlass hier noch nicht rechtskräftig, weil dagegen erst noch ein Einspruch zulässig ist) und nach § 31 Abs. 2 Nr. 4 BDSG ohne einen rechtskäftigen gerichtlichen Zahlungstitel folgende Voraussetzungen hätten vorliegen müssen, die hier auch nicht gegeben waren, nämlich:

  • der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
  • die erste Mahnung mindestens vier Wochen zurückliegt,
  • der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
  • der Schuldner die Forderung nicht bestritten hat

Daneben hat das Gericht den Stromanbieter auch verpflichtet, der Schufa Holding AG mitzuteilen, dass derjenige Zustand auch im Hinblick auf die Berechnung von Scorewerten wiederhergestellt werden soll, als habe es den näher bezeichneten Negativeintrag der Beklagten nicht gegeben. Das Urteil vom 12.11.2021 ist noch nicht rechtskräftig.

Wie viel Tage die Karenzzeit dauert, darüber hatte das Gericht hier nicht zu entscheiden. Aber unter Berücksichtigung der Wertungen des § 31 BDSG, auf die das Gericht im Rahmen der Auslegung der Rechtsgrundlage nach Art. 6 Abs. 1 lit.f DSGVO abstellt, hätte die für den Vollstreckungsbescheid vorgeschriebene Einspruchsfrist von 2 Wochen ab dessen Zustellung abgewartet werden müssen oder hätte der Stromanbieter Nachweise für mindestens 2 vorgerichtliche Mahnungen mit den nach § 31 BDSG vorgeschriebenen Zeitabständen und Ankündigung einer Meldung an die Schufa sicherstellen müssen, um Zustellungsfehler auszuschließen. Die 2 Wochen-Notfrist entspricht auch der Einspruchfrist gegen den Vollstreckungsbescheid nach §§ 700 i.V.m. 339 Abs. 1 ZPO, daher ist davon auszugehen, dass die angemessene Karenzzeit bei vorgerichtlichen unbestrittenen Mahnungen 2 x 2 Wochen ist und ansonsten im gerichtlichen Verfahren abgewartet werden muss, ob innerhalb der genannten Fristen Rechtsmittel gegen das Urteil oder den Vollstreckungsbescheid eingelegt wurde.

Kategorien
Blogroll Internetrecht Online-Handel Uncategorized Verbraucherschutz Vertragsrecht

Widerrufsrecht bei Handwerkerleistungen (Werklieferungsverträgen)

Handwerker können sich bei individuellem Einbau von Waren wie z.B. einem Treppenlift nicht auf den Ausschluss des Widerrufsrechts nach § 312 Abs. 2 Nr. 1 BGB berufen, das hat der BGH entschieden. Privatkunden steht beim Kauf eines maßangefertigten Treppenlifts also ein vierzehntägiges Widerrufsrecht zu, so der Bundesgerichtshof (BGH) mit Urteil vom 19.10.2021, Az. I ZR 96/20. Der Ausschluss des Widerrufsrechts ist nämlich nur bei Kaufverträgen anwendbar, so der BGH, und nicht bei Werklieferverträgen oder Werkverträgen. Das ist insofern überraschend als die individuelle Anpassung nach den individuellen Wünschen des Kunden ja den Vertrag immer zu einem Werkliefervertrag macht und somit eigentlich unklar ist, welchen Anwendungsbereich diese Ausnahme dann haben sollte und so hatte noch die Vorinstanz (das Oberlandesgericht Köln) das Widerrufsrecht als nach § 312g Abs. 2 Nr. 1 Bürgerliches Gesetzbuch (BGB) ausgeschlossen. Jedoch sah der Bundesgerichtshof dies anders und hob das OLG Urteil auf.

Praxistipp: Handwerker, die Maschinen, Möbel oder sowas wie einen Treppenlift bei Privatkunden einbauen und hierzu nicht in ihrem eigenen Ladengeschäft, sondern vor Ort oder über das Internet beauftragt werden, müssen daran denken, dass der Kunde nach § 312g Abs. 1 BGB ein 14-tägiges Widerrufsrecht hat und darüber korrekt belehrt werden muss. 14 Tage abwarten bevor der Auftrag ausgeführt wird, hilft nicht, da die Widerrufsfrist da noch nicht beginnt. Ferner sollten sich bei Beauftragung neben der Widerrufsbelehrung und Widerrufsformular ausdrücklich auch eine Bestätigung vom Kunden geben lassen, dass der Kunde für den Fall des Widerrufs verstanden hat, dass er dann nach § 357d BGB Wertersatz schuldet, wenn der Handwerker bei Erhalt der Widerrufserklärung bereits mit dem Werk angefangen oder dieses sogar fertiggestellt hat. Ferner sollte er zur Frage, wie sich der Wertersatz berechnet, eine möglichst klare und sinnvolle Regelung, die angemessen den Wert der Leistung und verwendeten Teile berechnen lässt, beifügen, damit über die Höhe des Wertersatzes möglichst keine Unklarheiten im Streitfall aufkommen.

Kategorien
Blogroll Internetrecht Online-Handel Uncategorized Verbraucherschutz Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

eCommerce: Die Lieferzeitangabe “i.d.R. 48 Stunden” im Online-Shop ist zulässig

Das OLG Hamm entschied in einem Verfahren über eine einstweilige Verfügung, dass die Lieferzeitangabe „i.d.R. 48 Stunden“ in einem Onlineshop zulässig ist (OLG Hamm, Urt. v. 19.8.2021 – 4 U 57/21). Dem typischen Verbraucher sei bekannt, dass die Lieferzeit wegen der manchmal divergierenden Postlaufzeiten nicht exakt angegeben werden kann. Die Abmahnung eines Wettbewerbers war damit unwirksam.

Kategorien
Blogroll Datenschutzrecht Internetrecht Schadensrecht Verbraucherschutz

#DSGVO: Bundesverfassungsgericht zur Vorlagepflicht bei Klageabweisung wegen immateriellem Schadenersatz nach Art. 82

Das Bundesverfassungsgericht (BVerfG) hat in einem Beschluss vom 14. Januar 2021 (Az.: 1 BvR 2853/19) einer Verfassungsbeschwerde stattgegeben und dem Amtsgericht Goslar aufgegeben, eine unionsrechtlich nicht geklärte Frage zur Schadenersatzpflicht bei Datenschutzverstößen von Unternehmen nach Art. 82 DSGVO dem Europäischen Gerichtshof (EUGH) zur klärenden Entscheidung vorzulegen. Indem das Amtsgericht über die entscheidungserhebliche Frage, ob die Schadenersatzpflicht nach Art. 82 DSGVO auch in Bagatellfällen besteht oder eine Erheblichkeitsschwelle als ungeschriebene Tatbestandsvoraussetzung zu statuieren ist, selbst entschieden hat, ohne die Sache dem EUGH vorzulegen, hat das Amtsgericht das Grundrecht des Klägers auf seinen gesetzlichen Richter nach Art. 101 Grundgesetz (GG) verletzt. Eine solche Erheblichkeitsschwelle findet sich nämlich nicht in der DSGVO und ist auch nicht den Erwägungsgründen zu entnehmen. Deshalb war dann nach Erschöpfung des Rechtswegs die Verfassungsbeschwerde erfolgreich.
Das Bundesverfassungsgericht hat nun dafür gesorgt, dass die praxisrelevante Frage nun endlich dem EUGH zur unionseinheitlichen Auslegung und klärenden Entscheidung vorgelegt wird. Der Amtsrichter hätte hier die noch nicht unionsrechtlich geklärte, hier aber entscheidungserhebliche Frage, ob ein Bagatellverstoß bestehend aus einer einzelnen Spam-E-Mail oder ähnliche Bagatellverstöße schadenersatzpflichtig nach Art. 82 DSGVO sind oder nicht, nach Art. 267 AEUV dem Europäischen Gerichtshof zur Entscheidung vorlegen müssen.
Den Hintergrund des Streits gut erklärt hat Rechtsanwalt Wybitul, der für seine internationalen Klienten mit seinem Team zunehmend mit der Abwehr von vielen Schadenersatzklagen bei der Kanzlei Latham & Watkins beschäftigt ist und dessen Mandanten ein hohes Interesse haben, Bagatellgrenzen, Rechtsmissbrauch und andere Argumente gegen die Schadenersatzklagen Betroffener bei Datenschutzverletzungen von großen Unternehmen zu Felde zu ziehen – hier https://www.cr-online.de/blog/

Hierbei muss ich sagen, dass es doch sehr erstaunlich ist, was die Richter in dem Bestreben, die Sache einfach arbeitssparend abzuweisen, alles als Bagatelle abtun… aber dazu an anderer Stelle…

Die Entscheidung wird aber noch weitere Folgen haben, nicht nur die Klärung der Frage zu der Erheblichkeitsschwelle: Im Zusammenhang mit den Schadenersatzklagen gibt es noch eine Reihe weiterer nicht geklärter Fragen zur Auslegung der DSGVO, insbesondere solche zur Auslegung der Auskunftsrechte des Betroffenen nach Art. 13-15 DSGVO. Sie sind weit gefasst und sollen es nach dem Erwägungsgründen dem Betroffenen ermöglichen, zu erfahren, wer auf welcher Grundlage personenbezogene Daten verarbeitet (Transparenzgebot) und deren Rechtmäßigkeit zu prüfen bzw. bei Datenschutzverstößen, die ihn geschädigt haben, wenigstens Schadenersatzansprüche nach Art. 82 DSGVO effektiv durchsetzen zu können (Stichwort informationelle Selbstbestimmung als Schutzgut von Art. 8 Grundrechtecharta (GrCH) sowie der DSGVO). Während bisher die deutsche Richterschaft mehrheitlich dem alten Konzept von der Persönlichkeitsrechtsverletzung, die nur bei schweren Eingriffen ein Schmerzensgeld auslöste verhaftet bleibt, versucht die DSGVO unserer zunehmenden Digitalisierung gerecht zu werden. Daher ist der DSGVO richtigerweise nach meiner Einschätzung keine solche Erheblichkeitsgrenze zu entnehmen, sondern sind diese Fragen einfach bei der Entscheidung über die Höhe der Entschädigung zu berücksichtigen. Während im Einzelfall eine E-mail oder andere Bagatellverstöße nicht schwerwiegend sein mögen, zahlen sich die massenweise rechtswidrige Weiterverarbeitung von personenbezogenen Daten in einem Kontrollverlust für jeden Einzelnen bemerkbar, der es ohne eine effektive Rechtsdruchsetzung auch kleiner Verstöße nicht wirksam eingedämmt werden kann. Es ist daher zu erwarten, dass nunmehr infolge dieses Paukenschlags des BVerfG nun in einer Reihe weiterer Schadenersatzklagen die Gerichte ihre Vorlagepflicht besser prüfen werden und weitere umstrittene Zweifelsfragen zur Auslegung und Reichweite der Auskunftsansprüche der DSGVO nach Art. 267 AEUV dem Europäischen Gerichtshof zur Klärung vorlegen müssen.

Kategorien
Datenschutzrecht Internetrecht Schadensrecht Uncategorized Verbraucherschutz Vertragsrecht

#DSGVO-Beschwerde und #Schadenersatzdurchsetzung: hier Durchsetzung bei Datenpanne ist für Verletzte schwierig

Datenpannen passieren häufig im Ausland und zuständige federführende Aufsichtsbehörden nach der DSGVO sind oft ebenfalls nicht in Deutschland. Betroffene, die Auskunfts- und Schadenersatzansprüche gegen den Verantwortlichen und/oder Auftragsverarbeiter nach Art. 82 DSGVO durchsetzen wollen, bzw. Unternehmen, die nach einer solchen Panne sich fragen, was sie konkret mitteilen müssen, haben derzeit daher an 2 Fronten zu kämpfen. Einmal bei den Zivilgerichten, die die Auskunfts-, Darlegungs- und Beweisgrundsätze bisher nicht einheitlich und zum Teil entgegen Art. 82 DSGVO und den nach Erwägungsgrund 146 DSGVO zu beachtenden Effektivitätsgrundsätzen restriktiv auslegen. So hat das Landgericht Frankfurt, und zwar einmal die 27. Zivilkammer mit Urteil Landgericht Frankfurt/Main Az. 2-27 O 100/20 und in einem Parallelfall eines anderen Klägers nunmehr erneut die 30. Zivilkammer mit etwas anderem Tatbestand mit Urteil vom 18.01.2021 20210118_anonym.LG Ffm Urteil 18.01.2021 15+82 DSGVO_Geschwärzt eine Auskunfts- und Schadenersatzklage gegen die in Belgien sitzende Mastercard Europe SA im Zusammenhang mit dem Databreach aus August 2019 im Rahmen des Mastercard Priceless Specials Germany Bonusprogramms abgewiesen (nicht rechtskräftig). Der Kläger wird in die Berufung gehen. Update 6.2.2021 Letzter Stand der Klägerseite hier: Tatbestandsberichtigungsantrag ist fristgemäß gestellt, weil es hier offensichtliche Unrichtigkeiten im Tatbestand gibt. Den Auskunftsantrag (Mastercard hat verspätet und unvollständig beauskunftet und will die konkreten Serviceprovider nicht angeben, bzw. hat erst in der Klageerwiderung die Namen “Brain Behind Ltd und Brain Behind GmbH” vorgetragen, wobei unklar blieb, bei wem genau das unsichere Administratorpasswort den unbefugten Zugriff auf die Systeme der “BB” 2019 ermöglicht hat. Ferner ist es so, dass es eine “Brain Behind GmbH” ausweislich des Handelsregisters weder in Deutschland und ebenso auch nicht in Österreich gibt, wie man dem amtlichen firmenbuch.at entnehmen kann). Der Streitfrage ging das Gericht damit überraschend aus dem Weg, indem es im Urteil plötzlich meinte, es sei nicht ersichtlich, wieso die GmbH nicht identifizierbar sei und eine Pflichtverletzung von Mastercard sei “nicht indiziert.” Der Kläger hatte vorgetragen, dass diese Angaben unklar sind und deshalb in der mündlichen Verhandlung den Auskunftsantrag nicht für erledigt erklärt. Die Beklagte hatte sich auch gar nicht damit verteidigt, das sei erledigt, denn man müsse diese nicht konkret angeben. Damit war diese rechtliche Streitfrage an sich zu entscheiden, die in der Praxis auch hoch relevant ist, ob – jedenfalls nach einer Datenpanne – nach Art. 12, 15 Abs. 1 lit.c DSGVO der Serviceprovider, der als Auftragsverarbeiter und damit “Empfänger” der Kundendaten involviert war, konkret zu benennen ist. Mit vagen Angaben wie hier, kann ein geschädigter Betroffener nichts anfangen, daher (so auch die herrschende Meinung in der für das Gericht natürlich zitierten Kommentarliteratur mit allen Argumenten) konkret anzugeben, jedenfalls spätestens nach einer Datenpanne und ausdrücklicher DSGVO-Auskunftsanfrage des betroffenen Kunden. Mal sehen, ob das Gericht die offenbaren Unrichtigkeiten nun auf Antrag im Tatbestand berichtigen wird, damit in der II. Instanz das Gericht wenigstens den Sachverhalt richtig versteht, über den es zu befinden haben wird….Puh.

Die andere Baustelle ist die Erlangung von näheren Informationen und Akteneinsichten bei den Aufsichtsbehörden, die für die Beschwerde- und Bussgeldverfahren nach einer Datenpanne zuständig sind. Auszug aus meiner Korrespondenz mit dem HBDI (Hessischer Beauftragter für Datenschutz und Informationsfreiheit):
UPDATE VOM 09.02.2021: Nun liegt eine neue Antwort des HBDI vor:

Sehr geehrte Frau Rechtsanwältin Hagendorff,

die belgischen Kollegen haben mir mitgeteilt, dass die Untersuchungen noch andauern und die Daten zum Verfahren derzeit nach belgischem Recht vertraulich sind. Entsprechend wurde auch mir keine weitere Auskunft erteilt und so kann ich Ihnen auch keine weiteren Informationen zur Verfügung stellen.

Mit freundlichen Grüßen
Im Auftrag

……….
—–Meine E-mail an das HBDI in einem Beschwerdeverfahren einer Klientin gegen Mastercard Europe SA:
Sehr geehrter Herr……,
danke für Ihre E-mail vom 20.10.2020 zum Akteneinsichtsgesuch …und ich habe die Angelegenheit inzwischen nochmals geprüft.

Wenn die Akte zum Beschwerdeverfahren zu o.g. Az. nur meine Eingaben enthält, wird auf die Akteneinsicht selbstverständlich verzichtet.
Aber ich möchte Sie bitten, gemäß Art. 77 Abs. 2 DSGVO i.V.m. § 19 Abs. 2 S.3 BDSG uns den Informationsstand und das Ergebnis oder hilfsweise das Zwischenergebnis des Beschwerdeverfahrens bei der federführenden Aufsichtsbehörde in Belgien mitzuteilen. Nach § 19 Abs. 2 S. 3 BDSG soll dann, wenn wie hier die Verantwortliche in Deutschland keinen Sitz und keine Niederlassung hat, die Aufsichtsbehörde hier als empfangende Behörde dem Beschwerdeführer über das Ergebnis des Verfahrens informieren, d.h. soweit das Verfahren abgeschlossen ist, den Beschluss der Belgischen Aufsichtsbehörde mitteilen oder falls es noch nicht abgeschlossen ist, zumindest den Zwischenstand über die Erkenntnisse, die zur Datenpanne geführt haben.

Nach § 19 Abs. 2 Satz 3 BDSG weist der deutsche Gesetzgeber die nach der DSGVO zugewiesenen Aufgaben der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, kraft Gesetzes der “empfangenden Aufsichtsbehörde” zu. Das bedeutet, dass die Zuständigkeiten gebündelt werden, damit die Aufsichtsbehörde den Verletzten nicht an ausländische Aufsichtsbehörden verweisen kann. [Vermerk: Ausserdem ist sie zur Kooperation und Weiterleitung einer Beschwerde an die federführende Aufsichtsbehörde in der EU verpflichtet, At. 60ff DSGVO]. Damit verleiht das BDSG dem Grundgedanke der DSGVO, dass der Betroffene bei der Aufsichtsbehörde seiner Wahl in Deutschland Beschwerde einlegen kann, damit er nicht auf eine Aufsichtsbehörde im Ausland verwiesen werden kann, ihre Wirkung (vgl. sinngemäß so auch Hellmich in Taeger/Gabel, DSGVO.BDSG, 3. Auflage, Rn. 7 zu BDSG § 19 m.w.N.). Das bedeutet, dass das HBDI vorliegend die Kommunikationsaufgaben, sprich Information über das Ergebnis des Verfahrens oder bei überlanger Dauer wie hier zumindest den Stand und Zwischenergebnis des Verfahrens zu unterrichten hat. Wäre der Betroffene auf die Durchsetzung von Informations- und Akteneinsichtsersuchen bei der ausländischen federführenden Behörde angewiesen, würde dies dem Grundgedanken der DSGVO widersprechen, die aus Gründen der Fairness und des europarechtlichen Grundgedankens des effet utile die praktische Durchsetzung seiner Informations- und Abwehrrechte gegen unrechtmäßige Verarbeitungen überhaupt erst ermöglichen sollen. Dies ist gerade bei grenzüberschreitenden Datenverarbeitungen, die hier auch die Kreditkartenumsätze umfassen, die zweckentsprechend zum Gutschreiben der Coins im Bonusprogramm automatisch abgeglichen und somit miteinander vernetzt gewesen sein dürften, nur praktisch möglich, wenn § 19 Abs. 2 S. 3 BDSG wie vom Gesetzgeber beabsichtigt, dem Betroffenen die deutsche Aufsichtsbehörde sichert, auch wenn federführend eine ausländische Aufsichtsbehörde zuständig ist nach den Art. 60ff DSGVO.

Nach nochmaliger Prüfung der Sach- und Rechtslage ist es demnach nicht statthaft, die Beschwerdeführerin auf die ausländische federführende Aufsichtsbehörde vorliegend zu verweisen oder bis zum rechtskräftigen Abschluss etwaiger Zivilklagen mit dem Bericht das Verfahren auszusetzen.

Wie dargelegt, besteht der Verdacht, dass Mastercard Europe SA oder deren Auftragsverarbeiter die Datenpanne durch unzureichende Datensicherheitsmassnahmen nach Art. 32 DSGVO z.B. durch ein unsicheres Administratorpasswort eines Auftragsverarbeiters, das höchstwahrscheinlich entdeckt worden wäre, wenn die nach der PCI-DSS v3.2.4 abrufbar in Deutsch und in Englischer Sprache unter https://www.pcisecuritystandards.org/document_library auf S. 128 vorgeschriebenen Penetrationstests alle 6 Monate durchgeführt worden wären.
Auf S. 128 der vorgenannten Payment Card Informationsystem Data Security Standards heisst es unter 11.2.4.1. “Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods.”
Diese Vorgabe ist nach meinen Informationen seit Februar 2018 in Kraft und die Einhaltung der PCI-DSS waren hier wegen der Vernetzung mit dem Zahlungssystem zwischen Mastercard und Brain Behind auch vereinbart.

Mastercard hat keine Auskunft über die genauen Empfänger der Brain Behind Gruppe erteilt (also wer genau wo aus der Gruppe die Kundendaten für das Bonusprogramm verarbeitet hat), sodass Name und Anschrift des Auftragsverarbeiters, bei dem die Datenabfluss stattgefunden hat z.B. wegen unzureichender Schutzmassnahmen und Penetrationstests hier nicht vorliegen. Handelt es sich um die aus dem Imprint von brain-behind.com veröffentlichte Brain Behind Ltd?
Die Anschrift dort ist laut Impressum (Inprint):
Brain Behind Ltd.
30 Moorgate
London, EC2R 6PJ, United Kingdom
xxxxxxxxxx
Phone: +44xxxxx

Ist es korrekt, dass dort ein unsicheres Administratorpasswort den Zugriff auf die geleakten Kundendaten aus dem Mastercard Priceless Specials Databreach in 2019 durch unbekannte Dritte ermöglicht haben?
Dies müsste doch unzureichende Datensicherheitsmassnahmen indizieren, weil für das Bonusprogramm laut unseren Informationen zwischen Mastercard Inc oder Mastercard Europe SA für das Mastercard Priceless Specials die Einhaltung der Sicherheitsmassnahmen nach den Vorgaben der PCI-DSS vereinbart war. Letztere sehen alle 6 Monate Penetrationstests vor.

Die fehlende Auskunft über den Empfänger entgegen Art. 15 Abs. 1 c DSGVO dürfte ebenfalls ein Verstoß beinhalten, denn Mastercard hat dazu keine Auskünfte erteilt, weder in der Datenschutzerklärung noch in der Meldung zur Datenpanne noch nachdem sie zur Auskunft aufgefordert wurde und hat Ende 2019 nur pauschal auf die Datenschutzerklärung verwiesen und ein Verschulden zurückgewiesen. Mit vagen Auskünften, es seien die Daten in Grossbritannien von einem Auftragsverabeiter verarbeitet worden, kann der Verletzte nichts anfangen. Der Begriff des Schadens [und die Auskunftsansprüche des Betroffenen nach den 12ff. DSGVO) sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Der Beschwerdeführerin ist auch ein immaterieller und ein materieller Schaden i.S. von Art. 82 Abs. 1 DSGVO entstanden. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht (ErwG 146 S.3 DSGVO). Zum Schaden gehört im Lichte der Grundfreiheiten auch der Kontrollverlust, der entsteht, wenn bei einer Datenpanne nicht der Verletzte informiert wird, wie es zu der Datenpanne kam und bei wem die Daten, insbesondere Empfänger/Auftragsverarbeiter der Verantwortliche die Kundendaten hat verarbeiten lassen. Der Betroffene (Verletzte i.S. der DSGVO) hat sonst nicht die Möglichkeit, ggfs. auch gegenüber dem Auftragsverarbeiter mangels Namen und Anschrift seine Rechte geltend zu machen, z.B. eine Streitverkündung im Zivilrechtsstreit zu ermöglichen oder Auskunftsansprüche nach Art. 15 DSGVO geltend zu machen. Nach überwiegender Auffassung der Kommentarliteratur muss sinnvollerweise also der Auftragsverarbeiter konkret nach einer Datenpanne benannt werden, identifizierbar und das hat Mastercard gegenüber der Beschwerdeführerin nicht getan. Es ist auch nicht eindeutig anhand Ihrer Auskünfte ersichtlich bisher. Die Mastercard Priceless Specials Germany Bonusprogramm hinterlegte Mastercard Kreditkarte von xxxxx xxx wurde wie in der Beschwerde dargelegt von ihrem Kreditinstitut aus Anlass der streitgegenständlichen Datenpanne vorsorglich im September 2019 gesperrt und ausgewechselt. Auch der Kontrollverlust bei einer unbefugten Weitergabe oder wie hier sogar Veröffentlichung durch anonyme Dritte ist ein Schaden [Vermerk: 85 S.2 ErwG: Die Menschen sollten die Kontrolle über ihre Daten besitzen und sich effektiv gegen unrechtmäßige Datenverarbeitung schützen können vgl. ErwG 7 der DSGVO.] Hier ist der Verdacht begründet, dass neben den Kontaktdaten auch die Kreditkartenumsätze geleakt worden waren, die eine Profilbildung ermöglichen. Zudem konnte sie infolge der Kreditkartenauswechselung zwar einer möglicherweise drohenden Kreditkartenbetrug verhindern, aber wegen des inzwischen gesperrten Portals keine weiteren Coins mit der neuen
Kreditkarte sammeln, weil die neue Mastercard nunmehr nicht mehr auf der gesperrten Seite des Mastercard Priceless Specials Programms hinterlegt werden konnte.

Bitte erteilen Sie bitte daher nunmehr die Auskünfte über das Ergebnis oder zumindest Zwischenstand der Ermittlungen, wer und was zu der Datenpanne geführt hat. Rein vorsorglich rüge ich nochmals auch nach § 46 OwiG i.v.m. § 198 GVG, dass ansonsten der Beschwerdeführerin ein weiterer Schaden entsteht, wenn sie gegenüber Mastercard und Brain Behind mangels ausreichender Auskünfte nicht ihre Rechte auf Schadenersatz auf dem Zivilrechtswege durchsetzen kann.
Wegen der Vielzahl der Betroffenen und Beschwerden dürfte es hier auch nicht unverhältnismäßig sein, wenn das HBDI diese Auskunft den Betroffenen Beschwerdeführern erteilt.
Würde Mastercard sich mit pauschalen Schutzbehauptungen bei einer Datenpanne wie geschehen wehren können, ohne transparente Informationen über das Ergebnis der Ermittlungen zur Datenpanne zu leisten gegenüber den geschädigten Kunden, dann hätte das verheerende Signalwirkung.

Freundliche Grüße

Stefanie Hagendorff
Rechtsanwältin

Am Straßbach 2
(Eingang Pfingstweide)
D-61169 Friedberg (Hessen)

Am 20.10.2020 um 08:41 schrieb x@datenschutz.hessen.de:
> Sehr geehrte Frau Rechtsanwältin Hagendorff,
>
> zu der Beschwerde von xxx sind in der Akte lediglich Ihr Beschwerdeschreiben vom 20.12.2019, Ihre weitere Email vom 23.07.2020 und meine Antwort vom 28.07.2020 enthalten. Der Akteninhalt liegt Ihnen daher vollständig vor. Sollten Sie dennoch ihren Antrag auf Akteneinsicht aufrechterhalten, bitte ich um einen Hinweis.
>
> Mit freundlichen Grüßen
> Im Auftrag ….
> ——————————————————————————–
> Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
> Gustav-Stresemann-Ring 1
> 65189 Wiesbaden
————