Kategorie: Vertragsrecht

Softwarevertragsrecht – Vertragsrecht der IT-Dienstleister – Lizenzverträge – Kooperationsverträge – Vertraulichkeitsvereinbarungen (Non-Disclosure-Vereinbarungen)

Kategorien
Blogroll Internetrecht Online-Handel Uncategorized Verbraucherschutz Vertragsrecht

Widerrufsrecht bei Handwerkerleistungen (Werklieferungsverträgen)

Bild von Sabine Schulte auf Pixabay

Handwerker können sich bei individuellem Einbau von Waren wie z.B. einem Treppenlift nicht auf den Ausschluss des Widerrufsrechts nach § 312 Abs. 2 Nr. 1 BGB berufen, das hat der BGH entschieden. Privatkunden steht beim Kauf eines maßangefertigten Treppenlifts also ein vierzehntägiges Widerrufsrecht zu, so der Bundesgerichtshof (BGH) mit Urteil vom 19.10.2021, Az. I ZR 96/20. Der Ausschluss des Widerrufsrechts ist nämlich nur bei Kaufverträgen anwendbar, so der BGH, und nicht bei Werklieferverträgen oder Werkverträgen. Das ist insofern überraschend als die individuelle Anpassung nach den individuellen Wünschen des Kunden ja den Vertrag immer zu einem Werkliefervertrag macht und somit eigentlich unklar ist, welchen Anwendungsbereich diese Ausnahme dann haben sollte und so hatte noch die Vorinstanz (das Oberlandesgericht Köln) das Widerrufsrecht als nach § 312g Abs. 2 Nr. 1 Bürgerliches Gesetzbuch (BGB) ausgeschlossen. Jedoch sah der Bundesgerichtshof dies anders und hob das OLG Urteil auf.

Praxistipp: Handwerker, die Maschinen, Möbel oder sowas wie einen Treppenlift bei Privatkunden einbauen und hierzu nicht in ihrem eigenen Ladengeschäft, sondern vor Ort oder über das Internet beauftragt werden, müssen daran denken, dass der Kunde nach § 312g Abs. 1 BGB ein 14-tägiges Widerrufsrecht hat und darüber korrekt belehrt werden muss. 14 Tage abwarten bevor der Auftrag ausgeführt wird, hilft nicht, da die Widerrufsfrist da noch nicht beginnt. Ferner sollten sich bei Beauftragung neben der Widerrufsbelehrung und Widerrufsformular ausdrücklich auch eine Bestätigung vom Kunden geben lassen, dass der Kunde für den Fall des Widerrufs verstanden hat, dass er dann nach § 357d BGB Wertersatz schuldet, wenn der Handwerker bei Erhalt der Widerrufserklärung bereits mit dem Werk angefangen oder dieses sogar fertiggestellt hat. Ferner sollte er zur Frage, wie sich der Wertersatz berechnet, eine möglichst klare und sinnvolle Regelung, die angemessen den Wert der Leistung und verwendeten Teile berechnen lässt, beifügen, damit über die Höhe des Wertersatzes möglichst keine Unklarheiten im Streitfall aufkommen.

Kategorien
Blogroll Internetrecht Uncategorized Urheberrecht Vertragsrecht

BGH: Keine urheberrechtliche Veröffentlichung eines Fotos bei URL mit 70 Zeichen

BGH Urteil vom 27.05.2021, Az. I ZR 119/20 #Fotorecht #Urheberrecht #Bildrechte #Abmahnungen- Keine urheberrechtliche Veröffentlichung bei URL mit 70 Zeichen und daher auch keine Vertragsstrafe
Bei strafbewehrten Unterlassungserklärungen kommt es immer wieder zum Streit, ob dagegen verstoßen worden ist und eine Vertragsstrafe verwirkt wurde. Der BGH hat dies nun in einem Streitfall verneint, bei dem die URL, über die das Foto noch abrufbar war, 70 Zeichen lang war und nicht über die Bildersuche bei Google abrufbar war.
Wenn das Bild wie hier nur über eine solche URL abrufbar ist, die nicht über die Bildersuche bei Google oder anderen Suchmaschinen abrufbar ist, sondern nur für denjenigen, der diese spezielle URL mit 70 Zeichen hat, dann ist das Bild nicht öffentlich und liegt kein Verstoß gegen die Unterlassungserklärung vor (so sinngemäß der BGH, Urteil vom 27. Mai 2021 – I ZR 119/20).

In dem Fall war die Internetadresse mit 70 Zeichen so lang, dass praktisch niemand sie abgerufen haben dürfte, so der BGH. Dies führt dazu, dass das Foto unter der URL nicht als öffentlich zugänglich gilt. Das Merkmal „recht viele Personen“ ist nicht gegeben, wenn nur theoretisch abrufbar bei so einer langen URL.

Dennoch sollten bei Abgabe einer Unterlassungserklärungen rechtsverletzende Fotos inklusive weiterer Versionen vom Server gelöscht werden.

Ferner sollte der Index der Webseiten bei Suchmaschinen wie google gemeldet werden, damit Google diese neu indexiert ohne die beanstandeten Fotos.
Idealerweise sollte der Datei robots.txt der Webseite untersagt werden, Bildverzeichnisse zu indexieren. Denn ein Foto, das über Google gefunden wird, ist öffentlich zugänglich.

Kategorien
Datenschutzrecht Internetrecht Schadensrecht Uncategorized Verbraucherschutz Vertragsrecht

#DSGVO-Beschwerde und #Schadenersatzdurchsetzung: hier Durchsetzung bei Datenpanne ist für Verletzte schwierig

Datenpannen passieren häufig im Ausland und zuständige federführende Aufsichtsbehörden nach der DSGVO sind oft ebenfalls nicht in Deutschland. Betroffene, die Auskunfts- und Schadenersatzansprüche gegen den Verantwortlichen und/oder Auftragsverarbeiter nach Art. 82 DSGVO durchsetzen wollen, bzw. Unternehmen, die nach einer solchen Panne sich fragen, was sie konkret mitteilen müssen, haben derzeit daher an 2 Fronten zu kämpfen. Einmal bei den Zivilgerichten, die die Auskunfts-, Darlegungs- und Beweisgrundsätze bisher nicht einheitlich und zum Teil entgegen Art. 82 DSGVO und den nach Erwägungsgrund 146 DSGVO zu beachtenden Effektivitätsgrundsätzen restriktiv auslegen. So hat das Landgericht Frankfurt, und zwar einmal die 27. Zivilkammer mit Urteil Landgericht Frankfurt/Main Az. 2-27 O 100/20 und in einem Parallelfall eines anderen Klägers nunmehr erneut die 30. Zivilkammer mit etwas anderem Tatbestand mit Urteil vom 18.01.2021 20210118_anonym.LG Ffm Urteil 18.01.2021 15+82 DSGVO_Geschwärzt eine Auskunfts- und Schadenersatzklage gegen die in Belgien sitzende Mastercard Europe SA im Zusammenhang mit dem Databreach aus August 2019 im Rahmen des Mastercard Priceless Specials Germany Bonusprogramms abgewiesen (nicht rechtskräftig). Der Kläger wird in die Berufung gehen. Update 6.2.2021 Letzter Stand der Klägerseite hier: Tatbestandsberichtigungsantrag ist fristgemäß gestellt, weil es hier offensichtliche Unrichtigkeiten im Tatbestand gibt. Den Auskunftsantrag (Mastercard hat verspätet und unvollständig beauskunftet und will die konkreten Serviceprovider nicht angeben, bzw. hat erst in der Klageerwiderung die Namen “Brain Behind Ltd und Brain Behind GmbH” vorgetragen, wobei unklar blieb, bei wem genau das unsichere Administratorpasswort den unbefugten Zugriff auf die Systeme der “BB” 2019 ermöglicht hat. Ferner ist es so, dass es eine “Brain Behind GmbH” ausweislich des Handelsregisters weder in Deutschland und ebenso auch nicht in Österreich gibt, wie man dem amtlichen firmenbuch.at entnehmen kann). Der Streitfrage ging das Gericht damit überraschend aus dem Weg, indem es im Urteil plötzlich meinte, es sei nicht ersichtlich, wieso die GmbH nicht identifizierbar sei und eine Pflichtverletzung von Mastercard sei “nicht indiziert.” Der Kläger hatte vorgetragen, dass diese Angaben unklar sind und deshalb in der mündlichen Verhandlung den Auskunftsantrag nicht für erledigt erklärt. Die Beklagte hatte sich auch gar nicht damit verteidigt, das sei erledigt, denn man müsse diese nicht konkret angeben. Damit war diese rechtliche Streitfrage an sich zu entscheiden, die in der Praxis auch hoch relevant ist, ob – jedenfalls nach einer Datenpanne – nach Art. 12, 15 Abs. 1 lit.c DSGVO der Serviceprovider, der als Auftragsverarbeiter und damit “Empfänger” der Kundendaten involviert war, konkret zu benennen ist. Mit vagen Angaben wie hier, kann ein geschädigter Betroffener nichts anfangen, daher (so auch die herrschende Meinung in der für das Gericht natürlich zitierten Kommentarliteratur mit allen Argumenten) konkret anzugeben, jedenfalls spätestens nach einer Datenpanne und ausdrücklicher DSGVO-Auskunftsanfrage des betroffenen Kunden. Mal sehen, ob das Gericht die offenbaren Unrichtigkeiten nun auf Antrag im Tatbestand berichtigen wird, damit in der II. Instanz das Gericht wenigstens den Sachverhalt richtig versteht, über den es zu befinden haben wird….Puh.

Die andere Baustelle ist die Erlangung von näheren Informationen und Akteneinsichten bei den Aufsichtsbehörden, die für die Beschwerde- und Bussgeldverfahren nach einer Datenpanne zuständig sind. Auszug aus meiner Korrespondenz mit dem HBDI (Hessischer Beauftragter für Datenschutz und Informationsfreiheit):
UPDATE VOM 09.02.2021: Nun liegt eine neue Antwort des HBDI vor:

Sehr geehrte Frau Rechtsanwältin Hagendorff,

die belgischen Kollegen haben mir mitgeteilt, dass die Untersuchungen noch andauern und die Daten zum Verfahren derzeit nach belgischem Recht vertraulich sind. Entsprechend wurde auch mir keine weitere Auskunft erteilt und so kann ich Ihnen auch keine weiteren Informationen zur Verfügung stellen.

Mit freundlichen Grüßen
Im Auftrag

……….
—–Meine E-mail an das HBDI in einem Beschwerdeverfahren einer Klientin gegen Mastercard Europe SA:
Sehr geehrter Herr……,
danke für Ihre E-mail vom 20.10.2020 zum Akteneinsichtsgesuch …und ich habe die Angelegenheit inzwischen nochmals geprüft.

Wenn die Akte zum Beschwerdeverfahren zu o.g. Az. nur meine Eingaben enthält, wird auf die Akteneinsicht selbstverständlich verzichtet.
Aber ich möchte Sie bitten, gemäß Art. 77 Abs. 2 DSGVO i.V.m. § 19 Abs. 2 S.3 BDSG uns den Informationsstand und das Ergebnis oder hilfsweise das Zwischenergebnis des Beschwerdeverfahrens bei der federführenden Aufsichtsbehörde in Belgien mitzuteilen. Nach § 19 Abs. 2 S. 3 BDSG soll dann, wenn wie hier die Verantwortliche in Deutschland keinen Sitz und keine Niederlassung hat, die Aufsichtsbehörde hier als empfangende Behörde dem Beschwerdeführer über das Ergebnis des Verfahrens informieren, d.h. soweit das Verfahren abgeschlossen ist, den Beschluss der Belgischen Aufsichtsbehörde mitteilen oder falls es noch nicht abgeschlossen ist, zumindest den Zwischenstand über die Erkenntnisse, die zur Datenpanne geführt haben.

Nach § 19 Abs. 2 Satz 3 BDSG weist der deutsche Gesetzgeber die nach der DSGVO zugewiesenen Aufgaben der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, kraft Gesetzes der “empfangenden Aufsichtsbehörde” zu. Das bedeutet, dass die Zuständigkeiten gebündelt werden, damit die Aufsichtsbehörde den Verletzten nicht an ausländische Aufsichtsbehörden verweisen kann. [Vermerk: Ausserdem ist sie zur Kooperation und Weiterleitung einer Beschwerde an die federführende Aufsichtsbehörde in der EU verpflichtet, At. 60ff DSGVO]. Damit verleiht das BDSG dem Grundgedanke der DSGVO, dass der Betroffene bei der Aufsichtsbehörde seiner Wahl in Deutschland Beschwerde einlegen kann, damit er nicht auf eine Aufsichtsbehörde im Ausland verwiesen werden kann, ihre Wirkung (vgl. sinngemäß so auch Hellmich in Taeger/Gabel, DSGVO.BDSG, 3. Auflage, Rn. 7 zu BDSG § 19 m.w.N.). Das bedeutet, dass das HBDI vorliegend die Kommunikationsaufgaben, sprich Information über das Ergebnis des Verfahrens oder bei überlanger Dauer wie hier zumindest den Stand und Zwischenergebnis des Verfahrens zu unterrichten hat. Wäre der Betroffene auf die Durchsetzung von Informations- und Akteneinsichtsersuchen bei der ausländischen federführenden Behörde angewiesen, würde dies dem Grundgedanken der DSGVO widersprechen, die aus Gründen der Fairness und des europarechtlichen Grundgedankens des effet utile die praktische Durchsetzung seiner Informations- und Abwehrrechte gegen unrechtmäßige Verarbeitungen überhaupt erst ermöglichen sollen. Dies ist gerade bei grenzüberschreitenden Datenverarbeitungen, die hier auch die Kreditkartenumsätze umfassen, die zweckentsprechend zum Gutschreiben der Coins im Bonusprogramm automatisch abgeglichen und somit miteinander vernetzt gewesen sein dürften, nur praktisch möglich, wenn § 19 Abs. 2 S. 3 BDSG wie vom Gesetzgeber beabsichtigt, dem Betroffenen die deutsche Aufsichtsbehörde sichert, auch wenn federführend eine ausländische Aufsichtsbehörde zuständig ist nach den Art. 60ff DSGVO.

Nach nochmaliger Prüfung der Sach- und Rechtslage ist es demnach nicht statthaft, die Beschwerdeführerin auf die ausländische federführende Aufsichtsbehörde vorliegend zu verweisen oder bis zum rechtskräftigen Abschluss etwaiger Zivilklagen mit dem Bericht das Verfahren auszusetzen.

Wie dargelegt, besteht der Verdacht, dass Mastercard Europe SA oder deren Auftragsverarbeiter die Datenpanne durch unzureichende Datensicherheitsmassnahmen nach Art. 32 DSGVO z.B. durch ein unsicheres Administratorpasswort eines Auftragsverarbeiters, das höchstwahrscheinlich entdeckt worden wäre, wenn die nach der PCI-DSS v3.2.4 abrufbar in Deutsch und in Englischer Sprache unter https://www.pcisecuritystandards.org/document_library auf S. 128 vorgeschriebenen Penetrationstests alle 6 Monate durchgeführt worden wären.
Auf S. 128 der vorgenannten Payment Card Informationsystem Data Security Standards heisst es unter 11.2.4.1. “Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least every six months and after any changes to segmentation controls/methods.”
Diese Vorgabe ist nach meinen Informationen seit Februar 2018 in Kraft und die Einhaltung der PCI-DSS waren hier wegen der Vernetzung mit dem Zahlungssystem zwischen Mastercard und Brain Behind auch vereinbart.

Mastercard hat keine Auskunft über die genauen Empfänger der Brain Behind Gruppe erteilt (also wer genau wo aus der Gruppe die Kundendaten für das Bonusprogramm verarbeitet hat), sodass Name und Anschrift des Auftragsverarbeiters, bei dem die Datenabfluss stattgefunden hat z.B. wegen unzureichender Schutzmassnahmen und Penetrationstests hier nicht vorliegen. Handelt es sich um die aus dem Imprint von brain-behind.com veröffentlichte Brain Behind Ltd?
Die Anschrift dort ist laut Impressum (Inprint):
Brain Behind Ltd.
30 Moorgate
London, EC2R 6PJ, United Kingdom
xxxxxxxxxx
Phone: +44xxxxx

Ist es korrekt, dass dort ein unsicheres Administratorpasswort den Zugriff auf die geleakten Kundendaten aus dem Mastercard Priceless Specials Databreach in 2019 durch unbekannte Dritte ermöglicht haben?
Dies müsste doch unzureichende Datensicherheitsmassnahmen indizieren, weil für das Bonusprogramm laut unseren Informationen zwischen Mastercard Inc oder Mastercard Europe SA für das Mastercard Priceless Specials die Einhaltung der Sicherheitsmassnahmen nach den Vorgaben der PCI-DSS vereinbart war. Letztere sehen alle 6 Monate Penetrationstests vor.

Die fehlende Auskunft über den Empfänger entgegen Art. 15 Abs. 1 c DSGVO dürfte ebenfalls ein Verstoß beinhalten, denn Mastercard hat dazu keine Auskünfte erteilt, weder in der Datenschutzerklärung noch in der Meldung zur Datenpanne noch nachdem sie zur Auskunft aufgefordert wurde und hat Ende 2019 nur pauschal auf die Datenschutzerklärung verwiesen und ein Verschulden zurückgewiesen. Mit vagen Auskünften, es seien die Daten in Grossbritannien von einem Auftragsverabeiter verarbeitet worden, kann der Verletzte nichts anfangen. Der Begriff des Schadens [und die Auskunftsansprüche des Betroffenen nach den 12ff. DSGVO) sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Der Beschwerdeführerin ist auch ein immaterieller und ein materieller Schaden i.S. von Art. 82 Abs. 1 DSGVO entstanden. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht (ErwG 146 S.3 DSGVO). Zum Schaden gehört im Lichte der Grundfreiheiten auch der Kontrollverlust, der entsteht, wenn bei einer Datenpanne nicht der Verletzte informiert wird, wie es zu der Datenpanne kam und bei wem die Daten, insbesondere Empfänger/Auftragsverarbeiter der Verantwortliche die Kundendaten hat verarbeiten lassen. Der Betroffene (Verletzte i.S. der DSGVO) hat sonst nicht die Möglichkeit, ggfs. auch gegenüber dem Auftragsverarbeiter mangels Namen und Anschrift seine Rechte geltend zu machen, z.B. eine Streitverkündung im Zivilrechtsstreit zu ermöglichen oder Auskunftsansprüche nach Art. 15 DSGVO geltend zu machen. Nach überwiegender Auffassung der Kommentarliteratur muss sinnvollerweise also der Auftragsverarbeiter konkret nach einer Datenpanne benannt werden, identifizierbar und das hat Mastercard gegenüber der Beschwerdeführerin nicht getan. Es ist auch nicht eindeutig anhand Ihrer Auskünfte ersichtlich bisher. Die Mastercard Priceless Specials Germany Bonusprogramm hinterlegte Mastercard Kreditkarte von xxxxx xxx wurde wie in der Beschwerde dargelegt von ihrem Kreditinstitut aus Anlass der streitgegenständlichen Datenpanne vorsorglich im September 2019 gesperrt und ausgewechselt. Auch der Kontrollverlust bei einer unbefugten Weitergabe oder wie hier sogar Veröffentlichung durch anonyme Dritte ist ein Schaden [Vermerk: 85 S.2 ErwG: Die Menschen sollten die Kontrolle über ihre Daten besitzen und sich effektiv gegen unrechtmäßige Datenverarbeitung schützen können vgl. ErwG 7 der DSGVO.] Hier ist der Verdacht begründet, dass neben den Kontaktdaten auch die Kreditkartenumsätze geleakt worden waren, die eine Profilbildung ermöglichen. Zudem konnte sie infolge der Kreditkartenauswechselung zwar einer möglicherweise drohenden Kreditkartenbetrug verhindern, aber wegen des inzwischen gesperrten Portals keine weiteren Coins mit der neuen
Kreditkarte sammeln, weil die neue Mastercard nunmehr nicht mehr auf der gesperrten Seite des Mastercard Priceless Specials Programms hinterlegt werden konnte.

Bitte erteilen Sie bitte daher nunmehr die Auskünfte über das Ergebnis oder zumindest Zwischenstand der Ermittlungen, wer und was zu der Datenpanne geführt hat. Rein vorsorglich rüge ich nochmals auch nach § 46 OwiG i.v.m. § 198 GVG, dass ansonsten der Beschwerdeführerin ein weiterer Schaden entsteht, wenn sie gegenüber Mastercard und Brain Behind mangels ausreichender Auskünfte nicht ihre Rechte auf Schadenersatz auf dem Zivilrechtswege durchsetzen kann.
Wegen der Vielzahl der Betroffenen und Beschwerden dürfte es hier auch nicht unverhältnismäßig sein, wenn das HBDI diese Auskunft den Betroffenen Beschwerdeführern erteilt.
Würde Mastercard sich mit pauschalen Schutzbehauptungen bei einer Datenpanne wie geschehen wehren können, ohne transparente Informationen über das Ergebnis der Ermittlungen zur Datenpanne zu leisten gegenüber den geschädigten Kunden, dann hätte das verheerende Signalwirkung.

Freundliche Grüße

Stefanie Hagendorff
Rechtsanwältin

Am Straßbach 2
(Eingang Pfingstweide)
D-61169 Friedberg (Hessen)

Am 20.10.2020 um 08:41 schrieb x@datenschutz.hessen.de:
> Sehr geehrte Frau Rechtsanwältin Hagendorff,
>
> zu der Beschwerde von xxx sind in der Akte lediglich Ihr Beschwerdeschreiben vom 20.12.2019, Ihre weitere Email vom 23.07.2020 und meine Antwort vom 28.07.2020 enthalten. Der Akteninhalt liegt Ihnen daher vollständig vor. Sollten Sie dennoch ihren Antrag auf Akteneinsicht aufrechterhalten, bitte ich um einen Hinweis.
>
> Mit freundlichen Grüßen
> Im Auftrag ….
> ——————————————————————————–
> Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
> Gustav-Stresemann-Ring 1
> 65189 Wiesbaden
————

Kategorien
Blogroll Datenschutzrecht Internetrecht Uncategorized Vertragsrecht

Datenschutz in Unternehmen: Viel zu tun wegen der DSGVO – Tipps für KMU

Wenn es in diesen schwierigen Tagen um Prozesse und Datenschutz in Unternehmen geht, gerade solche mit vielen Prozessen und in großen Unternehmensgruppen, stellen diese fest: das ist nicht so einfach, die Prozesse anzupassen und soweit möglich umzustellen. Es muss aber leider sein. Die Auftragsverarbeitungsverträge (AV Verträge) mit Partnern müssen überprüft werden, ggfs. sind sie seit 05/2018 oftmals nicht mehr DSGVO-konform und es drohen sehr hohe Haftungsrisiken, die nach Art. 83 DSGVO je nach Verstoss von 2 % bis zu 4 % der weltweiten Umsatze der Unernehmensgruppe betragen köennen. Es ist daher trotz der Schwerfälligkeit der Behörden keine gute Idee, diese Risiken tatenlos einzugehen – es gilt die altbewährte Regel: die Behörden sind zwar langsam, aber wenn sie dann auf den Plan gerufen sind, können sie ggfs. recht gründich sein aufgrund der hoheitlichen erweiterten Eingriffs- und Nachschaubefugnisse, die nun seit 2018 im Datenschutzrecht den Aufsichtsbehörden nach der DSGVO zuerkannt worden sind. Im Zweifel greift auch keine Versicherung bei grobfahrlässiger Vernachlässigung von Pflichten zum Datenschutzmanaement nach den Art. 5, 24, 26, 28, 30, 32 DSGVO und den daraus sich ergebennden Pflichten, die prozesse im Hinblick auf den Datenschutz vorher zu prüfen, anzupassen, datenschutzfreundlich zu gestalten und das zu dokumentieren… Ferner gibt es die seit 2018 neue Rechtsfigur der sog. gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO, die Auftragsverarbeitungsverträge zwischen den gemeinsam Verantwortlichen Partnern ausschliesst. Auch hier sind Verträge in vielen Unternehmensgruppen oder Partnerschaften anzupassen.
Wenn Sie als Unternehmen nur Auftragsverarbeitungsverträge haben obwohl teilweise richtigerweise gemeinsame Verarbeitungen vorliegen und daher Vereinbarungen nach Art. 26 DSGVO anstatt von AVs erforderlich sind oder ggfs. nicht ausreichende Datenschutzvereinbarungen mit Ihren Partnern geschlossen haben, sollten diese überprüft werden und gibt es Handlungsbedarf, wenn das nicht richtig passt. Dann kann es sein, dass dringender Handlungsbedarf besteht, weil die falschen Verträge geschlossen wurden und die Prozesse falsch bewertet worden sind, das ist dann dringend zu ändern (wegen der Höhe der Haftung). Das sollte dann besser anwaltlich abgeklärt und nachgebessssert werden. Denn: In einigen Fällen handelt es sich nach den Kriterien von Art. 4 i.V.m. Art. 26 DSGVO bei der Verarbeitung von Nutzer- oder Kudnendaten bzw. Mitarbeiterdaten (jedenfalls personenbezogenen Daten), um eine gemeinsame Verantwortlichkeit, auch wenn Sie keinen Zugriff auf die Nutzer- oder Kundendaten haben – dazu gab es in 20. Das iste ein häufiger Irrtum – so die eindeutige Rechtssprechung des EUGH in den Verfahren daß diese nicht die nach Art. 26 DSGVO erforderlichen Voraussetzungen erfüllen. D. h. dann Uups – statt einer Kooperationsvereinbarung bzw. „joint controller agreement“ nach Art. 26 DSAGVO nur einen Auftragsverarbeitungsvertrag (AV Vertrag) nach Art. 28 DSGVO abgeschlossen oder nur irgendwelche unzureichende Datenschutzvereinbarungen geschlossen? Das bereitet einigen Unternehmen massive Probleme haftungsrechtlicher Art, sei es im Verhältnis zu Partnern, Kunden oder Mitarbeitern oder bei Beschwerden oder Schadenersatzklagen nach Art. 82 DSGVO auch aufgrund deren Klagen für die Unternehmen. …. Denn das alte Bundesdatenschutzgesetz (BDSG) in der alten vor dem Mai 2018 geltenden Fassung kannte die Rechtsfigur der gemeinsamen Verantwortlichkeit in Deutschland nicht. Daher gab es hier andere vertragliche und datenschutzrechtliche Konzepte. Nunmehr poppt immer mehr auf, dass aufgrund der Art- 26 DSGVO i.V.m. Art. 6, 24 DSGVO in allen Fällen, in denen gem. Art. 4 DSGVO jemand gemeinsam Verantwortlicher ist mit Partnern, eine solche Regelung nach Art.26 DSGVO schliessen muß und das auch den Betroffenen im Wesentlichen in den Datenschutzhinweisen offenlegen muss, insbesondere damit der weiss, wer für welche Datenverarbeitungen bei dieser Kooperation zuständig ist. Das ist für die Unternehmen ungewohnt, wird nun aber zunehmend viel Aufwand bei der Umstellung von Prozessen in Anspruch.
Die Prozesse sind hier komplex und daher kann ich hier in dem Blogbeitrag keine Standardlösungen aufzeigen. Soweit die Aufsichtsbehörden meinen, dass aufgrund des Wegfalls des US-Privacy Shields als Rechtfertigung für die Übermittlung an US-Dienstleister dies „zeitnah“ so der EDSA und die DSK umzusetzen seien – was immer das heisst, wird es eine kurze Umsetzungsfrist geben, deren Dauer unklar ist. Wenige Wochen oder Monate wird das abdecken. Viele Unternehmen können nicht alle Dienste sofort umstellen, sondern es gibt Dienste, die zumutbar nicht kurzfristig verzichtbar sind und deren Umstellung auf andere Anbieter Zeit braucht. Es wird dazu gerichtliche Streitigkeiten geben, ob und wie lange das erforderlich war… und wer nichts gemacht hat und diese Umstände nicht darlegen kann, dass er sich bemüht hat, dem werden sehr hohe Abmahnstrafen/Vertragsstrafen/Rufschaden und/ oder Bussgelder der Datenschutzaufsichtsbehörden nach Art. 83 DSGVO in Höhe von bis zu 4 % der Umsätze der Unternehmensgruppe drohen, je nach Art und Schwere der Verstösse und / oder Schäden der Betroffenen, und dies ins Risikokalkül aufzunehmen haben. Schadenersatzansprüche haben nach Art. 82 DSGVO aktuell in der Rechtssprechung ebenfalls stark aufsteigende Tendenz, weil dies nach Art. 82 DSGVO gemessen an dem bisherigen Datenschutzrecht auch gar nicht mehr von den Richtern vertretbar wäre. Entsprechend gab es bereits Urteile, die allein für die unzureichende Auskunft entgegen Art. 15 DSGVO 5000 Euro Schadeneresatz zuerkannt haben (ArbG Düsseldorf) und sind weitere Verfahren bei verschiedenen deutschen Amts- und Landgerichten anhägig, in denen sich ähnliches abzeichnet. Es ist also nur eine Frage der Zeit, dass hier Schadenersatzklagen wegen ihrer Masse und ggfs. auch ihrer Höhe ernst zu nehmen sind. Dabei werden Director & Officers Versicherungen nicht eintreten, wenn grob fahrlässiges Verhalten vorliegt. Das ist der Fall, wenn Pflichten der DSGVO nach Art..24 DSGVO verletzt worden sind, d.h. falsche Verträge ohne ordnungsgemäßes Datenschutzmanagement geschlossen werden, die Prozesse nicht richtig in Verarbeitungsverzeichnissen nach Art. 30 DSGVO angeschaut und laufend aktualisiert worden sind und nicht nach Art. 24 DSGVO je nach Risiko die angemessenen Massnahmen organisiert worden sind. Je nach Lage sind dann zur Qualifizierung der Prozesse erforderlich, ob Datenschutzkonzepte, Löschungskonzepte, Auftragsverarbeitungsverträge nach Art- 29 DSGVP oder Joint-controller-agreements nach Art. 26 DSGVO erforderlich sind bei Einschaltung von Dienstleistern mit den jeweils dort vorgeschriebenen Regelungen.

Kategorien
Blogroll Datenschutzrecht Internetrecht Markenrecht Medienrecht Online-Handel Schadensrecht Uncategorized Verbraucherschutz Vertragsrecht Wettbewerbs- und Werberecht

Was sind die Spezialgebiete eines Fachanwalts für IT-Recht?

Fachanwälte müssen auf den jeweiligen Fachgebieten praktische Erfahrung nachweisen und sich jährlich qualifiziert fortbilden. Das tue ich und möchte näher beschreiben, was das bedeutet.
Die Fachanwaltsordnung Stand 1.1.2020 definiert das Fachgebiet Informationstechnologie für Fachanwälte wie folgt (meine Schwerunkte habe ich fett gekennzeichnet):
§ 14k der Fachanwaltsordnung – Nachzuweisende besondere Kenntnisse im Informationstechnologierecht Für das Fachgebiet Informationstechnologierecht sind besondere Kenntnisse nachzuweisen in den Bereichen:
1. Vertragsrecht der Informationstechnologien, einschließlich der Gestaltung individueller Verträge und AGB,
2. Recht des elektronischen Geschäftsverkehrs, einschließlich der Gestaltung von Provider-Verträgen und Nutzungsbedingungen (Online-/Mobile Business),
3. Grundzüge des Immaterialgüterrechts im Bereich der Informationstechnologien, Bezüge zum Kennzeichenrecht, insbesondere Domainrecht,
4. Recht des Datenschutzes und der Sicherheit der Informationstechnologien einschließlich Verschlüsselungen und Signaturen sowie deren berufsspezifischer Besonderheiten,
5. Das Recht der Kommunikationsnetze und -dienste, insbesondere das Recht der Telekommunikation und deren Dienste,
6. Öffentliche Vergabe von Leistungen der Informationstechnologien (einschließlich e-Government) mit Bezügen zum europäischen und deutschen Kartellrecht,
7. Internationale Bezüge einschließlich Internationales Privatrecht,
8. Besonderheiten des Strafrechts im Bereich der Informationstechnologien,
9. Besonderheiten der Verfahrens- und Prozessführung.
 Es handelt sich derzeit um ein besonders herausforderndes Gebiet mit hohen Risiken und Herausforderungen für die praktische Umsetzung und erfogreiche Durchsetzung bzw. Abwehr bei Streitigkeiten in diesem Bereich.

Kategorien
Uncategorized Verbraucherschutz Vertragsrecht

#Widerrufsrecht bei Verträgen über individuelle Abzüge mit Luftbildaufnahmen

Das Oberlandesgericht Brandenburg hat am 14.11.2017 entschieden, daß Verträge mit Privatleuten, die außerhalb der Geschäftsräume des Anbieters über Abzüge von Luftbildaufnahmen ihres Hauses zustandegekommen waren, ein Widerrufsrecht nach § 355 BGB haben. Werden sie dazu falsch über ihr Widerrufsrecht belehrt, wird die 14 Tagesfrist nicht in Gang gesetzt, sondern ist der Vertrag 1 Jahr und 2 Wochen lang ab Erhalt der Ware widerruflich. Der Anbieter war der Meinung, das Widerrufsrecht sei hier nach § 312g Abs. 2 Nr. 1 BGB  ausgeschlossen und hatte Widerrufserklärungen der in ihrem Hause überrumpelten Hausbesitzer nicht akzeptiert. Dagegen ging eine Verbraucherzentrale mit Abmahnung und Unterlassungsklage vor. Das Oberlandesgericht hat darauf hingewiesen, daß die Luftbildaufnahmen der Häuser der Käufer ja gerade bereits vorher gefertigt und die nach Art und Gestaltung bestellten Abzüge der Käufer nur als unwesentliche Nebenleistung erscheine, die keinen besonderen Schutz des Anbieters gegenüber dem Verbraucher rechtfertige wie etwa ein Verkäufer, der eine Ware extra nach individuellen Wünschen für den Käufer anfertige.

Das Urteil Brandenburgisches Oberlandesgericht, Urteil vom 14. November 2017 – 6 U 12/16 – ist noch nicht rechtskräftig, da ein Revisionsverfahren beim Bundesgerichtshof anhängig ist (BGH: VIII ZR 277/17).

Kategorien
Internetrecht IT-Strafrecht Online-Handel Uncategorized Vertragsrecht

#Werbevideos und #Vertragsfallen

Das Internet ist voller engagierter Experten, die uns euphorisch erklären, wie wir angeblich kinderleicht von zuhause ein erfolgreiches Online-Business aufziehen können. Auf tollen Events mit sympathischen, dynamischen Referenten wird den Interessenten rhetorisch perfekt und überzeugend vermittelt, sie könnten von dem erfolgreichen Jungunternehmern lernen, wie man “ganz einfach” ebenfalls ein erfolreiches Online-Business aufbaut – ohne Vorkenntnisse. Man müsse nur die vielen Videos, Webinare und Anleitungen durcharbeiten und das umsetzen, dann sei das kinderleicht. Wenn man nicht zurechtkomme, helfe auch noch ein Online-Support-Team. In den Videos und telefonisch per Videotelefonie oder Messenger versprechen die freundlichen Mitarbeiter des Referenten auch, dass man 30 Tage oder 5 Wochen eine Zufriedenheitsgarantie bekomme. “Du erhälst garantiert dein Geld zurück, wenn Du nicht zufrieden bist und kannst den Vertrag widerrufen.”, sagen sie dir. Leider hast Du aber keinen schriftlichen Vertrag, hast aber ganz euphoisch schon mal die erste Rate gezahlt, um endlich starten zu können. Nachdem du gezahlt hast, ist das Video weg. E-mails enthalten keine echten Daten, die die Identität der Vertragspartner verschleiern. Webseiten kannst Du auch nicht mehr finden. Spätestens jetzt ist recht klar: Du bist in eine Vertragsfalle geraten. Du hast keinen Vertrag, in dem die Widerrufsfrist und Zufriedenheits-Geld-Zurück-Garantie geregelt und die Identität des anderen verifiziert wäre. Solche und ähnliche Maschen sind leider bei geschäftlich unerfahrenen Menschen erfolgreich, weil diese mit einem zu geringen Einkommen leben müssen und durch die geschickt gemachten Videos und Webinare Hoffnung schöpfen, einen Weg zu finden, sich “online” ein “Business” aufzubauen. Tatsächlich ist es natürlich nicht so einfach und fehlen klare Verträge, um die Zufriedenheitsgarantie bei Widerruf durchzusetzen und das Geld zurückzubekommen.

Tipps für Betroffene:

  1. Wem das passiert ist und Zahlungen geleistet hat, sollte umgehend ein Widerrufsschreiben an den Anbieter senden und hilfsweise wegen Täuschung anfechten und das Geld zurückverlangen – auch wenn das oft nicht erfolgreich ist, weil die Durchsetzung davon abhängt, ob Betroffene es schaffen, die Zusagen und Frist der “Zufriedenheitsgarantie” irgendwie zu belegen.
  2. Es gibt manchmal noch die Chance, über den Käuferschutz bei dem Bezahldienst z.B. bei Paypal innerhalb von 180 Tagen das Geld zurückzuerhalten. Dazu muß man sich an den Bezahldienst wenden, über den man die Zahlung geleistet hat. Bei Paypal sind die AGB und die Käuferschutzrichtlinien zu beachten. Es kommt darauf an, ob der Käuferschutz nach den Paypal-Käuferrichtlinie im konkreten Fall ausgeschlossen ist und dies hängt von den Umständen des konkreten Falls ab. Beispielsweise ist er bei Ratenzahlungen oft ausgeschlossen. Betrugsopfer, die Zahlungen in der Zeit 2004 bis 19.1.2017 (nicht später) über Western Union geleistet haben, bietet Western Union Erstattung an. Nähere Informationen finden Betroffene bei Western Union hier.
  3. Die Angebote der genannten Anbieter dieser tollen Vertriebsprodukte enthalten meist keine klaren Verträge. Belege muß man sich daher indirekt beschaffen, wenn man Geld zurückbekommen möchte. Man muß aber nicht kampflos aufgeben, wenn man taktisch und konsequent vorgeht. Die Zusagen dürften sinngemäß auf einen Handelsvertretervertrag im Sinne der §§ 84 folgende Handelsgesetzbuch hinauslaufen. Das Wort “Vertrag” oder “Handelsvertreter” nimmt der Speaker allerdings niemals in den Mund. Juristisches und “Papierkram” wird von ihm vermieden. Dabei hat man als “Käufer” eines solchen digitalen Vertriebsprodukts Anspruch auf eine Vertragsurkunde nach § 85 HGB. Will der Anbieter mit seinem Vertriebssystem weitermachen, wird er vielleicht auf Sie eingehen, wenn Sie so auf ihn Druck ausüben.
  4. An Strafanträge wegen gewerblichen Betrugs ist auch rechtzeitig zu denken. Sie sind bei Antragsdelikten innerhalb von 90 Tagen beim Staatsanwalt einzureichen, sonst verfolgen die Strafverfolgungsbehörden nur bei “öffentlichem Interesse”. Die Frist sollten Sie beachten. Strafanträge dürfen aber nicht leichtfertig gestellt werden, sonst droht am Ende eine Kostenpflicht des Anzeigenden nach § 469 Strafprozessordnung – StPO.
    Wenn Sie anwaltliche Beratung wünschen, kontaktieren Sie mich hier für einen Termin oder fordern Sie eine Online-Erstberatung an.

 

Kategorien
Internetrecht Verbraucherschutz Vertragsrecht Wettbewerbs- und Werberecht

#Vertragsfallen #Versteckte Preiserhöhung unwirksam (OLG Frankfurt Urteil vom 19.10.2017)

Das OLG Frankfurt untersagt WinSim (Drillisch Online AG) aus Maintal eine Praxis, mit der Kunden im Anhang an eine E-Mail /SMS eine versteckte Preiserhöhung erhielten, der lediglich einen betitelt war mit „Neue Informationen in Ihrem WinSim-Online-Postfach“.

Anbieter versuchen teilweise mit unlauteren Mitteln Preiserhöhungen oder Vertragsverlängerungen gegenüber ihren Kunden durchzusetzen. So hat aktuell das Oberlandesgericht Frankfurt einem Unterlassungsantrag gegen Winsim stattgegeben. Winsim –eine Marke der Drillisch Online GmbH im Verbund von Telefonica – hatte versucht eine Preiserhöhung durchzusetzen, indem sie per E-Mail und SMS lediglich auf „Neue Informationen in Ihrem Postfach“ hingewiesen hatten und aufgefordert diese im Online-Bereich abzurufen. Tatsächlich verbarg sich dahinter eine versteckte Preiserhöung für die Mobilfunktleistungen, die dann nach den AGB von WinSIm wirksam werden sollte, wenn nicht innerhalb einer kurzen Frist der Kunde widerspricht. Da dies aber keine wirksame „Mitteilung“ der Preiserhöhung ist, so bescheinigten auch die Richter des Oberlandesgerichts, war sie nicht wirksam und die gleichwohl berechneten höheren Entgelte irreführende unlautere geschäftliche Handlungen.

Natürlich setzte WinSim darauf, dass die meisten Kunden die auf diese Weise versteckte Preiserhöhung übersehen oder sich jedenfalls nicht wehren.

Hauptleistungspflichten wie der Preis dürfen aber nicht in AGB versteckt werden, sonst handelt es sich nicht um eine überraschende und damit unwirksame Regelung.

Betroffene Kunden können daher die Gutschrift der zuviel abgebuchten Beträge verlangen. Das Urteil des OLG Frankfurt vom 19.10.2017 – 6 U 110/17 ist rechtskräftig und unlautere Methoden dieser Art sollten sich die Kunden nicht gefallen lassen. Leider sind Fälle dieser Art kein Einzelfall.

Wenn Sie anwaltliche Hilfe in Fällen dieser Art benötigen, kontaktieren Sie mich.

Kategorien
Blogroll e-Learning Fernunterricht Internetrecht Verbraucherschutz Vertragsrecht

Online-Seminare und das Fernunterrichtsgesetz

(Update 09.2.2022): Online-Seminare boomen. Doch der Paragrafendschungel in Deutschland ist für die Anbieter dicht. Es gibt hier einige Hürden und rechtliche Risiken, wenn es sich um Fernunterricht im Sinne des Fernunterrichtsschutzgesetzes (kurz FernUSG) handelt und sich an deutsche Privatkunden als Teilnehmer richtet. Das ist bei Live-Webinaren oder Online-Seminaren ohne Lernerfolgskontrolle, also ohne Abschluss oder Zertifikat für Absolventen nicht der Fall, aber für die anderen in der Regel schon. Wenn es ein Fernunterrichtsvertrag ist, dann muss der Lehrgang nach § 12 FernUSG von der ZFU zugelassen werden und in Textform von Seiten des Teilnehmers abgeschlossen werden. Die ZFU ist die deutsche “Staatliche Zentralstelle für Fernunterricht”, die die Qualität der Seminare zum Schutze der Teilnehmer in dem Zulassungsverfahren überprüfen soll bzw. überprüft. Wird ein Fernunterrichtsvertrag ohne ZFU-Zulassung angeboten,  ist er nach dem Fernunterrichtsgesetz nichtig und kann der Teilnehmer etwaige Anzahlungen zurückverlangen. Zudem muß die Anmeldung des Teilnehmers nach § 3 Absatz 1 FernUSG Textform also elektronisch z.B. mit Bestätigung per E-mail erfolgen, darf nach dem FernUSG die Haftung nicht eingeschränkt und der Gerichtsstand am Wohnsitz des Teilnehmers nicht abgeändert werden. Es handelt sich also um ein sehr stark reguliertes Gebiet, bei dem Anbieter einiges beachten müssen, um diese Herausforderungen erfolgreich zu meistern. Nicht zuletzt sind Anbieter, die diese Vorgaben nicht einhalten, in Gefahr, von Wettbewerbern wegen unerlaubtem Wettbewerb oder nach dem Unterlassungsklagegesetz von Verbraucherschutz-Vereinen auf Unterlassung in Anspruch genommen zu werden.

update: Gesetzgeber hat die Anforderung “Schriftform” glücklicherweise in 2021 in § 3 Abs. 1 FernUSG in “Textform” geändert, d.h. der Vertragsschluss über eine Plattform mit Bestätigung per E-mail reicht aus, wenn der Kunde den Vertrag z.B. mit Inhalt per E-mail hat. Ob die Schriftform der Anmeldung und Gerichtsstand am Wohnort des Teilnehmers noch zeitgemäß sind,  gerade wenn ein Lehrgang und Training fachspezifisch online stattfindet und grenzüberschreitend in mehreren Ländern oder sogar weltweit angeboten werden soll, ist zweifelhaft. Fraglich ist die Zulassungspflicht aber auch deshalb, weil somit bei einem in Deutschland sitzenden Anbieter auch Auslandskunden nach § 26 FernUSG dann im Heimatland klagen könnte und müßte. Das Gesetz stammt aus dem Jahr 1976!, einer Zeit, als die Post noch zuverlässig funktionierte und es noch kein Internet gab. Inzwischen ist es wohl fragwürdig, weil dies in Zeiten des Internets teilweise den Effekt hat, daß die Anbieter im fernen außereuropäischen Ausland erleichterte Bedingungen haben und dies wohl kaum dem Zweck des Gesetzes entspricht, die Teilehmer vor untauglichen Lehrgangsanbietern zu schützen.

Deutschen Teilnehmern ist auf jeden Fall zu raten, darauf zu achten, wo der Anbieter seinen Sitz hat und ob ein Online-Seminar-Anbieter, der eine Lernerfolgskontrolle und Zertifikat nach erfolgreichem Abschluß verspricht, tatsächlich für das Seminar eine ZFU-Zulassung hat. Auch wenn der Anbieter seinen Sitz im europäischen Ausland hat, kann er nicht wirksam mit einer Rechtswahlklausel in den Allgemeinen Geschäftsbedingungen zwingendes Verbraucherschutzrecht seines deutschen Kunden ausschließen und so die Vorgaben umgehen. Zwingendes Verbraucherschutzrecht am Wohnsitz des Privatkunden geht nämlich nach Artikel 6 der Rom-I-EU-Verordnung auch bei grenzüberschreitenden Verträgen in der EU vor.

Kategorien
Blogroll Schadensrecht Verbraucherschutz Vertragsrecht

LG München II: Manipulationssoftware in VW Golf berechtigt zum Rücktritt

Erfreulich deutliche Worte hat der Richter am Landgericht München II (Urteil vom 15.11.2016 Az. 12 O 1482/16 in einem Fall zum VW-Abgasskandal gefunden, bei dem der Vorsitzende entschieden hat, dass der Käufer die Rückzahlung des Kaufpreises (abzüglich einer Minderung durch die Fahrleistung hier 13.697,66 €) Zug um Zug gegen Rückgabe des VW Golf Finxxxxxx  verlangen kann und er auch von seinen vorgerichtlichen Anwaltskosten für die Rücktrittserklärung mit Begründung in Höhe von 1.059,10 € freizustellen ist.

Zwar war die Anfechtungserklärung nicht wirksam, da die Händler selbst nicht getäuscht haben, aber wegen der Manipulationssoftware, die in Prüfsituationen den Abgasprüfern falsche Abgaswerte des Fahrzeugs simuliert, ist das Fahrzeug mangelhaft, nachdem sogar bis zum Ende der mündlichen Verhandlung unklar blieb, ob das Fahrzeug nach Reparatur und Änderung der Software wieder zulassungsfähig ist. Diese Unklarheit ist für den Käufer nicht zumutbar, daher war er – wie der Richter richtig entschieden hat – zum Rücktritt vom Kaufvertrag berechtigt.

Der Händler bzw. die Herstellerin als Beklagte zu 2 hat sich somit erfolglos damit zu verteidigen versucht, dass die Software dem „Stand der Technik“ entspreche, denn unstreitig gibt es Fahrzeuge, die ohne eine entsprechende Manipulationssoftware zu den vorschriftsmäßigen Abgaswerten kommen. Das Gericht führt dazu in der Begründung erfreulich klar aus:

„…Soweit die Beklagte zu 2) der Auffassung ist, dass es sich bei der verbauten Software um keine „Abschalteinrichtung“ im Sinne von Art. 3 Nr. 10 VO (EG) Nr. 715/2007 handelt…. Ist dies offensichtlich unzutreffend….Denn die Software ermittelt Parameter zum Erkennen des Strassenbetriebs und schaltet hierfür die AGR (= Abgasrückführung) ab….“

Schummelsoftware ist also mangelhaft im Sinne des Kaufrechts. Das wäre endlich geklärt und freut mich als IT-Fachanwältin umso mehr, wenn das endlich auch mal klar gerichtlich bestätigt wird. Für viele Tausend von den Prospektangaben getäuschte VW-Kunden bleibt zu hoffen, dass das Urteil rechtskräftig wird. Wozu haben wir zum Schutz der Umwelt Abgaswerte, wenn Hersteller und Händler und ihre in diesem Fall wohl skrupellosen Softwareentwicklern mit sowas durchkommen würden. Tun sie zum Glück nicht. Zwar war die Klage gegen VW als Herstellerin selbst nicht erfolgreich, weil zu ihr kein Vertragsverhältnis besteht und auch eine Prospekthaftung ausscheidet, aber der Händler kann ja beim Hersteller als Lieferanten Rückgriff nehmen.