Kategorien
Blogroll Datenschutzrecht Internetrecht Schadenersatzrecht Schadensrecht

Handlungsempfehlungen aus Anlass der DSGVO-Abmahnwelle wegen Google Fonts

Handlungsempfehlungen zum richtigen Umgang mit den #Abmahnungen wegen Google #Webfonts #DSGVO #Webseitenchecks #Abmahnwelle

Hintergrund: Webfonts sind Schriften, die für Webseiten entweder lokal auf den eigenen Webservern gespeichert sind oder dynamisch bei Google, Adobe oder anderen Anbietern kostenlos abgerufen werden können. Letzteres ist eindeutig nicht vereinbar mit der DSGVO und § 25 TTDSG (dem deutschen Datenschutzgesetz für Webseitenbetreiber), weil dann beim Aufruf der Seite die Google Schriften von den dortigen Servern nachgeladen werden und hiermit personenbezogene Nutzerdaten unbefugt an Google gesendet werden. Seit Juni 2022 versenden einige Abmahner mit oder ohne Anwalt Aufforderungsschreiben an Firmen und Vereine, die eine Webseite betreiben und Google Dienste ohne Zustimmung des Nutzers bei Aufruf der Seite nachladen. Auslöser war ein Urteil des Landgerichts München, das einem Nutzer 100 Euro Schadenersatz nach Art. 82 DSGVO zugesprochen hat wegen datenschutzrechtswidrigem Nachladen von Google Diensten wie Webfonts von den Google Servern bei Aufruf der Webseite des beklagten Unternehmens. Dadurch werden Nutzerdaten wie die IP-Adresse und weitere Profildaten an die Google Server in die USA zum Abruf der dort gespeicherten Schriften nachgeladen. Dies ist nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG nicht zulässig, weil diese dynamische Einbindung der Schriften nicht technisch notwendig ist und Google zu großen Mengen an Daten darüber liefert, welche Nutzer wann welche Seiten im Internet aufgerufen haben. Inzwischen ist bekannt geworden, dass die Abmahner auch vor Gericht Widerspruch gegen eine einstweilige Verfügung des Landgerichts Baden Baden eingelegt haben und vor dem Landgericht Mosbach ein Klage auf Auskunft, Unterlassung und Schadenersatz eingereicht haben. Es ist also ab kommenden Jahr mit weiteren Gerichtsverfahren zu rechnen.

Sind die Abmahnungen berechtigt?:

Die meisten sind es nicht, aber eine verbindliche Einschätzung kann ich nur in Ihrem individuellen Einzelfall treffen. Bei den massenweise versendeten Abmahnungen einzelner Auftraggeber ist ein redlicher Anspruch jedenfalls hinsichtlich des Schadenersatzbegehrens nicht anzunehmen. [ update 22.12.2022: Inzwischen hat die Generalstaatsanwaltschaft Berlin wegen des Verdachts des Betruges im Falle der Abmahnwelle des Berliner Anwaltes L. zu Google Fonts im Auftrag der “IG Datenschutz” Hausdurchsuchungen durchgeführt und 346.000 Euro sichergestellt. Siehe Beitrag dazu hier ]

Aber der Nachweis des vorsätzlichen Rechtsmissbrauchs ist erfahrungsgemäß vor Gericht nicht einfach. Die Gerichte haben bei vergangenen Abmahnwellen oft argumentiert, viele Rechtsverletzungen erfordern viele Abmahnungen und die Pflicht zur Einhaltung lässt sich nicht wegdiskutieren. Zwar sind Abmahnungen dieser Art dann rechtsmissbräuchlich, wenn die Nutzer gezielt mit einem Webcrawler Webseiten aufsuchen, um die Betreiber zur Zahlung von Schadenersatz aufzufordern. Zeitungsartikel mit Berichten über #Abmahnwellen sind jedoch vor Gericht kein Beweismittel für die automatisierten Scans und die massenweise Versendung durch die gleiche Person. Zudem können Verbraucher ihre Ansprüche an Inkassodienstleister abtreten, damit diese gebündelt Schadenersatzforderungen durchsetzen können – das hat der Bundesgerichtshof zu wenigermiete.de und anläßlich anderer Sammelklagen in Verbrauchersachen entschieden.

Wenn aber ein einzelner Betroffener gezielt in gewerblichem Umfang massenweise Webseiten aufsuchen lässt, nur um den Schadenersatz als Einnahmen massenweise einzufordern, wird ein Rechtsmißbrauch anzunehmen sein. Denn dann geht es den Abmahnern nicht um die Wahrnehmung ihrer Rechte auf informationelle Selbstbestimmung nach der DSGVO, sondern um ein Geschäftsmodell zur Generierung von Einnahmen. Dies ist nach § 242 BGB rechtsmißbräuchlich und dürfte einen rechtswidrigen Eingriff in den Gewerbebetrieb des Seitenbetreibers sein. Deshalb sollten Sie den geforderten Schadenersatz – selbst wenn es „nur“ 170 Euro sind – nicht an die abmahnende Anwaltskanzlei bezahlen, sondern helfen, Beweise für die massenhafte Versendung durch einen Webcrawler zu sichern. Lassen Sie sich durch diese Bagatellbeträge nicht in die Irre führen, denn die Abmahner sammeln wahrscheinlich massenweise Gelder ein und werden wahrscheinlich auch klagen. Das haben andere Abmahnwellen nach meiner anwaltlichen Erfahrung im Bereich Urheberrecht oder Wettbewerbsrecht in den letzten Jahren gezeigt.

Handlungsempfehlungen:

1. Werfen Sie das Abmahnschreiben mit Umschlag und den Anlagen nicht weg, sondern geben Sie es lieber mir. Die Beweise für die massenweise Versendung sollten gesammelt werden, weil eine Klagewelle in den nächsten Jahren wahrscheinlich ist. Gerne können Sie mir mißbräuchliche Abmahnschreiben zum Sammeln der Beweise des Rechtsmißbrauchs der Abmahner vorsorglich für den Fall einer späteren Klage kostenlos an info@it-fachanwaeltin.de oder an meine Kanzleiadresse zusenden. Meine Postadresse finden Sie hier Kontakt Kanzlei Stefanie Hagendorff. Ich bin anwaltlich zur Verschwiegenheit verpflichtet und verwende die Daten nur, um anhand der anonymisierten Daten für den Fall einer Klagewelle vor Gericht für die späteren Beklagten Parteien mit Aussicht auf Erfolg nachweisen zu können, ob der Kläger einen Webcrawler verwendet hat und deshalb mißbräuchlich vorgegangen ist.

2. Falls die Schreiben auch Auskunftsverlangen enthalten, ist Vorsicht geboten. Dann ist anwaltlicher Rat sinnvoll. Hierzu berate ich Sie gerne, denn ein falscher Umgang mit den Auskunftsersuchen kann das Risiko einer Schadenersatzklage unnötig erhöhen.

3. Lassen Sie Ihre Webseite von einem geeigneten IT-Sicherheitsdienstleister überprüfen und scannen. Senden Sie die Prüfberichte Ihrem Webdesigner mit der Bitte, diese Datenschutzverstöße zu beheben. Falls hoffentlich kein Verstoss feststellbar ist, dokumentieren Sie auch diese Scans zu Ihrer Entlastung (Stichwort Beweissicherung und Rechenschaftspflicht) und archivieren Sie diese in Ihrem Ordner für das Datenschutzmanagement. Die regelmäßige Kontrolle ist auch unter IT-Sicherheitsaspekten in Ihrem eigenen Interesse. Fragen Sie Ihre Webagentur oder wenden sich an geeignete IT-Dienstleister, die professionelle IT-Schwachstellenanalysen und Google Webfont Scans einschließlich aller Unterseiten erstellen und Hilfe bei der Analyse etwaigen Handlungsbedarfs und Fehlerbeschreibung für den Fachmann diesbezüglich anbieten, z.B. locaterisk.com, https://sicher3.de/ https://54gradsoftware.de/blog/google-fonts-checker oder https://dr-dsgvo.de/webseiten-check/

4. Falls die gegnerische Anwaltskanzlei oder ein Betroffener eine DSGVO-Auskunft verlangt und behauptet, der Auftraggeber habe zu einem bestimmten Zeitpunkt mit einer bestimmten IP-Adresse Ihre Webseite aufgerufen, können Sie auf die hoffentlich korrekte Datenschutzerklärung verweisen, da Sie den Nutzer ja in der Regel nicht identifizieren können und daher keine individuelle Auskunft möglich ist bzw. nur eine sogenannte Negativauskunft. Achten Sie darauf, dass Logfiles über die Zugriffe auf Ihre Webseite nur solange gespeichert werden wie nötig; das sind nicht 30 Tage oder länger, sondern maximal 7 Tage. Logfiles mit den Protokolldaten, die bei Aufruf der Webseite kurz gespeichert werden, um den Dienst zu erbringen und aus Gründen der IT-Sicherheit und Funktionsfähigkeit Fehler der Website zu analysieren und ggfs. abzuwehren, dürfen nur eine kurze Zeit für diese Zwecke gespeichert werden und müssen danach automatisch gelöscht werden. Anderes gilt nur, wenn Vorfälle dokumentiert werden und ausgewertet werden müssen, damit keine unbemerkten Angreifer in Ihre IT-Systeme eindringen und Accounts übernehmen.

5. Bitte keine Checkboxen mit einer „Einwilligung in Datenschutzbestimmungen“. Häufig ist auch die Datenschutzerklärung nicht korrekt oder es werden fälschlicherweise Checkboxen zur „Einwilligung“ in die „Datenschutzbestimmungen“ bei Kontaktformularen verwendet. Das ist nicht ratsam und sollten Sie ändern. Die Datenschutzhinweise werden sonst Bestandteil von AGB und das ist für Sie als Unternehmen in dem Fall nicht gut. Denn die Datenschutzhinweise müssen ohne Zustimmung der Nutzer jeweils bei Bedarf aktualisiert werden und stellen nur Pflichtinformationen dar, keine AGB.

6. Ohne Zustimmung aktivierte Cookies und falsch eingebundene Cookie-Banner: Klar, die Cookie-Banner sind nervig. Aber Jammern hilft nichts. Entgegen der insoweit eindeutigen Rechtslage nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG werden auf vielen Webseiten in der Datenschutzerklärung bei Aufruf der Webseite Cookies auf Basis einer Interessenabwägung gesetzt, ohne danach zu unterscheiden, ob sie technisch unbedingt notwendig sind oder nur für statistische und Marketingzwecke oder Mediendienste erwünscht. Der Nutzer muss jedoch die Wahl haben und eine informierte Zustimmung in Marketing-Cookies zu erteilen oder die Möglichkeit haben, diese abzulehnen oder Details abzurufen und auch die Änderungen seiner Zustimmung zu speichern. Nach insoweit gefestigter höchstrichterlicher Rechtsprechung sind die nicht unbedingt notwendigen Cookies oder sonstigen Tracker nur mit einer freiwilligen, informierten vorherigen Zustimmung des Nutzers erlaubt.

Fazit: Typische Fehler dieser Art führen zu Abmahnungen und dies wird künftig auch zunehmen, daher sollten Sie die Verstöße auf Ihrer Webseite beheben und sich auf mögliche Klagewellen vorbereiten. Nach einem aktuellen Urteil des Landgerichts München kann jeder Nutzer (also nicht ein Webcrawler, der im Auftrag mißbräuchlicher Abmahner, die Webseiten scannt nur um Schadenersatzansprüche zu „generieren“) 100 Euro immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO vom Webseitenbetreiber verlangen. Die Tendenz der anderen Gerichte ist noch nicht eindeutig, aber immer mehr Gerichte sprechen immateriellen Schadenersatz zu, um die effektive Durchsetzung der Datenschutzvorschriften im Interesse der Betroffenen zu erreichen. Das Urteil des Landgerichts München hat Serienabmahnungen wie aktuell z.B. diejenigen des Rechtsanwalt Kilian Lenard aus Berlin im Auftrag von M. I. aus H. und anderer Abmahner ausgelöst, die voraussichtlich nach der Taktik der Abmahner auch zu Klagen führen wird. Auch wenn es lästig ist, also nicht einfach nur in die Tonne treten, sondern sich auf künftige Abmahnwellen oder Klagen vorbereiten und der Community helfen mit gutem Austausch der Informationen.

7. Oft finden Betroffene oder Abmahner noch weitere Fehler in der Datenschutzerklärung z.B. das Fehlen des Hinweises auf das Recht des Betroffenen, bei einem Datenschutzverstoß eine Beschwerde nach Art. 12 DSGVO bei einer Aufsichtsbehörde nach Art. 77 DSGVO einzureichen.

8. Gewerbetreibende oder Freiberufler mit zulassungspflichtigen Berufen, machen auch häufig Fehler bei den Pflichtangaben im Impressum. Nach § 5 Abs. 1 Nr. 5 TMG müssen bei Berufen, die wie z.B. bei Heilpraktikern oder einem Elektromeister entsprechende Dienstleistungen nur mit einem Befähigungsnachweis einer gesetzlich zuständigen Stelle wie etwa Gesundheitsamt oder Handwerkskammer angeboten werden dürfen, weitere Angaben machen. Es ist die für Sie zuständige Aufsichtsbehörde oder Stelle anzugeben, also etwa Handwerkskammer oder Innung oder Gesundheitsamt mit den Kontaktdaten, die gesetzliche Berufsbezeichnung und der Staat, in dem die Berufsbezeichnung verliehen worden ist und die Bezeichnung der berufsrechtlichen Regelungen und Links zu den Vorschriften, denen der Anbieter für diesen Beruf unterliegt. https://www.gesetze-im-internet.de/tmg/__5.html

Ich hoffe, die Tipps helfen Ihnen weiter. Wenn ich Ihnen mit einem rechtlichen Webseitencheck helfen soll (DSGVO, Urheber- und Markenrecht, Wettbewerbsrecht…), Vertragsprüfungen, Haftung der Webagentur oder Sie weitere Fragen zum Thema haben, schreiben Sie mir gerne dazu eine Nachricht oder sprechen Sie mich an. Herzliche Grüße Stefanie Hagendorff, Rechtsanwältin und Fachanwältin für IT-Recht Kontakt

Kategorien
Blogroll Internetrecht IT-Strafrecht Uncategorized Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

Abmahnungen per E-mail mit Link oder Anhang NICHT ÖFFNEN und keine Links ANKLICKEN!

Wenn Sie so eine E-mail- oder Messenger-Nachricht wie im Beispielbild erhalten, sollten Sie KEINESFALLS auf die Links oder Anhänge KLICKEN.
#Ransomware-Angriffe per E-mail-Anhang oder mit Buttons von WETRANSFER.

So erkennen Sie echte Abmahnungen oder Mahnschreiben
Abmahnungen oder Mahnschreiben müssen Ihnen die Absender nämlich per Post schreiben oder den Text dann schon direkt in die E-Mail reinschreiben mit der eigentlichen Nachricht. Auch Bilder, die ebenfalls boshafte Skripte enthalten können, müssen nicht aktiviert werden. Sie als Empfänger sind nicht verpflichtet, sich dem Risiko von Ransomware oder Erpressersoftware auszusetzen. Anders als bei der Briefpost im geschäftlichen Briefkasten muss man solche E-Mails oder Messenger-Nachrichten mit bösen Links nicht öffnen.

Diese Folgen drohen
Denn hinter solchen E-Mails verbirgt sich oft Ransomware mit einem Virus, um Ihre Daten auszuspähen. Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden oder weitere schädliche Nachrichten unter Ihrem Namen an Ihre Kontakte versenden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Inzwischen bekommen ständig kleine und mittelständische Unternehmen oder auch Private regelmäßig solche oder ähnliche Nachrichten. Ich natürlich auch. Aber sowas öffne ich nicht. Muss ich ja auch nicht.

Flüchtigkeit und Eile sind die Freunde der Betrüger
Die Angreifer versehen diese je nach Branche mit Reizwörtern wie “dringend” oder “Mahnung” oder “Abmahnung” oder “Marken- und Produktpiraterie”. Der flüchtige in Eile befindliche Empfänger soll dazu gebracht werden auf einen Link oder Anhang zu klicken. Der Anbieter Wetransfer wird immer wieder für einen solchen Angriff missbraucht, weil dieser Filesharing-Dienst die Versendung von Links ohne eine Authentifizierung des Absenders, nämlich nur mit einfacher E-Mail Adresse, ermöglicht.

Kleiner Klick, große Wirkung
Im Zweifel verbirgt sich hinter dem verlinkten Button oder in dem Anhang Malware, d.h. ein Programm mit einer Schadsoftware, die ihre Systeme infiziert und beschädigt. Das ist zwar vielen Empfängern bekannt, aber leider kommt es trotzdem immer wieder vor, dass unsichere oder gerade abgelenkte Empfänger trotzdem versehentlich in der Hektik des Alltags auf den Anhang oder den Link klicken – und dann Erpressungssoftware z.B. ein Trojaner oder Verschlüsselungsprogramm auf ihrem System aktiviert wird, sodass dann nichts mehr funktioniert….

Kleiner Klick, große Wirkung
Nicht nur aus Gründen der IT-Sicherheit sollte kein Empfänger auf solche Links oder Anhänge senden und im Zweifel, falls es scheinbar ein bekannter Absender ist, dort erst telefonisch nachfragen. Auch aus rechtlichen Gründen gibt es keinen Grund, sich sowas gefallen zu lassen, selbst wenn es tatsächlich ein Anwalt, Inkassobüro oder sonstiger Gläubiger einer Forderung sein sollte. Denn wegen dieser IT-Sicherheitsrisiken ist kein Inhaber eines E-Mail Postfachs verpflichtet, Anhänge in E-Mails und Nachrichten dieser Art zu öffnen – das hat kürzlich auch das Oberlandesgericht Hamm, Az. 4 W 119/20 mit Urteil vom 09.03.2022 bestätigt: Anwälte hatten im Auftrag eine wettbewerbliche Abmahnung per E-Mail mit einem im Anhang befindlichen Schreiben versandt. Der Empfänger öffnete die E-Mail nicht. Deshalb muss die Gegenseite die Prozesskosten zahlen. Das Oberlandesgericht bestätigte in dem auf die hier echte Abmahnung folgenden Eilverfahren, dass der Inhaber des Empfänger-E-Mail-Postfachs die Kosten der nachfolgenden einstweiligen Verfügung, die gegen ihn erging, mangels Zugang und Kenntnisnahme von dem Anhang mit dem Schreiben nicht zu tragen hatte. In der Sache erging damit zwar eine wirksame Unterlassungsverfügung, weil der Wettbewerbsverstoß tatsächlich gegeben war und daher zu Recht der Auftraggeber der Abmahnung die Beendigung der fraglichen unlauteren Werbemaßnahme und Unterzeichnung einer strafbewehrten Unterlassungserklärung gefordert hatte. Aber da das Abmahnschreiben nicht mit einem Einschreiben, sondern per Dateianhang per E-Mail gesendet worden war, musste der Antragsteller die gesamten Anwalts- und Prozesskosten der Abmahnung und des einstweiligen Verfügungsverfahrens tragen. Wie das OLG im Leitsatz entschieden hat, ist eine Abmahnung bei einem Abmahnschreiben im Dateianhang erst dann zugegangen, wenn der E-Mail Empfänger den Dateianhang auch tatsächlich geöffnet hat. Und das war nicht der Fall – aus Gründen.

Experten-Rat lohnt sich
Wenn Sie Fragen im IT-Recht haben, zum Beispiel von Abmahnungen oder Hacking-Angriffen betroffen sind, und anwaltlichen Rat und Hilfe benötigen, rufen Sie an unter +49 6031 6708843. Oder schreiben Sie eine Anfrage über mein Kontaktformular mit Ihren Kontaktdaten. Dann rufe ich werktags innerhalb von 24 Stunden zurück oder sende Ihnen per E-mail eine Antwort.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

Landgericht Mainz verurteilt Stromanbieter zu 5.000 Euro Schadenersatz wegen rechtswidriger Meldung an SCHUFA

Vorschnelle negative Schufa-Meldungen sind ein erheblicher Schaden für die Kreditfähigkeit eines Betroffenen. Die Voraussetzungen sind daher streng geregelt. Das Landgericht Mainz hat mit Urteil vom 12.11.2021 – Az. 3 O 12/20 einen Stromanbieter u.a. zur Zahlung von 5.000 Euro immateriellem Schadenersatz nach Art. 82 Abs. 1 DSGVO verurteilt, weil dieser vorschnell eine rechtswidrige negative Schufaeinmeldung als “uneinbringlich” im Laufe eines gerichtlichen Mahnverfahrens veranlasst hatte. Es stellten sich Pannen im Vorverfahren heraus und der Vollstreckungsbescheid war noch nicht rechtskräftig. Der Stromanbieter und spätere Beklagte hatte zwar Mahnungen versendet und ein gerichtliches Mahnverfahren wegen der erfolglos angemahnten Stromrechnung durchgeführt, jedoch den Zugang der Mahnungen und Mahnbescheid sowie die nach § 31 BDSG vorgeschriebene vorherige Ankündigung der negativen Schufa-Einmeldung hatte der betroffene Kläger bestritten und konnte der Stromanbieter nicht beweisen, also wäre eine Einmeldung erst mit einem rechtskräftigen Vollstreckungsbescheid zulässig gewesen. Der Stromanbieter hat aber bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids diese Einmeldung verfrüht und damit rechtswidrig bei der Schufa eingemeldet. Der klägerische Familienvater hatte glaubhaft versichert, dass er die Mahnungen mit Unterrichtung über den drohenden Schufa-Eintrag nicht erhalten hatte; der Mahnbescheid lag ihm auch nicht vor, den hatte wohl das Au-pair-Mädchen seiner Kinder angenommen, ihm aber nicht ausgehändigt. Nach Zustellung des Vollstreckungsbescheids hatte der Kläger die Forderung dann bezahlt, sodass sich er sich zu Recht gegen die Einmeldung als “uneinbringliche Forderung” gewendet hat. Die Einmeldung war – so das Gericht – nicht aufgrund der Bestimmung des Art. 6 Abs. 1 lit f, Abs. 4 DSGVO zulässig. Zwar besteht ein erhebliches Interesse der Kreditwirtschaft an den Bonitätsdaten und somit ein erhebliches Informationsinteresse der Verkehrsteilnehmer, aber bei der gebotenen Interessenabwägung sind die Wertungen des § 31 BDSG zu berücksichtigen, die sicherstellen sollen, dass bei der Verarbeitung von Bonitätsdaten dem Schuldner vorher rechtliches Gehör gewährt wird und er innerhalb einer angemessenen Karenzzeit die Möglichkeit hat, den Eintrag zu vermeiden und vorher die Schulden zu begleichen. Hier war es so, dass die Stromrechnung von 493,81 € zwar angemahnt worden war, jedoch der Zugang einer vorherigen Ankündigung einer drohenden Schufa-Einmeldung nicht nachgewiesen werden konnte. Gleiches galt für die Zustellung des gerichtlichen Mahnbescheids. Die Einmeldung bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids war unter diesen Umständen verfrüht. Mit Fehlern bei der Zustellung muss ein Absender rechnen, wenn ihm kein Zugangsnachweis vorliegt und damit war zur Überzeugung des Gerichts wegen der streitigen Zustellungspannen noch nicht sicher eine hinreichende Karenzzeit verstrichen, in der der klägerische Schuldner die Gelegenheit hatte, die Forderung zu begleichen. Diese Wertungen entnimmt das Gericht der Regelung des § 31 BDSG, weil darin die Voraussetzungen geregelt sind, unter denen Auskunftsdienste wie die SCHUFA AG  Bonitätsdaten nutzen und damit einen Scorewert erstellen und diesen beauskunften dürfen. Die Voraussetzungen des § 31 BDSG waren hier im Zeitpunkt der Einmeldung nicht hinreichend dargetan und bewiesen. Dies hätte der Stromanbieter bei gewissenhafter Prüfung erkennen müssen, insbesondere bei Titulierung mit dem Vollstreckungsbescheid dem Schuldner erst noch eine angemessene Karenzzeit zur Begleichung der Fordlerung einräumen müssen, nachdem er keine Beweise für den fehlerfreien Zugang der Mahnungen, Ankündigungen und des Mahnbescheids des Gericht vorliegen hatte.

Die Höhe des immateriellen Schadenersatzes nach Artikel 82 Abs. 1 DSGVO hat das Gericht hier mit 5.000 Euro bemessen. Aufgrund des Negativ-Eintrags bei der Schufa wurden dem Kläger die Kreditkarten gesperrt, die er beruflich benötigte, und drohte ihm eine Immobilienfinanzierung zu platzen. Deshalb erlitt er einen massiven immateriellen Schaden in Form des Verlusts der Bonität bei Kreditgebern durch einen negativen Scorewert bei der Schufa. Dieser Schaden war nach Ansicht des Gerichts auch zumindest fahrlässig verschuldet, weil nach Art. 82 Abs. 3 DSGVO eine Fahrlässigkeit vermutet wird, wenn nicht der Beklagte als verantwortliches Unternehmen Umstände darlegen und beweisen kann, die ihn entschuldigen. Mangels Beweisen für die behaupteten Mahnungen mit Unterrichtung über die drohende Schufa-Einmeldung und auch mangels Beweis für die Zustellung des Mahnbescheids, den der Kläger bestritten hatte, konnte der Stromanbieter somit das Vorliegen der Voraussetzungen der Einmeldung als “uneinbringliche Forderung” nicht nachweisen. Eine Einmeldung nach § 31 Abs. 2 Nr. 4 BDSG, der die Voraussetzung der Verarbeitung von Bonitätsdaten durch Auskunftsdienste regelt, darf nur erfolgen wenn entweder nach Nr. 1 ein rechtskräftiges Urteil über eine offene Forderung vorliegt (der Vollstreckungsbescheid war bei Erlass hier noch nicht rechtskräftig, weil dagegen erst noch ein Einspruch zulässig ist) und nach § 31 Abs. 2 Nr. 4 BDSG ohne einen rechtskäftigen gerichtlichen Zahlungstitel folgende Voraussetzungen hätten vorliegen müssen, die hier auch nicht gegeben waren, nämlich:

  • der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
  • die erste Mahnung mindestens vier Wochen zurückliegt,
  • der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
  • der Schuldner die Forderung nicht bestritten hat

Daneben hat das Gericht den Stromanbieter auch verpflichtet, der Schufa Holding AG mitzuteilen, dass derjenige Zustand auch im Hinblick auf die Berechnung von Scorewerten wiederhergestellt werden soll, als habe es den näher bezeichneten Negativeintrag der Beklagten nicht gegeben. Das Urteil vom 12.11.2021 ist noch nicht rechtskräftig.

Wie viel Tage die Karenzzeit dauert, darüber hatte das Gericht hier nicht zu entscheiden. Aber unter Berücksichtigung der Wertungen des § 31 BDSG, auf die das Gericht im Rahmen der Auslegung der Rechtsgrundlage nach Art. 6 Abs. 1 lit.f DSGVO abstellt, hätte die für den Vollstreckungsbescheid vorgeschriebene Einspruchsfrist von 2 Wochen ab dessen Zustellung abgewartet werden müssen oder hätte der Stromanbieter Nachweise für mindestens 2 vorgerichtliche Mahnungen mit den nach § 31 BDSG vorgeschriebenen Zeitabständen und Ankündigung einer Meldung an die Schufa sicherstellen müssen, um Zustellungsfehler auszuschließen. Die 2 Wochen-Notfrist entspricht auch der Einspruchfrist gegen den Vollstreckungsbescheid nach §§ 700 i.V.m. 339 Abs. 1 ZPO, daher ist davon auszugehen, dass die angemessene Karenzzeit bei vorgerichtlichen unbestrittenen Mahnungen 2 x 2 Wochen ist und ansonsten im gerichtlichen Verfahren abgewartet werden muss, ob innerhalb der genannten Fristen Rechtsmittel gegen das Urteil oder den Vollstreckungsbescheid eingelegt wurde.

Kategorien
Blogroll Datenschutzrecht Internetrecht Medienrecht Uncategorized

OLG Frankfurt: Wahre Warnhinweise können rechtwidrig sein, es ist konkret abzuwägen…

OLG Frankfurt: Der wahre Warnhinweis gegenüber Werbepartnern über einen verurteilten Betrüger, er sei ein Betrüger kann rechtswidrig sein, wenn die Tat über 7 Jahre zurückliegt und keine aktuellen Verfehlungen ähnlicher Art hinzugetreten sind
Wenn es sich um Äußerungen mit ehrrührigen Meinungen oder Aussagen mit wahrem Tatsachenkern über ehemalige Geschäftspartner, handelnde Personen von Unternehmen oder Freunde handelt, dann können die Streitigkeiten schnell sehr hoch eskalieren. Die Frage, ob die Äußerung rechtswidrig war, erfordert dann aber neben einem Informationsinteresse des Erklärungsempfängers oder bei öffentlichen Posts dann eben der Öffentlichkeit – je nach Kontext der Äußerungen – nach ständiger Rechtsprechung eine Abwägung der widerstreitenden Grundrechte und Interessen. Konkrete Beispielsfälle und wie die Richter das beurteilen helfen hier allen weiter. Es kommt nicht selten zwischen ehemaligen Kunden, Mitarbeitern oder Ehepartnern, Freunden oder auch mit Angehörigen zu sehr heftigen Streitigkeiten, die für alle Seiten sehr belastend sind und auch fachanwaltlicher Betreuung und Beratung und Prozessvertretung bedürfen, um den Schaden zu begrenzen. Die Rechtsprechung ist hier von starkem Interesse, weil hier die Sach- und Rechtslage oft kompliziert zu beurteilen ist und leider viele Entscheidungen nicht veröffentlicht werden.
Nur etwa 1 % deutscher Urteile werden veröffentlicht und viele Rechtsstreitigkeiten enden auch durch außergerichtlichen oder gerichtlichen Prozessvergleich, sodass der größte Teil der Streitigkeiten und der gerichtlichen Einschätzung oder Entscheidungen gar nicht veröffentlicht wird siehe Bericht in LTO vom 02.07.2021 nach einer Studie – Details siehe https://www.lto.de/recht/justiz/j/studie-veroeffentlichung-gerichtsentscheidungen-deutschland-transparenz-justiz/ Das ist leider eigentlich rechtsstaatswidrig wie eine aktuelle Studie laut Beitrag bei der lto.de auch mit Hinweis auf die höchstrichterliche Rechtsprechung zur Wichtigkeit der Transparenz von gerichtlichen Entscheidungen Dr. Dr. Hanjo Hamann aktuell am 2.7.2021 berichtet hat in der Legal Tribune Online, jedoch tägliche Praxis, wobei hier negativ einige Gerichte mit nur äußerst wenigen Veröffentlichungen besonders auffallen wie etwa z.B. das Landgericht Gießen. Das war auch hier in einem Beispielfall, in dem immerhin aufgrund einer Berufung das Oberlandesgericht in einem ausführlich begründeten Prozesskostenhilfebeschluss die Sach- und Rechtslage ausführlich ausgeführt hat, das ursprüngliche Streitgericht. Leider kann wegen der identifizierenden Angaben der Beschluss nicht im Volltext veröffentlicht werden, aber:
Ich habe mir vorgenommen, Entscheidungen, die mir aus meiner Praxis vorliegen in hinreichend anonymisierter Form zu veröffentlichen, soweit nicht Interessen meiner Mandanten entgegenstehen.
Daher kann ich zumindest auszugsweise zwei Aussagen aus einem Prozesskostenhilfebeschluss des Oberlandesgerichts Frankfurt vom 07.05.2021 Az. 19 U 251/20 wiedergeben, die von allgemeinem Interesse sein dürften, und auf ihre Kernaussagen zusammenfassen:
1. Einer strafbewehrten Unterlassungserklärung kann nicht allein deswegen ein Mangel an Ernstlichkeit abgesprochen werden, weil sie nicht sofort nach Abmahnung und auch in der Mündlichen Verhandlung nach Widerspruch gegen eine einstweilige Verfügung ergeht. Auch noch in der Berufung kann die Wiederholungsgefahr auch durch eine arme Partei ausgeräumt werden. Auch eine arme Partei, die Prozesskostenhilfe benötigt, kann bei einer Unterlassungsklage wegen einer rechtwidrigen Äußerung den Schaden durch eine strafbewehrte Unterlassungserklärung begrenzen, so dass keine Verurteilung zur Unterlassung mehr begründet ist. Nur weil die arme prozesskostenhilfebedürftige Partei erkennbar keine Vertragsstrafe, zu der sie sich in der strafbewehrten Unterlassungserklärung nach ständiger Rechtsprechung verpflichten muss, derzeit nicht leisten kann, fehlt es nicht an der Ernstlichkeit. Es ist nicht ohne weiteres anzunehmen, dass die arme Partei weitere Schulden machen möchte. Für die Anschlussberufung ist der Berufungsführerin und Verfügungsbeklagte daher im Streitfall Prozesskostenhilfe zu bewilligen.
2. Insolvenz einer Person oder andere negative Tatsachen können Menschen in ihrem weiteren Lebensweg sehr stark beeinträchtigen und daher müssen mit dem Ziel, die Betroffenen nach einer längeren Wohlverhaltensphase wieder zu resozialisieren und ihnen eine neue Chance zu ermöglichen, negative Tatsachen, auch dann wenn sie wahr sind, geheim bleiben. Die wahre ehrrührige Aussage gegenüber Werbepartnern, dass der Kläger ein Betrüger sei, war in o.g. Beispielfall daher vom Oberlandesgericht vorläufig im Prozesskostenhilfebeschluss für die Beklagte als rechtswidrig eingestuft worden, weil die strafrechtliche Verurteilung bereits über 7 Jahre zurücklag und das Resozialisierungsinteresse des betroffenen Verfügungsklägers in der zu treffenden Abwägungsentscheidung insoweit überwiegt. Anders liegt der Fall allerdings, wenn die Verfehlungen aktuell andauern.

Wörtlich Zitat aus dem oben genannten Beschluss des Oberlandesgerichts Frankfurt vom 07.05.2021 Az. 19 U 251/20::“

…Im Streitfall ist das durch Art. 2 Abs. 1 Art. 1 Abs. 1 gewährleistete Interesse des Verfügungsklägers… auf Schutz seiner Persönlichkeit und seines guten Rufs mit dem in Art. 5 Abs. 1 GG verankerten Recht der Verfügungsbeklagten auf Meinungsfreiheit abzuwägen.

Dabei hängt zwar die Abwägung zwischen dem allgemeinen Persönlichkeitsrecht einerseits und der Meinungsfreiheit bei Tatsachenberichten auch vom Wahrheitsgehalt ab, und zwar in der Weise, dass wahre Aussagen in der Regel hingenommen werden müssen, auch wenn sie nachteilig für den Betroffenen sind (vgl. BVerfG NJW 1999, 1322; NJW 2012, 1500).

So liegen die Dinge hier. Die Verurteilung des Verfügungsklägers lag im Zeitpunkt der Äußerung sieben Jahre zurück. Unter diesen Umständen wiegt das Interesse des Verfügungsklägers schwer, nicht als ehemaliger Straftäter identifiziert zu werden, weil durch diese negative Qualifizierung seine Resozialisierung bedroht ist (vgl. MüKoBGB/Rixecker, 8. Aufl. 2018, Anh. § 12 Rn. 214). Ein berechtigtes Interesse kann die Verfügungsbeklagte demgegenüber nicht geltend machen. Dass man mit ihm allein wegen seiner Vergangenheit besser keine Geschäfte machen solle, ist kein Gesichtspunkt, den man dem berechtigten Resozialisierungsinteresse des Verfügungsklägers legitimer weise entgegensetzen kann. Es liegt auch kein Fall vor, dass einschlägige Verfehlungen Anlass gäben, die Vorstrafen des Verfügungsklägers in Erinnerung zu rufen…..“

Fazit: Wenn auch aktuell weitere Verfehlungen ähnlicher Art begangen wurden, wäre die Beurteilung anders ausgefallen. Darüber und weiterer Streitpunkte des Falles wollten die Parteien nicht weiter streiten und so kam es auf Anraten des Gerichts zu einem gütlichen Vergleich, der auch die Rücknahme der Schadenersatzklage umfasste. Die Parteien hier waren vorgerichtlich nicht anwaltlich beraten, daher konnten wir Anwälte die Sache nur gerichtlich vertreten und im Ergebnis mit einer für beide Seiten fairen Regelung nach Anraten des Gerichts in einem umfassenden Vergleich gütlich beilegen.

Wenn Sie fachanwaltliche Beratung in einer äußerungsrechtlichen Streitigkeit benötigen, berate ich Sie gerne mit allen Facetten, die so etwas umfasst!

Anmerkungen: die Parteien haben sich in dem äußerungsrechtlichen Verfahren sowie in der Schadenersatzklage zur Hauptsache gütlich geeinigt. Es gibt daher kein Urteil.

Kategorien
Blogroll Datenschutzrecht Schadenersatzrecht Schadensrecht Uncategorized Verbraucherschutz

DSGVO-Schadenersatzklagen nach Datenpanne gegen Verantwortliche nicht rechtsmissbräuchlich

update 24.11.2022: In dem hier berichteten Verfahren ist weiterhin ein Berufungsverfahren vor dem OLG Frankfurt anhängig und haben wir zusätzlich auch die Auftragsverarbeiter mitverklagt. Da es ungewöhnlich (aber mangels korrekter identifizierender Auskunft über die Namen der Serviceprovider nicht von uns verschuldet ist), dass jetzt erst die Auftragsverarbeiter in Berufung mit verklagt wurden, hat die Gegenseite sich vor allem erst mal auf Zulässigkeitsfragen und Fragen der Darlegungs- und Beweislast berufen. Es gab noch keine Entscheidung. Ich habe Förderung des Verfahrens angemahnt im Juni und nunmehr am 5.11.2022 die Verzögerungsrüge nach § 198 GVG erheben müssen, damit das Land notfalls haftet, weil leider das Gericht das Verfahren verzögert. Ich hoffe, das Verfahren wird nun endlich vom Gericht pflichtgemäß betrieben und werde bei Neuigkeiten von allgemeinem Interesse berichten. #Die Mühlen der Justiz mahlen langsam aber meistens gründlich.

Ich schrieb Ende 2020: Ich habe am 19.11.2020 mit meinem Mandanten einen Termin vor dem Landgericht Frankfurt wahrgenommen, in dem es um eine Klage wegen unzureichender Auskunft nach Art. 15 DSGVO und Schadenersatz nach Art. 82 Abs. 1 DSGVO gegen die Mastercard Europe SA (mit Sitz in Waterloo, Belgien) ging, die im Sommer 2019 im Rahmen ihres Bonusprogramms Mastercard Priceless Specials eine Datenpanne erlitt. Der Kläger wirft der Beklagten vor, die Pflicht zur Auskunft über die Empfänger nicht konkret erfüllt zu haben, denn nach den bisherigen Informationen war Ursache des Hacks ein leicht zu erratendes Standardpasswort eines Administrators der Plattform für das Bonusprogramm. Das bedeutet, dass pflichtgemäße Penetration Tests, die nach den branchentypischen Sicherheitsstandards (Payment Card Industry Data Security Standards -PCI DSS v.3.2.1 vom Mai 2018) alle 6 Monate hätten stattfinden müssen, die Datenpanne höchstwahrscheinlich verhindert hätten. Die Beklagte hat diese jedoch nicht konkret dargelegt und unter Beweis gestellt. Auch bleibt unklar, wer eigentlich die Vertragspartner und Betreiber des Bonusprogramms waren. Wenn die Muttergesellschaft aus den USA den Dienstleister ausgesucht und unzureichend kontrolliert hat, wäre dies ebenfalls eine Schadensursache, die auf DSGVO Verstößen beruht, weil die DSGVO sowohl die Auslagerung auf eine US-amerikanische Mutter unter dem Vorbehalt einer Rechtsgrundlage und geeigneter Garantien für dieses Outsourcing unterwirft und nach Art. 28 DSGVO der Dienstleister, der personenbezogene Daten verarbeitet, hinreichend schriftlich verpflichtet und kontrolliert wurde.
Die Beklagte hat sich hier u.a. damit verteidigt, die Klage sei rechtsmißbräuchlich, man müsse die Auftragsverarbeiter nicht konkret benennen, und nach den allgemeinen Darlegungs- und Beweislastregeln habe der Kläger zu beweisen, durch welche Pflichtverstöße konkret die Schäden verursacht seien. Der Artikel 82 Abs. 3 DSGVO sei nicht so wörtlich zu nehmen, wenn dort stehe, dass der Verantwortliche nur von einer Haftung frei kommt, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ferner seien die Schäden wie der Kontrollverlust über die Risiken für den Kläger nach Meldung der Datenpanne und Veröffentlichung in einer großen Datenbank, die Besorgnis über Identitätsdiebstahl, Profilbildung zum Nachteil des Betroffenen, die Spamnachrichten und Spamanrufe kein ersatzfähiger Schaden. Demgegenüber hatte der Kläger argumentiert: Bei der Produkthaftung oder in Filesharing-Fällen hat die Rechtsprechung ebenfalls die Anforderungen an die Darlegung und Beweislast zu Lasten desjenigen, der die Gefahrenquelle beherrscht, verschoben, daher ist das nicht systemwidrig, sondern erforderlich, um dem Datenschutz wirksam zur Geltung zu verhelfen und die DSGVO normiert klar, dass die Betroffenenrechte wie Auskunft und Schadenersatz wirksam sein müssen und hierbei auch ein immaterieller Schadenersatz z.B. für den Kontrollverlust über seine personenbezogenen Daten bei einer Datenpanne vorsieht.
Den Argumenten der Verteidigung stimmte die erkennende Richterin nach Anhörung des Klägers zu den Spamanrufen und Diskussion in einigen Punkten ausdrücklich nicht zu. Zum einen sei es für sie ganz klar nicht rechtsmißbräuchlich, wenn Betroffene nach einer Datenpanne und Veröffentlichung von Kundendatenbanken ihre Rechte auf Auskunft und Schadenersatz gegen die Verantwortlichen nach der DSGVO geltend machen und sie verstehe nicht, warum denn nicht die Mastercard Europe SA wenigstens pauschal ein Friedensangebot in Höhe von z.B. 150 Euro Entschädigung gemacht habe. Belästigende Spamanrufe, die unmittelbar nach der Veröffentlichung einsetzten und erst vor ca. 3 Monaten wieder aufhörten, scheinen doch recht klar im Zusammenhang mit der Veröffentlichung der Kundendatenbanken aus dem streitgegenständlichen Mastercard Priceless Specials Programm zu stehen und die Beklagte war für die Sicherheit des Bonusprogramms verantwortlich. Ob auch die beantragte Enschädigung für die 950 Coins, die der Kläger ebenfalls in Höhe von 1 Euro je Coin geltend macht, weil inzwischen im Gegensatz zu den Angeboten bekannter Marken vor der Datenpanne nur noch recht wertlose Einlösemöglichkeiten von unbekannten Anbietern angeboten werden, ist noch ungewiss. Wie genau das Gericht entscheiden wird, wird spannend.
Termin zur Verkündung einer Entscheidung ist am 18.01.2021.

Update 03.02.2021: Das Landgericht hat in dieser Sache die Klage – wie ich finde zu Unrecht – abgewiesen, der Beklagte beabsichtigt dagegen Berufung einzulegen. Volltext des Urteils siehe hier.

Kategorien
Blogroll Datenschutzrecht Internetrecht Uncategorized

EUGH hat das US-Privacy Shield für ungültig erklärt – Handlungsempfehlungen für KMU.

Was müssen Webseitenbetreiber und Nutzer von sonstigen Cloud-Diensten US-amerikanischer Anbieter nun tun, nachdem der EUGH das US-Privacy Shield (im Urteil vom 16.07.2020 in der Rechtssache Max Schrems gegen Facebook) für ungültig erklärt hat?
Geschäftliche Nutzer von Clouddiensten z.B. Webseitenbetreiber von WordPress-Webseiten oder Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter einsetzen, sollten nun prüfen, ob hinsichtlich der Übermittlung personenbezogener Kunden- und Mitarbeiter- oder auch nur Nutzerdaten von Nutzern der Webseite, Data Privacy Agreements oder „Data Privacy Addendum“ vorliegen, die sie mit den Anbietern abgeschlossen haben sollten und ob diese inhaltlich die Vorgaben der EU-Kommission zur Verwendung von EU-Standardvertragsklauseln (Data Controller to processor EU-Data Standard Model Clauses) nach Art. 45 DSGVO beinhalten. Denn diese Standardvertragsklauseln hat der EUGH ausdrücklich als gültig bestätigt.
Grund: Der EUGH hat mit Urteil von heute 16.07.2020 in der Rechtssache Max Schrems gegen Facebook verkündet, dass das US-Privacy Shield unwirksam ist und kein angemessenes Datenschutzniveau im Sinne von Art. 46 DSGVO gewährleistet. Im wesentlichen hat er das – zu Recht – damit begründet, dass die USA dieses Abkommen nicht einhalten, insbesondere EU-Bürger keinen wirksamen Rechtsschutz in den USA zur Wahrung ihrer Datenschutzrechte nach der DSGVO haben, vor allem ist der nach dem US-Privacy Shield Abkommen zugesicherte Ombudsmann tatsächlich nicht wirklich arbeitsfähig und erreichbar für EU Bürger. Das Urteil ist nicht überraschend, weil schon lange u.a. auch vom EU-Parlament diese Missstände angeprangert und moniert wurden.
Das bedeutet, wer Clouddienste U.S.-amerikanischer Anbieter nutzt und darin Nutzer IDs, IP-Adressen, und ähnliche personenbezogene Daten von den Cloud Diensten verarbeiten lässt, benötigt Verträge zum Datenschutz, die die EU-Standardvertragsklauseln (EU-Data Processing Model Clauses Controller to Processor) bei Auftragsverarbeitungen im Sinne von Art. 28 DSGVO oder Processor to Processor Model Clauses bei sog. Gemeinsamen Verantwortlichen nach Art. 26 DSGVO verwendet.
Den Abschluss der entsprechenden Verträge, die nach der DSGVO auch elektronisch erfolgen können, etwa über AGB, müssen Sie z.B. als Webseitenbetreiber oder Arbeitgeber zuverlässig als verantwortliche Stelle nach Art. 5 DSGVO nachweisen können. Die US-Anbieter ordnen Sie nämlich nicht unbedingt als EU-Kunde ein, wenn Sie die entsprechenden Zusatzvereinbarungen nicht abgeschlossen haben, weil es darauf ankommt, wessen personenbezogene Daten Sie nach Ihrem Geschäftsmodell zu welchen Zwecken verarbeiten. Da die USA weitestgehend und Südamerika sowieso keine angemessenen Datenschutzgesetzte hat (außer Kalifornien und Canada) wird von vielen US-Anbietern ohne dokumentiertem Abschluss der entsprechenden Zusatzvereinbarungen diese auch nicht aktiviert.
Praxistipp: Sie sollten nun zur Vermeidung von Abmahnungen oder hohen Bussgeldern wegen Verstößen gegen die Vorschriften des Datenschutzrechtes für die Internetseite und sonstige Prozesse, bei denen US-Clouddienste in Ihrem Unternehmen zum Einsatz kommen, die Liste Ihrer verwendeten US-Anbieter z.B. anhand Ihrer Datenschutzhinweise und Verarbeitungsverzeichnisse durchgehen und prüfen lassen, ob für die Dienste vom Anbieter die entsprechenden Data Privacy Addendums oder sonstige entsprechende Data Processing Terms vorliegen, die die Voraussetzungen der EU-Kommission zu den o.g. Angemessenheitsbeschlüssen erfüllen, die – soweit noch nicht geschehen – abschließen und das dokumentieren. Ferner sollten Sie Ihre Verarbeitungsverzeichnisse sowie Datenschutzhinweise gemäß DSGVO anpassen und die entsprechenden Passagen, die auf das nicht mehr gültige EU-Privacy Shield nach Art. 46 DSGVO z.B. in Ihren Datenschutzhinweisen rekurrieren, abändern. Viele US-Anbieter wie z.B. Automattic Inc. mit Sitz in den USA – WordPress.com stellen entsprechende Data Privacy Addendums bereits zur Verfügung, weil diese Entscheidung des EUGH absehbar war.

Standardvertragsklauseln können aber laut EUGH Urteil vom 16.07.2020 – Schrems II nur dann eingesetzt werden, wenn sie nach den konkreten Umständen auch von den Vertragsparteien eingehalten werden können. Das könnten etwa besondere Verschlüsselungen sein, die gewährleisten, daß die US-Behörden und der US-Anbieter faktisch nicht auf die zu schützenden Inhalts- und Metadaten zugreifen können und wenn der Anbieter garantiert, dass die Server in der EU sich befinden in gesicherten Rechenzentren. Dann können ggfs. EU-Standardvertragsklauseln auch mit US-Anbietern geschlossen werden. Klar dazu hat sich der EUGH allerdings nicht geäussert. Falls der US-Cloud Anbieter keine rechtmäßigen Vertragsklauseln der beschriebenen Art anbietet, ist zu prüfen, ob ggfs. Ausnahmetatbestände anwendbar sind. Das ist nach Art. 49 Abs. 1 a DSGVO zum einen eine Einwilligung des Betroffenen, die ausdrücklich gegeben wird, nachdem der Betroffene auf die besonderen Risiken hingewiesen wurde. Das ist derzeit z.B. bei Cookie Consent Managern für Webseiten (Also die Banner, die bei Aufruf von Webseiten zunächst für die Cookies fragen, ob diese zugelassen werden oder abgelehnt werden) – ein Anwendungsfall, wenn nicht erforderliche Cookies von Anbietern wie Google, Facebook, Adobe usw. aus Drittländern eingesetzt werden sollen und hierfür eine Einwilligung zu deren Aktivierung benötigt wird. Ferner zählt Art. 49 noch eine Reihe weiterer Ausnahmetatbestände auf wie etwa, wenn die Drittlandübermittlung z.B. zum Schutze lebenswichtiger Interessen der betroffenen Person erforderlich ist. Art. 49 DSGVO Die Prüfung und Anpassung der Prozesse, ggfs. Wechsel von Anbietern oder zumindest Änderungen von deren Verträgen und Einbindungen sowie der Datenschutzhinweise erfordern nun Aufwand. Dieser ist aber wohl unvermeidlich, denn weder der EUGH noch die Aufsichtsbehörden billigen nach ihren Reaktionen auf das Urteil relevante Umsetzungsfristen zu. Zwar wird eine Umsetzungfrist dann in der Praxis für eine kurze Übergangszeit aus Verhältnismäßigkeitsgründen den Unternehmen eingeräumt werden. Wegen der Unklarheit, wie lange diese eingeräumt wird, ist es aber nur eine Frage der Zeit, dass einzelne “schärfere” Aufsichtsbehörden aufgrund von Beschwerden oder wiederholender Datenpannen tätig werden und Bussgeldverfahren einleiten werden. Amtliche Bussgelder aufgrund von DSGVO-Verstössen – soweit teilweise amtlich bestätigt oder veröffentlicht – können teilweise hier nachgelesen werden (ohne Anspruch auf Vollständigkeit): https://www.enforcementtracker.com/ oder hier https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php Die Stellungnahme der Datenschutzkonferenz der deutschen Datenschutzaufsichtsbehörden vom 28.07.2020: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf verweist auf die Stellungnahme des EDSA (Europäischer Datenschutzausschuss bei der EU): https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de Dieser antwortet recht streng auf die Frage, ob es eine Umsetzungsfrist gibt: “No, the Court has invalidated the Privacy Shield Decision without maintaining its effects, because the U.S.law assessed by the Court does not provide an essentially equivalent level of protection tothe EU. This assessment has to be taken into account for any transfer to the U.S. …” FAZIT: Vor diesem Hintergrund antworten derzeit die deutschen Aufsichtsbehörden auf die Frage nur vage und zähneknirschend mit: “zeitnah” – was auch immer das nun dann in den Augen der Gerichte, die später bei Streitfällen zu entscheiden haben werden, sein wird. Dort, wo es möglich und zumutbar ist, sollten Unternehmen daher unbedingt unverzüglich auf EU-Anbieter umstellen oder die o.g. angesprochenen Änderungen und Anpassungen vornehmen.

Kategorien
Blogroll Datenschutzrecht Uncategorized

Neue Termine Datenschutz-Workshop: Sind Sie fit für die Datenschutzgrundverordnung (EU-DSGVO)?

Datenschutz-Workshop mit praktischen Tipps zur Umsetzung für KMU

Veranstaltungsort: D-61169 Friedberg (Hessen)

Ist Ihr Unternehmen und sind Ihre Mitarbeiter auf die ab 25.05.2018 gültige EU-Datenschutzgrundverordnung und die Begleitgesetze vorbereitet? Die Änderungen sind gravierend und machen die Umsetzung zur Chefsache in den Unternehmen. Aufsichtsbehörden der Länder haben teilweise bereits Fragebögen versendet, da sie anlaßunabhängig prüfen werden. Hervorzuheben sind dabei:

  • Rechenschaftspflicht und Einrichtung eines effektiven Datenschutzmanagementsystems
  • Organisation des Meldesystems bei Pannen und Informationsrechte der Betroffenen
  • Ausweitung der Betroffenenrechte einschließlich Vermögensschadenersatzansprüche mit Beweislastumkehr
  • drakonischen Erhöhung der Bußgelder nach Artikel 83 bei Verstößen in Höhe von bis 4 % des weltweiten Umsatzes im Unternehmensverbund oder 20 Mio. EURO
  • Haftung und Bußgelder nicht versicherbar

Laut aktueller Umfragen haben viele Unternehmen noch erhebliche Schwierigkeiten, die Vorgaben rechtzeitig richtig umzusetzen und bestehen noch viele Unsicherheiten. Wir wollen Ihnen helfen. Gerne machen wir auch inhouse-Workshops in Ihrem Unternehmen, sprechen Sie uns an.

Für eine praxistaugliche Anleitung und Tipps, wie ein effektives und rechtskonformes Datenschutzmanagement eingerichtet und fortlaufend effizient durchgeführt werden kann, referiert der langjährig erfahrene Datenschutzbeauftragte Peter Suhling aus Weinheim (suhling.biz). Er ist ISO 27001 Lead Auditor Managementsysteme, Datenschutzbeauftragter, KRITIS-Auditor.

>update 02.01.2018: Ferner vermittelt Thomas Novak, IT-Sicherheitsspezialist und Geschäftsführer der @one it GmbH (http://www.one-it.de) den Teilnehmern wichtiges aktuelles Sicherheits-Know-how zur Abwehr von Hacking-Angriffen auf Ihre Unternehmenssysteme in einer kurzen Präsentation mit dem Titel „Cyber Defense für Windows-Umgebungen im deutschen Mittelstand“.<

Für die rechtlichen Fragestellungen möchte ich aus anwaltlicher Sicht als Fachanwältin für IT-Recht aus meiner Praxis eine Einführung geben und berichten, was Unternehmer zu der Reform meines Erachtens wissen sollten. Anhand aktueller Beispiele will ich Sie bei der Umsetzung unterstützen. Anschließend bietet der Workshop in kleinem Teilnehmerkreis die Möglichkeit zu vertiefender Diskussion.

Veranstaltungsort: Kanzlei Hagendorff, Am Straßbach 2 (Eingang Pfingstweide), 61169 Friedberg (Hessen)

Mindestteilnehmerzahl: 8 Teilnehmer

Teilnahmeentgelt 369 € zzgl. 19 % USt. je Teilnehmer, ab 2. Teilnehmer je Unternehmen 269 € zzgl.USt. inklusive Getränke

Zielgruppe: Datenschutzbeauftragte, Führungskräfte aus kleinen und mittelständischen Unternehmen, Betriebsräte, Selbständige

Veranstaltet von Stefanie Hagendorff – it-fachanwaeltin.de

P.S. Bitte nutzen Sie diese Unterlagen für die Anmeldung: Sind Sie fit für die EU-DSGVO(T2+3)2

Kategorien
Blogroll Datenschutzrecht Online-Handel Uncategorized Werberecht Wettbewerbs- und Werberecht Wettbewerbsrecht

#Abmahnungen wegen #Datenschutz #Social-Media Wie sollte man vorbeugen

Bei der Einbindung von Like Buttons und anderen sogenannten Social Plugins in die Webseite kann man sich als werbetreibender und damit verantwortlicher Unternehmer unangenehme und teure Abmahnungen von Verbraucherzentrale, Wettbewerbsvereinen oder Mitbewerbern einhandeln. Seit einigen Monaten dürfen auch diese Abmahnvereine wegen Datenschutzverstößen abmahnen, weil das Unterlassungsklagengesetz entsprechend geändert wurde. Einige wissenswerte Tipps für die Webdesigner, die versuchen wollen, ihre Kunden soweit als möglich zu schützen (Liste keineswegs vollständig, aber immerhin…) hat hier ein SEO Experte übersichtlich erklärt http://t3n.de/news/schutz-vor-social-plugin-abmahnungen-697470/

Kategorien
Datenschutzrecht Internetrecht Uncategorized

BGH-Mitteilung vom 01.07.2014 zu #Bewertungsportalen: Portalbetreiber darf Daten von Nutzern nur an Strafverfolgungsbehörde herausgeben

Laut Pressemitteilung des Bundesgerichtshofs (BGH Urteil vom 01.07.2014 – Az. VI ZR 345/13)  hat der Senat heute zugunsten eines Bewertungsportals und gegen den klagenden Arzt entschieden, dass ein Portalbetreiber bei Streit über negativer Bewertung in Form von  Schmähkritik oder auch bei strittigen negativen Tatsachenbehauptungen eines Nutzers nur gegenüber ermittelnden Strafverfolgungsbehörden Name, Anschrift oder sonstige persönliche Daten des Nutzers herausgeben darf, nicht aber dem geschädigten Arzt, der möglicherweise durch unwahre Behauptungen und Schmähkritik verletzt wird. Dieser kann nur die Unterlassung der weiteren Veröffentlichungen unter bestimmten Voraussetzungen durchsetzen und Strafanzeige erstatten und dann je nach Ergebnis der Ermittlungen später gegen den Urheber der negativen Äußerungen vorgehen.

Nach dem für Auskunftsersuchen gegenüber Privaten Dritten bei Online-Dienstleistern einschlägigen § 12 Telemediengesetz (TMG) sei hierfür eine gesetzliche Erlaubnisvorschrift erforderlich und diese habe der Gesetzgeber bewußt nicht geschaffen, um die anonyme Nutzung von Online-Diensten und den Meinungsaustausch der Nutzer zu schützen. Betroffene von negativen Bewertungen müssen also bei Vorliegen einer Verunflimpfung oder übler Nachrede Strafanzeige erstatten und können nur vom Portalbetreiber verlangen, dass er die weitere Veröffentlichung des streitigen negativen Beitrags unterläßt. Geben die Umstände Anlass für den Verdacht einer Straftat, ermitteln die zuständigen Strafverfolgungsbehörden, denen die Portalbetreiber ggfs. die Daten des Nutzers übermitteln müssen.

Die Verteidigung des guten Rufs und die Durchsetzung von Schadenersatzansprüchen gegen Urheber von falschen oder ungerechtfertigten negativen Bewertungen bleibt also ein aufwendiges Unterfangen.

Kategorien
Blogroll Datenschutzrecht Internetrecht Online-Handel Uncategorized Verbraucherschutz

OLG Frankfurt Urt. vom 30.09.2013: Abmahnung gegen Internetdienstleister, der unbefugt per e-mail mahnt, ist rechtskräftig

   

Update 26.11.2013: Das erfreuliche Urteil ist inzwischen rechtskräftig.

Das OLG Frankfurt hat mit Urteil vom 30.09.2013 Az. 1 U 314/12 entschieden, dass die IContent GmbH als  damalige Betreiberin der Abofalle outlets.de (inzwischen Webtains GmbH) bei einem  untergeschobenen Vertrag verpflichtet ist, es zu unterlassen, einen vermeintlichen Kunden per e-mail zu kontaktieren, insbesondere ihn zu mahnen und einen negativen Schufa-Eintrag in Aussicht zu stellen, ohne den Vertragsschluss verifiziert zu haben. Damit hat der betroffene Verbraucher mit seiner Widerklage  schließlich Erfolg gehabt.  Ein Gegenangriff ist in solchen Fällen also die beste Verteidigung! Lassen Sie Unternehmer abmahnen, wenn Sie die Bestellung bzw. „Anmeldung“ nicht zu verantworten haben und trotzdem per e-mail mit untergeschobenen Verträgen und Zahlungsaufforderungen belästigt werden! Wehren Sie sich so, dass Sie den Spiess umdrehen und lassen Sie anwaltlich das Unternehmen abmahnen, wenn es seine Pflichten nicht erfüllt und Ihnen unzulässigerweise Stress macht!

Die Unternehmen dürfen Verbraucher oder andere Gewerbetreibende nicht mit Rechnungen und Mahnungen oder sogar der Inaussichtstellung eines negativen Schufa-Eintrags belästigen und bedrohen, wenn die Online-Bestellung nicht verifiziert ist oder wenigstens der Aktivierungslink in der automatischen Mail für die Bestätigung der Bestellung nicht betätigt wurde. Hierbei enstehen nach anwaltlicher Abmahnung dem Unternehmen, das trotzdem Rechnungen versendet dann allein aufgrund der anwaltlichen  Abmahnung bereits Kosten nach dem Rechtsanwaltsvergütungsgesetz aus einem Unterlassungsstreitwert von 3.000 €! (Bei neuen Aufträgen nach dem 1.8.2013 sind das inzwischen nach der neuen Rechtsanwaltsvergütungsverordnung dann 334,75 €).

Das interessante Urteil ist hier im Volltext verfügbar: OLG Frankfurt Urteil vom 30-09-2013 Unterlassung e-mails