Verbraucherschutzverbände können gegen DSGVO-Verstöße vorgehen und Gastbestellung muss möglich sein

, , ,

EuGH: Verbraucherschutzverbände können gegen  Datenschutzverletzungen klagen.

Wir informieren Sie gerne über zwei sehr wichtige Entwicklungen im E-Commerce-Recht aus dieser Woche:

Der Europäische Gerichtshof hat zunächst mit Urteil vom gestrigen 28. April 2022 mit dem Aktenzeichen C -319/20 entschieden, dass auch Verbraucherschutzverbände wegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben können. Damit ist die lange umstrittene Frage, ob die DSGVO insoweit eine abschließende Regelung für den Datenschutz darstellt, endgültig und höchstrichterlich entschieden. Bislang haben zahlreiche Fachleute die Ansicht vertreten, dass Verstöße gegen die DSGVO nur durch Aufsichtsbehörden (und Betroffene Personen), nicht aber durch Verbraucherschutz- und Wettbewerbsverbände verfolgt werden können. Das ist jetzt (leider oder zum glück) geklärt. Dem Verfasser liegen bereits Verfahren von Verbraucherschutzzentralen gegen Shopbetreiber vor. Wir empfehlen Shopbetreibern daher, sich mit dem Thema Datenschutz für den eigenen Shop nochmals auseinanderzusetzen. Das betrifft natürlich insbesondere die Verwendung von Cookies, Remarketing-, Targeting- und Trackingmaßnahmen.

Deutsche Datenschutz-Aufsichtsbehörden: keine Gastbestellungsmöglichkeit ist Datenschutzverstoß

Allerdings können sich nach der Entscheidung des europäischen Gerichtshofs die Aktivitäten von Verbraucherschutzbehörden auf die Frage richten, welche Daten bei einer Bestellung überhaupt erhoben werden dürfen. Hierzu gibt es einen brandneuen Beschluss der Datenschutzkonferenz. Die Datenschutzkonferenz ist eine informelle Abstimmungsrunde der deutschen Aufsichtsbehörden für Datenschutz. Diese haben mit dem hier verlinkten Papier zum Ausdruck gebracht, dass sie eine Verpflichtung zum Anlegen eines Nutzerkontos vor dem Hintergrund der Datenminimierung, wie sie die DSGVO vorsieht, für unzulässig erachten. Zu Deutsch: ein Shop muss die Möglichkeit bieten, ohne dass Anlegen eines Benutzerkontos eine Bestellung zu tätigen. Für das Hinterlegen von Kreditkartendaten und die Auswertung von Bestell-Historien zu Werbezwecken stellt sich die DSK sogar eine Einwilligung vor. Wir regen an, Ihren Shop in Bezug auf diese Aspekte nochmals zu prüfen. Papiere der Datenschutzkonferenz sind weder Gesetze noch Rechtsverordnungen. Allerdings ist einerseits damit zu rechnen, dass eine Aufsichtsbehörde in einem Verfahren entsprechend dem Positionspapier entscheiden wird und andererseits, dass die Aufsichtsbehörden sich dem Thema vertieft widmen werden.

Wir sind Profis im E-Commerce und im digitalen Recht zuhause. Gemeinsam mit Ihnen analysieren wir Ihre Situation und finden eine praktikable Lösung  für Ihre ganz persönlichen Herausforderungen. Dabei hatten wir nicht nur die rechtliche Seite im Blick. Ebenso wichtig ist es, Ihre Mitarbeitenden „mitzunehmen“ und nicht nur mit Richtlinien, sondern nur mit deren Bedeutung vertraut zu machen. Nur so können Sie sich vor Abmahnungen, Haftungsfällen, Bußgeldern und letztendlich Gefahren für Ihren Geschäftsbetrieb effektiv schützen und für die Zukunft vorsorgen. Sprechen Sie uns an. Wir sind gerne für Sie da.

Über den Verfasser: Thomas Brehm ist Externer Datenschutzbeauftragter TÜV, ein Kenner der neuesten Entwicklungen des Datenschutzrechts und Partner bei BBS Rechtsanwälte Hamburg.

 

/von

Urteil des Landgerichts Bielefeld: Nennung als Referenzkunde nur mit Zustimmung des Kunden

, ,

Eine uns häufig gestellte Frage: Darf ich Kunden ohne deren Zustimmung als Referenzkunde benennen oder mit Kunden oder Kundenbeziehungen (z.B. auf meiner Website) werben?

Es gibt hierzu bislang sehr wenig Urteile/Rechtsprechung. Einerseits kann argumentiert werden, dass außerhalb des Schutzbereichs von Marken oder Persönlichkeitsrechten (z.B. bei unwahren Aussagen) keine expliziten Verbote für Referenzkundenwerbung bestehen. Anderseits: muss es ein Kunde hinnehmen, dass sein Name von Dienstleistern zur Eigenwerbung verwendet wird?

Ein sehr aktueller und brisanter Beitrag der Rechtsprechung zur Referenzkundenwerbung: LG Bielefeld, Urteil vom 23. November 2021 – 15 O 104/20

Das LG Bielefeld hatte zu entscheiden, ob und unter welchen Umständen ein Dienstleister mit den Namen seiner Kunden als Referenz auf der eigenen Webseite werben darf.

„Auch unter Berücksichtigung dieser Maßgabe liegt hier eine Verletzung des Unternehmenspersönlichkeitsrechts vor. Die Klägerin (…) ist durch die Angabe ihres Namens in der Rubrik „Kunden & Referenzen“ durch die Beklagte (…) in der Sozialsphäre ihres Persönlichkeitsrechts betroffen, da die Beklagte zu (…)  damit jedenfalls zum Ausdruck bringt, mit der Klägerin (…). in der Vergangenheit zusammengearbeitet zu haben. Die Klägerin hat ein schutzwürdiges Interesse daran, nicht als Kundin oder Referenz für die Beklagte (…) im Rahmen des Internetauftritts genannt zu werden, da sie selbst das Recht hat, ihre soziale Geltung zu definieren und zu entscheiden, für welche Zwecke ihr Name angegeben wird (…). Dieses Interesse überwiegt auch die berechtigten Belange der Beklagten (…).

Das gegenläufige Interesse der Beklagten (…) an Werbung mit den Namen von Kunden und Angabe von Referenzen ist zwar generell von der Berufsfreiheit, Art. 12 Abs. 1 GG, geschützt (…). Jedoch kann dieses Interesse vorliegend keine Schutzwürdigkeit beanspruchen, da nicht dargelegt ist, dass eine Zusammenarbeit mit der Klägerin (…) in der Vergangenheit bestand.“

Entscheidend: Unternehmenspersönlichkeitsrecht

Kurz gefasst:

Das Gericht hat in seinem Urteil Grundlagenarbeit geleistet. Es hat das sogenannte Unternehmenspersönlichkeitsrecht des Kunden gegen das Recht auf Berufsfreiheit des Dienstleisters abgebogen. Das „Unternehmenspersönlichkeitsrecht“ schützt den sozialen Geltungs- und Achtungsbereich eines Unternehmens. Grundsätzlich schützt es Unternehmen davor, herabgewürdigt oder beleidigt zu werden oder unwahre Tatsachenbehauptungen hinnehmen zu müssen. Jedoch können auch weitergehende Rechtsansprüche daraus abgeleitet werden. So auch im vorliegenden Fall, in dem das Gericht im Ergebnis dem Unternehmenspersönlichkeitsrecht entnommen hat, dass das Unternehmen selbst entscheiden kann, ob und in welcher Form es bzw. seine Identität von seinen Dienstleistern als Referenzkunde verwendet und genannt wird.

Bei der auf Unterlassung in Anspruch genommenen Dienstleisterin handelte es sich um eine Anbieterin von Workshops und Vorträgen. Nach Einschätzung des Gerichts werde die Beklagte zwar in ihrer Berufsausübung dadurch eingeschränkt, nicht mit den Identitäten ihrer Kunden werben zu dürfen. Jedoch wiege das Unternehmenspersönlichkeit der Kunden schwerer. Besonders wichtig (und von manchen Kommentatoren übersehen) war im konkreten Fall aber der Umstand, dass die (beiden) Beklagten nicht wirklich beweisen konnten, in welchem Umfang wirklich eine Zusammenarbeit/Leistung für die Kundin tatsächlich erbracht wurde.

Die Entscheidung des Landgerichts Bielefeld ist gut begründet, der Sachverhalt ließe sich jedoch durchaus im Ergebnis auch anders würdigen. Beispielsweise kann man durchaus ein überwiegendes Persönlichkeitsrecht des Unternehmens dort annehmen, wo durch die Nennung als Referenzkunde der gute Ruf des Unternehmens beeinträchtigt wird (Beispiel: Beratung beim Personalabbau oder Unterstützung bei der Beseitigung von Umweltschäden, die das Unternehmen verursacht hat). Ob aber die Berufsfreiheit des Dienstleisters in jedem Fall zurückzutreten hat, ist damit nicht gesagt und abseits des konkreten Falles auch nicht entschieden.

Hindernisse für Referenzkundennennung: Marken und Geschäftsgeheimnisse

Darüber hinaus sollten Dienstleister nicht vergessen, dass es zahlreiche andere Umstände gibt, die gegen eine Referenzkundennennung sprechen können:

  1. berufsrechtliche Hindernisse: beispielsweise dürfen Rechtsanwälte nicht Mandanten ohne deren Zustimmung zu Werbezwecken offenbaren;
  2. GeschGehG: das Gesetz zum Schutz von Geschäftsgeheimnissen untersagt das Offenlegen von Geschäftsgeheimnissen. Dabei wird heute jedoch oft vergessen, dass dieser Schutz durch den Geheimnisinhaber verdient werden muss, beispielsweise durch ausreichende technische und organisatorische Maßnahmen. Der Abschluss einer Verschwiegenheitsvereinbarung (NDA) mit der Regelung, dass alle ausgetauschten Informationen inklusive der Identität des Vorstandsvorsitzenden einer börsennotierten Aktiengesellschaft und deren Geschäftsadresse Geschäftsgeheimnisse sind, dürfte hierfür nicht mehr reichen;
  3. gewerbliche Schutzrechte: insbesondere das Markenrecht könnte ihr für Dienstleister durchaus erhebliche Risiken bergen. Beispielsweise für die Werbung mit einem bekannten Kunden: im Anwendungsbereich bekannter Marken gerät man schnell in den Bereich einer Markenverletzung.
  4. Datenschutz: natürliche Personen genießen den besonderen Schutz von DS-GVO & Co.

Durch geschickte Vertragsgestaltung lässt sich ein Recht auf Referenzkundennennung oder zumindest eine dienstleisterfreundliche Regelung der Frage für mehr Rechtssicherheit  formulieren und häufig auch relativ unproblematisch in die Geschäftsbeziehung hineinverhandeln. AGB-Klauseln sollten allerdings mit Vorsicht und Sachverstand formuliert werden, um möglichst wenig Angriffsfläche zu bieten. Zu plumpe Formulierungen geraten schnell in das Risiko der Unwirksamkeit.

Sie haben Fragen? Wir haben Antworten. Gerne sind wir für Sie da.

 

/von

Verordnung geleaked: EU-Regelung für Cookies – Das Ende der Cookie-Banner?

, ,

Datenschutz-Grundverordnung: Neuerungen ab 2018

Am 25.05.2018 tritt die  europäische Datenschutz Grundverordnung in Kraft. Damit werden viele althergebrachte Regelungen des Datenschutzrechts durch eine einheitliche europäische Gesetzgebung ersetzt. Manches wird besser, vieles unklarer. Und in vielerlei Hinsicht ist  für die Verarbeiter personenbezogener Daten, deren Dienstleister und natürlich insbesondere E-Commerce-Anbieter auch jetzt noch nicht klar, wie die neuen gesetzlichen Regelungen aufzufassen und auszulegen sind.

Jedoch dreht sich das Rad weiter. Da die Datenschutz-Grundverordnung das Datenschutzrecht in Europa einheitlich vorrangig regelt, werden auch die nationalen deutschen Datenschutzregelungen des Telemediengesetzes überflüssig. Bislang ergibt sich daraus eine erhebliche Rechtsunsicherheit, da beispielsweise das Telemediengesetz in § 13 Abs. 2 sehr detaillierte Anforderungen an datenschutzrechtliche Einwilligungen stellt. Solche klaren Anforderungen können zwar lästig sein, geben jedoch auch ein Mehr an Rechtssicherheit, da sich daraus zumindest ein How-To für eine zulässige Einwilligungserklärung ableiten lässt.

Auf europäischer Ebene sind derart klare Anforderungen eher selten anzutreffen. Das Gesetz spricht hier oft eine andere Sprache als die tradierten Formulierungen der nationalen deutschen Regelungen.

Cookie-Banner: Pflicht oder nicht?

Cookie Hinweis Pflichtrichtlinie Datenschutzrichtlinie Datenschutz Grundverordnung Telemediengesetz Zustimmung Einwilligung Pflicht Gesetz

Morgen, verantwortliche Stellen, wirds was geben…. © panthermedia.net / Frank Straube

Dies ließ sich in der Vergangenheit insbesondere aus dem Hick-Hack um die Umsetzung der Cookie-Richtlinie erkennen. Lange war streitig, ob und wie die sich aus dieser Richtlinie ergebende Verpflichtung zur Einholung einer Einwilligung des Nutzers für das Setzen eines Cookies aufzufassen ist. Zunächst hieß es, die deutsche Gesetzgebung habe die Richtlinie nicht rechtzeitig umgesetzt. Anschließend ließ die Bundesregierung verkünden, dass bereits alle Anforderungen im aktuell geltenden deutschen Recht umgesetzt seien (https://www.telemedicus.info/article/2722-Die-Stellungnahme-der-Bundesregierung-zur-Cookie-Richtlinie.html). Die erforderliche Zustimmung könne – entgegen den strengen Anforderungen des § 13 Abs. 2 TMG – bei cookies über die entsprechenden Browser-Einstellungen des users erfolgen. Die Rechtsprechung ist dieser Einschätzung weitgehend gefolgt. Für Betreiber von Webseiten ergaben sich danach zunächst  also keine Änderungserfordernisse, wenn sie denn die nach § 13 Abs. 1 Telemediengesetz vorgeschriebene Datenschutzerklärung auf ihrer Website bereithielten.

Das änderte sich im Wesentlichen im Jahr 2015. Allenthalben tauchten Banner auf, mittels welchen auf den Einsatz von Cookies hingewiesen wurde. Hintergrund dieser Banner: es gibt keine gesetzliche Verpflichtung für einen Cookie-Hinweis in Banner-Form. Dies ergibt sich aus der oben zitierten Stellungnahme der Bundesregierung. Allerdings: Google fordert für den Einsatz einiger seiner Produkte, dass der Nutzer dem Einsatz von Cookies zustimmt (https://www.google.com/about/company/user-consent-policy.html). Die oftmals gestellte Frage nach der Rechtspflicht für ein Cookie-Banner oder einen Cookie-Hinweis ist daher nach dem Dafürhalten des Verfassers so zu beantworten, dass zumindest für deutschsprachige Seiten keine gesetzliche Pflicht besteht, es jedoch  beim Einsatz von Google-Produkten höchst ratsam ist. Denn Google stellt – das mag verwundern – insoweit strengere Anforderungen an den Datenschutz als das deutsche Recht.

Darüber hinaus können sich Rechtspflichten dann ergeben, wenn mit der Internetseite ausländisches Publikum angesprochen wird, also auch nationale Gesetze anderer Länder zum Einsatz kommen, welche durchaus strengere Anforderungen an Einwilligungen für das Setzen von Cookies  bestimmen können. Beispielsweise sieht das britische Datenschutzrecht vor, dass vor dem Setzen eines Cookies tatsächlich eine aktive Einwilligung des Nutzers eingeholt werden muss (Beispielsweise nach Stellungnahme der britischen Aufsichtsbehörde für Datenschutz: https://ico.org.uk/for-organisations/guide-to-pecr/cookies-and-similar-technologies/: „At present, most browser settings are not sophisticated enough for websites to assume that consent has been given to allow the site to set a cookie.“).

Brandaktuell: Leak zur gesetzlichen Neuregelung von cookies

Am gestrigen 15.12.2016 „leakte“ nun der Entwurf einer neuen europäischen Verordnung, welche die bisherige E-Privacy-Richtline ersetzen soll und vorrangig zu Datenschutz-Grundverordnung  gelten soll (http://www.politico.eu/wp-content/uploads/2016/12/POLITICO-e-privacy-directive-review-draft-december.pdf). Nach dem Entwurf dieser „Privacy and Electronic Communikations Regulation“ Soll die Erhebung personenbezogener Daten im Internet auch weiterhin der Zustimmung des Betroffenen bedürfen, soweit die personenbezogenen Daten nicht zwingend benötigt werden, um die entsprechenden Dienste zu erbringen. Für einen anderweitigen Einsatz, und  damit auch für nicht zwingend erforderliche Cookies,  sieht die Verordnung  ein Zustimmungserfordernis vor. Das entspricht auch der bisherigen Rechtslage im Telemediengesetz. Allerdings ergibt sich aus Art. 9 des Entwurfs folgender entscheidender Absatz:

Neuregelung zum elektronischen Geschäftsverkehr: Cookie-Einwilligung durch Browser-Einstellung

Artikel 9 Abs. 1 und 2 des Verordnungsentwurfs

Wo technisch möglich und  effektiv, soll also die Erklärung  der Zustimmung für das Setzen eines Cookies in Zukunft auch  dadurch erfolgen können, dass die entsprechenden Einstellungen in der Software-Anwendung vorgenommen werden, welche den Zugriff auf das Internet ermöglicht (vulgo also der Browser). Damit würde sich das europäische Recht der gegenwärtigen deutschen Rechtslage angleichen. Es wird also spannend werden, ob  es dann möglicherweise sogar so weit kommt, dass die datenschutzrechtlichen Anforderungen von Google  weiter gehen als  diejenigen des Gesetzgebers der Europäischen Union. Vor diesem Hintergrund  muss sich der Gesetzgeber allerdings tatsächlich fragen lassen, ob die Verbesserung des Datenschutzes, insbesondere  im Hinblick auf den grenzüberschreitenden Datenverkehr, mit der Datenschutz-Grundverordnung und der sich daran anschließenden Gesetzgebung tatsächlich erreicht wird.

Für Unternehmen bedeutet dies, dass zumindest Hoffnung besteht, dass die visuell störenden und technisch nicht vorzugswürdigen Cookie-„Balken“ möglicherweise verschwinden könnten. Das würde allerdings voraussetzen, dass die Verordnung insoweit  entsprechend dem Entwurf tatsächlich in Kraft tritt und Google seine Anforderungen entsprechend herabsetzt. Wir werden Sie auf unseren Internetseiten  über den weiteren Fortgang informieren.

Aktuelle und rechtssichere Informationen zum Datenschutz, praxisgerechte Lösungen und unternehmensnahe Beratung erhalten Sie bei den Experten von BBS Rechtsanwälte. Wir beraten und vertreten zahlreiche Unternehmen mit unterschiedlicher Ausrichtung und unterschiedlichen Herausforderungen für rechtlich einwandfreie, praxisgerechte und effiziente Datenschutzkonzepte. Sprechen Sie uns an. Wir sind gerne für Sie da.

 

 

/von

Datenschutzrecht: Klagerecht für Abmahnvereine soll kommen

, , ,

Datenschutzrecht: Eine Exotendomäne?

Als praxisorientierter Berater und Experte im Datenschutzrecht konnte ich bislang bei Unternehmen häufig eine recht verbreitete Einschätzung zu diesem Rechtsbereich antreffen: für nicht wenige Mittelständler und auch größere Unternehmen ist der Datenschutz ein lästiges und kurioses Nebengebiet. „Datenschutzrechtler“ werden mitunter als kuriose „Freaks“ angesehen, die insbesondere den operativen Entscheidern sowie den Werbe- und Marketingabteilungen mit realitätsfremdem Anspruchsdenken auf die Nerven fallen. Datenschutzrechtliche Vorschriften wurden dementsprechend bislang oft  als Soll-Vorschriften angesehen. Sie waren wurde mitunter allenfalls als moralische Leitlinie, aber weniger als integrale Compliance-Anforderung für die Gestaltung der eigenen Geschäftsprozesse wahrgenommen. Dies hatte auch eine Ursache: Verfahren der Aufsichtsbehörden und insbesondere spürbare Folgen waren eher eine Seltenheit. Dies liegt mitunter an der Komplexität datenschutzrechtlicher Vorschriften, viel häufiger wohl aber auch an der für eine effektive Aufsicht häufig viel zu geringen Personalausstattung der Aufsichtsbehörden. Darüber hinaus lag der Fokus häufig auf der Datenschutzpraxis großer IT-Anbieter wie beispielsweise Google & Co. KMU hatten häufig nicht ganz zu Unrecht die Wahrnehmung, in dieser Hinsicht einmal nicht zum eigenen Nachteil „unter dem Radar“ zu fliegen.

Bislang überschaubares Risiko

Datenschutz Wettbewerbsrecht Anwalt Rechtsanwalt Experte Hamburg Datenschutzbeauftragter

Datenschutzrecht. Künftig mehr Fallen für nachlässige Unternehmen?
© panthermedia.net /Arunas Gabalis

Für ein wenig mehr Nervosität sorgte unlängst der Schwenk einiger Gerichte, die das Datenschutzrecht zum Ansatzpunkt für wettbewerbsrechtliche Ansprüche erklärt haben. Während zunächst noch beispielsweise das Kammergericht Berlin (Entscheidung zum Facebook-Button, Beschluss vom 29. 4. 20115 W 88/11) und das Landgericht München (zur Frage der Nutzung von personenbezogenen Daten für Werbezwecke; Urt. v. 12.?1. 2012 – 29 U 3926/11) die Ansicht vertreten haben, dass datenschutzrechtliche Rechtsverstöße ausschließlich zu Ansprüchen des jeweiligen Betroffenen, nicht jedoch zu wettbewerbsrechtlichen Ansprüchen führen, hat sich dies mittlerweile nahezu durchgehend verändert. So haben beispielsweise das Kammergericht Berlin (zu einer datenschutzwidrigen Freunde-finden-Funktion von Facebook; KG: Urteil vom 24.01.2014 – 5 U 42/12), aber auch das Landgericht Hamburg (zur Frage von wettbewerbsrechtlichen Ansprüchen bei Fehlen der gesetzlich vorgeschriebenen Datenschutzerklärung auf Internetseiten; LG Hamburg, Urteil vom 27.06.20133 U 26/12) und auch das Oberlandesgericht Karlsruhe (Zur Frage von wettbewerbsrechtlichen Ansprüchen bei datenschutzwidriger Kunden-Reaktivierung; Urt. v. 9.5. 2012 – 6 U 38/11) entschieden, dass das Datenschutzrecht so genannte Marktverhaltensregeln enthält. Marktverhaltensregeln sind solche Normen, bei denen Verstöße gegen die gesetzliche Vorschrift gleichzeitig über § 4 Nr. 11 UWG als Wettbewerbsverstöße verfolgt werden können. Zu deutsch: es kann nicht nur der datenschutzrechtliche Betroffene Ansprüche wegen einer Rechtsverletzung erheben. Vielmehr drohen auch Abmahnungen, einstweilige Verfügungen und Unterlassungsklagen von Wettbewerbern. Allerdings: da das Datenschutzrecht, ganz im Gegensatz zu anderen Rechtsgebieten mit gleicher praktischer Relevanz, eher als abstraktes Nebengebiet aufgefasst wurde, hielt sich auch die „Angriffslust“ der Wettbewerber in verhältnismäßig engen Grenzen. Schließlich musste jeder, der einen Wettbewerber wegen Datenschutzverstößen abmahnt auch damit rechnen, für eigene nicht ganz unwahrscheinliche Verstöße zur Rechenschaft gezogen zu werden. Aus Furcht vor einem derartigen „Bumerang-Effekt“ waren wettbewerbsrechtliche Verfahren in Bezug auf datenschutzrechtliche Vorschriften in der Praxis eher selten. Hier stellen gegenwärtig jedenfalls noch die „Klassiker“ des Verbraucherrechts, beispielsweise Information- und Hinweispflichten, Musterbelehrungen und natürlich vor allem allgemeine Geschäftsbedingungen sowie Irreführungstatbestände die in der Praxis des Verfassers häufigsten Ansatzpunkte für wettbewerbsrechtliche Auseinandersetzungen dar.

Das kann sich nun dramatisch ändern.

Änderung des Unterlassungsklagengesetzes: Klagerecht für Abmahnvereine und Wettbewerbsverbände

Denn nach dem Willen der Bundesregierung sollen künftig nicht nur Wettbewerber, sondern vor allem auch Verbraucherschutzverbände und Abmahnvereine gegen Datenschutzverstöße vorgehen können. Die Bundesregierung hat in dieser Woche einen Entwurf zur Änderung des Unterlassungsklagengesetzes verabschiedet. Danach sollen künftig Datenschutzverletzungen auch durch Verbraucherverbände und Abmahnvereine abgemahnt werden können. Der verabschiedete Entwurf enthält einige Abmilderungen zur ursprünglichen Fassung des Ministeriums für Justiz und Verbraucherschutz. Allerdings wird die Novelle im (höchst wahrscheinlichen) Fall der Verabschiedung als Gesetz dennoch weitreichende Folgen haben.

Künftig sollen durch einen neuen § 2 Abs. 2 Nr. 11 Unterlassungsklagengesetzes-E (UKlaG-E) ein Verbraucherschutzverband oder ein Abmahnverein auch gegen die rechtswidrige Erhebung und Verwendung von personenbezogenen Verbraucherdaten durch Unternehmen vorgehen können. Diese sogenannte Aktivlegitimation besteht, wenn diese Verbraucherdaten zu Werbe, Markt- und Meinungsforschungs-, Auskunftei- und Daten/-Adresshandelszwecken oder zur Erstellung von Persönlichkeits- und Nutzungsprofilen verwendet werden.

Mit dem Gesetzentwurf soll gleichzeitig vermieden werden, dass die im Datenschutzrecht beispielsweise zur Überprüfung von Entscheidungen der Datenschutz-Aufsichtsbehörden (jene erlassen Verwaltungsakte, beispielsweise mit der Verhängung von Bußgeldern oder mit der Anordnung der Einstellung einer bestimmten Datenverarbeitung) zuständigen Verwaltungsgerichte Entscheidungen fällen, die im Widerspruch zu den im Wettbewerbsrecht zuständigen Zivilgerichten stehen. So soll bei Verbandsklagen in Bezug auf Datenschutz-Verstöße Künftig die jeweilige Aufsichtsbehörde gehört werden. Wenn das Gesetz zustande kommt, soll es nach Ablauf von sechs Monaten in Kraft treten. Dies könnte zu einer erheblichen Veränderung der wettbewerbsrechtlichen Schwerpunkte führen. Anders als Wettbewerbsunternehmen müssen nämlich Verbraucherschutzverbände oder Wettbewerbsverbände nicht damit rechnen, im Falle einer Abmahnung für eigene vergleichbare Rechtsverstöße zur Verantwortung gezogen zu werden.

Mehr Rechtsunsicherheit für Unternehmen

Die Gesetzesnovelle dürfte bei Datenschützern auf große Zustimmung treffen. Als Rechtsanwälte sehen wir dieses Vorhaben kritisch. Das Datenschutzrecht und das Wettbewerbsrecht sind in hohem Maße durch auslegungsfähige Tatbestände und Rechtsbegriffe geprägt. Praxis und Maßstäbe der Auslegung unterscheiden sich jedoch nicht unerheblich. So ist der im neuen Gesetzesentwurf vorgesehene Begriff der Werbung datenschutzrechtlich häufig etwas enger auszulegen als im Wettbewerbsrecht. Der Begriff  der Werbung umfasst im Wettbewerbsrecht jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern. Der Werbebegriff im Sinne des § 28 Abs. 3 BDSG wird hingegen in der Praxis häufig zielorientierter ausgelegt. Gerade das deutsche Datenschutzrecht ist durch einen recht hohen Anspruch geprägt, wohingegen das deutsche Wettbewerbsrecht sich durch mitunter drastische praktische und monetäre Folgen kleinster Verstöße auszeichnet. Für Unternehmen eine gefährliche Kombination.

Jetzt vorsorgen und Nachteile vermeiden

Es ist nur zu hoffen, dass eine europaweite Harmonisierung des Datenschutzrechts mit klaren und nachvollziehbaren Bestimmungen für mehr Rechtssicherheit und Waffengleichheit sorgen kann und wird. Einstweilen sind Unternehmer jedoch gut beraten, ihre Positionierung im Bereich Datenschutz sorgfältig zu prüfen.

Entsprechen Ihre Geschäftsprozesse dem geltenden Datenschutzrecht? Wollen Sie riskieren, für Kundengewinnungspraktiken zu Unterlassung gezwungen zu werden? Häufig sind die Einschränkungen der eigenen Markt-Möglichkeiten deutlich schwerwiegender als die ohnehin im Wettbewerbsrecht häufig nicht zu verachtenden Kosten der Auseinandersetzung selbst. Datenschutzrechtliche Bestimmungen sollten daher integraler Bestandteil der Werbestrategie sein.Denn nur wer hier das Risiko wettbewerbsrechtlicher Auseinandersetzungen kennt, kann auf Basis sachlich zutreffender verglichen informierte Abwägungen vornehmen und Entscheidungen treffen.

Wir stehen Ihnen hierbei gerne zur Seite. BBS Rechtsanwälte ist nicht nur im Datenschutzrecht, sondern insbesondere auch auf dem heiklen Gebiet des Wettbewerbsrechts Ihr erfahrener und zuverlässiger Begleiter. Wir erarbeiten mit Ihnen praxisgerechte Konzepte und die notwendigen Maßnahmen zur Absicherung Ihres Erfolgs. Welche Risiken gehen Sie ein? Welche Kosten drohen? Sind neben Kosten- und Prozessrisiken möglicherweise ganz andere Faktoren zu berücksichtigen, die über den Ärger einer Abmahnung oder eines gerichtlichen Verfahrens hinaus weitreichende Konsequenzen für die künftige Werbestrategie haben? Hierfür benötigen Entscheider praxisgerechten Expertenrat. Sprechen Sie uns an. Wir sind gerne für Sie da!

 

 

/von

Datenschutzrecht: welche Daten darf der Arbeitgeber herausgeben?

, ,

Datenschutz im Arbeitsverhältnis: Spezialgebiet

Nicht nur im „klassischen“ Arbeitsrecht geht es um die besonderen Rechte von Arbeitnehmern. Häufig erreichen uns Fragen zum Datenschutzrecht im Arbeitsverhältnis. Besonders oft muss geklärt werden, welche Arbeitnehmer-Daten der Arbeitgeber erheben darf und in welchem Umfang diese Daten gespeichert und verwendet werden dürfen. Besonders kritisch wird es, wenn die Daten von Arbeitnehmern an Dritte (also nicht am Arbeitsverhältnis beteiligte Parteien) weitergegeben werden sollen. Nicht nur die Aufsichtsbehörden, auch Arbeitnehmer reagieren in Bezug auf die Datenverarbeitung im Arbeitsverhältnis besonders empfindlich.

Sondervorschriften für Arbeitnehmerdaten

Anwalt Experte Datenschutzdatenschutzbeauftragte Hamburg Streit Frage Arbeitnehmerdaten

Datenschutz im Arbeitsverhältnis: besondere Regeln erfordern besondere Maßnahmen
(c) panthermedia.net / Randolf Berold

Für das Arbeitsverhältnis besteht vor allem die Sondervorschrift des § 32 Bundesdatenschutzgesetz (BDSG). Danach dürfen personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber dazu genutzt werden, um das Arbeitsverhältnis zu begründen (beispielsweise Bewerbungsunterlagen auszuwerten oder Personenstammdaten zu erheben) durchzuführen (beispielsweise für die Gehaltsabrechnung oder die Personalverwaltung) oder zu beenden (beispielsweise die Erhebung und Speicherung etwaiger Kündigungsgründe). Zur Aufdeckung von Straftaten dürfen personenbezogene Daten im Arbeitsverhältnis nur dann erhoben, verarbeitet oder genutzt werden, wenn ein konkreter Verdacht im Hinblick auf eine konkrete Straftat vorliegt, keine milderen Mittel zur Aufdeckung der Straftat zur Verfügung stehen und sonstige schutzwürdige Interessen des Beschäftigten einer Datenverarbeitung nicht entgegenstehen. Für das konkrete Beispiel: die vorsorgliche Überwachung von Arbeitnehmern mittels einer Videoüberwachung ist unzulässig, wenn sie darauf gestützt wird, dass möglicherweise durch Mitarbeiter ein Diebstahl begangen werden kann. Sie kann jedoch im Ausnahmefall zulässig werden, wenn konkrete Diebstahlsdelikte vorgelegen haben und die Videoüberwachung die einzige noch zur Verfügung stehende Maßnahme zur Aufdeckung dieser Diebstahlsdelikte ist. Ist eine Verarbeitung oder Nutzung personenbezogener Daten im Arbeitsverhältnis nicht mehr durch § 32 BDSG gedeckt, ist die Zustimmung des Arbeitnehmers erforderlich. Dabei ist von Arbeitgebern besonders zu beachten, dass die Zustimmung freiwillig erteilt werden muss. Dies ist im Arbeitsverhältnis in der Praxis gar nicht so leicht, denn Gerichte wie auch Aufsichtsbehörden gehen davon aus, dass das Arbeitsverhältnis durch eine besondere Stärkeposition des Arbeitgebers gegenüber dem Arbeitnehmer (welcher ja seine Arbeitsstelle gerne behalten will) geprägt ist.

BGH aktuell: keine Weitergabe von Arbeitnehmer-Privatanschriften an Dritte

Neue brandaktuelle Rechtsprechung zur Verarbeitung personenbezogener Daten im Arbeitsverhältnis hat der Bundesgerichtshof beigesteuert. Der BGH hat entschieden, dass Arbeitgeber nicht berechtigt sind, die Privatanschrift von Angestellten an Dritte weiterzugeben (BGH, Urteil vom 20. Januar 2015 – VI ZR 137/14).

In der aktuellen Entscheidung des BGH ging es um die Herausgabe der Privatanschrift zweier Ärzte. Der Kläger war Patient einer Klinik, die Beklagte ist die Betreiberin dieser Klinik. Der Kläger beansprucht Schadensersatz von zwei angestellten Ärzten der Beklagten. die Klage konnte zwar an der Klinikanschrift zugestellt werden, der Kläger wollte jedoch darüber hinaus die Privatanschrift der Ärzte zu Zustellungszwecken in Erfahrung bringen und forderte dies im Weg der Klage von der Arbeitgeberin der betroffenen Ärzte. Zu Unrecht, wie der Bundesgerichtshof entschied. Während noch das zuvor erkennende Landgericht der Klage stattgegeben hatte, wies der Bundesgerichtshof die Klage unter Aufhebung der Vorinstanz ab. Das Landgericht hatte noch argumentiert, dass die Forderung nach Anonymität sich mit dem besonderen Wesen des Verhältnisses zwischen Arzt und Patienten nicht vertrage (Landgericht Görlitz – Urteil vom 14. Februar 2014 – 2 S 174/13). Dem erteilte der Bundesgerichtshof eine klare Absage.

Der Patient habe zwar gegenüber Arzt und Krankenhaus grundsätzlich einen Anspruch auf Auskunft in Bezug auf die ihn betreffenden Unterlagen, und zwar auch dann, wenn kein Rechtsstreit im Raum steht. In diesem Zusammenhang sei eine Klinik auch dazu verpflichtet, dem Patienten den Namen eines behandelnden Arztes mitzuteilen. Allerdings gehe die Forderung nach der Mitteilung der Privatanschrift zu weit. Da der Kläger die Klageschrift für seine Ansprüche auch an die Klinikanschrift zustellen konnte, bestünde für die Mitteilung der Privatanschrift keine Veranlassung. Der Erteilung einer Auskunft über die Privatanschrift von Mitarbeitern steht auch nach der Einschätzung Bundesgerichtshofs insbesondere die Vorschrift des § 32 Abs. 1 Satz 1 BDSG entgegen. Die Regelung gestattet dem Arbeitgeber die Erhebung, Verarbeitung und Nutzung von Daten (nur) für Zwecke des Beschäftigungsverhältnisses. Der Arbeitgeber ist aber grundsätzlich nicht berechtigt, personenbezogene Daten, die für Zwecke des Beschäftigungsverhältnisses erhoben worden sind, an Dritte weiterzuleiten, wenn dies nicht im Hinblick auf das Beschäftigungsverhältnis notwendig ist.

Externe Lohnabrechnung: Auftragsdatenverarbeitung beachten!

Die vorgenannte Entscheidung des Bundesgerichtshofs ist stringent und richtig. Der Umgang mit personenbezogenen Daten von Arbeitnehmern bedarf einer besonderen Sensibilität und Aufmerksamkeit auf der Seite des Arbeitgebers. Auf der einen Seite ist natürlich zu beachten, dass es kein gesetzliches Gebot der absoluten Verschwiegenheit für sämtliche das Arbeitsverhältnis in irgendeiner Form betreffenden Informationen gibt. Insbesondere, wenn Arbeitnehmer nachweislich Straftaten begangen haben, erkennen Gerichte in der Praxis häufig berechtigte Interessen des Arbeitgebers an der Erhebung und Nutzung dieser Daten an. Andererseits steht der Arbeitgeber in der Pflicht, die ihm anvertrauten Arbeitnehmerdaten sorgfältig und nur im Rahmen der Zweckbindung des Arbeitsverhältnisses zu verwenden. Dazu gehört nicht nur, dass diese Daten nicht ohne ausreichenden rechtlichen Grund an Dritte übermittelt werden dürfen. Insbesondere im Bereich der Auftragsdatenverarbeitung erleben Datenschutzexperten in der Praxis häufig eine mangelnde Sensibilität im Hinblick auf Datenschutz und Datensicherheit. Viele Arbeitgeber wissen nicht, dass beispielsweise besondere Formvorschriften für ausgelagerte Datenverarbeitung bestehen, so beispielsweise bei der elektronischen Lohndatenverarbeitung. § 11 BDSG sieht hier vor, dass ein im Original vorliegender, schriftlicher Vertrag geschlossen werden muss, der ganz bestimmte Mindestanforderungen an inhaltliche Bestimmbarkeit und effektiv durchzusetzende Weisungsrechte des Arbeitgebers enthalten muss. Liegt ein solcher Vertrag nicht, nicht in der erforderlichen Form oder nicht mit dem erforderlichen Inhalt vor, ist die Übermittlung von Arbeitnehmerdaten unzulässig. Dies kann im Ernstfall sogar zu Schadensersatzansprüchen der Betroffenen oder Bußgeldverfahren der Aufsichtsbehörden führen.

Wir stehen nicht nur Betroffenen bei der effektiven Durchsetzung ihrer Rechte zur Seite. Ein besonderer Schwerpunkt der Expertise von BBS Rechtsanwälte besteht in der praxisorientierten, strategischen und vorsorglichen Beratung und Unterstützung von Arbeitgebern im Hinblick auf datenschutzrechtliche Fragestellungen. Sie haben Fragen oder Beratungsbedarf? Sie fragen sich beispielsweise, ob Sie einen externen betrieblichen Datenschutzbeauftragten bestellen sollen oder ob Ihre getroffenen Vereinbarungen den datenschutzrechtlichen Anforderungen entsprechen? Wir sind gerne für Sie da.

Rechtsanwalt Thomas Brehm ist Anwalt und Experte im Bereich des Datenschutzrechts und des Informationstechnologierechts mit langjähriger Erfahrung. Er steht unter anderem Unternehmen als externer betrieblicher Datenschutzbeauftragter und als Berater bei betrieblichen Konflikten und bei der Vertragsgestaltung im Bereich des Datenschutzes zur Seite. Darüber hinaus betreut er Unternehmen in Bezug auf Verfahren und Maßnahmen der Datenschutz-Aufsichtsbehörden.

 

/von

Hilfe oder Haftungsfalle? BGH urteilt zur Empfehlungswerbung per E-Mail

, , ,

Emailwerbung: Übersicht zur Rechtslage

Die Rechtslage für den Versand von E-Mail-Werbung ist rechtlich (insbesondere wettbewerbsrechtlich und datenschutzrechtlich) verhältnismäßig klar und durch zahlreiche Urteile gefestigt:

Wer Werbe-E-Mails versendet, benötigt hierzu die Zustimmung der Person, deren E-Mail-Adresse Ziel der Werbe-E-Mails ist. Das gilt gleichermaßen für die Werbung gegenüber Verbrauchern und Gewerbetreibenden. Entgegen einem weit verbreiteten Irrtum ist E-Mail Werbung gegenüber Gewerbetreibenden ebenfalls nur mit Zustimmung des Adressaten zulässig. Andernfalls liegt eine Verletzung des Rechtes am eingerichteten und ausgeübten Gewerbebetrieb vor (vgl. BGH, Beschluss vom 20.5.2009 0- AZ: I ZR 218/07). Hiergegen kann der Inhaber des Postfachs mit einer Abmahnung und auch gerichtlichen Schritten vorgehen.

Risko falsche Emailadresse: Versender haftet

Werberecht Email Newsletter Spam Abmahnung Abgemahnt Hilfe Anwalt Rechtsanwalt Hamburg Spezialist

Häufig, teuer und ohne Einwilligung meistens berechtigt: Abmahnung für Emailwerbung
©PantherMedia/Tomas Anderson

Das Risiko, die richtige E-Mail-Adresse zu adressieren, trägt der Versender der Werbe-E-Mail. Wer beispielsweise Werbung an ein E-Mail Postfach verschickt, das nicht vom Inhaber des Postfachs, sondern von einem Dritten als Zieladresse angegeben wurde (beispielsweise im Rahmen einer Registrierung) haftet dem Inhaber des Postfachs auf Unterlassung. Er kann sich insbesondere nicht darauf berufen, dass er irrtümlich vom Vorliegen einer Einwilligung ausging. Hierzu hat der Bundesgerichtshof entschieden, dass zum Beispiel durch eine Rückbestätigungs-E-Mail (Double-Opt-In; kritisch gesehen: Confirmed-Opt-In) durch den Versender von Werbung sichergestellt werden muss, dass E-Mail-Adressen nur vom tatsächlich Berechtigten angegeben wurden. Wenig hilfreich ist in diesem Zusammenhang natürlich die bislang vereinzelt gebliebene Entscheidung des Oberlandesgerichts München, nach welcher bereitsdie E-Mail mit dem vom Adressaten zur Verifizierung anzuklicken den Bestätigungs-Link als – unerlaubte – E-Mail Werbung angesehen wurde (OLG München, Urteil v. 27.09.2012 – 29 U 1682/12).

Urteil: strenge Maßstäbe für Zulässigkeit

E-Mail Werbung ist preisgünstig und ermöglicht die Ansprache eines großen Adressatenkreises ohne nennenswerte Kosten der Aussendung. Daher ist die Verlockung einer nicht den rechtlichen Anforderungen entsprechenden Vorgehensweise verhältnismäßig groß. Dem begegnet die Rechtsprechung regelmäßig mit besonders scharfen Anforderungen, um eben genau dieser Sogwirkung zu begegnen. So stellte der Bundesgerichtshof bereits im Jahr 2004 zu dieser Thematik fest (BGH, Urt. v. 11. 3. 2004, AZ: I ZR 81/01):

„Bei der wettbewerbsrechtlichen Beurteilung der E-Mail-Werbung ist maßgeblich darauf abzustellen, dass das Internet eine weite Verbreitung gefunden hat und durch die Übermittlung per E-Mail eine billige, schnelle und durch Automatisierung arbeitssparende Versendungsmöglichkeit besteht. Diese Werbeart ist daher, soweit sie nicht ohnehin schon einen erheblichen Umfang erreicht hat, auf ein immer weiteres Umsichgreifen angelegt. Denn ohne Einschränkungen der E-Mail-Werbung ist auf Grund ihrer Vorteilhaftigkeit für den Werbenden mit einem Nachahmungseffekt bei denjenigen Mitbewerbern zu rechnen, die bislang nicht mittels E-Mail geworben haben, sich aus Wettbewerbsgründen jedoch hierzu gezwungen sehen.“

BGH: Haftung für „tell a friend“-Werbung / Empfehlungswerbung

Viele Unternehmen sehen eine Lösung darin, die Werbung nicht mehr selbst, sondern durch Ihre Kunden verschicken zu lassen. Mit derartigen Empfehlungs-Funktionen („tell a friend“ oder „Kunden werben Kunden“) ist oftmals die Hoffnung verbunden, dass für über solche Funktionen versandte Werbe-E-Mails nicht das beworbene Unternehmen, sondern vielmehr der Versender verantwortlich ist. Diese Hoffnung hat sich nicht erfüllt.

Wie der Bundesgerichtshof in einer jüngst veröffentlichten Entscheidung (BGH, Urteil vom 12. September 2013 – I ZR 208/12) klarstellte, ist auch bei – unerwünschter – Empfehlungswerbung nicht nur der Versender der E-Mail gegenüber dem Empfänger zur Unterlassung verpflichtet. Vielmehr haftet auch derjenige, der die Empfehlung-Funktionen bereitgestellt hat:

„Maßgeblich ist, dass der Versand der Empfehlungs-E-Mails auf die gerade zu diesem Zweck zur Verfügung gestellte Weiterempfehlungsfunktion der Beklagten zurückgeht und die Beklagte beim Empfänger einer EmpfehlungsE-Mail als Absenderin erscheint. Sinn und Zweck der Weiterleitungsfunktion der Beklagten bestehen auch gerade darin, dass Dritten (unter Mitwirkung unbekannter weiterer Personen) ein Hinweis auf den Internetauftritt der Beklagten übermittelt wird. „

Als unerheblich erachtete der Bundesgerichtshof dabei, dass es dem Anbieter der Empfehlungsfunktion gerade nicht darauf ankam, Spam-E-Mails zu verursachen. Der Bundesgerichtshof sah den Schwerpunkt der Haftung in der Bereitstellung der Empfehlungsfunktion. Daraus ergebe sich für den Fall unerwünschter Empfehlungs-E-Mails die Unterlassungshaftung des Anbieters der Empfehlungsfunktion, und zwar einerseits aus wettbewerbsrechtlichen (§ 7 des Gesetzes gegen den unlauteren Wettbewerb – UWG) und andererseits aus zivilrechtlichen Gründen (Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb nach § 823 Abs. 1, 1004 BGB). „Vergessen“ wird bei den Anspruchsgrundlagen oftmals das Datenschutzrecht. Die E-Mail-Adresse gehört zu den personenbezogenen Daten im Sinne von § 3 des Bundesdatenschutzgesetzes. Daraus ergibt sich, dass eine Datenverarbeitung nur in rechtmäßiger Art und Weise erfolgen darf (§§ 4 und 28 BDSG sowie § 12 Abs. 2, 13 des Telemediengesetzes -TMG).

Ohne die ausdrückliche und vor allem den relativ detaillierten rechtlichen Vorschriften entsprechen Einwilligung des tatsächlichen Empfängers verbleiben daher nur relativ scharf umrissene Ausnahmen, unter welchen E-Mail-Werbung ohne die ausdrückliche Zustimmung des Empfängers zulässig ist.

Werbung richtig gestalten: Anwalt schützt vor Abmahnung

E-Mail Werbung führt sehr häufig zu rechtlichen Auseinandersetzungen, die dann ihren kostspieligen Fortgang in Form einstweiliger Verfügungen oder Unterlassungsklagen finden. Grund dürfte sein, dass die Empfänger in Anbetracht der verbreiteten Spam-Flut besonders sensibel bei dieser Form der Werbung sind. Auch unter Datenschutzaspekten sollte E-Mail Werbung klug konzipiert werden. Denn wer beispielsweise an seine Kunden unberechtigte E-Mail Werbung verschickt zeigt in den Augen vieler Betroffener, dass es mit dem Datenschutz im jeweiligen Unternehmen nicht weit her ist.

BBS Rechtsanwälte verfügt über umfangreiche und langjährige Expertise in diesem sensiblen Rechtsbereich. Wir unterstützen Sie gerne mit praxisgerechten Lösungen bei der Konzeption und Gestaltung Ihrer Werbedienste. Dabei berücksichtigen wir neben dem Datenschutzrecht selbstverständlich auch die wettbewerbsrechtlichen und sonstigen rechtlichen Rahmenbedingungen und zeigen Ihnen die bestehenden gesetzlichen Spielräume. Wir stehen Ihnen als Experten gerne mit Rat und Tat zur Seite. Sprechen Sie uns an.

/0 Kommentare/von