Adresshandel: 25.000 Euro Vertragsstrafe in AGB unwirksam

, ,

Adresshandel: Verantwortlich ist der Datennutzer

Das Bundesdatenschutzgesetz erlaubt unter bestimmten Voraussetzungen den Handel mit personenbezogenen Daten. Adresshandel als solcher ist für viele Unternehmen eine entscheidende Quelle, um sich – legal – neue Abnehmerkreise zu erschließen. Das setzt natürlich voraus, dass die erworbenen Adressen auch rechtmäßig genutzt werden können. Jedoch nicht nur unter datenschutzrechtlichen Aspekten ist der Adresshandel interessant.

Grundsätzlich ist derjenige, der personenbezogene Daten nutzt, dafür verantwortlich, dass die gesetzlichen Bedingungen eingehalten sind. Wer also beispielsweise Werbe-E-Mails verschickt, ist dafür verantwortlich, dass die erforderliche Einwilligung der Empfänger vorliegt (oder eine besondere Ausnahme gegeben ist). Mit der oft zitierten „mutmaßlichen Einwilligung“ kommt man hier in den seltensten Fällen weiter, denn das Gesetz sieht (z.B. in § 13 Abs. 2 Telemediengesetz recht detaillierte Voraussetzungen für eine wirksame Einwilligung vor. Der Werbende kann sich dabei nicht darauf berufen, dass nicht er, sondern seine Adressquelle beispielsweise die gesetzlichen Mindestanforderungen an elektronische Einwilligungen nicht erfüllt hat.

Strenge Vertragsregelungen gewünscht – und nötig

„Wenn man einem Menschen trauen kann, erübrigt sich ein Vertrag. Wenn man ihm nicht trauen kann, ist ein Vertrag nutzlos.“ Dieses Zitat des „Ölbarons“ Jean Paul Getty hört sich plausibel an. Es berücksichtigt aber nicht, dass es bei Verträgen in der heutigen komplexen Realität oft nicht nur um die beteiligten Parteien geht. Denn wer auf Basis eines Vertrages Daten bezieht, kann sich im Ernstfall gerade nicht auf die „Schlechtigkeit“ seines Lieferanten berufen. Er muss vielmehr nachweisen, dass er alles zur Vermeidung von Mißbrauch getan hat und sich auch gegenüber seinem Vertragspartner eine durchsetzbare Position für den Rückgriff verschaffen. Das Idealbild des „Hanseatischen Kaufmanns“ hilft dann nicht weiter, wenn ein zahlungsfähiger Vertragspartner einfach nicht für den von ihm verursachten Schaden einstehen will. Vielmehr sind in solchen Situationen belastbare und klare Haftungsregelungen gefragt.

Die Verantwortlichkeit des Datennutzers führt dann zu dessen Wunsch, die Adressquelle durch strenge Vertragsbedingungen und scharfe Sanktionen zur Einhaltung der gesetzlichen Bestimmungen anzuhalten. Eine Möglichkeit hierfür bieten beispielsweise Allgemeine Geschäftsbedingungen. So kann ein Gewerbetreibender, der Daten einkauft, durch entsprechende Einkaufsbedingungen die Verpflichtung für den Adresshändler zum Nachweis aller erforderlichen Einwilligungen vorsehen. Da das Gesetz jedoch für Einkaufsbedingungen wie auch für alle anderen Arten von Allgemeinen Geschäftsbedingungen Grenzen für die Zulässigkeit von Regelungen vorsieht, sollte der Datennutzer diese Bedingungen nicht selbst zusammenstellen (in den meisten Fällen eher: „zusammenbasteln“), sondern vom Profi erstellen lassen. Das musste beispielsweise jüngst die Klägerin in einem Rechtsstreit vor dem Oberlandesgericht Celle feststellen.

OLG Celle: Pflicht zum Nachweis der Einwilligung innerhalb von 24 Stunden unwirksam

Die Klägerin wollte von der Beklagten aus abgetretenem Recht 4 Vertragsstrafen zu jeweils € 25.000.

Die Beklagte hatte eine Vertragspartnerin mit Adressen beliefert, wobei die Gesamtumsätze mehr als € 680.000 betrugen. In die Vertragsbeziehung waren auch Allgemeine  Geschäftsbedingungen der Datennutzerin einbezogen, die folgende Regelungen enthielten:

„Zu liefernde oder vom Lieferanten im Rahmen einer von ihm technisch durchzuführenden Kampagne zu verwendende Datensätze müssen stets mit entsprechenden Einwilligungserklärungen der jeweiligen Unternehmen/Personen (sog. ‘Opt-Ins‘) vorliegen. Auf Verlangen von … D. … muss der Lieferant angefragte Opt-Ins gegenüber … D. … binnen 24 Stunden nach Anfrage nachweisen und schriftlich zur Verfügung stellen. Diese Verpflichtung besteht zeitlich unbefristet.“

[…]

„Verstößt der Lieferant schuldhaft gegen seine Verpflichtung, entsprechende Opt-Ins vorzuhalten oder seine Nachweispflicht nach dem vorstehenden Absatz, hat er der … D. … in jedem Fall eine Vertragsstrafe von 25.000 € zu zahlen. …“

Die Vertragspartnerin des Adresshändlers forderte von diesem den Nachweis von Einwilligungserklärungen („Opt-Ins“) hinsichtlich diverser Verbraucher, welchen der Adresshändler verweigerte. Auf diese Weigerung gestützt, machte die Klägerin ihren Anspruch auf Vertragsstrafe geltend – ohne Erfolg.

Das Oberlandesgericht Celle wies in der Berufungsinstanz die Klage mit Urteil vom 28.11.2012 (Aktenzeichen: 9 U 77/12) ab.

Nach Einschätzung des Gerichts war die in Rede stehende Klausel unwirksam gemäß § 307 Abs. 1 BGB. Nach der vorgenannten Vorschrift sind Klauseln in allgemeinen Geschäftsbedingungen nichtig, wenn sie die verpflichtete Vertragspartei unangemessen benachteiligen. Dies war nach der Einschätzung des Oberlandesgerichts der Fall. Denn die vereinbarte Frist von 24 Stunden für den Nachweis der erforderlichen Einwilligung sei bereits deshalb zu kurz und damit unwirksam, weil sie bei einer am Freitag gestellten Anfrage in Anbetracht des Wochenendes kaum einzuhalten ist. Gemeinsam mit der Pflicht zum kurzfristigen Nachweis der Einwilligung fiel auch der geltend gemachte Vertragsstrafenanspruch der AGB-Kontrolle durch das Gericht zum Opfer.

Vertragsgestaltung: gut gemeint ist nicht gut gemacht

In dem in Rede stehenden Fall wollte die mit Daten belieferte Vertragspartnerin eigentlich sicherstellen, dass die erforderlichen Einwilligungen der Verbraucher schnellstmöglich nachgewiesen werden. Sie wählte grundsätzlich taugliche Mittel, nämlich eine entsprechende Vereinbarung in Allgemeinen Geschäftsbedingungen. Dabei übersah sie jedoch, dass auch bei gut gemeinten Zielsetzungen die gewählten Mittel überspitzt sein können und vor dem Hintergrund der so genannten „Inhaltskontrolle“ Allgemeiner Geschäftsbedingungen nicht standhalten.

Inhaltskontrolle von AGB: Unwirksamkeit auch Wettbewerbsverletzung

Inhaltskontrolle in Bezug auf Allgemeine Geschäftsbedingungen bedeutet, dass grundsätzlich Vereinbarungen zwischen Vertragspartnern nur insoweit der staatlichen Kontrolle unterfallen, als sie nicht gegen gesetzliche Verbote verstoßen oder sittenwidrig sein dürfen. Eine andere Situation stellt sich jedoch bei Allgemeinen Geschäftsbedingungen dar: da hier ein Vertragspartner allgemeine Regelungen für sämtliche von ihm geschlossene Verträge aufstellt, sieht das Gesetz detailliertere Verbote und insbesondere Anforderungen an die „Fairness“ derartiger Klauseln vor, die bereits vor der Schwelle gesetzlicher Verbote oder der Sittenwidirgkeit zur Unwirksamkeit der (AGB-)Vereinbarung führen können. Ist eine solche Klausel unwirksam, helfen auch so genannte salvatorische Klauseln nicht weiter. Nach dem so genannten „Verbot der geltungserhaltenden Reduktion“ gilt an der Stelle einer unwirksamen Regelung in allgemeinen Geschäftsbedingungen die gesetzliche Regelung. Ein Gericht wird dem Verwender der Klausel nicht in der Form helfen, als dass es ihm die Rechtsfolge letzten gerade noch zulässigen Regelung anstelle der unwirksamen Klausel zuspricht.

Die Erstellung allgemeiner Geschäftsbedingungen erfordert vom Gestalter, dass er nicht nur die rechtlichen Rahmenbedingungen, sondern auch die zahlreichen gerichtlichen Entscheidungen zur Auslegung Allgemeiner Geschäftsbedingungen kennt. Sind Allgemeine Geschäftsbedingungen unwirksam, stellt dies mit ganz überwiegender Wahrscheinlichkeit gleichzeitig einen Verstoß gegen das Wettbewerbsrecht dar, gegen welchen Konkurrenten im Wege der Abmahnung, einstweiligen Verfügung oder gar Unterlassungsklage vorgehen können.

„Salvatorische Klauseln“- Keine Rettung unwirksamer Bestimmungen in AGB

AGB-Bestimmungen, nach welchen an der Stelle einer unwirksamen Klausel das gelten soll, was die Vertragsparteien gewünscht haben, sind nach höchstrichterlicher Rechtsprechung ihrerseits nichtig. Dies beruht auf dem Gedanken, dass Allgemeine Geschäftsbedingungen nur von einer Seite gestellt werden. Der Wunsch der Vertragsparteien wäre demnach der Wunsch des AGB-Verwenders. Der Verwender soll jedoch selbst die Verantwortung dafür tragen, dass er unter Berücksichtigung der Auslegung von Geschäftsbedingungen durch die Rechtsprechung zulässige Regelungen verwendet, und nicht in derartige „Notklauseln“ flüchten können.

AGB-Erstellung: Ein Fall für den Profi

BBS Rechtsanwälte unterstützt Unternehmen und Unternehmer mit Spezialisierung und Expertise bei der Gestaltung von individuellen Verträgen und Allgemeinen Geschäftsbedingungen. Vertragliche Regelungen stellen nicht nur die rechtliche Grundlage für eine Geschäftsbeziehung, sondern vielfach auch die Grundlage für die Durchsetzung von Ansprüchen im Ernstfall dar. Nachlässigkeiten in diesem Bereich gefährden also nicht nur den Bestand vertraglicher Regelungen, sondern können schnell dazu führen, dass Vergütungsansprüche entfallen; dann kosten fehlerhafte Gestaltungen – mitunter viel – „echtes“ Geld. Darüber hinaus trägt eine verlässliche und lesbare Vertragsgestaltung zum Frieden zwischen den Vertragsparteien bei.

Vertragspartner, die wissen, was Sie im Rahmen einer Vertragsbeziehung zu tun und zu lassen haben, geraten aller Erfahrung nach auch seltener in Streit. Diese Form der Klarheit und Übersicht spart dann oft Zeit, Ärger und Kosten.

Die oftmals vertretene Annahme, Verträge seien „für den Schrank gedacht“, erweist sich daher oft als Irrtum. Denn im Ernstfall entscheidet ein Gericht, ob der Vertrag im Schrank auch „hält“, was sich die Parteien davon versprochen haben. Dies führt oft zu bösen Überraschungen, wenn Unklarheiten, Widersprüche oder fehlerhafte Formulierungen dazu führen, dass Ansprüche nicht durchgesetzt werden können. In solchen Fällen kann oft auch die Kunst und Mühe eines Rechtsanwalts die anfänglichen Fehler nicht mehr ausgleichen, da das erkennende Gericht sich an der Formulierung des Vertrages orientiert.

Sie benötigen professionelle Hilfe bei der Gestaltung und Verhandlung von Verträgen (beispielsweise Lizenzverträge, Unternehmenskaufverträge oder ähnliche Vereinbarungen)? Sie benötigen rechtssichere Allgemeine Geschäftsbedingungen, die auch eine gerichtliche Auseinandersetzung überstehen? Sprechen Sie uns an! Wir sind gerne für Sie da. Nicht nur in Hamburg!

 

 

 

 

 

 

 

BGH zum Urheberrecht: Auskunftsanspruch gegen Internet-Provider über Nutzer von IP-Adressen

, ,

Nach einer am heutigen Tag veröffentlichten Pressemitteilung des Bundesgerichtshofs hat das höchste deutsche Zivilgericht mit Beschluss vom 19. April 2012 (AZ: I ZB 80/11 – „Alles kann besser werden“) entschieden, dass ein Internet-Provider dem Rechtsinhaber bei offensichtlich unberechtigter öffentliche Zugänglichmachung eines Musikstücks in einer Online-Tauschbörse den Namen und die Anschrift des Nutzers mitzuteilen hat, dem die ermittelte IP-Adresse zum Zeitpunkt der rechtswidrigen Verwertung zugewiesen war.

In dem Rechtsstreit ging es um die Bereitstellung von Tonaufnahmen des Musikalbums von Xavier Naidoo „Alles kann besser werden“  über Online-Tauschbörsen.  Die Antragstellerin, ein Musikvertriebsunternehmen, wollte gegen die Verwertungshandlung des Tauschbörsennutzers vorgehen. Die Antragstellerin forderte von der Deutschen Telekom AG Auskunft über die Daten derjenigen Nutzer, deren IP-Adressen von der Antragstellerin (besser: von einem von der Antragstellerin beauftragten Unternehmen) bei der Analyse der Tauschbörsen-Angebote ermittelt worden waren.

Die Antragstellerin hat gemäß § 101 Abs. 9 Urheberrechtsgesetz (UrhG) in Verbindung mit § 101 Abs. 2 Satz 1 Nr. 3 UrhG beantragt, der Deutschen Telekom AG zu gestatten, ihr unter Verwendung von Verkehrsdaten im Sinne des § 3 Nr. 30 Telekommunikationsgesetz (TKG) über den Namen und die Anschrift derjenigen Nutzer Auskunft zu erteilen, denen die genannten IP-Adressen zu den jeweiligen Zeitpunkten zugewiesen waren.

Tauschbörse: gewerbliches Ausmaß nicht erforderlich

Das Landgericht und das Oberlandesgericht Köln hatten den Antrag abgelehnt. Zur Begründung führte das Oberlandesgericht aus, die Anordnung gegenüber dem Provider setze eine Rechtsverletzung in gewerblichem Ausmaß voraus, die hinsichtlich des in Rede stehenden Musiktitels „Bitte hör nicht auf zu träumen“ nicht gegeben sei.

Der Bundesgerichtshof hat die Entscheidungen der Vorinstanzen aufgehoben und dem Antrag  auf Auskunft über die Teilnehmerdaten stattgegeben.  Nach Einschätzung des Bundesgerichtshofs besteht ein Anspruch des Rechtsinhabers aus § 101 Abs. 2 Satz 1 Nr. 3 UrhG auf Auskunft  gegenüber dem Provider. Dieser Anspruch ergebe sich aus der offensichtlich unberechtigten Verwertung des Werkes über Online-Tauschbörsen. Der Auskunftsanspruch setze jedoch nicht voraus, dass die  durch die Nutzung der Tauschbörse eine Rechtsverletzung in gewerblichem Ausmaß stattgefunden hat. Diese Voraussetzung fände sich nicht im Urheberrechtsgesetz und  widerspräche auch dem Ziel des Gesetzes, Rechtsverletzungen im Internet wirksam zu bekämpfen. Dementsprechend habe der Provider die Auskunft über die Bestandsdaten der jeweiligen Nutzer zu erteilen.

Auch bei „kleinen“  Rechtsverletzung besteht Auskunftsanspruch

Ein Rechtsinhaber habe Ansprüche auf Unterlassung und Schadensersatz nicht nur gegen einen in gewerblichem Ausmaß handelnden Tauschbörsen-Teilnehmer, sondern gegen jedermann, der seine urheberrechtlich geschütztes Werke widerrechtlich verwertet. Daraus ergebe sich auch die Notwendigkeit, auch bei nicht-gewerblichen Rechtsverletzungen Auskunftsansprüche gegenüber dem Provider geltend machen zu können. Denn ansonsten könne der Rechtsinhaber die Rechtsverletzung nicht verfolgen und wäre schutzlos gestellt. Bei einer Abwägung der betroffenen Rechte des Rechtsinhabers, des Auskunftspflichtigen und der Nutzer sowie unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit  bestehe daher in aller Regel ein Auskunftsanspruch.

Die Entscheidung des Bundesgerichtshofs ist unter mehreren Aspekten relevant: einerseits lässt sich aus der Entscheidung nach unserem Dafürhalten zumindest vermuten, dass für den BGH nicht jegliche Teilnahme an einem Filesharing-Netzwerk eine Rechtsverletzung in gewerblichem Ausmaß darstellt. Dies sahen die Instanzgerichte bislang durchaus anders. So entschied beispielsweise das Oberlandesgericht München, dass das anbieten einer Datei über eine Internet-Tauschbörse grundsätzlich eine Rechtsverletzung in gewerblichem Ausmaß darstelle, da der Anbieter nicht aus altruistischen Motiven handele, sondern dass Werk einer unbestimmten Anzahl von Personen bereitstelle (OLG München, Beschluss vom 26.7.2011 – 29 W 1268/11.

Darüber hinaus ist der Entscheidung allerdings auch die insoweit klare Vorstellung des höchsten deutschen Zivilgerichts zu entnehmen, dass es die Teilnahme am Tauschbörsen keineswegs als „Bagatelle“ ansieht, bei welcher das Interesse des Rechtsinhabers an der Rechtsverfolgung dem Interesse des Anschlussinhabers an der Geheimhaltung seiner Daten überwiegen würde.

Nach der diesseitigen Erfahrung ist die Wahrscheinlichkeit, bei der Teilnahme an einer Internet-Tauschbörse „ertappt“ und in der Folge mit kostspieligen Abmahnungen belangt zu werden, äußerst hoch. Grundsätzlich gilt, dass dem Urheberrechtsschutz unterliegende Materialien (Musikwerke, Filme, Fotos, Texte) nur mit der Zustimmung des Rechteinhabers verwertet, also auch vervielfältigt oder gegenüber Dritten zum Download bereitgestellt werden dürfen. Ohne diese Zustimmung liegt mit hoher Wahrscheinlichkeit eine Urheberrechtsverletzung vor, die zu Abmahnungen und Ansprüchen auf Kostenerstattung und Schadensersatz führen kann.

Sie möchten sich gegen Verletzungen ihrer Rechte an Bildern, Texten, Grafiken, Musik oder Filmen zur Wehr setzen? Sie werden wegen einer Rechtsverletzung belangt, beispielsweise weil Sie Fotos ohne Zustimmung des Rechtsinhabers auf ihrer Internetseite veröffentlicht haben? BBS unterstützt Sie mit Kompetenz, Fachwissen und effizienten Strategien. Sprechen Sie uns an.

OLG Karlsruhe: Datenschutzverstoß ist Wettbewerbsverstoß – kommt die Abmahnwelle?

, ,

Zur Entscheidung des OLG Karlsruhe vom 09.05.2012 (6 U 38/11) über datenschutzrechtliche Regelungen als Marktverhaltensregeln iSd. Wettbewerbsrechts

Runde Tische, Anhörung im Bundestag, Streit um Google-Analytics oder die Aufregung über den Umgang mit dem Facebook-„Gefällt Mir“ – Button (Wir berichteten) Kein anderes Thema steht derart im Fokus der öffentlichen Diskussion wie der Umgang mit personenbezogenen Daten im Internet, ohne dass dies gleichzeitig die Gerichte landauf und landab beschäftigt. Sind IP-Adressen personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) oder nicht (Wir berichteten zur diesbezüglichen Ansicht des EuGH)? Welche Verpflichtungen gehen mit dieser Einordnung gegebenenfalls für mich als Website-Betreiber einher? Darf ich den Facebook-„Gefällt Mir“-Button auf meiner Website einbinden oder nicht? Benötige ich bereits beim Mitschnitt der IP-Adressen meiner Website-Besucher (etwa durch Webtracking-Tools oder schlicht Serverlogs) ohne Anonymisierung eine entsprechende Datenschutzbelehrung und ggf. die vorherige Einwilligung der Besucher?

 

Schutz personenbezogener Daten im Internet: Datenschutz quo vadis?

Schutz personenbezogener Daten im Internet: Datenschutz quo vadis?

 

Die schon oftmals angekündigte Abmahn- und Klagewelle ist aller Kassandra-Rufe zum Trotz bislang ausgeblieben. Damit steht bislang leider auch die dringend erforderliche Klärung der vielfältigen offenen Fragen des Schutzes personenbezogener Daten im Internet und der Grenzen der unternehmerischen Erhebung, Speicherung und Verwertung solcher Daten durch die Rechtsprechung aus. Das Datenschutzrecht ist – jedenfalls gemessen an den real genutzten technischen Möglichkeiten, den und ebenso erfolgreichen wie rechtlich umstrittenen Geschäftsmodellen ganzer Konzerne sowie der (berechtigten) Vehemenz der hierzu geführten Diskussionen innerhalb der Netzgemeinde – vor allem durch eines gekennzeichnet: Ein eklatantes Defizit an Rechtssicherheit und Rechtsklarheit. Dies betrifft die betroffenen natürlichen Personen – jeder, dessen Daten erhoben, gespeichert und verarbeitet werden, also: Jedermann – ebenso wie die zahlreichen Firmen und Unternehmungen, die tagtäglich Daten erheben, speichern, verarbeiten oder sogar als zentrales Unternehmens-Asset verwerten. Den hierzu rechtlich eigentlich originär berufenen Stellen – den Datenschutzbeauftragten der Länder – kann dies hierbei aufgrund der in der Regel deutlichen personellen Unterbesetzung nur bedingt zum Vorwurf gemacht werden.

 

§ 3 BDSG: Schutz personenbezogener Daten

§ 3 BDSG: Schutz personenbezogener Daten

 

Ein eigentlich geeignetes Mittel der Rechtskonkretisierung sui generis ist die Rechtsfortbildung durch die Zivilgerichte, insbesondere durch die Kammern und Senate für Wettbewerbsrecht: Ob die zulässigen Grenzen unternehmerischer elektronischer Werbung (E-Mail-Werbung, Telefon- und Faxwerbung), die Hinweispflichten im Internet tätiger Unternehmen („Impressum“, etc.) und insbesondere Pflichtbelehrungen gegenüber Verbrauchern (Belehrung über das Widerrufsrecht), in all diesen Bereichen wurden und werden die im jeweiligen Anforderungen an redliches unternehmerisches Handeln konkreten Einzelfall genauestens ausgelotet und sukzessive geklärt.

Der Bereich des Datenschutzrechts war hiervon bislang im Wesentlichen ausgeklammert: Zwar wurden vereinzelt Abmahnungen ausgesprochen und Gerichtsverfahren durchgeführt, im Ergebnis wurde die Anwendbarkeit des Bundesdatenschutzgesetzes als sog. „Marktverhaltensregel“ im Sinne des § 4 Nr. 11 des Gesetzes über den unlauteren Wettbewerb (UWG) durch die Gerichte allerdings mehrheitlich abgelehnt. Damit war der Datenschutz der Rechtsfortbildung durch die Wettbewerbskammern und –senate der Zivilgerichte entzogen. So hat beispielsweise das Landgericht Berlin noch in seiner Entscheidung vom 14.03.2011 (91 O 25/11) hinsichtlich der Beurteilung des Facebook-„Gefällt mir“-Buttons die Qualifizierung der ebenfalls dem Bereich des Datenschutzes unterfallenden Regelung des § 13 Telemediengesetz (TMG) sowie der Regelungen des BDSG in seiner Würdigung als Marktverhaltensregelung iSv. § 4 Nr. 11 UWG abgelehnt und unter Berufung auf ein früheres Urteil des Oberlandesgerichts Hamburg (Entscheidung vom 09.06.2004, AZ.: 5 U 186/03) ausgeführt:

„Dies ist indes nicht der Fall. Nach der Rechtsprechung des BGH handelt gemäß § 4 Nr. 11 UWG unlauter, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Die verletzte Norm muss daher jedenfalls auch die Funktion haben, gleiche Voraussetzungen für die auf einem Markt tätigen Wettbewerber zu schaffen (vgl. BGH in GRUR 2000,Seite 1059 – Abgasemissionen). Es reicht nicht aus, dass die Vorschrift ein Verhalten betrifft, das dem Marktverhalten vorausgegangen ist oder ihm erst nachfolgt. Fällt der Gesetzesverstoß nicht mit dem Marktverhalten zusammen, ist eine zumindest sekundäre wettbewerbsbezogene Schutzfunktion der verletzten Norm erforderlich (vgl. BGH in GRUR 2000, Seite 1076 – Abgasemissionen und in GRUR 2010, Seite 656 – Zweckbetrieb). Die Vorschrift muss das Marktverhalten außerdem im Interesse der Marktteilnehmer regeln. Dem Interesse der Mitbewerber dient eine Norm dann, wenn sie die Freiheit ihrer wettbewerblichen Entfaltung schützt (Köhler/Bornkamm, UWG, 29.Auflage, § 4 Randnummer 11.35c). Nach diesen Grundsätzen ist die Vorschrift des § 13 TMG nicht als Marktverhaltensvorschrift zu qualifizieren. Nach dem Gesetzeswortlaut hat der Diensteanbieter “ den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist“. Im Kern dienen die Vorschriften zum Datenschutz wie auch der § 13 TMG anders als Verbraucherschutzvorschriften zum Internethandel dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen. So hat das OLG Hamburg in seiner Entscheidung vom 9.Juni 2004 zu 5 U 186/03 entschieden, dass die Vorschrift des § 28 Abs.4 Satz 2 BDSG, wonach der Versender eines Werbeschreibens die Empfänger darüber zu belehren hat, dass sie einer Verwendung ihrer Daten widersprechen können, keine Marktverhaltensregel sei, weil es sich um eine Datenschutzbestimmung handele.“

Die Entscheidung wurde durch das Kammergericht Berlin mit Beschluss vom 29. 4. 2011 (5 W 88/11 Gefällt-mir-Button) bestätigt:

In diesem Sinne betrifft ein Verstoß gegen § 13 Absatz I TMG ein Verhalten, das dem Marktverhalten vorausgegangen ist und nur dann als Marktverhaltensvorschrift i.S. des § UWG § 4 Nr. 11 UWG anzusehen ist, wenn ihm eine zumindest sekundäre wettbewerbsbezogene Schutzfunktion innewohnt (vgl. BGH, GRUR 2010, Seite 654 Rdnr. 18 – Zweckbetrieb).
a) Diese Schutzfunktion ist im Hinblick auf die Mitbewerber des nach § 13 Absatz I TMG Informationspflichtigen nicht zu erkennen.
Die Vorschriften im vierten Abschnitt des TMG mit der Überschrift „Datenschutz” verfolgen ebenso wie bereits die Vorgängerregelungen in dem bis zum 28. 2. 2007 gültigen TDDSG das Ziel, „eine verlässliche Grundlage für die Gewährleistung des Datenschutzes im Bereich der Teledienste zu bieten und einen Ausgleich zwischen dem Wunsch nach freiem Wettbewerb, berechtigten Nutzerbedürfnissen und öffentlichen Ordnungsinteressen zu schaffen” (vgl. BT-Dr 13/7385, S. 21, zum TDDSG; Schmitz, in: Hoeren/Sieber, Hdb. MultimediaR, 16.2 Rdnr. 15).
Die durch § 13 Absatz I TMG wie in ähnlicher Weise zuvor durch § 3 Absatz V TDDSG auferlegte Informationspflicht soll konkret gewährleisten, dass der Nutzer „sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann” (vgl. BT-Dr 13/7385, S. 22, zum TDDSG).
Der Gesetzgeber hat mithin allein überindividuelle Belange des freien Wettbewerbs bei der Gesetzgebung berücksichtigt, um Beschränkungen der Persönlichkeitsrechte der Nutzer von Telediensten zu rechtfertigen, nicht aber Interessen einzelner Wettbewerber.
Für die Beurteilung, ob ein Verstoß i.S. des § 4 Nr. 11 UWG vorliegt, ist es unerheblich, ob sich ein Unternehmer durch die Missachtung einer derart auf den Datenschutz bezogenen Informationspflicht einen Vorsprung im Wettbewerb verschafft (vgl. BGH, GRUR 2010, Seite 654 Rdnr. 19 – Zweckbetrieb; Köhler, in: Köhler/Bornkamm, § 4 Rdnr. 11.35c).
b) Im Hinblick auf Verbraucher mag § 13 Absatz I TMG die erforderliche wettbewerbsbezogene Schutzfunktion insoweit zuzugestehen sein, als die Informationsverpflichtung auch dazu dienen kann, Beeinträchtigungen der Privatsphäre durch unerwünschte Werbung abzuwehren und zu unterbinden.
Wie § 7 UWG zeigt, wird der Verbraucher durch unerwünschte Werbung nicht nur in seinem allgemeinen Persönlichkeitsrecht, sondern auch in seiner Stellung als Marktteilnehmer beeinträchtigt (vgl. Schaffert, in: MünchKomm-LauterkeitsR, § 4 Nr. 11 Rdnr. 69).

Auch das Oberlandesgericht München hatte dies zuletzt in seiner Entscheidung vom 12.01.2012 (Az. 29 U 3926/11) so beurteilt und die Anwendung von Regelungen des BDSG als Marktverhaltensregel im Sinne von § 4 Nr. 11 UWG abgelehnt.

Anders hatte dies im Jahr 2009 noch das Oberlandesgericht Köln (Entscheidung vom 14.08.2009, Az. 6 U 70/09) entschieden und geurteilt:

Das Verbot gem. § 4 Absatz 1 BDSG, personenbezogene Daten zu nutzen, wenn der Betroffene nicht eingewilligt oder dies durch das BDSG oder eine andere Rechtsvorschrift erlaubt oder angeordnet ist, ist insoweit eine gesetzliche Vorschrift i.S.d. § 4 Nr. 11 UWG, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, als § 28 BDSG die Grenzen der Zulässigkeit der Nutzung der Daten für Zwecke der Werbung bestimmt. Zwar zielt das in § 4 Absatz 1 BDSG enthaltene Verbot mit Erlaubnisvorbehalt (vgl. Gola/Schomerus, BDSG, 9. Aufl., § 4 Rdnr. 3) weitaus überwiegend nicht darauf ab, Marktverhalten zu regeln. Soweit jedoch ein Marktteilnehmer sich auf einen Erlaubnistatbestand beruft, um diese Erlaubnis dazu zu nutzen, Werbung für sich zu machen, bezwecken die Grenzen, die das BDSG einem solchen Marktverhalten setzt, den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer.

Diese Ansicht hatte das Oberlandesgericht Köln in einer weiteren Entscheidung vom 19.11.2010 (6 U 73/10) bestätigt.

Die Waage der Justitia könnte in diesem Punkt zukünftig endgültig zur anderen Seite ausschlagen:

 

Justitia: Klärung der Klärung der offenen Fragen des Schutzes personenbezogener Daten im Internet durch die Zivilgerichte?

Justitia entscheidet: Klärung der offenen Fragen des Schutzes personenbezogener Daten im Internet durch die Zivilgerichte?

 

Das Oberlandesgericht Karlsruhe hat sich in einer jüngst veröffentlichten Entscheidung vom 09.05.2012 –(6 U 38/11) nunmehr der Ansicht des Oberlandesgerichts Köln angeschlossen und die Regelungen § 4 (Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung, Einwilligungsvorbehalt des Betroffenen) und § 28 (Datenerhebung und -speicherung für eigene Geschäftszwecke) des Bundesdatenschutzgesetzes als Marktverhaltensregeln im Sinne des § 4 Nr. 11 UWG angesehen:

„Der Senat teilt aber die Auffassung des Oberlandesgerichts Köln (Urt. v. 19.11.2010, Az. 6 U 73/10, auszugsweise veröffentlicht in CR 2011, 680, abrufbar in juris), dass für die Verfolgung dieses Interesses die Nutzung der Information, dass der ehemalige Kunde zur Beklagten gewechselt hat, nicht „erforderlich“ im Sinne des § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. ist und dass das schutzwürdige Interesse des Kunden am Ausschluss der Nutzung überwiegt. Das Merkmal der Erforderlichkeit setzt voraus, dass die berechtigten Interessen auf andere Weise nicht bzw. nicht angemessen gewahrt werden können. Es geht also um ein bei vernünftiger Betrachtung zu bejahendes Angewiesensein auf die Nutzung der fraglichen Information, nicht um eine absolut zwingende Notwendigkeit; die Nutzung ist dann erforderlich, wenn es, um das berechtigte Interesse verfolgen zu können, zur Nutzung der jeweiligen Information keine zumutbare Alternative gibt (vgl. Gola/Schomerus, a. a. O., § 28 Rn. 34 m. w. N.). Damit kann Erforderlichkeit im Zusammenhang mit der Nutzung für Werbung aber nicht mit bestmöglicher Effizienz gleichgesetzt werden (OLG Köln a. a. O.). Zudem zeigen die oben genannten Kriterien, dass die Beurteilung der Erforderlichkeit nicht getrennt betrachtet werden kann von den Interessen des Betroffenen am Schutz seiner personenbezogenen Daten. Wann die Nutzung personenbezogener Daten für die Verfolgung eines berechtigten Interesses erforderlich im genannten Sinne ist, hängt auch davon ab, in welchem Maße die Interessen des Betroffenen Schutz verdienen; je mehr Schutz sie verdienen, desto eher kann dem Nutzenden eine alternative, wenn auch weniger effiziente Art der Verfolgung seines berechtigten Interesses ohne Nutzung der personenbezogenen Daten zugemutet werden. Wie weit der Kreis der in Betracht kommenden Alternativen zu ziehen ist, hängt ebenfalls vom Grad der Schutzwürdigkeit der Interessen des Betroffenen und von der Intensität des Eingriffs ab (vgl. Simitis, Kommentar zum BDSG, 5. Aufl., § 28 Rn. 159). Die Prüfung der Erforderlichkeit ist also Teil der Interessenabwägung, die § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. verlangt.

Schließlich hat das Merkmal der Erforderlichkeit auch Rückwirkungen darauf, was als Gegenstand des berechtigten Interesses des Nutzenden in Betracht kommt. Denn das Merkmal der Erforderlichkeit wäre obsolet, wenn das berechtigte Interesse gerade auf die spezifische, die Verwertung personenbezogener Daten voraussetzende Nutzungsform bezogen würde; dann wäre die Nutzung eben stets „erforderlich“. Das gebietet eine Abstrahierung dessen, woran der Nutzende ein berechtigtes Interesse hat, im Streitfall auf die gezielte werbliche Ansprache ehemaliger Kunden (vgl. OLG Köln a. a. O.).

Vorliegend kann der Beklagten bei Berücksichtigung der wechselseitigen Interessen zugemutet werden, auf die Nutzung der Information über die Identität des neuen Versorgers und damit auf einen spezifisch auf den neuen Versorger des Kunden zugeschnittenen Vergleich in der Werbung zu verzichten. Dabei kommt es nicht entscheidend darauf an, ob es für den ehemaligen Kunden günstig ist, vergleichende Preiswerbung unter Bezugnahme auf seinen aktuellen Stromanbieter zu erhalten. Maßgeblich für das Interesse des Kunden als „Betroffenen“ im Sinne des § 28 BDSG muss vielmehr eine datenschutzrechtliche Betrachtung sein; dass der Anbieter mit einer solchen Werbung ein berechtigtes Anliegen verfolgt, wurde oben bereits ausgeführt.

Die Information, für welchen Stromanbieter sich ein individualisierter Kunde entschieden hat, ist ein personenbezogenes Datum, welches den Schutz des Art. 2 Abs. 1 GG (Grundrecht auf informationelle Selbstbestimmung) und des BDSG genießt. Bei der Würdigung der datenschutzrechtlich maßgeblichen Interessen des Betroffenen fällt aus Sicht des Senats in der vorliegenden Konstellation erheblich ins Gewicht, dass ein Stromkunde, der den Versorger wechselt und mit der Kündigung des Altvertrages den neuen Versorger beauftragt, regelmäßig nicht damit rechnet und nicht damit rechnen muss, dass der alte Versorger das personenbezogene Datum seines neuen Versorgers speichern und noch lange nach erfolgter Umstellung des Vertrags zu Zwecken der Werbung nutzen wird. Der Kunde gibt eine Erklärung gegenüber dem neuen Versorger ab, um dessen Service bei der Vertragsumstellung in Anspruch zu nehmen. Dies geschieht allein zum Zweck der reibungslosen Umstellung des Stromlieferungsvertrages. Der Kunde, dessen personenbezogene Daten durch das Grundrecht auf informationelle Selbstbestimmung und durch das BDSG geschützt sind, darf darauf vertrauen, dass die bei der Beauftragung des neuen Versorgers mit der Kündigung notwendigerweise preisgegebene Information über seinen neuen Versorger nur insoweit genutzt wird, wie es im Rahmen dieser üblichen und energierechtlich vorgesehenen Vorgehensweise (vgl. Eckhardt CR 2011, 684) unumgänglich ist, nämlich im Rahmen technischen Abwicklung des Versorgerwechsels (vgl. auch OLG Köln a. a. O.). Ob der alte Versorger die Information, wer der neue Versorger seines ehemaligen Kunden ist, sogar gemäß § 35 Abs. 2 S. 2 Nr. 3 BDSG zu löschen oder zumindest nach § 35 Abs. 3 Nr. 1 BDSG zu sperren hat (so Eckhardt a. a. O.; wohl a. A., aber mit Blick auf andere Fallgestaltungen, Gola/Schomerus, BDSG, 10. Aufl., § 35 Rn. 13), bedarf letztlich keiner Entscheidung.

Denn auch wenn eine Lösch- oder Sperrpflicht der Beklagten nicht bestünde, überwöge dennoch das dargestellte Interesse des ehemaligen Kunden am Schutz seiner Daten dasjenige des alten Versorgers an der Nutzung der Information über den neuen Versorger des Kunden. Überzeugend weist das Oberlandesgericht Köln in der zitierten Entscheidung darauf hin, dass dem Anbieter weder eine werbliche Ansprache speziell seiner ehemaligen Kunden noch ein dabei unterbreiteter genereller Preisvergleich unmöglich gemacht wird, wenn er die genannte Information nicht nutzen darf. Ihm wird lediglich die Möglichkeit genommen, den Preisvergleich gerade auf denjenigen Stromanbieter zuzuschneiden, zu dem der jeweilige Kunde gewechselt hat. Dieser Verzicht kann und muss ihm im Rahmen der Abwägung angesichts des Schutzes, den personenbezogene Daten genießen, zugemutet werden. Damit liegen die Voraussetzungen des § 28 Abs. 1 S. 2 Nr. 2 BDSG a. F. nicht vor. Gleiches gilt für § 28 Abs. 1 S. 2 Nr. 3 BDSG a. F., der sich auf den hier nicht einschlägigen Fall der Daten aus“

Das Oberlandesgericht Karlsruhe hat in Hinblick auf die grundsätzliche Bedeutung der Frage sowie die Sicherung einer einheitlichen Rechtsprechung die Revision zum Bundesgerichtshof (BGH) zugelassen. Das Verfahren ist beim BGH mittlerweile auch unter dem Aktenzeichen I ZR 224/10 anhängig. Es steht daher zu hoffen, dass der BGH insoweit alsbald eine Grundsatzentscheidung fällt und den Weg zur Klärung der der vielfältigen offenen Fragen des Schutzes personenbezogener Daten durch die Wettbewerbskammern und –senate der Zivilgerichte eröffnet. Dies erhöht bereits jetzt die Relevanz einer Prüfung und Klärung des Umgangs mit personenbezogenen Daten insbesondere im Internet für Unternehmen und die Anpassung oder Einführung entsprechender Compliance-Richtlinien und sonstiger vorbeugender Maßnahmen.

Schließen sich andere Gerichte der Einschätzung des OLG Karlsruhe an, drohen bei Datenschutzverstößen künftig nicht mehr nur Maßnahmen der Aufsichtsbehörden (Untersagungsverfügung, Audit, Bußgeld). Vielmehr könnten Wettbewerber, Verbraucherzentralen und Wettbewerbsverbände gegen Datenschutzverstöße von Unternehmen und Gewerbetreibenden zivilrechtlich vorgehen. Wer sich jetzt richtig aufstellt, kann also auch Abmahnungen, Einstweilige Verfügungen, Unterlassungsklagen und andere „Hässlichkeiten“ – und natürlich auch gegen die damit verbundenen Kosten – wappnen. Dabei haben die Erfahrungen der Vergangenheit gezeigt, dass ein gutes und damit professionelles Datenschutzmanagement eben auch Vertrauen schafft und Kunden binden kann.

Update 27.06.2013 – OLG Hamburg: Mit Urteil vom 27.06.2013, Az.: 3 U 26/12 hat das Hanseatische Oberlandesgericht nunmehr ebenfalls datenschutzrechtliche Regelungen als Marktverhaltensregeln iSd. Wettbewerbsrechts beurteilt. Das Urteil erging zu der speziellen Datenschutzregelung des § 13 TMG, wonach der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs u. a. über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten hat. Dies eine im Sinne des § 4 Nummer 11 UWG das Marktverhalten regelnde Norm, da nach den Erwägungsgründen der dieser Norm zugrunde liegenden Datenschutzrichtlinie 95/46/EG durch die Schaffung gleicher Wettbewerbsbedingungen jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers geschützt werden soll. Den Erwägungsgründen zur Richtlinie sei darüber hinaus zu entnehmen, dass die in § 13 TMG geregelten Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme dienen, weil sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen.

Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Sie möchten eine unternehmenskritische datenschutzrechtliche Fragestellung durch eine zivilgerichtliche Entscheidung klären lassen oder sich gegen eine wettbewerbsrechtliche Abmahnung mit datenschutzrechtlichem Bezug wehren? Für alle Fragen des Datenschutzrechts, des Wettbewerbsrechts aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?

EuGH: IP-Adressen sind personenbezogene Daten

, ,

Der Europäische Gerichtshof hat in einer jüngst veröffentlichten Entscheidung eine der umstrittensten Fragen des Datenschutzrechts nunmehr höchstrichterlich beantwortet: das Gericht hat bestätigt, dass die IP-Adresse zu den personenbezogenen Daten gehört.

Zankapfel IP-Adresse: rechtliche Einordnung

Eine IP-Adresse ist eine Adresse, die in Computernetzen, die – wie z. B. dem Internet – angeschlossenen Endgeräten (Computer, Smartphone usw.) zugewiesen wird. Mittels dieser „Hausnummer“ können Daten zwischen den beteiligten Geräten übermittelt werden.

Zwischen Behörden und Gerichten sowie Diensteanbietern und rechtswissenschaftlichen und technischen Fachleuten war umstritten, ob eine solche Adresse zu den personenbezogenen Daten gehört. Personenbezogene Daten sind gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) Informationen, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Stein des Anstoßes und Kern der rechtlichen Auseinandersetzung war die Frage, was eine „bestimmbare“ natürliche Person ist. Denn die Information, welchem Netzteilnehmer zu welcher Zeit eine bestimmte IP-Adresse zugewiesen war, liegt in der Regel nur dem Zugangsprovider vor. Der Betreiber einer Internetseite hat in der Regel nicht die Möglichkeit, auf die Daten des Providers zu zugreifen. Für ihn ist die Person also nicht bestimmbar. Für die Aufsichtsbehörden war dieser Umstand nicht relevant. „Bestimmbar“ im Sinne des Gesetzes bedeutet nach Ansicht der Aufsichtsbehörden, dass es rein faktisch möglich ist, eine solche Zuordnung vorzunehmen, und zwar unabhängig von tatsächlich gegebenen Zugriffsmöglichkeiten. Diese Ansicht lag auch einem viel beachteten Beschluss des so genannten Düsseldorfer Kreises (ein informelles Gremium der Aufsichtsbehörden für den Datenschutz im Bereich Telemedien) aus dem November 2009 zu Grunde. Nach diesem Beschluss wurden Anforderungen an die Rechtmäßigkeit von Webanalyse-Werkzeugen (wie beispielsweise „Google Analytics“) aufgestellt, die sich an der Einordnung von IP-Adressen als personenbezogene Daten orientierten (wir berichteten). Das sahen freilich verschiedene Online-Anbieter anders. Der Datenschutzbeauftragte der für den Vertrieb der Google-Dienste in Deutschland zuständigen Google Germany GmbH wandte sich beispielsweise bereits vor längerer Zeit vehement gegen die Einordnung von IP-Adressen als personenbezogen (Meyerdierks: „Sind IP-Adressen personenbezogene Daten?“ in der Zeitschrift MMR 2009, S. 8).

EugH: IP-Adresse ist personenbezogen

Der europäische Gerichtshof hatte nunmehr zu der Frage zu entscheiden, ob ein Internet-Provider verpflichtet werden kann, ein Filtersystem zur Verhinderung des illegalen Zugänglichmachens urheberrechtlich geschützter Werke (Filesharing) einzurichten. In Randziffer 51 des Urteils lautet es:

„Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“ (Urteil vom 24. November 2011; Rechtssache C-70/10)

Augenscheinlich tendiert der europäische Gerichtshof dazu, IP-Adressen generell als personenbezogene Daten anzusehen. Damit wäre höchstrichterlich geklärt, dass die IP-Adresse zu den personenbezogenen Nutzungsdaten gehört.

Handlungsbedarf: unverzügliche Löschung und Datensparsamkeit

IP-Adressen genießen daher den Schutz des § 15 Telemediengesetz (TMG). Danach sind Nutzungsdaten unverzüglich nach Beendigung des Nutzungsvorgangs zu löschen, wenn sie nicht zu Abrechnungszwecken benötigt werden. Im Klartext: beispielsweise darf im Logfile eines Webservers keine dauerhafte Speicherung vollständiger IP-Adressen erfolgen. Auch Webanalysemaßnahmen dürfen nur dann unter Verwendung der vollständigen IP-Adresse erfolgen, wenn dem Nutzer eine einfache und praktisch umsetzbare Möglichkeit des Widerspruchs gegeben ist, der Nutzer auf sein Widerspruchsrecht hingewiesen wurde und wenn keine Zusammenführung mit anderen personenbezogenen Daten des Nutzers erfolgt.

Die Entscheidung des Europäischen Gerichtshofs lässt allerdings noch ein kleines denkbares „Schlupfloch“: das Urteil des EuGH betraf eine IP-Adresse in den Händen des Internet-Providers. Daher könnte noch diskutiert werden, ob die IP-Adresse in den Händen eines „normalen“ Internetseitenbetreibers möglicherweise anders einzustufen wäre. Diensteanbietern ist jedoch anzuraten, die Entscheidung des EuGH ernstzunehmen. Zweckmäßigerweise sollte geprüft werden, ob die vollständige Erhebung der IP-Adresse zwingend notwendig ist und ob überall dort, wo dies nicht der Fall ist, eine Anonymisierung erfolgen kann. Hier ist beispielsweise an die Kürzung der erhobenen Adressen um die letzten drei Ziffern zu denken. Überdies sollten Diensteanbieter das Thema „Löschungsfristen“ sorgfältig prüfen. Zwar hat der Bundesgerichtshof entschieden, dass eine unverzügliche Löschung nicht mehr benötigter Nutzungsdaten nicht einer „sofortigen“ Löschung entspricht (BGH, Urteil vom 13.1.2011 – AZ: III ZR 146/1). In der Praxis bedeutet dies, dass ein Diensteanbieter etwaig erhobene IP-Adressen nicht sofort nach Beendigung des Nutzungsvorgangs, sondern im Rahmen einer regelmäßigen Anonymisierung oder Löschung neutralisieren oder löschen muss. Die Frist sollte hierbei jedoch keinesfalls zu lang angesetzt werden.

Das Telemediengesetz sieht für Verstöße gegen die datenschutzrechtlichen Verpflichtungen Geldbußen von bis zu 50.000 € vor. Darüber hinaus sind Maßnahmen der Aufsichtsbehörden und die Umsetzung von behördlichen Auflagen oftmals deutlich teurer und mit wesentlich mehr Aufwand verbunden, als eine von Anfang an durchdachte Gestaltung der IT-Infrastruktur. Datenschutz ist daher nicht nur eine lästige Pflicht, sondern eine Selbstverständlichkeit, die von allgemeingültigen gesetzlichen „Spielregeln“ ebenso verbindlich geregelt ist wie das Steuerrecht. Professionelle Diensteanbieter sollten daher auch in Datenschutzfragen professionell aufgestellt sein.

Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Für alle Fragen des Datenschutzrechts, aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?

Vortragsscript zur Emailarchivierung verfügbar

, ,

Auf vielfachen Wunsch stellen wir hier nochmals das Vortragsscript zu unserem Beitrag zur faktischen Kollision zwischen der privaten Nutzung von IT (insbesondere Email) im Unternehmen und den Archivierungspflichten nach GdPDU und anderen Vorschriften zum Download bereit:

GdPDU Archivierung Private Email Nutzung Vortrag_Zwischen den Stühlen_Zusammenfassung

Bei Rückfragen stehen wir Ihnen wie immer gerne zur Verfügung. Ihr BBS-Team.

Aufsichtsbehörde sucht Datenschutzverstöße künftig automatisiert

, , ,

Online-Datenschutz: google-analytics, Facebook und die Folgen

Ob es um die Nutzung des Webtracking-Tools google-analytics ging oder um die Einbindung des Facebook-Buttons, um die § 13 Abs. 1 Telemediengesetz (TMG) erforderliche Datenschutzerklärung oder die Gestaltung der Einwilligung des Nutzers zur Verwendung seiner Daten für Zwecke der Werbung und Marktforschung (opt-in) – Betreiber von Internetseiten müssen gegenwärtig einige rechtliche Herausforderungen meistern.

Aufsichtsbehörden bislang eher zurückhaltend

Da war es gut, dass die Aufsichtsbehörden in der Vergangenheit eher passiv mit dem Thema Datenschutz im Internet gegangen sind. Nur in extremen Fällen sind bislang die Behörden eingeschritten. Selbst wenn eine Aufsichtsbehörde tätig wurde, hatte dies in der Vergangenheit selten handfeste Folgen. Die durchaus möglichen Bußgelder wurden nur sehr zurückhaltend verhängt.

Neue Software findet Verstöße automatisiert

Das könnte sich nun grundlegend ändern:

Der Bundesdatenschutzbeauftragte Peter Schaar hat am 25.03.2011 ein vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickeltes Werkzeug zur automatisierten Erkennung von Datenschutzverstößen auf Internetseiten vorgestellt. Das Tool soll unter der Bezeichnung „Privacy Violation Detector“ (Prividor) für die Datenschutzaufsicht zum Einsatz kommen.

Zu den erkannten Rechtsverstößen gehören beispielsweise problematische Tracking-Dienste und die Verwendung unverschlüsselter Online-Formulare.

Zunächst soll das Tool nur vom Datenschutzbeauftragten des Bundes eingesetzt werden. Da der Bundesdatenschutzbeauftragte vorrangig für die Bundesbehörden zuständig ist, steht ein Einsatz den Internetseiten privater Anbieter noch nicht unmittelbar bevor. Es wird jedoch allenfalls eine Frage der Zeit sein, bis die für private Telemedien zuständigen Datenschutzbeauftragten der Länder mit Prividor auf die Jagd nach privaten Rechtsverletzungen gehen.

Angst vor Abmahnwelle

Der Bundesdatenschutzbeauftragte kann sich vorstellen, Prividor als Open-Source-Software jedermann bereitzustellen. Diese Ankündigung führte zu einiger Unruhe. Es wird befürchtet, dass Abmahn-Anwälte mit Prividor neue abzumahnende Rechtsverstöße bequem und in großer Zahl automatisiert auffinden und bearbeiten können.

Im Hinblick auf den Facebook-Button kann zwar in dieser Hinsicht ein neues, für online Anbieter positives Urteil aus Berlin verzeichnet werden:

Landgericht Berlin: Facebook-Button nicht wettbewerbswidrig

Das Landgericht Berlin hat (Beschluss v. 13.03.2011, Aktenzeichen: 91 O 25/11) entschieden, dass die Integration des „Gefällt mir“-Buttons der Plattform facebook auf der Internetseite eines Onlinehändlers ohne Hinweis auf die damit einhergehende Datenübermittlung nicht wettbewerbswidrig ist. Der datenschutzrechtlich einschlägige § 13 TMG stelle keine Marktverhaltensnorm im Sinne von § 4 Nr. 11 UWG dar. Ein Verstoß gegen § 13 TMG könne daher – so das Gericht – nicht von Wettbewerbern mit Abmahnungen, einstweiligen Verfügungen oder Klagen verfolgt werden. Natürlich können Betroffene ihre eigenen Rechte wegen des Rechtsverstoßes gegen den Betreiber der Internetseite geltend machen.

Keine Entwarnung

Die Berliner Entscheidung ist mit Vorsicht zu genießen. Die Frage, ob datenschutzrechtliche Bestimmungen Marktverhaltensnormen sind, ist nicht höchstrichterlich entschieden. Es ist denkbar, dass andere Gerichte und insbesondere übergeordnete Instanzen die Rechtslage anders einschätzen als das Landgericht Berlin. Nach der letzten großen Reform des Wettbewerbsrechts wurde der Verbraucherschutz als wesentliches Ziel des Gesetzes gegen den Unlauteren Wettbewerb in § 1 UWG aufgenommen. Datenschutz und Verbraucherschutz sind eng verwobene Regelungsbereiche. Eine anderweitige Einschätzung als die des Landgerichts Berlin lässt sich daher durchaus begründen. Von Entwarnung kann daher bis zu einer klärenden Entscheidung des Bundesgerichtshofs (oder des Gesetzgebers) keine Rede sein.

Sie möchten sicher gehen? Ihr Online-Auftritt soll praxisgerecht und profitabel sein, aber auch die datenschutzrechtlichen Anforderungen erfüllen? BBS hilft. Bei Fragen zum Datenschutz, aber auch zu allen anderen Herausforderungen im Bereich des IT- und Wettbewerbsrechts sind wir Ihr direkter und kompetenter Ansprechpartner. Sprechen Sie uns an.