02.04.2019

IP / IT Ausgabe 2 / 2019

PDF

Datenschutz nach dem Brexit

Am 12. April 2019 soll es – nach dem aktuellen Stand bei Redaktionsschluss für diesen Newsletter – soweit sein: Das Vereinigte Königreich von Großbritannien und Nordirland (UK) werden die EU verlassen, wenn bis dahin nicht ein Austrittsabkommen im britischen Unterhaus verabschiedet oder der Termin aus einem anderen Grund noch einmal verschoben wird.

Am 12. April 2019 soll es – nach dem aktuellen Stand bei Redaktionsschluss für diesen Newsletter – soweit sein: Das Vereinigte Königreich von Großbritannien und Nordirland (UK) werden die EU verlassen, wenn bis dahin nicht ein Austrittsabkommen im britischen Unterhaus verabschiedet oder der Termin aus einem anderen Grund noch einmal verschoben wird.

Neue Legitimation für Datenübertragungen ins Vereinigte Königreich erforderlich

Zunächst ist festzuhalten, dass die EU-Datenschutzgrundverordnung (DSGVO) auch nach dem 12. April 2019 im Vereinigten Königreich weiterhin als nationales Recht gelten wird. Dennoch ergeben sich mit Blick auf den Brexit datenschutzrechtliche Probleme, insbesondere bei der Übertragung von Daten ins Vereinigte Königreich, was insbesondere für die ausgelagerte Datenverarbeitung im Rahmen von IT-Outsourcing oder bei der Benutzung von Cloud-Diensten relevant ist.

Innerhalb der EU ist eine Übertragung von personenbezogenen Daten über die Landesgrenzen hinweg durch die DSGVO erlaubt. Deswegen ist die Datenverarbeitung im Vereinigten Königreich bis zum Brexit ohne weiteres möglich. Sobald UK aber aus der EU austritt, ist diese Regelung nicht mehr anwendbar; das Vereinigte Königreich gilt dann datenschutzrechtlich als sogenanntes Drittland. Die Datenverarbeitung in einem Drittland ist nur unter zusätzlichen Voraussetzungen zulässig, die ein adäquates Datenschutzniveau bei der Datenverarbeitung in einem Drittland sicherstellen sollen. Zu diesen Garantien gehören insbesondere: „

  • Angemessenheitsbeschluss: Die EU-Kommission kann einen sogenannten Angemessenheitsbeschluss erlassen. Damit bescheinigt die Kommission, dass in einem Staat generell ein angemessenes Datenschutzniveau herrscht. „
  • EU-Standardvertragsklauseln: Die EU hat Standardvertragsklauseln beschlossen, welche Verpflichtungen enthalten, die in einem Unternehmen im Drittland ein adäquates Datenschutzniveau sicherstellen sollen. Wenn diese Standardver tragsklauseln unveränder t zwischen einem Unternehmen in der EU und einem Unternehmen im Dritt-and vereinbart werden, ist die Datenübertragung an das Unternehmen zulässig. „
  • Binding Corporate Rules: Unternehmensgruppen können sich verbindliche, interne Regelungen geben, nach denen alle internationale Unternehmen der Gruppe den gleichen adäquaten Datenschutzstandard einhalten müssen. Dann ist die Datenübertragung zwischen den Unternehmen zulässig, auch wenn diese sich (teilweise) in Drittändern befinden. „
  • Zertifizierung: Auftragsverarbeiter könnten sich auch zertifizieren lassen. Allerding muss in diesem Fall das Zertifizierungsverfahren vorher von einer Datenschutzbehörde, einem Mitgliedsstaat oder der EU selbst genehmigt worden sein. „
  • Last Exit – Ausnahmetatbestand: Die Datenübertragung in Drittländer ist ausnahmsweise auch ohne das Vorliegen einer der oben genannten Garantien möglich, wenn hierfür eine Rechtsgrundlage vorliegt. Wenn die Daten z.B. gerade für die Vertragserfüllung in ein Drittland übertragen werden müssen oder der Betroffene seine Einwilligung in die Übertragung in ein Drittland nach einer umfassend Aufklärung über die Risiken gegeben hat, ist die Datenübertragung zulässig.

Praktische Auswirkungen des Brexit

Wenn eine Rechtsgrundlage (Ausnahmetatbestand) für die Übertragung personenbezogener Daten ins Vereinigte Königreicht besteht – insbesondere, wenn die Datenübertragung für die Vertragserfüllung erforderlich ist – legitimiert diese Rechtsgrundlage auch nach dem Brexit die Übertragung von Daten ins Vereinigte Königreich. Vorsicht ist bei einer Einwilligung geboten, denn selbst wenn bereits vor dem Brexit eine Datenverarbeitung und -übertragung auf einer Einwilligung des Betroffenen beruhte, wird der Betroffene nicht unbedingt in die Übertragung in das Vereinigte Königreich als Drittland eingewilligt haben.

In den meisten Fällen dürften die an einer Datenübertragung beteiligten Unternehmen wegen einer Datenübertragung ins Vereinigte Königreich keine EU-Standardvertragsklauseln abgeschlossen haben. Wenn also keine Rechtsgrundlage zur Verfügung steht, könnte die Datenübertragung ins Vereinigte Königreich durch den Abschluss von EU-Standardvertragsklauseln legitimiert werden, z.B. als Zusatzvereinbarung zum bestehenden Vertrag.

Sollten in der Unternehmensgruppe bereits Binding Corporate Rules bestehen, wären diese als Legitimation für die Datenübertragung ohne weiteres geeignet. Hier müsste ggfs. geprüft werden, ob die britischen Unternehmen erfasst sind. Der Anwendungsbereich dürfte jedoch vergleichsweise klein sein, weil nur Datenübertragungen in der Unternehmensgruppe durch Binding Corporate Rules legitimiert werden können.

Derzeit sind keine konkreten Pläne bekannt, einen Angemessenheitsbeschluss kurzfristig zu erlassen. Vermutlich wird die EU-Kommission abwarten, ob das Vereinigte Königreich sich ein neues Datenschutzrecht geben wird. Es gibt Hinweise darauf, dass ein auf der DSGVO basierendes Datenschutzgesetz geschaffen werden soll, welches unternehmensfreundlicher ausgestaltet sein wird. Dieses neue Datenschutzrecht müsste die EU-Kommission bei der Entscheidung für oder gegen einen Angemessenheitsbeschluss einbeziehen. Doch auch ohne ein neues Datenschutzgesetz im Vereinigten Königreich ist fraglich, ob die EU einen Angemessenheitsbeschluss erlassen würde. Insbesondere der „Investigatory Powers Bill“ von 2016 und die damit einhergehenden umfassenden Möglichkeit zur Vorratsdatenspeicherung rufen auch bei Geltung der DSGVO Bedenken hinsichtlich des Datenschutzniveaus im Vereinigten Königreich hervor. Da bisher keine genauen Pläne bekannt sind, kann man noch nicht abschätzen, wie lange ein Angemessenheitsbeschluss auf sich warten lässt.

Was wir Unternehmen empfehlen

Ab dem Wirksamwerden des Brexit muss die Datenübertragung ins Vereinigte Königreich zusätzlich legitimiert werden. Neben diesen oben genannten zusätzlichen Garantien oder einer Rechtsgrundlage muss „

  • die Datenschutzerklärung angepasst werden: In der Datenschutzerklärung muss der für die Datenverarbeitung Verantwortliche darüber aufklären, ob Daten in ein Drittland übertragen werden. Das wäre nunmehr bei einer Datenübertragung nach UK der Fall; „
  • bei der Auskunft an einen Betroffenen über die Datenübertragung in ein Drittland Auskunft gegeben werden; „
  • die Datenübertragung in ein Drittland im Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden; „
  • ggfs. eine Datenschutzfolgenabschätzung vorgenommen werden.
BSI veröffentlicht IT-Grundschutz- Kompendium Edition 2019 – Aktualisierte Vorgaben zur Informationssicherheit für Unternehmen und Behörden

Das Bundesamt für Sicherheit in der Informationstechnik („BSI“) hat sein umfangreiches IT-Sicherheits-Kompendium, in dem es konkrete Gefährdungen und Anforderungen im Zusammenhang mit einer Vielzahl spezifischer IT- nwendungsfälle aus der Praxis darstellt, umfassend aktualisiert. Die bereits bestehenden 80 Bausteine des Kompendiums hat das Amt dabei in 36 Fällen ausführlich überarbeitet. Ferner enthält der Leitfaden nun 14 weitere Bausteine zu neuen praxisnahen Anwendungsfällen.

Das Bundesamt für Sicherheit in der Informationstechnik („BSI“) hat sein umfangreiches IT-Sicherheits-Kompendium, in dem es konkrete Gefährdungen und Anforderungen im Zusammenhang mit einer Vielzahl spezifischer IT-Anwendungsfälle aus der Praxis darstellt, umfassend aktualisiert. Die bereits bestehenden 80 Bausteine des Kompendiums hat das Amt dabei in 36 Fällen ausführlich überarbeitet. Ferner enthält der Leitfaden nun 14 weitere Bausteine zu neuen praxisnahen Anwendungsfällen.

Hintergrund des IT-Grundschutz-Kompendiums

Die 2. Edition des IT-Grundschutz-Kompendiums ersetzt die zur Sicherheitsmesse it-sa im Oktober 2018 veröffentlichte Final- Draft-Version und die 1. Edition des IT-Grundschutz-Kompendiums. Vorgänger des Kompendiums waren die sog. „IT-Grundschutz- Kataloge“ des BSI. Mit dem Kompendium bewertet das BSI diverse konkrete praktische Fallgruppen im Hinblick auf die betroffene Informationssicherheit und stellt sowohl spezifische Gefährdungen als auch umfangreiche umzusetzende Sicherheitsanforderungen dar. Die Bausteine des Kompendiums sind in zehn Schichten aufgeteilt und beschäftigen sich mit unterschiedlichsten Gegenständen der Informationssicherheit – von Anwendungen (APP) über industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS). Bei der Erstellung der Bausteine hat das BSI bereits eine Risikobewertung für Bereiche mit normalem Schutzbedarf durchgeführt. Die Anforderungen in den Bausteinen sollen den aktuellen Stand der Technik abbilden.

Zwar handelt es sich bei dem Kompendium nicht um zwingend umzusetzendes verbindliches Recht; dennoch dienen die Vorgaben auch zuständigen Aufsichtsbehörden als Leitfaden für die Auslegungen der maßgeblichen gesetzlichen Vorgaben. Seit dem 1. Februar 2018 dient das IT-Grundschutz-Kompendium als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz.

Wen betrifft das IT-Grundschutz-Kompendium?

Das Kompendium richtet sich an sämtliche Unternehmen und Behörden, soweit diese Informationen jedweder Art digital verarbeiten. Die Zusammenstellung soll Verantwortlichen in Institutionen jeder Größe ein solides und verlässliches Fundament bieten, um digitale Prozesse, Systeme und Netze auf dem Stand der Technik abzusichern.

Abzugrenzen ist der Anwendungsbereich von datenschutzrechtlichen Vorgaben, wobei die Themen Datenschutz und Informationssicherheit naturgemäß und gesetzlich angelegt Überschneidungen aufweisen (bspw. Art. 32 DSGVO, der zur Einhaltung von dem Stand der Technik entsprechenden technischen Sicherheitsmaßnahmen verpflichtet). Die Vorgaben des IT-Grundschutzes richten sich indes in allgemeiner Form an jedwede digitalisierte Information sowie die zu deren Verarbeitung genutzten technischen Systeme.

Welche (neuen) Anforderungen werden gestellt?

Die aktualisierte Fassung des Kompendiums enthält umfangreiche Änderungen zu insgesamt 36 der ursprünglich enthaltenen 80 Bausteine, die jeweils eine hohe praktische Relevanz aufweisen (bspw. Web-Browser, Webanwendungen, Outsourcing für Kunden/ Dienstleister, mobile Datenträger). Hinzu kommen 14 Bausteine, die sich mit neuen praxisnahen Inhalten auseinandersetzen (bspw. Mobile Anwendungen (Apps) und SAP-ERP-System).

Unser Kommentar

Unternehmen und Behörden sollten die aktualisierten Vorgaben des IT-Grundschutz-Kompendiums 2019 im Rahmen ihres ITSicherheitsmanagements beachten. Der Katalog dürfte bei der Bewertung der in Einzelfällen rechtlich gebotenen Sicherheitsmaßnahmen, die sich aus den abstrakten gesetzlichen Vorgaben nicht konkret ermitteln lassen, als hilfreicher Leitfaden dienen, um Sicherheitsvorfälle und damit ggfs. verbundene Schäden sowie Auseinandersetzungen mit zuständigen Aufsichtsbehörden zu vermeiden.

Dienstleistungen eines Legal-Tech-Unternehmens zur Durchsetzung der Rechte aus der „Mietpreisbremse“ sind von der Inkassoerlaubnis gedeckt

Die Tätigkeiten eines Legal-Tech-Unternehmens, das seinen Kunden die Durchsetzung von Rechten aus der „Mietpreisbremse“ sowie im Zusammenhang mit der Abwehr von Mieterhöhungs- und Schönheitsreparaturverlangen anbietet, können von der Inkassoerlaubnis gedeckt sein.

Die Tätigkeiten eines Legal-Tech-Unternehmens, das seinen Kunden die Durchsetzung von Rechten aus der „Mietpreisbremse“ sowie im Zusammenhang mit der Abwehr von Mieterhöhungs- und Schönheitsreparaturverlangen anbietet, können von der Inkassoerlaubnis gedeckt sein.

  • LG Berlin, Urteil vom 15.01.2019, Az. 15 O 60/18

Hintergrund

Die Rechtsanwaltskammer Berlin machte als Klägerin in diesem Verfahren wettbewerbsrechtliche Unterlassungsansprüche gegen ein Legal-Tech-Unternehmen geltend, das über eine Internetseite Dienstleistungen im Zusammenhang mit der Durchsetzung der Rechte von Wohnraummietern anbot. Im Wesentlichen wandte sich die Kammer gegen das Angebot von Dienstleistungen zur Durchsetzung der Rechte aus der „Mietpreisbremse“ sowie zur Abwehr von Mieterhöhungs- und Schönheitsreparaturverlangen. Das beklagte Unternehmen verfügt über die Erlaubnis zur Erbringung von Rechtsdienstleistungen für den Bereich der Inkassodienstleistungen. Die Kammer ver trat in dem Verfahren die Auffassung, dass das Angebot der Beklagten als Rechtsberatung zu qualifizieren und deshalb nicht von der Inkassoerlaubnis gedeckt sei. Daneben griff die Kammer auch Bezeichnungen („Rechtsdienstleistungsgesellschaft “) und Formulierungen (u.a „das Bestehen einer Vollmacht wird anwaltlich versichert“) an, die das beklagte Unternehmen bei der Bewerbung ihrer Dienstleistungen verwendete und die – nach Auffassung der Kammer – auf eine rechtsanwaltliche Tätigkeit hindeuteten.

Die Entscheidung

Das Landgericht Berlin hat in seinem Urteil entschieden, dass die von dem beklagten Unternehmen angebotenen Dienstleistungen von der Inkassoerlaubnis nach § 2 Abs. 2 S. 1 RDG abgedeckt sind. Soweit die Beklagte auf der Webseite Online-Formulare bereithält, die eine Einordnung der tatsächlich gezahlten Miete im Verhältnis zur ortsüblichen Vergleichsmiete erlauben, handelt es sich schon nicht um eine Rechtsdienstleistung. Als von der Inkassoerlaubnis erfasst wurde die Ausübung des mietrechtlichen Auskunftsanspruchs und der Rügepflicht nach § 556g BGB gewertet. Auch eine allein darauf bezogene begleitende Rechtsberatung ist nach Auffassung des Gerichts von der Erlaubnis erfasst.

Soweit die Beklagte auch Dienstleistungen im Zusammenhang mit der Abwehr von Mieterhöhungen erbrachte, wertete das Landgericht diese Tätigkeit als zulässig. Die tatsächliche Abwehr von Mieterhöhungen wurde nämlich in diesem Fall durch Verkehrsanwälte übernommen, während die Beklagte selbst als Prozessfinanziererin auftrat. Im Rahmen dessen ist auch eine rechtliche Prüfung des Anspruchs zulässig, da dies zur Einschätzung des Prozesskostenrisikos unabdingbar ist. Auch das Ergebnis einer solchen Prüfung darf dem Kunden mitgeteilt werden. Auch im Hinblick auf die Tätigkeiten im Zusammenhang mit der Abwehr von Schönheitsreparaturverlangen kam das Gericht zu der Auffassung, dass die Beklagte lediglich als Prozessfinanziererin tätig wird.

Mit den weiteren Klageanträgen hatte die Rechtsanwaltskammer hingegen Erfolg. Nach dem Urteil wurde es dem beklagten Unternehmen wegen möglicher Irreführung untersagt, im geschäftlichen Verkehr als „Rechtsdienstleistungsgesellschaft [und/oder GmbH] mit den Geschäftsführern Rechtsanwalt … und Rechtsanwalt …“ aufzutreten. Diese Angabe ist nach Ansicht des Gerichts geeignet, die angesprochenen Verkehrskreise dahingehend zu täuschen, dass es sich nicht um ein Inkassounternehmen, sondern eine Rechtsanwaltsgesellschaft handelt. Auch die Formulierungen „das Bestehen der Bevollmächtigung wird anwaltlich versichert.“ und „gemäß dem Rechtsanwaltsvergütungsgesetz sind die nachfolgend aufgeschlüsselten Kosten entstanden“ wurden der Beklagten wegen Täuschungseignung untersagt.

Unser Kommentar

Mit der Entscheidung hat das Gericht die Reichweite der Inkassoerlaubnis weiter konkretisiert und das Geschäftsmodell des Legal-Tech-Unternehmens im Ergebnis als zulässig eingestuft. Lediglich in Teilaspekten gab das LG Berlin der klagenden Rechtsanwaltskammer Recht. Die Reichweite der Inkassoerlaubnis spielt auch für viele weitere Legal-Tech- Unternehmen eine entscheidende Rolle und nicht alle Gerichte sind hier auf einer Linie mit dem LG Berlin. Wegen des vorhandenen Regelungsbedarfs und der zunehmenden Relevanz dieser Thematik liegt es am Ende beim Gesetzgeber, für mehr Klarheit bei Unternehmen und Rechtsanwendern zu sorgen.

LDI NRW erlässt Umsetzungshilfe zu den Datenschutzhinweisen

Mit der Europäischen Datenschutz-Grundverordnung (DSGVO) geht auch eine wesentliche Ausweitung der Informationspflichten durch die Verantwortlichen einher. Bei jeder Datenerhebung und jeder Zweckänderung müssen Betroffene umfangreich nach Art. 13, 14 und 21 DSGVO über den Zweck, der Rechtsgrundlage, den Umfang und weiterer Umstände der Datenverarbeitung sowie über ihre Rechte unterrichtet werden. Die Landesbeauftragte für den Datenschutz NRW (LDI NRW) hat für die praktische Umsetzung dieser Datenschutzhinweise Anfang des Jahres eine Umsetzungshilfe veröffentlicht.

Mit der Europäischen Datenschutz-Grundverordnung (DSGVO) geht auch eine wesentliche Ausweitung der Informationspflichten durch die Verantwortlichen einher. Bei jeder Datenerhebung und jeder Zweckänderung müssen Betroffene umfangreich nach Art. 13, 14 und 21 DSGVO über den Zweck, der Rechtsgrundlage, den Umfang und weiterer Umstände der Datenverarbeitung sowie über ihre Rechte unterrichtet werden. Die Landesbeauftragte für den Datenschutz NRW (LDI NRW) hat für die praktische Umsetzung dieser Datenschutzhinweise Anfang des Jahres eine Umsetzungshilfe veröffentlicht.

Hintergrund der Informationspflichten

Seit dem 25. Mai 2018 findet die DSGVO in den Mitgliedstaaten der Europäischen Union (EU) Anwendung und ersetzt in Deutschland das alte Bundesdatenschutzgesetz. Sinn und Zweck der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung ihrer persönlichen, d.h. den sog. „personenbezogenen“ Daten sowie ein einheitliches Datenschutzrecht auf EU-Ebene. Die Vorschriften der DSGVO als EU-Verordnung finden unmittelbar in allem EU-Mitgliedstaaten Anwendung. Lediglich einzelne Bereiche wie z.B. der Beschäftigtendatenschutz sind weitestgehend von den Regelungen der DSGVO ausgenommen. Für diese nicht harmonisierten Bereiche können die Mitgliedstaaten eigene nationale Regelungen treffen. In Deutschland wurden hierzu ergänzende Regelungen im sog. Bundesdatenschutzgesetz-neu (BDSG-neu) umgesetzt.

Gemäß Art. 4 Abs. 1 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Jeder der personenbezogene Daten einer natürlichen Person, der sog. „betroffenen Person“, verarbeitet, hat als sog. „Verantwortlicher“ schon bei der Datenerhebung oder bei einer Zweckänderung bestimmte Informationen über die Verarbeitung der personenbezogenen Daten zu geben.

Art. 13, 14 DSGVO enthalten die Voraussetzungen, um die Informationspflichten zu erfüllen. Art. 13 DSGVO bezieht sich dabei auf die Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person, Art. 14 DSGVO hingegen auf die Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Gemäß Art. 12 DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln. Die Informationen sind schriftlich oder in anderer Form (ggfs. elektronisch) zur Verfügung zu stellen.

Wen betreffen die Informationspflichten nach Art. 13, 14 DSGVO?

Indem die Informationspflichten nach den Art. 13, 14 DSGVO an die Erhebung personenbezogener Daten durch den Verantwortlichen anknüpfen, betrifft die Informationspflicht all diejenigen, die personenbezogenen Daten verarbeiten. So müssen sich neben großen Unternehmen auch kleinere und mittlere Unternehmen sowie Handwerksbetriebe und Vereine, die z.B. Kunden-, Beschäftigten oder Mitgliederdaten verarbeiten, an die Vorschriften der DSGVO halten. Dies gilt sowohl für den Online- als auch für den Offline-Bereich. Die Vorschriften der Art. 13, 14 DSGVO finden dann keine Anwendung, wenn und soweit die betroffene Person bei Erhebung ihrer personenbezogenen Daten bereits über die Informationen verfügt.

Für wen ist die Umsetzungshilfe geeignet?

Die Umsetzungshilfe der LDI NRW über die Erfüllung der Informationspflichten nach Art 13, 14 und 21 Abs. 4 DSGVO ist grundsätzlich für kleine und mittlere Unternehmen geeignet, wie z.B. Unternehmen im Einzelhandel, kleine Handwerksbetriebe und Produktionsbetriebe, die in NRW ihren Firmensitz haben.

Wie ist die Umsetzungshilfe zu den Datenschutzhinweisen aufgebaut?

In einem ersten Teil enthält die Umsetzungshilfe allgemeine Datenschutzinformationen gemäß der Art. 13, 14 DSGVO mit Formulierungsvorschlägen wie Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten (sofern vorhanden), die Herkunft der personenbezogenen Daten, die Kategorien der personenbezogenen Daten, die Zwecke und Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die Empfänger der Daten oder Kategorien der Empfänger, die Dauer der Speicherung und Kriterien für die Festlegung der Speicherdauer, die Betroffenenrechte und das Beschwerderecht, die Freiwilligkeit der Verpflichtung zur Bereitstellung der Daten, die Hinweise auf das Bestehen einer automatischen Entscheidungsfindung einschließlich Profiling sowie die Übermittlung von Daten in eine Drittland. In einem zweiten Teil erfolgt die Information über das Widerspruchsrecht nach Art. 21 DSGVO.

Unser Kommentar

Die Umsetzungshilfe gibt einen guten Überblick darüber, was in den Datenschutzhinweisen an Kunden als Pflichtangaben enthalten sein muss und bietet hierzu praktische Formulierungsvorschläge an. Gleichwohl ist zu berücksichtigen, dass der Verantwortliche die Umsetzungshilfe stets an die Erfordernisse der konkreten Verarbeitungstätigkeiten seines Unternehmens anpassen muss. Auch die LDI NRW weist ausdrücklich darauf hin, dass die Umsetzungshilfe als rein beispielhafte Darstellung den Verantwortlichen nicht davon entbindet, eigenverantwortlich die Anforderungen der DSGVO zu erfüllen.

Insofern empfiehlt es sich, zunächst anhand einer Bestandsaufnahme ein (ggfs. sowieso nach der DSGVO erforderliches) Verarbeitungsverzeichnis nach Art. 30 DSGVO zu erstellen. Die Erstellung eines Verarbeitungsverzeichnisses ist zwar in der Regel zeitintensiv und erfordert bei größeren Unternehmen einen intensiven Austausch zwischen den verschiedenen Geschäftsbereichen, um alle Datenflüsse abbilden zu können. Nach Durchsicht der in dem Verarbeitungsverzeichnis gesammelten Informationen dürfte die Erstellung einer DSGVO-konformen Datenschutzinformation jedoch deutlich leichter fallen. Um die Datenschutzhinweise bestmöglich an die Erfordernisse der konkreten Verarbeitungstätigkeit des Unternehmens anzupassen, empfiehlt es sich sowohl die Erstellung des Verarbeitungsverzeichnisses als auch die Erstellung der Datenschutzhinweisen in enger Abstimmung mit der Rechtsabteilung oder einer externen Anwaltskanzlei vorzunehmen.

Die Umsetzungshilfe der LDI NRW dient der Erfüllung der Informationspflichten gegenüber den Unternehmenskunden. Informationen über die Verarbeitung der Beschäftigtendaten sind darin nicht enthalten, sondern müssen davon separat erstellt oder bei Bedarf ergänzt werden. Die LDI NRW hat angekündigt, die Umsetzungshilfe bei Bedarf anzupassen, dies insbesondere, wenn sich die gesetzlichen Rahmenbedingen oder Aufsichtsstandards ändern sowie wenn Erkenntnisse aus der Aufsichtspraxis dies erfordern. Die Umsetzungshilfe der LDI NRW ist hier abrufbar.

Amazon-Dash-Buttons unzulässig

Der Online-Gigant Amazon hat eine herbe Niederlage vor dem OLG München in dem

Berufungsverfahren bezüglich der Zulässigkeit seiner seit 2016 in Deutschland angebotenen Dash-Buttons erlitten. Das OLG München bestätigte die vorangegangene Entscheidung des LG München I und verurteilte Amazon zur Unterlassung. Die Bestellung per Dash-Button sei zu intransparent und verstoße daher gegen die Gesetze des Internethandels.

Der Online-Gigant Amazon hat eine herbe Niederlage vor dem OLG München in dem Berufungsverfahren bezüglich der Zulässigkeit seiner seit 2016 in Deutschland angebotenen Dash-Buttons erlitten. Das OLG München bestätigte die vorangegangene Entscheidung des LG München I und verurteilte Amazon zur Unterlassung. Die Bestellung per Dash-Button sei zu intransparent und verstoße daher gegen die Gesetze des Internethandels.

  • OLG München, Urteil vom 10.01.2019, Az.: 29 U 1091/18

Hintergrund

Die kleine WLAN-fähige Taste, sogenannter „Dash-Button“, ermöglicht es Alltagsprodukte in Sekundenschnelle, ganz ohne Warenkorb, Eingabe der Lieferadresse oder Bestätigung per Mausklick, nachzubestellen. Ein einfacher Knopfdruck reicht. Dazu wird die aufklebbare, nur mit dem Markenlogo des jeweiligen Herstellers versehene Taste im Vorfeld per dazugehöriger App mit dem gewünschten Produkt verknüpft. Im Fall des Bestellbedarfs muss nur der Button gedrückt werden und das Produkt wird nach Hause geliefert. Vor versehentlicher Mehrfachbedienung ist der Käufer dadurch geschützt, dass eine erneute Bestellung erst nach Lieferung der Ware möglich ist.

Bereits kurze Zeit nach Einführung des „Dash-Buttons“ geriet dieser jedoch aufgrund mangelnder Transparenz ins kritische Blickfeld von Verbraucherschützern. Im Herbst 2016 reichte die Verbraucherzentrale NRW dann aufgrund mehrerer Beschwerden Unterlassungsklage ein.

Die Entscheidung

Die Rechtsauffassung des LG München I bestätigend, stufte das OLG München die „Dash-Buttons“ in ihrer aktuellen Ausgestaltung als rechtswidrig ein. Besonders kritisierten die Richter die Transparenz des Bestellvorgangs. Der Verbraucher müsse zum Zeitpunkt der Bestellung eindeutig darüber informiert sein, welchen Artikel, in welcher Menge und zu welchem Preis er gerade kauft, führt das Gericht aus. Zwar würde dem Kunden diese Informationen beim Installieren der dazugehörigen App mitgeteilt. Beim späteren Bestellvorgang könne es jedoch sein, dass sich der Kunde nicht mehr aller Details bewusst ist. Zudem können Preis und Menge im Laufe der Zeit variieren, insbesondere, weil Amazon sich in seinen Nutzungsbedingungen das Recht vorbehält „geeignete Ersatzartikel“ zu liefern. Nach Auffassung der Richter ist aber zweifelhaft, ob der Kunde das Produkt zu jedem Preis wolle. Zudem fehle der zwingend notwendige Hinweis auf die Zahlungspflicht der Bestellung. Nach § 312j BGB muss ein Online- Händler die Schaltfläche, mit der der Käufer durch einen Klick den Kauf endgültig abschließt, so benennen, dass jeder Käufer ohne Weiteres erkennen kann, dass das Anklicken der Schaltfläche Geld kostet.

Unser Kommentar

Das Urteil des OLG München wurde bislang noch nicht veröffentlicht. Amazon hat angekündigt Rechtsmittel gegen das „innovationsfeindliche“ Urteil einzulegen. Mit Wirkung zum 1. März 2019 wurde der Verkauf aber dennoch weltweit eingestellt. Nach eigenen Angaben steht die Entscheidung jedoch nicht im Zusammenhang mit dem Rechtsstreit, sondern vielmehr mit der Nachfrage. Welchen Anteil die „Dash-Buttons“ an dem deutschlandweiten Umsatz von 26 Milliarden Euro gehabt haben, bleibt unbekannt. Amazon ist weiterhin überzeugt davon, dass der „Dash-Button“ mit der deutschen Gesetzgebung im Einklang steht. Nach Auffassung von Amazon sollten die Kunden selbst entscheiden dürfen, wie sie einkaufen wollen.

Vermutung der Wiederholungsgefahr trotz gegenüber Drittem abgegebener Unterlassungsverpflichtungserklärung im Persönlichkeitsrecht?

Die Richter des Bundesgerichtshofes haben entschieden, dass auch im Persönlichkeitsrecht die Vermutung der Wiederholungsgefahr durch, eine einem Dritten gegenüber abgegebene Unterlassungsverpflichtungserklärung, entfallen kann. Erforderlich ist insoweit eine umfassende Würdigung, ob die Unterlassungsverpflichtung im konkreten Einzelfall geeignet ist, den Verletzter ernsthaft von einer wiederholten Verletzung abzuhalten.

Die Richter des Bundesgerichtshofes haben entschieden, dass auch im Persönlichkeitsrecht die Vermutung der Wiederholungsgefahr durch, eine einem Dritten gegenüber abgegebene Unterlassungsverpflichtungserklärung, entfallen kann. Erforderlich ist insoweit eine umfassende Würdigung, ob die Unterlassungsverpflichtung im konkreten Einzelfall geeignet ist, den Verletzter ernsthaft von einer wiederholten Verletzung abzuhalten.

  • BGH, Urteil vom 4.12.2018, Az.: VI ZR 128/18

Hintergrund

Gegenstand der Entscheidung war ein Bericht über ein heimliches Treffen der Klägerin mit einem Fußballspieler, den die Beklagte auf ihrer Internetseite verbreitet hat. Unter der Überschrift „Heimliches Treffen zwischen S() M (…)(Name der Klägerin) und S() K(..)?“ heißt es in dem Beitrag:

„Bahnt sich da etwa eine Promi Liebe an? Wie niederländische Medien berichten, soll es zu einem heimlichen Treffen zwischen S(…)M(…) und Nationalspiel S(…)K(…) gekommen sein. Die schöne Moderatorin und der Fußballspieler wurden zusammen an der Hamburger Alster im noblen Hotel „Vier Jahreszeiten“ gesehen. Dort sollen sie gemeinsam einen romantischen Abend mit Champagner verbracht haben. ….“

Sowohl die Klägerin als auch S(…)K(…) forderten die Beklagte vorgerichtlich auf, eine im Wesentlichen identische, strafbewehrte Unterlassungsverpflichtungserklärung in Bezug auf die Textabschnitte sowie die Überschrift abzugeben. Im Fall des Fußballers S(…)K(…) umfasste die Unterlassungserklärung eine weitere Äußerung. Die Beklagte gab die geforderte Unterlassungserklärung gegenüber S(…) K(..) ab. Der Klägerin gegenüber verweigerte die Beklagte jedoch die Abgabe der Unterlassungsverpflichtungserklärung. Als Begründung führte sie aus, dass mit der Abgabe der Erklärung gegenüber S(…)K(…) die Wiederholungsgefahr auch gegenüber der Klägerin entfallen sei.

Sodann erhob S(…)M(…) Klage mit dem Antrag, die Beklagte zur Unterlassung der Veröffentlichung und Verbreitung der genannten Äußerungen sowie der Überschrift zu verurteilen. Das Landgericht bestätigte die Ansprüche, da die angegriffenen Äußerungen das allgemeine Persönlichkeitsrecht der Klägerin verletzen und die Wiederholungsgefahr nicht durch die abgegebene Unterlassungsverpflichtungserklärung ausgeräumt worden sei. Die dagegen gerichtete Berufung blieb ohne Erfolg. Mit der Revision vor dem BGH verfolgte die Beklagte ihren Antrag auf Abweisung der Klage weiter.

Die Entscheidung

Der BGH hat das Urteil des Oberlandesgericht aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Nach Auffassung des BGHs habe das Berufungsgericht zwar zutreffend eine Verletzung des allgemeinen Persönlichkeitsrechts angenommen. Entgegen der Ansicht des Oberlandesgerichts sei es jedoch nicht von vornherein ausgeschlossen, den aus dem Wettbewerbsrecht bekannten Gedanken der Drittunterwerfung auch im Persönlichkeitsrecht heranzuziehen. Nach Ansicht des BGH sei das Vorliegen der Wiederholungsgefahr auch im allgemeinen Persönlichkeitsrecht anhand einer Einzelfallbetrachtung zu beurteilen und nicht generell aufgrund des höchstpersönlichen Charakter dieses Rechts als gegeben anzusehen.

Unter Verweis auf die Rechtsprechung zum Wettbewerbsrecht führt der BGH aus, dass eine gegenüber einem von mehreren Verletzten abgegebene strafbewehrte Unterlassungsverpflichtungserklärung zwar nicht generell geeignet sei, die Vermutung der Wiederholungsgefahr auch gegenüber anderen Verletzten zu entkräften, dass ihr aber nach den Umständen des Einzelfalls eine solche Wirkung zukommen kann. Dabei komme es entscheidend darauf an, ob die Unterlassungsverpflichtung geeignet erscheine, den Verletzter wirklich und ernsthaft von Wiederholungen der Verletzung abzuhalten. Ob dies der Fall ist, sei in umfassender Würdigung aller hierfür in Betracht kommenden Umstände des Einzelfalls sorgfältig und unter Anlegung der gebotenen strengen Maßstäbe zu prüfen. Die Dritterklärung müsse in jedem Fall den vom Betroffenen geltend gemachten Unterlassungsanspruch inhaltlich vollständig abdecken.

Soweit das Berufungsgericht darüber hinaus ausführt, dass – selbst wenn man die Drittunterwerfung auf den vorliegenden Fall übertrüge – es fraglich erscheine, ob die gegenüber S(..) K(..) abgegeben Verpflichtungserklärung sämtliche künftigen Äußerungen gegenüber der Klägerin erfasse, wird dies vom BGH zurückgewiesen. Dabei lässt der BGH die Frage der Anwendbarkeit der Kerntheorie auf das Recht der Wortberichterstattung offen. Jedenfalls scheide die Anwendung der Kerntheorie im vorliegenden Fall dergestalt aus, dass der geltend gemachte Unterlassungsanspruch eine Berichterstattung über das Treffen ohne die Identifizierung von K. erfassen würde. Da eine solche Berichterstattung einen anderen, geringeren Informationsgehalt habe, sei der Eingriff in die Privatsphäre der Klägerin geringer.

Unser Kommentar

Der BGH stellt in seiner Entscheidung klar, dass die wettbewerblichen Grundsätze zur Drittunterwerfung grundsätzlich auch für das Persönlichkeitsrecht Anwendung finden können. Dabei wird sich das Berufungsgericht nunmehr mit der Frage befassen müssen, ob die abgegebene Unterlassungsverpflichtungserklärung geeignet erscheint, die Beklagte wirklich und ernsthaft von Wiederholungen der Verletzung abzuhalten. Insofern wird u.a. auch der Vertragsstrafegläubiger zu berücksichtigen sein. Im Gegensatz zu beispielsweise einem Verband oder einen Verein, dessen (satzungsmäßige) Aufgabe in der Wahrung der Interessen seiner Mitglieder liegt, ist zu prüfen, ob auch der Vertragsstrafegläubiger im vorliegenden Fall eine generelle Verfolgungsbereitschaft, unabhängig von seinen persönlichen Interessen, hat. Aufgrund der hohen Anforderungen und insbesondere aufgrund der Unterschiede zum Wettbewerbsrecht wird der Wegfall der Wiederholungsgefahr im Persönlichkeitsrecht vermutlich eher die Ausnahme bleiben.

Veranstaltungen, IP/IT Blog und Veröffentlichungen
  • Eine Übersicht mit unseren Veranstaltungen finden Sie hier: <link https: www.luther-lawfirm.com veranstaltungen suche.html external-link-new-window>Veranstaltungen
  • Unseren IP/IT Blog finden Sie hier: <link https: www.luther-lawfirm.com blog ip-it external-link-new-window>Blog
  • Eine Liste unserer aktuellen Veröffentlichungen finden Sie hier: <link https: www.luther-lawfirm.com publikationen veroeffentlichungen.html external-link-new-window veröffentlichungen>Veröffentlichungen