IT Recht

Die Entscheidung des EuGH zum Privacy Shield hat jede Menge Staub aufgewirbelt und Fragen offen gelassen. Bisher ist weitestgehend davon ausgegangen worden, dass bis zur Klärung der Rechtslage (etwa eines neuen Abkommens) seitens der Behörden wie auch schon zu Zeiten des Safe-Harbour-Urteils nichts weiter unternommen werde.

Es sind bereits stichprobenartige Kontrollen durch die Datenschutzbehörden vorgenommen worden. Dabei wurden der rechtskonforme Einsatz von Tracking-Diensten unter die Lupe genommen und Anhörungsverfahren eingeleitet. Meistens soll es bei den Kontrollen um den Analysedienst „Google Analytics“ gegangen sein.

Jetzt soll nach einer Pressemitteilung des Landesbeauftragten für Datenschutz Baden-Württemberg eine groß angelegte Kontrolle durchgeführt werden. Dabei sollen zwar zunächst die sog. „Big Player“, später aber flächendeckend kontrolliert werden. Die Behörden wollen damit die einheitliche Einhaltung der Vorgaben zum Datenschutz bei Trackingdiensten erreichen.

„Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wird daher zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren Online-Angebote auf eine rechtskonforme Einbindung von Tracking-Technologien prüfen. Die Prüfung wurde länderübergreifend vorbereitet. Sie wird in enger Zusammenarbeit der beteiligten Landesdatenschutzbehörden innerhalb des jeweiligen Zuständigkeitsbereiches in völliger Unabhängigkeit durchgeführt.

Gegenstand dieser Prüfung werden in einem ersten Schritt die Internetpräsenzen von Medienunternehmen sein. Diese setzen Tracking-Dienste häufig in besonders großem Umfang auf ihren Websites ein. Wollen Medienunternehmen Tracking-Technologien nutzen, können diese nur erlaubt sein, wenn die/der Nutzer*in hierin wirksam einwilligt – d.h. informiert, freiwillig, vorab, separat und in Kenntnis einer zumutbaren Möglichkeit, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen“ lautet die Pressemitteilung.

Bei einem Verstoß gegen die Vorschriften würden die Behörden zunächst ein Anhörungsverfahren eröffnen, in dem der Betroffene Verwender Gelegenheit zur Stellungnahme erhält. Die Behörden sind befugt, ein Bußgeldverfahren einzuleiten, wenn der Vorwurf nicht entkräftet werden kann.

 

Daher sollten Webseitenbetreiber es möglichst gar nicht erst zu einer Anhörung kommen lassen.

 

Wir haben bereits regelmäßig darüber informiert, dass Tracking Dienste ausschließlich nach erfolgter wirksamer (und im besten Fall auf dokumentierter) Einwilligung des Nutzers aktiv werden dürfen. Hierzu muss die Einwilligung ausdrücklich und informiert erfolgen.

Dies kann unter anderem durch sog. Cookie-Consent-tools erfolgen. Es öffnet sich dann beim Betreten der Seite ein Overlay, bei dem alle Cookie-Einwilligungen einzeln abgefragt werden können. Diese dürfen nicht vorab schon eingestellt sein. Außerdem muss die Möglichkeit bestehen, jederzeit mit Wirkung für die Zukunft Cookies wieder zu deaktivieren.

Es reicht ausdrücklich nicht aus, einen Hinweis zu erteilen, nach dem das Weitersurfen auf der Webseite eine konkludente Einwilligung darstellt!

 

Nun ist nach wie vor die mit dem Privacy-Shield-Urteil aufgetretene Problematik der „informierten“ Einwilligung damit leider noch nicht beseitigt, jedenfalls nicht in jedem Fall. Nachdem nämlich nun der Privacy-Shield nicht mehr wirksam ist, kann das Schutzniveau des Datentransfers nur noch über die sog. Standardvertragsklauseln der EU legitimiert werden. Der Bundesbeauftragte für den Datenschutz hat dazu jedoch mitgeteilt, dass eine Übermittlung von Daten in die USA nur dann über Standardvertragsklauseln begründet werden kann, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.

Eine „Orientierungshilfe“ dazu gibt es seitens des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf):

Es muss im Zielland ein Schutzniveau für die personenbezogenen Daten

sichergestellt sein, das dem in der Europäischen Union entspricht. Der Verantwortliche (also der Webseitenbetreiber) muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden.

Das gilt insbesondere dann, wenn das Land Datenimporteurs (hier also beispielhaft USA) diesem Pflichten auferlegt, die den hier erforderlichen Schutz gegen den Zugriff von Behörden stören. Wenn also der Datenimporteur aufgrund eigener Pflichten gegenüber seinen Behörden (etwas weil er ihnen den Zugang zu den Daten ermöglichen muss) das Schutzniveau der EU nicht einhalten kann, ist der Transfer nicht erlaubt, sofern nicht andere Maßnahmen den Schutz gewährleisten.

Als Beispiel werden genannt:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann

 

Wenn Sie Daten in ein anderes Drittland übermitteln sollten Sie nach Ansicht des LfDI die Rechtslage in dem genannten Land überprüfen, insbesondere hinsichtlich der Zugriffsmöglichkeiten des Geheimdienstes und der dem Betroffenen zustehenden Rechte und Rechtsschutzmöglichkeiten und auch hier die genannten Ergänzungen der Garantien der Standardvertragsklauseln aufnehmen.

 

Der LfDI schlägt folgende Checkliste zur Abarbeitung vor, wobei Kontaktaufnahmen möglichst schriftlich festzuhalten sind, um gegebenenfalls bei einer Prüfung den Willen zur Einhaltung der DSGVO demonstrieren zu können:

 

–      Machen Sie eine Bestandsaufnahme machen: wo und wie exportieren Sie Daten in Drittländer? (darunter können auch Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten zählen, ein physischer Export der Daten ist also nicht erforderlich

 

–      Setzen Sie sich mit Ihrem Dienstleister/Vertragspartner im Drittland in Verbindung. Informieren Sie ihn über die EuGH Entscheidung und die Konsequenzen.

 

–      informieren Sie sich über die Rechtslage im Drittland (öffentliche Stellen wie die Datenschutz-Aufsichtsbehörden, der Europ. Datenschutz- Ausschuss (EDSA), die EU-Kommission oder das Auswärtige Amt sollten dazu Hilfestellungen geben können)

 

–      überprüfen Sie, ob es für das Drittland einen Angemessenheitsbeschluss nach Art. 45 DS-GVO gibt Für die USA wurde dieser nun für ungültig erklärt, aber für Argentinien, Kanada, Japan, Neuseeland oder die Schweiz besteht diese Möglichkeit z.B. noch, s. eine ausführliche Liste hier: https://ec.europa.eu/info/law/lawtopic/data-protection/international-dimension-data-protection/adequacydecisions_en ;ggfls. können Sie sich auch auf verbindliche interne Datenschutzvorschriften gemäß Artikel 47 (BCRs) berufen

 

–      überprüfen Sie, ob Sie die von der EU-Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen können (Art. 46 Abs. 2c DS-GVO) – diese sind abrufbar unter https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087.

 

Hinweis:

Standardvertragsklauseln werden eher nicht nutzbar sein, wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) und es keinen wirksamen Rechtsschutz für die Betroffenen gibt. Für die USA wurde dies vom EuGH verneint. Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur in eng begrenzten Fällen mithilfe zusätzlicher Garantien (z.B. Verschlüsselung, s.o. etc.) möglich.

 

–      Überprüfen Sie, ob Sie die Daten mithilfe der Standardvertragsklauseln und zusätzlicher Garantien in das jeweilige Land übertragen können. Dies beinhaltet insbesondere die Überlegung, ob Sie die Übertragung bzw. den Zugriff durch andere relativ vermeiden können (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des Geltungsbereichs der DSGVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird)

 

–      Um Ihren Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren, sollten Sie zudem Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über eine Änderung der Bestimmungen der Standardvertragsklauseln verständigen.

 

Gerne sind wir Ihnen dabei im Einzelnen behilflich.

 

Diese Ankündigung und die damit verbundenen notwendigen Schritte sind, gelinde gesagt, für den juristischen Laien nur sehr schwer umsetzbar. Die Empfehlungen halten wir für fernab jeglicher Praktikabilität, jedoch bieten sie immerhin einen Anhaltspunkt dafür, was mit „zusätzlichen Maßnahmen“ gemeint sein kann.

 

Das OLG Köln, Urteil vom 28.02.2020 -Az. 6 U 238/19 hat entschieden, dass es rechtsmissbräuchlich ist, wenn jemand eine Abmahnung gegenüber jemanden ausspricht, mit dem er offensichtlich nicht im Wettbewerb steht.

Der Kläger verkauft Nahrungsergänzungsmittel für Geckos. Der Beklagte Nahrungsergänzungsmittel für Menschen. Beide verkaufen ihre Produkte online. Der Kläger hatte in seinem Online Shop eine fehlerhafte Widerrufsbelehrung und wurde vom Beklagten deshalb abgemahnt. Neben der Unterlassungserklärung verlangte der Beklagte auch die Erstattung der Rechtsanwaltskosten.

Der Kläger wiederum hielt die Abmahnung für unbegründet und rechtsmissbräuchlich und verlangt daher vom Beklagten die Erstattung der Rechtsanwaltskosten für die Verteidigung gegen die Abmahnung.

Das Landgericht Köln hatte die Klage auf Erstattung der außergerichtlichen Anwaltskosten des Klägers in erster Instanz abgewiesen, weil es die Abmahnung zwar für unberechtigt, aber nicht für rechtsmissbräuchlich hielt.

Das Oberlandesgericht Köln hat nun festgestellt, dass die Abmahnung auch rechtsmissbräuchlich ist.

Dies daher, da die Parteien offensichtlich nicht in einem Wettbewerbsverhältnis zu einander stehen.

Hieraus schloss das OLG Köln, dass es dem Abmahner nicht  in  erster  Linie  auf  das Abstellen  des  Wettbewerbsverstoßes  angekommen  sei, sondern sachfremde Motive im Vordergrund standen.

 

Pressemitteilung des OLG Köln vom 25.03.2020.

https://www.olg-koeln.nrw.de/behoerde/presse/004_zt_letzte-pm_archiv_zwangs/002_archiv/index.php

 

Und wieder liegt uns eine Abmahnungen des Herrn Lothar Fürst zur Prüfung vor. Bereits in der Vergangenheit haben wir von Abmahnungen des Herrn Lothar Fürst aus Goch berichtet.

Nach eigenen Angaben ist Herr Fürst Inhaber des Modelabels „MH My Musthave“  verkaufe europaweit über Webshops, Handelsplattformen und Boutiquen Taschen jedweder Art, Mode-Accessoires sowie Damen und Herren-Oberbekleidung.

In den Abmahnungen ausgesprochen durch Herrn Rechtsanwalt Sandhage aus Berlin  wird immer wieder der gleichen  Punkt abgemahnt. Dem Ebay Verkäufer wird vorgeworfen, er hätte keinen anklickbaren Link zur OS-Plattform.

In der Abmahnung werden die Abgabe einer Unterlassungs- und Verpflichtungserklärung gefordert sowie die Zahlung von Rechtsanwaltskosten nach einem Streitwert von 3.000 €.

 Unsere Empfehlung:

Nicht ungeprüft unterschreiben. Nicht zahlen!

Das weitere Vorgehen sollte gut überlegt sein, da mit der Abgabe einer Unterlassungserklärung hohe Vertragsstrafen verbunden sind.

Wir haben unsere Zweifel, ob die Abmahnungen des Herrn Fürst tatsächlich berechtigt sind.

  • 8 Abs. 4 UWG lautet wird folgt:

„Die Geltendmachung der in Absatz 1 bezeichneten Ansprüche ist unzulässig, wenn sie unter Berücksichtigung der gesamten Umstände missbräuchlich ist, insbesondere wenn sie vorwiegend dazu dient, gegen den Zuwiderhandelnden einen Anspruch auf Ersatz von Aufwendungen oder Kosten der Rechtsverfolgung entstehen zu lassen…“

Rechtsmissbrauch liegt etwa vor, wenn die Anzahl der Abmahnungen  in keinem Verhältnis zu der gewerblichen Tätigkeit des Abmahnenden stehen, vgl. LG München I, Urteil vom 22.12.2014, Az. 4 HKO 8107/14.

Haben auch Sie eine Abmahnung von Herrn Lothar Forst erhalten? Wir helfen Ihnen!

Wir haben Erfahrung aus mehr als 5.000 Abmahnungen. Wir helfen nicht nur bei der Abmahnung, sondern machen auch Ihren Auftritt rechtssicher, wenn Sie dies wünschen!

Wir sind eine überregional tätige und auf das Wirtschaftsrecht spezialisierte Anwaltskanzlei.

Wir bieten unseren Mandanten fundierten Rechtsrat auf jedem Gebiet des Wirtschaftsrechts. Unsere Rechtsanwälte sind ausgewiesene Experten. Alle Fachbereiche arbeiten eng und kollegial zusammen, um unseren Mandanten eine solide und vertrauensvolle Grundlage für ihre Entscheidungen zu bereiten

Ihr Profil

  • Zwei befriedigende Examina
  • unternehmerisches Denken, wirtschaftliches Verständnis, sicheres Auftreten, Kommunikationsfähigkeit,
  • gründliche Arbeitsweise, Teamgeist, Engagement und Eigeninitiative

Wir bieten Ihnen

  • interessante Mandate in einem anspruchsvollen Aufgabengebiet
  • ein partnerschaftlich geprägtes, modernes Arbeitsumfeld
  • sehr gute berufliche Perspektiven sowie eine attraktive und leistungsgerechte Vergütung

 

Ihre aussagekräftigen Bewerbungsunterlagen richten Sie bitte per Mail an: sschenk@dr-schenk.net

 

Nächste Seite »