Sehr geehrter Herr Drescher,

heute fällt es mir schwer, Sie beschwingt zu begrüßen. Der Anschlag in Hanau lässt mich kein spritziges Editorial schreiben und ins Tagesgeschäft übergehen. „Aus Worten werden Taten“ – durch menschenverachtende Kommentare und hasserfüllte Sprache sinkt die Hemmschwelle, öffentlich ausgesprochene Drohungen in die Tat umzusetzen. Um auf Hasskriminalität und rechtsterroristische Taten zu reagieren, beschloss das Bundeskabinett den Entwurf eines „Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“.

Für Soziale Netzwerke soll z.B. eine Meldepflicht ans BKA eingeführt werden. Von dieser Meldepflicht sind besonders schwere Straftaten (z.B. Volksverhetzung, Bedrohung mit Mord oder mit Vergewaltigung) umfasst. Der Gesetzesentwurf ist im Hinblick auf die verfolgten Ziele zu begrüßen. Er wirft jedoch insbesondere Fragen zur Meinungsfreiheit und dem Datenschutz auf, die sicherlich noch im weiteren Gesetzgebungsverfahren für Diskussionen sorgen werden.

Nun zum Tagesgeschäft: Themen dieser Ausgabe sind Single Opt-in bei Online-Portalen, Datenpannen bei der Berliner Justiz, die Arbeitszeiterfassung per Fingerprint sowie der Inhalt der Auskunftspflicht nach Art. 15 DSGVO. Zudem informieren wir Sie u.a. über neue Entscheidungen im Marken- und AGB-Recht.

AGB Änderung durch Pop-Up

Cloud-Diensten zeichnen sich durch hohe Agilität aus. Inhalte und Funktionalitäten können tagesaktuell angepasst werden. Das gilt auch für eine Anpassung der AGB. Juristisch ist diese Flexibilität schwerer einzufangen, denn eine Änderung der Leistungen oder Bedingungen bedarf der Zustimmung des Vertragspartners. Diese Zustimmung kann zwar auch mittels Pop-Up Fenster eingeholt werden. An der Wirksamkeit bestehen aber Zweifel, wenn die Zustimmung nicht „freiwillig“ erteilt wurde. Dies wird diskutiert, wenn die Alternative der Verlust des Zugangs ist.
Das OLG Dresden erlaubt nun einer Social Media Plattform eine solche Gestaltung (4 U 1471/19). Wird dabei über die Änderungen nur unvollständig informiert, führe dies nicht zur Unwirksamkeit der Zustimmung, sondern mache diese allenfalls anfechtbar. Aber Vorsicht! Der Anwendungsbereich des Urteils ist eng.

Neue EU-Verordnung für Plattformen

Ab dem 12. Juli 2020 gilt die „Platform-to-Business Verordnung” (VO (EU) 2019/1150) für Online-Vermittlungsdienste und Suchmaschinen, über die gewerbliche Nutzer Verbrauchern Waren oder Dienstleistungen anbieten können (z.B. eBay, Amazon, Reiseportale, App Stores, soziale Netzwerke). Anbieter solcher Dienste müssen ihre AGB gegenüber gewerblichen Nutzern anpassen und weitere Vorgaben umsetzen.

AGB müssen z.B. die Gründe enthalten, die dazu berechtigen, gewerbliche Nutzer von der Plattform auszuschließen oder ihre Nutzungsrechte einzuschränken. Auch muss darauf hingewiesen werden, wie die AGB sich auf Rechte des Nutzers an geistigem Eigentum (z.B. Fotos) auswirken, und es müssen die Hauptparameter des Rankings von Angeboten und deren Gewichtung enthalten sein.
Außerdem bestehen Vorgaben zu Prozessen, wenn AGB geändert werden oder die Plattformnutzung durch gewerbliche Nutzer eingeschränkt oder beendet wird. Größere Anbieter müssen ein internes Beschwerdemanagement für gewerbliche Nutzer einrichten.

Und immer wieder SAM….

Seit Jahren geht die Inhaberin der Sportbekleidungsmarken „Uncle SAM“ / „SAM“ intensiv auch gegen kleinste Markenverletzungen vor und beschäftigt damit die Gerichte. Unlängst nun hob der BGH eine zu deren Gunsten ergangene Entscheidung des OLG Frankfurt auf. In dem Fall ging es um die Formulierung „ALBERTO Slim Fit Hose SAM“ in der Produktbeschreibung für eine Hose. Das OLG hatte diese Verwendung des Begriffs „SAM“ als Zweitmarke in Form einer Modellbezeichnung eingestuft und den Beklagten deshalb verurteilt. Der BGH differenziert: seinen Ausführungen zufolge ist die Verwendung bekannter Modellbezeichnungen (z. B. „501“ für Jeans) sowie von Modellbezeichnungen, die mit bekannten Herstellermarken Dritter identisch sind, in aller Regel tabu. Ist dagegen die Modellbezeichnung nicht bekannt, kommt es auf den Einzelfall an: deren Verwendung zusammen mit der eigenen Herstellermarke oder untergeordnet in einer Produktbeschreibung kann dann zulässig sein. Ob diese Grundsätze allerdings 1:1 auf andere Branchen als die Modebranche übertragbar sind, erscheint zweifelhaft.

Kein DOI = Datenschutzverstoß?Ein zwölfjähriger Junge aus Österreich erhält auf seine E-Mail-Adresse Kontaktanfragen. Er bekommt über zwei Profile bei zwei Dating-Plattformen regelmäßig eindeutige Nachrichten. Wo ein Kumpel „Glückwünsch!“ ruft, regt sich ein Vater auf – und beschwert sich bei der österreichischen Datenschutz-Aufsichtsbehörde. Und hier wird es für Sie relevant: Diese hat nämlich festgestellt, dass ein fehlendes Double-Opt-In-Verfahren (DOI) einen Datenschutzverstoß darstellt.

Konkret: wenn ein Anbieter eines Internet-Portals eine Nutzer-Registrierung zulässt, ohne die eingegebene E-Mail-Adresse zu verifizieren, verstößt er mangels hinreichender technischer und organisatorischer Maßnahmen zum Schutz der Vertraulichkeit gegen Art. 32 DSGVO! Und so war es hier: zwar gab es eine DOI-Mail. Den Aktivierungs-Link musste man aber zur Nutzung der Portale nicht klicken. Eine Einladung zum Missbrauch fremder E-Mail-Adressen.

Alter schützt vor Hacken nicht

Retro-Konsolen wie Super Nintendo oder C64 sind gerade wieder der letzte Schrei – vielleicht ist das der Grund weshalb das Kammergericht in Berlin so lange an seinen alten Geräten festgehalten hat. Die Treue zu veralteter IT hat dem Gericht jetzt auch ein neues Gutachten attestiert.

Nachdem das KG im Herbst 2019 Opfer eines Virus geworden war, deutet das Gutachten nun auf einen hohen Verlust sensibler Daten hin. Besonders bitter: Die veraltete IT-Infrastruktur des Gerichts hatte es den Angreifern laut Gutachten besonders leicht gemacht. Das Gericht hätte den Bericht, der immerhin auf den 23.12.2019 datiert, wohl am liebsten verschwinden lassen, veröffentlichte ihn dann Ende Januar aber doch – auf enormen Druck der Öffentlichkeit.

Die Folgen, die ein Diebstahl von Daten, insbesondere zu Prozessbeteiligten, Zeugen aber auch zu verdeckten Ermittlern haben könnte, mag man sich nicht vorstellen. Ob das Gericht die möglicherweise Betroffenen über den Vorfall informiert hat, ist nicht bekannt. Bei Datenpannen ist das Pflicht, wenn sich ein hohes Risiko für deren persönlichen Rechte und Freiheiten ergibt.

Und die Verantwortlichkeit? Zwar gilt das Datenschutzrecht auch für das KG, jedoch mit einem feinen Unterschied: das Gericht hat als öffentliche Einrichtung bei einem DSGVO-Verstoß kein Bußgeld zu befürchten. Der Gesetzgeber nimmt an, dass öffentliche Stellen nicht durch Bußgelder zur Einhaltung der Gesetze gezwungen werden müssen. Für veraltete IT gilt daher auch bei Gerichten: Game Over.

Obacht bei der Arbeitszeiterfassung per Fingerprint

Das Arbeitsgericht Berlin (Urteil vom 16.10.2019 – 29 Ca 5451/19) hatte über die datenschutzrechtliche Zulässigkeit der Arbeitszeiterfassung mittels Fingerprints zu entscheiden. Da es sich bei der Verarbeitung von Fingerprint-Daten um biometrische Daten und damit um besonders schutzwürdige personenbezogene Daten handelt, darf diese Form der Zeiterfassung nur in engen Grenzen durchgeführt werden. Das Gericht hat festgestellt, dass die Verarbeitung von biometrischen Fingerprint-Daten für die Durchführung des Arbeitsverhältnisses nicht erforderlich war, § 26 Abs. 1 und Abs. 3 BDSG. Eine andere Bewertung der Erforderlichkeit könnte zum Beispiel dann vertretbar sein, wenn mit dem „händischen“ System der Zeiterfassung nachweislich Missbrauch betrieben würde. Nach Ansicht des Arbeitsgerichts hätte der Arbeitgeber von den Beschäftigten eine datenschutzrechtliche Einwilligung in die Arbeitszeiterfassung per Fingerprint einholen müssen. Dies hatte der Arbeitgeber allerdings nicht getan.

 

Was zu beauskunften wäre

Transparenz ist einer der Grundsätze der DSGVO. Auf ihm beruht z. B. das Auskunftsrecht des Betroffenen gem. Art. 15 DSGVO. Demnach hat der Verantwortliche dem Betroffenen auf Anfrage eine ganze Reihe an Informationen über die Verarbeitung der Daten des Betroffenen zur Verfügung zu stellen. Welche das genau sein müssen, regelt die DSGVO leider nur mehr oder weniger unklar. Fallstricke für Verantwortliche sind hier vorprogrammiert. Die Vorgabe, „die Empfänger oder Kategorien von Empfängern“ der personenbezogenen Daten zu nennen, setzte ein Unternehmen so um, dass die Kategorien zusätzlich mit Beispielen versehen wurden. Dem AG Wertheim (12.12.2019 – 1 C 66/19) war das zu intransparent. So auch die Nennung der Datenarten statt des konkreten Datums, obwohl Art. 15 DSGVO nur von den Datenkategorien spricht. Die Folge: 15.000 EUR Zwangsgeld. Das was man hat, sei auch zu beauskunften.

Das Bundesjustizministerium hat mittels einer Studie untersuchen lassen, wie Online-Dienste die datenschutzrechtlichen Vorgaben der DSGVO umsetzen. Geprüft wurden die Informationspflichten, Einwilligungen, der Umgang mit sensiblen Daten, datenschutzfreundliche Voreinstellungen und die Bearbeitung von Auskunftsverlangen. Gut abgeschnitten haben etwa Otto, Zalando und Volkswagen, nicht so gut lief es für Amazon, Tripadvisor oder Wetter Online. (BK)

Der Europäische Datenschutzausschuss hat einen Leitlinienentwurf zum Thema „processing personal data in the context of connected vehicles and mobility related applications“ zur öffentlichen Anhörung veröffentlicht. Stellungnahmen können noch bis zum 20.03.2020 eingereicht werden. (LUW)

Voice Apps (z.B. Alexa Skill, Google Action) sind Telemedien. Deshalb muss der Anbieter bestimmte Pflichtangaben leicht erkennbar, unmittelbar erreichbar und ständig verfügbar halten. Diese sog. Impressumspflicht gilt auch dann, wenn keine direkte Einkaufsmöglichkeit über die Voice App besteht. Wie und wo man das macht, erfahren Sie hier. (BK)

Identische Verstöße (Hier: unvollständiges Impressum) auf unterschiedlichen Internet Plattformen sind keine einheitliche Handlung. Für jeden Verstoß wird eine eigene Vertragsstrafe ausgelöst. Das entschied das OLG Düsseldorf (Urteil vom 29.08.2019 – I-2 U 44/18) im Fall eines Immobilienmaklers, der seine Impressumspflichten auf verschiedenen Plattformen nicht erfüllte, nachdem er für seinen Facebookauftritt abgemahnt wurde. (SIS)

Das OLG München entschied, dass PayPal und Sofortüberweisung nicht unter das Verbot des § 270a BGB fallen, nach dem für bestimmte Zahlarten kein Entgelt erhoben werden darf. Damit hob es die Vorinstanz auf. Auch wenn beide Verfahren auf SEPA-Zahlungen basieren, darf die Einschaltung eines Dienstleisters im Vordergrund kostenpflichtig sein.
(MS)

Das man als Onlinehändler den Käufer über Garantien informieren muss, mit denen man wirbt, ist mitlerweile hinreichend bekannt. Das OLG Hamm (Urt. v. 26.11.2019 – I- 4 U 22/19) hat nun entschieden, dass eine Informationspflicht auch dann besteht, wenn die Garantie nicht besonders werblich hervorgehoben wird. Eine Einschränkung auf Werbung ergebe sich nicht aus dem Wortlaut des Gesetzes. (SIS)

Der BGH (I ZR 161/18) bestätigte jüngst, dass die Zahlung einer angemessenen Gebühr (die eigentlich eine Vergütung ist) für die Durchführung der Prüfung oder die Verleihung eines Gütesigels der Neutralität der Prüfeinrichtung nicht entgegen steht. Die Prüfkriterien dürfen autonom festgelegt werden, unterliegen im Einzelfall aber der richterlichen Kontrolle. Relevant werden hier die Bezugnahmen auf „anerkannte technische Standards“ oder Normierungen. Letzteres wird die Zertizierungsdienste im Bereich der künftigen Gütesiegel nach DSGVO noch umtreiben. Ersteres die Verwender beruhigen. (KB)

Seit über einem Jahrzehnt wird gestritten, ob für das Setzen von Cookies ein Opt-in oder Opt-out gilt. Der EuGH sagt Opt-in, die deutsche Umsetzung der zugrunde liegenden EU-Richtlinie sieht ein Opt-out vor. Der BGH lässt sich Zeit bei der Beurteilung, wie er beide Sichtweisen unter einen Deckel bekommt bzw. was der deutsche Gesetzgeber eigentlich wollte: Verkündungstermin ist erst am 28.05.2020. (BK)

Urheberrechtshinweise Bilder

Red Flags:
Bild 1 – © Computer- pexels.com – Bilder wurden bearbeitet*
Bild 2 – © European- pexels.com – Bild wurde bearbeitet*
Bild 3 – © Clothing – pexels.com – Bild wurde bearbeitet*
Bild 4 – © Computer – pexels.com – Bild wurde bearbeitet*

Vorträge – © VTT Alex Kalmbach/Adobestock.com