Das Kopieren durch private Unternehmen ist – unabhängig davon, dass es vielerorts praktiziert wird – in vielen Fällen schlicht unzulässig. Diese Auffassung bestätigte nun auch das VG Hannover (vg. 28.11.2013 – 10 A 5342/11) in einem Verfahren, in ein Automobillogistikunternehmen gegen eine Untersagungs- und Löschungsandordnung des Landesdatenschutzbeauftragten von Niedersachsen geklagt hatte. Für Datenschutzbeauftragte und solche, die sich beruflich mit der Thematik beschäftigen nicht verwunderlich.

Zunächst einmal dürfte das Kopieren oder Scannen des Personalausweises in den wenigsten Fällen überhaupt erforderlich sein. Ein Notieren des Namens und der Anschrift, verbunden mit dem Vermerk “Original hat vorgelegen” dürfte für die meisten Zwecke ausreichend sein. Zum Teil gibt es jedoch spezielle gesetzliche Erlaubnistatbestände, die das Kopieren erlauben (z.B. § 8 Geldwäschegesetz), weswegen Kreditinstitute dies in vielen Fällen weiterhin rechtmäßig verlangen können.  

Deutsche Unternehmen, die ständig zehn Personen mit der EDV-gestützten Verarbeitung personenbezogener Daten beschäftigt, benötigen einen betrieblichen Datenschutzbeauftragten. Ob dies auch in Zukunft der Fall sein wird, ist noch nicht abschließend geklärt, denn die EU-Kommission hat einen Entwurf eingebracht, die von 1995 stammende EU-Datenschutzrichtlinie durch eine EU-Datenschutzverordnung zu ersetzen. Diese Anpassung des europäischen Datenschutzes an den digitalen Binnenmarkt ist zwar dringend erforderlich, jedoch beinhaltet der Entwurf neben schärferen Sanktionen bei Verstößen und einer noch stärkeren Vereinheitlichung des Datenschutzes auch zahlreiche Änderungen, die in der betrieblichen Praxis für Verunsicherung sorgen. Dies betrifft nicht zuletzt die Frage wer zukünftig noch verpflichtet ist, einen betrieblichen Datenschutzbeauftragten zu bestellen. Herr Rechtsanwalt Ehlenz wird im Rahmen dieser Veranstaltung über die Bewertung der „EU-Datenschutzverordnung aus Sicht der Unternehmenspraxis“ vortragen.

Zeitrahmen: 19.12.2013 15:00 – 17:00 Uhr
Ort: DLGI mbH, Am Bonner Bogen 6, 53227 Bonn
Bitte melden Sie sich per E-Mail an unter info@dlgi.de

Mehr Informationen zur Veranstaltung finden Sie hier

Vom 11.11.2013 – 15.11.2013 führe ich in Zusammenarbeit mit der IHK Dortmund und meiner Kooperationspartnerin der M2Soft GmbH einen Zertifikatslehrgang zum „Betrieblicher Datenschutzbeauftragter (IHK)“ durch. Weitere Informationen und die Möglichkeit der Anmeldung können Sie hier abrufen.

Nach Abschluss des Zertifikatslehrgangs verfügen die Teilnehmer über fundiertes und praxisnahes Know-how, um Datenschutz in Ihrem Unternehmen professionell umzusetzen zu können und/oder zu optimieren.

Bundesgerichtshof, 12.09.2013 Aktenzeichen I ZR 208/12

Wer auf seiner Internetseite eine sogenannte Weiterempfehlungsfunktion (Tell-a-Friend) einsetzt, geht nach neuester Rechtsprechung des BGH ein nicht unerhebliches rechtliches Risiko ein. Darüber versendete E-Mails sind als Werbung zu klassifizieren und sind an den Anforderungen des § 7 UWG zu messen. Schafft ein Unternehmen auf seiner Website daher die Möglichkeit für Nutzer, Dritten unverlangt eine sogenannte Empfehlungs-E-Mail zu schicken, die auf den Internetauftritt des Unternehmens hinweist, ist dies nicht anders zu beurteilen als eine unverlangt versandte Werbe-E-Mail des Unternehmens selbst.

Die Tell-a-Friend-Funktion funktioniert in der Regel so, dass ein Dritter seine eigene E-Mail-Adresse und eine weitere E-Mail-Adresse eingibt und von der Internetseite des Seitenbetreibers an die weitere von dem Dritten benannte E-Mail-Adresse eine automatisch generierte E-Mail versandt wird, die auf den Internetauftritt des Seitenbetreibers hinweist. Es handelt sich dabei um eine effektive Funktion es Empfehlungsmarketing.

Das Zusenden solcher Empfehlungs-E-Mails durch einen Webseitenbetreiber kann einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb des E-Mail-Empfängers darstellen. Der BGH hat diesbezüglich ausgeführt, dass „das Versenden von E-Mails mit unerbetener Werbung, die der Empfänger jeweils einzeln sichten muss und bei denen ein Widerspruch erforderlich ist, um eine weitere Zusendung zu unterbinden, führt zu einer nicht unerheblichen Belästigung (vgl. BGH, Beschluss vom 20. Mai 2009 – I ZR 218/07, GRUR 2009, 980 Rn.10 ff. = WRP 2009, 1246 – E-Mail-Werbung II).“

Man liest es zwar noch regelmäßig in verschiedenen Abmahnungen einschlägiger Kanzleien, deswegen ist es trotzdem nicht richtig. Der Bundesgerichtshof (BGH) war so freundlich, dies nun noch einmal in aller Deutlichkeit zu sagen.

„Sofern der Abgemahnte den Anspruch auf Zahlung der Abmahnkosten nicht förmlich anerkennt oder sonst ausdrücklich zu erkennen gibt, dass der Vorwurf des Abmahnenden zu Recht erfolgt ist, sondern lediglich eine strafbewehrte Unterlassungserklärung abgibt, liegt darin nicht das Anerkenntnis des zugrundeliegenden gesetzlichen Unterlassungsanspruchs und der Pflicht zur Übernahme der Abmahnkosten.“

Dies gilt laut BGH sogar in den Fällen, wenn der Abgemahnte die Unterlassungserklärung abgibt, ohne zu erklären, dass dies ohne Anerkennung einer Rechtspflicht geschieht. Um die Wiederholungsgefahr einer möglichen Rechtsverletzung zu beseitigen empfiehlt sich daher in vielen Fällen auch weiterhin eine (modifizierte) Unterlassungserklärung abzugeben, um die kostenintensive Auseinandersetzung im Zusammenhang mit einer einstweiligen Verfügung zu vermeiden.

Bundesgerichtshof, I ZR 219/12 – Urteil vom 24. September 2013

Nach Auffassung des Schleswig-Holsteinischen Verwaltungsgerichts ist das Unabhängige Landeszentrum für Datenschutz (ULD) nicht berechtigt, von den Betreibern von Facebook-Fanpages zu verlangen, dass diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren haben.

Drei schleswig-holsteinische Unternehmen, die bei Facebook eine Fanpage betreiben, hatten gegen eine entsprechende Anordnung des ULD, diese zu deaktivieren, geklagt. Das ULD hatte diese Anordnung damit begründet, dass die Erfassung von Daten der Besucher der Seite durch Facebook gegen Vorschriften des Datenschutzes verstoße, weil über diese Datenerfassung von Facebook nicht ausreichend informiert werde und daher keine wirksame Einwilligung vorliege. Außerdem sei eine Widerspruchsmöglichkeit nicht vorgesehen. Die Kläger als Betreiber einer Face-book-Fanpage seien hierfür mitverantwortlich.

Nach mündlicher Verhandlung vom heutigen Tage folgte das VG Schleswig der Auffassung des ULD nicht (Aktenzeichen 8 A 218/11, 8 A 14/12, 8 A 37/12). Das Gericht hat daher die streitigen Anordnungen des ULD aufgehoben. Nach Auffassung des Verwaltungsgerichts ist der Betreiber einer Fanpage hierfür datenschutzrechtlich nicht verantwortlich. Datenschutzrechtlich sei nicht verantwortlich, wer weder tatsächlichen noch rechtlichen Einfluss auf die Datenverarbeitung habe. Dementsprechend fehle es an einer Verantwortlichkeit der Fanpage-Betreiber. Facebook stelle die technische Infrastruktur zur Verfügung. Der Seitenbetreiber könne lediglich seine Inhalte einstellen, habe aber auf den Datenverkehr zwischen dem Nutzer und Facebook keinen Einfluss. Bereits in der Vergangenheit hatte das ULD vor dem Verwaltungsgericht und dem Oberverwaltungsgericht Niederlagen im Zusammenhang mit Angeboten von Facebook erlitten (vgl. Streit über Klarnamenpflicht)

In der Frage nach der Verantwortlichkeit für Fanpages ist aber vermutlich das letzte Wort noch nicht gesprochen, denn das Verwaltungsgericht hat wegen der grundsätzlichen Bedeutung der Rechtsache die Berufung zugelassen. Der Streit über die Zulässigkeit der Nutzung von Facebook-Fanpages ist damit noch nicht rechtssicher entschieden. Derzeit ist jedoch vor dem Hintergrund dieser Rechtsprechung die Zulässigkeit wahrscheinlicher als die Unzulässigkeit, wobei jedoch die weitere Entwicklung zu beachten sein wird. Es wird also auch weiterhin Fanpages von Unternehmen geben. Das Gericht hat hier aus meiner Sicht mit Weitblick agiert und die unbefriedigende Situation in Punkto Datenschutz bei Facebook nicht auf den Köpfen der hier ansässigen Unternehmen ausgetragen.

Das hier besprochene Gesetz gegen unseriöse Geschäftspraktiken ist am 08.10.2013 im Bundesgesetzblatt verkündet worden (BGBl. 2013, Teil I Nr. 59, S. 3714, pdf-Datei, hinterlegt beim Bundesanzeiger Verlag). Art. 1 Nr. 1 a, Nr. 2, Nr. 4 und Art. 3 treten am 01.11.2014 in Kraft, im Übrigen ist das Gesetz heute, also am 09.10.2013, in Kraft getreten.

Nach § 13 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Um-fang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Datenschutzrichtlinie (RL 95/46/EG, Abl. EG Nr. L 281, S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Meist erfolgt dies über eine Datenschutzerklärung auf der Homepage.

Bei § 13 TMG handelt es sich nach Auffassung des Oberlandesgericht Hamburg (OLG Hamburg) um eine das Marktverhalten regelnde Norm (vgl. § 4 Nr. 11 UWG). Eine Gegenteilige Auffassung wurde bisher vom Kammergericht Berlin im Zusammenhang mit dem „Gefällt-mir-Button“ (KG Berlin, GRUR-RR 2012, 19 = MMR 2011, 464) vertreten.

Der Düsseldorfer Kreis, also das Gremium, in dem alle 16 Datenschutzaufsichtsbehörden vertreten sind, hat noch einmal den nachfolgenden Grundsatz betont:
Bei Datenübermittlungen in einen Drittstaat, also einen Staat außerhalb der EU bzw. des Europäischen Wirtschaftsraums (z.B. Norwegen), sind Datenschutzfragen auf zwei Stufen zu prüfen. Typische Drittstaaten sind China, die USA oder Indien:

1. Stufe: Die Datenübermittlung muss durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt sein (z.B. §§ 28 und 32 Bundesdatenschutzgesetz (BDSG))

2. Stufe: Im Ausland muss ein angemessenes Datenschutzniveau bestehen oder es müssen die Ausnahmen nach § 4c BDSG vorliegen.

Achtung: Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt!

Die Aufsichtsbehörden weisen noch darauf hin, dass trotz Vorliegens einer Auftragsdatenverarbeitung auf der 1. Stufe die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei einer Auftragsdatenverarbeitung in einer Drittstaatenkonstellation ist der Prüfungsmaßstab in der Regel dann § 28 Abs. 1 Satz 1 Nr. 2 BDSG (Wahrung berechtigter Interessen der verantwortlichen Stelle), bei sensitiven Daten sind § 28 Abs. 6 ff. BDSG zu beachten.

Der Beschluss des Düsseldorfer Kreises kann hier abgerufen werden.

Wenn Sie Fragen zum Thema Internationale Datenverarbeitung haben oder eine Beratung im Zusammenhang mit der Übermittlung von Daten in Drittstaaten haben, hilft Ihnen Rechtsanwalt Nikolaus Ehlenz gerne weiter.

Der Bundesrat hat heute das Gesetz gegen unseriöse Geschäftspraktiken beschlossen.
(Bundesrat Drucksache 638/13 Zusammenfassung hier). Das Gesetz soll unter anderem die Kosten bei einer ersten Abmahnung durch Anwälte deckeln. Insbesondere im Bereich des Filesharing, also dem illegalen Herunterladen und Anbieten von Musik, Filmen oder Software in Online Tauschbörsen (z.B. Morpheus, BitTorrent, eMule usw.) sah der Gesetzgeber offenbar die Notwendigkeit als zu hoch empfundene Forderungen von spezialisierten Anwaltskanzleien zu reduzieren.

Ausweislich der Erläuterungen zum Gesetz soll durch das Gesetz „anwaltlichen Geschäftsmodellen Einhalt geboten werden, bei denen die massenhafte Abmahnung von Internetnutzern wegen Urheberrechtsverstößen zur Gewinnoptimierung betrieben wird und vorwiegend dazu dient, gegen den Rechtsverletzer einen Anspruch auf Ersatz von Aufwendungen oder Kosten der Rechtsverfolgung entstehen zu lassen. Dazu wird § 97a UrhG komplett neu geregelt. In einem neuen Absatz 3 wird für den außergerichtlichen Bereich der anwaltliche Erstattungsanspruch auf einen Streitwert von 1 000 Euro für bestimmte Urheberrechtsstreitsachen begrenzt. “ (vgl. Bundesratsdrucksache aaO).