USA Kundendaten Microsoft

Sieg für Microsoft, Sieg für den Datenschutz: US-Regierung darf nicht auf Kundendaten im Ausland zugreifen!

Am 14. Juni 2016 hat ein New Yorker Berufungsgericht eine wichtige Entscheidung für Microsoft und für den weltweiten Datenschutz gefällt: In dem Gerichtsverfahren zwischen Microsoft und dem US-Justizministerium wurde dem Tech-Giganten Recht gegeben: Danach kann Microsoft den Behörden einen direkten Zugriff auf Kundendaten, welche im Ausland gespeichert werden, verweigern. Gegenstand des Rechtsstreits ist ein Durchsuchungsbefehl der US-Regierung in einem irischen Rechenzentrum von Microsoft zu Zwecken der Drogenfahndung und der Strafverfolgung.

Hintergrund

Bereits im Dezember 2013 wehrte sich Microsoft gegen Forderungen der US-Regierung, auf E-Mails von Microsoft-Usern zur Strafverfolgung zuzugreifen, da sich diese Daten nicht in den USA, sondern im europäischen Ausland befanden. Microsoft argumentierte, dass ein Zugriff von US-Behörden auf Kundendaten in der EU nach europäischem Recht unzulässig ist und zunächst einer vorherigen Zustimmung des Landes bedarf, in welchem die Daten gespeichert sind. Nun bekam Microsoft recht.


Brad Smith
, Präsident und Chief Legal Officer von Microsoft begrüßt das Urteil des Berufungsgerichts. So sei die Entscheidung aus drei spezifischen Gründen so wichtig:

  1. Es gewährleistet den Menschen ihr Recht auf Datenschutz nach nationaler Rechtsordnung und nicht nach dem Recht ausländischer Regierungen wie der USA
  2. Es gewährleistet, dass der Rechtschutz der physischen Welt auch in der digitalen Welt anzuwenden ist
  3. Es ebnet den Weg für bessere Lösungen in der Vereinbarung von Datenschutz und Strafverfolgung

Das Urteil wurde auch von Konkurrenzunternehmen von Microsoft mit Spannung erwartet. Hätte das Gericht der US-Justiz recht gegeben, hätte das laut Branche gravierende Folgen für die US-Wirtschaft haben können.


Was bedeutet das Urteil für Unternehmen?

Das Urteil ist richtungsweisend für alle US-Unternehmen, die in den letzten Jahren aufgrund diverser Diskussionen zu Datenübermittlungen in die USA darauf gesetzt haben, für europäische Kunden europäische Lösungen anzubieten. Mit dem Urteil ist der größte Kritikpunkt an diesen Lösungen entfallen – nämlich, dass trotz europäischem Datencenter ein Zugriff US-amerikanischer Behörden nicht ausgeschlossen werden kann.

Im Ergebnis wird das Urteil dazu führen, dass aufgrund der Unsicherheiten im Hinblick auf Safe Harbor bzw. dem neuen EU Privacy Shield oder einer Datenübermittlung auf Grundlage von Standardvertragsklauseln – Lösungen amerikanischer Anbieter mit europäischen Serverstandorten deutlich mehr an Attraktivität gewinnen.

Welche Konsequenzen hat der Brexit für den Datenschutz?

Es wird aktuell intensiv darüber spekuliert, welche Änderungen und Folgen der Brexit für die Wirtschaft mit sich bringt. Da diese Folgen nicht nur Großbritannien selbst, sondern auch die Mitgliedsstaaten der EU betreffen werden, herrscht bei vielen Europäischen Unternehmen Ungewissheit – auch und insbesondere hinsichtlich der Folgen für die Datenschutzpraxis. Denn im Falle eines vollzogenen Brexits würde die EU-Gesetzgebung nicht mehr für die UK gelten. Daher stellt sich die Frage, welche Konsequenzen sich diesbezüglich für das Europäische Datenschutzrecht ergeben könnten.

Dem ehemaligen Bundesdatenschutzbeauftragen und Vorsitzenden der Europäischen Akademie für Informationsfreiheit und Datenschutz Peter Schaar zufolge besteht die Gefahr, dass Großbritannien nach dem Austritt aus der EU ein ebenso (unsicheres) Drittland werden könnte, wie es beispielsweise Japan oder China sind – zumindest, sofern keine gesonderten Regelungen getroffen werden. Im besten Fall könnte das United Kingdom einen Status erhalten, welcher ebenbürtig mit dem von Norwegen ist. Würde Großbritannien ebenfalls dem europäischen Wirtschaftsraum angehören, würde es sich größtenteils zur Beachtung und Anwendung des EU-Rechts verpflichten.

Vorerst ist jedoch zu beachten, dass sich der Vollzug des Brexits noch einige Zeit hinauszögern wird. Zunächst stehen die Austrittsverhandlungen zwischen der Europäischen Union und dem United Kingdom an, zudem müssen sich diese auch über gegebenenfalls gesonderte Vereinbarungen über diverse Rechtsfragen einig werden. Bis sich also die ersten, tatsächlichen Konsequenzen oder Änderungen abzeichnen werden, kann man mit mindestens zwei Jahren rechnen.

Ein unmittelbares Absinken des aktuellen Datenschutzniveaus ist daher nicht zu befürchten – auch nicht im Fall des Vollzugs des Brexits. Der Datenschutzbeauftrage Christopher Graham der britischen Datenschutzbehörde ICO hat erst kürzlich eine Stellungnahme dazu abgegeben: Es sei damit zu rechnen, dass die ICO auch weiterhin eng mit den Aufsichtsbehörden der EU zusammenarbeiten werde, um ein adäquates Datenschutzniveau zu sichern. Hinsichtlich des großen Wachstums der digitalen Wirtschaft könne man nur auf diese Weise die Wettbewerbsfähigkeit Großbritanniens erhalten.

Welche Maßnahmen müssen Unternehmen also ergreifen? Wir empfehlen vorerst abzuwarten und keine überstürzten Maßnahmen zu ergreifen. Das Europäische Datenschutzniveau bleibt zunächst auch in Großbritannien bestehen, selbst wenn nach einem Austritt Großbritannien als Drittland eingestuft werden muss, ist nicht davon auszugehen, dass sich die Briten mit dem selben Selbstbewusstsein gegen Europäische Rechtsgarantien stellen werden, wie dies in den USA aufgrund eines abweichenden Privacy-Verständnisses der Fall ist. Da sich die weiteren Entwicklungen in den kommenden Jahren erst noch abzeichnen werden, sollte jedoch zumindest für längerfristige Projekte die Zusammenarbeit mit hiesigen Dienstleistern erwogen werden.

Entscheidung zur Adblocking-Klage: Gravierende Änderungen für die Werbeindustrie?

Unter Spannung verfolgte die Digitalbranche die gerichtliche Auseinandersetzung zwischen dem Axel-Springer-Verlag und dem Adblock Plus-Anbieter Eyeo: Springer hat nun vor dem Oberlandesgericht Köln einen Teilerfolg erzielt. (Urteil v. 24.06.2016 – 6 U 149/15)

Während das Gericht dem geltend gemachten Unterlassungsanspruch hinsichtlich des Angebots und Vertriebs eines Werbeblockers wie schon einige andere Gerichte zuvor eine Abfuhr erteilte, verbot das Gericht die Praxis, Werbung nur gegen Zahlung eines Entgelts an Eyeo im Wege des Whitelisting nicht weiter zu unterdrücken. Eyeo verlangt dafür Geld, dass Werbetreibende gegen Umsatzbeteiligung für sogenannte „Acceptable Ads“ auf eine Whitelist gesetzt werden können. Darin sah das Gericht eine unzulässige aggressive Praktik.

Das Urteil ist jedoch noch nicht rechtskräftig, Eyeo kündigte bereits Revision zum Bundesgerichtshof (BGH) an.


Keine gezielte Behinderung

Mit ihrem Hauptantrag, der auf die Untersagung des Vertriebs des Werbeblockers an sich abzielte, war der Springer-Verlag nicht erfolgreich. Eine gezielte und damit wettbewerbsrechtlich unlautere Behinderung liege nicht vor, so das Gericht. Ein Handeln mit unmittelbarer Schädigungsabsicht könne nicht allein deswegen angenommen werden, weil das Angebot von Eyeo erheblich auf die Umsätze des Springer-Verlags auf den Werbemarkt einwirke. Wirtschaftliche Schäden, die einem Mitbewerber durch Angebote von Konkurrenten zugefügt werden, weil Umsätze eingebüßt oder abgezogen werden, seien für sich genommen wettbewerbsimmanent.

Entscheidendes Argument für die Richter war wie bereits in Verfahren vor anderen Gerichten, dass letztlich der Nutzer eines Werbeblockers über das Blockieren von Werbung entscheide, und dieses Verhalten nicht unmittelbar Eyeo zugerechnet werden kann. Solange eine Abwehrmaßnahme nicht vom Diensteanbieter aufgedrängt, sondern vom Nutzer selbst installiert oder zugelassen wird, fehle es an der gezielten Behinderung.


Verbot „aggressiver geschäftlicher Praktiken“

Die Richter halten jedoch das sogenannte Whitelisting des von Eyeo angebotenen Werbeblockers für wettbewerbswidrig, soweit die Werbung beim Betrieb des Werbeblockers nur nach vorgegebenen Kriterien und gegen Zahlung eines Entgelts seitens Eyeo nicht unterdrückt wird. Das Gericht stützt sich dabei auf den seit Ende 2015 neu gefassten § 4a UWG. Unlauter handelt danach, wer eine aggressive geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die dieser andernfalls nicht getroffen hätte. Die durch den Werbeblocker erzielte, technische Blockade bewirke eine erhebliche Beeinträchtigung der Entscheidungsfreiheit werbewilliger Unternehmen, die der Sperre erst durch Whitelisting entgehen können, so das Gericht. Die Verbindung von Blacklisting und Whitelisting sei eine Praktik, die auf die Entscheidungsfreiheit der zahlungspflichtigen unternehmerischen Abnehmer tatsächlich einwirke, also auch Entscheidungsfreiheiten beeinflusse.

Ob diese Begründung auch vor dem BGH standhält, ist nun die spannende Frage. Denn es lässt sich auch nach wie vor durchaus gut argumentieren, dass im B2B-Bereich keine Machtposition der Werbeblocking-Anbieter dergestalt besteht, die Werbemöglichkeiten vollständig verhindert. So hat bereits in 2015 das LG Hamburg in einem ähnlichen Verfahren argumentiert, dass es durchaus Alternativen auf Seiten der Publisher gebe. Diese könnten beispielsweise Nutzern von Werbeblockern den Zugang auf ihre Webseiten verweigern oder versuchen, die technische Ausgestaltung von Onlinewerbung so zu ändern, dass Werbeblocker die Werbung nicht mehr auszublenden vermag.


Fazit

Festzuhalten bleibt, dass der Vertrieb von Werbeblockern auch nach der OLG-Entscheidung weiterhin zulässig ist. Sollte das Urteil jedoch Bestand haben, darf Eyeo in Deutschland kein Entgelt mehr für die Aufnahme von bestimmter Werbung auf ihre Whitelist erheben, sofern diese Praktik Webseiten von Axel Springer betrifft. In Anbetracht der Tatsache, dass die Bund-Länder-Kommission zur Medienkonvergenz derzeit prüft, Werbeblocker umfassend gesetzlich zu untersagen, bleibt aber unabhängig von diesem Urteil offen, wie sich die Ausgestaltung von Werbeblockern angesichts neuer gesetzlicher Vorgaben entwickeln wird. Unklar ist jedenfalls, ob ein solches Verbot überhaupt umgesetzt und durchgesetzt werden kann.

Deutschlands beste Anwälte 2016: Ranking von Best Lawyers und Handelsblatt

Zum wiederholten Mal wurde Kathrin Schürmann im Bereich Gewerblicher Rechtsschutz platziert!

Der US-Verlag Best Lawyers erstellt jährlich eine Liste deutscher Top-Anwälte verschiedener Rechtsgebiete. Diese wurden in einem Peer-to-Peer-Verfahren ausschließlich von Branchen-Kollegen empfohlen.

Die Liste wurde dieses Jahr bereits zum achten Mal exklusiv im Handelsblatt veröffentlicht. Laut Handelsblatt gewinnen spezialisierte Kanzleien zunehmend an Akzeptanz und Popularität im Markt und fordern damit die Großkanzleien auf deren angestammten Spitzenplätzen heraus.

Bereits 2015 gehörte Kathrin Schürmann zu Deutschland besten Anwälten.

Best Lawyers Award Badge

Ist Geoblocking bald verboten?

Am 25. Mai 2016 hat die EU-Kommission einen Vorschlag für eine „Verordnung über Maßnahmen gegen Geoblocking und andere Formen der Diskriminierung aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden innerhalb des Binnenmarkts“ veröffentlicht.

Ziel des Verordnungsvorschlags ist es, den Verbrauchern besseren Zugang zu Waren und Dienstleistungen im Binnenmarkt zu verschaffen, indem direkte und indirekte Diskriminierungen seitens der Anbieter, die auf dem Wohnsitz der Kunden basieren und eine künstliche Segmentierung des Marktes bewirken, verhindert werden. Zwar soll die Verordnung sowohl für den Online- als auch den stationären Einzelhandel gelten. Dass die praktischen Folgen vor allem den Online-Handel betreffen, liegt jedoch auf der Hand.

Was ist „Geoblocking“?

Geoblocking ist eine Maßnahme, durch die Online-Händler den Zugang zu Waren oder Dienstleistungen und Inhalten vom Wohnsitz oder Aufenthaltsort des Kunden abhängig machen. Zur Feststellung des Aufenthaltsortes werden z. B. Verfahren wie die Geolokalisierung anhand der IP-Adresse des Verbrauchers genutzt. Online-Händler können diese Information z. B. nutzen, um den Zugang zu einer Seite sperren, den Kunden auf eine andere (länderspezifische) Seite umzuleiten oder um den Kunden länderspezifische Preise oder andere Geschäfts- oder Zahlungsbedingungen anzuzeigen.

Für wen gilt das Geoblocking-Verbot (nicht)?

Der Verordnungsvorschlag nimmt alle Anbieter, die sich an europäische Kunden richten, in die Pflicht.

Für bestimmte Dienstleistungen sollen Ausnahmen gelten. Dazu zählen unter anderem audiovisuelle Dienste (Film, TV, Rundfunk usw.), Gesundheitsdienstleistungen, Glücksspiele und bestimmte soziale Dienstleistungen.

Was ändert sich?

Das Ziel, den Kunden besseren Zugang zu Waren und Dienstleistungen im Binnenmarkt zu verschaffen, soll folgendermaßen erreicht werden:

  • Anbietern ist es ohne Einwilligung des Nutzers untersagt, den Zugang von Kunden zu ihrem Online-Angebot aus Gründen der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung durch technische Mittel (z. B. IP-Geolokalisierung) oder auf anderem Wege zu sperren oder zu beschränken.
  • Anbietern ist es in bestimmten Fällen untersagt, unterschiedliche Allgemeine Geschäftsbedingungen (AGB) aus Gründen der Staatsangehörigkeit bzw. des Wohnsitzes oder des Ortes der Niederlassung anzuwenden.
  • Anbietern ist es – von wenigen Ausnahmen abgesehen – untersagt, aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden, des Standorts des Zahlungskontos, des Ortes der Niederlassung des Zahlungsdienstleisters oder des Ausstellungsorts des Zahlungsinstruments innerhalb der Union unterschiedliche Zahlungsbedingungen für den Verkauf von Waren oder die Erbringung von Dienstleistungen anzuwenden.

Der Verordnungsvorschlag sieht Ausnahmen vor, wenn dies erforderlich ist, damit die Anbieter die für sie geltenden zwingenden nationale Vorschriften einhalten können (z. B. deutsches Buchpreisbindungsgesetz).
Zeitplan

Der Vorschlag wird nun das Gesetzgebungsverfahren durch das EU-Parlament und den Rat der Europäischen Union durchlaufen. Sollten sich EU-Parlament und Rat auf eine gemeinsame Fassung einigen können und diese verabschieden, soll die Verordnung sechs Monate später in den Mitgliedsstaaten in Kraft treten. Mit dem Inkrafttreten ist nicht vor 2018 zu rechnen.

 

 

Cyberangriffe auf Unternehmen

Eine zunehmende Bedrohung für Unternehmen und Herausforderung für IT- Sicherheit und Datenschutz

Nicht nur von Privatpersonen, sondern auch von Unternehmen, wird die Bedrohung durch Netzangriffe immer noch stark unterschätzt. Fehlendes Wissen und die Scheu vor einem hohen finanziellen Aufwand sind dabei nur einige Aspekte, die hier ausschlaggebend sind. Dabei ist es möglich durch die Beachtung einiger wichtiger Grundregeln und professionelle Beratung das Risiko, Opfer eines solchen Angriffs zu werden, zu senken und die dadurch drohende Haftung sowie Bußgelder zu vermeiden.

Die Bedrohungslage:

Die Zahl der Cyberangriffe nimmt rasant zu. Eine Studie der KPMG kommt zu dem nüchternen Ergebnis, dass es nicht mehr eine Frage des „Ob“, sondern vielmehr eine Frage nach dem „Wann und Wie“ ist, dass eine Attacke gegen das eigene Unternehmen stattfindet. Diese Angriffe werden immer professioneller und die Anforderungen an die IT-Sicherheit im Unternehmen werden zunehmend komplexer.

Dabei sind die Folgen für das betroffene Unternehmen oft schwerwiegender als die eigentliche Attacke selbst. Imageschäden und enorme Kosten entstehen dabei insbesondere durch Identitäts- und Datendiebstahl, aber auch die Cybererpressung sowie gezielte Angriffe auf IT und Plattformen mit dem Ziel diese lahmzulegen nehmen stetig zu. Neben den Schäden sind zudem drohende Bußgelder in nicht zu unterschätzender Höhe zu beachten, die bei Verletzung der bestehenden Meldepflichten nach sog. „Datenpannen“ drohen.

Angriffsarten:

„Jeder mit dem Internet verbundene Computer ist Angriffen ausgesetzt“

Doch welche Arten von Angriffen drohen konkret? Die Mittel und Methoden für Cyber-Angriffe sind heute sehr vielfältig:

  • Spam-Mail
  • Schadsoftware (Mal- oder Junkware)
  • Drive-by-Exploits
  • Brute-Force Angriffe
  • DDoS-Attacken
  • Phishing-Mails
  • Ransomsoftware

Bei den hier aufgezählten Angriffsmethoden handelt es sich lediglich um ihre prominentesten Varianten und bilden daher nur einen kleinen Ausschnitt ab.

Gegenmaßnahmen sind bezüglich der überwiegenden Zahl der Angriffsarten auf technischer Ebene zu ergreifen. Spamfilter sind heute bereits Standard und erkennen den größten Teil fragwürdiger E-Mails. Brute-Force Angriffe machen sich bspw. schlechte Passwortsicherheit zu Nutze, sodass hier besonderes Augenmerk darauf zu legen ist.

Der Faktor Mensch und dessen Sensibilisierung darf jedoch ebenso wenig vernachlässigt werden. Diese „Schwachstelle“ wird insbesondere beim sog. Social Engineering durch Phishing-Mails ausgenutzt. Bei Angriffen dieser Art, versuchen Kriminelle, ihre Opfer dazu zu verleiten selbständig eigene Daten preiszugeben, eigenhändig Malware auf ihrem System zu installieren oder Schutzmaßnahmen zu umgehen. Dabei gehen die Täter sehr geschickt vor, indem sie die Neugier und andere menschliche Schwächen ausnutzen um so Zugriff auf sensible Daten zu erhalten. Waren diese in der Vergangenheit oftmals schon bei oberflächlicher Betrachtung durch fragwürdige Absender, schlechte deutsche Sprache oder gar in Fremdsprachen verfasst, werden sie zunehmend „origineller“. Gute deutsche Grammatik, seriöse Absenderadressen und teilweise persönliche Ansprache des Empfängers, machen die Identifizierung immer schwieriger.


Meldepflichten:

Ist man nun Opfer eines Angriffs geworden und sind personenbezogenen Daten betroffen, spricht man etwas beschönigend von einer „Datenpanne“, das heißt z.B. bei unberechtigtem Zugriff Dritter auf Datensammlungen. Unberechtigt ist ein solcher Zugriff immer dann, wenn der Betroffene nicht zugestimmt hat und der Zugriff nicht durch das BDSG oder sonstige Rechtsvorschriften erlaubt ist.

Besonderes Augenmerk ist diesbezüglich auf die Meldepflichten bei solchen „Datenpannen“ zu legen. Waren Unternehmen früher noch stärker von der Verlockung getrieben „Datenpannen“ unter den Teppich zu kehren, ist dies heute durch strenge Regelungen ausgeschlossen.

Meldepflichten ergeben sich aus:

  • dem Bundesdatenschutzgesetz (BDSG)
  • dem Telemediengesetz (TMG)
  • dem Telekommunikationsgesetz (TKG)
  • dem IT- Sicherheitsgesetz (ITSG)
  • sowie der EU-Datenschutzgrundverordnung (EU-DSGVO)

Die Grundvorschrift zu den datenschutzrechtlichen Meldepflichten bildet der § 42a BDSG. Aus diesem ergibt sich für Unternehmen die Pflicht, im Fall eines begründeten Verdachtes über den Verlust und den Zugriff auf Daten – auf welchem Weg auch immer – die Datenschutz-Aufsichtsbehörde und die Betroffenen zu informieren. Eine solche Benachrichtigung hat dabei unverzüglich zu erfolgen. Zu beachten ist insofern, dass im Rahmen des § 42a BDSG allein der Verlust von Daten der entsprechenden Datenkategorien noch nicht zu einer Meldepflicht führt. Vielmehr wurde vom Gesetzgeber – als Korrektiv – zusätzlich das Erfordernis einer drohenden schwerwiegenden Beeinträchtigung der Rechte des Betroffenen als Folge des Verlustes eingefügt. Ob eine solche gegeben ist, hängt vom Einzelfall ab und sollte von professioneller Seite bewertet werden.

Eine Einbeziehung von Telemedienanbietern in den Kreis der Meldepflichtigen ergibt sich schließlich aus den Verweisungen des § 15a TMG. Der Begriff der Telemedienanbieter ist nach der Rechtsprechung weit zu verstehen, sodass in der Praxis jeder Betreiber einer Webseite als solcher angesehen werden kann. Die daraus resultierenden Meldepflichten bestehen neben denen des BDSG, was häufig übersehen wird. Besonders zu beachten ist diesbezüglich, dass es sich insofern nicht um besonders sensible Daten handeln muss, es genügt wenn Bestands- oder Nutzungsdaten betroffen sind, soweit § 42a BDSG im Wege der Verweisung des TMG zur Anwendung kommt.

Problematisch ist die Kategorisierung im Hinblick auf die Meldepflichten nun deshalb, da zur Zeit unklar ist, unter welchen Umständen die Meldepflicht für Webshopbetreiber bspw. ausgelöst wird. Nach dem Wortlaut liegen Bestandsdaten, die eine Meldepflicht auslösen, dann vor, wenn diese zur Nutzung des Telemediums erhoben werden. Im Falle eines Webshops werden diese nun vielmehr zur Abwicklung eines Kaufvertrages erhoben. Klassisches Beispiel für die Nutzung von Telemedien sind aktuell Streaming Plattformen wie etwa Netflix oder auch Itunes. Trotz der sichtbaren Unterschiede der angebotenen Leistungen wird es wohl von den Aufsichtsbehörden jedoch momentan gleich gehandhabt. Die personenbezogenen Daten, die ein Webshop über den Nutzer speichert, wie etwa Namen, Anschrift, Passwörter oder ähnliches, werden als Bestandsdaten gewertet, soweit sie unmittelbar die Nutzung des Shops betreffen, und lösen bei Zugriff Dritter die Meldepflicht nach § 15a TMG aus. Als Inhaltsdaten würden diese nach aktueller Lage allenfalls dann gelten, wenn der Nutzer des Shops als „Gast“ bestellt, ohne seine Daten zu speichern.

Auch die kürzlich beschlossene EU-Datenschutzgrundverordnung, welche mit einer Übergangszeit von zwei Jahren Anfang 2018 Anwendung finden soll, verpflichtet Unternehmen in Fällen von Datenschutzverletzungen zu einer Benachrichtigung von Behörden und Betroffenen. Hervorzuheben sind diesbezüglich die verschärften Bußgeldvorschriften. Diese Geldbußen, welche sich aus Art. 79 EU-DSGVO ergeben, können in Extremfällen gerade für kleinere Unternehmen existenzbedrohend sein. So können die Aufsichtsbehörden Geldbußen bis zu 20. Mio Euro oder 4% des Jahresumsatzes verhängen, wobei die Geldbuße „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein soll. Die Übergangszeit sollte genutzt werden, um sich mit den neuen Regelungen intensiv auseinander zu setzen und sein Sicherheitsmanagement ggf. anzupassen.


Haftung und Schadenersatz:

Sofern sie schuldhaft, also vorsätzlich oder fahrlässig erfolgt, kann eine Datenpanne, also Datenverlust oder die Offenbarung von Daten, einen Schadensersatzanspruch des Betroffenen nach §§ 7 f. BDSG und §§ 823 ff. BGB auslösen. Dieser ist, neben den bereits zuvor dargestellten bußgeldbewehrten Meldepflichtverletzungen der zweite „schmerzhafte“ finanzielle Aspekt, der im Rahmen einer möglichen Datenpanne zu beachten ist.

Wenn das Unternehmen nun von einem „Angriff“ betroffen ist, gilt es mit allen Möglichkeiten den Vorwurf des Vorsatzes und der Fahrlässigkeit auszuräumen. Es ist durch richtiges Verhalten die eigene Sorgfältigkeit nachzuweisen und somit jegliches, schuldhaftes Verhalten auszuschließen. Im Einzelnen bedeutet dies, dass das Unternehmen im konkreten Fall darlegen muss, dass die erforderlichen Maßnahmen getroffen wurden, um eine datenschutzkonforme Verarbeitung personenbezogener Daten zu ermöglichen. Mit anderen Worten bedeutet dies, dass alle gesetzlichen Anforderungen eingehalten worden sind aber dennoch der Datenverlust nicht verhindert werden konnte.

Auch bezüglich des § 7 BDSG ist die verantwortliche Stelle dann von einer Haftung befreit, wenn sie alle im konkreten Fall erforderlichen Maßnahmen ergriffen hat, um eine gesetzeskonforme Datenverwendung sicher zu stellen. Dieser Sorgfaltsnachweis kann bspw. durch entsprechende Zertifizierungen (ISO) und Audits sichergestellt werden. Dabei ist in Bezug auf die erforderliche Sorgfalt hinsichtlich der Sicherheitsvorkehrungen darauf hinzuweisen, dass eine Investition in die Sicherung der IT-Systeme in einer Größenordnung von bis zu 10 % des Jahresumsatzes als angemessen angesehen wird.

Fazit:

Ziel von Unternehmen im Bereich IT kann niemals hundertprozentige Sicherheit sein. In Zeiten immer stärker zunehmender Cyberkriminalität, professionellerer Vorgehensweisen und schnellerer IT Entwicklungen kann nur größtmögliche Sicherheit das Ziel sein, um dieser Bedrohung entgegen zu treten. Der erste Schritt ist dabei dieses Risiko zu erkennen und sich ihm zu stellen. Denn wie eingangs erwähnt, ist es nicht eine Frage des „Ob“ sondern des „Wann“ und „Wie“ sich ein Cyberangriff auf ein Unternehmen ereignen wird. In jedem Fall ist eine professionelle Beratung diesbezüglich für Unternehmen anzuraten. Dadurch kann bereits im Vorfeld eine möglichst hohe IT- und Datensicherheit gewährleistet werden und im Ernstfall entsprechend auf die Datenpanne reagiert werden. Dadurch können eine mögliche Haftung und drohende Bußgelder effektiv verhindert werden.

Englische WhatsApp-AGBs in Deutschland unwirksam

In einer kürzlichen Entscheidung des Berliner Kammergerichts wurde WhatsApp die Verwendung seiner ausschließlich englischen AGBs für die deutsche Internetseite verboten. Der Messenger-Dienst steht folglich in der Pflicht, die Allgemeinen Geschäftsbedingungen (Nutzungsbedingungen) ins Deutsche zu übersetzen. Anderenfalls sind laut Kammergericht sämtliche englischsprachige Bedingungen, die an die Nutzung der App gebunden sind, ungültig.

Weiterlesen …

WLAN Stoererhaftung abgeschafft

Update: WLAN-Störerhaftung wird abgeschafft!

UPDATE: Lange Zeit war in Deutschland umstritten, ob die sogenannte Störerhaftung weiter Bestand haben wird, wenn innerhalb eines offenen WLANs Urheberrechtsverletzungen begangen werden. Der Bundesgerichtshof hat nun am 27.Juli 2018 erneut über die WLAN-Störerhaftung geurteilt. Erfahren Sie in unserem Update alles zur Entscheidung: Ist die WLAN-Störerhaftung nun endgültig passé?

Artikel vom 11. Mai 2016:

Die Störerhaftung für Betreiber von W-LAN-Hotspots ist ein viel diskutiertes Thema und war bereits Gegenstand mehrerer deutscher Gerichtsverfahren. Aktuellen Medienberichten zufolge plant die große Koalition die WLAN-Störerhaftung bereits zum Herbst abzuschaffen.

Zuvor sorgten die Schlussanträge des EuGH Generalanwalts Szpunar vom 16.3.2016 für Aufsehen, wonach aus seiner Sicht die derzeitige Rechtslage in Deutschland zu dieser Frage gegen Unionsrecht verstößt. Die Schlussanträge stellte er im Rahmen eines Verfahrens, welches dem EuGH vom Landgericht München I zur Klärung der Frage, ob die deutsche W-LAN Störerhaftung mit Europarecht vereinbar ist, weitergeleitet wurde. Laut dem Generalanwalt können Betreiber eines kostenlosen öffentlichen W-LAN-Netzes für Urheberrechtsverletzungen der Nutzer nicht verantwortlich gemacht werden. Eine Haftung sei nicht gegeben, da die Betreiber lediglich als Anbieter sogenannter Dienste der reinen Durchleitung anzusehen seien.

Auswirkungen

Die bevorstehenden Änderungen hätten zur Folge, dass nicht nur Unternehmen, sondern auch Privatpersonen, die nicht kommerziell Internetzugänge anbieten, dies künftig ohne Passwortschutz tun dürften – ohne eine Haftung fürchten zu müssen. Insofern ist der Generalanwalt der Auffassung, dass die im bisherigen Gesetzesentwurf vorgesehene Vergabe eines Passwortes zum Betrieb eines öffentlichen W-LAN-Netzes nicht geeignet ist, ein angemessenes Gleichgewicht zwischen dem Recht des geistigen Eigentums und der unternehmerischen Freiheit der betroffenen Anbieter herzustellen. Zudem würde das Recht auf freie Meinungsäußerung sowie der Informationsfreiheit durch solche Beschränkungen des Zugangs auf rechtmäßige Kommunikation unverhältnismäßig eingeschränkt.

Hintergrund

In der Bundesrepublik Deutschland fallen aktuell Anspruch und Wirklichkeit beim Thema öffentliche W-LAN Nutzung noch weit auseinander. So liegen wir hierzulande mit durchschnittlich 1,87 W-LAN-Hotspots auf 10.000 Einwohner weit hinter vielen Ländern, wie etwa Südkorea oder Schweden, zurück. Hauptgrund hierfür dürfte insbesondere die aktuell noch herrschende Unsicherheit beim Thema „Störerhaftung“ für Rechtsverletzungen durch Nutzer öffentlicher W-LAN-Zugänge sein. Nach derzeitiger Rechtslage können Betreiber kostenfreier öffentlicher W-LAN-Hotspots für urheberrechtliche Verletzungen eines Anwenders zur Verantwortung gezogen werden.

Fazit

Mit einer Änderung des Telemediengesetzes und einer damit einhergehenden Abschaffung der WLAN-Störerhaftung würde der Weg in Richtung mehr Rechtssicherheit geebnet werden und sowohl Gewerbetreibende als auch Privatpersonen müssten keine Haftung wegen Urheberrechtsverletzungen durch Nutzer mehr fürchten. Dann dürfte ab Herbst auch ein Zusammentreffen von Anspruch und Wirklichkeit bei der Nutzung öffentlicher W-LAN-Hotspots denkbar sein.

Aus Vorabkontrolle wird Folgenabschätzung

DSGVO – Aus der Vorabkontrolle wird die Folgenabschätzung

Die europäische Datenschutzgrundverordnung (DSGVO) wirft ihre Schatten voraus. Bis zu ihrem Inkrafttreten Anfang 2018 müssen sich Unternehmen, Bürger und Behörden auf die neuen Regelungen eingestellt haben. In unserer Beitragsreihe zur DSGVO beleuchten wir die wichtigsten Änderungen für Unternehmen.

Dieser Beitrag geht auf die Einführung einer Datenschutz-Folgenabschätzung ein, wodurch die bisher bestehende Pflicht zur Vorabkontrolle wegfällt. Die damit verbundenen Änderungen bedeuten zumindest theoretisch einen grundlegenden Wandel für den Umgang mit personenbezogenen Daten.

Die Vorabkontrolle nach aktuellem Recht

Mit der bisherigen sogenannten „Vorabkontrolle“, die in § 4d des Bundesdatenschutzgesetzes (BDSG) geregelt ist, sollten Datenverarbeitungen, die ein besonderes Risiko für die Freiheitsrechte von Bürgern darstellen, unter den Vorbehalt einer Vorabmeldung an die Behörden oder einer Prüfung durch einen Datenschutzbeauftragten Prüfung durch die Behörden gestellt werden.

Als besonders risikobehaftet gelten gemäß § 4d Abs. 5 BDSG einerseits sogenannte „besondere Daten“, die sich nach ihrer Definition in § 3 Abs. 9 BDSG auf höchstpersönliche Eigenschaften oder Überzeugungen einer Person beziehen. Andererseits nennt das Gesetz Datenverarbeitungen, die dazu bestimmt sind, eine Person in umfassender Weise zu bewerten, insbesondere hinsichtlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Damit meint der Gesetzgeber automatisierte Scoring-Verfahren, in denen ohne menschliches Dazutun über besonders wichtige Fragen entschieden wird, beispielsweise bei Kreditvergaben oder Bewerbungsverfahren. Die Regelungen des BDSG sind aber bewusst offen formuliert, um auch weitere sensible Fälle abzudecken, die etwa mit der Einführung neuer Technologien einhergehen.

Das weitere Verfahren hängt davon ab, ob das Unternehmen einen Datenschutzbeauftragten bestellt hat. In diesem Fall prüft der Datenschutzbeauftragte die beabsichtigte Datenverarbeitung unter Berücksichtigung der gesetzlichen Vorgaben auf ihre Zulässigkeit. Bestehen hier Zweifel, hat er sich an die Aufsichtsbehörden zu wenden.

Hat das Unternehmen keinen Datenschutzbeauftragten, muss es der Aufsichtsbehörde vor Beginn der beabsichtigten Datenverarbeitung eine ausführliche Meldung zukommen lassen, deren Inhalt sich im Einzelnen nach § 4e BDSG richtet. Die Behörde nimmt hier in der Regel keine inhaltliche Prüfung der Datenverarbeitung vor.

In Deutschland hat die Meldepflicht an die Behörde nur in begrenztem Maß praktische Relevanz, da die Unternehmen überwiegend Datenschutzbeauftragte bestellt haben. Im europäischen Kontext wurde jedoch durch die generelle Meldepflicht ein erheblicher bürokratischer Aufwand verursacht, dem letztendlich kein adäquates Ergebnis gegenüberstand. Ein Kritikpunkt der bisherigen Praxis besteht insbesondere darin, dass allein die Meldung beabsichtigter Datenverarbeitungen noch keine Besserung der Praxis bewirkt. Hierfür wären tiefergreifende Veränderungen in der Einbindung von Datenverarbeitungsprozessen in die Abläufe des gesamten Unternehmens notwendig.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die Zukunft: Datenschutz-Folgenabschätzung

Auf der Basis dieser Überlegungen modifiziert die DSGVO die Art und Weise, in der die Risiken bestimmter Datenverarbeitungen schon im Vorhinein ausgeschlossen werden sollen.

An die Stelle einer generellen Meldepflicht tritt nun gemäß Art. 35 DSGVO die Pflicht der Unternehmen zur Vornahme einer Datenschutz-Folgenabschätzung. Die Vorschrift betrifft ähnlich wie die bisherigen Regelungen solche Datenverarbeitungen, die ein hohes Risiko für die bürgerlichen Freiheitsrechte zur Folge haben, insbesondere beim Einsatz neuer Technologien und bei der Verarbeitung großer Datenmengen.

Unabhängig von der Tatsache, ob ein Datenschutzbeauftragter bestellt wurde, muss ein Unternehmen in diesen Fällen eine umfassende Prüfung der beabsichtigten Datenverarbeitungen vornehmen und dabei zentral die möglichen Folgen für den Schutz personenbezogener Daten berücksichtigen.

Die offene Formulierung der DSGVO, in welchen Fällen eine Folgenabschätzung vorzunehmen ist, kann durch eine Liste der Aufsichtsbehörde konkretisiert werden, in der sowohl relevante als auch irrelevante Verarbeitungsvorgänge aufgeführt sind.

Eine Folgenabschätzung muss mindestens die folgenden Punkte enthalten: eine systematische Beschreibung der geplanten Verarbeitungen und ihrer Zwecke, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Freiheitsrechte Betroffener sowie die Maßnahmen, die zur Bewältigung dieser Risiken getroffen werden. Eine weitere Konkretisierung liegt bisher nicht vor.

Art. 35 Abs. 8 DSGVO nennt auch die Einhaltung von anerkannten Verhaltenskodizes bzw. Codes of Conduct als relevantes Merkmal für die Beurteilung der Auswirkungen von Datenverarbeitungen.

Ausnahmen von der Pflicht zur Folgenabschätzung bestehen gemäß Art. 35 Abs. 10 DSGVO, wenn die Verarbeitung auf der Grundlage einer europäischen oder nationalen Rechtsvorschrift beruht. Hier liegt es im Ermessen der einzelnen Mitgliedstaaten, ob sie eine Folgenabschätzung im Einzelfall als erforderlich ansehen.

Ergibt sich bei der Datenschutz-Folgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und des Erwägungsgrunds 94 eine vorherige Konsultation mit der Aufsichtsbehörde notwendig.

Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von acht Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind.

Vorteile der Folgenabschätzung und Kritik

Mit der Etablierung der Datenschutz-Folgenabschätzung sollen Unternehmen und öffentliche Institutionen dazu gebracht werden, ihre bestehenden Praktiken nicht allein danach auszurichten, ob ihr eventuell bestimmte Vorschriften entgegenstehen. Vielmehr sollten die verantwortlichen Stellen ihre Prozesse selbständig und mit Blick auf die Betroffenenrechte evaluieren. Dadurch soll ein gesteigertes Bewusstsein für die möglichen Risiken bestimmter Datenverarbeitungen geschaffen und der Datenschutz in der Unternehmenspraxis verankert werden, vor allem bei dem Einsatz neuer Technologien oder bei dem Umgang mit großen Datenmengen.

Die neuen Regelungen der DSGVO haben jedoch auch Kritik hervorgerufen. Viele der Vorgaben sind bislang noch allgemein gehalten und müssen erst durch die Vorgaben der Aufsichtsbehörden konkretisiert werden. Das vom Bundesministerium für Bildung und Forschung geförderte „Forum Privatheit“ merkt an, durch den Ermessensspielraum der Mitgliedstaaten im Bereich der Verarbeitungen, die auf Rechtsvorschriften basieren, könnten staatlichen Institutionen gegenüber privaten Unternehmen privilegiert werden.

Konsequenzen für die Praxis

Für deutsche Unternehmen, die einen Datenschutzbeauftragten bestellt haben, besteht nun also in bestimmten Fällen nach Art. 36 DSGVO eine Konsultationspflicht, die vorher durch die Bestellung eines Datenschutzbeauftragten umgangen werden konnte. Insofern entsteht gegenüber der vorherigen Situation sogar ein erhöhter bürokratischer Aufwand.

Darüber sind Unternehmen verpflichtet, ihre Prozesse systematisch zu erfassen und konsequent auf Risiken für personenbezogene Daten zu prüfen. Dies führt im besten Fall zu einer effizienteren rechtlichen Beratung, wenn diese auf bereits bestehenden Analysen von Arbeitsprozessen aufbauen kann.

Störerhaftung für Betreiber von W-LAN-Hotspots bald passé?

Die Störerhaftung für Betreiber von W-LAN-Hotspots ist ein viel diskutiertes Thema und war bereits Gegenstand mehrerer deutscher Gerichtsverfahren.

Die Schlussanträge des Generalanwalts Szpunar in einem Verfahren vor dem Europäischen Gerichtshof (EuGH), welches sich mit der Frage beschäftigt, ob die derzeitige Rechtslage in Deutschland zur Störerhaftung mit den europäischen Gesetzen in Einklang steht, wird die Diskussion nun nochmal weiter anregen. Denn aus Sicht des Generalanwalts, verstößt die derzeitige Rechtslage in Deutschland gegen Unionsrecht.

Hintergrund:

In der Bundesrepublik Deutschland fallen aktuell Anspruch und Wirklichkeit beim Thema öffentliche W-LAN Nutzung noch weit auseinander. So liegen wir hierzulande mit durchschnittlich 1,87 W-LAN-Hotspots auf 10.000 Einwohner weit hinter vielen Ländern, wie etwa Südkorea oder Schweden, zurück. Hauptgrund hierfür dürfte insbesondere die aktuell noch herrschende Unsicherheit beim Thema „Störerhaftung“ für Rechtsverletzungen durch Nutzer öffentlicher W-LAN-Zugänge sein. Nach derzeitiger Rechtslage können Betreiber kostenfreier öffentlicher W-LAN-Hotspots für urheberrechtliche Verletzungen eines Anwenders zur Verantwortung gezogen werden.

Auch das, für das zweite Quartal 2016 erwartete, Inkrafttreten des Gesetzes zur Änderung des Telemediengesetzes sieht eine solche Haftung vor. Diese droht dann, wenn Anbieter von W-LAN-Hotspots nicht die „erforderlichen Maßnahmen“ zur Verhinderung von Rechtsverletzungen ergriffen haben. Der Gesetzesentwurf sollte eigentlich die bestehenden Unsicherheiten ausräumen und den Weg zu einem verstärkten Ausbau des öffentlichen W-LAN-Netzes ebnen. Heftige Kritik löste der Gesetzesentwurf aufgrund seiner weiterhin vagen und unklaren Formulierungen, die nicht zu der erhofften Rechtssicherheit führen würden, aus. Unklar bleibt nämlich vor allem die Frage, was „erforderliche Maßnahmen“ zur Verhinderung von Urheberrechtsverletzungen sein sollen.

Verfahren vor dem EuGH:

Für ein Aufhorchen sorgten nun die Schlussanträge des EuGH Generalanwalts Szpunar vom 16.3.2016, wonach aus seiner Sicht die derzeitige Rechtslage in Deutschland zu dieser Frage gegen Unionsrecht verstößt. Die Schlussanträge stellte er im Rahmen eines Verfahrens, welches dem EuGH vom Landgericht München I zur Klärung der Frage ob die deutsche W-LAN Störerhaftung mit Europarecht vereinbar ist, weitergeleitet wurde. Laut dem Generalanwalt können Betreiber eines kostenlosen öffentlichen W-LAN-Netzes für Urheberrechtsverletzungen der Nutzer nicht verantwortlich gemacht werden. Eine Haftung sei nicht gegeben, da die Betreiber lediglich als Anbieter sogenannter Dienste der reinen Durchleitung anzusehen seien.

Auswirkungen:

Es wird sich zeigen, wie sich diese Einschätzung auf die Gesetzesänderung und die W-LAN Störerhaftung in Deutschland auswirken wird. Dies hängt in erster Linie davon ab, ob sich der EuGH den Empfehlungen des Generalanwaltes anschließt. Diese sind nicht bindend, jedoch folgte der EuGH diesen bisher in den allermeisten Fällen. Zur Folge hätte dies dann, dass nicht nur Unternehmen, sondern auch Privatpersonen, die nicht kommerziell Internetzugänge anbieten, dies künftig ohne Passwortschutz tun dürfen – ohne eine Haftung fürchten zu müssen. Insofern ist der Generalanwalt der Auffassung, dass die im Gesetzesentwurf vorgesehene Vergabe eines Passwortes zum Betrieb eines öffentlichen W-LAN-Netzes nicht geeignet ist, ein angemessenes Gleichgewicht zwischen dem Recht des geistigen Eigentums und der unternehmerischen Freiheit der betroffenen Anbieter, herzustellen. Zudem würde das Recht auf freie Meinungsäußerung sowie der Informationsfreiheit durch solche Beschränkungen des Zugangs auf rechtmäßige Kommunikation unverhältnismäßig eingeschränkt.

Sollte sich also der EuGH den Anträgen anschließen, würde der Weg in Richtung mehr Rechtssicherheit geebnet und sowohl Gewerbetreibende als auch Privatpersonen müssten keine Haftung wegen Urheberrechtsverletzungen durch Nutzer mehr fürchten. Dann dürfte in naher Zukunft auch ein Zusammentreffen von Anspruch und Wirklichkeit bei der Nutzung öffentlicher W-LAN-Hotspots denkbar sein.

DSGVO und Schadenersatz

Aus der Gemeinschaftsmarke wird die Unionsmarke – was ändert sich noch?

Die durch die neue Unionsmarkenverordnung angestoßene Reform tritt am 23. März 2016 in Kraft und bringt insbesondere geänderte Gebühren und eine verschärfte Klassifizierung mit sich. Insgesamt soll die Unionsmarke für Anmelder noch attraktiver werden. Im Einzelnen:

1. Umbenennung

Neu sind zunächst einige kosmetische Korrekturen:

– Aus der bisherigen Gemeinschaftsmarke wird nun die „Unionsmarke“

– Der Begriff Gemeinschaftskollektivmarke wird durch „Kollektivmarke der Europäischen Union“ ersetzt

– Aus dem Harmonisierungsamt für den Binnenmarkt (HABM) wird das „Amt der Europäischen Union für

Geistiges Eigentum (EUIPO)“

– Die bisherigen Gemeinschaftsmarkengerichte heißen fortan „Unionsmarkengerichte“

2. Änderung der Gebühren

Unter dem Strich wird die Anmeldung einer neuen Unionsmarke in den meisten Fällen teurer. Zwar ermäßigt sich die Grundgebühr von EUR 900 auf EUR 850, neuerdings ist jedoch nur noch eine Waren-/Dienstleistungsklasse in der Anmeldung inklusive. Die Anmeldung einer zweiten Klasse kostet EUR 50, jede weitere Klasse EUR 150. Für die Anmeldung von drei Waren-/Dienstleistungsklassen werden daher insgesamt künftig EUR 1.050 statt EUR 900 fällig.

Hingegen wird sich der Aufwand für die Verlängerung der Schutzdauer bestehender Unionsmarken in Zukunft reduzieren. Die Verlängerung einer Marke kostet ab dem 23. März genau so viel wie die Anmeldung. Kostete z.B. bislang die Verlängerung einer Gemeinschaftsmarke für drei Klassen EUR 1.350, werden nun für die Verlängerung nur noch EUR 1.050 fällig.

3. Verschärfte Klassifizierungspraxis

Während es früher zum Teil üblich war, die Beschreibung der geschützten Waren und/oder Dienstleistungen sehr allgemein zu halten und z.B. nur die Klassenüberschriften zu nehmen, ist diese Praxis nicht mehr zu empfehlen. Denn nun ist ausdrücklich geregelt, dass allgemeine Begriffe nur die Waren und Dienstleistungen umfassen, die von der wörtlichen Bedeutung des Begriffs umfasst sind. Unklarheiten gehen zu Lasten des Anmelders. Markenanmeldern ist daher dringend zu empfehlen, noch mehr Sorgfalt bei der Auswahl des der Anmeldung beigefügten Waren- und Dienstleistungsverzeichnisses walten zu lassen.

Tipp: Inhaber von EU-Marken, die vor dem 22 Juni 2012 angemeldet wurden und nur Oberbegriffe enthalten, haben eine sechsmonatige Übergangsfrist bis zum 24. September 2016, um das Waren- und Dienstleistungsverzeichnis entsprechend anzupassen. Wir beraten Sie hierbei gerne.

4. Neue Markenformen

Unionsmarken können ab Oktober 2017 „Zeichen aller Art sein, insbesondere Wörter, einschließlich Personennamen, oder Abbildungen, Buchstaben, Zahlen, Farben, die Form oder Verpackung der Ware oder Klänge“, soweit solche Zeichen geeignet sind, Waren oder Dienstleistungen eines Unternehmens von denjenigen anderer Unternehmen zu unterscheiden und im Register darstellbar sind. Damit könnten zukünftig auch Marken eingetragen werden, welche graphisch nicht darstellbar sind. Ob dies zu einer erleichterten Eintragung von z.B. Geruchs- oder Hörmarken führt, wird sich noch zeigen müssen.

Die Entwicklung des Unionsmarkenrechts bleibt spannend – gerne stehen wir Ihnen bei weiteren Fragen zur Verfügung.

 

 

Datenschutzrechtlicher „Dauerbrenner“: Neue Orientierungshilfe zur E-Mail und Internet-Nutzung am Arbeitsplatz

Im Januar wurde eine neue Orientierungshilfe der Datenschutzbehörden zur „datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ veröffentlicht. Nachdem die Datenschutzbehörde Rheinland-Pfalz bereits im Mai 2015 ein ähnliches Dokument veröffentlich hatte, liegt nunmehr eine einheitliche Stellungnahme der deutschen Aufsichtsbehörden zum Thema E-Mail und Internetnutzung vor.

Inhalt der Orientierungshilfe

Das Dokument eröffnet mit äußerst praxisrelevanten Fragen und datenschutzrechtlichen „Dauerbrennern“ wie „Darf ich als Arbeitgeber auf das E-Mail-Postfach der Beschäftigten zugreifen, wenn sie ungeplant abwesend sind? Darf ich die Internetnutzung kontrollieren? Darf ich als Arbeitnehmer private E-Mails versenden?“. In der Orientierungshilfe werden im Folgenden rechtliche Rahmenbedingungen erläutert und Handlungsempfehlen für rechtskonforme Vorgehensweisen gegeben. Ferner finden sich Hinweise für Geheimnisträger (z.B. Betriebsräte) oder den Einsatz von Spamfiltern und Anti-Virenprogrammen.

Arbeitgeber als Telekommunikationsanbieter

Nach wie vor macht es für die Behörden einen erheblichen Unterschied, ob die private Internet- und E-Mail-Nutzung am Arbeitsplatz erlaubt ist oder nicht. Trotz anderslautender Urteile (vgl. nur VGH Baden-Württemberg, Urteil vom 30.7.2014, 1 S 1352/13), steht die Behörde noch immer auf dem Standpunkt, dass der Arbeitgeber als Telekommunikationsanbieter im Sinne des Telekommunikationsgesetzes (TKG) anzusehen ist, wenn er die private Nutzung der Medien erlaubt hat. Daher sei das Fernmeldegeheimnis des § 88 Abs. 2 S. 1 TKG zu beachten und bei einer Verletzung stünde eine Strafbarkeit nach § 206 Strafgesetzbuch im Raum.

Rein betriebliche Nutzung

Wenn lediglich die betriebliche Nutzung von E-Mail-Account und Internetzugang erlaubt sind, so sei es für den Arbeitgeber möglich, Protokolldateien stichprobenartig darauf zu prüfen, ob diese Regelungen auch eingehalten werden. Derartige Prüfungen sollten jedoch zunächst nicht auf personenbezogener Ebene durchgeführt werden, es sei denn, es liegt ein konkreter Missbrauchsverdacht vor. Bei der E-Mail-Nutzung dürften ein- und ausgehende betriebliche E-Mails durch den Arbeitgeber zur Kenntnis genommen werden.

Private Nutzung

Wenn hingegen nicht nur die betriebliche, sondern auch die private E-Mail- und Internetnutzung erlaubt ist, sind die Befugnisse des Arbeitgebers deutlich weniger weitreichend. In diesem Fall sei ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, nur mit Einwilligung der Beschäftigten erlaubt. Ob die Orientierungshilfe bezüglich der Einsicht in Protokolle der Internetnutzung einer kürzlich entgangenen Entscheidung des Landesarbeitsgerichts Berlin widerspricht (Urt. vom 14.01.2016, 5 Sa 657/15), wird sich nach Veröffentlichung des Volltextes des Urteils herausstellen. Im Hinblick auf E-Mails wird in der Orientierungshilfe danach differenziert, ob ein Übermittlungsvorgang andauert oder bereits vollständig beim Empfänger angekommen ist. Zutreffend wird dabei auch technisch unterschieden, ob es sich um einen IMAP- oder einen POP3-Zugang handelt. Diese technischen Gegebenheiten wirken sich auch auf die rechtliche Situation aus, d.h. ob der Arbeitgeber ohne Einwilligung der jeweiligen Beschäftigten auf das E-Mail-Postfach zugreifen darf (z.B. im Fall einer Mitarbeiterabwesenheit).

Möglichkeiten für Arbeitgeber

Auch im Hinblick auf diese neue Orientierungshilfe ist es dem Arbeitgeber grundsätzlich zu empfehlen, die private E-Mail und Internetnutzung eindeutig und für alle Beteiligten transparent zu regeln. Hierfür bieten sich im Bereich Internet je nach Unternehmenskultur verschiedenste Konstellationen von der vollständigen Untersagung bis zur Erlaubnis und zeitlich oder inhaltlich beschränkten Erlaubnis an. Für den Bereich E-Mail ist ein Verbot der privaten Nutzung des dienstlichen E-Mailaccounts (ggf. in Verbindung mit der erlaubten Nutzung von Webmailing-Dienste) ein oft gewählter und sinnvoller Weg.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.