content urheberrecht

Kurzüberblick zum Schutz von Content im Internet

Es ist mittlerweile weit verbreitet, online gefundene Inhalte ohne Quellenangabe oder Erlaubnis des Rechteinhabers für eigene Zwecke zu nutzen. Vielfach besteht dabei entweder überhaupt kein (Un-)Rechtsempfinden oder eine Rechtsverletzung wird als „Kavaliersdelikt“ ohne (echten) Schaden verstanden und in Kauf genommen.

Die Möglichkeit des Rechteinhabers, seinen Content selbstständig und nach eigenen Wünschen nutzen, verwerten oder sogar monetarisieren zu können, wird aber oftmals in erheblichem und zu Unrecht Maße und zu Unrecht beeinträchtigt, wenn er vor einer Nutzung seines Contents durch einen Dritten umgangen wird.

Entsprechend haben Rechteinhaber und rechtmäßige Verwender ein berechtigtes Interesse daran, ihren Content zu schützen oder – wenn es dafür bereits zu spät ist und Rechtsverletzungen vorliegen – Gegenmaßnahmen einzuleiten. Welche Möglichkeiten es hierbei gibt, wird in folgendem Kurzüberblick dargestellt.

Was ist wie geschützt?
Es gibt eine Reihe von Rechtspositionen, die beim Einsatz von Content beachten werden müssen, bei eigenem und bei fremdem Content. Im Wesentlichen sind das vor allem Urheberrechte, Markenrechte, Persönlichkeitsrechte und Eigentumsrechte (z. B. Hausrechte). In diesem Kurzüberblick geht es vor allem um Urheberrechte.

Das Urheberrecht schützt vor allem kreative Ergebnisse geistiger Arbeit. Darunter fallen aber in der Regel immer erst die Ergebnisse dieser Arbeit, nicht hingegen Ideen – erst das umgesetzte Ergebnis ist als sogenanntes Werk geschützt. Eine beispielhafte Aufzählung, was alles als Werk geschützt sein kann, findet sich im Gesetz selbst, nämlich in § 2 UrhG: Beispielsweise Sprachwerke wie Texte und Artikel, Blogs, Fotografie, Grafiken, Gemälde, Werke der Architektur und plastischen Kunst, Filme, Videos, VLOGs, Multimediaanwendungen, Musik, Tonaufnahmen, Podcasts und auch Datenbanken oder Websites.

Etwas komplexer ist die Bewertung zum Beispiel bei Fotografien: Sind sie sehr kreativ sind sie als Lichtbildwerk wie jedes andere Werk geschützt. Sind sie weniger kreativ und beispielsweise nur kurze Schnappschüsse, sind sie zwar auch geschützt, allerdings etwas schwächer nur als technische Leistung bis zu 50 Jahre nach Veröffentlichung. Wichtig ist das deshalb, um zu realisieren, dass auch banalste digitale Bilder, beispielswiese aus einer x-beliebigen Google-Suche im Regelfall urheberrechtlich geschützt sind.

Schwierig ist es auch bei der Frage, ob Websites urheberrechtlichen urheberrechtlichem Schutz unterfallen: Hier können natürlich einzelne Bestandteile wie Artikel, Bilder und Videos einzelne geschützte Werke darstellen – schwierig wird es aber beim Layout selbst. Bei total-unique-Websites, die eine vollkommen neue Art künstlerischer o. ä. Gestaltung aufweisen, kann ein solcher Schutz in Betracht kommen. Bei bekannten Modulen oder üblichen Konzepten, ist das aber eher fernliegend. Blogs und Websites, die sich aus Baukastenelementen zusammensetzen, genießen daher keinen Urheberrechtsschutz, auch wenn die farbliche Kombination und Auswahl von Layoutelementen individuell festgelegt werden kann. Hier sind lediglich die einzeln enthaltenen Elemente selbstständig geschützt.

Was allen Werken also gemein sein muss ist eine bestimmte Qualität an geistig-kreativem Inhalt, die sogenannte Schöpfungshöhe, die eine schöpferische Eigenleistung erkennen lässt. Sie liegt vor oder nicht vor, kann aber nicht vereinbart oder eingetragen werden, sondern entsteht mit der Schaffung oder Schöpfung eines schutzfähigen Werkes automatisch. Ein ©-Zeichen ist aber zumindest in Deutschland und Europa für den Schutz von Content vollkommen irrelevant.

Ist ein Werk geschützt, liegen die Rechte daran beim Erschaffer selbst und das muss eine natürliche, echte Person sein. Juristische Personen, also Unternehmen können niemals Urheber von Werken sein. Ihnen stehen bestenfalls bestimmte Rechte an den Werken zu, die der Urheber auf Dritte übertragen kann. Denn der Urheber selbst kann ganz grundlegend über sein Werk entscheiden, und das im Regelfall bis zu 70 Jahre nach seinem Tod. Erst dann laufen Urheberrechte aus und werden gemeinfrei. Bis dahin aber muss im Regelfall der Urheber oder Rechtsinhaber bei Nutzungen um Erlaubnis gefragt werden. Das gilt im Regelfall bei jeder Verwendung, Bearbeitung, Umgestaltung, Nachstellung und andere Nutzung.

Was ist erlaubt?
Ohne Erlaubnis des Urhebers oder der Rechtsinhaber erstmal so gut wie nichts. Sie können Werke lesen, betrachten, hören oder anders zur Kenntnis nehmen. Alles was darüber hinausgeht, vor allem Verwendungen, die eindeutig keinem rein privaten Zweck einer natürlichen Person zuzuordnen sind, bedürfen fast immer eine entsprechende Erlaubnis. Das gilt für Vervielfältigungen, Kopien, Verbreitungen, öffentliche Zugänglichmachungen, Bearbeitungen, Entstellungen oder Beeinträchtigungen gleichermaßen.

Wenn es sich nur um Teile eines Werkes handelt, also beispielsweise Auszüge aus einem Artikel oder Ausschnitte aus Videos, kommt es darauf an, ob dieser Teil isoliert betrachtet eine selbstständige geistige Schöpfung ist, oder nicht. Erfüllt der Teil nicht die Anforderungen an die Schöpfungshöhe, ist er auch nicht urheberrechtlich geschützt. Die Hürden sind dabei aber nicht recht hoch und so sind zum Beispiels bei Musikstücken schon recht kurze Tonfolgen urheberrechtlich geschützt und können nicht einfach übernommen werden.

Lediglich wenige Nutzungen sind als Ausnahmen privilegiert und bedürfen keiner expliziten Erlaubnis. Das ist beispielsweise bei einer rein redaktionellen Berichterstattung oder einem sogenannten Zitat der Fall. Gerade das Zitatrecht wird oft missverstanden, es ist nämlich keinesfalls erfüllt, wenn lediglich Urheber und Quelle genannt werden. Es bedarf dafür viel mehr, nämlich einer geistig-inhaltlichen Auseinandersetzung und Bezugnahme, die das Zitat zwingend erforderlich machen. Zitate dürfen das eigene Werk deshalb nur stützen, nicht erweitern. Sie dürfen daher nur eingebunden werden und auch nur so lang sein, wie es nötig ist, um den Zweck des Zitats zu erfüllen. Deshalb ist zum Beispiel die Übernahme eines gesamten Artikels, der nur von einem eigenen Einleitungs- oder Schlusssatz flankiert ist, nicht zulässig. Ähnliches gilt für Bilder.

Sehr speziell ist auch die Einordnung der Frage, ob Hyperlinks oder mittels Frames eingebettete Inhalte ohne weiteres verwendet werden können. Grundsätzlich ist es zulässig, Content als Link oder Frame zum Bestandteil eigener Inhalte und Websites zu machen. Der Content darf aber – mit Gewinnerzielungsabsicht – nicht erkennbar gegen den Willen der Berechtigten öffentlich zugänglich gemacht worden sein oder ein neues Publikum ansprechen, an das der Berechtigte nicht gedacht hat oder an das er die Inhalte nicht richten wollte. Sobald also beispielsweise technische Schutzmaßnahmen (z. B. Logins oder Paywalls) umgangen werden, ist die Einbindung unzulässig.

Schutz vor Urheberrechtsverletzungen?
Vor Urheberrechtsverletzungen kann man sich nicht wirklich effektiv schützen, da die Möglichkeiten der Rechtsverletzung zu vielfältig sind. Technisch weniger versierte Nutzer lassen sich bei Bildern vielleicht durch einfache technische Lösungen abschrecken, zum Beispiel die Deaktivierung der Rechtsklick- oder Markierfunktion auf der Website. Inhaber von großen Bündeln an Nutzungsrechten, beispielsweise Verlage oder Bildagenturen haben im Regelfall eigene Tools und Ressourcen zum Auffinden oder Bearbeiten von Verstößen gegen den Verletzter. Diese Methode ist allerdings nicht besonders sicher und kann einfach umgangen werden und generell kann eine wirkliche Prävention von Urheberrechtsverletzungen technisch kaum durchgesetzt werden.

Steht eine Rechtsverletzung fest, kann der Verletzer auf Unterlassung und Beseitigung, Auskunft und Schadensersatz sowie Ersatz der eigenen Rechtsverfolgungskosten in Anspruch genommen werden. Im Online-Bereich können einige Ansprüche gegebenenfalls auch gegenüber Webhostern oder Plattformbetreibern (z. B. Share-Online oder YouTube) sowie Websitebetreiber geltend gemacht werden.

Werbung und Online Marketing in der DSGVO: Stellungnahme der DSK

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), eine halbjährliche Zusammenkunft der Datenschutzbeauftragten des Bundes und der Länder, hat ein Kurzpapier zur Verarbeitung personenbezogener Daten für Werbung unter der Datenschutzgrundverordnung (DSGVO) veröffentlicht. Das Kurzpapier kann als Orientierung für Wirtschaftsteilnehmer dienen; zu beachten ist jedoch, dass die von der DSK erarbeiteten Informationen nicht verbindlich sind, da auch sie letztlich nicht für die Auslegung der DSGVO zuständig ist.

Inhalt

Die DSK stellt fest, dass die DSGVO keine ausdrücklichen Regelungen zum Thema Werbung enthält. Vielmehr richte sich die Zulässigkeit der Datenverarbeitung auch zu Werbezwecken nach den allgemeinen Regeln des Art. 5, 6 DSGVO. In Betracht kommt als Rechtsgrundlage entweder eine Einwilligung, Art. 6 lit. a) DSGVO, oder die Interessenabwägung, Art. 6 Abs. 1 lit. f) DSGVO.

Zur Abwägung

In letzterem Fall ist eine Abwägung zwischen den Interessen des Betroffenen und den Interessen des Verantwortlichen vorzunehmen. Nach Auffassung der DSK sind im Rahmen der Abwägung folgende Punkte einzubeziehen:

  • Grundsätzlich könne die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung einem berechtigten Interesse dienen (Erwägungsgrund (EG) 47)
  • Maßgeblich sei zudem die „vernünftige Erwartung der betroffenen Person“ (EG 47). Entscheidend für diese sei, ob der Betroffene im Rahmen der Informationspflichten gemäß Art. 13, 14 DSGVO über die Verwendung zu Werbezwecken informiert wurde.
  • Zudem sei das Widerspruchsrecht des Betroffenen gemäß Art. 21 DSGVO in die Abwägungsmasse einzubeziehen, denn der Betroffene könne der Verwendung zur Werbung jederzeit widersprechen.
  • Zu berücksichtigen sei auch, ob der Betroffene bereits Kunde des Verantwortlichen ist.
  • Zuletzt müsse auch auf die Grundsätze aus Art. 5 Abs. 1 DSGVO Rücksicht genommen werden: die faire Verfahrensweise, die Angemessenheit des Verarbeitungszwecks und die nachvollziehbare Weise der Verarbeitung.
  • Eine Profilbildung spreche eher gegen die Zulässigkeit der Verarbeitung für Werbung.

Zur Einwilligung

Die DSK weist weiter darauf hin, dass ohne Einwilligung besondere Datenkategorien gemäß Art. 9 DSGVO nicht verwendet werden dürfen.

Einwilligungen die nach geltendem Recht eingeholt wurden gelten zudem nur fort, wenn sie auch die Anforderungen der DSGVO erfüllen; insbesondere wenn sie freiwillig erteilt wurden, Art. 7 Abs. 4 DSGVO, und die Altersgrenzen gemäß Art. 8 Abs. 1 DSGVO beachtet wurde.

Zu berücksichtigen sei bezüglich der Freiwilligkeit auch das Koppelungsverbot, Art. 7 Abs. 4 DSGVO. Demnach ist in größtmöglichem Umfang zu berücksichtigen, ob die Erfüllung eines Vertrags von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist. Bei kostenlosen Dienstleistungsangeboten, bei denen mit Daten bezahlt würde, müsse die ausbedungene Gegenleistung bei Vertragsschluss eindeutig erkennbar sein.

Mehr Informationen zur DSK-Stellungnahme

Lesen Sie dazu unseren Beitrag zum Thema „Werbung und Marketing nach der DSGVO – Was ändert sich?“

oder zum Thema Die neue ePrivacy-Verordnung: Welche Änderungen sind zu erwarten?

Aus SWD wird SRD

Schritt für Schritt zur ISO 27001 – Kostenloses Webinar am 29.August

Lead Auditor 27001 und IT-Jurist Frank Trautwein gibt einen praxisnahen Überblick der wichtigsten Anforderungen an ISO 27001 und gibt Ratschläge, wie man effektiv ein ISMS vorbereitet und dabei die Anforderungen der ISO 27001 erfüllt.

Wie lassen sich Risiken der IT- und Informationssicherheit reduzieren, die Systemverfügbarkeit erhöhen und zugleich der Datenschutz verbessern? Und wie lassen sich mit Synergien aus dem Informationssicherheits-Management (ISMS) auch gesetzliche Anforderungen der Datenschutzgrundverordnung (DSGVO) bewältigen?

In dem kostenlosen Webinar „Schritt für Schritt zur ISO 27001“ gibt Frank Trautwein daher einen praxisnahen Überblick der wichtigsten ISO/IEC 27001 Anforderungen und gibt Ratschläge, wie man effektiv ein ISMS vorbereitet und dabei die Anforderungen der ISO /IEC 27001 erfüllt.

Die Schwerpunkte:

  1. Aufbau einer Sicherheitsorganisation: Welche Rollen werden benötigt und wie legt man die Anwendungsbereiche fest?
  2. Risikomanagement: Wie soll ein Risiko-Prozess aussehen und was hat es mit der Fit-Gap-Analyse auf sich?
  3. Umsetzung der Maßnahmen: Was sind die Anforderungen der Norm und was müssen die einzelnen Fachabteilungen (IT, HR und Co.) beachten? Welche Synergien gibt es zur Datenschutzgrundverordnung und dem IT-Sicherheitsgesetz?

 

Die Teilnahme am Webinar ist für Sie kostenlos! Sollten Sie keine Möglichkeit haben, am Termin teilzunehmen, ist das kein Problem: Melden Sie sich regulär zum Webinar an und sehen Sie sich die Aufzeichnung an.

Wann? 29. August 2017 um 11 Uhr CEST

Melden Sie sich hier an

Werbeaussage wettbewerbswidrig

Wettbewerbswidrige Werbeaussagen: Das sind die Folgen

Die rechtliche Begleitung von Werbeaussagen und Kampagnen ist bei Aussagen jeglichen Umfangs ganz besonders wichtig, um rechtliche Auseinandersetzungen zu vermeiden. Denn stellt sich eine Werbemaßnahme als wettbewerbswidrig dar, können die Folgen für Verantwortliche weitgehender sein als allgemein angenommen. Das bekräftigt auch eine aktuelle Entscheidung des Bundesgerichtshofs, welche die weitgehenden Verpflichtungen in Folge eines Wettbewerbsverstoßes verdeutlicht.

Aktuell: BGH-Entscheidung zu erfolgtem Wettbewerbsverstoß auf Produkten

Die Entscheidung des Bundesgerichtshofs (BGH) [Urteil vom 04.05.2017; Az.: I ZR 208/15] zeigt das weitreichende Ausmaß eines Unterlassungsanspruchs nach einer wettbewerbswidrigen Werbemaßnahme deutlich auf. Denn der Unterlassungsanspruch nach erfolgtem Wettbewerbsverstoß beschränkt sich nicht nur auf die Unterlassung des betreffenden wettbewerbswidrigen Verhaltens, sondern umfasst auch die Vornahme möglicher und zumutbarer Handlungen zur Beseitigung des Störungszustands.

Im vom BGH entschiedenen Fall ging es um den Umfang der Pflicht zur Unterlassung eines wettbewerbswidrigen Verhaltens:  Die Beklagte hatte die Verpackung eines ihrer Produkte mit einer Aussage versehen, die wettbewerbswidrig war und in der darauf folgenden streitigen Auseinandersetzung mit der Klägerin eine Unterlassungsverpflichtung abgegeben. Die Beklagte hatte sich im Folgenden lediglich darauf beschränkt, die Aussage auf den bei ihr verfügbaren Produkten zu überkleben und die Produkte nicht mehr in ihrer zunächst angedachten Verpackung zu vertreiben.

Um die weiterhin im Handel erhältlichen Produkte in ihrer ursprünglichen, ebenfalls wettbewerbswidrigen Verpackung kümmerte sich die Beklagte allerdings nicht. Dies stellt nach dem BGH einen Verstoß gegen die Unterlassungspflicht der Beklagten dar. Die Beklagte ist verpflichtet, auch die mit der wettbewerbswidrigen Werbung versehenen Produkte zurückrufen, auf die sie keinen unmittelbaren Zugriff hat; unabhängig davon, ob der Beklagten gegen ihre Abnehmer auch rechtlich durchsetzbare Ansprüche auf Unterlassung der Weiterveräußerung oder auf Rückgabe dieser Produkte zustehen. Die Unterlassungsverpflichtung umfasst insoweit auch im Rahmen des Möglichen und Zumutbaren auf Dritte einzuwirken, soweit dies zur Beseitigung des fortdauernden Störungszustandes erforderlich ist.

Das sind die Folgen fortdauernder wettbewerbswidriger Werbeaussagen

Hiermit bekräftigt der BGH die Wichtigkeit der präventiven rechtlichen Überprüfung von werblichen Aussagen, insbesondere auf Produkten; sei es in Form von Werbeaussagen über das eigene Produkt, Bezugnahmen auf Produkte von Mitbewerbern oder das Anpreisen von Gewinnchancen bei Erwerb des Produkts.

Denn die Folgen eines wettbewerbsrechtlichen Verstoßes enden nicht mit dem eigenen Vertriebsstopp des Herstellers, sondern umfassen auch die im Handel befindlichen Produkte. Würde dem rechtsverletzenden Unternehmen insoweit keine entsprechende Pflicht auferlegt werden, würde sein Verhalten im Handel weiterwirken. Die Unterlassungspflicht des Verletzers umfasst daher auch darauf hinzuwirken die Produkte in ihrer wettbewerbswidrigen Form aus dem Handel zu nehmen bzw. umzutauschen oder etwa die bei den Händlern verfügbaren Verpackungen wettbewerbskonform zu gestalten. Hierzu wären die Unternehmen, die das betreffende Produkt abgenommen haben im Rechtsstreit auch bereit gewesen, so der BGH. Denn beim Vertrieb der Produkte mit wettbewerbswidriger Werbung wären auch Ansprüche der Klägerin gegen die Handelsunternehmen in Betracht gekommen.

Die Ansprüche infolge eines wettbewerbsrechtlichen Verstoßes umfassen nach § 8 des Gesetzes gegen unlauteren Wettbewerb (UWG) grundsätzlich Beseitigung und Unterlassung.

Der Unterlassungsanspruch kann auch aktives Handeln des Schuldners umfassen, das notwendig ist, um den rechtmäßigen Zustand zu erreichen, etwa die Entfernung von Plakaten mit wettbewerbswidrigen Inhalten oder Stornierung von bereits geschalteten Anzeigen. Auch die Vornahme möglicher und zumutbarer Handlungen ist daher von der Unterlassungspflicht umfasst, die zur Beseitigung des Störungszustands notwendig sind. Daher muss nach einem Wettbewerbsverstoß auch in der Weise auf andere Unternehmen eingewirkt werden, dass bereits veräußerte aber noch nicht an Endkunden verkaufte Waren vom Markt genommen werden. Kommt ein Unternehmen dieser Verpflichtung nicht nach, verstößt es ggf. gegen ein bereits gegenüber dem Verletzten abgegebenes Vertragsstrafeversprechen.

Schadensersatzansprüche 

Nach § 9 UWG bestehen des Weiteren Schadensersatzansprüche des Verletzten. Je länger die wettbewerbswidrige Werbung wahrnehmbar ist, desto höher können die Schadensersatzansprüche ausfallen. Diese umfassen insbesondere auch die Geltendmachung des entgangenen Gewinns des Mitbewerbers, der auf der erfolgten Irreführung der Verbraucher gründet und anhand der Umsatzentwicklung beim Verletzer sowie der Umsatzeinbuße beim Mitbewerber ermittelbar ist.

Bei Werbeaussagen auf Produkten kommen nach diesbezüglichem Wettbewerbsverstoß zudem die Kosten auf ein Unternehmen zu, die sich aus dem Zusammenhang der notwendigen Rückrufaktion ergeben. Diese können die Kosten für den Rückruf und Umtausch der betroffenen Produkte aus dem Handel umfassen, Kostenansprüche der Vertriebspartner für die Durchführung des Rückrufs als auch Kosten für die Neuverpackung bzw. Umgestaltung der Produktverpackungen.

 

 

Neue Regelungen für Händler bei Online-Zahlungsdiensten

Händler müssen kundenfreundlicher in Sachen Online-Zahlungen werden, das sieht eine aktuelle Gesetzesreform über die Beaufsichtigung von Zahlungsdiensten vor: Ab dem 13. Januar 2018 dürfen Händler daher grundsätzlich keine Gebühren mehr für elektronische Zahlungsdienste veranschlagen! Die neuen Vorschriften richten sich ganz besonders an den E-Commerce-Bereich, gelten jedoch auch für Offline-Shops.

Hintergrund

Die neuen Regelungen wurden im Rahmen der Umsetzung der zweiten EU-Zahlungsdiensterichtlinie Anfang Juni 2017 beschlossen. Ziel der Richtlinie ist eine Stärkung des bargeldlosen Zahlens innerhalb der EU.

Das Zahlungsdiensteaufsichtsgesetz (ZAG) sieht das Einfügen einer neuen Vorschrift in das BGB vor (§270a BGB – Vereinbarungen über Entgelte für die Nutzung bargeldloser Zahlungsmittel), wonach Händler für besonders gängige Zahlungsdienste wie VISA, Mastercard oder Lastschrift keine Extragebühren veranschlagen dürfen.

Ausnahme

Das Gebühren-Verbot für Online-Zahlungsdienste richtet sich dabei vollumfänglich an das B2C-Umfeld. Rechtssicherheit bei Zahlungsdienste-Anbietern wie PayPal oder Amazon Pay besteht hingegen noch nicht. Hier gilt es zunächst abzuwarten und die rechtlichen Entwicklungen zu beobachten.

Im Gegensatz zum B2C-Bereich gilt es im B2B-Umfeld einige Einschränkungen zu beachten: Hier dürfen Unternehmen weiterhin Gebühren bei elektronischen Zahlungsvorgängen verlangen.

DSGVO und Online Marketing

Werbung und Online-Marketing nach der DSGVO – Was ändert sich?

Die ab dem 25. Mai 2018 in der gesamten EU geltende Datenschutzgrundverordnung (DSGVO) verspricht vor allem für international tätige Unternehmen im Online-Bereich wesentliche Vereinfachungen, da über nationale Grenzen hinweg dieselben Bestimmungen angewendet werden. Dennoch herrscht derzeit Verunsicherung, weil Erfahrungen im praktischen Umgang mit den neuen Vorschriften fehlen und die Auslegung sich nicht auf eine gefestigte Rechtsprechung oder eine behördliche Praxis stützen kann. Auch existieren für nationale Gesetzgeber weiterhin Spielräume für eigene Regelungen, beispielsweise mit Blick auf die Betroffenenrechte oder die Gewährung von Rechtsschutz gegenüber staatlichen Sanktionen. Etwaige Rechtsverstöße wiegen jedoch schwer, da die DSGVO in diesen Fällen signifikant höhere Bußgelder androht, als dies bisher im Datenschutzrecht der Fall war.

Mit dem folgenden Überblick sollen die wesentlichen Änderungen im Bereich der Werbung und des Online-Marketings dargestellt werden. Alte und neue Prinzipien werden gegenübergestellt und besonders relevante Einzelprobleme beleuchtet. Dadurch können sich Unternehmen auf den geänderten rechtlichen Rahmen einstellen und werden für die zentralen zukünftigen Fragestellungen sensibilisiert.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

1) Aktuelle Anforderungen nach deutschem Recht

Bislang galt im deutschen Recht, dass die Nutzung von personenbezogenen Daten zu Zwecken der Werbung bzw. des Marketings grundsätzlich untersagt sind, sofern nicht ausnahmsweise ein Erlaubnistatbestand vorlag. Eine Marketingmaßnahme musste sich demnach entweder auf eine besondere gesetzliche Erlaubnis oder eine explizite Einwilligung des Betroffenen stützen, um zulässig zu sein. Das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG) regeln diesbezühlich die Details. Davon unabhängig sind die Vorschriften des Gesetzes gegen den unlauteren Wettbewerb zu beachten, die auch nach Einführung der DSGVO weiterhin gültig sein werden.

Im Anwendungsbereich des BDSG darf der Umgang mit personenbezogenen Daten zu eigenen geschäftlichen Zwecken nur unter engen Voraussetzungen erfolgen, sofern der Betroffene nicht zuvor eingewilligt hat.

  • 28 Abs. 1 BDSG nennt erstens den Fall eines Rechtsgeschäfts mit einer Person, in dessen Rahmen die Daten verarbeitet werden dürfen. Zweitens kann die Wahrung eigener berechtigter Interessen den Umgang mit personenbezogenen Daten legitimieren, solange eine Interessenabwägung nicht das Gegenteil ergibt. Schließlich dürfen Daten insbesondere dann verarbeitet werden, wenn sie allgemein zugänglich sind und keine schutzwürdigen Interessen des Betroffenen dagegensprechen.
  • 28 Abs. 3 BDSG geht speziell auf den Verwendungszweck der Werbung ein. Neben der Einwilligung ist die Verarbeitung von lediglich listenmäßig erfassten Daten zulässig (sog. „Listendatenprivileg“). Die Werbung muss hierbei grundsätzlich auf eigene Angebote des Werbenden bezogen sein, und es dürfen wiederum keine Interessen des Betroffenen entgegenstehen.

Soweit im Online-Bereich pseudonyme Nutzungsprofile erstellt werden sollen, ist § 15 Abs. 3 TMG zu beachten. Diese Norm stellt die gesetzliche Grundlage für das im Online-Bereich allgegenwärtige Tracking dar. Zulässige Zwecke pseudonymer Nutzungsprofile sind Werbung, Marktforschung und die bedarfsgerechte Gestaltung des Angebots. Die Betroffenen dürfen jedoch ausschließlich per Pseudonym erfasst werden, der wirkliche Name und die damit zusammenhängenden personenbezogenen Daten müssen vom Pseudonym strikt getrennt werden. Die Zusammenführung ist bußgeldbewährt. Betroffenen ist außerdem stets ein Widerspruchsrecht gegen die Datennutzung einzuräumen (Opt-out).

2) Grundlegende Neuerungen der DSGVO

Die DSGVO vereinfacht die deutschen Regelungen insofern, als sie keine spezielle Systematik für die Zulässigkeit von Werbung enthält. Im Grundsatz sind daher die allgemeinen Bestimmungen für die Verarbeitung personenbezogener Daten anzuwenden. Aufgrund von Art. 21 und Art. 6 DSGVO lassen sich dennoch spezielle Aussagen treffen.

Die DSGVO stellt im Hinblick auf die Zulässigkeit der Verarbeitung noch stärker als das BDSG auf eine Interessenabwägung und die Möglichkeit des Betroffenen zum Widerspruch ab.

Art. 21 DSGVO ist die einzige Norm, die den Begriff der „Werbung“ ausdrücklich verwendet. Demnach kann der Betroffene gegen die Verarbeitung von Daten zu Zwecken der Direktwerbung und gegen das damit verbundene Profiling jederzeit Widerspruch einlegen.

Ein „Listendatenprivileg“ findet sich in den neuen Vorschriften nicht mehr. Zukünftig wird die Rechtmäßigkeit der Verarbeitung der Daten anhand der allgemeinen Vorschrift von Art. 6 DSGVO gemessen werden. Für den Bereich der Werbung und des Online-Marketings ist hier Abs. 1 f) DSGVO von besonderer Relevanz. Demnach hat die Verarbeitung „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ zu sein, und eine Interessenabwägung darf nicht zu dem Ergebnis führen, dass die Verarbeitung unzulässig ist. Aus den stets zu berücksichtigenden Erwägungsgründen der DSGVO (Nr. 47) ergibt sich, dass Direktwerbung in der Regel ein solches berechtigtes Interesse darstellt.

Demnach ist die rechtliche Prüfung scheinbar einfacher als zuvor: Der Betroffene darf der Direktwerbung nicht widersprochen haben, und seine Interessen dürfen in einer Abwägung nicht überwiegen. Der Werbende muss lediglich nachweisen, dass er diese Interessenabwägung tatsächlich durchgeführt hat und das Ergebnis zu seinen Gunsten ausfällt. Gerade der letzte Punkt dürfte jedoch für Unternehmen problematisch sein, da Erfahrungswerte und gefestigte Rechtsauffassungen ebenso wie eine Rechtsprechung auf Grundlage der DSGVO weitestgehend fehlen. Um die Transparenz der Interessensabwägung herzustellen, muss die verarbeitende Stelle die in die Abwägung einfließenden Interessen insbesondere gem. Art. 13 Abs. 1 d) gegenüber dem Betroffenen ausdrücklich benennen. Dies kann beispielsweise im Rahmen der Datenschutzerklärung erfolgen.

3) Ausgewählte spezielle Neuerungen

Alternativ kann die Verarbeitung zu Werbezwecken auch weiterhin auf die Einwilligung des Betroffenen gestützt werden. Doch da die Vorgaben an die Einwilligung strenger und teilweise für den Verwender unsicherer geworden sind, wird diese zukünftig wohlmöglich eine untergeordnete Rolle spielen. Hier gelten insbesondere neue Informations- und Dokumentationspflichten. Der Betroffene muss ab Mai 2018 immer auf die Möglichkeit des Widerrufs hingewiesen werden, vgl. Art. 7 Abs. 3 DSGVO. Das BDSG sah bisher keine derartige, flächendeckende Hinweispflicht vor. Art. 12 DSGVO verlangt zudem, dass die Informationen, die dem Betroffenen zur Verfügung zu stellen sind, in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorliegen müssen. Nach Art. 13 DSGVO sind wie bereits oben erwähnt zudem die berechtigten Interessen des Werbenden ausdrücklich zu benennen (vgl. Erwägungsgrund 42). Eine Problematik im Rahmen der Freiwilligkeit der Einwilligung wird in Art. 7 Abs. 4 DSGVO angesprochen. Die Einwilligung kann insbesondere dann unwirksam sein, wenn sie aufgrund eines Ungleichgewichts zwischen Verantwortlichem und Betroffenem erteilt wurde. Erwägungsgrund 43 nennt exemplarisch die Datenverarbeitung durch eine Behörde. Doch dem Text der Regelung in Art. 7 DSGVO lässt sich auch entnehmen, dass die Kopplung der Erbringung einer Dienstleistung mit einer hierfür nicht notwendigen Datenerhebung oder -verarbeitung gegen die Freiwilligkeit sprechen kann. Weitergehend wird die Freiwilligkeit auch dann verneint, wenn der Betroffene seine Einwilligung nicht nach einzelnen Verarbeitungsvorgängen getrennt erteilen kann, obwohl dies im konkreten Fall angebracht wäre. Verstöße gegen diese Vorschriften können gem. Art. 83 Abs. 5 DSGVO mit bis zu 20 Mio. EURO oder 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens sanktioniert werden.

Die Form der Einwilligung richtet sich in erster Linie nach Erwägungsgrund 32. Darin wird auf eine „eindeutige bestätigende Handlung“ verwiesen. Exemplarisch werden schriftliche, elektronische oder auch mündliche Erklärungen genannt. Wie bisher genügen nicht Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit des Betroffenen. Da der Erwägungsgrund jedoch auch „andere Erklärungen oder Verhaltensweise[n]“ erfasst, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“, besteht in diesem Zusammenhang durchaus Raum für innovative Ansätze, soweit diese von den Ordnungsbehörden im Einzelfall akzeptiert werden. Auch die derzeit noch in der Verhandlung befindliche ePrivacyVO, die zukünftig das TMG ersetzen wird, wird diesbezüglich zu berücksichtigen sein.

Das Profiling (definiert in Art. 4 Nr. 4 DSGVO) wird in Art. 21-23 DSGVO und in Erwägungsgrund 71 angesprochen. Letzterer steht rein automatisierten Entscheidungen entgegen, „soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Trotz der noch ausstehenden Klärung dieser Fragen kann als wenig wahrscheinlich gelten, dass hiervon auch personalisierte Werbung erfasst sein wird. Eine „erhebliche Beeinträchtigung“ wird darin im Regelfall jedoch nicht zu erkennen sein. Vielmehr kann argumentiert werden, dass personalisierte Werbung gemäß Art. 22 Abs. 2 DSGVO grundsätzlich zulässig ist. Inwieweit diese Auffassung vonseiten der Behörden und der Rechtsprechung gestützt wird, bleibt jedoch abzuwarten.

4) Fazit / Handlungsempfehlung

Die Zulässigkeit von Maßnahmen zur Werbung und Online-Marketing richten sich wesentlich nach einer Interessenabwägung und der Einhaltung gesteigerter Informations- und Dokumentationspflichten, deren Kriterien durch die Aufsichtsbehörden oder durch die Rechtsprechung noch konkretisiert werden. Aktuelle Bestimmungen und Rechtsprechung bieten zwar eine gewisse Orientierung, können allein jedoch nicht für die angesichts der hohen Bußgelddrohungen notwendige Rechtssicherheit sorgen. In diesem Zusammenhang muss auch die Entwicklung auf nationaler Ebene intensiv beobachtet werden. Nach Art. 23 DSGVO kommen den nationalen Gesetzgebern Spielräume hinsichtlich der Betroffenenrechte zu. Ein finaler aussagekräftiger Gesetzentwurf der Bundesregierung liegt jedoch bislang nicht vor. Insgesamt besteht damit für die praktische Anwendung der DSGVO ein hoher Klärungsbedarf, der eine sorgfältige Beobachtung aktueller Entwicklungen sowie eine dementsprechend qualifizierte Beratung nahelegt. Insbesondere kann diese helfen Einwilligungserklärungen zu identifizieren, die zukünftig durch eine Interessenabwägung ersetzt werden können und zwingende Einwilligungserklärungen so zu gestalten, dass sie auch nach dem 25. Mai 2018 nahtlos fortgelten. Diese Möglichkeit der frühzeitigen Anpassung an die veränderten Anforderungen sieht die DSGVO in Erwägungsgrund 177 ausdrücklich vor.

Lesen Sie auch folgende Beiträge:

Die neue ePrivacy-Verordnung: Welche Änderungen sind zu erwarten?

Werbung und Online Marketing in der DSGVO: Stellungnahme der DSK

wlan-stoererhaftung

UPDATE: Abschaffung der Störerhaftung für offene WLANs – endgültig?

UPDATE: Lange Zeit war in Deutschland umstritten, ob die sogenannte Störerhaftung weiter Bestand haben wird, wenn innerhalb eines offenen WLANs Urheberrechtsverletzungen begangen werden. Der Bundesgerichtshof hat nun am 27.Juli 2018 erneut über die WLAN-Störerhaftung geurteilt. Erfahren Sie in unserem Update alles zur Entscheidung: Ist die WLAN-Störerhaftung nun endgültig passé?

Artikel vom 5.Juli 2017:

Die Diskussion um ein Abschaffen der WLAN-Störerhaftung ebbt nicht ab. Das nunmehr dritte Gesetz zur Änderung des Telemediengesetzes ist am 26.6.2017 in Kraft getreten und soll Betreiber eines öffentlichen WLAN-Netzes endgültig aus der Verantwortung für Rechtsverstöße ihrer Nutzer nehmen.

Hintergrund der Debatte

Hintergrund ist ein Verfahren vor dem Europäischen Gerichtshof (EuGH). In diesem Verfahren sorgten vor allem die Schlussanträge des EuGH Generalanwalts Szpunar vom 16.3.2016 für Aufsehen, wonach aus seiner Sicht die damalige Rechtslage in Deutschland zur Frage der WLAN-Störerhaftung gegen Unionsrecht verstoßen hat. In dem Verfahren hatte das Landgericht München I dem EuGH angerufen, um die Frage zu klären, ob die deutsche W-LAN Störerhaftung mit Europarecht vereinbar ist. Laut Aussage des Generalanwalts können Betreiber eines kostenlosen öffentlichen WLAN-Netzes für Urheberrechtsverletzungen der Nutzer nicht verantwortlich gemacht werden. Eine Haftung sei nicht gegeben, da die Betreiber lediglich als Anbieter sogenannter Dienste der reinen Durchleitung anzusehen seien.

Anfang Juni 2016 nahm die Bundesregierung die Verhandlungen zur Änderung des zweiten Telemediengesetzes auf und wurde schließlich Ende Juli 2016 vom damaligen Bundespräsidenten Joachim Gauck unterzeichnet.

Versuch macht klug: Das zweite Telemediengesetz

Bereits vor einem Jahr wurde das zweite Telemediengesetz auf den Weg gebracht, um Betreiber von WLAN-Netzen nicht mehr für das Verhalten der Internetnutzer haftbar machen zu können. Kritisiert wurde jedoch, dass die Änderung des Gesetzes nicht vollständig ausschließen kann, dass WLAN-Betreiber trotz Abschaffung der Störerhaftung in die Pflicht der Unterlassung genommen werden können. Gerade bei der zivilrechtlichen Inanspruchnahme – etwa durch Abmahnungen von Rechteinhabern – würde noch Regelungsbedarf bestehen.

Das dritte Telemediengesetz: Ein Meilenstein für freie, offene WLANs?

Das dritte TMG soll bislang vorhandene Hürden abschaffen: So wird hier klargestellt, dass WLAN-Betreiber öffentlicher Netze, wie beispielsweise Restaurants oder Cafés, nicht mehr verpflichtet sind, einen Passwortschutz für ihren WLAN-Zugang einzurichten bzw. ihre Nutzer zu registrieren. Das bedeutet, dass WLAN-Betreiber freier Netze nicht in die Verantwortung potentieller Urheberrechtsverletzungen oder anderer Verstöße ihrer Nutzer genommen werden können.

SRD

Best Lawyers: Wir gehören zu Deutschlands besten Anwälten 2017!

Erneut wurden unsere Kollegen Kathrin Schürmann und Jan O. Baier von Handelsblatt und dem renommierten US-Verlag Best Lawyers in die Riege Deutschlands bester Anwälte aufgenommen. Die beiden Verlage bringen jedes Jahr eine Liste von Deutschlands Top-Anwälten heraus, welche in einem Peer-to-Peer-Verfahren direkt von Branchen-Experten empfohlen werden.

Zum dritten Mal wurde Rechtsanwältin und Partnerin Kathrin Schürmann von Best Lawyers und Handelsblatt im Bereich Intellectual Property / Gewerblicher Rechtsschutz gelistet.

Zuletzt war sie bereits von The Legal 500 im Datenschutz ausgezeichnet worden. The Legal 500 lobt sie für ihre „stets umsetzbaren Lösungsvorschläge“ und wertet sie als besonders „behördenerfahren und praxisorientiert“.

Nachdem Jan O. Baier in diesem Jahr bereits von Kanzleimonitor.de für den Bereich Medienrecht empfohlen wurde, kann er sich nun auch über die Auszeichnung als einer von Deutschlands besten Anwälten von Best Lawyers und Handelsblatt im Bereich Urheber- und Medienrecht freuen. Jan O. Baier ist Rechtsanwalt und Partner bei SWD Rechtsanwälte und berät überwiegend Mandanten aus den Sektoren E-Commerce, Technologie, Kommunikation und TV.

Weitere Informationen zum Ranking finden Sie hier.

FinTechs: Was Sie über die rechtlichen Herausforderungen wissen müssen

In der aktuellen Berichterstattung über Finanzdienstleistungen rücken neben klassischen Banken auch zunehmend die so genannten FinTechs in den Vordergrund. Doch worum es sich dabei handelt, wird nicht auf den ersten Blick deutlich. Dies resultiert vor allem aus der Breite der Tätigkeit von FinTechs, diese sind ebenso vielschichtig wie die mit ihnen verbundenen rechtlichen Herausforderungen. FinTechs sind in der Regel junge Start-Up-Unternehmen, die Finanzdienstleistungen und verwandte Dienste mit der digitalen Entwicklung verknüpfen, daher auch die Verknüpfung der Begriffe „Financial“ und „Technologie“. Beispiele für die breit gestreute Tätigkeit sind etwa Zahlungsdienstleister (PayPal), Zahlung per Smartphone (Apple Pay), Crowdfunding-Dienste (Brainpol), aber auch das Bereitstellen neuer Währungen im Cyber-Space wie „Bitcoins“.

Grundsätzlich bietet die Tätigkeit von FinTechs viele Vorteile. So ist der klassische Bankensektor seit der Banken- und Finanzkrise 2008 nach wie vor mit einem Vertrauensverlust und grundsätzlicher Skepsis konfrontiert. Zudem haftet Banken zuweilen der Ruf der Alteingesessenheit und des Verschlafens moderner Entwicklungen im digitalen Zahlungs- und Finanzverkehr an. FinTechs stoßen mit ebenso großer Geschwindigkeit wie Innovationskraft in die entstehenden Lücken. Dabei ist zu berücksichtigen, dass viele der von FinTechs angebotenen Leistungen auch von Banken eingeholt werden können. FinTechs verzichten dabei jedoch in der Regel auf die Zwischenschaltung von persönlichem Kontakt und Präsenzgeschäft.  Bei voller Ausschöpfung des Potentials von FinTechs können der Zahlungsverkehr und verwandte Dienste damit deutlich schneller, flexibler und sicherer durchgeführt werden, als es vor dem Markteintritt der FinTechs der Fall war. So ermöglicht etwa die Nutzung von Apps zur Analyse des Aktienhandels, das Anlageverhalten besonders erfolgreicher Anleger zu beobachten und dadurch Rückschlüsse für eigene Investitionen zu ziehen bzw. elektronisch generierte Investitionsempfehlungen zu erhalten, die auf vorher eigegebenen Präferenzen beruhen.

Zugleich bestehen für FinTechs gerade durch ihre nicht sofort mögliche Einordnung in einen fest umrissenen und regulierten Sektor („Bank“) große rechtliche Herausforderungen. Einerseits können FinTechs denselben regulatorischen Anforderungen wie Banken unterliegen, da sie ebenfalls im Finanzsektor tätig sind und zur Umsetzung ihrer Dienste klassische Bankdienstleistungen erforderlich sind, wie z.B. die Anlagevermittlung, die sich nach dem Kreditwesensgesetz richtet. Andererseits kann ihr innovatives Geschäftsmodell solche Regelungen auch überflüssig machen. Die größte rechtliche Herausforderung für FinTechs besteht daher darin zu erkennen, welche rechtlichen Regelungen für sie gelten, nicht zuletzt deshalb, weil mit Anwendung des Banken- und Finanzmarktrechtes auch die Aufsicht und Kontrolle durch die BaFin einhergeht.

Fintechs: Wesentliche Geschäftsmodelle und die Anwendung rechtlicher Regeln:

  1. Online-Zahlungsverkehr (z.B. PayPal, Apple Pay),
  2. Kreditplattformen (z.B. auxmoney),
  3. Crowdfunding (z.B. Seedmatch).
  4. Online-Zahlungsverkehr

Wann liegt Online-Zahlungsverkehr vor?

Wichtig für die Einordnung einer Finanztransaktion als Online-Zahlung ist nur, dass eine Bezahlung mit „elektronischem Geld“ erfolgt.  Zur Harmonisierung der Tätigkeit und Beaufsichtigung von entsprechenden E-Geld-Instituten hat die Europäische Union die RL 2009/110/EG erlassen. Die erste rechtliche Herausforderung für FinTechs besteht daher darin, zu erfassen, ob ihre Tätigkeit in den Anwendungsbereich dieser RL fällt, was immer dann der Fall ist, wenn FinTechs in die Ausgabe von E-Geld involviert sind (Art. 2 Abs.1 der RL 2009/110/EG). E-Geld wird dabei gemäß Art. 2 Abs.2 der RL definiert als: Jeder elektronisch — darunter auch magnetisch — gespeicherte monetäre Wert in Form einer Forderung gegenüber dem Emittenten, der gegen Zahlung eines Geldbetrags ausgestellt wird, um damit Zahlungsvorgänge (…) durchzuführen, und der auch von anderen natürlichen oder juristischen Personen als dem E-Geld-Emittenten angenommen wird. Liegen diese Voraussetzungen vor haben sich E-Geld-Institute bezüglich Eigenkapital, Verzinsung (grundsätzliches Verbot), Sicherheitsanforderungen, Aufsicht etc. primär nach der RL 2009/110/EG zu richten und unterliegen der Aufsicht der BaFin.

Wie sind AGB von Online-Zahlungsdiensten, z.B. im Rahmen des Online-Shoppings, wirksam einzubeziehen?

Betätigt sich ein Unternehmen im derartig definierten Online-Zahlungsverkehr (z.B. Paypal als Zahlungsmethode im Rahmen des Online-Shoppings) so hat es nach der Rechtsprechung insbesondere darauf zu achten, dass seine AGB (die gemäß § 305 Abs.2 Nr.2 BGB wirksam in den Vertrag zwischen Online-Zahlungsdienst und Kunden einbezogen werden müssen) mit spätestens zwei Klicks zu erreichen sind.

Was ist Mobile Payment (Apple Pay, Google Wallet)?

Im Vergleich zu den Vereinigten Staaten hat Mobile Payment also das Bezahlen mittels Smartphone in Deutschland bisher noch keine umfassende Verbreitung erfahren, was aber weniger am fehlenden Angebot an Mobile Payment Diensten liegt, als an Möglichkeiten seitens der Händler eine entsprechende Bezahlung technisch annehmen zu können. Allerdings wird eine zunehmende Nachfrage nach Mobile Payment Diensten in Deutschland prognostiziert. Für die bereits in Deutschland aktiven Unternehmen stellt sich ebenso wie für solche Unternehmen, die den Markteintritt im Mobile Payment planen, die Frage nach den grundsätzlichen rechtlichen Rahmenbedingungen, die das Mobile Payment regeln.

Welche Normen regeln das Mobile Payment in Deutschland?

Entscheidende Norm ist dabei § 675 Abs.2 BGB, die den hier anwendbaren Zahlungsdienstrahmenvertrag regelt:  Durch einen Zahlungsdiensterahmenvertrag wird der Zahlungsdienstleister verpflichtet, für den Zahlungsdienstnutzer einzelne und aufeinander folgende Zahlungsvorgänge auszuführen sowie gegebenenfalls für den Zahlungsdienstnutzer ein auf dessen Namen oder die Namen mehrerer Zahlungsdienstnutzer lautendes Zahlungskonto zu führen. Schließt ein Anbieter von Mobile-Payment Diensten einen solche Zahlungsdiensterahmenvertrag mit Kunden ab, so ist zu empfehlen, dass eine Regelung für die Autorisierung von Zahlungsvorgängen enthalten ist, da ohne entsprechende Autorisierung (z.B. pauschal für alle Zahlungen an einen bestimmten Empfänger) große Haftungsrisiken für den Anbieter bestehen (s. unten).

Nach welcher Norm richtet sich die Pflicht des Kunden, den mittels Mobile Payment gezahlten Betrag an den Mobile Payment Dienst zurückzuzahlen?

Die Erstattungspflicht des Zahlungsdienstnutzers richtet sich gemäß § 675 Abs.1 BGB nach § 670 BGB. Der Zahlungsdienstnutzer (Kunde) hat demgemäß dem Zahlungsdienstleister seine Aufwendungen zu erstatten, wenn ein autorisierter Zahlungsvorgang vorliegt. Gemäß § 675 u BGB haftet der Zahlungsdienstleister für nicht autorisierte Zahlungsvorgänge.

Was passiert, wenn der Mobile Payment Dienst einen nicht autorisierten Zahlungsvorgang durchführt?

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist gemäß § 675 u BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten. Allerdings kehrt § 675 v BGB das Haftungsrisiko zu Lasten des Zahlungsdienstnutzers um, wenn nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments beruhen. In diesem Fall kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen. Dies gilt auch, wenn der Schaden infolge einer sonstigen missbräuchlichen Verwendung eines Zahlungsauthentifizierungsinstruments entstanden ist und der Zahler die personalisierten Sicherheitsmerkmale nicht sicher aufbewahrt hat. Im Falle von Vorsatz, Betrug oder grober Fahrlässigkeit haftet der Zahlungsdienstnutzer (Kunde) sogar vollständig. Fraglich ist ob die Autorisierung für alle Zahlungsvorgänge pauschal vorab im Zahlungsdienstrahmenvertrag eingeholt werden kann.

Welche rechtlichen Regeln bestehen bei Verlust des Smartphones oder der Zugangsdaten?

§ 675 v III BGB regelt zum einen den Fall, dass es trotz Anzeige des Verlustes durch den Kunden zu Zahlungsvorgängen gekommen ist. In diesem Fall haftet der Kunde entgegen § 675 I, II nicht. Zum anderen haftet der Kunde entgegen § 675 I, II BGB nicht, wenn der Zahlungsdienstleister seine Pflichten gemäß § 675 m (Pflicht sicherzustellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsauthentifizierungsinstruments nur der zur Nutzung berechtigten Person zugänglich sind) verletzt hat. Die wohl größte rechtliche Herausforderung für FinTechs, die im Bereich des Mobile Payments tätig sein wollen, besteht in Zukunft darin, Bezahlmethoden zu entwickeln, die unter den Voraussetzungen des § 675m BGB als sicher gelten.

  1. Kreditplattformen: Auch für Kreditplattformen, die Kredite zischen Kunden und klassischen Banken vermitteln, ist es wichtig die richtige Rechtsgrundlage und den richtigen Rechtsrahmen für ihre Betätigung zu ermitteln.

Welche Rechtsgrundlage gilt für Kreditplattformen?

Entscheidend ist zunächst, ob die Kreditvermittlungsplattform allein oder als Kreditvermittler für eine bestimmte Bank auftritt. Handelt das FinTech in Kooperation mit einer bestimmten Bank kommt es auf die Art der Zusammenarbeit an. Wird das FinTech-Unternehmen in die Gesellschaftsstruktur der Bank integriert, z.B. durch Übernahme, findet uneingeschränkt das Bankrecht Anwendung. Agiert das FinTech eigenständig, so bleibt es bei dessen rechtlicher Autonomie. Es kommt keine Einordnung als Handelsvertreter der Bank gemäß § 84 HGB in Betracht, da die Kreditvermittlungsplattform (z.B. auxmoney) nicht die Voraussetzung der „Vermittlung von Geschäften“ vornimmt. Es fehlt an der unmittelbaren Einflussnahme auf die Willensbildung der Kunden und der Inanspruchnahme von Vertrauen (in die Plattform selbst), da der Kunde idR unmittelbar und ausschließlich auf das Kreditangebot der Bank verwiesen wird. Demgemäß hat das vermittelnde FinTech auch keinen Ausgleichsanspruch gemäß § 89 b HGB gegen die Bank. Anders könnte der Fall nur dann bewertet, wenn verschiedene Kreditangebote miteinander verglichen und von der Plattform eigenständig bewertet werden.

Handelt es sich bei dem FinTech um einen unabhängig agierenden Kreditvermittler, der sich auf die reine Vermittlung von Krediten beschränkt, ist grundsätzlich keine Bankerlaubnis erforderlich.  Jedoch ist in der Regel eine Erlaubnis nach § 34c Gewerbeordnung für die „gewerbsmäßige Vermittlung“ von Darlehensverträgen einzuholen, die vor allem bei fehlender Zuverlässigkeit versagt wird, was insbesondere bei Fehlverhalten (auch in der Vergangenheit) mit Bezug auf die Darlehensvergabe anzunehmen sein wird.

Darüber hinaus kann jedoch eine bankenaufsichtsrechtliche Erlaubnispflicht in Betracht kommen (und damit die Aufsicht durch die BaFin), wenn die konkrete Art der Kreditvermittlung ein Bankgeschäft darstellt. Dies kommt insbesondere für den Fall des Einlagengeschäfts gemäß § 1 Abs. 1 Satz 2 Nr. 1 KWG (Kreditwesengesetz) in Betracht. Dies kommt vor allem dann in Betracht, wenn Darlehensgeber/Banken, deren Darlehen über die Plattform vermittelt werden, schon vor Abschluss eines konkreten Darlehensvertrages das Geld bei der Plattform einzahlen, das dann später an die Nutzer ausbezahlt werden soll.

Zudem wird die bankenrechtliche Erlaubnispflicht dann relevant wenn die Nutzer (also v.a. Darlehensgeber und Darlehensnehmer) Tätigkeiten nachgehen, die einer bankrechtlicher Erlaubnis und Aufsicht durch die BaFin bedürfen. Handeln diese nämlich ohne entsprechende Erlaubnis, würde auch die Kreditvermittlungsplattform im Rahmen nicht genehmigter aber genehmigungsbedürftiger Bankgeschäfte agieren und dafür haften. Darlehensgeber betreiben v.a. mit der Gewährung von Gelddarlehen gemäß § 1 Abs. 1 Satz 2 Nr. 2 Kreditwesengesetz (KWG) das Kreditgeschäft, welches dann erlaubnisbedürftig ist, wenn der Darlehensgeber gewerbsmäßig handelt, also bestimmte Höchst-Grenzen überschreitet oder seine Tätigkeit auf Wiederholung und Gewinnerzielung abzielt. Darlehensnehmer werden durch Annahme des Geldes im Rahmen erlaubnisbedürftiger Bankgeschäfte tätig (Einlagegeschäft gemäß § 1 Abs.1 S. 2 Nr.1 KWG). FinTechs, die Kreditvermittlungsplattformen betrieben, sollten regelmäßig überprüfen ob die Nutzer (Darlehensnehmer und Darlehensgeber) erlaubnisbedürftige Bankgeschäfte betreiben, da sich die BaFin diese Prüfung ebenfalls vorbehält und gegebenenfalls einschreitet. Vor allem kann die BaFin gemäß § 34 Abs.1 S.4 KWG die Geschäftstätigkeit der Plattform untersagen. Grundsätzlich hat der Betreiber von Plattformen der BaFin Auskunft über die vertraglichen und technischen Vorrichtungen zu geben, mittels derer ein Mitwirken an erlaubnispflichtigen Bankgeschäften, die ohne Erlaubnis betrieben werden, ausgeschlossen können werden soll.

Worin unterscheidet sich Crowdfunding von Kreditplattformen?

Im Unterschied zu Kreditplattformen geht es beim Crowdfunding nicht um die Vermittlung von Bankkrediten oder sonstigen Krediten von einem einzelnen Kreditgeber, sondern um die Vermittlung von Kreditnehmern an mehrere verschiedene Privatpersonen (die Crowd), die Geld verleihen wollen, ohne dass dabei zwingend das Modell des Darlehens gewählt werden muss. Als Gegenleistung für die Geldgeber kommen auch nicht-monetäre Leistung (Nennung des Namens im TV), Gewinnbeteiligung oder das komplette Ausbleiben im Fall der Spende in Betracht. Crowdfunding-Plattformen können das Risiko rechtlicher Auseinandersetzungen demnach dadurch minimieren, dass sie nur bestimmte Arten der Gegenleistung zulassen oder auf die gewählte Art der Gewinnbeteiligung ausdrücklich verweisen. Die Besonderheit beim Crowd-Funding besteht darin, dass in der Regel nicht eine Einzelperson oder ein einzelnes Unternehmen als Kreditnehmer auftritt, sondern die Kreditnehmer immer ein bestimmtes Vorhaben (z.B. Start-Up-Gründung, Filmproduktion) mittels der Crowd finanzieren wollen und dieses Projekt online als Ziel der Finanzierung beworben wird. Vielen rechtlichen Problemen können Crowd-Funding-Plattformen daher entgehen, wenn sie für die Realisierung eines Projektes vom Kreditnehmer eine Mindestsumme verlangen, die in einem bestimmten Zeitraum erreicht werden muss und bei Nichterreichen zu einer automatischen Rückführung der Gelder an die privaten Geldgeber führt.

Bedürfen Crowdfunding-Plattformen einer bankenrechtlichen Erlaubnis?

Crowdfunding-Plattformen bedürfen gemäß § 32 Abs.1 S.1 KWG einer Erlaubnis zum Betreiben von Bankgeschäften und Erbringen von Finanzdienstleistungen, wenn sie geschäftsmäßig tätig werden oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, was in der Regel bei Einfordern einer Gebühr der Fall ist. Die reine und ausschließliche Vermittlung von Anlagen bedarf in der Praxis der BaFin jedoch in der Regel keine bankrechtliche Erlaubnis, kann aber eine Erlaubnis nach der Gewerbeordnung erfordern. Nimmt die Crowdfunding-Plattform aber Gelder der Geldgeber entgegen um sie ggf. später an die Kreditnehmer auszuzahlen, so gilt das oben für Kreditplattformen zum Einlagegeschäft gesagte entsprechend. Zudem ist dann eine Erlaubnis nach § 1 Abs.2 Nr.6 Zahlungsdienstaufsichtsgesetz erforderlich. Crowdfunding-Plattformen entgehen also einer strengeren Aufsicht, wenn sie sie auf die reine Anlagenvermittlung beschränken. Werden beim Crowdfunding zudem in Wertpapiere verbriefte Vermögensanlagen angeboten, so trifft den Betreiber der Crowdfunding-Plattform eine Prospektpflicht (Pflicht zur Erstellung und Veröffentlichung eines Verkaufsprospektes, in dem alle rechtlichen und tatsächlichen Angaben zur Vermögensanlage und deren Emittenten enthalten sind) gemäß §§6, 7 Vermögensanlagegesetz.

Handlungsempfehlung

FinTechs müssen sich grundsätzlich entscheiden ob sie mit Banken derart kooperieren wollen, dass sie als deren verlängerter Arm agieren wollen und damit unter das Bankrecht fallen sowie Gewinne teilen müssen, im Gegenzug aber von der rechtlichen Erfahrung der Banken profitieren oder ob sie autonom agieren wollen. Im letzteren Fall ist FinTechs dringend zu raten, sich zunächst einen genauen Überblick über die einschlägigen Rechtsgrundlagen für das anvisierte Tätigkeitsfeld, v.a. über Erlaubnispflichten, zu verschaffen und sich in AGB vor Haftung soweit wie möglich abzusichern. Gelingt dies, so kann das FinTech-Modell eine gewinnbringende Erweiterung der bisherigen klassischen Bankdienstleistungen darstellen.

Die neue Zahlungsdiensterichtlinie (PSD II.)

Regelungsgehalt

Die PSD II. enthält datenschutzrechtliche Regelungen für den Fall des Dazwischenschaltens eines technischen Dienstleisters (FinTech) zwischen dem Bankkunden und dessen Bank. Da die Bankdaten, die von den FinTech Unternehmen gebraucht werden meist datenschutzrechtlich sehr sensible und kritische Daten sind und die Unternehmen weder dem Bankgeheimnis, noch der Bankaufsicht unterliegen, wurde durch die PSD II. erstmals ein europarechtlicher Rahmen für den Umgang mit solchen Sachverhalten geschaffen.

Ab wann tritt die PSD II. in Kraft?

Die Umsetzungsfrist für die PSD II. ist der 13.01.2018. Zu beachten ist jedoch, dass Art. 94 I. S. 2 PSD II. im Rahmen der Regelung der Datenverarbeitung auf die DatenschutzRL von 1995 und deren nationale Umsetzung (in Deutschland das BDSG) verweist. Das BDSG wird am 25.05.2018 allerdings durch die DSGVO ersetzt, sodass lediglich von einer „Übergangszeit“ in Anlehnung an das BDSG gesprochen werden kann. Für die Umsetzung in die Praxis erscheint daher sinnvoll Datenschutzerklärungen sowie AGB entsprechend so zu gestalten, dass ein doppelter Arbeitsaufwand weitgehend vermieden wird.

Art 94 PSD II. als zentrale datenschutzrechtliche Norm

Art. 94 I. S. 1 PSD II. übernimmt die bisherige Regelung aus Art. 79 der PSD I., wonach die Datenverarbeitung erlaubt wird, sofern dies zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist.

Weiterhin regelt Art. 94 I. S. 2 die Pflicht zur Unterrichtung natürlicher Personen über die Verarbeitung personenbezogener Daten. Hierbei wird auf die DatenschutzRL sowie deren nationale Umsetzung verwiesen, sodass die Datenverarbeitung in diesem Rahmen erfolgen muss.

Neu ist die Regelung des Art. 94 II. PSD, wonach Zahlungsdienstleister die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Zustimmung des Nutzers abrufen, verarbeiten oder speichern dürfen. Auch hierbei ist der Verweis auf das geltende Recht aus Art. 94 I. ausschlaggebend. Somit ist die ausdrückliche Zustimmung entsprechend der Einwilligung gem. §§ 4, 4a BDSG bzw. Art. 6 I. a) DSGVO zu verstehen. Allerdings ist zu beachten, dass der Wortlaut der PSD II. wonach die Zustimmung „ausdrücklich“ zu erfolgen hat, die Möglichkeit einer konkludenten Einwilligung nach der DSGVO ausschließt. Für die Vertragspraxis muss dies entsprechend sichergestellt werden. Hierbei bleibt es zunächst dabei, dass man entsprechende Regelungen im Rahmen von Zahlungsdienstrahmenverträgen oder AGB vereinbaren kann. Ab dem 25.05.2018 erscheint es jedoch sinnvoll auf den Erwägungsgrund 32 der DSGVO zu blicken. Hier wird festgelegt, dass eine Einwilligung in einem „konkreten Fall“ in Form einer schriftlichen, elektronischen oder mündlichen Erklärung abgegeben werden kann. Diese kann sich auf „alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgängen beziehen.“

Weitere Regelungen

In Erwägungsgrund 90 der PSD II werden die Grundrechte der Charta der Europäischen Union einschließlich dem Recht auf Schutz personenbezogener Daten und der unternehmerischen Freiheit als allgemeine Auslegungsgrundsätze betont.

Des Weiteren werden in Erwägungsgrund 89  der enge Zweckbindungsgrundsatz, Datenschutz durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) hervorgehoben.

Erwägungsgrund 93 besagt, dass Zahlungsauslösedienstleister und Kontoinformationsdienstleister ihre Dienste mit Zustimmung des Kontoinhabers auf der Grundlage eines eindeutigen Rechtsrahmens erbringen können sollen und der kontoführende Zahlungsdienstleister dabei mitwirken muss. Die europäische Bankenaufsicht (EBA) soll gemeinsame und offene Standards für die Kommunikation festlegen, so dass die Bank erkennt ob FinTech Dienstleister oder ihr Kunde mit ihr kommuniziert. Hierbei muss die EBA im Einklang mit Erwägungsgrund 94 einerseits auf den Schutz der Privatsphäre achten und andererseits die technischen Risiken erkennen um auf diese Art die Gefährdung des Datenschutzes zu minimieren.

Kontoinformationsdienstleister, die einem Nutzer beispielsweise über eine App auf dem Smartphone die Kontobewegungen verschiedener Bankverbindungen gleichzeitig zeigen, dürfen nach Art. 67 Abs. 2 PSD II „im Einklang mit den Datenschutzvorschriften Daten nicht für andere Zwecke als für den vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienst verwenden, darauf zugreifen oder speichern.“ Hiermit ist eine Auswertung der Kontoumsätze zu Werbezwecken oder der Verkauf eines Scorings ausgeschlossen.

Art. 66 Abs. 1 PSD II gewährt dem Zahler das Recht, bei einem online geführten Konto einen Zahlungsauslösedienstleister in Anspruch zu nehmen. Dieser darf nach Art. 66 Abs. 3 PSD II allerdings „keine sensiblen Zahlungsdaten des Zahlungsdienstnutzers speichern“ (lit. e), „vom Zahlungsdienstnutzer keine anderen als die für das Erbringen des Zahlungsauslösedienstes erforderlichen Daten verlangen“ (lit. f) und „Daten nicht für andere Zwecke als für das Erbringen des vom Zahler ausdrücklich geforderten Zahlungsauslösedienstes verwenden, darauf zugreifen und speichern“ (lit. g).

Nach Art. 66 Abs. 4 PSD II muss die kontoführende Bank „unmittelbar nach Eingang des Zahlungsauftrags von einem Zahlungsauslösedienstleister diesem alle Informationen über die Auslösung des Zahlungsvorgangs und alle ihm selbst zugänglichen Informationen hinsichtlich der Ausführung des Zahlungsvorgangs mitteilen oder zugänglich machen.“ Nach dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 c) DSG-VO bzw. anfangs noch dem Grundsatz der Datensparsamkeit und Datenvermeidung nach § 3 a BDSG genügt es, wenn der Zahlungsdienstleister (Bank) dem Zahlungsauslösedienstleister mitteilt ob der angefragte Transaktionsbetrag verfügbar ist und entsprechend ausgezahlt wird.

Telefonmarketing B2C: Neuer Gesetzesentwurf des Bundesrats

Die telefonische Kontaktaufnahme von Kunden kann ohne Beachtung ihrer rechtlichen Voraussetzungen schnell als unzulässige Werbung aufgefasst werden, die insbesondere wettbewerbsrechtliche Folgen nach sich ziehen kann. Denn bereits der Hinweis auf ein Angebot im Rahmen eines Kundentelefonats kann rechtlich als Werbung angesehen werden und damit gesetzlichen Einschränkungen unterliegen. Anknüpfend an die Schutzrichtung der bisherigen gesetzlichen Vorschriften, hat der Bundesrat nunmehr einen Gesetzesentwurf vorgelegt, durch den der Verbraucherschutz im Rahmen von Telefonwerbung weiter gestärkt werden soll.

Über den Gesetzesentwurf des Bundesrats

Mit seinem Gesetzesentwurf (Drucksache 181/17) verfolgt der Bundesrat eine Änderung des Fernabsatzrechts, durch welche telefonisch beschlossene Verträge zwischen Verbrauchern und Unternehmen nicht ohne weiteres wirksam zustande kommen sollen, sofern das Telefonat auf Veranlassung des Unternehmens erfolgt. Die Wirksamkeit soll zukünftig davon abhängen, dass dem Verbraucher das Vertragsangebot in Textform vorgelegt wird und der Verbraucher dieses daraufhin genehmigt.

Zwar ist die telefonische Kontaktaufnahme eines Verbrauchers zu Werbezwecken ohne dessen Einwilligung bereits jetzt unzulässig. Gegenwärtig ist durch den unzulässigen Anruf jedoch nur ein wettbewerbswidriges Verhalten des Unternehmens gegeben, welches Gegenstand von wettbewerbsrechtlichen Unterlassungs- und Haftungsansprüchen sein kann. Ein während des Telefonats beschlossener Vertrag ist gegenwärtig dennoch wirksam abgeschlossen.

Nach der bisherigen Gesetzeslage kann ein telefonisch oder unter Zuhilfenahme anderer Fernabsatzmitteln geschlossener Vertrag lediglich nachträglich durch den Verbraucher widerrufen werden. Da dies für den Verbraucher allerdings angesichts der korrekten Ausübung sowie des Nachweises des tatsächlich erfolgten Widerrufs mit Schwierigkeiten verbunden sein kann, wird es dem Verbraucher mit der geplanten Änderung deutlich einfacher möglich sein vom telefonisch Beschlossenen Abstand zu nehmen.

Ist die telefonische Kontaktaufnahme zu Werbezwecken wettbewerbsrechtlich zulässig?

Die Vorschrift des § 7 Abs. 2 Nr. 2 UWG (Gesetz gegen den unlauteren Wettbewerb) normiert, dass die telefonische Werbung gegenüber einem Verbraucher, der hierzu vorher nicht eingewilligt hat, eine unzumutbare Belästigung und somit einen Wettbewerbsverstoß darstellt. Dem Schutz der Privatsphäre des Angerufenen kommt hier gegenüber den wirtschaftlichen Interessen des Unternehmens Vorrang zu. Neben Unterlassungs- und Schadensersatzansprüchen kommen insoweit auch behördliche Sanktionen in Betracht. Denn die unzulässige telefonische Werbung gegenüber einem Verbraucher stellt eine bußgeldbewehrte Ordnungswidrigkeit dar, die mit bis zu 300.000 Euro geahndet werden kann, § 20 Abs. 2 UWG. Im vergangenen Jahr hat die Bundesnetzagentur beispielsweise Bußgelder in Höhe von insgesamt rund 500.000 Euro wegen unerlaubter Telefonwerbung verhängt.

Einwilligung geboten!

Aus diesen Gründen ist für Unternehmen, die Verbraucher telefonisch zu Werbezwecken kontaktieren, die Einholung einer Einwilligung geboten. Dabei ist zu beachten, dass der wettbewerbsrechtliche Werbungsbegriff – und damit auch der rechtliche Anwendungsbereich von Telefonwerbung – weit gefasst ist. Denn unter den wettbewerbsrechtlichen Werbungsbegriff fallen alle Äußerungen im Geschäftsverkehr, die auf das Ziel gerichtet sind, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern. Auch der Anruf eines Unternehmens bei einem Verbraucher zu einem nicht werbebezogenen Anlass kann daher Werbung darstellen. Etwa wenn das Unternehmen während eines vertragsbezogenen Anrufs von einer nicht werblichen Kommunikation zur Werbung übergeht und keine entsprechende Einwilligung des Verbrauchers vorliegt. Dies kann beispielsweise im Nachgang zu einem regulären Kundentelefonat der Fall sein, sofern dem Verbraucher hierbei ein neues Angebot dargelegt wird. Dass der Verbraucher das Telefonat weiterführt ist rechtlich unerheblich, da hierin lediglich eine Einwilligung durch schlüssiges Verhalten zu sehen ist, allerdings keine – wie gesetzlich vorgesehen – ausdrückliche Einwilligung des Verbrauchers.

Die Ausdrücklichkeit der Einwilligung ist jedoch notwendige Voraussetzung für ihre Wirksamkeit. Der Verbraucher muss die Einwilligung im sog. Opt-in-Verfahren abgeben, also bewusst und aus eigener Initiative, beispielsweise durch Ankreuzen einer Check-Box.  Zudem muss dargelegt werden, inwiefern die Telefonwerbung auch durch dritte Unternehmen erfolgen darf. Zwar ist eine bestimmte Form der Einwilligung nicht vorgegeben, jedoch ist diese – angesichts ihrer zentralen Rolle im Rahmen der Haftungsfrage – schriftlich oder in anderer Weise festzuhalten, die einen hinreichenden Beweis ihrer Abgabe im Konfliktfall ermöglicht. Denn die Darlegungs- und Beweislast bezüglich des Vorliegens einer Einwilligung liegt beim werbenden Unternehmen. Neben wettbewerbsrechtlichen Anforderungen sind insoweit auch datenschutzrechtliche Gesichtspunkte zu beachten.

Vor allem muss eine vorformulierte Einwilligung zudem auch bestehenden Transparenzanforderungen genügen, damit der Verbraucher sich im Klaren sein kann, in welchem Umfang er konkret zur Kontaktaufnahme zu Werbezwecken einwilligt. Nach einem Urteil des Landgerichts Frankfurt darf der Umfang der Einwilligung etwa nicht erst über einen Link dargelegt werden. Insoweit ist daher besondere Sorgfalt bei der Formulierung der Einwilligungserklärung erforderlich. Die Rechtsprechung tendiert diesbezüglich zugunsten des Verbrauchers größtmögliche Transparenz zu fordern, durch die es diesem ermöglicht wird, eine informierte Entscheidung bei Erteilung der Einwilligung zu treffen.

Ein vom Verbraucher selbst ausgehender Anruf bei einem Unternehmen ist im Übrigen in der Regel nicht als unzulässige telefonische Werbung anzusehen. Ausnahmen hierzu können jedoch gegebenenfalls bestehen, wenn der Verbraucher – während er auf einen Ansprechpartner wartet – in besonders eindringlicher Weise mit Werbung konfrontiert wird. Abhängig von der Dauer und Intensität der Werbeeinwirkung kann hierin dann ebenfalls eine unzumutbare Belästigung des Verbrauchers gesehen werden.

 

 

Informationssicherheit nach DSGVO

Informationssicherheit nach der DSGVO

Die neue EU- Datenschutzgrundverordnung enthält einige Neuerungen im Bereich der Informationssicherheit und des technischen Datenschutzes. Unternehmen sollten diese Veränderungen unbedingt berücksichtigen, da Verstöße nach der DSGVO mit erheblichen Bußgeldern belegt sind.

Wie ist die Rechtslage bisher ausgestaltet?

Bisher regelt § 9 BDSG, dass datenverarbeitende Unternehmen oder Behörden „technische und organisatorische Maßnahmen“ zu treffen haben um die datenschutzrechtlichen Anforderungen des BDSG und seiner Anlage sicherzustellen. Dabei verlangt § 9 BDSG ausdrücklich eine Verhältnismäßigkeit von Maßnahme und Schutzzweck.

Welche Regelung enthält die DSGVO?

Grundsätzlich verlangt auch Artikel 32 DSGVO, dass technische und organisatorische Maßnahmen zur Datensicherheit getroffen werden. Allerdings spezifiziert Art. 32 DSGVO zum Teil die Anforderungen an diese Maßnahmen. Er setzt dabei den Grundsatz der „Integrität und Vertraulichkeit“ bei der Verarbeitung personenbezogener Daten gemäß Art. 5 Abs.1 f DSGVO um.  Zunächst verweist Art. 32 DSGVO dabei auf eine „Berücksichtigung des Stands der Technik“ um geeignete Schutzmaßnahmen zu gewährleisten.

Zur Erfassung der Anforderungen an den „Stand der Technik“ kann auf die Anlage zu § 9 BDSG zurückgegriffen werden. Ausreichend aber auch erforderlich ist demnach, dass sich technische Maßnahmen bereits zur Datensicherheit in der Praxis etabliert haben, mithin keine Erst- oder Demoversionen darstellen. Zur Ermittlung des „Standes der Technik“ nach dem IT-Sicherheitsgesetz hat der Bundesverband IT-Sicherheit eine Handreichung erarbeitet, die ebenfalls als Leitlinie zur Ermittlung des „Standes der Technik“ herangezogen werden kann.

Sodann verlangt Art. 32 DSGVO „ein dem Risiko angemessenes Schutzniveau“ zu gewährleisten. Die Angemessenheit (oder Verhältnismäßigkeit) bestimmt sich dabei nach „den Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos“ für den Schutz personenbezogener Daten und sonstiger Informationen. Unternehmen sollten daher eine detaillierte Prognose v.a. über möglichen Risiken und den Schutzbedarf für die Rechte und Freiheiten betroffener Personen in verschiedenen Szenarien unter Einbeziehung aller genannten Aspekte durchführen. Eine Möglichkeit zur Durchführung dieser Prognose ist die Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO, soweit diese erforderlich ist.  Der Schutzbedarf kann dabei entsprechend der datenschutzrechtlichen Praxis weiterhin nach den Kategorien „normal“, „hoch“, „sehr hoch“ bewertet und entsprechend berücksichtigt werden.

Gibt es konkrete Maßnahmen zur Umsetzung eines angemessenen Schutzniveaus?

Zunächst verlangt Art. 32 Abs.1 a) die Pseudonymisierung und Verschlüsselung der Daten. Es kann als Ausdruck bewusster gesetzgeberischer Entscheidung gewertet werden, dass die Anonymisierung von Daten nicht genannt wird.  § 58 Abs.3 des Referentenentwurfes für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung führt einige Aspekte zur Umsetzung des Schutzniveaus aus, indem es weite Teile des alten § 9 BDSG in Verbindung mit dessen Anhang übernimmt. Die Inhalte dieses Entwurfes können für Unternehmen als Richtschnur zur Beurteilung der zukünftigen Rechtslage zur Datensicherheit gewertet werden.

Dabei verlangt der Referentenentwurf eine Zugangskontrolle für Verarbeitungsanlagen, eine „Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)“, den Schutz gespeicherter personenbezogener Daten (z.B. vor Veränderung), eine Verhinderung der unbefugten Nutzung von automatisierten Verarbeitungssystemen, die Möglichkeit der nachträglichen Überprüfung der Eingabe personenbezogener Daten, den Schutz der Integrität von personenbezogenen Daten bei ihrer Übermittlung (auch durch Transport eines Datenträgers), die Wiederherstellbarkeit von Systemen im Falle von Störungen, die Zuverlässigkeit und Datenintegrität durch Vermeidung von Fehlfunktionen des Systems, die Einhaltung der Weisungen des Auftraggebers im Falle der Auftragsverarbeitung, Schutz vor Datenverlust im Zuge zufälliger Störungen sowie die Ermöglichung der getrennten Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten.

Art. 32 Abs.1 b) und c) verlangen zudem, dass die Schutzmaßnahem die Sicherheit „auf Dauer“ gewährleisten, insbesondere belastbare Back-Up-Prozesse sind daher unerlässlich. Gerade aufgrund der Neuregelung in Art. 32 DSGVO sollte der Katalog des § 9 BDSG jedoch nicht mehr nur „abgearbeitet“, sondern stets individuelle Schutzkonzepte entwickelt werden. Die Folgepflichten aus Art. 33 und 34 (Benachrichtigungspflicht gegenüber Aufsichtsbehörde und Betroffenem) sowie Erwägungsgrund 87 legen zudem nahe, dass das Schutzkonzept insbesondere auch ermöglichen muss, dass Verletzungen sofort und ohne gesonderte Recherche, d.h. nahegehend automatisch, dem Verantwortlichen bekannt werden.

Art. 32 Abs.2 der Datenschutzgrundverordnung enthält bezüglich des „angemessenen Schutzniveaus“ einige Konkretisierungen.  Dieses Schutzniveau muss demgemäß zusammengefasst v.a. bezüglich der Gefahr von „Vernichtung, Verlust oder Veränderung von Daten“ (z.B. durch Hacking), aber auch durch Angriffe „von innen“ gewahrt werden.

Welchem Zweck dient Art. 32 der DSGVO?

Grundsätzlich verfolgt die DSGVO gemäß Art. 32 Abs.1 b) DSGVO die Ziele der Vertraulichkeit, Integrität, Verfügbarkeit der verarbeitenden Systeme und Dienste herzustellen. Diese Ziele liegen auch den Regelungen zur Datensicherheit nach dem BDSG zugrunde. Neu an der Formulierung des Art. 32 DSGVO ist die Gewährleistung der „Belastbarkeit“ von Systemen und Diensten. Darin kann wohl v.a. eine Absicherung der Dienste und System gegen ungewollte und gewollte, zufällige und geplante Störungen gesehen werden. Unternehmen sind hier auf eine konstante Kongruenz der Nachverfolgung der Rechtsprechung und Weiterentwicklung der Technik angewiesen, um die konkretisierten Anforderungen an die „Belastbarkeit“ umzusetzen. Berücksichtigt man diese Zwecke so wird deutlich, dass trotz der angeführten „Implementierungskosten“ als Abwägungskriterium, der Schutz der Betroffenen im Vordergrund steht, sodass abgesehen von existentiellen Bedrohungen wohl keine wirtschaftlichen Erwägungen der Lockerung des Schutzstandards als Rechtfertigung dienen können.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wie wird die Einhaltung der Vorgaben überprüft?

Das bayerische Amt für Landesdatenschutzaufsicht verweist darauf, dass der Nachweis der Einhaltung der Vorgaben für die Datensicherheit Teil der Rechenschaftspflicht gemäß Art. 5 Abs.2 DSGVO werden kann und dabei die Bedeutung von Zertifizierungsregeln zunehmen wird. Damit wird in Zukunft insbesondere die Bedeutung von Informationssicherheits-Managementsysteme (ISMS) zunehmen. Durch solche Systeme werden Prozesse und Richtlinien (technischer und nicht-technischer Art) in Unternehmen etabliert, um die Datensicherheit zu gewährleisten. Vor allem werden ständige Kontrollen und daraus abgeleitete Verbesserungsvorschläge etabliert. Ein ISMS stellen damit quasi sowohl die Umsetzung eines Teiles der Erstellung einer Risikoprognose als auch eine Umsetzung der „technischen und organisatorischen Maßnahmen“ dar. Ein weiterer Vorteil der Implementierung eines groß angelegten ISMS ist eine (wahrscheinliche) Zertifizierung nach der ISO 27001. Diese Norm der Internationalen Organisation von Normierung, die auch als DIN-Norm veröffentlicht ist, enthält u.a. Vorgaben zur Datensicherheit für verschiedene Organisationen. Die Erfüllung ihrer Voraussetzungen und damit verbundene Zertifizierung gewährleistet dann unter Umständen den Nachweis an die Anforderungen des Art. 32 DSGVO (v.a auch die Evaluationspflicht gemäß Art. 32 lit d.) und verhindert somit die hohen Bußgelder, die die DSGVO gemäß Art. 83ff. für Verstöße gegen die Vorgaben zur Informationssicherheit androht.  Bisher ungeklärt und durch die Rechtsprechung zu klären ist, ob Art. 32 DSGVO die Implementierung eines ISMS ausdrücklich verlangt oder dessen Vorgaben auch auf anderem Wege umsetzbar sind. Jedenfalls deutet die Zertifizierungspflicht des Art. 32 Abs.2 DSGVO unter Verweis auf Artikel 42 DSGVO auf die Möglichkeit der Umsetzung der Vorgaben des Art. 32 durch ISMS und ISO 27001 hin.

Handlungsempfehlung für Unternehmen

Sollten sich Unternehmen für die Implementierung eines ISMS entscheiden, ist es empfehlenswert nicht nur personenbezogene Daten, sondern alle vorhandenen Informationen zu schützen, unabhängig davon ob es sich um personenbezogene Daten handelt (Datenschutz) oder nicht (Datensicherheit, die auch unabhängig davon eingreift, ob die Daten analog oder digital vorliegen). Umfassende ISMS und die ISO 27001 können daher im Idealfall dem Schutz der Informationssicherheit dienen und damit z.B. auch unternehmerisches Know-How vor unbefugtem Zugriff schützen.

Unternehmen sollten nach umfassender Abwägung der Kosten und Vorteile über die Implementierung eines ISMS nachdenken, zumal zum einen die Möglichkeit besteht, dass Art. 32 dahingehend ausgelegt wird, dass ein ISMS zwingend zu implementieren ist und zum anderen andere Gesetze (bspw. das Aktiengesetz und das IT-Sicherheitsgesetz) bereits jetzt eine solche Implementierung verlangen

Die Zertifizierung von ISMS (z.B nach der ISO 27001) kann zudem das Haftungsrisiko und die Höhe möglicher Strafzahlungen minimieren. Insbesondere Unternehmen, die die Anforderungen an Privacy by Design und Privacy by Default, die dem Datenschutz vor Beginn der eigentlichen Datenverarbeitung bereits Rechnung tragen (s. dazu Artikel vom….) umzusetzen haben, können ISMS als Fortführung dieses technischen Datenschutzes verstehen, nachdem es bereits zur Datenverarbeitung gekommen ist.

Zur Erfüllung der Voraussetzungen an die Informations- Daten, und IT-Sicherheit können Unternehmen zusätzlich auf den kürzlich veröffentlichen, zweiseitigen und äußerst übersichtlichen Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht als Leitlinie zurückgreifen. Dieser bietet zudem eine Checkliste für die Einhaltung weiterer Voraussetzungen der Datenschutzgrundverordnung (z.B. die Wahrung der Betroffenenrechte und Transparenzvorschriften). Insbesondere ein Jahr vor Inkrafttreten der EU-DSGVO ist es Unternehmen sehr zu empfehlen, bereits jetzt ihre Strukturen entsprechend anzupassen, um durch ggf. erforderliche Anpassungsschwierigkeiten keine Bußgelder zu riskieren.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.