WLAN-Störerhaftung adé?! Was Sie über das BGH-Urteil wissen müssen

Lange Zeit war in Deutschland umstritten, ob die sogenannte Störerhaftung weiter Bestand haben wird, wenn innerhalb eines offenen WLANs Urheberrechtsverletzungen begangen werden. Nach diesem Prinzip haftet der Betreiber einer Gefahrenquelle, wenn sich eine Gefahr tatsächlich durch die Handlung eines unbekannten Dritten verwirklicht und dieser nicht mehr ermittelt werden kann. Haftungsgrund ist also einzig das Betreiben einer Gefahrenquelle und nicht die eigentlich rechtswidrige Handlung.

Klassischer Anwendungsfall in Bezug auf das Urheberrecht ist das Betreiben offener, nicht passwortgeschützter WLANs (oder die Bekanntgabe des Passwortes an eine große Zahl von Menschen, ohne deren Überprüfung, etwa in Restaurants). Die daraus hervorgehenden Urheberrechtsverletzungen durch Nutzer des Netzwerkes, die etwa illegal urheberechtlich geschützte Musik-Dateien zum (kostenlosen) Download auf sog. Filesharing-Plattformen anbieten, ruft häufig die Störerhaftung hervor.

Weil die Haftung der WLAN-Betreiber zunehmend als ungerechtfertigte Ausdehnung ihrer Verantwortlichkeit kritisiert wurde und die Zahl offener WLANs in Deutschland abnahm, änderte der Gesetzgeber mit der 3. Novelle des Telemediengesetzes (TMG) im Jahr 2017 § 8 TMG. Deutschland hinke nach Ansicht der Regierung im Vergleich zu anderen Ländern beim Ausbau öffentlicher WLAN-Netzte deutlich hinterher. Dadurch würde die Chancengleichheit beim Zugriff auf Informationen gemindert, zudem verliere der Wirtschaftsstandort Deutschland an Attraktivität.

Nach der Gesetzesänderung haften „Diensteanbieter“, dazu zählen ausdrücklich auch Betreiber von WLANs, nicht für Rechtverletzungen durch Dritte. Sie können also nicht auf Schadensersatz, Beseitigung oder Unterlassung in Anspruch genommen werden. Auch außergerichtliche Kosten und damit Abmahnkosten können nicht gegen den WLAN-Betreiber geltend gemacht werden. Diese Regelung gilt nur dann nicht, wenn der WLAN-Betreiber selbst an der Rechtsverletzung beteiligt ist, also selbst rechtswidrig urheberrechtlich geschützte Werke zum Download anbietet.

Der BGH bestätigte in seinem Urteil vom 26. Juli 2018 – I ZR 64/17 diese Auslegung des § 8 TMG. Er erklärte, dass Unterlassungsansprüche gegen Betreiber offener WLANs im Falle illegalen Filesharings unzulässig sind. Der Inhaber der Urheberrechte könne seine Ansprüche bei Unauffindbarkeit des Verantwortlichen nicht gegen den WLAN-Betreiber geltend machen. Dies gelte unabhängig davon, ob der Betreiber das WLAN privat oder als Unternehmen anbietet. Im konkreten Fall ging es um den Betreiber eines Hotspots, der u.a. ein Tor-Exit-Node eingerichtet hatte, um gerade eine anonyme WLAN-Nutzung zu ermöglichen. Ein anonymer Nutzer nutzte diesen WLAN-Zugang für illegales Filesharing, indem er das Computer-Spiel „Dead Island“ zum Download anbot. Die Rechteinhaber klagten daraufhin gegen den WLAN-Betreiber auf Unterlassung.

Zudem bestätigte der BGH in seinem Urteil, dass § 8 Abs. 1 S. 2 TMG, der die WLAN-Betreiber vor Ansprüchen der Rechteinhaber schützt, nicht im Widerspruch zum Recht der Europäischen Union steht. Zwar seien die EU-Mitgliedstaaten nach der Richtlinie 2001/29/EG verpflichtet, zum Schutz der Rechteinhaber gerichtlicher Anordnungen (z.B. auf Unterlassung) zu ermöglichen, wenn Dienste zu Urheberrechtsverletzungen genutzt werden. Diese Möglichkeit werde jedoch durch einen Sperranspruch nach § 7 Abs. 4 TMG ausreichend gewährleistet. Dieser Anspruch erlaubt es dem Rechteinhaber vom Betreiber des WLANs zu verlangen, bestimmte Seiten, also v.a. Filesharing-Plattformen, zu sperren.

Der Sperranspruch sei aber nur dann zulässig, so der BGH, wenn die Urheberrechtsverletzung bereits stattgefunden habe und eine Wiederholung drohe. Zudem dürfe die Sperrung „nicht unverhältnismäßig“ sein und müsse dem WLAN-Betreiber „zumutbar“ sein. Offen lässt der BGH dabei allerdings, was unter „verhältnismäßig“ und „zumutbar“ zu verstehen ist. Gerade von dieser Auslegung hängt allerdings ab, ob § 7 Abs. 4 TMG wirklich ein europarechtskonformer Ausgleich für die Interessen der Inhaber der Urheberrechte ist, die durch § 8 TMG erheblich beeinträchtigt werden.

Zusammenfassend ist dem BGH zugute zu halten, dass er versucht, Klarheit in eine lange umstrittene Rechtsfrage zur Störerhaftung zu bringen. Allerdings war der europäische und deutsche Gesetzgeber stets darum bemüht, auch die Interessen der Rechteinhaber zu schützen. Es ist fraglich, ob der BGH diesem Ziel vor dem Hintergrund des Europarechts ausreichend Rechnung getragen hat.

Influencer-Marketing: Abmahnungen, Urteile & Co. zu Recht?

Das Thema Influencer-Marketing ist in der letzten Zeit wieder besonders aktuell geworden. Die richtige Kennzeichnung von Werbung durch Influencer auf Social-Media-Plattformen beschäftigt Verbände, Gerichte und natürlich die Social-Media-Community.

Aktuelle Entwicklungen

In den letzten Tagen sind die Fälle unter anderem von Vreni Frost, Louisa Dellert und Kimberly Devlin-Mania publik geworden, die allesamt aus sehr zweifelhaften Gründen für angebliche „Schleichwerbe-Postings“ auf Instagram vom „Verband Sozialer Wettbewerb“abgemahnt wurden, weil Posts nach der – sehr gewagten – Ansicht des VSW bezahlt gewesen seien sollen und daher als Werbung gegenzeichnet hätten werden müssen. Tatsächlich hat das Landgericht Berlin in einer Entscheidung (Az.: 52 O 101/18) zu einem Verfahren auf Erlass einer einstweiligen Verfügung in Sachen Vreni Frost die Ansicht des Verbandes bestätigt, obwohl die Influencerin – recht glaubhaft – versicherte, dass es sich jeweils um keine kennzeichnungspflichtigen Partnerschaften gehandelt habe..

Wann muss gekennzeichnet werden?

Nach Ansicht des Gerichts habe Vreni Frost im geschäftlichen Verkehr gehandelt und sei somit entsprechend kennzeichnungspflichtig. Grund dafür seien die 50.000 Follower und die Geschäftsanschrift in einer Werbeagentur. Das Gericht musste allerdings zugeben, dass Vreni Frost keine Vorteile von den erwähnten Herstellern erhalten habe.

Tatsächlich muss nur das gekennzeichnet werden, was tatsächlich auch bezahlt ist oder wo der Inhalt wirtschaftlich motiviert ist, wo also eine Gegenleistung für einen bestimmten Inhalt geflossen ist. Völlig egal ist es, ob das Geld oder Sachleistungen sind, solange sich das werbetreibende Unternehmen ein Posting „einkauft“. Deshalb ist aber auch vollkommen unbedenklich, was eine echte Meinung darstellt und gerade nicht wirtschaftlich motiviert ist.

Ein Beispiel: Reiseblogger, die eine Übernachtung umsonst bekommen, um über Hotels schönen Instagram-Content zu posten oder sich dort zu markieren, erhalten, na klar, eine wirtschaftliche Gegenleistung für die Posts oder Markierungen – also kennzeichnungspflichtig. Genießt er hingegen schlicht die Nacht in einem schönen Hotel, hat selbst bezahlt und keine Gegenleistung erhalten und empfiehlt das Hotel trotzdem seinen Followern, stellt das keinen kennzeichnungspflichtigen Content dar.

Die klare Abgrenzung kann im Einzelfall schwierig sein. Aber als Eselsbrücke hilft: Bekomme ich etwas (Geld oder einen wirtschaftlichen Vorteil) ist es kennzeichnungspflichtig – mache ich etwas freiwillig, aus freien Stücken, ohne wirtschaftliche Motivation sowie ohne Anweisung, ist es regelmäßig unbedenklich.

Wie sähe eine richtige Kennzeichnung aus?

Eine richtige Kennzeichnung ist transparent und sieht deshalb so aus, dass die jeweiligen Adressaten die Werbung auch als solche erkennen können. Bei der Kennzeichnungspflicht kommt es deshalb auch immer darauf an, wie der Adressat den Content verstehen konnte, als Werbung oder redaktionelle Meinungsäußerung.

Laut Bundesgerichtshof (Urteil v. 06.02.2014, I ZR 2/11 – GOOD NEWS II) soll die Bezeichnung#sponsored by nicht ausreichen, da User daraus nicht die werbliche Motivation entnehmen könnten. Fraglich ist, ob diese Begründung mit Blick auf die Adressaten, die mit Anglizismen des Internets aufwachsen, wirklich zeitgemäß ist.

Gleichwohl gilt für die Kennzeichnung von Werbung der Grundsatz: Je klarer, desto sicherer. Daher bieten sich natürlich ganz klare Begriffe wie Werbung, Anzeigeo der Werbeanzeige an, zumal diese von den Gerichten bisher kaum beanstandet wurden.

Ausblick und Fazit

Auch wenn die Gerichtsentscheidungen und teils unverständliche Berichterstattung (auch einiger Anwälte) für reichlich Wirbel gesorgt haben, ist noch nicht aller Tage Abend. Insbesondere wurden von den Gerichten im einstweiligen Verfügungsverfahren keine abschließenden Bewertungen vorgenommen.

Die Angriffe des „Verband Sozialer Wettbewerb“ dürften aus unserer Sicht einer gerichtlichen Überprüfung im Hauptverfahren nicht standhalten. Wenn man sich die rechtlichen Voraussetzungen schlicht näher ansieht und sie auf diese Fälle überträgt, wird man nach den derzeit öffentlich bekannten Informationen aller Wahrscheinlichkeit nach nicht von Verstößen gegen die Kennzeichnungspflicht ausgehen können. Im Gegenteil könnte man schon überlegen, ob die Angriffe nicht selbst vielleicht missbräuchlich wären.

Es bleibt abzuwarten, ob sich die Urteile der Gerichte an das Zielpublikum von Influencern anpassen und die Anforderungen dementsprechend etwas „gelockert“ werden. In der Szene weithin bekannte Begriffe wie #Ad und #Sponsoredby könnten durchaus die Anforderungen an die Kennzeichnungspflicht erfüllen.

Denkbar wäre auch ein gemeinsames Regelwerk über alle Bundesländer hinweg, das mit Sicherheit für mehr „Ruhe“ und einen genaueren Durchblick sorgen würde: Wünschenswert wäre eine Zusammenführung der unterschiedlichen Regelungen in eine, sowie eine sprachliche Vereinfachung. Denn die Unsicherheiten bestehen eher aus der Vielzahl und Unverständlichkeit der Regelungen selbst als aus dem Regelungsinhalt.

Klar ist: Influencer-Marketing wird Abmahner und Gerichte auch zukünftig beschäftigen.
UPDATE lesen: Influencer Marketing: Rechtliche Herausforderungen und To-dos

Gerade deshalb ist es auch insbesondere für Werbe- und Online-Marketing-Agenturen mehr denn je wichtig, zur Absicherung die essentiellen Bestandteile des Influencer-Marketings auch in entsprechenden Verträgen festzuhalten.

Bleibt das Kunsturhebergesetz (KUG) neben der DSGVO anwendbar?

Der Bundesgerichtshof (BGH) hat entschieden, dass die §§ 22 und 23 des Kunsturhebergesetzes (KUG) in bestimmten Konstellationen neben der Datenschutz-Grundverordnung (DSGVO) Anwendung finden.

In seinem Urteil vom 7. Juli 2020 (Az.: VI ZR 246/19) stellte er klar, dass dies seiner Ansicht nach jedenfalls für die Veröffentlichung von Fotos im journalistischen Bereich gelte. Hier stehe die DSGVO der Anwendung der nationalen Normen des KUG nicht entgegen, da es sich um nationale Regelungen handele, die sich unter die Öffnungsklausel des Art. 85 Abs. 2 DSGVO fassen ließen. Die Rechtmäßigkeit der Veröffentlichung der Fotografien im journalistischen Bereich ist daher nach Ansicht des BGH lediglich an den Grundsätzen der §§ 22, 23 KUG und nicht an der DSGVO zu messen.

Mangels Entscheidungserheblichkeit hat der BGH in dem Urteil keine Aussage zur Anwendbarkeit der Vorschriften des KUG für die Veröffentlichung von Fotos getroffen, die nicht zu journalistischen Zwecken angefertigt wurden – gemeint sind insbesondere zu gewerblichen Zwecken angefertigte Fotografien, wie z. B. Werbe- oder Veranstaltungsfotografien.

Ob in Art. 85 Abs. 1 DSGVO eine eigenständige Öffnungsklausel zu sehen ist (siehe Volltext unten), ist somit weiterhin unklar. Bei der Abbildung von natürlichen Personen bleibt daher grundsätzlich die DSGVO anwendbar. Vor diesem Hintergrund erscheint es sinnvoll, die Wertungen des KUG in die nach
Art. 6 Abs. 1 S. 1 lit. f DSGVO erforderliche Interessenabwägung einfließen zu lassen – so verfahren beispielsweise die Landesbeauftragten für Datenschutz in Brandenburg und Thüringen. Sie kommen zu dem Schluss, dass jedenfalls bei Vorliegen eines der Ausnahmetatbestände des § 23 Abs. 1 KUG von einem Überwiegen der Interessen des Verantwortlichen ausgegangen werden könne. Fehlt es an einem überwiegenden Interesse, sei im Einklang mit § 23 Abs. 2 KUG eine Einwilligung des Betroffenen erforderlich.

Ginge man davon aus, dass es sich bei Art. 85 Abs. 1 DSGVO um eine Öffnungsklausel handelt (so z. B. der Deutsche Bundestag in seiner Stellungnahme WD 3 – 3000 – 156/18 vom 16. Mai 2018, und die Bundesregierung), wären die §§ 22, 23 KUG auch bei zu gewerblichen Zwecken angefertigten Fotografien anwendbar. Aufgrund der Möglichkeit hoher Bußgelder und Schadensersatzansprüche, sollte man sich darauf aber nicht verlassen, sondern abwarten, wie der BGH in Zukunft entscheiden wird.

Das erste Urteil zur Auslegung und Anwendung der DSGVO ist da und es betrifft sogleich eine viel diskutierte und interessante Frage: Bleibt das Kunsturhebergesetz (KUG) neben der DSGVO anwendbar? Laut OLG Köln (15 W 27/18): Ja – zum Teil.

Die Frage die sich nun stellt: Hat dieses Urteil Auswirkungen auf Öffentlichkeitsarbeit und Werbung von Unternehmen?

Das Recht am eigenen Bild: Ein besonderes Datenschutzproblem

Gern wird vergessen, dass es sich bei Abbildungen von natürlichen Personen um personenbezogene Daten im Sinne des Datenschutzrechts handelt. Durch die Anfertigung des Bildnisses (egal ob Foto, Zeichnung, Gemälde) einer Person wird diese identifizierbar, es entsteht ein personenbezogenes Datum, wodurch das Datenschutzrecht anwendbar ist. Damit gilt auch der nun weithin bekannte Grundsatz des „Verbotes mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung von Daten verboten ist, es sei denn, es liegt eine Einwilligung des Betroffenen vor oder einer der gesetzlich geregelten Erlaubnistatbestände (vgl. Art. 6 DSGVO) greift ein. Speziell für das Recht am eigenen Bild war vor Wirksamwerden der DSGVO der Umgang mit diesem Grundsatz im KUG geregelt.

Das KUG ging aufgrund der Subsidiaritätsklausel des § 1 Abs. 3 BDSG-alt und des Medienprivilegs, den allgemeinen, im BDSG normierten, Datenschutzregeln vor.

Die §§ 22, 23 KUG enthalten Vorschriften für die Veröffentlichung und Zurschaustellung von Personenbildnissen, wobei in § 22 S.1 KUG der Grundsatz des Verbots mit Erlaubnisvorbehalts aufgestellt wird. Wie auch die DSGVO erlaubt das KUG die Veröffentlichung und Zurschaustellung von Personenbildnissen nach erteilter Einwilligung des Abgebildeten oder bei Vorliegen eines der in § 23 KUG geregelten Erlaubnistatbeständen. Eine Einwilligung i.S.d. § 22 KUG soll bei Landschafts-, Versammlungs- oder bestimmten Kunstbildern und Bildnissen aus dem Bereich der Zeitgeschichte entbehrlich sein, sofern nicht ein berechtigtes Interesse des Abgebildeten entgegensteht. Insoweit muss vor der Veröffentlichung eine Abwägung der entgegenstehenden Interessen (Recht auf Privatsphäre/informationelle Selbstbestimmung des Abgebildeten mit der Meinungs- und Kommunikationsfreiheit des Abbildenden) vorgenommen werden.

Mit Wirksamwerden der DSGVO stellt sich nun die Frage, ob diese speziellen Regelungen des KUG weiterhin anwendbar sind?

Neues Verhältnis zwischen dem Recht am eigenen Bild und Datenschutzgesetzen

Der Rechtsnatur der DSGVO als europäische Verordnung, die Anwendungsvorrang vor nationalen Regelungen genießt, ist es geschuldet, dass das Verhältnis von Recht am eigenen Bild und den Datenschutzgesetzen neu justiert werden muss. Anders als das BDSG-alt enthält die DSGVO keine Subsidiaritätsklausel und erfasst somit grundsätzlich auch Materien, die im deutschen Recht bislang im Rahmen des Äußerungsrechts geregelt wurden.

Bei einer EU-Verordnung kommen den Mitgliedsstaaten, anders als bei der Umsetzung von Richtlinien, eigene Gestaltungsspielräume nur im Rahmen dafür vorgesehener Öffnungsklauseln zu. Eine solche Ausgestaltungskompetenz ergibt sich aus Art. 85 DSGVO. Nach Abs. 1 dieser Vorschrift bringen die Mitgliedsstaaten durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang. Das bedeutet, dass die Meinungs– und Informationsfreiheit nicht durch Vorschriften der DSGVO beeinträchtigt werden, sondern mittels nationaler Rechtsvorschriften ein gerechter Ausgleich zum informationellen Selbstbestimmungsrecht betroffener Personen gefunden werden soll.

In Art. 85 Abs. 2 wird den Mitgliedsstaaten ein Entscheidungsspielraum eingeräumt der für journalistische, wissenschaftliche, künstlerische und literarische Zwecke Abweichungen von der DSGVO erlaubt.

Mit der Frage, ob das KUG eine Vorschrift im Sinne des Art. 85 Abs. 1 DSGVO darstellt, hat sich das OLG Köln in seiner Entscheidung vom 18.06.2018 auseinandergesetzt.

OLG Köln: DSGVO hindert nicht die Anwendung des KUG

Zumindest im journalistischen Bereich. Das KUG sei laut OLG in diesem Bereich weiterhin anwendbar, da es eine, wie Art. 85 Abs. 2 DSGVO fordert, Herbeiführung der praktischen Konkordanz zwischen Datenschutz einerseits und Äußerungs- und Kommunikationsfreiheit andererseits vorsehe (§ 23 Abs. 2 KUG). Dies entspreche insbesondere dem Normzweck des Art. 85 DSGVO, einen zu befürchtenden Verstoß der DSGVO gegen die Meinungs- und Medienfreiheit zu vermeiden.

So weit, so gut.

Die Ausführungen des Gerichts kamen sicher nicht überraschend, da die Vereinbarkeit von §§ 22, 23 KUG mit Art. 85 DSGVO i.V.m. Erwägungsgrund 153 zur DSGVO für den journalistischen Bereich doch recht eindeutig erscheint.

Wesentlich interessanter bleibt die Frage: Wie wirkt sich das neue Verhältnis von Recht am eigenen Bild und Datenschutz auf Werbung mit Personenbildnissen und Öffentlichkeitsarbeit von Unternehmen aus? Das Gericht macht hierzu keine Ausführungen, sodass es insoweit der Auslegung des Gesetztestextes bedarf.

Verwendung von Bildnissen für Werbung und Öffentlichkeitsarbeit: DSGVO oder KUG?

Entscheidend für die Frage, ob sich die Verwendung von Bildnissen für Werbe- und Öffentlichkeitsarbeit von Unternehmen nach dem KUG richten können, hängt davon ab, ob die Öffnungsklausel des Art. 85 DSGVO solche Sachervehalte erfasst. Dem Wortlaut des Erwägungsgrundes 153 zur DSGVO nach soll sich Art. 85 Abs. 2 DSGVO also die Möglichkeit der Abweichung vom Verordnungstext, nur auf journalistische, wissenschaftliche, literarische oder künstlerische Zwecke beschränken. Eine Ausweitung auf andere Sachverhalte soll demnach nicht möglich sein. Für die Verwendung von Bildnissen für Werbe- und Öffentlichkeitsmaßnahmen von Unternehmen würde demnach das KUG von der DSGVO verdrängt. Die Einholung von Einwilligungen und die Anforderungen an Erlaubnistatbestände, insbesondere Interessenabwägungen, würden sich an Art. 6 und 7 DSGVO, statt an den §§ 22, 23 KUG messen lassen müssen.

Problematisch ist hierbei die entstehende Rechtsunsicherheit. Für die Anwendung von §§ 22, 23 KUG besteht eine über Jahre von BGH, EuGH und EGMR entwickelte Rechtsprechung, die zukünftig für den fraglichen Bereich nicht mehr anwendbar wäre. Es bräuchte wieder jahrelange Rechtsstreitigkeiten vor den höchsten deutschen und europäischen Gerichten, um eine der DSGVO entsprechende Rechtsprechung entstehen zu lassen.

Aus diesem Grund wäre alternativ denkbar, den Art. 85 Abs. 1 DSGVO als eigenständige Öffnungsklausel zu sehen.

Art. 85 Abs. 1 DSGVO fordert lediglich die Herstellung praktischer Konkordanz zwischen informationeller Selbstbestimmung und Meinungs- und Kommunikationsfreiheit. Wie genau dies zu geschehen hat beschreibt Abs. 1 nicht. Zwar sind auch hier die journalistischen, wissenschaftlichen, künstlerischen und literarischen Zwecke genannt. Allerdings ist diese Liste nicht abschließend. Demnach müsste es den Mitgliedsstaaten also möglich sein auch andere Zwecke, die für die Meinungs- und Informationsfreiheit von Bedeutung sind (wie z.B. Werbemaßnahmen), durch nationale Regelungen zu schützen, auch wenn sie nicht zu 100 % mit der DSGVO übereinstimmen. Wichtig ist der Einklang der Rechtsgüter. Gerade das KUG und das in dem Zusammenhang durch jahrelange Rechtsprechung entwickelte „case law“, könnte den Normzweck des Art. 85 Abs. 1 DSGVO erfüllen.

Im Ergebnis könnten sich Werbetreibende bei der Verwendung von Bildnissen nach den Regelungen des KUG richten.

Fazit

Unternehmen, die Bildnisse in Werbung und Öffentlichkeitsarbeit verwenden, sollten – solange es noch keine gegenteilige Rechtsprechung gibt – als Anforderungsprofil die Regelungen der DSGVO heranziehen. Dabei werden sich einzuholende Einwilligungen und Interessenabwägungen an den Art. 6, 7 DSGVO messen lassen müssen.

Bei allen Vorteilen, die die Interpretation des Art. 85 Abs. 1 DSGVO als eigenständige Öffnungsklausel bringt, wird hierüber abschließend nur der EuGH entscheiden können. Bis dahin werden die Ausführungen der Rechtsprechung zu den §§ 22, 23 KUG als Orientierungshilfe für die Veröffentlichung von Personenbildnissen, insbesondere für die Anforderungen an die Interessenabwägung i.R.d. Art. 6 Abs. 1 lit. f DSGVO, dienen.

Best Lawyers 2018: Neue Empfehlungen für unsere Anwälte!

Erneut wurden unsere Kollegen Kathrin Schürmann und Jan O. Baier von Handelsblatt und dem renommierten US-Verlag Best Lawyers empfohlen: Sie gehören zu Deutschlands besten Anwälten.

Zum vierten Mal wurde Rechtsanwältin und Partnerin Kathrin Schürmann von Best Lawyers und Handelsblatt im Bereich Gewerblicher Rechtsschutz gelistet.
Zuletzt wurde Kathrin Schürmann von The Legal 500 empfohlen und redaktionell hervorgehoben: „Die ‘sehr lösungsorientierte’ Kathrin Schürmann hat ein ‘sehr gutes rechtliches und technisches Verständnis’,  so The Legal 500.

Nachdem Jan O. Baier in 2018 bereits von Kanzleimonitor.de für den Bereich Medienrecht empfohlen wurde, kann er sich nun auch über die Nennung als einer von Deutschlands besten Anwälten von Best Lawyers und Handelsblatt im Bereich Urheber- und Medienrecht freuen.
Jan O. Baier ist Rechtsanwalt und Partner bei SCHÜRMANN ROSENTHAL DREYER Rechtsanwälte und berät überwiegend Mandanten aus den Bereichen E-Commerce, Technologie, Kommunikation und TV.

HANDELSBLATT und der US-Verlag best lawyers bringen jedes Jahr eine Liste von Deutschlands Top-Anwälten heraus, welche in einem Peer-to-Peer-Verfahren direkt von Branchen-Experten empfohlen werden.
Weitere Informationen zum Ranking finden Sie hier.

DSGVO gilt künftig auch im Europäischen Wirtschaftsraum (EWR)

Ab 20. Juli 2018 wird die Datenschutz-Grundverordnung (DSGVO) auch in den EWR-Staaten Norwegen, Liechtenstein und Island gelten. Der gemeinsame EWR-Ausschuss hat am 6. Juli 2018 die Übernahme der DSGVO in das EWR-Abkommen beschlossen.

Bei der DSGVO handelt es sich um eine EU-Norm, die grundsätzlich nur in den EU-Mitgliedsstaaten gilt. Durch das EWR-Abkommen von 1992 wurde der Europäische Binnenmarkt mit seinen Grundfreiheiten auf die drei Nicht-EU-Länder Norwegen, Liechtenstein und Island erweitert. Diese gemeinsame wirtschaftliche Zusammenarbeit war Hintergrund für den Beschluss des EWR-Ausschusses.

Nach Aussage der Regierung Liechtensteins soll die DSGVO, “Bürgern eine bessere Kontrolle über ihre Daten geben und Unternehmen von Wettbewerbsgleichheit in Europa profitieren […] lassen.“

EU-Urheberrechtsreform – Rückschritt für das (freie) Internet? UPDATE

Update 9. Juli 2018: EU-Parlament stimmt gegen umstrittene Reform des Urheberrechts

Die knappe Mehrheit(318 zu 278 Stimmen) der Abgeordneten des EU-Parlaments hat in der Abstimmung vom 05.07.2018 gegen die geplante Urheberrechtsreform gestimmt. Damit erteilten sie insbesondere den Artikeln über die Pflicht zur Verwendung von Upload-Filtern für Online-Plattformen (Art. 13) und dem Leistungsschutzrecht für Presseverlage (Art. 11) eine Absage.
Im September wird sich das EU-Parlament erneut mit der Richtlinie befassen und in dem Zuge Änderungen beschließen, oder den Entwurf komplett ablehnen. In diesem Falle wäre die Reform des Urheberrechts gescheitert.

Artikel vom 21.6.2018:

Die seit dem 25.05.2018 wirksame DSGVO hat EU-weit Unternehmen vor große Herausforderungen gestellt. Nun gesellt sich ein neues streitbares EU-Thema dazu: Die EU- Urheberrechtsreform. Der Rechtsausschuss hat bereits zugestimmt, in absehbarer Zeit (voraussichtlich im Juli) wird auch das gesamte EU-Parlament über den Entwurf abstimmen.

Was hat es mit der Reform auf sich und warum ist sie so streitbar?

Der Hintergrund
Die Diskussion über die EU-Urheberrechtsreform beruht auf einem Reformvorschlag der Kommission aus 2016. Das Urheberrecht soll an das digitale Zeitalter angepasst werden. Von den 24 Artikeln des Entwurfs stechen Artikel 3, 11 und 13 besonders hervor und leiteten die Diskussion über die Sinnhaftigkeit der Reform ein.

Artikel 3: Text- und Datamining
Laut dem Entwurf soll für Text- und Datamining, also das maschinelle Auslesen und Analysieren von Inhalten, eine verpflichtende Schranke eingeführt werden. Auf Basis dieser Schranke soll die Vervielfältigung und Entnahme von urheberechtlich geschützten Inhalten, soweit rechtmäßiger Zugang gegeben ist, zu For-schungszwecken auch ohne Einwilligung des Rechteinhabers möglich sein. Im Umkehrschluss bedeutet dies jedoch, dass die Technologie für kommerzielle Zwecke, etwa durch kommerzielle Forschungsorganisationen nur noch mit Zustimmung des Rechteinhabers möglich sein soll. Kritiker sehen die Gefahr, dass die öffentliche und private Forschung zu Big Data in Europa im Vergleich zu Ländern in denen diese Technik erlaubt ist (z.B. China, USA), verlangsamt wird.

Betroffen wäre insbesondere der zukunftsträchtige Bereich der KI-Technologien, die meist der Analyse von Big Data dienen.
Beispiel: Eine KI-Anwendung liest und analysiert für die Diagnose einer Krankheit tausende klinische Studien und Schriften zu den relevanten Symptomen. Sie schafft in kürzester Zeit wofür 100 Ärzte Jahre brauchen würden. Zukünftig müsste unter Umständen für jeden einzelnen Inhalt die Berechtigung eingeholt werden.

Artikel 11: Das Leistungsschutzrecht für Presseverleger
In Artikel 11 des Entwurfs wird Presseverlagen das Recht auf eine Lizenzgebühr zugesprochen, wenn Presseerzeugnisse öffentlich zugänglich gemacht werden. Streitig ist diese Regelung deshalb, weil dies nicht nur ganze Artikel, sondern auch Links betrifft, die zu den Presseerzeugnissen führen. In der Berichterstattung über dieses Thema wird deshalb häufig von einer „Linksteuer“ gesprochen.
Die Regelung bezüglich des Leistungsschutzrechts soll Presseverlage finanziell unterstützen, so die Befürworter. Das sei notwendig, da Presseverlage nicht wie Rundfunkanstalten durch Steuereinnahmen gefördert würden. Insbesondere im größtenteils kostenlosen Online-Bereich, seien sie auf Werbung angewiesen um sich finanzieren zu können. Es sei zu befürchten, dass Werbeeinnahmen eher auf Seiten der Anbieter liegen, die die Links zur Verfügung stellen, was sich nachteilig auf die Pressearbeit auswirke. Nur mit ausreichend finanziellen Mitteln könnten Verlage ihrer Aufgabe, an der öffentlichen Meinungsbildung mitzuwirken, tatsächlich nachkommen. In dem Sinne gehe es auch um Presse- und Meinungsfreiheit.
Die Diskussion über die Sinnhaftigkeit dieses Leistungsschutzrechtes ist allerdings nicht neu. In Deutschland ist dieses Schutzrecht bereits seit 2013 in § 87g UrhG geregelt und seitdem Gegenstand vieler politischer und juristischer Debatten.

Kritiker befürchten einen Angriff auf die Informationsfreiheit
Informationsfreiheit ist das Recht eines jeden, sich aus frei zugänglichen Quellen zu informieren. Dieses Recht wird durch das Leistungsschutzrecht nicht verhindert, allerdings erschwert. Der Vorteil des Internets ist, dass innerhalb kürzester Zeit durch das Anklicken und Teilen von Links, Informationen in großer Vielfalt abgerufen werden können. Nutzer können sich schnell einen Überblick über alle relevanten Veröffentlichungen zu aktuellen Themen verschaffen.

Folge der neuen Regelung wäre mit hoher Wahrscheinlichkeit, dass weniger Links geteilt werden. Es besteht die Gefahr, dass Verbraucher, aber auch Unternehmen, sich ihre Informationen selbst zusammensammeln müssen, mit der Folge, dass nur einseitige Informationen aufgenommen werden, was für die öffentliche Meinungsbildung abträglich wäre.

Artikel 13: Der „Upload-Filter“
Ebenso strittig wie der Vorschlag zum Leistungsschutzrecht ist die Regelung des Art. 13 im Entwuf zur Urheberrechtsreform. Dieser regelt eine Pflicht für Diensteanbieter, die das Hochladen von Inhalten ermöglichen (z.B. Youtube, Facebook), Maßnahmen zu ergreifen, die gewährleisten, dass diese Inhalte keine Urheberrechtsverletzungen enthalten. Kurz gesagt es soll ein sog. „Upload-Filter“ verwendet werden, der fragliche Inhalte sperrt.
Die Regelung bezweckt insbesondere den Schutz von Filmemachern, Musikern und Autoren. Grundidee des Urheberrechts ist, dass die Benutzung geschützter Werke zu unterlassen ist, solange keine entsprechende Lizenz erworben wurde, die zur Benutzung berechtigt. Da vielfach eine solche Lizenz nicht vorliegt, soll das geschützte Werk auch nicht verbreitet werden dürfen. Die Überprüfung der Inhalte erfolgt durch einen Algorithmus.
Es erscheint fraglich, die Entscheidung, ob eine Urheberrechtsverletzung vorliegt, einer (im Zweifel anfälligen) Software zu überlassen. Der Algorithmus entscheidet binnen Sekunden ohne eine menschliche Abwägung. Bei Zweifeln könnten Provider versucht sein, auch Inhalte zu löschen, die eigentlich legal hochgeladen wurden (z.B. geschützt durch Zitat-, Satire- oder Kunstfreiheit), um einer Haftung zu entgehen.

Wie sollten Privatpersonen und Unternehmen handeln?
Auch wenn einige Berichterstattungen bereits jetzt von einer „Entkernung“ des Internets sprechen, ist es hierfür sicher noch zu früh. Der Richtlinienentwurf steckt noch tief im europäischen Gesetzgebungsverfahren. Der nächste Schritt wäre die Verabschiedung einer Richtlinie, die von den Mitgliedsstaaten (meist innerhalb von 2 Jahren) in nationales Recht umgesetzt werden muss. In der Regel kommt den Mitgliedsstaaten für die Umsetzung von EU-Richtlinien ein Beurteilungsspielraum zu, d.h. die Richtlinie muss nicht 1:1 übernommen werden. Im Ergebnis könnte eine weit schwächere (oder aber strengere) Version des aktuellen Vorschlags in den deutschen Gesetzbüchern stehen. Bis dahin gilt die heutige Rechtslage – wer verlinkt, hochlädt und analysiert, sollte dies auch weiterhin tun.

Datenschutzerklärung nach der DSGVO – Was gilt es zu beachten?

Die neue Datenschutz-Grundverordnung verfolgt vor allem das Ziel größtmöglicher Transparenz bei der Verarbeitung personenbezogener Daten. Der Betroffene einer Datenverarbeitung soll immer leicht verständlich nachvollziehen können, was mit seinen Daten passiert. Eine Möglichkeit, dieses Transparenzgebot bei der Verarbeitung personenbezogener Daten umzusetzen, ist die Datenschutzerklärung. Seit dem 25. Mai 2018 hat diese dabei besonderen Anforderungen zu genügen, die auch der Umsetzung einiger Neuerungen durch die DSGVO dienen. Je nachdem auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt (Einwilligung, Interessenabwägung etc.) sind entsprechende Anpassungen in der Datenschutzerklärung erforderlich.

Datenschutzerklärung: Was muss sie enthalten?

Unternehmen sollten zunächst prüfen, ob ihre Datenschutzerklärung mindestens die folgenden Inhalte enthält:

– Name und Kontaktdaten des Verantwortlichen

– falls ein Datenschutzbeauftragter bestellt wurde, die Kontaktdaten des Datenschutzbeauftragten

– Zweck der jeweiligen Datenverarbeitung (für jede einzelne Datenverarbeitung gesondert)

–Dauer der Speicherung oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

– Rechtsgrundlage der Datenverarbeitung, ggf. Ergebnis der Interessenabwägung

– sofern die Datenverarbeitung gemäß Art. 6 Abs. (1) lit. f) DSGVO aufgrund berechtigter Interessen erfolgt, eine Spezifizierung der mit der Datenverarbeitung verfolgten berechtigten Interessen;

– Aufklärung über Empfänger oder Kategorien von Empfängern der Daten, v.a. wenn Server außerhalb der EU betroffen sind

–  Information des Betroffenen darüber ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte

– Aufklärung über Auskunftsrecht, Widerspruchsrecht, Recht auf Löschung (Recht auf Vergessenwerden), Recht auf Berichtigung, Recht auf Einschränkung der Datenverarbeitung und über das durch die DSGVO neu geschaffene Recht auf Datenübertragbarkeit, Recht auf jederzeitigen Widerruf der Einwilligung sowie das Recht zur Beschwerde bei der zuständigen Aufsichtsbehörde

– Quelle der Daten, falls diese nicht beim Betroffenen erhoben werden

– Unter Umständen: Detaillierte Übersicht über die durchgeführte Interessenabwägung (Bsp.: Für die Lieferung von Waren werden Kontakt- und Adressdaten des Kunden benötigt)

– eine ggf. bestehende Absicht des Verantwortlichen, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie in einem solchen Fall eine Information über das Bestehen eines Angemessenheitsbeschlusses der Kommission oder von geeigneten bzw. angemessenen Garantien sowie einer Information dazu, wo eine Kopie von diesen zu erhalten ist

– Informationen darüber, ob und inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht

Folgende Besonderheiten sind dabei zu berücksichtigen:

Kontaktdaten des Datenschutzbeauftragten: Wurde gemäß Artikel 37 DSGVO ein Datenschutzbeauftragter bestellt, so sind gemäß Artikel 13 Absatz (1) lit. b) sowie Artikel 37 Absatz (7) DSGVO die Kontaktdaten des Datenschutzbeauftragten anzugeben. Dazu gehört mindestens eine Anschrift und die Angabe von Daten, die eine elektronische Erreichbarkeit ermöglichen (wie die E-Mail-Adresse). Der Name des Datenschutzbeauftragten muss allerdings – anders als bei der Meldung eines Datenschutzvorfalls an die zuständige Aufsichtsbehörde gemäß Artikel 33 Absatz (3) lit. b) DSGVO sowie an die betroffenen Personen gemäß Artikel 34 Absatz (2) DSGVO – nicht genannt werden.

„Empfänger oder Kategorien von Empfängern“: In der Kommentar-Literatur wird darauf hingewiesen, dass „Empfänger“ oder „Kategorien“ von Empfängern als alternative Merkmale zu verstehen sind, die vor allem je nach Umsetzbarkeit anwendbar sind. So sind alle „Empfänger“ bei einer Veröffentlichung im Internet kaum zu benennen. In solchen Fällen sind Kategorien von Empfängern (User der Website) ausreichend. Ungeklärt ist wie mit Empfängern außerhalb der EU zu verfahren ist. Einerseits besteht besonders hier ein großes Aufklärungsinteresse des Betroffenen. Andererseits ist eine solche Aufklärung zum Teil schwer umzusetzen. Unternehmen ist hier zu raten, die Angaben über die Empfänger so genau wie möglich zu gestalten.

Interessenabwägung und Einwilligung: Wird die Verarbeitung von personenbezogenen Daten auf der Grundlage einer Abwägung zwischen den berechtigten Interessen von Unternehmen und den Rechten und Interessen des Betroffenen durchgeführt (Art. 6 Abs.(1) lit. f) DSGVO), so ist auch diese Abwägung in der Datenschutzerklärung darzustellen. Dabei genügt es nicht, wenn nur das berechtigte Interesse des Unternehmens (etwa Direktwerbung) genannt wird. Vielmehr ist auch die Abwägung selbst transparent dergestalt zu erklären, dass der Betroffene nachvollziehen kann, warum sein Interesse nachrangig und die Datenverarbeitung damit zulässig ist. Ist die Datenverarbeitung dagegen auf eine Einwilligung gestützt, so hat die Datenschutzerklärung einen deutlichen Verweis darauf zu enthalten, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufbar ist.

Quelle und Kategorien der Daten: Werden die Daten nicht beim Betroffenen selbst erhoben, so ist ihm zusätzlich zu den o.g. Informationen noch die Quelle der Daten und die Kategorien der verarbeiteten Daten zu benennen.

Wie muss die Datenschutzerklärung ausgestaltet sein?

Wichtigster Unterschied zur bisherigen Rechtslage sind die erhöhten Transparenz- und Informationsvorschriften nach der DSGVO.

Demgemäß sind die erforderlichen Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zugänglich zu machen.

Dabei lässt die DSGVO eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist auf die Verständlichkeit der Informationen zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast.

Entsprechend der neuen Beweislastregeln der DSGVO ist Unternehmen jedoch dringend anzuraten die entsprechenden Informationen schriftlich bzw. in Textform zu übermitteln (Dokumentationszweck).

Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung oder der vorherigen Einholung von Produktinformationen.

Insbesondere bezüglich der Betroffenenrechte verlangt die DSGVO, dass Unternehmen  Betroffene nicht nur über Ihre Datenschutzrechte aufklären, sondern auch intern Prozesse schaffen, die dem Betroffenen die Ausübung seiner Rechte (z.B. Datenlöschung) ermöglichen bzw. weitestgehend erleichtern.

MERKE:

• einfache, verständliche Sprache
• mündliche, schriftliche oder elektronische Mitteilung
• Dokumentation
• vor oder spätestens zu Beginn der Datenverarbeitung
• Prozesse zur Wahrung der Betroffenenrechte intern etablieren

Fazit: Unternehmen sollten auf eine transparente Einarbeitung der Mindestinhalte für Datenschutzerklärungen nach der DSGVO achten. Andernfalls riskieren sie hohe Bußgelder von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro.

Facebook-Fanpages adé?! Was ist dran am EuGH-Urteil?

Als ob Unternehmen mit der Umsetzung der DSGVO nicht schon genug zu tun hätten, stellt ein neues Urteil des Europäischen Gerichtshofs (EuGH)(Urt. v. 5.06.2018, Az. C-210/16) Unternehmen, die Online-Präsenzen auf sozialen Netzwerken wie Facebook betreiben, vor neue Herausforderungen. Der EuGH nimmt neben Facebook selbst nun auch Betreiber von Facebook-Fanseiten in die Pflicht und entschied, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trägt. Betreiber seien nämlich für die mittels Cookies von Facebook gesammelten Daten von Seitenbesuchern durch mögliche Auswertungen etc. an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten beteiligt, so der EuGH.

Das bedeutet unter anderem, dass Nutzer vom Fanpage-Betreiber selbst darüber zu informieren sind, dass ihre Daten erhoben und in welcher Form diese genutzt werden. Außerdem könnten Nutzer nun Ihre Betroffenenrechte unter Umständen nicht nur gegenüber dem sozialen Netzwerk, sondern auch gegen die Betreiber der Fanseiten selbst geltend machen.

EuGH: Verantwortlichkeit der Betreiber folgt aus der Nutzung der User-Daten

Auslöser für die Entscheidung des EuGH war ein seit 2011 anhängiger Rechtsstreit zwischen dem schleswig-holsteinischen Landeszentrum für Datenschutz (ULD) und der Wirtschaftsakademie Schleswig-Holstein. Das ULD hatte die Wirtschaftsakademie aufgefordert, ihre Facebook-Fanpage zu deaktivieren, da sie ihre Benutzer nicht auf die Verarbeitung der Nutzer-Daten hinwies. Als Begründung führte das ULD an, dass auch Betreiber von Facebook-Fanseiten für die Verarbeitung der Nutzerdaten verantwortlich seien. Dagegen klagte die Wirtschaftsakademie vor den Verwaltungsgerichten. In den ersten verwaltungsgerichtlichen Instanzen konnte sich die Auffassung des ULD nicht durchsetzen. Laut den Gerichten sei nur Facebook allein für die Verarbeitung verantwortlich.

Diese Auffassung hat der EuGH im Rahmen eines Vorabentscheidungsverfahrens verworfen. Ein Betreiber erhalte von Facebook bestimmte personenbezogene Daten zu Lebensstil und Interessen der Nutzer, “die ihn darüber informieren wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten“ (Pressemitteilung des EuGH). Diese Entscheidungsmöglichkeit der Betreiber über die Daten der Nutzer mache sie laut EuGH zu Verantwortlichen im Sinne des Datenschutzrechts.

Was muss ich als Fanpage-Betreiber beachten?

Das Urteil muss zunächst durch die deutschen Gerichte umgesetzt werden. Trotzdem sollten sich Betreiber schon jetzt über die bestehenden Optionen Gedanken machen. So könnte abgewartet werden, wie Facebook auf das Urteil reagiert, den Fanseiten-Betreibern eventuell entgegenkommt und betroffene Nutzer von sich aus informiert.

Die Abschaltung der Fanseite wäre eine sichere (wenn auch sehr unattraktive) Lösung. Hier muss abgewogen werden, ob dies nicht zu große wirtschaftliche Nachteile mit sich bringt.

In jedem Fall sollte in den eigenen Datenschutzerklärungen über die Verarbeitung von Nutzerdaten aufgeklärt werden, sonst liegt ein Datenschutzverstoß vor. Ein einfacher Hinweis auf die Datenschutzerklärung von Facebook ist riskant, denn die ist teilweise sehr intransparent.

Urteil mit Ausstrahlungskraft

Das Urteil des EuGH wird in der Praxis weitreichende Auswirkungen auf Betreiber von Websites haben. „Insgesamt hat die Entscheidung das Potenzial, eine massive Veränderung bei der Nutzung von Analyse-Tools im Internet zu bewirken. Das hat Schatten und Licht. Der Schutz der betroffenen Personen wird verbessert, aber die Nutzer solcher Anwendungen vor nicht leicht und schnell lösbare Herausforderungen gestellt.“, sagte Dr. Kai-Uwe Loser, Vorstand des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V. nach dem EuGH-Urteil. https://www.bvdnet.de/presse/fanpage-urteil-ist-meilenstein-fuer-online-verantwortung/

Nicht nur Facebook Fanseiten-Betreiber, sondern auch Anwender von Tracking-Tools und Social Media Plugins werden sich mit dem Urteil auseinandersetzen müssen. Wir werden weiter berichten.

Das BDSG-neu: Was ist wirklich neu und was bleibt?

Seit dem 25.05.2018 gilt die DSGVO. Ihr wesentliches Ziel besteht darin, den Datenschutz in Europa einheitlich zu regeln. Dennoch enthält die DSGVO an einigen Stellen sog. Öffnungsklauseln, die es den Mitgliedstaaten ermöglichen, bestimmte genau festgelegte Bereiche zu „spezifizieren“. Von dieser Möglichkeit hat der deutsche Gesetzgeber mit der Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) Gebrauch gemacht. Trotz der generellen Ermöglichung von „spezifischeren“ Regelungen bleibt es zum Teil unklar, ob es sich bei den Regelungen des BDSG-neu wirklich noch um „spezifischere“ Regelungen handelt, oder ob bereits Verstöße gegen die DSGVO vorliegen. Die wichtigsten Bereiche, in denen das BDSG-neu Neuerungen im Vergleich zur bisherigen Rechtslage enthält, sind der Beschäftigtendatenschutz, die Bestellung eines Datenschutzbeauftragten und Straf- und Bußgeldregelungen.

Enthält das BDSG-neu eine Regelung für das Verhältnis zur DSGVO?

Das BDSG-neu regelt in § 1 Abs.5, dass die Vorschriften des BDSG keine Anwendung finden, soweit die DSGVO bereits eine entsprechende Regelung enthält. Für Unternehmen bedeutet dies in der Praxis, dass sie in Zweifelsfällen prüfen müssten, ob ein Sachverhalt bereits umfassend von der DSGVO geregelt ist oder ob ergänzend die Vorschriften des BDSG-neu herangezogen werden können. Diese Regelung kann in Einzelfällen zu einer erheblichen Rechtsunsicherheit führen, da es grundsätzlich den Gerichten überlassen sein muss, über die Reichweite der DSGVO zu befinden. In Zweifelsfällen sollten Unternehmen daher dringend rechtlichen Rat einholen.

Beschäftigtendatenschutz

• 26 BDSG-neu regelt die „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“. Wichtigste Neuerung ist, dass personenbezogene Daten auch dann verarbeitet werden dürfen, wenn sie „zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich“ sind. Daraus folgt, dass selbst bei gesetzlicher oder tarifvertraglicher Grundlage, eine Verhältnismäßigkeitsprüfungdurchzuführen ist. Es muss immer geprüft werden, ob der vom Unternehmen im Kontext des Beschäftigungsverhältnisses angestrebte Zweck nicht auch ohne Verarbeitung personenbezogener Daten erreicht werden kann. Zudem ist die Datenverarbeitung auf der Grundlage einer Kollektivvereinbarung nunmehr ausdrücklich zulässig.
• 26 Abs.2 BDSG-neu regelt, dass bei Einwilligungen stets der Grundsatz der Freiwilligkeitzu berücksichtigen ist. Diese grundsätzlich auch aus der DSGVO bekannte Regelung verdient im Beschäftigungskontext deshalb besondere Aufmerksamkeit, weil Arbeitnehmer in der Regel in einem Abhängigkeitsverhältnis gegenüber dem Arbeitgeber stehen. Deshalb gibt § 26 Abs.2 eine Auslegungsrichtlinie vor und nimmt Freiwilligkeit etwa dann an, wenn für den Beschäftigten rechtliche oder wirtschaftliche Vorteile aus der Einwilligung folgen oder der Beschäftigte und der Arbeitgeber gleiche Interessen verfolgen. Zudem verlangt § 26 Abs.2 BDSG grundsätzlich die Schriftform für die Einwilligung in Beschäftigungsverhältnissen. Nach wie vor ist darauf zu achten, dass bei der Einwilligung in die Verarbeitung von besonders schutzwürdigen personenbezogenen Daten (wie Gesundheitsdaten), die Einwilligung ausdrücklich auf diese Daten bezogen sein muss.

Unklar bleibt, wie die Regelung des § 26 Abs. 8 BDSG neu zu verstehen ist. Darin wird der Begriff des Beschäftigten definiert. Dazu gehören nach dem BDSG-neu neben Arbeitnehmern etwa auch Leiharbeiter und Freiwilligendienstleistende. Eine solche Definition fehlt in der DSGVO. Fraglich ist, ob darin noch eine „Spezifizierung“ gesehen werden kann oder ob der deutsche Gesetzgeber über die Grenzen der Öffnungsklausel hinausgegangen ist. Von der Definition des Beschäftigten hängt in erheblichem Maße ab, ob die strengen Vorschriften des Beschäftigtendatenschutzes Anwendung finden oder nicht. An dieser Stelle ist eine Klarstellung durch die Rechtsprechung angezeigt.

Datenschutzbeauftragter

Das BDSG-neu regelt, wann Unternehmen einen Datenschutzbeauftragten bestellen müssen. Insoweit besteht Klarheit darüber, dass der nationale Gesetzgeber sich im Rahmen der Öffnungsklausel der DSGVO bewegt.

Die DSGVO schreibt vor, dass ein Datenschutzbeauftragter grundsätzlich dann zu bestellen ist, wenn mindestens 10 Personen mit der Verarbeitung personenbezogener Daten im Unternehmen betraut sind. Das BDSG-neu verlangt darüber hinaus auch dann die Bestellung eines Datenschutzbeauftragten, wenn der Verantwortliche oder sein Auftragsverarbeiter einer Tätigkeit nachgehen, die eine Datenschutz-Folgenabschätzung gemäß § 35 DSGVO erforderlich macht, also vor allem dann, wenn ein besonders hohes Risiko für den Betroffenen besteht bzw. besonders sensible Daten, wie Gesundheitsdaten verarbeitet werden. In diesem Fall hat die Bestellung unabhängig von der Anzahl der Mitarbeiter, die personenbezogene Daten verarbeiten, zu erfolgen. Gleiches gilt, wenn geschäftsmäßig anonymisierte Daten (etwa zu Werbezwecken) verkauft werden oder das Unternehmen sich im Bereich der Markt- und Meinungsforschung betätigt. Obwohl die Bestellpflicht für Datenschutzbeauftragte nach der DSGVO und dem BDSG-neu häufig zusammenfällt, kann es auch Fälle geben, in denen sich die Bestellpflicht nicht bereits aus Art. 37 DSGVO ergibt. Dies gilt etwa für Fälle, in denen zwar nicht die Kerntätigkeit des Unternehmens in der Verarbeitung besonderer Kategorien personenbezogener Daten besteht (Art. 37 Abs. 1 lit. c DSGVO), sehr wohl aber dennoch Gesundheitsdaten betroffen sind, etwa bei Überweisungen durch FinTechs an Ärzte oder Krankenkassen. In diesem Fall ergibt sich die Bestellpflicht erst aus dem BDSG-neu.

Die angesprochene Unklarheit über die Regelungsbefugnis des nationalen Gesetzgebers zeigt sich in Bezug auf den Kündigungsschutz des Datenschutzbeauftragten. Das BDSG-neu scheint eine Kündigung des Datenschutzbeauftragten „nur aus wichtigem Grund“ zuzulassen. Demgegenüber regelt die DSGVO, dass der Datenschutzbeauftrage „wegen der Erfüllung seiner Aufgaben“ nicht abberufen werden darf. Sollte der Kündigungsschutz nach der DSGVO geringer ausfallen als nach dem BDSG-neu, so wäre darin eine Kompetenzüberschreitung des nationalen Gesetzgebers zu sehen und die Regelung des BDSG-neu wäre unzulässig. Auch diese Frage ist von Gerichten zu klären.

Straf- und Bußgeldvorschriften

Wesentliche Neuerung im neuen Datenschutzrecht nach der DSGVO sind die deutlich erhöhten Bußgeldvorschriften. Auch das BDSG enthält eigene Bußgeldtatbestände, vor allem für Verstöße im Zusammenhang mit Informations- und Aufklärungspflichtengegenüber Darlehensgebern und Verbrauchern im Rahmen von Verbraucherkrediten.

Eine der wohl wichtigsten Regelungen innerhalb des BDSG-neu stellen die Strafvorschriften des § 42 dar. Während es der EU mangels Kompetenz grundsätzlich untersagt ist, Strafvorschriften zu verhängen, legt das BDSG-neu Freiheitsstrafen vor allem für die unrechtmäßige Verarbeitung und Erschleichung von Daten mit Bereicherungs- oder Schädigungsabsicht und die gewerbsmäßige Weitergabe personenbezogener Daten „in einer großen Zahl von Fällen“fest. Das BDSG-neu definiert nicht, wann eine „große Zahl von Fällen“ vorliegt.

Fazit

Das BDSG-neu ist Resultat der Öffnungsklauseln der DSGVO. Dennoch ist an einigen Stellen unklar, ob die Kompetenzverteilung zwischen EU und nationalem Gesetzgeber eingehalten wurde. Unternehmen sollten in Zweifelsfällen Rechtsrat einholen und darüber hinaus die Entwicklung der Rechtsprechung genau verfolgen.

DSGVO Last Minute: Das müssen Sie wissen

Lange Zeit wurde die DSGVO von vielen Unternehmen stiefmütterlich behandelt, aber trohnte dennoch wie ein Damoklesschwert über den Köpfen vieler Unternehmen. Seit dem Inkrafttreten der DSGVO vor zwei Jahren schien noch viel Zeit zu sein bis zur wirklichen Anwendung der DSGVO. Erst waren es noch zwei Jahre, dann noch ein Jahr, dann schon nur noch 10 Monate, dann sechs Monate bis zur Geltung der DSGVO. Diese Zeit ist nun zu Ende. Die DSGVO gilt ab dem 25. Mai 2018 und mit ihr die hohen Bußgelder. Auch wenn sich die DSGVO nicht gänzlich von der bisherigen datenschutzrechtlichen Lage in Deutschland unterscheidet, gehen mit ihr dennoch Veränderungen einher. Dies gilt vor allem für die Bereiche der Betroffenenrechte, des Verzeichnisses der Verarbeitungstätigen, der Grundsätze von Privacy by Design und Privacy by Default, des Mitarbeiterdatenschutzes, der Auftragsdatenverarbeitung und der Meldepflichten. Als übergeordnetes Thema lässt sich für die DSGVO der Transparenzgrundsatz erkennen. Alle wichtigen Bereiche, die durch die DSGVO reformiert werden, lassen spezielle Ausprägungen des Transparenzgebotes erkennen.

Betroffenenrechte – Transparente Information des Betroffenen

Die Betroffenenrechte der DSGVO enthalten keine vollständig neuen Regeln. So sind das Recht auf Vergessenwerden, das Widerspruchsrecht und das Recht auf Berichtigung dem BDSG ebenfalls bekannt. Wichtig ist, dass die DSGVO von Unternehmen technische Konzepte verlangt, die es ermöglichen, den Anträgen auf Berichtigung und Löschung (Vergessenwerden) sofort nachzukommen. Neu sind zudem die Transparenz- und Informationsvorschriften.

Vor allem die Informationspflichten gegenüber der betroffenen Person sind im Vergleich zum BDSG deutlich gestiegen. So regelt Art. 13 DSGVO, dass der betroffenen Person v.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (und gegebenenfalls sein Überwiegen gegenüber den Interessen des Betroffenen) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte mitgeteilt werden müssen. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Die Dokumentation der Umsetzung dieser Vorgaben, z.B in einer Datenschutzerklärung, ist dabei empfehlenswert. Verstöße gegen die Abwägungs- und Dokumentationspflichten sind nach der DSGVO mit hohen Bußgeldern bewehrt.

Eine wesentliche Neuerung stellt das Recht des Betroffenen auf Datenübertragbarkeit gemäß Art. 20 DSGVO dar. Dieses Recht wurde insbesondere im Hinblick auf die Nutzung sozialer Netzwerke geschaffen. Möchte ein Betroffener den Anbieter wechseln, so soll der Betroffene vom Erst-Anbieter seine Daten in einem gängigen, maschinenlesbaren und elektronischen Format erhalten, um sie auf den Zweitanbieter zu übertragen. Zudem hat der Betroffene das Recht, diese Übertragung vom Erst- auf den Zweitanbieter automatisch erfolgen zu lassen.  Durch das Recht auf Datenübertragbarkeit sollen Anbieterwechsel erleichtert, Monopolbildungen verhindert und der Wettbewerb verstärkt werden. Trotz seiner ursprünglichen Konzeption ist das Recht auf Datenübertragbarkeit nicht nur auf die Anbieter sozialer Medien beschränkt, sondern greift auch in anderen Bereichen.

Mitarbeiterdatenschutz – Transparenz nach innen

Vor allem HR-Mitarbeiter kommen durch die Verwertung von Bewerbungen und die Verwaltung von Arbeitsverträgen u.Ä. immer wieder in Kontakt mit personenbezogenen Daten. Die Schulung von HR-Mitarbeitern nach den Vorgaben der DSGVO ist daher essentiell. Datenpannen im Zusammenhang mit Mitarbeiter- oder Bewerberdaten können nicht nur die hohen Bußgelder der DSGVO, sondern auch erhebliche Reputationsschäden herbeiführen. Insbesondere HR-Manager müssen über den Umgang mit Löschpflichten (etwa nach Beendigung des Arbeitsverhältnisses, Ablehnung eines Bewerbers oder Ausübung von Betroffenenrechten) und im Umgang mit den o.g. Betroffenenrechten geschult werden. Zudem müssen HR-Mitarbeiter auch im Umgang mit besonders sensiblen personenbezogenen Daten gemäß Artikel 9 DSGVO, wie z.B. Gesundheitsdaten geschult werden. Da HR-Mitarbeiter oftmals die Aufgabe der Zusammenarbeit mit Datenschutzbeauftragten und Aufsichtsbehörden übernehmen, sollten sie auch insoweit informiert sein. Im Zusammenhang mit dem Beschäftigtendatenschutz ist zudem § 26 BDSG neu zu beachten, der eine Verarbeitung von Mitarbeiterdaten vor allem dann erlaubt, wenn sie der Begründung, Beendigung oder Durchführung eines Arbeitsverhältnisses dienen. Wird eine Einwilligung von Mitarbeitern in die Datenverarbeitung eingeholt, so muss dieses trotz des Abhängigkeitsverhältnisses von Arbeitnehmern, freiwillig erfolgen.
(Schulungs-Tipp: Datenschutz im Personalwesen E-Learning)

Auftragsverarbeiter – Transparente Aufgabenverteilung

Bedient sich ein Unternehmen Auftragsverarbeitern, so sind auch hierbei die Transparenz- und Informationsvorschriften der DSGVO zu berücksichtigen. Betroffenen muss mitgeteilt werden, wer die Auftragsverarbeiter sind und eine etwaige Einwilligung von Betroffenen in die Datenverarbeitung muss auf der Grundlage dieser Information ergehen. Die Information der Betroffenen sowie die Prozesse der Auftragsverarbeitung insgesamt sind genau zu dokumentieren. Insbesondere für Haftungsfragen ist es wichtig, welche Grenzen dem Auftragsverarbeiter gesetzt und welche Weisungen erteilt wurden. Bei der Einbindung von Auftragsverarbeitern ist neben den Dokumentationspflichten zudem auf genaue Haftungsregelungen- und Vereinbarungen zu achten, die Risikosphären abgrenzen und mögliche Regress-Möglichkeiten beinhalten. Dadurch kann das wirtschaftliche Risiko von Verstößen gegen die DSGVO durch Auftragsverarbeiter minimiert werden, da im Außenverhältnis grundsätzlich das Unternehmen haftet, das sich Auftragsverarbeitern bedient. Es wäre jedoch unbillig, wenn das Unternehmen allein die Kosten für Verstöße tragen müsste. Daher sollten Unternehmen darauf achten im Innenverhältnis gegen Auftragsdatenverarbeiter vorgehen zu können. Auch hierfür ist eine genaue Dokumentation der Weisungen erforderlich.

Datenpannen und Meldepflichten – Transparenz auch im Notfall

Bezüglich Datenpannen sind die unternehmensinternen Prozesse darauf zu überprüfen, ob Notfallsysteme existieren, die Mitarbeitern etwa darüber Auskunft geben wie Cyber-Angriffe technisch abzuwehren sind, wie die Meldepflichten gemäß Art. 33 und 34 DSGVO gegenüber Betroffenen und Aufsichtsbehörden umzusetzen sind, wenn es zu einem Datenverlust o.ä. kommt und welche Mitarbeiter des Unternehmens als Ansprechpartner dienen. Nach einer aktuellen Studie des Unternehmensverbands BitKom sind nur 4 von 10 Unternehmen mit einem Notfallsystem auf Cyber-Angriffe vorbereitet. Auch bezüglich Meldepflichten ist der Grundgedanke der DSGVO zur transparenter Information von Betroffenen und Aufsichtsbehörden mithin deutlich erkennbar.

Verzeichnis der Verarbeitungstätigkeiten – Transparente Dokumentation

Das Transparenzgebot dient unter anderem dem Zweck, den für die Datenverarbeitung Verantwortlichen im Falle von unrechtmäßigen Datenverarbeitungen oder sonstigen Verletzungen des Datenschutzes zur Rechenschaft ziehen zu können. Die DSGVO sieht für Unternehmen dementsprechend eine Rechenschaftspflicht vor. Einen Spezialfall zur Umsetzung der sog. Rechenschaftspflicht gemäß Art. 5 Abs.2 DSGVO stellt Art. 30 DSGVO bzw. die Anforderung zur Erstellung von Verzeichnissen der Verarbeitungstätigkeiten (VVT) dar. Artikel 30 Abs.1 DSGVO enthält eine Übersicht über den Mindestinhalt eines solchen Verzeichnisses. Demgemäß müssen mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten benannt werden. Weiterhin müssen Angaben zum Zweck der Datenverarbeitung, zu den Kategorien der verwendeten Daten, sowie zu Empfängern und möglichen Übermittlungen an Drittländer gemacht werden. Erstmals wird im Europäischen Datenschutzrecht in Artikel 30 Abs. 2 DSGVO eine entsprechende Pflicht auch für Auftragsdatenverarbeiter vorgeschrieben. Das VVT kann außerdem dazu dienen den neuen Beweislastregeln der DSGVO nachzukommen und die Einhaltung der DSGVO zu dokumentieren. Zudem sollten Löschfristen in dem VVT niedergelegt werden. Zwar enthält die DSGVO keine festen Löschfristen, jedoch gilt zum einen der Zweckbindungsgrundsatz, wonach Daten nur so lange verarbeitet werden dürfen, wie auch ein Zweck für die Verarbeitung besteht, zum anderen verlangt die Ausübung des Rechts auf Löschung eine „sofortige“ Löschung der Betroffenendaten. Die Einhaltung dieser Vorgaben kann durch die Niederlegung der Löschfristen im VVT dokumentiert werden.

Die DSGVO und die ePrivacy-Verordnung – Transparenz der zwei Geschwindigkeiten

Zeitgleich mit der DSGVO sollte die ePrivacy-Verordnung gelten und den Datenschutz für Fälle elektronischer Kommunikation regeln. Allerdings ist der Gesetzgebungsprozess ins Stocken geraten, sodass frühestens im Jahr 2019 mit einer Geltung der ePrivacy-Verordnung zu rechnen ist. Eine der wichtigsten Neuerungen innerhalb der ePrivacy-Verordnung ist die Regelung der Cookie-Nutzung durch ein verschärftes Koppelungsverbot. Demnach darf eine Website-Nutzung (etwa eines Nachrichtenportals) nicht mehr von der Einwilligung in Werbung mittels Cookies abhängig gemacht werden. Dadurch kann Werbetreibenden in Zukunft eine wesentliche Einnahmequelle entfallen. Website-Betreiber könnten gezwungen werden eine kostenfreie und durch Werbung finanzierte Version und eine kostenpflichtige Version ohne Werbung anzubieten, um das Koppelungsverbot zu umgehen. Der neueste Entwurf zur ePrivacy-Verordnung vom Rat der Europäischen Union vom 13.04.2018 scheint zumindest Auflockerungen bezüglich der Reichweiten- und Nutzerzahlmessung zuzulassen und damit die Interessen von Werbetreibenden besser zu berücksichtigen. Zudem enthält die ePrivacy-Verordnung Vorgaben über Cookie-Einstellungen in Browsern und leitet damit die Ablösung der Cookie-Banner ein.

Privacy by Design/Default – Transparenz durch Technik

Die DSGVO verlangt datenschutz- und privatsphärefreundliche technische Voreinstellungen. Der User soll bei der Nutzung von Websites und Browsern von vornherein auf Einstellungen zurückgreifen können, die sein Recht auf informationelle Selbstbestimmung im größtmöglichem Umfang schützen, ohne dass er entsprechende Häkchen, z.B. zum Ausschluss des Web-Trackings, selbst setzen muss. Dem Nutzer muss durch die Voreinstellungen auch deutlich werden, dass eine Veränderung der Einstellungen Auswirkungen auf den Datenschutz hat.

Fazit und Handlungsempfehlung

Die DSGVO steht vor der Haustür und wird nicht warten, ob sie hereingebeten wird. Unternehmen sollten ihre Prozesse nochmals darauf überprüfen ob sie den Vorgaben der DSGVO gerecht werden um die hohen Bußgelder in Höhe von 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro zu vermeiden.

Nach Anpassung der DSGVO – Gibt es inhaltliche Änderungen?

Die neue DSGVO, die am 25. Mai 2018 ihre Wirkung entfaltet, hat in der Vergangenheit bereits für einige Unsicherheiten in der praktischen Umsetzung gesorgt. Nun hat der Europäische Rat ein Corrigendum, also ein Änderungsdokument, veröffentlicht, welches den Zweck verfolgt, Rechtschreib- und Verweisfehler auszumerzen – durchaus zu später Stunde. Bei der Berichtigung bloß formaler Fehler der deutschen Sprachfassung ist es jedoch nicht geblieben, so scheint es zumindest.

Berichtigung lediglich formaler oder doch sogar inhaltlicher Natur?

Beispielsweise wurde der Erwägungsgrund 145 zur DSGVO – welcher die Klagemöglichkeiten einer betroffenen Person zum Gegenstand hat – dahingehend geändert, dass nunmehr das Gericht des Mitgliedstaats zuständig ist, in dem der Betroffene wohnt. Vor Änderung der DSGVO war lediglich der Aufenthaltsort maßgeblich. Diese Änderung erscheint mit Blick auf die leichtere Feststellbarkeit des Wohnorts durchaus begrüßenswert und dürfte in der zukünftigen Praxis keine negativen Folgen nach sich ziehen.

Eine Änderung scheint jedoch bei einigen Personen und Unternehmen Fragezeichen hervorzurufen:

Konkret geht es um den Art. 25 Abs. 2 S. 1 DSGVO, der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind.

Vor Änderung der DSGVO war die Rede von „[…] zu treffen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind.“. Es bestand also ein Regel-Ausnahme-Verhältnis, was bedeutet, dass unter gewissen Umständen auch nicht unbedingt erforderliche Daten verarbeitet werden durften.

Üblich ist beim Newsletter-Versand das Erfragen von Vor- oder sogar Nachnahme, um eine automatisierte, persönliche Ansprache zu ermöglichen. Diese Angaben sind zwar nicht notwendig, um einen Newsletter-Versand durchführen zu können, jedoch ist eine Verarbeitung zulässig, sofern es sich nicht um Pflichtangaben handelt. Als Pflichtangabe voreingestellt darf also nur die Mail-Adresse sein.

Sonstige zusätzliche Angaben sind also weiterhin möglich, wenn der Interessent unproblematisch einsehen kann, dass es sich um freiwillige Angaben handelt und die Anmeldung auch möglich ist, wenn nur die Mail-Adresse angegeben wird. Felder für freiwillige Angaben und Pflichtangaben unterscheiden sich ohnehin seit jeher dadurch, dass bei Letzteren ein Sternchen zu finden ist.

Beachtenswert ist auch, dass die englische Sprachfassung das Wort „grundsätzlich“ ohnehin nicht beinhaltet, was darauf schließen lässt, dass es sich tatsächlich nicht um eine inhaltliche Änderung, sondern um eine schlichte Berichtigung der deutschen Fassung handelt – wenn auch mit möglichen Folgen für die Praxis nicht nur im Rahmen von Mailinglisten oder dem Versand von Newslettern, sondern generell bei Online-Produkten, die auf eine personalisierte und automatisierte Kommunikation mit dem Kunden zugeschnitten sind.

Eine weitere erwähnenswerte Änderung ist die des Erwägungsgrundes 71. Vor Änderung lautete dieser:

„[…] und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung hat.“

Der Begriff „Maßnahme“ wurde nunmehr ersetzt durch „Verarbeitung“, was dem zentralen Begriff der deutschen Fassung der DSGVO entspricht. Die englische Fassung spricht von „measures“ – direkt ins Deutsche übersetzt also „Maßnahmen“. Somit erklärt sich auch der vorherige „Übersetzungsfehler“. Auswirkungen auf die Praxis dürfte diese Änderung jedoch nicht haben, auch wenn bereits die Semantik dieser beiden Begriffe diskutiert wird.[1]

Fazit

Bei näherer Betrachtung sind die Änderungen der DSGVO also gar nicht so fatal, wie auf dem ersten Blick. Dass ausgerechnet jetzt – kurz vor dem Stichtag – eine solche Änderung vorgenommen wird, bleibt aber weiterhin fragwürdig.

ePrivacy-Verordnung: Was sind die aktuellen Entwicklungen?

Ab dem 25. Mai 2018 findet die Datenschutz-Grundverordnung (DSGVO) Anwendung. Sie verfolgt unter anderem das Ziel, einheitliche Standards für den Datenschutz in Europa zu schaffen und den Datenschutz an den technischen Fortschritt anzupassen. Ergänzend dazu sollte ursprünglich ebenfalls am 25. Mai 2018 die sog. ePrivacy-Verordnung als Nachfolger der entsprechenden Richtlinie Anwendung finden. Bei dieser handelt es sich ebenfalls um einen EU-Rechtsakt, der unmittelbar in den Mitgliedstaaten gilt, ohne, dass er in nationales Recht umgesetzt werden muss. Die ePrivacy-Verordnung (ePVO) soll vor allem die Privatsphäre innerhalb des elektronischen Datenverkehrs schützen und dient damit dem Datenschutz in Fällen elektronischer Kommunikation. Im neuesten Vorschlag des Ratspräsidenten vom 13.04.2018 wurde in den Erwägungsgründen 2a, 2aa und 3 das Verhältnis zur DSGVO klargestellt. Erwägungsgründe dienen den Rechtsanwendern, die Vorschriften im Sinne des Gesetzgebers auszulegen. Die ePrivacy-Verordnung geht der Anwendung der DSGVO vor und erweitert den Anwendungsbereich auch auf juristische Personen im Bereich der elektronischen Kommunikation.

Wie wird die Cookie-Nutzung geregelt?
Bisher gilt in Deutschland gemäß § 15 Abs. 3 S. 1 des Telemediengesetzes (TMG) für die Verwendung von Cookies die sog. Opt-Out-Lösung, das heißt Unternehmen, die beim Aufrufen z.B. der eigenen Websites Cookies verwenden wollen, müssen Nutzer über die Verwendung von Cookies informieren und diesen die Möglichkeit geben, der Nutzung von Cookies zu widersprechen. Die Regelungen lassen sich auf die ePrivacy- und Cookie-Richtlinie zurückführen. Dies geschieht bisher in der Regel durch sog. „Cookie-Banner“, die beim Aufrufen entsprechender Websites eingeblendet werden. Da diese Regelung von der EU-Kommission für richtlinienkonform erklärt wurde, können Unternehmen bis 2018 entsprechend verfahren.
Auch wenn die Nutzer der Datenerhebung nicht widersprochen haben, ist es jedoch erforderlich, dass die Daten pseudonymisiert erhoben werden gem. § 15 Abs. 3 TMG. Das heißt vor allem, dass keine Rückschlüsse auf die Identität eines einzelnen Nutzers möglich sein dürfen. Ein Zusammenschluss zu Nutzergruppen zum Zwecke der Profilbildung bzw. für Marketingzwecke ist aber möglich, wenn der Nutzer nicht widerspricht. Will ein Unternehmen darüber hinaus Direktmarketing betreiben, so muss es die Einwilligung des Nutzers einholen.
Im jetzigen Vorschlag vom 13.04.2018 zur ePrivacy-Verordnung gibt es unter anderem eine Änderung des Artikel 16 von einer Erlaubnisnorm zu einer Verbotsnorm mit Erlaubnisvorbehalt. Daraus lässt sich ableiten, dass im Bereich des Direktmarketings strengere Regulierungen erfolgen sollen und Direktmarketing ohne die Einwilligung des Betroffenen nicht erfolgen soll.

Welche Rolle spielen Browser in der ePrivacy-Verordnung?
Die Regelung des Artikel 10 der ePrivacy-Verordnung, Vorschlag vom 13.04.2018, bezieht sich auf Software, die die elektronische Kommunikation, den Abruf und die Präsentation von Informationen im Internet erlaubt. Ein Browser ist ein typisches Beispiel für eine Software, die den genannten Zwecken dient.
Das Speichern von Cookies durch Browser wurde im jetzigen Vorschlag nochmals angepasst. Cookies sind kleine Textdateien, die vom Browser auf der Festplatte des Endgeräts gespeichert werden. Cookies werden bei erneutem Besuch der Website genutzt, um personalisierte Informationen zu übermitteln und einen individuell angepassten Inhalt von der Website zu erhalten. Da bei dieser Datenverarbeitung der Browser als Intermediär fungiert, sollen Softwarehersteller verpflichtet werden, bestimmte Einstellungsmöglichkeiten zur Privatsphäre und zum Cookie-Management bereitzuhalten. Jedoch werden sie im Vergleich zum vorherigen Vorschlag, vom 22.03.2018, von mehreren Verpflichtungen befreit. Es wird im Erwägungsgrund 23, des Vorschlags vom 13.04.2018, nicht mehr explizit von der Verpflichtung zu einer nutzerfreundlichen Voreinstellung nach dem Grundsatz data protection by design and default gesprochen. Es wird nur noch gefordert, dass die Möglichkeit bestehen muss, Einstellungen leicht erkennbar und verständlich zu ändern.
Entgegen der vorherigen Fassung vom 22.03.2018 ist eine intervallweise vorzunehmende Hinweispflicht auf die Privatsphäreneinstellung nicht mehr vorgesehen. Der Browseranbieter muss den Nutzer lediglich bei Installation oder erstmaliger Nutzung und bei jedem Update über die Privatsphäreneinstellungen informieren und den Nutzer durch die Privatsphäreneinstellungen leiten. Updates dürfen keine Veränderung der Privatsphäreneinstellungen bewirken und müssen den vorherigen Einstellungen des Nutzers entsprechen.

Fazit
Bis zum Inkrafttreten der Verordnung können sich zentrale Regelungen der Verordnung noch ändern. Der jetzige Vorschlag vom 13.04.2018 könnte in der nächsten Diskussion modifiziert werden, jedoch ist festzuhalten, dass durch die letzte Änderung Abstand genommen wurde von einer reinen Hinweispflicht auf die Privatsphäreneinstellungen, welche in Intervallen erfolgen sollte. Das Leiten des Nutzers durch die Privatsphäreneinstellung, ehe die Software genutzt werden kann, verspricht einen besseren Ansatz zum Schutz der Nutzer. Ihnen werden verschiedene Optionen bei der Wahl ihrer Privatsphäreneinstellungen angeboten und sie werden über die Risiken ihrer Wahl informiert. Der Vorschlag bleibt aber inkonsequent beim Schutz der Nutzer, da die Verpflichtung zu nutzerfreundlichen Standardeinstellungen durch Browser nicht mehr vorliegt. Es bleibt abzuwarten, welche Verpflichtungen Browser-Hersteller zum Schutz der Nutzer treffen werden und wie deren Rolle in konkreter Form aussehen wird.