Datenschutz­verstoß von Facebook: wegweisende Entscheidung des OLG Düsseldorf

In einem wegweisenden Beschluss hat das OLG Düsseldorf am 26.08.2019 (AZ. Kart 1/19 (V)) entschieden, eine Anordnung des Bundekartellamtes gegen Facebook vorläufig auszusetzen. Das Bundeskartellamt hatte verfügt, dass Facebook die personenbezogenen Daten aus Diensten wie Instagram oder WhatsApp nur noch dann automatisch mit dem Nutzerkonto bei Facebook verknüpfen darf, wenn der Nutzer darin ausdrücklich einwilligt. Insgesamt gewährte das Kartellamt Facebook zwölf Monate für die Umsetzung der Anordnung, gegen die sich Facebook sodann im Wege des einstweiligen Rechtsschutzes erfolgreich zur Wehr setzte.

Die Argumentation des Bundeskartellamtes

Die Begründung für die Anordnung des Bundeskartellamtes ist durchaus bemerkenswert. Zunächst stellte die Behörde auf die marktbeherrschende Stellung Facebooks in Deutschland ab. Facebook missbrauche seine marktbeherrschende Stellung, indem es ohne Einwilligung der Nutzer Facebook-Profile mit anderen Facebook-Diensten wie WhatsApp und Instagram verknüpfe und dadurch weiter wachse. Facebook sichere dadurch seine Monopolstellung als Anbieter sozialer Plattformen, während Wettbewerber keine Möglichkeit hätten, sich der enormen Datensammlungsmacht von Facebook zu erwehren und damit keine Chance auf einen Marktzugang erhielten.

Das Bundeskartellamt sah diese Gefahren dann als gebannt an, wenn der Nutzer in die Verknüpfung der Profile und damit verbundene Datenübertragung an Facebook ausdrücklich einwilligen würde. Die Behörde argumentierte weiter, dass soziale Plattformen im Wesentlichem auf dem Zustrom von Daten aufbauten, sodass der Zugang von Daten ein wichtiges wettbewerbsrechtliches Kriterium darstelle. Damit rechtfertigte das Bundeskartellamt, weshalb es die eigentlich datenschutzrechtliche Frage der Einwilligung in die Datenübertragung an Facebook, zum Bestandteil seiner wettbewerbsrechtlichen Aufsicht macht.

Der Beschluss des OLG-Düsseldorf

Das OLG tritt der Auffassung des Bundeskartellamtes unter verschiedenen Gesichtspunkten entgegen. Zum einen sehen die Düsseldorfer Richter keine automatische Verknüpfung von Verstößen gegen das Datenschutzrecht und Wettbewerbsverletzungen. Das Bundeskartellamt hatte die Rechtsprechung des BGH, wonach auch Verletzungen in anderen Rechtsgebieten (z.B. unzulässige Klauseln in AGB) wettbewerbsrechtlich als Marktmissbrauch gewertet werden könnten, auf das Datenschutzrecht übertragen. Es argumentierte, dass die Datenerhebungspraxis von Facebook gegen Datenschutzrecht verstoße und damit wiederum wettbewerbsrechtlich als Marktmissbrauch gelte. Das OLG Düsseldorf lehnt zwar nicht generell ab, dass auch Verletzungen anderer rechtlicher Regelungen als des Wettbewerbsrechts zu Wettbewerbsverletzungen führen können. Voraussetzung sei aber immer, dass es infolge dessen auch tatsächlich zu einem Missbrauch einer marktbeherrschenden Stellung komme. Eine solche sieht das OLG Düsseldorf bezüglich der Datenverarbeitung durch Facebook nicht. Zwar erkennt das OLG an, dass die Nutzer im Rahmen des Geschäftsmodells von Facebook überwiegend mit Daten „bezahlten“. Allerdings seien diese Daten duplizierbar, sodass selbst bei extensiver Datenerhebung durch einen Marktteilnehmer, die Nutzer ihre Daten nach wie vor auch an andere Marktteilnehmer übertragen könnten. Die Datenerhebung durch Facebook schwäche damit den Nutzer wirtschaftlich nicht und könne bereits deshalb keinen Missbrauch von Marktmacht darstellen, selbst wenn die Datenerhebung möglicherweise eine Verletzung des Datenschutzrechts darstelle.

Zum anderen habe das Bundeskartellamt nach Auffassung der Düsseldorfer Richter den sog. „Als-ob-Wettbewerb“ nicht ausreichend berücksichtigt. Danach hätte das Bundeskartellamt genau ermitteln müssen, ob es zu abweichenden Nutzungsbedingungen gekommen wäre, wenn Facebook in einem echten Wettbewerb mit anderen Plattformen stehen würde. Nur, wenn das Ergebnis dieser Prüfung dazu führt, dass im Falle eines wirksamen Wettbewerbes andere Nutzungsbedingungen gelten würden, könnte von einem Missbrauch von Marktmacht ausgegangen werden.

Schließlich fehlt es den Düsseldorfer Richtern auch an einer Geeignetheit der vom Kartellamt angeordneten Maßnahme. So sei nicht nachvollziehbar, wie die Pflicht, personenbezogene Daten nur noch mit Einwilligung mit dem Facebook-Konto zu verknüpfen, etwas an dem behaupteten Missbrauch der Marktmacht ändere. Denn durch die Anordnung des Bundeskartellamtes werde nur die Datenerhebung ohne Einwilligung, nicht aber die Datenerhebung im Allgemeinen eingeschränkt, die aber vom Bundeskartellamt gerade als Missbrauch der Marktmacht kritisiert wird.

Die Einwilligung im Verhältnis Nutzer-Facebook, betreffe zudem nicht das für das Wettbewerbsrecht entscheidende Verhältnis von Facebook zu seinen Konkurrenten und sei auch deshalb ein ungeeignetes Kriterium für eine kartellrechtliche Anordnung.

Selbst wenn es zu einem Missbrauch von Marktmacht gekommen sei, könne dieser außerdem nicht auf der fehlenden Einwilligung von Nutzern in das Geschäftsmodell von Facebook beruhen. Denn durch die Zustimmung zu den Nutzungsbedingungen von Facebook hätten die Nutzer jedenfalls insoweit ihre Zustimmung erteilt, als es um das Geschäftsmodell von Facebook gehe. Dieses Geschäftsmodell wiederum sei ausschlaggebend für die wettbewerbsrechtliche Beurteilung.

Analyse der Entscheidung des OLG Düsseldorf

Zunächst ist der Versuch des Bundeskartellamtes zu begrüßen, das Datenschutzrecht mit dem Wettbewerbsrecht zu verbinden. So ist es angesichts der Bedeutung von Daten als Gegenleistung für die Nutzung vielfältiger Dienste im Internet durchaus vorstellbar, dass es durch extensive Erhebung von Daten zu einem Missbrauch von Marktmacht kommt. Allerdings ist das Kriterium der Einwilligung allein nicht geeignet, um einem solchen Missbrauch zu begegnen. Denn gerade, wenn ein Unternehmen bereits über eine marktbeherrschende Stellung verfügt, wird die Erlangung entsprechender Einwilligungen selten das entscheidende Hindernis zu Verarbeitung von Daten darstellen.

Zudem ist es wichtig, den Unterschied von Daten und Geld stets vor Augen zu haben, den das OLG Düsseldorf mit dem Kriterium der „Duplizierbarkeit“ gut erfasst. Während eine marktbeherrschende Stellung dazu führen kann, dass Nutzer ihr Geld nur für Dienste eines Anbieters ausgeben und sodann wirtschaftlich so geschwächt sind, dass sie für die Dienste anderer Anbieter keine finanziellen Mittel mehr zur Verfügung haben, gestaltet sich dies bei Daten anders: Daten können grundsätzlich beliebig oft kopiert und zur Verfügung gestellt werden.

Allerdings sinkt das Interesse der Nutzer, Angebote anderer Anbieter wahrzunehmen, da Facebook mit seinen Diensten bereits die zentralen Nutzerbedürfnisse abdeckt. Das fehlende Interesse der Nutzer beruht dabei vor allem auf Netzwerkeffekten. Facebook und seine Dienste sind deshalb so attraktiv, weil die meisten Nutzer auf diese Dienste zurückgreifen und sich dort miteinander verbinden können. Wollte man in Netzwerkeffekten von sozialen Plattformen einen Missbrauch einer marktbeherrschenden Stellung sehen, bräuchte man aber andere Kriterien als diejenigen, die das Wettbewerbsrecht bisher vorsieht. Es ist vor allem Aufgabe des Gesetzgebers, solche Netzwerkeffekte einzuschränken. Auf der Grundlage der bisherigen Rechtslage kann allein wegen der enormen Datensammlung durch Facebook und den steigenden Netzwerkeffekten kein Wettbewerbsverstoß erblickt werden.

Fazit

Das Bundeskartellamt hat bereits eine Beschwerde zum BGH gegen den Beschluss des OLG Düsseldorf eingelegt. Es bleibt abzuwarten, ob der BGH von der Entscheidung des OLG Düsseldorf abweicht. Die Entscheidung des OLG ist für eine Entscheidung im einstweiligen Rechtsschutz relativ umfangreich und deckt zahlreiche mögliche rechtliche Argumentationen in überzeugender Weise ab. Ob der BGH zu einer anderen Auffassung gelangt, ist daher fraglich. Die Entscheidung des BGH wird weitreichende Folgen für die Wettbewerbsaufsicht nach sich ziehen. Sollte der BGH der Argumentation des Bundeskartellamtes folgen, so könnte das Datenschutzrecht in Zukunft Teil der Wettbewerbsaufsicht werden.

BVerwG zur Verantwortlichkeit für Facebook Fanpages: Eine Handlungs­empfehlung

Mit einem neuen Urteil des Bundesverwaltungsgerichts (BVerwG) vom 11.09.2019 wird die Debatte um Facebook Fanpages neu entfacht. In diesem hat das Gericht entschieden, dass der Betreiber einer Fanpage sie bei schwerwiegenden datenschutzrechtlichen Mängeln nach Aufforderung durch die Datenschutzbehörde abschalten muss. Wir besprechen das Urteil und geben Handlungsempfehlungen zur datenschutzkonformen Nutzung von Facebook Fanpages.

Was passierte bisher im Fanpage-Rechtsstreit?

2011 hatte das Unabhängige Landeszentrum für Datenschutz (ULD) die Wirtschaftsakademie Schleswig-Holstein zur Abschaltung ihrer Fanpage aufgefordert. Sie begründete dies damit, dass dort eine unzulässige Verarbeitung personenbezogener Daten (insbesondere mittels Cookies) stattfinde. Besucherdaten werden von Facebook für Werbung und zur Bereitstellung sogenannter Seiten-Insights (Besucherstatistiken und -profile) genutzt.

Die Wirtschaftsakademie klagte gegen diesen Bescheid und hatte vor dem Schleswig-Holsteinischen Verwaltungsgericht zunächst Erfolg. Anschließend ging dieser Rechtsstreit jedoch weiter durch die Instanzen bis zum BVerwG, das dem Europäischen Gerichtshof (EuGH) schließlich Vorlagefragen im Rahmen des Vorabentscheidungsverfahrens zur Auslegung des Datenschutzrechts vorlegte.

Am 05.06.2018 hatte der EuGH dann ein Grundsatzurteil (Az.: C-210/16) zur gemeinsamen Verantwortlichkeit gefällt. Darin machte das Gericht klar, dass Facebook und der Betreiber der Fanpage gemeinsam für die dortige Datenverarbeitung verantwortlich sind.

Begründet wurde dies damit, dass auch der Betreiber einen Beitrag zur Entscheidung über Zwecke und Mittel der Datenverarbeitung leiste. Denn er könne durch die von Facebook erhobenen Daten insbesondere seine eigenen Tätigkeiten auf der Fanpage an die Zielgruppe passender steuern und fördern (sog. Parametrierung). Er mache die Datenverarbeitung gerade erst möglich, indem er die Fanpage einrichte und betreibe.

Was hat nun das BVerwG zu Fanpages entschieden?

Im aktuellen Urteil entschied das BVerwG (Az.: 6 C 15.18), dass für die Datenverarbeitung auf einer Fanpage deren Betreiber und Facebook gemeinsam verantwortlich sind. Damit hat das Gericht direkt auf das EuGH-Urteil reagiert und dieses umgesetzt.

Ausgehend davon kam das BVerwG jedoch auch zu dem Schluss, dass der Betreiber auch verpflichtet werden kann, die Fanpage abzuschalten, wenn die Datenverarbeitung auf dieser rechtswidrig ist. Bei gemeinsamen Verantwortlichen könne bei der Auswahl desjenigen, an den man sich wendet, nach dem Prinzip der Effektivität vorgegangen werden.

Hierzu führte das BVerwG aus, dass es unsicher sei, sich mit der Aufforderung zur Abschaltung an Facebook zu wenden, da es an einer entsprechenden Kooperationsbereitschaft fehle. Deshalb sei es zur zügigen und wirkungsvollen Durchsetzung des Datenschutzrechts möglich, den Betreiber direkt zur Abschaltung aufzufordern, wenn die Datenverarbeitung auf der Fanpage rechtswidrig sei. Dies könne beispielsweise der Fall sein, wenn die digitale Infrastruktur von Facebook gravierende datenschutzrechtliche Mängel aufweise.

Ob die Verarbeitung der Daten tatsächlich rechtswidrig war, musste das BVerwG jedoch nicht beantworten. Diese Frage klärt nun wieder das Schleswig-Holsteinische Oberverwaltungsgericht, an das der Rechtsstreit zurückverwiesen wurde.

Was können Fanpage-Betreiber nun tun?

Als Fanpage-Betreiber sollte man – spätestens jetzt – überprüfen, ob man für den Betrieb der Fanpage bereits die grundlegenden Anforderungen im Rahmen der gemeinsamen Verantwortlichkeit erfüllt. Hierzu müssen die oben beschrieben Informationen ausgehend von der Vereinbarung mit Facebook mitgeteilt werden. Man muss sie schnell auffindbar auf der Fanpage platzieren und/oder entsprechend auf die eigene Website verlinken, auf der darüber informiert wird.

Solange kein Gericht über die Rechtsgrundlage zum Betrieb einer Fanpage geurteilt hat, kann dieser auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Eine Rechtsgrundlage muss auf jeden Fall genannt werden, auch wenn man als Fanpage-Betreiber selbst wenig Einfluss darauf hat, wie Facebook die Daten verarbeitet. Dabei sollte auch darüber informiert werden, wie die durch Facebook erhaltenen statistischen Daten helfen, die Fanpage zu optimieren und zu verbessern. Im Übrigen sollte daneben stets auf die passenden Datenschutzhinweise von Facebook verwiesen werden.

Im Hinterkopf muss man dabei behalten, dass die Datenschutzkonferenz (DSK) in ihren Stellungnahmen zu Tracking (Nachverfolgen des Nutzerverhaltens) im Allgemeinen und dem Betrieb einer Fanpage im Speziellen eine restriktive Position vertritt. Insbesondere zu Tracking verlangt sie eine Einwilligung als Rechtsgrundlage. Wie eine Einwilligung beim Besuch einer Fanpage eingeholt werden soll, ist jedoch unklar. Abschließend gerichtlich entschieden ist ein etwaiges Einwilligungserfordernis ebenfalls noch nicht.

Bei der Beurteilung der Frage, ob die Nutzung einer Fanpage datenschutzkonform und welche Rechtsgrundlage der Datenverarbeitung zugrunde zu legen ist, ist zu beachten, dass sich die von der Datenverarbeitung betroffenen Personen aktiv und freiwillig dazu entscheiden, eine Fanpage zu besuchen, und insofern selbst die dortige Datenverarbeitung initiieren.

Facebook Fanpages sind wichtig für die Außendarstellung eines Unternehmens sowie um den Kontakt zu Kunden und Interessenten aufzubauen und zu halten, etwa durch direkte Nachrichten oder der Beantwortung von Kommentaren. Darüber hinaus dienen sie dazu, Kunden und Interessenten über aktuelle Entwicklungen und Produkte zu informieren, etwa durch das Teilen von Beiträgen. Dabei kann die Datenverarbeitung zu diesen Zwecken bei Unternehmen auch oft zur Vertragsanbahnung oder zur Erfüllung vertraglicher Pflichten auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Im Übrigen kann man sich jedoch auch auf ein berechtigtes Interesse beziehen.

Insbesondere die werbliche Ansprache ist ein legitimes berechtigtes Interesse eines Unternehmens, ebenso wie die Optimierung und Verbesserung einer Fanpage und des dortigen Angebots mithilfe statistischer Daten. Alternativen zu Facebook Fanpages sind aufgrund der hohen Verbreitung wohl eher nicht ersichtlich. Sie sind insofern ein unverzichtbares Instrument des Marketings im Wettbewerb. Zudem erwarten nicht zuletzt auch Kunden und Interessenten, dass ein Unternehmen auch in sozialen Netzwerken präsent ist.

Es gibt also viele gute Gründe, die für die Zulässigkeit der Datenverarbeitung auf Facebook Fanpages sprechen.

Um Risiken bei der Nutzung einer Fanpage trotzdem zu minimieren, sollte man die grundlegenden Pflichten umso ernster nehmen.

Fazit

Das Schleswig-Holsteinische Oberverwaltungsgericht hat nach dem Urteil des BVerwG nun über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten auf Fanpages zu entscheiden. Bis es soweit ist, kann der Betrieb einer Fanpage unserer Ansicht nach insbesondere auf ein berechtigtes Interesse gestützt werden. Jedoch müssen die Pflichten im Rahmen der gemeinsamen Verantwortung besonders beachtet werden. Sollte es beim Thema Fanpages weitere Neuigkeiten geben, werden wir natürlich darüber berichten.

Werbe-Einwilligung bei Gewinnspielen: Neues Urteil des OLG Frankfurt

Am 27.06.2019 hat das Oberlandesgericht (OLG) Frankfurt a. M. (Az.: 6 U 6/19) ein wichtiges Urteil für den Werbemarkt im Hinblick auf das Datenschutz- und Wettbewerbsrecht getroffen. Gegenstand des Urteils war unter anderem die (in der Praxis durchaus umstrittene) Frage, ob eine Einwilligung auf Basis der Datenschutz-Grundverordnung (DSGVO) und des Gesetzes gegen den unlauteren Wettbewerb (UWG) für Werbung mit der Teilnahme an einem Gewinnspiel gekoppelt werden darf. Es führte zudem aus, wie diese Einwilligung ausgestaltet werden muss.

Worüber hatte das OLG Frankfurt zu entscheiden?

Gegenstand des Urteils war ein Fall, bei dem eine Verbraucherin Telefonwerbung eines Stromanbieters wegen der (vermeintlichen) Teilnahme an einem Gewinnspiel erhielt. Um an diesem teilzunehmen, musste man sich online registrieren. Voraussetzung war dabei, dass man der Telefonwerbung zustimmt, ansonsten hätte man nicht teilnehmen können. Im Infotext des Gewinnspiels wurden dabei acht Unternehmen aufgezählt, welche die Telefonnummer im Falle der Teilnahme für Werbung bekommen würden.

Die Verbraucherin versicherte in dem Verfahren jedoch eidesstattlich, weder an einem Gewinnspiel teilgenommen noch ihre Telefonnummer angegeben zu haben. Ebenso versicherte sie, keinen SMS-Code als Bestätigung einer Werbe-Einwilligung erhalten zu haben.

Im Rahmen eines Unterlassungsanspruchs gemäß § 8 Abs. 1, 3 Nr. 1, § 7 Abs. 1 S. 2, Abs. 2 UWG hatte das Gericht über die Wirksamkeit der Einwilligung für Werbung zu entscheiden, die mit dem Gewinnspiel gekoppelt wurde. Zudem äußerte es sich zu den Anforderungen zum Nachweis einer solchen Einwilligung, die das Unternehmen hier nicht erfüllt hatte.

Welche Anforderungen gibt es bei Werbung an Verbraucher?

Im UWG wird insbesondere geregelt, wann beispielsweise Werbung durch ein Unternehmen im Wettbewerb unzulässig ist. Nach § 7 Abs. 1 S. 2 UWG ist Werbung unzulässig, wenn klar erkennbar ist, dass diese nicht gewünscht wird.

Wann etwa Werbung durch Telefon oder E-Mail unzulässig ist, regelt § 7 Abs. 2 UWG. Nach Nr. 2 ist Telefonwerbung gegenüber einem Verbraucher ohne vorherige ausdrückliche Einwilligung unzulässig. Der Werbende muss diese Einwilligung des Verbrauchers einholen und sie auch nachweisen können. Dafür hat sich in der Praxis und durch Gerichte das sogenannte Double-Opt-In-Verfahren vor allem im Rahmen von Werbung per E-Mail (Newsletter) etabliert.

Beim Double-Opt-In-Verfahren geht es darum, die übermittelten Kontaktdaten (etwa E-Mail-Adresse oder Telefonnummer) zu verifizieren, bevor diese für Werbung genutzt werden. Damit überprüft werden kann, ob eine E-Mail-Adresse tatsächlich dem gehört, der sie bei der Werbe-Einwilligung eingetragen hat, wird vom werbenden Unternehmen eine E-Mail mit Bestätigungslink an diese Adresse verschickt. Wird dieser angeklickt, kann dies von der Website registriert und dokumentiert werden. Dadurch wird der Nachweis sichergestellt. Eine Telefonnummer müsste separat davon überprüft werden. Dies kann beispielsweise durch einen Bestätigungs-Code per SMS erfolgen.

Wann ist die Einwilligung wirksam?

Für die Wirksamkeit der Einwilligung ist auf die DSGVO abzustellen. Dabei ist nach Art. 4 Nr. 11 DSGVO die Einwilligung eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene eindeutig bestätigende Handlung. Zudem muss sie nachweisbar sein und widerrufen werden können (Art. 7 DSGVO). Diese Nachweispflicht überschneidet sich mit den entsprechenden Pflichten aus § 7 UWG.

Nach dem Erwägungsgrund 42 DSGVO setzt Freiwilligkeit voraus, dass die erklärende Person eine echte oder freie Wahl und somit die Möglichkeit haben muss, die Erklärung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

Wann erfolgt eine Einwilligung freiwillig?

Ob eine Einwilligung freiwillig erfolgt, bestimmt sich auch nach Art. 7 Abs. 4 DSGVO – vielfach als Kopplungsverbot bezeichnet. Danach muss bei der Beurteilung der Freiwilligkeit besonders berücksichtigt werden, ob für die Erfüllung eines Vertrags eine Datenverarbeitung überhaupt erforderlich ist. Im vorliegenden Fall geht es also um die Frage, ob die Werbe-Einwilligung mit der Teilnahme am Gewinnspiel gekoppelt werden darf.

Das OLG Frankfurt führte aus, dass das bloße „Anlocken“ durch die Teilnahme am Gewinnspiel die Freiwilligkeit nicht ausschließe. Dadurch werde auf den Betroffenen kein Druck ausgeübt. Die Kopplung der Werbe-Einwilligung mit der Teilnahme am Gewinnspiel sei zulässig, denn „der Verbraucher kann und muss selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten „wert“ ist.“ Auch wenn das Gericht Art. 7 Abs. 4 DSGVO nicht direkt erwähnt, so machen seine Aussagen jedoch deutlich, dass dieser der Freiwilligkeit hier gerade nicht entgegensteht.

Auch der Europäische Gerichtshof (EuGH) könnte sich in seinem im Oktober 2019 bevorstehenden Urteil (Az.: C-673/17) im Rahmen der Rechtssache Planet49 noch mit gekoppelten Werbe-Einwilligungen bei Gewinnspielen beschäftigen. Der Generalanwalt machte in seinen Schlussanträgen, denen das Gericht in der Regel folgt, deutlich, dass er darin keinen Verstoß gegen Art. 7 Abs. 4 DSGVO sehe. So führt er aus, dass „der hinter der Teilnahme am Gewinnspiel stehende Zweck der „Verkauf“ personenbezogener Daten ist.“ Die Hauptpflicht zur Teilnahme am Gewinnspiel bestehe darin, die personenbezogenen Daten zur Verfügung zu stellen. Insofern sei deren Verarbeitung für die Teilnahme erforderlich. Ob sich der EuGH in seinem Urteil tatsächlich dazu äußert, ist jedoch offen, da die Werbe-Einwilligung eigentlich nicht Bestandteil der Vorlagefragen war.

Welche Informationen über die Werbung sind erforderlich?

Ausgehend von den Voraussetzungen der DSGVO und dem UWG sind dem OLG Frankfurt zufolge bei der Werbe-Einwilligung sowohl Informationen hinsichtlich der werbenden Unternehmen als auch hinsichtlich der konkreten Kategorien von Werbemaßnahmen erforderlich. Denn die Einwilligung muss für den bestimmten bzw. konkreten Fall erteilt werden.

Erstens müssten die werbenden Unternehmen einzeln in den Informationen genannt werden, damit der Verbraucher die Möglichkeit habe, sich „in realistischer Weise“ mit diesen und deren Geschäftsfeldern befassen zu können. Acht aufgeführte Unternehmen seien jedenfalls in Ordnung, während beispielsweise 59 Unternehmen zu viele wären, wie ein früheres Urteil des OLG Frankfurt vom 17.12.2015 (6 U 30/15) zeigt.

Zweitens müssten die Kategorien der Werbemaßnahmen konkret genug umschrieben werden. Während die Umschreibung „Finanzdienstleistungen aller Art“ nicht ausreiche und die Angabe „Marketing und Werbung“ zweifelhaft sei, wäre „Strom & Gas“ dem OLG Frankfurt zufolge konkret genug.

Wie muss die Einwilligung nachgewiesen werden?

Zum Nachweis der Einwilligung muss eine Dokumentation, insbesondere der Datenerhebung und des Double-Opt-In-Verfahrens, erfolgen. Zwar ist das nicht explizit im Gesetz gefordert, jedoch muss der Nachweis insbesondere vor Gericht im Zweifel vorgelegt werden können.

Das OLG Frankfurt macht hier deutlich, dass die Bestätigung von E-Mail-Adresse und Telefonnummer im Rahmen des Double-Opt-In getrennt erfolgen müsse. Darüber hinaus müsse klar werden, „auf welchem technischen Weg die Daten ihren Weg […] zum datenspeichernden Unternehmen gefunden haben […] und in welcher Weise diese Vorgänge dokumentiert werden.“ Dies soll den Missbrauch und die unbefugte Nutzung von Daten für Werbung verhindern, die nicht von dem Unternehmen selbst erhoben wurden.

Insgesamt zeigt das Gericht klar, dass die Anforderungen an den Nachweis einer Werbe-Einwilligung sehr hoch und nicht zu unterschätzen sind.

Was wurde im Urteil noch angesprochen?

Übrigens wurde im Urteil auch ausgeführt, welche Informationen während des Werbeanrufs mitgeteilt werden müssen. Wird für ein Unternehmen angerufen, so muss dieses konkret benannt werden. So reiche die Formulierung „vom Stromanbieter“ nicht aus. Ebenso müsse aus dem Anruf auch der geschäftliche Zweck hervorgehen, dass der Werbende also wegen eines Wechsels des Stromanbieters anrufe. Fehlen diese Voraussetzungen, kann sich ein Unterlassungsanspruch aus § 8 Abs. 1, 3 Nr. 1, § 3a UWG i.V.m. § 312a Abs. 1 BGB ergeben.

Wir beraten Sie gerne in allen Fragen zu Datenschutz & Wettbewerbsrecht

Fazit: Hohe Anforderungen bei Werbe-Einwilligungen zu Gewinnspielen

Insgesamt lässt sich festhalten, dass Einwilligungen in die Werbung per E-Mail oder Telefon mit der Teilnahme an einem Gewinnspiel verknüpft werden können. Aus Sicht des Datenschutzes ist dies nicht zu beanstanden. Jedoch muss im Zusammenhang mit dem Wettbewerbsrecht besonderes Augenmerk auf die Dokumentation und den Nachweis der Einholung der Einwilligung gelegt werden. Dabei muss das Double-Opt-In-Verfahren richtig umgesetzt werden. Zudem ergeben sich erhöhte Anforderungen hinsichtlich der Bestimmtheit und der Informationspflichten im Rahmen einer Einwilligung für Werbung. Für die Zukunft sollte auch das bevorstehende Urteil des EuGH im Hinterkopf bleiben, welches zu Werbe-Einwilligungen bei Gewinnspielen noch Aussagen treffen könnte.

Gerne beraten wir Sie bei der datenschutz- und wettbewerbskonformen Ausgestaltung einer Werbe-Einwilligung zu Gewinnspielen. Unsere Experten im Datenschutz- und Wettbewerbsrecht von Schürmann Rosenthal Dreyer Rechtsanwälte erstellen oder überprüfen mit Ihnen zusammen Ihre Einwilligungserklärung auf Vollständigkeit und Richtigkeit!

DSGVO Bußgelder: Wie bestimmen Aufsichtsbehörden die Bußgeldhöhe?

Aktuelle Entwicklung (17.09.2019):
Die Datenschutzbehörden haben bei der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im Mai 2019 die Entwicklung eines neuen Konzeptes zur Berechnung der Bußgeldhöhe (Bußgeldzumessung) auf den Weg gebracht. Dieses orientiert sich nach ersten Erkenntnissen wohl stark an den vom Bundeskartellamt angewendeten Leitlinien für die Bußgeldzumessung in Kartellordnungswidrigkeitenverfahren (Bußgeldleitlinien). Sollte dies der Fall sein, so sind zukünftig– ausgehend von den Erfahrungen im Kartellrecht – wesentlich höhere Bußgelder zu befürchten. Das Konzept wird zwar bereits von verschiedenen Aufsichtsbehörden bei der Berechnung der Bußgeldhöhe berücksichtigt, wurde jedoch noch nicht veröffentlicht. Über weitere Entwicklungen halten wir Sie selbstverständlich auf dem Laufenden.

Seit die Datenschutz-Grundverordnung (DSGVO) gilt, verbinden viele Unternehmen Datenschutz unter anderem mit hohen Bußgeldern. Tatsächlich ist durch die DSGVO der Bußgeldrahmen für Datenschutzverstöße im Vergleich zu den Regelungen des alten Bundesdatenschutzgesetzes (BDSG) ganz erheblich ausgeweitet worden. Bei Bußgeldern von bis zu 20 Mio. Euro oder in Höhe von bis zu 4 % des Jahresumsatzes ist es umso wichtiger, zu verstehen, wie die Höhe eines Bußgeldes von den Aufsichtsbehörden festgelegt wird. Wie aus diesem Beitrag hervorgeht, ist die Bußgeldhöhe das Ergebnis einer Abwägung verschiedener Kriterien und Faktoren, zu denen auch das Verhalten von Unternehmen nach dem Datenschutzverstoß zählt. Da die Höhe des Bußgeldes durch vorbildliches Verhalten beeinflusst werden kann, sollten Unternehmen hierauf besonderes Gewicht legen.

Der Datenschutzverstoß – ein Bußgeld droht

Erfährt die Behörde von einem Datenschutzverstoß, muss sie zunächst mit eigenem Ermessensspielraum entscheiden, ob sie dafür eine Geldbuße verhängt. Bei geringfügigen Verstößen oder falls die Geldbuße eine unverhältnismäßige Belastung darstellt, kann es die Behörde bei einer Verwarnung belassen. Andernfalls kann die Behörde neben oder anstelle von weiteren Abhilfemaßnahmen, wie Verboten und Anordnungen, eine Geldbuße verhängen und muss dafür über deren Höhe entscheiden. Einen „Bußgeldkatalog“ gibt es dafür in Deutschland jedoch nicht. Vielmehr bestimmt die Aufsichtsbehörde zunächst den abstrakten Bußgeldrahmen und anschließend die konkrete Höhe des Bußgelds anhand vorgegebener Kriterien, die in jedem Einzelfall berücksichtigt werden müssen. In diesem Beitrag erklären wir das Prüfprocedere der Aufsichtsbehörden und zeigen auf, wie Sie das Bußgeld im Fall eines Verstoßes möglichst gering halten.

Bestimmung des Bußgeldrahmens

In einem ersten Schritt prüft die Behörde, welcher Bußgeldrahmen eröffnet ist. Der maximale Bußgeldrahmen nach Art. 82 Abs. 5 von bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes (aus Art. 82 Abs. 5 DSGVO) findet nicht auf alle Datenschutzverstöße Anwendung. Vielmehr gibt es daneben einen zweiten (kleinen) Bußgeldrahmen, der auf 10 Mio. Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes beschränkt ist (vgl. Art. 82 Abs. 4 DSGVO). Welcher Bußgeldrahmen eröffnet ist, richtet sich danach, gegen welche Regelung der Datenschutz-Grundverordnung (DSGVO) verstoßen wurde.

So gilt der Bußgeldrahmen von 10 Mio. Euro oder 2 % des Jahresumsatzes beispielsweise für Verstöße gegen

• die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO),
• die Pflicht eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO),
• die Pflicht geeignete technisch-organisatorische Maßnahmen (TOMs) zu treffen (Art. 25 DSGVO).

Der höhere Bußgeldrahmen von 20 Mio. Euro oder 4 % des Jahresumsatzes ist eröffnet bei der Begehung der „Todsünden“ des Datenschutzrechts, namentlich bei Verstößen gegen die

• Grundsätze der Verarbeitung (z.B. Datenminimierung, Zweckbindung, Transparenz; Art. 5 DSGVO),
• Sicherstellung und Gewährleistung der Betroffenenrechte (Art. 12 ff. DSGVO),
• Vorschriften zur Übermittlung von personenbezogenen Daten an Empfänger in Drittländern, bspw. Datenübermittlung nur bei geeigneten Garantien (z.B. dem Abschluss von Standarddatenschutzklauseln),
• Nichtbefolgung vorangegangener Auflagen der Aufsichtsbehörden.

Kriterien für die Prüfung im Einzelfall

Nachdem die Behörde ausgehend von der oder den Regelung/en, gegen die verstoßen wurde, den anwendbaren Bußgeldrahmen ermittelt hat, bestimmt sie anhand verschiedener Kriterien die konkrete Höhe des Bußgeldes innerhalb dieses Rahmens.

Allgemeine Zumessungskriterien

In einem ersten Schritt zieht die Behörde die allgemeinen Zumessungskriterien für die Verhängung von Geldbußen heran. In Anknüpfung an die Rechtsprechung des EuGH muss die Geldbuße in jedem Einzelfall „wirksam, abschreckend und verhältnismäßig“ sein (vgl. Art. 83 Abs. 1 DGVO).

Spezielle Zumessungskriterien

Daneben stellt die DSGVO in Art. 83 Abs. 2 DSGVO spezielle Zumessungskriterien auf. Diese Kriterien dienen unter anderem dazu, sicherzustellen, dass die Geldbuße jeweils im Einzelfall für den Verstoß angemessen ist und auf das den Datenschutzverstoß begehende Unternehmen „passt“. Für ein Unternehmen mit einem Umsatz von 5 Millionen Euro könnte ein Bußgeld in Höhe von 1 Mio. Euro existenzbedrohend sein, während ein Bußgeld in dieser Höhe für ein Unternehmen mit einem Umsatz im Bereich der Milliarden je nach Verstoß weder wirksam noch abschreckend sein würde.

Im Hinblick auf die Bewertung der Verhältnismäßigkeit eines Bußgeldes im Einzelfall hat die Behörde daher in einem zweiten Schritt insbesondere folgende Kriterien gebührend zu berücksichtigen:

• die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der Verarbeitung,
• die Zahl der von dem Verstoß betroffenen Personen,
• das Ausmaß des tatsächlich erlittenen Schadens,
• ob der Verstoß absichtlich oder versehentlich herbeigeführt wurde,
• frühere Verstöße des Unternehmens,
• die Kategorien personenbezogener Daten die vom Verstoß betroffen sind,
• und ob durch den Verstoß finanzielle Vorteile erlangt wurden oder Verluste vermieden worden sind.

Diese Kriterien knüpfen an den Verstoß selbst an und Unternehmen können, nachdem der Verstoß begangen wurde, an den Umständen des Verstoßes „nichts mehr ändern“. Dies gilt etwa für die Zahl der von dem Verstoß betroffenen Personen, die im Zeitpunkt des Verstoßes feststeht und sich nicht abändern lässt. Daneben kennt die DSGVO allerdings auch Kriterien, die den Unternehmen die Chance bieten auf die Höhe des Bußgeldes – noch nachdem der Verstoß begangen wurde – Einfluss zu nehmen. Dies sind insbesondere:

• die vom Unternehmen getroffenen Maßnahmen um den Schaden für die betroffenen Personen zu mindern;
• der Umfang der Zusammenarbeit des Unternehmens mit der Aufsichtsbehörde; und
• ob und in welchem Umfang das Unternehmen den Verstoß der Behörde selbst mitgeteilt hat.

Maßnahmen, um die Bußgeldhöhe gering zu halten

Naheliegenderweise sollten Unternehmen den zuletzt genannten Kriterien beim Krisenmanagement besondere Aufmerksamkeit schenken. Hierbei sollte auf keinen Fall einfach abgewartet werden, vielmehr ist eine proaktive Vorgehensweise angebracht. Dabei sollten Unternehmen in zwei Richtungen tätig werden und zwar zum einen gegenüber den von dem Verstoß betroffenen Personen als zum anderen auch gegenüber der zuständigen Aufsichtsbehörde.

Im Hinblick auf die von dem Verstoß betroffenen Personen sollten Unternehmen alle Maßnahmen treffen, um den Schaden für diese so gering wie möglich zu halten. Eine in Betracht kommende Maßnahme kann beispielsweise die unverzügliche Information den betroffenen Personen über den Verstoß sein, um diesen die Möglichkeit zu geben, ihre Daten zu schützen. Stellt ein Unternehmen beispielsweise unbefugte Zugriffe auf Kunden-Accounts fest, sollten diese Kunden informiert und gebeten werden, ihre Account-Passwörter zu aktualisieren. Bis dies geschehen ist, können Unternehmen die jeweiligen Profile inaktiv schalten, um einen Datenabfluss zu vermeiden. Im Umgang mit den betroffenen Personen sollte grundsätzlich eine proaktive Kommunikation gewählt und alle Maßnahmen getroffenen werden, um deren Daten zu schützen. Selbstverständlich sind betroffene Personen umfassend beim Schutz ihrer Daten zu unterstützen.

Der zuständigen Aufsichtsbehörde ist im Rahmen der gesetzlichen Meldepflicht nach Art. 33 DSGVO ein Verstoß unter anderem dann mitzuteilen, wenn dieser zur Vernichtung, Verlust, Veränderung oder unbefugten Offenlegung personenbezogener Daten führt. In Kooperation mit der Aufsichtsbehörde sollten Mittel und Wege gefunden werden, um die Folgen des Datenschutzverstoßes nicht nur zu mildern sondern zukünftig gleich gelagerte Datenschutzverstöße zu vermeiden. In diesem Zusammenhang können beispielsweise in Abstimmung mit der Aufsichtsbehörde umfangreiche Änderungsmaßnahmen bezüglich der IT-Sicherheit vereinbart werden oder von der Aufsichtsbehörde vorgeschlagene Schutzmaßnahmen umgesetzt werden.

Bei Meldung und Umfang der Meldung des Verstoßes an die Aufsichtsbehörde ist zu beachten, dass die Behörde hierdurch gegebenenfalls erstmalig vom Datenschutzverstoß erfährt. Unternehmen sind daher gut beraten, die Pflicht zur Meldung eines Datenschutzverstoßes eingehend zu bewerten und sich bereits bei der Meldung von Experten für Datenschutzrecht beraten zu lassen, die im Umgang mit den Aufsichtsbehörden erfahren sind.

Dass sich die fachkundige Beratung durch spezialisierte Anwälte lohnen kann, zeigt der Fall des Onlinedienstes „Knuddels“, gegen den der Baden-Württembergischen Landesdatenschutzbeauftragten Dr. Brink ein Bußgeld in Höhe von 20.000 Euro verhängte. Was auf den ersten Blick durchaus als hohes Bußgeld erscheinen mag, relativiert sich vor dem oben angesprochenen Bußgeldrahmen von bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes. Als niedrig dürfte dieses Bußgeld jedoch insbesondere im Hinblick auf die von Knuddels begangenen Datenschutzverstöße zu bewerten sein. So hatte sich das Unternehmen an die Aufsichtsbehörde gewandt, nachdem es einen Hackerangriff bemerkt hatte. Hierbei wurden personenbezogene Daten von ca. 330.000 Nutzern entwendet. Dies allein lässt schon auf unzureichende technische-organisatorische Maßnahmen schließen. Allerdings legte das Unternehmen im Rahmen der Kooperation mit der Aufsichtsbehörde darüber hinaus von sich aus offen, dass unter anderem versäumt wurde, die (abhanden gekommenen) Passwörter der Nutzer zu verschlüsseln und zu verfremden („hashen“), diese also vielmehr im Klartext gespeichert worden waren. Von der Aufsichtsbehörde wurde hervorgehoben, dass das Unternehmen unverzüglich und umfassend über den Hackerangriff informierte und dabei auch weitere, eigene Versäumnisse offenlegte.

Besonders gelobt wurde unter anderem:

• die gute Kooperation des Unternehmens mit der Aufsichtsbehörde,
• die Transparenz des Unternehmens im Hinblick auf Datenverarbeitungs- und Unternehmensstrukturen,
• dass innerhalb kurzer Zeit weitreichende Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur umgesetzt, und
• hierdurch die Sicherung der Nutzerdaten auf den aktuellen Stand der Technik gebracht wurde,
• in enger Abstimmung mit der Aufsichtsbehörde weitere Maßnahmen zur Verbesserung der Datensicherheit umgesetzt werden.

Der Baden-Württembergische Landesdatenschutzbeauftragte betonte, dass ein Bußgeld immer verhältnismäßig zu sein hat. So hatte das Unternehmen Knuddels nicht nur das Bußgeld zu zahlen, sondern hat aufgrund der in Abstimmung mit der Aufsichtsbehörde getroffenen Maßnahmen im Ergebnis einen Betrag im sechsstelligen Bereich zu tragen. Da allerdings auch ein Bußgeld im sechsstelligen Bereich hätte verhängt werden können – und zusätzlich die entsprechenden Investitionen in die IT-Sicherheitsarchitektur hätten getätigt werden müssen – lässt sich festhalten, dass sich die Kooperation und Transparenz des Unternehmens mit und gegenüber der Aufsichtsbehörde „bezahlt gemacht“ hat.

Wenn Sie einen Datenschutzvorfall im Unternehmen festgestellt haben oder bereits Post von der Behörde bekommen haben, handeln Sie unverzüglich und beachten Sie, soweit möglich, die von uns aufgeführten Grundsätze. Die Rechtsanwälte von Schürmann Rosenthal Dreyer stehen Ihnen gerne als Datenschutzexperten zur Verfügung!

IT-Outsourcing: Vertragsgestaltung und Datenschutz

Outsourcing ist inzwischen mehr als normal geworden – und das ganz zu Recht! Viele Geschäftsmodelle beruhen einzig und allein darauf, als Dienstleister Aufgaben anderer Unternehmen zu übernehmen, wie Buchhaltung, Kundenservice oder Security. Insbesondere auf das IT-Outsourcing sollte ein Blick geworfen werden. Darunter ist die Auslagerung der IT-Abteilung zu verstehen, also die vollverantwortliche Übertragung von IT-Funktionen an einen externen IT-Dienstleister. Natürlich ist auch eine abgeschwächte Version denkbar, bei der nur einzelne Bereiche der IT-Abteilung abgegeben werden.

Die Vorteile können immens sein. Warum sich selbst kümmern, wenn man das Ganze auch Experten überlassen kann? Das Betreiben einer IT ist kostenaufwändig, verbunden mit hohen Personalausgaben und lenkt häufig vom Kerngeschäft ab. Bei Outsourcing der IT fallen diese Probleme weg. Kostenoptimierung, Zeiteinsparung und die Konzentration auf das eigene Unternehmen führen zu einem Wettbewerbsvorteil durch stetige Weiterentwicklung.

Im Folgenden gehen wir mit Ihnen durch, was Sie beim IT-Outsourcing rechtlich zu beachten haben. Insbesondere die komplexe Vertragsgestaltung sowie die Wahrung des Datenschutzes stellen Kernfragen beim Prozess des IT-Outsourcings dar.

IT-Outsourcing: Das Vorgehen

Beim IT-Outsourcing muss strukturiert und organisiert vorgegangen werden. Das BSI empfiehlt dabei folgende Vorgehensweise:

1. Strategische Planung
2. Definition des wesentlichen Sicherheitskonzepts
3. Auswahl des Outsourcing-Dienstleisters
4. Vertragsgestaltung
5. Erstellung eines Sicherheitskonzepts
6. Migrationsphase
7. Planung und Sicherstellung des laufenden Betriebs

Es empfiehlt sich immer genau im Auge zu behalten, in welcher Phase man sich gerade befindet. Nur so kann man einen Überblick behalten und genau wissen, welche Aufgaben sich im Hinblick auf das IT-Outsourcing aus rechtlicher und organisatorischer Sicht gerade stellen.

IT-Outsourcing: Die Vertragsgestaltung

Aus rechtlicher Sicht steht die Vertragsgestaltung im Vordergrund. Je nach Umfang, Art und Begebenheiten des geplanten IT-Outsourcings ergeben sich verschiedene Gestaltungsmöglichkeiten des Vertrags. Hier kann keineswegs ein für alle passendes Standardmodell empfohlen werden. Dies erschwert auch die rechtliche Klassifizierung des Vertragstyps. Meistens kann aufgrund der Komplexität des Outsourcings eine Mischung aus Dienst-, Miet-, Kauf- und Werkvertrag angenommen werden. Dies führt dazu, dass viele Fragen, die das Gesetz sonst zu den einzelnen Vertragstypen regelt, nun im Vertrag selbst geregelt werden sollten, damit es nicht zu einem Rätselraten kommt, welche gesetzliche Regelung anwendbar ist.

Als erstes sollte der Vertragsgegenstand festgehalten werden. Dazu gehört zunächst einmal eine allgemeine Leistungsbeschreibung. Diese beinhaltet, was genau der externe IT-Dienstleister leisten muss, wie er vergütet wird, ob er Personal übernehmen muss und wie Haftung, mögliche Sanktionen und Schadenersatzzahlungen ausgestaltet werden. Es ist wichtig, sorgfältig vorzugehen, um alle Eventualitäten hinsichtlich des zukünftigen Bezugs von Leistungen festzuhalten. Die Leistungen können vom Betrieb ganzer Rechenzentren zur reinen Softwareinstallation am Arbeitsplatz reichen.

Auch Regelungen zu einem Einbezug von Subunternehmern durch den Dienstleister sollten in Betracht gezogen werden. Dies wird auch im Hinblick auf die Weitergabe von Daten an den Subunternehmer relevant (s.u.).

In sog. Service-Level Agreements (SLAs) muss zudem festgelegt werden, wie lange der Dienstleister erreichbar sein, wie viel Personal er aufwenden, wie viel Speicherplatz er zur Verfügung stellen soll oder wie Kommunikation und Support ablaufen soll.

Es empfiehlt sich des Weiteren Regelungen zur Leistungskontrolle einzufügen. So kann eine Dokumentationspflicht für die Vertragsparteien insbesondere im Fall einer Leistungsstörung von Bedeutung sein. Wird die gesamte Leistung stetig kontrolliert, dann lassen sich auch Fehler leichter finden und beheben. Dazu gehören auch Monitoring und Reporting. Der Auftraggeber sollte also Regelungen zur Nachverfolgung der Leistungserbringung treffen, während der Auftragnehmer regelmäßig Bericht über seine Tätigkeit erstatten sollte.

Hinzu kommt, dass im Falle eines Rücktritts vom Vertrag oder bei regulärer Beendigung nach Ablauf der Vertragszeit, das Re-Insourcing geregelt werden sollte, also die Rückabwicklung des Outsourcingvertrags und die Wiedereingliederung der IT-Abteilung in das Unternehmen. In diesem Kontext sollte auch in Betracht gezogen werden, eine Regelung zur Weiterverwendung der vom Dienstleister im Rahmen der Geschäftsbeziehung eingesetzten Tools, Anleitungen, Skripte und Prozeduren nach Beendigung der Vertragsbeziehung zu treffen.

Außerdem müssen Fragen betreffend der Übernahme von bereits bestehenden Verträgen des Dienstleisters mit Dritten geklärt werden. Hier kommt häufig das Urheberrecht ins Spiel. Der Auftraggeber wird in seiner bisherigen, eigenen IT-Abteilung (Software-) Lizenzverträge mit Dritten abgeschlossen haben. Es muss dann geklärt werden, ob er diese Verträge an einen externen Dienstleister übertragen kann.

Nicht unterschätzt werden sollte zudem das Risiko der Offenlegung von sensiblen Informationen wie Geschäftsgeheimnissen. Schließlich wird die IT mit allem in Berührung kommen können, was innerhalb des Unternehmens über das Internet kommuniziert und gespeichert wird. Damit Geschäftsgeheimnisse ausreichend geschützt sind, sollten sog. Non-Disclosure-Agreements (NDAs) geschlossen werden. Darunter sind Verschwiegenheitserklärungen zu verstehen, die den Dienstleister verpflichten, Stillschweigen über Betriebsinformationen zu wahren. Das ist nicht nur im Interesse des Auftraggebers, sondern auch des Dienstleisters, der sich bei der Verletzung von Geschäftsgeheimnissen den Konsequenzen des Geschäftsgeheimnisgesetzes (GeschGehG) ausgesetzt sieht. Es empfiehlt sich sogar, die NDAs schon bei Gesprächen mit mehreren potenziellen Auftragnehmern mit jedem einzelnen abzuschließen und nicht nur mit dem, der letztendlich Vertragspartner werden soll.

IT-Outsourcing: Datenschutz

Daten und andere vertrauliche Informationen werden heutzutage kaum noch auf Papier geschrieben und im Schrank gelagert, stattdessen werden sie im IT-System erfasst. Dies schließt die Kenntnisnahme durch den externen IT-Dienstleister automatisch mit ein. Die Anforderungen von Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) müssen daher im Auge behalten werden.

Bei Übergabe der IT-Struktur werden fast immer personenbezogene Daten wie Mitarbeiterdaten oder Kundendaten betroffen sein. Verarbeitet das IT-Unternehmen diese Daten (z.B. Abspeichern auf den eigenen Servern bzw. in der Cloud), dann greifen die Anforderungen und Verpflichtungen von DSGVO und BDSG ein. Um herauszufinden, welche Anforderungen und Pflichten aus DSGVO und BDSG eingreifen, ist es beim IT-Outsourcing besonders wichtig zwei Fragen zu beantworten:

1. Liegt eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vor?

Der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortung liegt darin, dass bei einer Auftragsverarbeitung der Outsourcing-Dienstleister nur als weisungsgebundener Gehilfe die Datenverarbeitung durchführt. Er ist also quasi nur der verlängerte Arm, der Auftraggeber hingegen bleibt „Herr der Daten“. Konsequenz ist, dass der Auftraggeber auch für den Datenschutz verantwortlich ist und nicht der Outsourcing-Dienstleister. Diese Konstellation bildet den Regelfall und als Konsequenz muss hierfür ein sog. Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Im Rahmen dessen dürfen die Daten nur zweckgebunden und nach Weisung des Auftraggebers verarbeitet werden. Verstößt der Auftragsverarbeiter gegen diese Weisung, dann wird er selbst zum Verantwortlichen.

Dem Auftraggeber obliegt die Pflicht, den Auftragsverarbeiter sorgfältig auszuwählen, insbesondere in Hinblick auf die Garantie von ausreichenden technischen und organisatorischen Maßnahmen. Auch bei der Auftragsverarbeitung darf der Auftragnehmer Subunternehmer einschalten, allerdings bedarf es dazu der Zustimmung des Auftraggebers.  Zudem treffen den Auftragnehmer Dokumentationspflichten sowie Meldepflichten bei Datenpannen.

Bei der gemeinsamen Verantwortung ist der Outsourcing-Dienstleister im Gegensatz dazu für den Datenschutz genauso verantwortlich wie sein Auftraggeber. Das hat zur Konsequenz, dass die Datenverarbeitung auch einer eigenständigen Rechtsgrundlage unterliegen muss. Beispielsweise kann der Auftraggeber dem IT-Dienstleister die Daten nur weitergeben, wenn dafür eine eigenständige Rechtsgrundlage gegeben ist. Es reicht nicht aus, wenn beispielsweise eine Einwilligung zur Datenverarbeitung nur durch den Auftraggeber des Outsourcings vorliegt und sie keine Weitergabe an den IT-Dienstleister beinhaltet. So müssen auch die Betroffenenrechte durch beide wahrgenommen werden. Wer genau was macht, muss dazu vertraglich vereinbart werden.

2. Werden die Daten innerhalb oder außerhalb der EU verarbeitet?

Die zweite Unterscheidung betrifft die Frage, wo der Outsourcing-Dienstleister sich befindet. Befindet er sich in der EU, dann wird von einem angemessenen Datenschutzniveau ausgegangen. Insbesondere beim IT-Outsourcing ist es jedoch häufig der Fall, dass das Outsourcing in Länder außerhalb der EU vorgenommen wird, wie z.B. in die USA oder auch nach Indien. Die Datenschutz-Grundverordnung (DSGVO) besagt, dass auch bei der Übermittlung von Daten in Drittländer Datenschutz sichergestellt sein muss. Insbesondere finden auch die Regelungen zur Auftragsverarbeitung Anwendung.

Ob die Datenübermittlung in die Drittstaaten zulässig ist, richtet sich nach zwei Voraussetzungen:

1. Gibt es eine Rechtsgrundlage, die die Übermittlung legitimiert? Hier ist zu fragen, ob eine Übermittlung der Daten an sich überhaupt zulässig ist, beispielsweise aufgrund berechtigter Interessen. Dieser Prüfungspunkt wird also unabhängig davon beurteilt, ob die Übermittlung innerhalb Deutschlands, der EU oder in ein Drittland vorgenommen wird. Hier ist bei einer Auftragsverarbeitung oder gemeinsamen Verantwortung zu prüfen, ob die jeweiligen Voraussetzungen eingehalten wurden.
2. Sind die spezifischen Vorgaben zum Drittlandtransfer eingehalten? Hier wird dem Umstand Rechnung getragen, dass sich der Empfänger außerhalb der EU befindet. Die Übermittlung personenbezogener Daten darf dann nach der DSGVO nur erfolgen, wenn die Europäische Kommission festgestellt hat, dass das entsprechende Drittland ein angemessenes Datenschutzniveau bietet.

Liegt eine solche Feststellung nicht vor, dann dürfen die Daten nur ins Ausland übermittelt werden, wenn Garantien zum Schutz der Daten aufgestellt und vereinbart werden. Dazu kann der Verantwortliche u.a. auf Standarddatenschutzklauseln zurückgreifen, die von der Kommission erlassen wurden oder auch individuelle Vertragsklauseln mit der datenempfangenden Stelle vereinbaren.

Auch wenn dergleichen nicht gegeben ist, statuiert die Datenschutz-Grundverordnung (DSGVO) weitere Ausnahmen, nach denen der Datentransfer in Drittländer doch noch klappen kann, z.B. durch eine ausdrückliche Einwilligung der betroffenen Person oder wenn es zur Erfüllung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person erforderlich ist.

Das könnte Sie auch interessieren:

• NDAs und Geschäftsgeheimnisse
• Software as a Service (SaaS) in der rechtlichen Umsetzung
• Agile Softwareprojekte in der Vertragsgestaltung
• Einsatz cloudbasierter Softwarelösungen
• Auftragsverarbeitung und DSGVO

Fazit: Mit einer optimalen Vorbereitung zum Ziel

Die Gestaltung eines IT-Outsourcing-Vertrags erfordert eine optimale Vorbereitung. Verschiedenste Rechtsgebiete müssen abhängig von dem konkreten Sachverhalt erfasst und eingehalten werden, wie beispielsweise Datenschutzrecht, Vergaberecht, Kartellrecht, Arbeitsrecht und Urheberrecht. Es sind detaillierte Regelungen erforderlich, um von Beginn an dem Interesse an einem reibungslosen Ablauf des Outsourcing-Projekts gerecht zu werden.

Brauchen Sie Unterstützung und Beratung bei einem IT-Outsourcing-Projekt? Kommen Sie gerne auf unsere Experten im IT- und Datenschutzrecht von Schürmann Rosenthal Dreyer Rechtsanwälte zu!

Brexit: Wie geht es weiter mit Unionsmarken?

Der Verkaufserfolg eines Unternehmens ist oft in hohem Maße von der Marke abhängig, die dessen Angebot repräsentiert. Entsprechend groß ist das Interesse daran, die Marken vor einem Missbrauch durch Mitbewerber zu schützen. Mit dem bevorstehenden Brexit kann der Schutz europäischer Marken aber durcheinander geraten. Was europäische Marken sind, wie sie der Brexit beeinflussen kann und wie sich Unternehmen auf das Kommende vorbereiten können, haben wir für Sie in den wichtigsten Punkten zusammengefasst.

Der Markenbegriff und die Unionsmarke

Juristisch gesprochen steht der Begriff der Marke für ein Zeichen, das die Waren oder Dienstleistungen eines Unternehmens von denjenigen der Mitbewerber unterscheiden soll. Über diese nüchterne Definition hinaus geht es um viel mehr als nur die bloße Unterscheidungskraft: Bestenfalls fühlen Kunden sich mit einer Marke derart verbunden, dass sie ihr über einen langen Zeitraum treu bleiben. Es kann durchaus vorkommen, dass eine Marke allein einer der wertvollsten Werte eines Unternehmens ist.

Daher besteht ein großer Bedarf, sich Marken für die eigenen Produkte oder Dienstleistungen schützen zu lassen, um die missbräuchliche Verwendung der Marke durch Wettbewerber zu verhindern. Dieser Schutz ist mit der Eintragung der Marke möglich, wobei sich verschiedene Möglichkeiten bieten: Entweder lässt sich eine nationale Marke eintragen, die nur im jeweiligen Land geschützt ist oder es lassen sich eine EU-weite Unionsmarke und sogar eine internationale Marke für eine Vielzahl von Staaten eintragen. Im Folgenden soll auf die beliebte Unionsmarke eingegangen werden, für die aus dem anstehenden Austritt des Vereinigten Königreichs aus der EU, dem sogenannten Brexit, eine Fülle von Unsicherheiten entspringen.

Der Schutz einer Marke – die Basics

Wie geht man zunächst vor, wenn man sich eine Marke EU-weit schützen lassen will? Anfangs muss der Schutzumfang geklärt werden. Marken können sehr unterschiedlich sein: es gibt nicht nur die klassischen Formen wie Wortmarken, die lediglich aus Wörtern oder Buchstaben bestehen oder wie Bildmarken aus nicht standardisierten Schriftzeichen und Bildelementen, sondern daneben gibt es –  zwar weniger häufig anzutreffen, aber genauso zulässig – z.B. Hörmarken, die ausschließlich aus Klängen zusammengesetzt sind, oder auch Hologrammmarken.

Die genaue Ausgestaltung des Zeichens muss bei der Anmeldung genauso angegeben werden wie die Waren und Dienstleistungen, für die die Marke geschützt werden soll. Die Erstellung eines Waren- und Dienstleistungsverzeichnisses kann durchaus hohen Aufwand erfordern. Denn auf der einen Seite müssen die Angaben möglichst konkret sein, auf der anderen Seite kann das Verzeichnis später aber auch nicht mehr erweitert werden, weshalb man schon bei der Markenanmeldung die zukünftige Entwicklung im Blick haben sollte. Darüber hinaus neigt ein zu umfangreiches und allgemeines Register wiederum dazu, eher mit den Markenrechten anderer zu kollidieren. Zudem verringern falsche Klassifizierungen die Verteidigungschancen bezüglich der eigenen Marke. Eine umfassende Beratung ist daher vor allem bei einem breiten Angebot empfehlenswert.

Die Stellung der Unionsmarken vor und nach dem Brexit

Ob der Brexit nun mit oder ohne Abkommen vollzogen wird, auf die Unionsmarke dürfte bei beiden Optionen ein ähnliches Szenario zukommen: Unionsmarkeninhaber sollten sich zumindest zeitweise darauf einstellen, dass es keine gemeinsamen markenrechtlichen Bestimmungen mehr gibt. Mit dem Austritt wird das Vereinigte Königreich zum EU-Drittland, für welches die maßgebliche Unionsmarkenverordnung (UMV) nicht mehr gelten wird.

Bestehende Unionsmarken, die vor dem Brexit auch in U.K. Schutz genossen haben, sind dort ab dem Austritt sofort oder gegebenenfalls nach einer kurzen Übergangszeit nicht mehr geschützt. Unionsmarken, die danach angemeldet werden, haben ohnehin keine Geltung im Vereinigten Königreich. Der dortige Markenschutz bestimmt sich ab dem Austritt ausschließlich nach dem nationalen britischen Recht. Ob entsprechende Abkommen geschlossen werden, die beispielsweise Unionsmarken auch im Vereinigten Königreich anerkennen, bleibt abzuwarten. Anhängige Markenanmeldungen werden zwar noch bearbeitet, für U.K. hat die Anmeldung jedoch keine Geltung mehr.

Umwandlung von Unionsmarken?

Unionsmarken oder Unionsmarkenanmeldungen können unter bestimmten Voraussetzungen in nationale Marken(-Anmeldungen) umgewandelt werden. Diese Möglichkeit ist allerdings vor allem für die folgende Situation geschaffen worden: Liegen Eintragungshindernisse in auch nur einem Mitgliedsstaat vor, so kann keine Unionsmarke eingetragen werden, da der Markenschutz in der gesamten Union nur gelten kann, wenn in der gesamten Union keine Eintragungshindernisse bestehen.

Um den Markenschutz für die übrigen Länder zu retten, kann die Unionsmarke dann in die nationalen Marken der verbleibenden Mitgliedsstaaten umgewandelt werden. Eine Umwandlung in nationale Marken(-Anmeldungen) von Drittländern, wie es das Vereinigte Königreich nach dem Brexit sein wird, ist also nicht vorgesehen. Wurde eine Umwandlung also noch vor dem Austrittsdatum vollzogen, wird der Markeninhaber Inhaber einer britischen Marke – danach ist auf das nationale britische Verfahren zu verweisen.

Das UKIPO stellt regelmäßig Stellungnahmen zum Verfahren im Rahmen des Brexits zur Verfügung. Auf weiterführende Informationen aus jenen technical notes sollte in diesem Zusammenhang geachtet werden.

Die Rolle der Gerichte

Auch die Gerichtsbarkeit wird sich ändern. Entscheidungen der EU-Markengerichte entfalten nur für das Unionsgebiet Rechtswirkung. Die Entscheidungen der Gerichte haben damit keinerlei Einfluss mehr im Vereinigten Königreich. Rechtskräftige Entscheidungen in Bezug auf Markenrechtsverletzungen, die vor dem Austrittsdatum begangen wurden, können nur noch nach den britischen Bedingungen vollstreckt werden. Liegt etwa eine einstweilige Verfügung eines EU-Markengerichts für das Vereinigte Königreich vor, wird sie in der Regel nach dem Brexit nicht mehr vollstreckt werden, da, jedenfalls ohne ein Abkommen, sie für U.K. nicht mehr gilt und es bislang keine britischen Bestimmungen gibt, die den Schutz der Unionsmarken und auf ihm beruhende Gerichtsentscheidungen aufrechterhalten. Details müssen nach den Kollisionsnormen des internationalen Privatrechts beurteilt werden. Welche Bestimmungen im Einzelfall greifen, kann sehr unterschiedlich sein und muss daher genau überprüft werden.

Wäre ein britisches Gericht nach Artt. 123-126 UMV in einer Angelegenheit zuständig, zum Beispiel weil im Vereinigten Königreich eine Markenrechtsverletzung begangen wurde, entfällt mit dem Brexit diese Zuständigkeit. Inhaber von Unionsmarken, deren Sitz im Vereinigten Königreich liegt, können zwar weiterhin ihre Rechte geltend machen, müssen aber vor ein Unionsmarkengericht ziehen, das nur in einem EU-Mitgliedsstaat liegen kann. Haben weder Kläger noch Beklagter in dem Verfahren einen Wohnsitz oder eine Niederlassung in einem Mitgliedsstaat der Union, sind nach Art. 125 UMV die Gerichte in Spanien zuständig, wo das EUIPO seinen Sitz in Alicante hat.

Was ist noch zu beachten?

Eine Unionsmarke unterliegt nach Art. 18 UMV einem Benutzungszwang. Sie muss für die Waren oder Dienstleistungen, für die sie eingetragen ist, auch benutzt werden, wobei es eine Schonfrist von fünf Jahren gibt. Dabei stellt sich die Frage, ob die Benutzung in U.K. nach dem Brexit noch rechtserhaltend ist. Für die Benutzung nach dem Austritt ist das nicht der Fall – der Zeitraum davor entfällt hingegen nicht, sondern kann weiterhin zur Wahrung der Rechte aus der Marke angeführt werden.

Also eine neue Marke anmelden?

Wenn sich der Schutz ausschließlich nach britischem Recht beurteilt, heißt das, dass ohne Abkommen mit U.K. ganz einfach nur noch die britische oder die internationale Marke mit Geltung in U.K. geschützt sind, während der Schutzbereich von Unionsmarken für U.K. schlicht entfällt. Ob sich eine zusätzliche Markenanmeldung lohnt, hängt davon ab, ob das Vereinigte Königreich ein relevanter Markt für das eigene Unternehmen ist. Je gewichtiger die Rolle des britischen Marktes für das eigene Unternehmen ist, desto eher kann eine eigene Markenanmeldung für das Vereinigte Königreich sinnvoll sein.

Am einfachsten wäre dabei die Anmeldung einer internationalen Marke für U.K., die auf Grundlage einer Basismarke im jeweiligen Niederlassungsland über die Weltorganisation für geistiges Eigentum (WIPO) angemeldet werden kann. Dennoch bleiben Aufwand und Kosten – Lohnen diese also, wenn doch ohnehin geringere Absatzzahlen in Zukunft zu erwarten sind? Mit einer umfassenden Beratung zur Markenanmeldung lassen sich am Ende Kosten und Nutzen gut gegenüberstellen.

Fazit

Der Brexit bringt auch im Markenrecht einige Unsicherheiten und gegebenenfalls einige Kosten mit sich. Für Unionsmarkeninhaber dürfte ihr Markenschutz für das Vereinigte Königreich entfallen, wenn auch der genaue Zeitpunkt noch unklar ist. Ist für das eigene Unternehmen der Markt aber ein wichtiger, auf den man auch künftig nicht verzichten will, sollte frühzeitig reagiert werden, damit am Ende lückenloser Markenschutz besteht. Dafür gibt es trotz aller Unsicherheiten Lösungen in Form der nationalen U.K.-Marke oder der internationalen Marke, bei deren Umsetzung wir Ihnen gerne weiterhelfen.

„Künstliche Kreativität“? – Schutz von KI und ihrer Werke durch Urheberrecht

Mein Buch, mein Lied, mein Bild – rechtlich bedeutet das nichts anderes, als ein gewerbliches Schutzrecht in Form eines Urheberrechts an seinem Werk zu besitzen. Inzwischen sind wir zum Glück in der Rechtsordnung an einem hohen Schutzniveau geistigen Eigentums angelangt. Autoren, Songwriter und Maler müssen nicht mehr befürchten, an ihrem Beruf zu verarmen oder an ihrer Idee beklaut zu werden.

Um den urheberrechtlichen Schutz genießen zu können, ist jedoch eines ausschlaggebend: das Werk ist eine persönliche geistige Schöpfung. Nur Menschen werden bisher als in der Lage angesehen, abstrakt und kreativ zu denken und deshalb schützenswerte künstlerische Werke hervorzubringen. Aus diesem Grund werden aktuell die Fälle heiß diskutiert, in denen künstliche Intelligenz – also ein selbstlernender Algorithmus – Songs komponiert, Bücher schreibt oder Gemälde malt.

Das Problem dahinter: Künstliche Intelligenz zeichnet sich gerade dadurch aus, dass sie zwar von einem Menschen programmiert wird und auf von einem Menschen geschaffenen Algorithmus beruht, jedoch durch Training in der Lage ist, immer mehr selbst zu lernen und eigene Entscheidungen zu treffen. Sie kann so verselbstständigt sein, dass man sich aus urheberrechtlicher Sicht fragen muss, ob das dahinterstehende Werk überhaupt noch von einem Menschen stammt und daher geschützt werden kann. Von dieser Situation ist die Frage zu unterscheiden, ob die künstliche Intelligenz, also das Computerprogramm an sich, das von einem Menschen erstellt wurde, geschützt werden kann.

Ist die künstliche Intelligenz selbst geschützt?

Die erste Frage ist, ob die künstliche Intelligenz überhaupt selbst geschützt werden kann, wie beispielsweise ein Songwriter seinen Song oder ein Maler sein Gemälde schützen kann. Es mag schwierig sein, eine vergleichende Linie zwischen einem Programmcode und einem Songtext zu ziehen. Doch in der Tat genießen nach § 69a UrhG auch Computerprogramme urheberrechtlichen Schutz als Sprachwerke. Dies ist durchaus nachzuvollziehen, denn wie bei einem Songtext steht hinter einem Computerprogramm eine persönliche schöpferische Leistung, die zudem auf erheblichem Aufwand und Investitionen beruht. Urheber ist dann der Programmierer, Rechteinhaber das Tech-Unternehmen (z.B. Microsoft), für das der Programmierer arbeitet oder beauftragt wurde.

Allerdings muss hier genau differenziert werden: nicht unter den Schutz fallen nämlich die abstrakten Algorithmen, die standardmäßig einem Computerprogramm zugrunde liegen, also nicht speziell für ein individuelles Computerprogramm entwickelt wurden, sondern Basis eines jeden Computerprogramms sind.

Es ist daher immer am Einzelfall zu bewerten, welche Algorithmen konkret für die entsprechende künstliche Intelligenz entwickelt wurden. Geht es beispielsweise um eine künstliche Intelligenz, die neue Bilder eines bestimmten, verstorbenen Künstlers malen oder die Fortsetzung einer bestimmten Buchreihe schreiben soll, dann müssen speziell dafür eigene Programmcodes entwickelt werden, mit der der KI die jeweiligen Fähigkeiten beigebracht werden konnten.

Kann das Kunstwerk der KI geschützt werden?

Wenn nun Joanne K. Rowling einen achten Harry Potter Band schreiben würde, dann wäre das urheberrechtlich gesehen keine spannende Konstellation. Wie sieht es jedoch aus, wenn eine KI derart mit Informationen über Schreibstil des Autors und Inhalt der vorherigen Bücher lernen würde, dass sie eigenständig eine Fortsetzung im passenden Schreibstil des Autors verfassen könnte? So übrigens schon geschehen, als Resultat ist jedoch weniger überzeugend die Geschichte „Harry Potter und der Stein auf dem Boden“ entstanden. Bekannt wurde auch der Fall, als eine künstliche Intelligenz einen neuen Rembrandt gemalt hat, nachdem sie mit allen möglichen Rembrandtgemälden trainiert wurde. Die Werke an sich wären, wenn sie von einem Menschen geschaffen worden wären, nach dem Urheberrecht schutzwürdig – allerdings nicht so einfach, wenn sie durch eine KI entstanden sind.

Wie bereits erwähnt werden nur menschliche Schöpfungen geschützt. KI wird bisher weder als Rechtsperson noch als Schöpfer anerkannt, weshalb ihre Werke grundsätzlich keinen urheberrechtlichen Schutz genießen. Es ist jedoch danach zu differenzieren, inwieweit man das Werk noch dem Anwender der KI, also dem hinter der KI stehenden Menschen, zuerkennen kann:

1.       KI als technisches Hilfsmittel:

Zum einen besteht die Möglichkeit, dass die KI nur technisches Hilfsmittel des Menschen ist. In den Fällen ist die KI-Anwendung mit der eines Fotoapparats zu vergleichen, wo das Urheberrecht am Foto auch nicht dem Fotoapparat, sondern dem Fotografen gebührt. Sie stellt beispielsweise dann nur ein technisches Hilfsmittel dar, wenn ihr vom Anwender konkrete und genaue Vorgaben gemacht werden. In den Fällen, wo die KI selbstständig arbeitet, ist sie allerdings mehr als nur ein Hilfsmittel oder Werkzeug.

2.       KI als „Schöpfer“:

In den Konstellationen, in denen alle wesentlichen Gestaltungen und Entscheidungen durch die KI geprägt werden, ist der KI-Anwender nicht nah genug am entstandenen Werk, um noch eine menschliche Schöpfung und damit ein Urheberrecht anerkennen zu können. Auch dem Softwareentwickler steht kein Urheberrecht am Erzeugnis seiner Software zu, wenn er keine Gestaltungsmöglichkeiten am Werk hatte, sondern die KI diese Gestaltungsentscheidungen automatisiert übernommen hat. Davon zu unterscheiden ist jedoch der Fall, dass der Programmierer bereits bei der Softwareentwicklung wesentliche Gestaltungsentscheidungen vorgegeben hat, die sich im endgültigen Werk der KI niedergeschlagen haben.

Um diese Lücke im Urheberrecht zu schließen, hat auch das Europaparlament diskutiert, KI mit einer eigenen Rechtspersönlichkeit auszustatten. Das würde nicht nur im Urheberrecht der KI eigene Rechte einräumen, sondern sich beispielsweise auch bei Haftungsfragen im Zusammenhang mit KI auswirken. Dass derartige Vorschläge jedoch konkretere Form annehmen werden, ist bisher noch Zukunftsmusik.

Um die Unterscheidung zu treffen, ob die künstliche Intelligenz nur ein technisches Hilfsmittel oder mehr ist, muss immer der technische Prozess von der Entstehung bis zur Anwendung der KI nachvollziehbar sein. Nur so kann festgestellt werden, wo der Einfluss des Menschen endet.

Exkurs: Leistungsschutzrechte – so nah wie möglich am Urheberrecht

Im Urhebergesetz (UrhG) ist übrigens nicht nur urheberrechtlicher Schutz normiert. Auch die sog. Leistungsschutzrechte werden dort festgelegt. Anders als das Urheberrecht sind diese Leistungsschutzrechte nicht an eine persönliche geistige Schöpfung geknüpft. Stattdessen zielen sie auf den Schutz von wirtschaftlichen und organisatorischen Leistungen ab, die im Zusammenhang mit den Werken der Urheber erbracht werden. Darunter fällt u.a. der Schutz des Tonträgers oder der Veröffentlichung eines Presseerzeugnisses. Der Gedanke dahinter ist simpel: Das Werk an sich ist erst dann wertvoll, wenn es auch in die Gesellschaft eingebracht werden und Gewinne einbringen kann.

Ein wichtiger Unterschied zum Urheberrecht liegt auch darin, dass das Urheberrecht stets nur einem Menschen zustehen kann. Leistungsschutzrechte werden jedoch auch Unternehmen (also juristischen Personen) gewährt. Im Hinblick auf den KI-Anwender oder KI-Programmierer, denen ggf. aufgrund unzureichender Gestaltungsentscheidungen am Werk der KI kein Urheberrecht zustehen kann, sind die Leistungsrechte von Bedeutung. So kann beispielsweise ein Lichtbild, das eine KI vollständig automatisiert geschossen hat, zwar keinen urheberrechtlichen Schutz genießen. Der Aufnahmevorgang kann allerdings aufgrund der vorgelagerten technischen Leistung dem Hersteller zugerechnet werden und daher ein Leistungsschutzrecht nach § 72 UrhG darstellen.

Unter die Leistungsschutzrechte fällt auch das Datenbankherstellerrecht. Danach ist derjenige geschützt, der eine wesentliche Investition zur Schaffung einer Datenbank vorgenommen hat. Im Zusammenhang mit der Schaffung von künstlicher Intelligenz kann unter Umständen der Softwareentwickler schutzbedürftig sein und daher ein Leistungsschutzrecht innehaben.

Im Zusammenhang mit KI ergibt sich aus dem Urhebergesetz folglich nicht nur der urheberrechtliche Schutz des Werks. Werden wirtschaftliche Investitionen vorgenommen, um ein Werk zu gestalten, dann wird das ebenfalls geschützt.

Fazit: Je eher dem Menschen zurechenbar, desto einfacher zu schützen

Das Themengebiet Künstliche Intelligenz und Urheberrecht befindet sich in einer spannenden Entwicklung. Sowohl wenn man seine neu entwickelte künstliche Intelligenz schützen will als auch wenn man versucht, das Ergebnis seiner KI urheberrechtlich zu schützen, kommt es zu spannenden Rechtsfragen. Die große Herausforderung liegt aktuell darin, die Voraussetzung der persönlichen geistigen Schöpfung zu erfüllen, wenn man das Werk einer KI schützen will. Das gelingt, desto eher die KI als technisches Hilfsmittel betrachtet werden kann und je mehr Gestaltungsmöglichkeiten beim Menschen verbleiben.

Werke von höchst autonomen künstlichen Intelligenzen lassen sich zurzeit nicht schützen. Eine Möglichkeit besteht jedoch darin, einen Schutz über Leistungsschutzrechte herbeizuführen, wenn eine schützenswerte wirtschaftliche oder organisatorische Leistung nach dem Urhebergesetz im Zusammenhang mit der Herstellung der KI erbracht wurde.

Auch beim Schutz der KI an sich, also des Computerprogramms, ist Vorsicht angebracht. Die Algorithmen, die allgemein bei jedem Programmieren einer KI gebraucht werden und nicht speziell für die eigene KI entwickelt wurden, werden nicht dem Urheberrecht unterfallen.

Haben Sie Fragen zu diesem oder anderen urheberrechtlichen Themen? Dann sprechen Sie gerne unsere Urheberrechtsexperten von Schürmann Rosenthal Dreyer Rechtsanwälte an und vertrauen Sie auf unsere Expertise!

EuGH-Urteil zur Einbindung von Like-Buttons: Welche Pflichten haben Seitenbetreiber?

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 in der Rechtssache FashionID (C-40/17) ein wichtiges Urteil zu dem Anwendungsbereich und den Grenzen der gemeinsamen Verantwortlichkeit im Datenschutz gefällt. Konkret hat er entschieden, dass für die Einbindung eines Facebook Like-Buttons auf einer Webseite  der Webseiten-Betreiber und Facebook gemeinsam verantwortlich sind. Zugleich differenzierte der Gerichtshof auch klar, an welchen Phasen der Verarbeitung personenbezogener Daten der Betreiber tatsächlich beteiligt ist. Dabei reicht die gemeinsame Verantwortlichkeit nur so weit, wie die Datenverarbeitung noch innerhalb der Einflusssphäre der jeweils beteiligten Partei liegt. Aus dieser gemeinsamen Verantwortlichkeit ergeben sich spezielle Verpflichtungen sowohl für den Website-Betreiber als auch für den Anbieter des (Facebook-) Plugins.

Worum ging es?

Der EuGH beschäftigte sich in seinem Urteil damit, inwiefern die Verwendung des Facebook-Plugins für den „Gefällt mir“-Button (Like-Button) auf Websites datenschutzrechtlich zu bewerten ist, und beantwortete hierzu verbindlich mehrere Vorlagefragen des Oberlandesgerichts (OLG) Düsseldorf zur Auslegung des damals gültigen Datenschutzrechts. Auch wenn sich das Gericht dabei mit der vorherigen Datenschutz-Richtlinie befasste, hat das Urteil auch für die aktuelle Rechtslage unter der Datenschutz-Grundverordnung (DSGVO) große Bedeutung, da auch bei dieser die gemeinsame Verantwortlichkeit der an der Datenverarbeitung beteiligten Akteure häufig umstritten ist.

Was macht der Like-Button?

Der Like-Button kann über ein von Facebook bereitgestelltes Plugin auf jeder beliebigen Website implementiert werden. Dadurch können Website-Nutzer Inhalte auf Facebook leichter „liken“ und teilen. Das auf der Website eingebundene Plugin von Facebook übermittelt zumindest die IP-Adresse und Informationen zum Browser und dem benutzten Endgerät des Website-Besuchers an Facebook automatisch bei jedem Website-Besuch, auch wenn der Button gar nicht angeklickt wird und auch, wenn der Website-Besucher kein Konto bei Facebook hat. 

Welche Fragen wurden dem EuGH vorgelegt?

Das OLG Düsseldorf, das sich zuletzt mit der Klage der Verbraucherschutzzentrale NRW gegen den Website-Betreiber Fashion ID beschäftigt hat, legte dem EuGH insbesondere die Frage vor, ob ein Betreiber, der ein solches Plugin in seine Website einbindet, für die Datenverarbeitung (gemeinsam) verantwortlich ist, selbst wenn er den nachfolgenden Verarbeitungsvorgang selbst nicht beeinflussen kann. Verantwortlicher ist nach neuem und auch altem Datenschutzrecht eine Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Da viele Websites auf diese Weise Inhalte Dritter einbinden, hat diese Frage auch weitreichende Auswirkungen für andere eingebundene Inhalte.

Auch sollte geklärt werden, wie weit eine eventuell vorliegende Verantwortlichkeit gehen soll und wofür genau sie besteht. Darüber hinaus ging es auch um die Frage, auf welche berechtigten Interessen bei der Einbindung des Like-Buttons abzustellen ist, wer eine mögliche Einwilligung einzuholen hätte und inwieweit den Website-Betreiber Informationspflichten treffen. 

Was entschied der EuGH in seinem Urteil?

Der EuGH traf seine Entscheidung ausgehend von zwei früheren Urteilen mit ähnlicher Problematik und der auf diesen aufbauenden Schlussanträgen des Generalanwalts Bobek.

In seinem Urteil vom 05.06.2018 (Rs. C-210/16, Wirtschaftsakademie Schleswig-Holstein) entschied das Gericht, dass der Betreiber einer Facebook-Fanpage an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung beteiligt und somit mitverantwortlich ist. Begründet wurde dies insbesondere damit, dass durch den Besuch der Fanpage – auch bei Besuchern ohne Facebook-Konto – Cookies auf dem Endgerät des Nutzers abgelegt werden und dadurch der Betreiber Statistiken über personenbezogene Daten erhält, mit denen er sein Angebot zielgerichtet gestalten und dessen Vermarktung steuern kann.

Zugleich wurde jedoch ausgeführt, dass Facebook und der Fanpage-Betreiber nicht zwangsläufig gleichwertig verantwortlich sind, sondern der Grad der Verantwortlichkeit nach den Umständen des Einzelfalls zu bestimmen ist, insbesondere anhand der unterschiedlichen Phasen und des Ausmaßes der Verarbeitung.

In einem anderen Urteil vom 10.07.2018 (Rs. C-25/17, Jehovan todistajathob) kam der EuGH zu dem Schluss, dass eine Religionsgemeinschaft, indem sie die Verkündungstätigkeit ihrer Mitglieder organisiert und zu dieser ermuntert, als gemeinsam mit den Verkündigern verantwortlich anzusehen ist, wenn diese sich selbst Notizen über aufgesuchte Personen machen und dabei entscheiden, welche Daten sie erheben und weiterverarbeiten. Im Übrigen würde eine gemeinsame Verantwortlichkeit nicht voraussetzen, dass alle Beteiligten Zugang zu den personenbezogenen Daten haben.

Im aktuellen Urteil vom 29.07.2019 entschied der EuGH, dass ein Website-Betreiber, der das Facebook-Plugin mit dem Like-Button einbindet, die Übermittlung personenbezogener Daten an Facebook ermöglicht. Mit der Einbindung des Plugins optimiert der Website-Betreiber jedenfalls seine Werbung durch die Verbreitung und Sichtbarkeit auf Facebook. Zudem ist es nicht relevant, ob der Website-Betreiber Zugang zu den übermittelten Daten hat. Insgesamt ist er für diese konkrete Datenverarbeitung mitverantwortlich. 

Für welche Verarbeitungsvorgänge ist der Website-Betreiber verantwortlich?

Für die gemeinsame Verantwortlichkeit knüpft das Gericht auf die frühere Entscheidung an, dass der Grad der Verantwortung nach den Umständen des Einzelfalls zu bestimmen ist. Danach richtet sich auch, welche Verpflichtungen Facebook einerseits und den Website-Betreiber andererseits treffen.

So ist der Website-Betreiber dem EuGH zufolge nur für den Verarbeitungsvorgang verantwortlich, für den er einen tatsächlichen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung leistet. Folglich ist er durch das Einbinden des Like-Buttons (Mittel der Verarbeitung) nur für die Erhebung und Übermittlung der personenbezogenen Daten an Facebook verantwortlich, wobei sowohl Facebook als auch der Website-Betreiber gemeinsame wirtschaftliche Interessen verfolgen (Zweckeinheit).

Für darüberhinausgehende vor- oder nachgelagerte Vorgänge in der Verarbeitungskette von Facebook, für die der Betreiber weder Mittel noch Zwecke festlegt, ist der Website-Betreiber hingegen nicht im Sinne der DSGVO verantwortlich. Eine weitergehende zivilrechtliche Haftung bleibt davon jedoch unberührt. Bei Besuchern, die nicht selbst Mitglied bei Facebook sind, ist die Verantwortlichkeit des Website-Betreibers entsprechend höher zu bewerten als bei Mitgliedern des sozialen Netzwerks. 

Welche Rechtsgrundlage gilt für die Datenverarbeitung?

Sollte als Rechtsgrundlage eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) gewählt werden, so ist diese gegenüber dem Website-Betreiber für die Erhebung und Übermittlung der Daten abzugeben.

Entgegen anderslautender Medienberichte hat der EuGH nicht entschieden, dass eine Einwilligung für Like-Buttons zwingend erforderlich ist. Diese Frage könnte nun vom OLG Düsseldorf geklärt werden.

Der EuGH stellt in seinem Urteil fest, dass im Falle des Like-Buttons nach Art. 5 Abs. 3 der ePrivacy-Richtlinie eine Einwilligung erforderlich wäre, sofern dabei Informationen auf den Endgeräten des Nutzer gespeichert würden (Cookies). Diese Vorgabe der Richtlinie, die grundsätzlich nicht unmittelbar anwendbar ist, wurde in Deutschland jedoch nicht in das Telemediengesetz (TMG) übernommen. Zudem sollte man auch nicht vergessen, dass die Richtlinie selbst auch Ausnahmen von der Einwilligung für zwingend erforderliche Cookies kennt. Das Erfordernis und die notwendige Ausgestaltung der Einwilligung für das Setzen von bestimmten Cookies sind in Deutschland umstritten. Klarheit bringt insoweit auch nicht das Urteil des EuGH, dass die Frage des Einwilligungserfordernisses bei der Einbindung des Like-Buttons bewusst offen lässt.

Rechtfertigt man die Einbindung des Like-Buttons mit dem berechtigten Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO), so ist nach dem EuGH sowohl auf die Interessen von Facebook als auch auf die des Website-Betreibers abzustellen, je nachdem, welcher Verarbeitungsvorgang gerade betroffen ist. Dabei können Marketing und Werbung grundsätzlich berechtigte Interessen darstellen. Die konkrete Datenverarbeitung muss jedoch für die Verwirklichung der berechtigten Interessen erforderlich sein und die Interessen des Website-Besuchers dürfen nicht überwiegen. Fraglich bleibt dabei, inwiefern die Verarbeitung nach Übermittlung der Daten mit in die Abwägung einbezogen werden muss, insbesondere, wenn nicht genau bekannt ist, was mit den Daten passiert.

Welche Pflichten treffen die an der Verarbeitung beteiligten Akteure?

Der Website-Betreiber muss nach dem Urteil über die Datenverarbeitungen informieren, die im Rahmen seiner Verantwortlichkeit liegen, und zwar unabhängig davon, ob die betroffene Person ein Facebook-Konto hat oder nicht. Er muss in seiner Datenschutzerklärung darüber aufklären, dass und wie durch das Facebook-Plugin die Daten erhoben und übermittelt werden. Die konkrete Ausgestaltung dieser Hinweise hat der EuGH jedoch offengelassen. Für die weitere Verarbeitung sollte auf die Datenschutzerklärung von Facebook verwiesen werden.

Im Rahmen der gemeinsamen Verantwortlichkeit müssen die Verantwortlichen gemäß Art. 26 DSGVO in einer Vereinbarung festlegen, wer welche datenschutzrechtlichen Pflichten gemäß der DSGVO erfüllt. Man kann davon ausgehen, dass hier die großen Anbieter bald Vereinbarungen zur Verfügung stellen werden. Entgegen der zum Zeitpunkt der Einleitung des Rechtsstreits geltenden Rechtslage, bei der eine vergleichbare Vorschrift wie Art. 26 DSGVO in der Datenschutz-Richtlinie noch nicht existierte, könnte in einer solchen Vereinbarung der gemeinsam Verantwortlichen festgelegt werden, dass eine Seite vorrangig die Informationspflichten erfüllt und die andere lediglich auf die Informationen verweisen muss. Hier bleibt abzuwarten, wie sich insbesondere Facebook verhält und welche Vereinbarung es den Plugin-Nutzern anbietet.

Fazit

Die Einbindung des Facebook-Plugins mit Like-Button ist von datenschutzrechtlicher Relevanz. Dieses Urteil hat jedoch auch Folgen für andere Plugins, die in Online-Dienste (Websites, Apps) eingebunden werden und personenbezogene Daten an weitere Akteure erheben und übermitteln.

Jedem Anbieter von Online-Diensten ist daher anzuraten, seine dort eingebundenen Plugins und Tools zu überprüfen und ggf. Maßnahmen einzuleiten, um die Datenschutz-Konformität sicherzustellen.

EuGH: Gemeinsame Verantwortlichkeit bei der Einbindung von Like-Buttons

Am 29.07.2019 hat der Europäische Gerichtshof (EuGH) ein wichtiges Urteil zur datenschutzrechtlichen Verantwortlichkeit von Websitebetreibern verkündet (Rechtssache Fashion ID gegen Verbraucherzentrale NRW – Az. C-40/17). Der EuGH musste sich in erster Linie damit auseinandersetzen, ob Facebook allein für die Datenverarbeitung verantwortlich ist oder gemeinsam mit dem Websitebetreiber, der den Like-Button einbindet.

Nach Ansicht des EuGHs ist der Websitebetreiber für die Erhebung und Übermittlung personenbezogener Daten durch das Social-Plugin gemeinsam mit Facebook verantwortlich. Die gemeinsame Verantwortlichkeit sei jedoch auf die Phasen der Datenverarbeitung beschränkt, über deren Zwecke und Mittel der Websitebetreiber tatsächlich (mit)entscheidet. Für die anschließende Weiterverarbeitung sei daher allein Facebook verantwortlich.

Im zugrundeliegenden Fall richtete sich die nordrhein-westfälische Verbraucherzentrale im Rahmen einer Unterlassungsklage gegen den Online-Modehändler Fashion ID – eine Tochter der Peek & Cloppenburg AG. Der Modehändler hatte den Like-Button gut sichtbar auf seiner Website eingebunden, sodass Besucher angeben konnten, wenn ihnen ein Produkt gefiel. Das zuständige Oberlandesgericht legte den Fall dem EuGH im Rahmen eines Vorabentscheidungsverfahrens vor. Das Problem: Der Button übermittelt beim Aufruf der Website Kommunikationsdaten der Besucher unmittelbar an die Server von Facebook. Ein Nutzer-Account bei Facebook oder gar ein Klick auf den Button ist nicht erforderlich, damit Facebook die Daten erhält. In dieser Praxis sah die Verbraucherzentrale einen Verstoß gegen das Datenschutzrecht.

Der EuGH musste über die alte Rechtslage entscheiden, also vor Inkrafttreten der Datenschutz-Grundverordnung (DSGVO). Die grundlegenden Überlegungen zur gemeinsamen Verantwortlichkeit dürften jedoch auch auf die neue Rechtslage übertragbar sein. Das Oberlandesgericht Düsseldorf wird nun unter Berücksichtigung des Urteils des EuGHs über das Ausgangsverfahren entscheiden.

In Bezug auf drei Aspekte bringt die Entscheidung jedoch Rechtsunsicherheit:

• Aus der gemeinsamen Verantwortlichkeit der Websitebetreiber erwächst die Pflicht der Websitebetreiber ihre Besucher transparent und umfassend über die Datenverarbeitung auf ihrer Website zu informieren. Dies umfasst die Phasen der Datenverarbeitung durch Like-Buttons, für welche die Websitebetreiber mitverantwortlich sind. Der EuGH hat sich für die Erforderlichkeit solcher Hinweise ausgesprochen, die konkrete Ausgestaltung jedoch offengelassen.
• Offen bleibt nach der Entscheidung des EuGHs zudem die Frage, ob nach deutschem Recht für die Einbindung der Like-Buttons zwingend eine Einwilligung der Nutzer erforderlich ist. Diese Frage wird voraussichtlich das Oberlandesgericht Düsseldorf klären.
• Nach neuem Recht müssen die gemeinsam Verantwortlichen zudem einen Vertrag schließen, in dem insbesondere die Verteilung der datenschutzrechtlichen Pflichten geregelt ist (Art. 26 DSGVO). Es ist damit zu rechnen, dass Facebook in naher Zukunft einen entsprechenden Vertrag vorlegen wird.

Wir empfehlen die Äußerungen der Aufsichtsbehörden und der Gerichte zu den genannten Themen zu verfolgen. Wir helfen Ihnen gerne dabei, das kurz- und mittelfristige Risiko bei der Einbindung von Facebook-Like-Buttons möglichst gering zu halten. Mehr dazu lesen Sie in Kürze in unserem Blog.

Wirksamer Geheimnisschutz nach dem GeschGehG: Was Unternehmer jetzt beachten sollten

Geschäftsgeheimnisse können vielfältig sein. Das können immaterielle Dinge, wie zum Beispiel der Suchalgorithmus von Google oder die Formel für Coca-Cola sein. Ein materielles Geschäftsgeheimnis kann zum Beispiel die effiziente Anordnung einer Fertigungsstraße sein.
Allen gemein ist jedoch, dass sie wichtig für den unternehmerischen Erfolg und daher bares Geld wert sind. Ihr Wert bringt es mit sich, dass sie von der Konkurrenz ausgespäht werden oder sogar zum Objekt von Wirtschaftsspionage gemacht werden können. Allein deutschen Unternehmen entsteht nach einer Studie des Bitkom e.V. schätzungsweise ein jährlicher Schaden von beachtlichen 43 Mrd. EUR durch Angriffe auf ihre Geschäftsgeheimnisse.

Dieser Artikel gibt Unternehmen eine Richtschnur dafür vor, wie Sie einen wirksamen Geheimnisschutz etablieren können.

Starker Schutz – gestiegene Anforderungen

Deshalb ist es nur folgerichtig, dass der Schutz von Geschäftsgeheimnissen unlängst durch eine EU-Richtlinie gestärkt und europaweit auf ein einheitliches Niveau gebracht wurde. Die deutsche Umsetzung dieser Richtlinie – das Geschäftsgeheimnisgesetz – fasst eine unübersichtliche Rechtslage zusammen und ermöglicht einen effektiven und schlagkräftigen Geheimnisschutz für Unternehmen. Der Gesetzgeber trägt damit der stetig wachsenden Bedeutung von Geschäftsgeheimnissen Rechnung.

Die Kehrseite dieser Medaille ist jedoch, dass die Anforderungen an den Geheimnisschutz durch das neue Gesetz erhöht wurden. Erstmals enthält das Gesetz eine Definition dafür, wann ein Geschäftsgeheimnis vorliegt. Nach der alten Rechtslage reichte es im Wesentlichen bereits aus, dass der Unternehmer die Information geheim halten wollte und diese nicht allgemein bekannt war. Ganz so simpel ist jedoch es nach der neuen Rechtslage nicht mehr. Die wesentliche Erweiterung ist, dass Informationen mit angemessenen Geheimhaltungsmaßnahmen geschützt werden müssen. Was das konkret bedeutet, ist von Geheimnis zu Geheimnis und Unternehmen zu Unternehmen unterschiedlich. Klar ist jedoch, dass die Unternehmen, die Ihre Geheimnisse nicht systematisch schützen und diesen Schutz gut dokumentieren keinen rechtlichen Geheimnisschutz genießen werden.

Geheimnisschutz wirksam umsetzen

Zur Umsetzung des Geheimnisschutzes empfiehlt sich ein dreistufiges Vorgehen:

1. Risiken identifizieren
2. Organisation des Geheimnisschutzes
3. Maßnahmen in Bezug auf Arbeitnehmer und Geschäftspartner ergreifen

Aus der Umsetzung der Vorgaben der DSGVO lassen sich viele Parallelen zum Vorgehen in Bezug auf Geheimhaltungsmaßnahmen ziehen. So sind beispielsweise die Erstellung eines Verzeichnisses für Verarbeitungstätigkeiten oder die Datenschutzfolgenabschätzung methodisch recht ähnlich zur Implementierung eines wirksamen Geheimschutzes. Um diesen Dreiklang zu meistern, gilt es jedoch einiges zu beachten.

Risikoanalyse

Zunächst ist es für ein Unternehmen wichtig, sich klar zu machen, welche Informationen es geheim halten möchte. Das können Kundenlisten, Rezepte, Einkaufsbedingungen, Prozeduren und vieles mehr sein. Ist diese Überlegung abgeschlossen, sollten diese Geheimnisse nach Ihrer Wichtigkeit sortiert werden. Vergleichbar zu einer Datenschutzfolgenabschätzung sollten Sie nun schätzen, was die Folgen des Verlustes dieser Geheimnisse wären. Versetzen Sie sich dabei in die Perspektive eines Konkurrenten: Welche Informationen wären für diesen besonders wertvoll? Je nach Risikoprognose können die Geheimnisse dann in Kategorien eingeteilt werden.

Natürlich variieren diese Kategorien je nach Unternehmen. Man könnte diese zum Beispiel wie folgt benennen:

• Höchste Stufe (Verlust könnte für das Unternehmen existenzbedrohende Folgen haben);
• Mittlere Stufe (Bekanntwerden der Information würde einen dauerhaften wirtschaftlichen Schaden für das Unternehmen bedeuten);
• Niedrigste Stufe (Abfluss der Information würde einen zeitweiligen wirtschaftlichen Nachteil bedeuten).

Größere Unternehmen sollten bei dieser Bestandsaufnahme Wert darauflegen, dass alle Abteilungen einbezogen werden. Was Research & Development geheim halten will, kann sonst schnell in einem Verkaufsprospekt des Vertriebs landen. Geheimnisschutz kann nur funktionieren, wenn er von allen Teilen insbesondere größerer Unternehmen ernst genommen wird. Denkbar ist auch, dass auf der einen Hand die IT eines größeren Unternehmens hohen Wert auf die Sicherheit der Speicher legt, auf denen Geheimnisse gesichert sind. Auf der anderen Hand helfen diese Maßnahmen aber wenig, wenn die berechtigten Nutzer unsicher oder für mehrere Accounts benutzte Passwörter nutzen.

In fast allen Bereichen eines Unternehmens können Schwachstellen liegen. Wenn im Unternehmen jede Abteilung aktiv danach gefragt wird, was sie als Geschäftsgeheimnis einstuft, kann das schon dazu führen, dass die Mitarbeiter sensibler mit solchen Informationen umgehen.

Um die Risikoanalyse zu vervollständigen, sollten mögliche Wege, auf denen Geheimnisse verloren gehen können, festgestellt werden. Sehr häufig werden Geschäftsgeheimnisse von aktuellen oder ehemaligen Mitarbeitern entwendet. Häufige Ursache für Angriffe von Outsidern ist mangelnde Sicherheit der Unternehmens-IT. Diese sollte im Rahmen der Risikoanalyse berücksichtigt werden. Bei der Erstellung einer solchen Analyse sollte man ohnehin differenziert vorgehen. Unternehmen, die Informationen großzügig unabhängig von Ihrer Wichtigkeit als Geheim einstufen, riskieren im Zweifelsfall ungeschützt dazustehen. Das Gesetz schützt ausdrücklich nur wichtige Informationen. Ist der Unterschied zwischen wichtigen und daher geheimen Informationen nicht erkennbar, wird das Gericht auch keinen Schutz gewähren können.

Organisatorische Maßnahmen ergreifen

Mit der vollständigen Analyse ist der Weg zum fertigen Geheimnisschutzkonzept schon vorgegeben. Die Eingruppierung der Geheimnisse nach Sensibilität gibt dann auch den geforderten Umfang der Schutzmaßnahmen vor. Dabei gilt: Je wichtiger das Geheimnis für das Unternehmen ist, desto stärker sollte es geschützt werden. Ein bestmöglicher Schutz wird dabei ausdrücklich nicht von den Unternehmen verlangt. Den Umständen nach effektive Maßnahmen sollen ausreichen. Das könnten sein:

• Need-to-Know-Prinzip einführen (Zugang zu Geheimnissen nur für die Mitarbeiter, die den Zugriff tatsächlich benötigen);
• Physische Zugangsbeschränkungen einrichten (Bereiche, in denen mit Geheimnissen hantiert wird, bekommen spezielle Zugangsberechtigungen oder auch die Sperrung der Nutzung von USB-Anschlüssen Laufwerken oder Freemail-Diensten);
• Verbindliche Richtlinien für den sicheren Umgang mit Geschäftsgeheimnissen aufstellen und Mitarbeiter entsprechend schulen (Passwortrichtlinie; Bildschirm sperren, wenn Arbeitsplatz verlassen wird; Verbot Geschäftsgeheimnisse ohne Autorisierung an andere Mitarbeiter oder sogar Außenstehende weiterzugeben; Transport von Geschäftsgeheimnissen außerhalb des Unternehmens nur, wenn unbedingt notwendig et cetera);
• Geheimnisse kennzeichnen (Farbliche Codierung, um Mitarbeiter an ihre Geheimhaltungspflichten zu erinnern und Außenstehenden klar zu machen, dass die fraglichen Unterlagen geschützt sind);
• Je nach Sensibilität der Information Nutzens eigener Geräte verbieten (Restriktion von Bring-your-own-device-Ansätzen);
• Zugangskontrollen für unternehmensfremde Personen einrichten (der Zutritt für betriebsfremde sollte strikt überwacht werden; Besucher sollten für den Geheimschutz sensible Bereiche nicht betreten dürfen; evtl. Pflicht zur Abgabe von Mobiltelefonen oder anderen aufnahmefähigen Geräten für Besucher);
• Geheimnisschutzkoordinators benennen (dieser kann die Umsetzung und Einhaltung der praktischen Geheimschutzmaßnahmen überwachen und dokumentieren; er würde auch die Belehrung und Schulung der Mitarbeiter durchführen oder zumindest organisieren).

Dieser Katalog muss nicht in jeden Unternehmen vollständig umgesetzt werden. Einige Maßnahmen bieten allerdings schon bei geringem Aufwand ein großes Maß an Schutz. Nicht selten beschaffen sich ehemalige Mitarbeiter mit ihrem Ausscheiden aus einem Unternehmen unbefugt größere Datenmengen, in dem sie diese auf USB-Sticks oder sonstige Speichermedien kopieren. Solche Ereignisse können durch einfache und kostengünstige Vorkehrungen verhindert werden.

Maßnahmen in Bezug auf die Arbeitnehmer

Parallel zu den organisatorischen Maßnahmen für den Geheimnisschutz gilt es, die Belegschaft eines Betriebes vollständig in das Konzept einzubeziehen.

Schon bei der Auswahl neuer Mitarbeiter kann darauf geachtet werden, dass diese keine Zweifel an ihrer Seriosität aufkommen lassen. Wenn ein Strafverfahren Zweifel an der persönlichen Eignung des Bewerbers begründen kann, darf der Arbeitgeber auch nach anhängigen Strafverfahren fragen. Auch wenn man den Bewerbern nicht generell mit Misstrauen begegnen sollte, empfiehlt es sich, auf mögliche Warnsignale zu achten. Weitere Fragen zu Auslandskontakten, persönlichen oder finanziellen Verhältnissen sollten zumindest private Arbeitgeber nicht stellen. Der Bewerber müsste solche Dinge zwar bei einer Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz beantworten, jedoch nicht gegenüber einem privaten Arbeitgeber. Die Auswahl neuer Mitarbeiter ist zwar ein Teil eines effektiven Schutzkonzeptes. Wegen der für private Arbeitgeber eng gesteckten Grenzen ist sie jedoch kein besonders wichtiger Teil.

Einen viel größeren Einfluss auf wirksame Geheimhaltung hat die regelmäßige Schulung von Mitarbeitern im Umgang mit Geschäftsgeheimnissen. Idealerweise können Mitarbeiter so dafür sensibilisiert werden, dass der Erfolg oder Misserfolg ihres Arbeitgebers und damit auch ihr Arbeitsplatz von einem effektiven Schutz der Geschäftsgeheimnisse abhängt. Mitarbeitern, denen diese Zusammenhänge bewusst sind, werden viel eher dazu gewillt sein, den Geheimnisschutz ernst zu nehmen.

Geheimhaltungsvereinbarungen mit Mitarbeitern sollten, soweit sie nicht schon geschlossen wurden, Bestandteil des betrieblichen Geheimnisschutzes sein. Diese sollten auch nur das schützen, was wirklich der Geheimhaltung unterliegt. Wenn eine Geheimhaltungsvereinbarung einfach pauschal alle internen Informationen als Geheim markiert, ist sie im Regelfall kein wirksamer Schutz vor dem Verlust von Geheimnissen. Angemessene Schutzmaßnahmen sind solche Kontrakte darüber hinaus nur, wenn vereinbart wird, dass der Mitarbeiter auch nach Seinem Ausscheiden aus dem Unternehmen die Geheimhaltung wahrt.

Die Überwachung von Mitarbeitern ist hingegen nur in Ausnahmefällen sinnvoll. Zwar gibt es Software, die zum Beispiel das Versenden oder Kopieren großer Datenmengen erkennt und meldet. Eine Überwachung durch solche Software ist jedoch auch immer eine Verarbeitung personenbezogener Daten der Mitarbeiter. Diese ist in Deutschland nur zulässig, wenn sie den strengen Kriterien des § 26 BDSG und den arbeitsrechtlichen Grundsätzen entspricht. In den meisten Fällen werden solch drastische Maßnahmen nicht notwendig sein, um einen angemessen Schutz der Betriebsgeheimnisse gewähren zu können. Wenn Unternehmen an dieser Schnittstelle trotzdem zu Überwachungsmaßnahmen greifen wollen, sollten sie dies nur nach anwaltlicher Beratung tun und die betroffenen Mitarbeiter umfassend über Umfang und Gründe der Überwachung informieren.

Exkurs: Geografische Faktoren berücksichtigen

Wie stark ihre Schutzmaßnahmen sein müssen, hängt auch davon ab, wo sie ihre Geheimnisse aufbewahren. Viele große Industrienationen wie z.B. Südkorea und die USA bieten ein mit dem GeschGehG vergleichbares Schutzniveau. In vielen Ländern, ist der Schutz schlechter. Dazu zählen attraktive Märkte, wie z.B. China, Russland oder Indien. Das ist deshalb problematisch, weil die gesetzlichen Regelungen zum Geschäftsgeheimnissen die Unternehmen davon entlasten sollen, ihre Geheimnisse absolut zu schützen. Wenn eine Rechtsordnung diese Garantie nicht bietet, sind Unternehmen beim Geheimnisschutz auf sich selbst gestellt und müssen dort umso vorsichtiger agieren.

Eine gute Handreichung ist der jährlich veröffentlichte „Special 301 Report“ des Handelsbeauftragten der Vereinigten Staaten. In diesem wird – neben zahlreichen anderen Faktoren – auch der Schutz von Geschäftsgeheimnissen in Theorie und Praxis bewertet.

Die rot markierten Staaten bieten keinen hinreichenden rechtlichen Schutz von Geschäftsgeheimnissen. Name Annual Special 301 Report countries; veröffentlicht unter der CC BY-SA 3.0 Lizenz; Erstellt von User: Janbryan (Übernahme ohne Änderung)

Maßnahmen im Kontakt mit Geschäftspartnern

Nach bisheriger Rechtslage konnte die Weitergabe von Geschäftsgeheimnissen an Geschäftspartner dem Geheimnisschutz nichts anhaben, soweit diese vertraglich oder gesetzlich zur Geheimhaltung verpflichtet waren. Das gilt nach der neuen Rechtslage nicht mehr uneingeschränkt. Während die am wenigsten sensiblen Geheimnisse durch gesetzliche oder vertragliche Geheimhaltungspflichten gerade noch ausreichend geschützt sein könnten, reicht dieser Schutz für sensiblere Informationen sicher nicht aus. So oder so sollten Betriebsgeheimnisse zukünftig nicht mehr ohne ausreichende Geheimhaltungsvereinbarung herausgegeben werden.

Diese sollte dann auch die konkreten Geheimhaltungsmaßnahmen nennen. Unternehmen können so im Konfliktfall beweisen, dass ihre Geheimnisse auch bei den Partnern genau so stark geschützt wurden, wie im eigenen Betrieb.

Je nachdem, zu welchen Bereichen eines Unternehmens Dienstleister Zugriff haben, sollten diese ebenfalls zur Geheimhaltung verpflichtet werden. Das gilt sicherlich nicht für Handwerker oder Reinigungskräfte, die bestimmungsgemäß nicht mit Betriebsgeheimnissen in Kontakt kommen. Wenn Dritte jedoch direkten Zugang zu Geschäftsgeheimnissen erhalten (Serverraum, Archiv, Labor et cetera), sollten diese zur Geheimhaltung verpflichtet werden.

Solche Maßnahmen setzen natürlich eine wirksame Zugangskontrolle voraus.

Fazit

Was eine angemessene Geheimhaltungsmaßnahme ist, kann nur anhand des konkreten Einzelfalls beurteilt werden. Wie hier aufgezeigt, gibt es ein breites Spektrum an möglichen Maßnahmen. Da das Gesetz vor allem dem Schutz kleiner und mittlerer Unternehmen dient und ausdrücklich von angemessenen und nicht vollumfänglichen Schutzmaßnahmen spricht, wird kein absoluter Schutz verlangt. Es gilt jedoch ein sinnvolles Gesamtkonzept zu entwickeln und die Umsetzung aller Maßnahmen zu dokumentieren. Diese Dokumentation führt im Streitfall dazu, dass Unternehmen ihre Wettbewerbsvorteile, die auf Geschäftsgeheimnissen basieren, wirksam vor dem Zugriff der Konkurrenz schützen können.

Unternehmen, in denen die Vorgaben der DSGVO vollumfänglich umgesetzt wurden, werden weniger Aufwand betreiben müssen. Dabei sollten Unternehmen nie aus den Augen verlieren, dass der wirksame Schutz von Geschäftsgeheimnissen mitentscheiden für Ihren Erfolg oder Misserfolg ist und damit bares Geld wert ist. Gerne beraten wir Sie beim Entwerfen, Umsetzen und Dokumentieren eines Geheimhaltungskonzeptes.

Lesen Sie auch folgende Beiträge:

Das Geschäftsgeheimnisgesetz: Neue Herausforderungen, neue Maßnahmen!

Rechtsschutz gegen Geschäftsgeheimnisverletzungen: Leitfaden

Geschäftsgeheimnisgesetz: Rechtsdurchsetzung für betroffene Unternehmen

GeschGehG: Mit NDAs Geheimhaltungsvereinbarungen umsetzen?

Vergleichende Werbung: höher, schneller, weiter?

Update 19.07.2019

Es gibt zahlreiche Möglichkeiten, als Unternehmen für sein Angebot zu werben. Sogenannte vergleichende Werbung bietet den Vorteil, die eigenen Vorzüge nicht bloß allgemein, sondern speziell gegenüber den Mitbewerbern herauszustellen. Werbung kann immer dann vergleichend sein, wenn das eigene Produkt mit einem anderen in Bezug gesetzt wird, etwa wenn für das eigene Waschmittel „mit höherer Waschkraft“ geworben wird.

Doch nicht immer liegt auch wirklich vergleichende Werbung im Sinne des Gesetzes vor und sie ist auch nicht jedes Mal zulässig. Die rechtliche Bewertung kann im Einzelfall durchaus schwierig vorzunehmen sein.

Förderung des Wettbewerbs und Schutz der Verbraucher

Zentrale Norm ist § 6 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG), die auf den Vorgaben der europäischen Richtlinie RL 2006/1114/EG beruht. Sie definiert vergleichende Werbung als „jede Werbung, die unmittelbar oder mittelbar einen Mitbewerber oder die von einem Mitbewerber angebotenen Waren oder Dienstleistungen erkennbar macht“. Liegt danach vergleichende Werbung vor, muss geprüft werden, ob einer der Spezialfälle des Abs. 2 vorliegt, in denen sie nicht zulässig ist – denn im Grundsatz ist sie erlaubt und nur im Ausnahmefall verboten.

Diese Wertung entspringt ebenfalls der zugrundeliegenden Richtlinie, die die vergleichende Werbung prinzipiell als positiv bewertet. Sie könne dabei helfen, über Vor- und Nachteile vergleichbarer Produkte objektiv zu informieren: das fördere den Wettbewerb zwischen den Anbietern im Interesse der Verbraucher, die so aus dem Binnenmarkt den größtmöglichen Vorteil ziehen könnten. Das Gesetz soll dann mit den Ausnahmegründen nur noch vor potenziellen Nachteilen schützen. Bei der Frage, ob eine konkrete vergleichende Werbung zulässig ist, sind die Interessen des Werbenden, der anderen Mitbewerber sowie der Verbraucher sinnvoll miteinander in Einklang zu bringen.

Wann liegt vergleichende Werbung vor?

Die Werbung
Werbung im Sinne des Gesetzes ist sehr weit gefasst. Alles, was man klassisch unter Werbung versteht, fällt genauso unter den Begriff wie alle anderen Äußerungen zum Absatz eigener Produkte. Das können zum Beispiel konkrete Verkaufsangebote sein oder die Erwähnung wissenschaftlicher Untersuchungen zu eigenen Zwecken genauso wie jegliche werbliche Direktansprachen von Kunden.

Der Vergleich
Was ist nun unter einem Vergleich zu verstehen? Der EuGH sieht das recht einfach und möchte Angaben zum eigenen sowie zum fremden Angebot gegenübergestellt, nicht einmal bewertet, sehen. Dies kann beispielsweise bereits bei Vergleichslisten eigener und fremder Produkte der Fall sein.

Wirbt man bloß für die eigenen Produkte oder bemängelt man umgekehrt die anderer Unternehmen, fehlt es an der notwendigen Bezugnahme. Kritisiert man ein Unternehmen dafür, dass es seinen Getränken zu viel Zucker beimischt, ohne gleichzeitig auf das eigene Angebot zu verweisen, mag zwar wegen absatzfördernder Absicht eine Werbung, aber eben keine vergleichende vorliegen.

Der BGH hat zudem festgestellt, dass die eigenen gegenüber den fremden Produkten als Kaufalternative präsentiert werden müssen. Ein Hersteller von Aluminiumrädern hatte damit geworben, dass seine Produkte an einem Porschefahrzeug montiert waren. Da Aluminiumräder augenscheinlich keine Alternative, sondern vielmehr eine Ergänzung zu einem Porsche sind und der gute Ruf des Autoherstellers genutzt werden sollte, lag keine vergleichende Werbung vor.

Vergleichende Werbung: Nicht immer zulässig

Da die vergleichende Werbung grundsätzlich vom Gesetzgeber begrüßt wird, soll sie nur in den Fällen verboten sein, in denen die Zwecke – die Förderung des Wettbewerbs und die Information der Verbraucher – nicht begünstigt, sondern eher beeinträchtigt werden. Dafür beschreibt der § 6 UWG sechs sogenannte Unlauterkeitsgründe, die im Folgenden näher beschrieben werden sollen.

1. Gleicher Bedarf und dieselbe Zweckbestimmung

Der Vergleich muss sich erstens auf Waren oder Dienstleistungen für den gleichen Bedarf oder dieselbe Zweckbestimmung beziehen. Damit ist gemeint, dass die verglichenen Produkte hinreichend austauschbar sein müssen, was nicht zu eng verstanden werden sollte. Es können sogar Medikamente mit verschiedenen Wirkstoffen oder Anwendungsgebieten miteinander verglichen werden, genauso wie Leitungs- mit Mineralwasser und hochwertige Luxusprodukte mit billiger Massenware. Die Grenze ist erreicht, wenn die Funktionen wirklich auseinanderfallen. So wurden eine Wirtschaftszeitung und eine Lotteriegesellschaft mit dem Ziel der Geldvermehrung des Kunden miteinander in Bezug gesetzt und die Austauschbarkeit verneint.

2. Der Eigenschaftsvergleich

Zweitens muss der Vergleich sich objektiv auf wesentliche, relevante, nachprüfbare und typische Eigenschaften oder den Preis beziehen. Im Sinne des Zwecks des Gesetzes soll hiermit gewährleistet werden, dass dem Verbraucher eine informierte Entscheidung ermöglicht wird.

Als Eigenschaften gelten alle unterscheidenden Merkmale, also selbst die Verfügbarkeit eines Produkts. Der Spruch „Die beste Werbung für uns sind die Angebote der Konkurrenz“ war nicht zulässig, da er sich auf keine Eigenschaften bezog, sondern ein pauschaler Vergleich war.

3. Die Verwechslungsgefahr

Weiterhin darf der Vergleich nicht zu einer Gefahr von Verwechslungen zwischen dem Werbenden und einem Mitbewerber oder zwischen den von diesen angebotenen Waren oder Dienstleistungen oder den von ihnen verwendeten Kennzeichen führen.

Mit dieser Verwechslungsgefahr ist gemeint, dass die von der Werbung angesprochenen Personen glauben können, dass die jeweiligen Produkte vom selben Unternehmen angeboten werden. Was in diesem Zusammenhang noch möglich ist: Die Bezeichnung des anderen Produktes als „ähnlich“. So wurde die Verwechslungsgefahr verneint, als für Staubsaugerbeutel „ähnlich wie Swirl M50“ geworben wurde, da für den Verbraucher so ersichtlich war, dass das Produkt keines der Marke Swirl ist.

4. Rufausnutzung und Rufbeeinträchtigung

Weiterhin darf ein Unternehmen mit einem Vergleich nicht den Ruf des von einem Mitbewerber verwendeten Kennzeichens in unlauterer Weise ausnutzen oder beeinträchtigen. Kennzeichen sind Marken, Handelsnamen oder andere unterscheidende Symbole.

Der Ruf, das heißt das Ansehen des Kennzeichens, wird in unlauterer Weise ausgenutzt, wenn der Ruf der Produkte des Mitbewerbers auf die eigenen übertragen wird, wenn also das fremde Produkt als „Zugpferd“ für den Absatz des eigenen Produkts genutzt wird.

Produkte unbekannter Unternehmen dürfen nach diesen Grundsätzen durchaus mit Markenware verglichen werden. Als aber ein Unternehmen seinen Schmuck mit dem Zusatz „à la cartier“ versehen hatte, war damit die Grenze erreicht – laut Gericht werde dem Verkehr signalisiert, die Schmuckstücke seien im Design vergleichbar mit Schmuck der Marke Cartier, sodass ihr Ruf unlauter für den eigenen Absatz ausgenutzt wurde.

5. Herabsetzung und Verunglimpfung 

Es dürfen auch keine Waren, Dienstleistungen, Tätigkeiten oder persönlichen oder geschäftlichen Verhältnisse eines Mitbewerbers herabgesetzt oder verunglimpft werden. Das wäre dann der Fall, wenn zusätzlich zu den „normalen“ Nachteilen vergleichender Werbung für den Mitbewerber besondere Wirkungen hinzutreten, die den Vergleich als unangemessen abfällig oder unsachlich erscheinen lassen.

Pointierte Aussagen und das Einbringen von Humor und Ironie ist üblich und daher auch zulässig bis hin zu der Grenze, den Mitbewerber der Lächerlichkeit preiszugeben. So wurde der Werbespruch „Wenn 1&1 sich streiten, freut sich der Schnellste“ von Unity Media, die auf Streitigkeiten der Konkurrenz 1&1 anspielten, nicht beanstandet. Genauso war es erlaubt, unterschiedlich große Hunde zu zeigen, um damit unterschiedliche Reichweitenzahlen von Magazinen zu darzustellen. Hingegen durfte das Navigationsgerät Lucca nicht als intelligente Schülerin und das Konkurrenzprodukt TomTom zugleich als gehänselter Schüler gezeigt werden. Auch ging Richtern die Äußerung „Fremdgehen kann teuer werden“ im Rahmen eines Preisvergleichs zu weit.

6. Darstellung einer Ware als Imitation oder Nachahmung

Schließlich darf der Vergleich eine Ware oder Dienstleistung nicht als Imitation oder Nachahmung einer unter einem geschützten Kennzeichen vertriebenen Ware oder Dienstleistung darstellen. Wichtig ist dabei, dass es keine Imitation sein muss – das Produkt darf schon nicht als solche dargestellt werden.

Als Kennzeichen gelten geschützte Marken, ob eingetragen oder nicht, oder geschützte Handelsnamen. Nicht geschützte Zeichen, die zur reinen Unterscheidung von anderen Unternehmen dienen, fallen nicht unter die Vorschrift. Das Erfordernis der Darstellung als Imitation engt den Anwendungsbereich aber auch ein: Die Darstellung als Imitation muss sich direkt aus der Werbung ergeben und darf nicht nur zuzüglich weiterer Umstände erkennbar sein. Andererseits braucht nicht das ganze Produkt, sondern müssen nur wesentliche Eigenschaften imitiert werden, zum Beispiel der Geruch eines Parfums. Im Endeffekt muss erkennbar werden, dass das imitierte Produkt als Grundlage für das beworbene Produkt gedient hat.

Bewertung und Folgen bei Verstößen

Die verschiedenen Bestimmungen zeigen, dass es nicht immer einfach ist, über Zulässigkeit und Unzulässigkeit vergleichender Werbung zu entscheiden. Einige Anhaltspunkte gibt es aber doch, um eine richtige Bewertung vorzunehmen. Zum einen ist diese immer aus der Sicht der durchschnittlichen angesprochenen Verkehrskreise vorzunehmen: Würde man im vorliegenden Fall „normalerweise“ von einer Verwechslungsgefahr oder Herabsetzung sprechen? Zum anderen sollte man sich immer die Ziele der Richtlinie vor Augen führen: Wird durch die Werbung der Wettbewerb beeinträchtigt oder beeinträchtigt, werden die Verbraucher informiert oder in die Irre geführt?

Schlussendlich darf man nicht vergessen, dass unlautere vergleichende Werbung nicht folgenlos bleibt. Das werbende Unternehmen kann Beseitigungs- und Unterlassungsansprüchen nach § 8 UWG und im schlimmsten Fall auch Schadensersatzansprüchen nach § 9 UWG ausgesetzt sein. Daher sollte immer geprüft werden, ob vergleichende Werbung vorliegt und im zweiten Schritt, ob diese unlauter oder zulässig ist.

Die Gestaltung von Lizenzverträgen im IT-Bereich – eine Orientierungs­hilfe:

Der Wert von Immaterialgütern könnte im digitalen Zeitalter kaum höher sein. Musik, Filme und andere Arten von Kunst können anderen Personen über das Internet so einfach wie nie zuvor verfügbar gemacht werden. Schöpfer können dadurch einen größeren Profit aus ihren Erfindungen schlagen, während allerdings parallel dazu die illegale Weiterverbreitung genauso erleichtert wird. Lizenzverträge setzen genau bei diesem Problem an. Da immaterielle Güter nicht verkörpert sind, können sie nicht „über den Ladentisch“ gehen. Vielmehr kann der Inhaber eines gewerblichen Schutzrechts (z.B. ein Urheberrecht) einem Dritten ein Nutzungsrecht einräumen.

Um den Umfang der eingeräumten Nutzungsrechte genau festzulegen, ist ein Vertrag unumgänglich. Der Schöpfer als Inhaber eines gewerblichen Rechts kann genau festlegen, in welchem Umfang er welche Nutzungen erlauben möchte. Der Erwerber hingegen hat Rechtssicherheit, in welchem Umfang er den Vertragsgegenstand nutzen kann. Letztlich will ein Entwickler ja sein „Werk“ dem Markt zugänglich machen genauso wie Gesellschaft und Wirtschaft ein Interesse an der Nutzung innovativer Entwicklungen haben.
Im IT-Bereich werden Lizenzverträge insbesondere im Zusammenhang mit der Entwicklung von Software interessant. Auch hier ergibt sich ein Spannungsfeld zwischen dem Urheberrecht eines Softwareentwicklers an seiner Software und dem Nutzungsbedürfnis der Allgemeinheit, das durch einen Lizenzvertrag aufgelöst werden kann. Im Folgenden wollen wir Ihnen daher im Schwerpunkt anhand eines Softwarelizenzvertrags erläutern, wie Lizenzverträge eigentlich aussehen, was sie auszeichnet und wie man sie abschließt.

Der Lizenzvertrag

Ein Lizenzvertrag ist ein Vertrag, mit dem der Lizenzgeber (der Rechtsinhaber) einem Lizenznehmer unter vertraglich festgelegten Bedingungen Nutzungsrechte an gewerblichen Schutzrechten einräumen kann. Gewerbliche Schutzrechte sind u.a. das Patent, das Urheberrecht und die Marke. So steht beispielsweise einem Softwareentwickler schon bei der Schöpfung der Software ein Urheberrecht daran zu. Der Lizenzgeber wird (grob beschrieben) vertraglich verpflichtet, das lizenzierte Schutzrecht aufrechtzuerhalten und dem Lizenznehmer zur Verfügung zu stellen. Der Lizenznehmer muss im Gegenzug Gebühren zahlen.

Da es im Gesetz keine konkrete Regelung zum Inhalt von Lizenzverträgen gibt, müssen daran zunächst die gesetzlichen Anforderungen des allgemeinen Vertragsrechts gestellt werden. Anhand der Hauptleistungspflicht wird bestimmt, ob sich der Lizenzvertrag nach den Regeln über Kauf-, Werk- oder Mietverträge orientieren muss. So ist es bei Softwarelizenzverträgen beispielsweise möglich, dass die Nutzung nach einem Softwarekauf, während einer Softwaremiete oder nach einer Softwareherstellung geregelt werden muss. Auf dieser Grundlage wird ein Lizenzvertrag mindestens die folgenden Punkte beinhalten:

1. Den Lizenzgegenstand
Woran soll überhaupt eine Lizenz erteilt werden? Das muss genau aus dem Vertrag hervorgehen. Es muss also festgelegt werden, an welchem Gegenstand eine Lizenz erteilt wird. Typische Lizenzverträge stellen Urheberrechtsverträge, zu denen auch Softwarelizenzverträge gehören, Markenlizenzverträge und Patentverträge dar. Gegenstand ist dann beispielsweise beim Softwarelizenzvertrag der Kauf und die Nutzung der Software oder auch die Nutzung während der Miete einer Software beim Softwaremietvertrag.

2. Die Lizenzgebühren
Der Lizenznehmer wird im Lizenzvertrag verpflichtet werden, Lizenzgebühren zu zahlen. Wie das konkret vertraglich ausgestaltet werden soll, ist den Parteien überlassen. Zum einen kann das Modell der Pauschallizenz vereinbart werden. Dabei zahlt der Lizenznehmer feststehende Beträge und zusätzlich einen Betrag des mit der Lizenz erzielten Umsatzes. Ist die Höhe im Vertrag nicht festgelegt, dann ist gem. § 32 Abs. 1 UrhG eine Vergütung in angemessener Höhe zu zahlen. Dies richtet sich nach der branchenüblichen Vergütung in Anbetracht der Dauer, Häufigkeit, Ausmaß und Zeitpunkt der Nutzung und unter Berücksichtigung aller weiteren Umstände.

3. Das Lizenzmodell
Kern des Lizenzvertrags dürfte das Lizenzmodell darstellen. Es kann im Vertrag zwischen verschiedenen Lizenzmodellen gewählt werden, die festlegen, in welchem Umfang der Lizenzgeber dem Lizenznehmer überhaupt die Nutzung seines gewerblichen Schutzrechts gestattet. So ist bei Softwarekäufen allein durch den Erwerb der Software (beispielsweise durch Download) noch nicht geklärt, welche Nutzungsrechte der Käufer an der Software hat. Genau das Gleiche gilt, wenn die Software nur zeitlich begrenzt gemietet wurde. Auch dann muss festgelegt werden, wie die Software in dieser Zeit genutzt werden darf.

Bei dem Modell des einfachen Nutzungsrechts darf der Lizenzgeber auch noch anderen genau die gleiche Lizenz einräumen. Das heißt mehrere Personen bekommen eine Lizenz. Diese Lizenzen können dann darüber hinaus noch räumlich, zeitlich oder inhaltlich eingeschränkt werden. So kann beispielsweise festgelegt werden, dass das Nutzungsrecht nur in einem bestimmten Gebiet, nur für einen bestimmten Zeitraum oder speziell bei Softwarelizenzverträgen nur auf einem Rechner durch eine einzige natürliche Person (Einfachlizenz) gilt.

Bei Softwarelizenzverträgen sind in diesem Zusammenhang die sog. Open-Source-Softwares zu erwähnen (OSS). Bei dem Modell wird in Open-Software-Lizenzen festgelegt, dass die Software von jedem genutzt, weiterverbreitet und sogar geändert werden darf. Eingeschränkt wird dieses vollumfängliche Nutzungsrecht häufig dadurch, dass der Entwickler immer genannt werden muss. Das Standardmodell dürfte bei Softwarelizenzverträgen allerdings das End-User-License-Agreement (EULA) sein, bei dem in dem Lizenzvertrag die Nutzungsrechte der Lizenznehmer genauer festgelegt werden. Eine Unterkategorie stellt Software as a Service dar.

Beim ausschließlichen Nutzungsrecht erhält der Lizenznehmer die Erlaubnis, exklusiv wesentliche Teile des Schutzrechts nur für sich nutzen zu können. Im Bereich der Softwarelizenzverträge ist hier die exklusive Softwareherstellung von Relevanz. Vertragsrechtlich wird diese Konstellation bei den Werkverträgen einzuordnen sein, da hier eine Softwareentwicklung in Auftrag gegeben wird. Bei Erfüllung des Vertrags gehen dann sämtliche Nutzungsrechte ausschließlich auf den Käufer über.

Beim ausschließlichen Nutzungsrecht darf auch der Lizenzgeber als Rechtsinhaber selbst die Software dann nicht mehr nutzen! Ausnahme: Es wurde ein Selbstnutzungsvorbehalt vereinbart. Auch im Rahmen des ausschließlichen Nutzungsrechts kann die genaue Art der Nutzung festgelegt werden, also ob das ausschließliche Nutzungsrecht eine räumliche, zeitliche oder inhaltliche Einschränkung erfährt.

Des Weiteren kann eine Unterlizenz vereinbart werden, die dem Lizenznehmer ermöglicht dritten Parteien Nutzungsrechte am Lizenzgegenstand einzuräumen.

Fehlt es an einer Regelung über die Nutzungsrechte, kommt es nach der Zweckübertragungstheorie aus dem Urhebergesetz auf den Vertragszweck an. Es ist also zu ermitteln, welchen Zweck die Parteien mit der Einräumung des Rechts verfolgt haben. Als Auslegungsregel ist dabei heranzuziehen, dass die Regelung eher zugunsten des Lizenzgebers auszufallen hat. Das bedeutet Augen auf für die Lizenznehmer! Sie sollten immer darauf achten, dass Sie die Nutzungsrechte beim Vertragsschluss konkret vereinbaren.

Zu beachten ist jedoch, dass auf Grundlage der Privatautonomie jeder Vertrag individuell ausgestaltet werden kann. Es können also auch noch problemlos andere Inhalte hinzugefügt werden, wie Sicherungsmaßnahmen, um Software vor dem Zugriff durch unbefugte Dritte zu sichern oder eine Vertragsstrafe für bestimmte Vertragspflichtverletzungen.

Die Form
Aus dem Gesetz ist keine vorgeschriebene Form für den Lizenzvertrag ersichtlich. Es ist jedoch immer zu empfehlen, ihn schriftlich zu schließen. So lassen sich etwaige Zweifel über Inhalt und Rechtsbindungswillen der Parteien deutlich leichter klären. Auch der BGH hat bereits klargestellt, dass an den Nachweis des Vertragsschlusses gewisse Anforderungen zu stellen sind, sodass beispielsweise der Abschluss eines Lizenzvertrags unter Kaufleuten immer schriftlich dokumentiert werden sollte. Insbesondere bei Softwarelizenzverträgen ist die Schriftform ein Muss!

Haftungs- und Gewährleistungsfragen
Des Weiteren ergeben sich auch Haftungs- und Gewährleistungsfragen. Was ist zum Beispiel, wenn jemand eine Lizenz an einem Schutzrecht erwirbt, er es jedoch wirtschaftlich nur schlecht verwerten kann? Dafür haftet der Lizenzgeber nicht. Allerdings haftet er dafür, dass der Lizenzgegenstand brauchbar und technisch ausführbar ist und dafür, dass das gewerbliche Schutzrecht, an dem die Lizenz erteilt wird, auch wirklich besteht.
Steht das Schutzrecht dann gar nicht wirklich dem Lizenzgeber zu, so kann derjenige, dem es zusteht Schadenersatz- und Unterlassungsansprüche gegen den Lizenznehmer geltend machen. Ein Nutzungsrecht kann nämlich nicht gutgläubig erworben werden.
Bei Sach- oder Rechtsmängeln am Lizenzgegenstand muss zwischen Softwarekaufverträgen, Softwarewerkverträgen und Softwaremietverträgen unterschieden werden. Je nach dem richtet sich das geltende Mängelgewährleistungsrecht nach dem Recht über Kaufverträge / Werkverträge oder über Mietverträge. Wurde eine Software gekauft oder hergestellt, liegt ein Mangel vor, wenn die Software nicht die vereinbarte Beschaffenheit aufweist. Bei Softwaremietverträgen hingegen steht die Aufrechterhaltung der Tauglichkeit zum vertragsgemäßen Gebrauch im Vordergrund. Bei Softwarekauf- und Softwarewerkverträgen kann zunächst die Beseitigung des Mangels verlangt werden und wenn dies scheitert, können dem Erwerber der Software ein Rücktrittsrecht, Minderung oder Schadenersatz zustehen. Beim Softwaremietvertrag kann der Lizenznehmer die Lizenzgebührenzahlung vorläufig mindern, bis der Mangel erhoben wurde.

Fazit: Viele Gestaltungsmöglichkeiten – Vorteile für alle

Ohne Lizenzverträge wäre sehr viel nicht möglich. Man könnte sogar sagen, dass der Mut zu neuen Entwicklungen gleich im Keim ersticken würde, da es sich gar nicht lohnen würde etwas zu entwickeln. Damit die Vorteile von Lizenzverträgen jedoch voll ausgeschöpft werden können, müssen sie dem geltenden Recht entsprechen und juristisch so sicher sein, dass es keine Lücken gibt. Die Rechtsanwälte von Schürmann Rosenthal Dreyer zeichnen sich durch eine hohe Expertise im Bereich von Lizenzverträgen aus. Sprechen Sie uns gerne an! Wir erstellen mit Ihnen zusammen individuelle Lizenzverträge oder überprüfen Ihre bestehenden Lizenzverträge auf Vollständigkeit und Richtigkeit!