1. In eigener Sache

1.1 Auftakt-Treffen des IAPP Rhine-Ruhr KnowledgeNet Chapters in unserer Kanzlei

Am 5. Juli 2016 ist Oppenhoff & Partner Gastgeber des Auftakt-Treffens des Rhine-Ruhr KnowledgeNet Chapters der International Association of Privacy Professionals. Dort wird Dominik Stockem – Data Privacy Officer bei Microsoft Deutschland – zum Thema „Internationale Datentransfers – Datenschutzgrundverordnung und Privacy Shield“ vortragen.

2. Aktuelle Meldungen

2.1 Datenschutzgrundverordnung im Amtsblatt der EU verkündet

Am 4. Mai 2016 ist die Datenschutzgrundverordnung im Amtsblatt der EU verkündet worden. Sie tritt am 24. Mai 2016 in Kraft, mit einer 2-jährigen Umsetzungsfrist.

2.2 Stellungnahme des Generalanwalts am EuGH zum Personenbezug von IP-Adressen

Der Generalanwalt am EuGH plädiert in seinen Schlussanträgen dafür, dass dynamische IP-Adressen personenbezogene Daten seien und spricht sich gleichzeitig für eine weniger restriktive Handhabung aus.

3. Aktuelle Urteile

3.1 LG Bochum: Einstweilige Verfügung gegen Händler wegen fehlendem Hinweis auf die EU-Online-Streitbeilegungsplattform

Das LG Bochum hat einem Onlinehändler wegen eines fehlenden Hinweises auf die EU-Online-Streitbeilegungsplattform (OS-Plattform) untersagt, im geschäftlichen Verkehr im Internet seine Waren anzubieten.  

3.2 LG Dortmund: B2B-Shop und Verbraucherschutz

Das LG Dortmund hat Anforderungen an die Ausgestaltung von Hinweisen aufgestellt, welche Verbraucher als Zielgruppe eines Internetshops ausschließen und damit die Anwendbarkeit verbraucherschützender Vorschriften verhindern sollen.

3.3 OLG Köln: Datenschutzunterrichtungen bei Kontaktformularen im Internet nötig

Das OLG Köln hat entschieden, dass der Betreiber einer Homepage, wenn er auf dieser ein Kontaktformular anbietet, den Nutzer auf die Speicherung und Verarbeitung seiner personenbezogenen Daten hinweisen muss und dass er von Wettbewerbern abgemahnt werden kann, wenn er dem nicht nachkommt.

3.4 KG Berlin: WhatsApp-Betreiber wegen Verletzung von Verbraucherschutzvorschriften verurteilt

WhatsApp Inc. wurde in einer kürzlich veröffentlichten Entscheidung des KG Berlin wegen des Verstoßes gegen mehrere Vorschriften des Verbraucherschutzes verurteilt und zu deren Einhaltung verpflichtet, insbesondere AGB in deutscher Sprache bereit zu stellen.

4. Gesetzesänderungen / Neue Orientierungshilfen

4.1 Neue EU-Richtlinie über den Schutz von Geschäftsgeheimnissen

Am 14. April 2016 wurde die neue EU-Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung verabschiedet.

4.2 Bundesregierung plant Abschaffung der Störerhaftung für WLAN-Betreiber

Die Bundesregierung plant die viel kritisierte Störerhaftung von WLAN-Betreibern noch in diesem Jahr durch eine Änderung des Telemediengesetzes zu beseitigen.

4.3 Art. 29 Datenschutzgruppe: Stellungnahme zu EU-US Data Privacy Shield

Die Art. 29 Datenschutzgruppe hat eine Stellungnahme veröffentlicht zu dem Entwurf der Angemessenheitsentscheidung der EU Kommission zum neuen EU-US Data Privacy Shield.

4.4 Düsseldorfer Kreis: Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen

Der Düsseldorfer Kreis hat eine neue Orientierungshilfe zu den datenschutzrechtlichen Anforderungen an Einwilligungserklärungen veröffentlicht, die mithilfe konkreter Negativbeispiele und Positivbeispiele eine gute Handhabe für die inhaltliche und grafische Gestaltung solcher Erklärungen bietet.

1. In eigener Sache

1.1 Auftakt-Treffen des IAPP Rhine-Ruhr KnowledgeNet Chapters in unserer Kanzlei

Oppenhoff & Partner ist Gastgeber des Auftakt-Treffens des Rhine-Ruhr KnowledgeNet Chapters der International Association of Privacy Professionals (IAPP) am 5. Juli 2016. Oppenhoff & Partner und Dr. Jürgen Hartung als einer der Chairs des Chapter freuen sich, Dominik Stockem – Data Privacy Officer bei Microsoft Deutschland – bei der Veranstaltung begrüßen zu können. Er wird zum Thema „Internationale Datentransfers – Datenschutzgrundverordnung und Privacy Shield“ vortragen. Die Veranstaltung findet in deutscher Sprache statt. Weitere Informationen zum Thema und zur Anmeldung über die IAPP finden Sie hier.

2. Aktuelle Meldungen

2.1 Datenschutzgrundverordnung im Amtsblatt der EU verkündet

Am 4. Mai 2016 ist die Datenschutzgrundverordnung im Amtsblatt der EU verkündet worden. Sie tritt am 24. Mai 2016 in Kraft, mit einer 2-jährigen Umsetzungsfrist. Innerhalb dieser Umsetzungsfrist müssen bestehende Datenverarbeitungen mit der Datenschutzgrundverordnung in Einklang gebracht werden. Laufende und neue Verfahren müssen jedoch bis zum Ablauf der Umsetzungsfrist noch den Anforderungen und Auflagen der noch geltenden Datenschutzgesetze genügen. Ab dem 25. Mai 2018 gilt dann die Datenschutzgrundverordnung, es sei denn, die jeweiligen Mitgliedsstaaten machen von den zahlreichen Öffnungsklauseln innerhalb der Datenschutzgrundverordnung Gebrauch und erlassen eigene Regelungen. Auch für deutsche Unternehmen ergeben sich zahlreiche neue Anforderungen, auf die sich Unternehmen innerhalb der Umsetzungsfrist einstellen müssen. Hierzu zählen insbesondere das Durchführen von Schulungen für alle Mitarbeiter, die mit datenschutzrechtlichen Themen betreut sind, eine Überprüfung aller bestehenden Datenverarbeitungen anhand der neuen Regelungen in der Datenschutzgrundverordnung, die Implementierung neuer notwendig gewordener Unternehmensprozesse (etwa zur Umsetzung der neuen Pflicht eine Datenschutz-Folgenabschätzung durchzuführen oder das Prinzip „Privacy by design“ einzuhalten), die Erstellung neuer Dokumentationen (um insbesondere dem neuen Accountability-Prinzip zu genügen) oder die Überarbeitung bestehender Dokumente (z.B. Einwilligungserklärungen oder Auftragsdatenverarbeitungs-Verträge).

2.2 Stellungnahme des Generalanwalts am EuGH zum Personenbezug von IP-Adressen

Am 12. Mai 2016 hat der Generalanwalt am Europäischen Gerichtshof („EuGH“) in seinen Schlussanträgen zur Rechtssache „Patrick Breyer gegen Bundesrepublik Deutschland“  die Ansicht geäußert, dass auch dynamische IP-Adressen personenbezogene Daten im Sinne der Richtlinie 95/46/EG („Datenschutzrichtlinie“) seien, auch wenn sich die für die Identifizierung des Nutzers erforderlichen zusätzlichen Informationen nur im Besitz des Internetzugangsanbieters befinden. Dynamische IP-Adressen sind solche, die für einen begrenzten Zeitraum für die jeweilige Verbindung mit dem Internet zugewiesen und bei späteren Verbindungen wieder geändert werden. Nach Ansicht des Generalanwalts handele es sich bei dynamischen IP-Adressen um Informationen über eine bestimmbare Person, da sie mittels beim Internetzugangsanbieter befindlichen Zusatzwissens eine „indirekte“ Identifizierung eines Nutzers ermögliche. Für eine solche Identifizierungsmöglichkeit reiche es zwar grundsätzlich nicht, dass es nur irgendeinen Dritten gibt, der aufgrund seines Zusatzwissens die Identität der Person feststellen kann. Da aber bekannt sei, dass der Internetzugangsanbieter dieses Zusatzwissen besitzt, bestehe eine „vernünftige“ Möglichkeit auf rechtmäßigem Wege eine Verbindung zu dem Zusatzwissen herzustellen – so beschränkt diese in der Praxis auch sein möge. Darüber hinaus befürwortet der Generalanwalt am EuGH einen weniger restriktiven Umgang was eine längerfristige Speicherung von IP-Adressen unter gewissen Umständen angeht. Die restriktive Regelung in § 15 Telemediengesetz (TMG), wonach ein Diensteanbieter IP-Adressen nur erheben und verwenden dürfe, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen, verstoße gegen die Datenschutzrichtlinie, die eine Verarbeitung von personenbezogenen Daten bei Bestehen eines berechtigten Interesses unter bestimmten Umständen erlaube. Die Datenschutzrichtlinie sei damit wesentlich weiter gefasst als § 15 TMG. Nach Ansicht des Generalanwalts sei z.B. der Zweck, die Sicherheit und Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen, dessen Verwirklichung die Verarbeitung der IP-Adresse rechtfertigen könne, sofern diesem Interesse Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt werden könne. Ob ein solcher Vorrang zuzuerkennen sei, müsse im Einzelfall durch ein Gericht bestimmt werden. Die Ansicht des Generalanwalts am EuGH ist zwar für den EuGH nicht verbindlich. Sie hat aber regelmäßig einen starken Einfluss auf die spätere Entscheidung des Gerichts. In der Vergangenheit ist der EuGH dem Schlussantrag des Generalanwalts häufig gefolgt. Sollte der EuGH auch dieses Mal dem Schlussantrag folgen, wäre nicht nur ein jahrelanger Streit um die Frage des Personenbezugs von IP-Adressen geklärt, sondern auch ein liberalerer Umgang für berechtigte Interessen der verantwortlichen Stelle gesichert.

3. Aktuelle Urteile

3.1 LG Bochum: Einstweilige Verfügung gegen Händler wegen fehlendem Hinweis auf die EU-Online-Streitbeilegungsplattform

Wie bereits in unserem Newsletter 01/2016 berichtet, ist  am 09.01.2016 die EU-Verordnung Nr. 524/2013 in Kraft getreten, die die Online-Beilegung verbraucherrechtlicher Streitigkeiten mit Onlinehändlern regelt und dabei Informationspflichten der Händler auf die Möglichkeit der Streitbeilegung etabliert, die ihre Produkte an Endkunden verkaufen. Wir hatten auch darauf hingewiesen, dass Verstöße gegen die Informationspflichten kostenpflichtig nach dem Gesetz gegen den unlauteren Wettbewerb abgemahnt werden können.

Am 31.03.2016 hat das Landgericht Bochum nunmehr eine einstweilige Verfügung bestätigt, die es einem Händler untersagte, im geschäftlichen Verkehr im Internet dem Endver-braucher ein Produkt (in diesem Falle Uhren) anzubieten, ohne dem Verbraucher einen Hinweis auf die EU-Online-Streitbeilegungsplattform (OS-Plattform) zu erteilen. Diese einstweilige Verfügung war erteilt worden, da der betroffene Händler einer Abmahnung nicht Folge geleistet hatte, in der von ihm verlangt wurde, eine strafbewehrte Unterwer-fungserklärung abzugeben.

Die einstweilige Verfügung - und damit auch die Abmahnung - hat das Landgericht als rechtmäßig erklärt, obwohl die OS-Plattform zum Zeitpunkt der Abmahnung noch nicht zur Verfügung stand und bisher in Deutschland noch keine Streitbeilegung stattfindet. Das Landgericht führte aus, dass es für die Erforderlichkeit des Hinweises auf die OS-Plattform darauf nicht ankomme, da die Einschaltung der Streitbeilegungsstelle nicht bei Vertrags-schluss Relevanz entfalte, sondern erst zu einem späteren Streitpunkt, wenn eine Streitigkeit entsteht.

Da die OS-Plattform seit 15.02.2016 zur Verfügung steht, muss auch ein „leicht zugänglicher“ Link zu dieser auf der Homepage des Internethändlers zu finden sein. Das Fehlen der Information und eines Links stellt also bereits heute eine spürbare Beeinträchtigung des Verbrauchers im Sinne des § 3a UWG und somit einen Wettbewerbsverstoß dar. Das Urteil zeigt einmal mehr, dass alle Händler, die bis heute noch keinen Hinweis auf die OS-Plattform und einen entsprechenden Link auf Ihrer Homepage verortet haben, dies unverzüglich nachholen sollten.

3.2 LG Dortmund: B2B-Shop und Verbraucherschutz

Mit Urteil vom 23.02.2016 hatte das LG Dortmund darüber zu befinden, ob bzw. unter welche Voraussetzungen der Betreiber eines Webshops sein Angebot wirksam auf Gewerbetreibende mit der Folge beschränken kann, dass die verbraucherschutzrechtlichen Bestimmungen keine Anwendung finden. 

In dem zugrunde liegenden Fall hatte die Beklagte – welche Anbieterin einer kostenpflichtigen Datenbank für Kochrezepte ist – an mehreren Stellen ihrer Webseite darauf hingewiesen, nur mit Unternehmen kontrahieren zu wollen. Die Webseite war dementsprechend ohne Rücksicht auf die einschlägigen verbraucherschutzrechtlichen Vorgaben gestaltet worden. Hiergegen wandte sich ein Verbraucherschutzverband – die spätere Klägerin –, welche die Auffassung vertrat, dass die Beschränkung auf Unternehmer nicht hinreichend transparent sei und dass die Webseite der Beklagten aus diesem Grunde an vielen Stellen verbraucherschutzrechtswidrig sei.

Das LG Dortmund ist dieser Einschätzung letztlich gefolgt und hat die Beklagte antragsgemäß zur Unterlassung bestimmter verbraucherschutzrechtswidriger Handlungen verurteilt. Das LG Dortmund hat in seiner Entscheidung unter Bezugnahme auf eine entsprechende Entscheidung des OLG Hamm zunächst festgehalten, dass es grundsätzlich möglich ist, Verkaufsangebote auf den Verkauf an Gewerbetreibende zu beschränken. Sofern diese Beschränkung hinreichend transparent und klar sei, könne sich ein Verbraucher, der sich wahrheitswidrig als Gewerbetreibender ausgebe, nach Treu und Glauben gegenüber dem Verkäufer auch nicht auf die Geltung der verbraucherschutzrechtlichen Bestimmungen berufen.

Dieses Transparenzgebot hielt das Gericht trotz mehrerer auf der Webseite der Beklagten enthaltener Hinweise nicht für erfüllt. Es bemängelte in diesem Zusammenhang insbesondere eine unzureichende optische Hervorhebung der Hinweise sowie deren Positionierung auf der Webseite. Namentlich störte sich das Gericht insbesondere daran, dass die Überschrift „Hinweis“ in heller Schrift gehalten war, erst durch Scrollen auf der Webseite für den Kunden erkennbar wurde und außerhalb der zentralen Anmeldemaske für die Nutzung der Datenbank angeordnet war. Da Kochrezepte im Internet regelmäßig kostenfrei zugänglich seien und sich ein durchschnittlich wachsamer Internetkunde bei der Suche nach einem Kochrezept daher keiner Kostengefahr ausgesetzt sähe, dürfe er davon ausgehen, dass alle außerhalb des zentralen Anmeldefeldes befindlichen Informationen für ihn irrelevant seien. Dass der Kunde im Rahmen des Anmeldevorgangs ein Feld mit dem Hinweis „Ich akzeptiere die Allgemeinen Geschäftsbedingungen und bestätige ausdrücklich meinen gewerblichen Nutzungsstatus“ mit einem Häkchen versehen musste, rechtfertigt nach Auffassung des Gerichts keine abweichende Beurteilung. Es sei vielmehr davon auszugehen, dass der durchschnittlich aufmerksame Internetkunde nur die ersten Worte, die sich in dem anzuklickenden Feld befinden, zur Kenntnis nimmt. Schließlich kritisierte das Gericht auch, dass das in die Anmeldemaske aufgenommene Feld für die Angabe einer Firma nicht als Pflichtfeld ausgestaltet worden ist. Hierdurch werde dem Kunden suggeriert, dass es unerheblich sei, ob er gewerblich oder privat handelt.

Das Urteil des LG Dortmund verdeutlicht, dass in der Rechtsprechung äußerst strenge Anforderungen an eine transparente Beschränkung eines Webshops auf B2B-Geschäfte gestellt werden. Wo und wie entsprechende Hinweise zu platzieren sind, hängt mitunter auch von der konkreten Schutzwürdigkeit der Verbraucher in Bezug auf den fraglichen Geschäftsgegenstand ab. Um eine Anwendung der verbraucherschutzrechtlichen Bestimmungen zu verhindern, sollte daher zusätzlich zu transparenten Hinweisen möglichst auch noch die Angabe von Informationen eingefordert werden, die eindeutig auf ein gewerbliches Handeln hindeuten (wie etwa eine Umsatzsteuer-Identifikationsnummer).

3.3 OLG Köln: Datenschutzunterrichtung bei Kontaktformularen im Internet nötig

Am 11.03.2016 entschied das OLG Köln in einem Fall, in dem ein Website-Betreiber ein Kontaktformal verwendet hatte, ohne den Nutzer darüber zu unterrichten, wie seine personenbezogenen Daten erhoben und gespeichert werden und ohne darauf hinzuweisen, dass er auch nach erteilter Einwilligung ein Widerrufsrecht hat. Der Betreiber war wegen der mangelnden Unterrichtung abgemahnt worden und hatte sich gegen die Abmahnung gewandt. Das OLG Köln bestätigte dabei die Vorinstanz, die entschieden hatte, dass die Homepage ohne diese Hinweise nicht betrieben werden dürfe.

Nur wenn der Betreiber die entsprechende Unterrichtung erteile, werde die Website den Anforderungen des § 13 Telemediengesetz (TMG) gerecht, der eine allgemein verständliche Unterrichtung fordert, sofern eine solche nicht bereits erfolgt ist. Art, Umfang und Zweck der Erhebung und Verwendung der personenbezogenen Daten ergäben sich nicht aus dem Kontaktformular selbst, so dass auch nicht darauf vertraut werden dürfe, dass sich der Nutzer diese Informationen selbst herleite.

Wenn der Betreiber der Homepage diese Informationen nicht bereitstelle, handele er wettbewerbswidrig i.S.d. § 3a UWG und könne abgemahnt werden. § 13 TMG stelle eine das Marktverhalten regelnde Norm dar und diene u.a. auch dem Schutz der Interessen von Mitbewerbern, indem gleiche Wettbewerbsbedingungen geschaffen würden. Laut dem Gericht erscheint es jedenfalls tatsächlich möglich, dass sich ein Nutzer durch einen klar erteilten Hinweis auf die Speicherung und Verwendung der personenbezogenen Daten davon abhalten lassen würde, ein Kontaktformular auszufüllen bzw. sich wegen des Fehlens eines entsprechenden Hinweises davon abhalten lässt, eine etwaige Einwilligung wieder zu widerrufen. Da durch die Zurverfügungstellung eines Kontaktformulars eine erleichterte Möglichkeit gegeben ist, den Nutzer zur Kontaktaufnahme und zur Abgabe seiner Daten zu bewegen, kann die fehlende Datenschutzerklärung gegenüber anderen Mitbewerbern einen Wettbewerbsvorteil darstellen. Dieser Verstoß habe dann auch spürbare Auswirkungen auf eine geschäftliche Entscheidung des Nutzers.

Die Entscheidung des OLG Köln ist nicht ohne Kritik geblieben, zudem haben andere Gerichte in Bezug auf Frage, ob es sich bei § 13 TMG um eine auch die Interessen der Mitbewerber schützende Marktverhaltensvorschrift i.S.d. § 3a UWG handelt und ob der Verstoß eine spürbare Beeinträchtigung darstellt, zuletzt auch gegenteilig geurteilt (vgl. etwa LG Berlin, Urt. v. 04.02.2016 - 52 O 394/15). Eine höchstrichterliche Klärung steht noch aus. Bis diese aber erfolgt ist, ist allen Website-Betreibern anzuraten, bei der Verwendung eines Kontaktformulars auf der Homepage detailliert über Art, Umfang und Zwecke der mit dem jeweiligen Kontaktformular verbundenen Datenerhebungen und Datenverarbeitungen sowie über die Möglichkeit des Widerrufs einer erteilten Einwilligung zu informieren. Da ein solcher Verstoß nicht nur von Datenschutzbehörden verfolgt wird, sondern es auch zu Abmahnungen von Wettbewerbern kommen kann, besteht ein Risiko für sämtliche Websites.

3.4 KG Berlin: WhatsApp-Betreiber wegen Verletzung von Verbraucherschutzvorschriften verurteilt

Mit Urteil vom 08.04.2016  stellte das KG Berlin mehrere Verstöße der WhatsApp Inc. gegen verbraucherschützende Vorschriften fest.

Zunächst kritisierte das Kammergericht die mangelnde Möglichkeit mit dem Unternehmen anders als via E-Mail Kontakt aufnehmen zu können. Ein eben solcher zweiter Kommunikationsweg und dessen Bezeichnung gegenüber dem Verbraucher sei jedoch im TMG vorgeschrieben. Offen ließ das Gericht, ob der Facebook-Auftritt einen solchen Kommunikationsweg darstellen kann, da die vorliegende Konfiguration der unternehmenseigenen Facebook-Seite den Empfang von Nachrichten ohnehin nicht ermöglichte.

Weiterhin stellte das Gericht fest, dass die Zurverfügungstellung der AGB ausschließlich in englischer Sprache unabhängig von deren Inhalt gegen das Transparenzgebot verstößt. Es könne insoweit allenfalls von der Verbreitung von „Alltagsenglisch“ unter deutschen Verbrauchern ausgegangen werden, nicht aber von Sprachkenntnissen, die für das Verstehen komplexer, juristischer Klauseln erforderlich wären.

Zuletzt wird im Urteil angemerkt, dass im Impressum Angaben bezüglich des Vertretungsberechtigten des Unternehmens fehlten. Im Gegensatz zu den zwei obigen Punkten handelt es sich hierbei nach Ansicht des Gerichts jedoch nicht um eine Marktverhaltensregelung, weswegen eine Verurteilung insoweit ausschied.

International tätige Unternehmen, die in Deutschland bislang nur mit z.B. englischen rechtlich relevanten Texten arbeiten, sollten sich vor dem Hintergrund dieser Entscheidung um eine Übersetzung ins Deutsche bemühen.

4. Gesetzesänderungen / Neue Orientierungshilfen

4.1 Neue EU-Richtlinie über den Schutz von Geschäftsgeheimnissen

Am 14. April 2016 hat das europäische Parlament die neue „Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ verabschiedet.

Die Richtlinie verpflichtet die EU-Staaten Maßnahmen, Verfahren und Rechtsbehelfe vorzusehen, die einen zivilrechtlichen Schutz vor dem Missbrauch von Geschäftsgeheimnissen gewährleisten sollen. Im Falle eines Missbrauchs von Geschäftsgeheimnissen, soll das Unternehmen im jeweiligen Mitgliedstaat der EU seine Rechte auch vor Gericht geltend machen und einen Schadensersatz erwirken können. Bei der Berechnung des Schadensersatzes sollen alle negativen Folgen berücksichtigt werden: Darunter ein entgangener Gewinn des betroffenen Unternehmens, etwaige unlautere Gewinne des Rechtsverletzers, sowie ein moralischer Schaden, der dem Unternehmen verursacht worden ist. Der Ersatz eines „moralischen“ Schadens ist der deutschen Rechtsordnung allerdings bisher fremd.

Als Geschäftsgeheimnisse gelten nach der Richtlinie solche, die einen kommerziellen Wert haben und Gegenstand von Geheimhaltungsmaßnahmen sind. Insbesondere die letzte Voraussetzung zwingt die Unternehmen dazu, zukünftig entsprechende Schutzvorkehrungen zu treffen und im Prozess nachzuweisen, um vom Schutz der Richtlinie profitieren zu können.

In vielen Fällen haben Unternehmen bisher von einer Klage wegen der Verletzung ihrer Geschäftsgeheimnisse abgesehen, da zu befürchten war, dass im Laufe des Gerichtsverfahrens die Geheimnisse offengelegt werden. Dem will die Richtlinie Abhilfe schaffen: Sie sieht in ihren Erwägungsgründen vor, dass die Mitgliedsstaaten die Geheimniswahrung dadurch sicherstellen, dass der Zugang zu Beweismitteln oder Anhörungen beschränkt ist und nur die nicht vertraulichen Teile der Gerichtsentscheidung veröffentlicht werden. Mit dem sog. „in-camera-Verfahren“ existiert in Deutschland bereits für Verwaltungsgerichtsverfahren ein Geheimnisschutz-Verfahren. Denkbar wäre daher die Einführung eines solchen Verfahrens auch für Zivilprozesse.

Um die Meinungsfreiheit zu schützen und außerdem die Information der Öffentlichkeit über Missstände zu ermöglichen, gibt es verschiedene Einschränkungen. Ein Schutz aus der Richtlinie besteht daher z.B. nicht beim Erwerb von Geheimnissen

  • im Rahmen der Wahrnehmung des Rechts von Arbeitnehmervertretern auf Information und Anhörung;
  • im Rahmen von unabhängiger Forschung;
  • bei der Untersuchung eines Produkts, das öffentlich verfügbar gemacht wurde oder sich im rechtmäßigen Besitz des Erwerbers der Information befindet;
  • bei jeder anderen Vorgehensweise, die unter den gegebenen Umständen mit einer seriösen Geschäftspraxis vereinbar ist. (Was genau im Rahmen der Richtlinie als seriöse Geschäftspraxis verstanden werden soll, wird dort allerdings nicht definiert);
  • im Rahmen der rechtmäßigen Ausübung der Meinung- und Informationsfreiheit oder
  • zum Zwecke der Aufdeckung eines Fehlverhaltens oder einer illegalen Tätigkeit, sofern er für die Aufdeckung erforderlich war und der Rechtsverletzer im öffentlichen Interesse handelte.

Es wird sich in der Zukunft zeigen, inwiefern die Richtlinie trotz dieser Einschränkung wesentliche Neuerungen in der Praxis bringt. Insbesondere der unbestimmte Begriff der seriösen Geschäftspraxis kann je nach Auslegung den Geheimnisschutz völlig aushöhlen. Die Richtlinie muss binnen 2 Jahren in deutsches Recht umgesetzt werden, was mit entsprechenden Gesetzänderungen verbunden sein wird. Es empfiehlt sich für Unternehmen aber bereits jetzt v.a. nachweisbare Geheimhaltungsmaßnahmen einzuführen, damit sie später in den Schutzbereich der Richtlinie fallen.

4.2 Bundesregierung plant Abschaffung der Störerhaftung für WLAN-Betreiber

Die Bundesregierung hat sich auf eine Abschaffung der Störerhaftung für WLAN-Betreiber verständigt.

Nach geltender Rechtslage können private WLAN-Betreiber als Störer auf Unterlassung in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von Dritten für Urheberrechtsverletzungen im Internet benutzt wird. Auch Unternehmen, die ihren Kunden die Nutzung ihres WLAN-Anschlusses ermöglichen (Cafés, Bars, Hotels etc.), sehen sich derzeit dem Risiko einer Störerhaftung ausgesetzt. In jüngster Vergangenheit haben sich die Forderungen nach einer Abschaffung der Störerhaftung gemehrt, zumal man sie dafür verantwortlich macht, dass Deutschland im Hinblick auf das Angebot öffentlicher WLAN-Hotspots im internationalen Vergleich eher rückständig ist.

Dass sich die Bundesregierung dieses Bestreben zu Eigen gemacht hat, ist möglicherweise auch mit einem derzeit vor dem EuGH anhängigen Verfahren zur Störerhaftung von WLAN Betreibern zu erklären. In dem fraglichen Verfahren ist der Generalanwalt zu der Einschätzung gelangt, dass die Störerhaftung für Unternehmen, die in Nebentätigkeit zu ihrer wirtschaftlichen Haupttätigkeit ein von ihnen betriebenes WLAN-Netz mit Internetzugang der Öffentlichkeit unentgeltlich zur Verfügung stellen, nicht mit den Vorgaben der Telekommunikationsrichtlinie vereinbar sei. Die in Art. 12 der e-commerce-Richtlinie (Richtlinie 2000/31/EG) enthaltene Haftungsprivilegierung für Diensteanbieter, die sich auf eine Übermittlung fremder Informationen in einem Kommunikationsnetz beschränken, gelte auch für WLAN-Betreiber in diesem Sinne.

Art. 12 der e-commerce-Richtlinie ist im deutschen Recht in § 8 des Telemediengesetzes (TMG) umgesetzt worden. An dieser Stelle setzt auch der aktuelle Gesetzesentwurf der Bundesregierung an. Er sieht die Ergänzung eines dritten Absatzes in § 8 TMG vor, in dem festgestellt wird, dass WLAN Betreiber als Diensteanbieter im Sinne der Vorschrift einzustufen sind. Diese sollen zukünftig explizit den „klassischen“ Access Providern gleichgestellt werden. Hierdurch soll laut der Gesetzesbegründung insbesondere auch eine verschuldensunabhängige Haftung von WLAN-Betreibern nach den Grundsätzen der Störerhaftung zukünftig ausscheiden.

Während das grundsätzliche Bestreben, die Störerhaftung für WLAN-Betreiber abzuschaffen, durchweg auf positive Resonanz gestoßen ist, sieht sich der von der Bundesregierung unterbreitete Umsetzungsvorschlag zunehmender Kritik ausgesetzt. Hintergrund ist, dass in der Rechtsprechung teilweise die Auffassung vertreten wird, dass die in § 8 TMG niedergelegte Haftungsprivilegierung einer Inanspruchnahme als Störer ohnehin nicht entgegensteht. Um eine Abschaffung der Störerhaftung sicherzustellen, hätte es daher nahe gelegen, die der Haftungsprivilegierung zugedachte Reichweite auch im Gesetzeswortlaut festzuschreiben. Die bloße Erläuterung des eigenen Gesetzesverständnisses in der Gesetzesbegründung bleibt jedenfalls hinter dem selbsterklärten Ziel des Gesetzgebers zurück, Rechtssicherheit für WLAN-Betreiber schaffen zu wollen. Ob die Bundesregierung die berechtigterweise aufgekommene Kritik zum Anlass nehmen wird, ihren Gesetzesentwurf noch einmal zu überarbeiten, bleibt abzuwarten.

4.3 Art. 29 Datenschutzgruppe: Stellungnahme zu EU-US Data Privacy Shield

Die Art. 29 Datenschutzgruppe hat am 13. April 2016 eine Stellungnahme veröffentlicht zu dem Entwurf der Angemessenheitsentscheidung der EU Kommission zum neuen „EU-US Data Privacy Shield“ (Privacy Shield), das Nachfolgeabkommen zu Safe Harbor. Zuvor hatte die EU Kommission im Februar 2016 Details zum Privacy Shield vorgestellt, darunter auch die von der US-Regierung bisher erklärten Zusicherungen in Bezug auf die Behandlung personenbezogener Daten von EU-Bürgern (hierüber hatten wir in unserem letzten Newsletter berichtet).

In ihrer Stellungnahme stellt die Art. 29 Datenschutzgruppe zwar fest, dass das Privacy Shield insgesamt im Vergleich zum Safe Harbor Abkommen wesentliche Verbesserungen für den Datenschutz enthalte. Gleichzeitig äußert die Art. 29 Datenschutzgruppe aber Bedenken, ob das Privacy Shield in der Lage sein wird, ein im Vergleich mit der EU äquivalentes Datenschutzniveau in den USA sicherzustellen.

So fehle es beispielsweise an einer ausdrücklichen Bestätigung des Prinzips der Datensparsamkeit und der Pflicht, Daten nicht länger aufzubewahren, als es der jeweilige Zweck erfordert. Außerdem werde das Prinzip der Zweckgebundenheit von Datenverarbeitungen innerhalb des Privacy Shields inkonsistent beschrieben, sodass es aus Sicht der Art. 29 Datenschutzgruppe diesbezüglich einer Klarstellung bedürfe.

Die Art. 29 Datenschutzgruppe kritisiert weiterhin, dass es an einer Regelung für Fälle der Weiterübermittlung durch ein US-Unternehmen an Dritte außerhalb der USA fehle. Das jeweilige US-Unternehmen müsse verpflichtet sein, in diesen Fällen für ein ausreichendes Datenschutzniveau bei der empfangenden Stelle im Drittland zu sorgen und die verantwortliche Stelle in der EU zu informieren, falls es in diesem Zusammenhang ein Risiko für das Datenschutzniveau identifiziert. Die verantwortliche Stelle in der EU müsse das Recht haben, eine solche Übermittlung zu unterbinden und notfalls den Vertrag mit dem US-Unternehmen zu kündigen. Sollte das US-Unternehmen selbst als verantwortliche Stelle fungieren, sollte ihm nach Ansicht der Art. 29 Datenschutzgruppe eine Weiterübermittlung untersagt sein, da ansonsten die Pflicht zur Sicherstellung eines adäquaten Datenschutzniveaus umgangen würde. In diesem Zusammenhang erinnert die Art. 29 Datenschutzgruppe daran, dass ihrer Ansicht nach eine Übermittlung an eine verantwortliche Stelle in den USA, bei der die übermittelnde Stelle in der EU von Anfang weiß, dass eine Weiterübermittlung in einen Drittstaat stattfinden wird, von Anfang an wie eine Übermittlung in einen solchen Drittstaat behandelt wird und deshalb nicht mehr von Safe Harbor (bzw. neuerdings dem Privacy Shield) abgedeckt ist. Außerdem seien die derzeit geplanten Rechtsbehelfe für Betroffene zu komplex, als dass sie von Betroffenen persönlich ausgeübt würden. Stattdessens schlägt die Art. 29 Datenschutzgruppe vor, dass EU Datenschutzaufsichtsbehörden diese Rechtsbehelfe für Betroffene verfolgen können sollen. Schließlich äußert die Art. 29 Datenschutzgruppe Bedenken bzgl. massiver Verarbeitungen personenbezogener Daten durch US-Behörden aus Gründen der nationalen Sicherheit. Diese seien weiterhin nicht vollständig ausgeschlossen.

Die Art. 29 Datenschutzgruppe fordert die EU Kommission auf, den Privacy Shield entsprechend nachzubessern und Lösungen für ihre Bedenken zu entwickeln. Da die Stellungnahmen der Art. 29 Datenschutzgruppe keine bindende Wirkung für die EU Kommission haben, könnte die EU Kommission die Angemessenheitsentscheidung für den Privacy Shield allerdings auch ohne weitere Nachbesserungen beschließen. Die Art. 29 Datenschutzgruppe weist darauf hin, dass bis zu einer endgültigen Entscheidung zum Privacy Shield Datenübermittlungen weiterhin unter Verwendung der EU Standardvertragsklauseln sowie von Binding Corporate Rules möglich bleiben.

4.4 Düsseldorfer Kreis: Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen veröffentlicht

Der Düsseldorfer Kreis, ein Zusammenschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat eine Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen veröffentlicht. Sie enthält konkrete Hinweise zur datenschutzgerechten Formulierung und Gestaltung von schriftlichen Einwilligungserklärungen sowohl auf Papier als auch in elektronischer Form (z.B. auch bei Telemedienangeboten wie Websites, etc.). Besonders hilfreich für die Praxis ist dabei, dass mit Negativbeispielen und Positivbeispielen gearbeitet wird und damit deutlich gemacht wird, welche Voraussetzungen nach Ansicht der Datenschutzbehörden vorliegen müssen und welche Formulierungen und textlichen Gestaltungen gerade nicht ausreichend sind.

Im Einzelnen behandelt werden in der Orientierungshilfe die neuralgischen Punkte in Form der Überschrift, der Eindeutigkeit der Einwilligung (z.B. „Ich willige ein“ statt „Mir ist bekannt“), der Hervorhebung (z.B. durch Fettdruck oder Umrahmung), der Platzierung und damit auch der Abgrenzung gegenüber reinen Informationen über die vorgenommene Datenverarbeitung auf Basis gesetzlicher Erlaubnistatbestände. Zugleich wird Stellung genommen zum Inhalt der Einwilligungserklärung und der damit zwingend verbundenen Möglichkeit des Widerrufs der Einwilligung, der Folge der Verweigerung der Einwilligung und, soweit eine Datenübermittlung an Dritte stattfindet, der damit verbundenen Zweckbestimmung und der transparenten Darstellung der Empfänger der Daten.

Auch wenn in diesem Kontext bereits Konturen durch die Rechtsprechung geschaffen wurden und ständig weiter geschaffen werden, so dass eine erhöhte Wachsamkeit vonnöten ist, stellt die Orientierungshilfe dennoch eine hilfreiche Lektüre für den immer wichtiger werdenden Bereich der Einwilligungserklärung dar. Man sollte sie aber immer im Zusammenhang mit der ergangenen Rechtsprechung anwenden.