Vorbemerkung:
Vor ein paar Tagen stellte ich hier im Blog meinen frisch in der Kommunikation & Recht, Ausgabe 2014, 1 erschienenen Fachartikel „Social Media im Unternehmen – Zur „Zweckmäßigkeit“ des Verbots der (privaten) Nutzung unter besonderer Berücksichtigung von § 88 TKG“ vor. Da es sich um einen Fachartikel handelt, enthält er womöglich für den einen oder anderen ein wenig zu viel Fachchinesisch. Deswegen versprach ich sogleich, das Ganze hier noch einmal in gewohnter Art und Weise aufzubereiten. Also, here we go:
Archiv der Kategorie: Datenschutzrecht
Social Media im Unternehmen – Zur „Zweckmäßigkeit“ des Verbots der (privaten) Nutzung
… so lautet der Titel des von mir verfassten und nun in der Fachzeitschrift Kommunikation und Recht (K&R, 2014, 1) frisch erschienen Artikels.
In der eingehenden Beschreibung heißt es dort:
„Der Beitrag greift lösungsorientiert die Diskussion um Verbote der (privaten) Internet-, E-Mail und Social Media Nutzung am Arbeitsplatz vor dem Hintergrund des heute in Unternehmen geforderten Informations- und Kommunikationsverhaltens der Mitarbeiter unter besonderer Berücksichtigung der aktuellen Rechtsprechung zu § 88 TKG auf.“
Anders ausgedrückt beschäftige ich mit mit dem Artikel „Social Media im Unternehmen (Kommunikation & Recht, 2014, 1) mit dem Folgenden:
Viele Juristen postulieren immer noch ein Verbot der (privaten) Nutzung digitaler Kommunikation am Arbeitsplatz als die beste und sicherste Lösung für Unternehmen. Social Media Manager schütteln ob solch eines konsequenten Verbots den Kopf. Und halten jegliche Regulierung für unnötig, bzw. schlicht überflüssig. Die Chefetage ist ohnehin hochgradig verunsichert. Sie hört den Rat der Juristen und weiß zugleich um die Notwendigkeit von Social Media und der Unsinnigkeit, bzw. kaum möglichen Durchsetzbarkeit eines Verbotes der (privaten) Nutzung digitaler Kommunikationsmittel – auch wenn es sich bei der den Arbeitnehmern zur Verfügung gestellten IT-Infrastruktur, Internet und E-Mail noch so sehr um Betriebsmittel handeln. Aus dieser Melange entsteht der deutsche Regelfall der (privaten) Nutzung digitaler Kommunikationsmittel: Die Duldung.
Der Artikel zeigt im Wesentlichen drei Dinge auf. Zum einen dass ein Verbot nicht sinnvoll – wenn gleich auf den ersten Blick juristisch besehen viel einfacher – ist. Zum anderen, dass die vermeintlich ebenso einfache Duldung zahlreiche Folgeprobleme nach sich zieht, die sich wahlweise mit dem Modewort Compliance oder den guten, alten Legalitätspflichten umschreiben lassen sowie dass bunte Social Media Leitfäden zwar gut für die Mitarbeiter, aber dennoch nicht ausreichend im Sinne von Social Media Richtlinien sind. Und schließlich, dass die Argumentation der Juristen, welche stets § 88 Telekommunikationsgesetz zur Begründung des absoluten Verbots privater Nutzung heranziehen und der Geschäftsführung Szenarien von strafrechtlicher Verfolgung bei Verstößen gegen eben diesen vor Augen führen, vor dem Hintergrund der neueren Rechtsprechung (LAG Niedersachsen, 31. 5. 2010 – 12 Sa 875/09; LAG Berlin-Brandenburg, 16. 2. 2011 – 4 Sa 2132/10; LAG Hamm, 10. 7. 2012 – 14 Sa 1711/10) und neuerer Literatur nicht zu halten ist.
Oh. Und natürlich zeigt der Artikel noch einen vierten Bereich auf: Lösungen.
Wer nun mag, kann sich den Artikel „Social Media im Unternehmen“ (Kommunikation & Recht, 2014, 1) hier als pdf ansehen und zu Gemüte führen.
Wem der Artikel zuviel Fachchinesisch enthält (nun ja, es ist eben ein Fachartikel…), der muss sich noch ein wenig in Geduld üben. Aber in Kürze wird die Problematik hier im Blog noch einmal auf altbekannte Weise bearbeitet werden.
In diesem Sinne,
ein frohes neues Jahr und auf mehr Social Media in den Unternehmen!
PS: Liebe Blog-Abonnenten, entschuldigen Sie bitte, dass Sie den Artikel nun zweimal bekommen. Aber aus technischen Gründen war es leider notwendig, dass er noch einmal komplett neu eingestellt wird.
Es wird alles nicht leichter – Google Analytics in der mobilen Nutzung
Dass Google Analytics nach Meinung der Datenschutzbehörden durchaus rechtskonform genutzt werden kann, beschrieb ich schon im September 2011 im Artikel „Google Analytics kann rechtskonform verwendet werden!„.
Voraussetzung für die datenschutzkonforme Nutzung war bislang, dass
- dem Nutzer einer Website die Möglichkeit zum Widerspruch (Opt-out) gegen die Erfassung von Nutzungsdaten mittels des Deaktivierungs-Add-On eingeräumt wird (für alle gängigen Browsern),
- dass Google auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist
- und dass der Webseitenbetreiber einen schriftlichen Vertrag zur Auftragsdatenverarbeitung nach Vorgabe von § 11 BDSG abschließt (Den Vertrag mit Google gibt es hier als pdf.)
Der Kollege Thomas Gramespacher merkte in den Kommentaren schon 2011 an „… und was ist mit Mobil-Browsern/mobilen Versionen? Immer werden die armen kleinen Mobilversionen vergessen! ;-(“
Recht hatte er schon damals. Denn das Deaktivierungs-Add-On funktioniert mobile nicht. Soweit so gut. Gekümmert hat das zunächst nicht. Doch in den letzten zwei Jahren hat die Nutzung von Smartphones, um im #Neuland zu surfen, erheblich zugenommen. Und so tauchte dieses Problem in diesem Jahr nun doch auch auf der Agenda der Datenschutzbehörden auf.
Diesen zu Folge muss ein Seitenbetreiber, der ein Webangebot vorhält, dass speziell für mobile Nutzung ausgelegt ist (was eigentlich das Ziel eines jeden Seitenbetreibers sein sollte…) eine eigene Widerspruchslösung für die mobile Version implementieren.
Google bietet auch hier Hilfe an und zeigt hier unter dem Punkt „Disabling Tracking“ anhand eines einfachen Beispiels wie diese Widerspruchslösung (Opt-Out) ein- bzw. aufgebaut werden kann.
Mit unschönen Schreiben von den Datenschutzbehörden wegen der rechtswidrigen Einbindung von Google Analytics auf mobilen Seiten ist zwar aufgrund der grundsätzlichen Überlastung der Datenschutzbehörden (derzeit) nicht so zwingend zu rechnen, als dass Webseitenbetreibern nun akut der Schweiß auf der Stirn stehen müsste. Aber seit dem Urteil des OLG Hamburg zur wettbewerbsrechtlichen Abmahnfähigkeit von mangelhaften Datenschutzerklärungen durch Mitbewerber, können eben diese mit Abmahnung angreifen.
Insoweit sollten – gerade wenn man Google Analytics nutzt UND die Webseiten (von Apps ganz zu schweigen) mobile-optimiert sind – Webseitenbetreiber an die Umsetzung nach der Empfehlung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit denken.
Der geschätzte Kollege Schwenke hat sich heute übrigens auch mit dem Thema befasst und teilt meine Einschätzung, dass es die Umsetzung zur datenschutzkonformen Verwendung schlicht kompliziert, bzw. „benutzerunfreundlich“ ist. Tja. Ist ja nicht so schlimm. Google Analytics benutzt ja kaum einer… *hust.
In diesem Sinne,
auf dass es einfacher werden möge!
Livestream zur Veranstaltung „Prism, Tempora & Co“ des Forum IT-Recht der Leibniz Universität Hannover
Die Nachrichten zu PRSIM, Tempora, Edward Snowden, Überwachungsapparaten auf Botschaften, abgehörten Kanzler-Telefonen und dergleichen reißen nicht ab. Und dass, obwohl das Thema schon lange poffallert wurde. Und zwar ausdrücklich!
Wie schon an meinem Artikel Verschlüsselt doch einfach die Emails! Oder: Das Recht auf informationelle Selbstbestimmung in Zeiten von #PRISM und #TEMPORA aus Juli 2013 ersichtlich, finde ich, dass da gar nichts zu beendet sein hat und vielmehr die Diskussionen im großen gesellschaftsübergreifenden Stil geführt werden müssen.
In Folge dessen habe ich mich auch sehr gefreut, als mich vor einigen Monat der Anruf des Instituts für Rechtsinformatik aus Hannover erreichte und ich gefragt wurde, ob ich bei dem Forum IT-Recht am 11.11.2013 dabei sein und zum Thema Prism, Tempora & Co – Zeitenwende in der Bürgerüberwachung mit
Ulrich Berzen, Leiter Abteilung 3 (Zentrale Fachunterstützung), Bundesamt für Verfassungsschutz, Köln
Gabriele Löwnau, Leiterin Referat Referat V (Polizei, Nachrichtendienste, Strafrecht, europäische und internationale polizeiliche und justizielle Zusammenarbeit) beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Berlin
Christian Horchert, Digitale Gesellschaft, Berlin
Konstantin von Notz, MdB, B90/Die Grünen, Sprecher für Innenpolitik und Netzpolitik, Berlin
Ralf Lesser, Arbeitsgruppe ÖS I 3 (Polizeiliches Informationswesen, BKA-Gesetz, Datenschutz im Sicherheitsbereich) im Bundesministerium des Innern, Berlin
gemeinsam eine Podiumsdiskussion zum oben besagten Thema führen möchte. Die Diskussionsleitung übernimmt RA Arne Nordmeyer, LLM, CMS Hasche Sigle.
Zwar kann man als Zuhörer kostenlos der Diskussion lauschen, doch da der Weg nach Hannover für einige weit ist, sind die Veranstalter nun den vielen Fragen nach einem Livestream nachgekommen. Die (hoffentlich!) spannende Diskussion wird am
11.11.2013 ab 18:00 Uhr
via Livestream übertragen. Der Livestream wird dann unter www.forum-it-recht.de zu finden sein.
Ich freu mich drauf & bin gespannt, wie es sich so mit Polit-Profis diskutiert…
In diesem Sinne,
bis Montag in Hannover (oder an den Bildschirmen da draußen 😉 )
Das ULD gibt nicht auf: Berufung gegen Facebook-Fanpage Urteil des VG Schleswig
Über die Causa ULD ./. Facebook berichten wir hier in schönster Regelmäßigkeit, zuletzt mit diesen Artikeln:
ULD ./. Facebook: Die Welt blickt nach Schleswig (08. Oktober)
VG Schleswig: Fanpagebetreiber nicht für rechtswidrige Datenverarbeitung durch Facebook verantwortlich (09. Oktober 2013)
Das VG Schleswig hat in der Causa “Facebook” entschieden – Und nun? Ein datenschutzrechtliches Dilemma (11. Oktober 2013)
Und nun? Tja, das ULD (Unabhängiges Landeszentrum für Schleswig-Holstein) möchte weiter Content-Lieferant für unserer Blog sein und geht folgerichtig in die nächste Runde. Meint: Das ULD legt Berufung gegen das Urteil des VG Schleswig ein und wird damit das OVG Schleswig beschäftigen. Die diesbezügliche Pressemitteilung des ULD findet sich hier.
Und wer sich denkt „Wie war das noch mal? Worum geht es eigentlich?!„, der liest am Besten einfach noch mal Das VG Schleswig hat in der Causa “Facebook” entschieden – Und nun? Ein datenschutzrechtliches Dilemma. Dort habe ich die ganze Problematik nämlich noch einmal zusammengefasst, erläutert und kommentiert.
In diesem Sinne,
man darf gespannt bleiben!
Twitter eröffnet Möglichkeit der Übersendung von Direktnachrichten durch alle Follower – gut für die Werbung oder?
Heise, bzw. TechCrunch, meldete heute Mittag, dass Twitter nach und nach eine neue Funktion einführt, wonach Direktnachrichten (DM) nun mehr an jeden Follower übersendet werden können. Zuvor war zum Austausch von Direktnachrichten das gegenseitige Folgen notwendig.
Klar, es hat seine Vorteile, wenn einem nun jeder Follower eine DM übersenden kann. Der Journalist Darell Etherington sieht es jedenfalls so, sinngemäß sagt er: Es befreit von den nervigen an ihn gerichteten Tweets mit der Anforderung „Bitte folge mir, damit ich Dir eine DM mit wichtigen Nachrichten schicken kann“, was sich am Ende doch bloß als fishing for permanent followers ohne jeden wichtigen Gehalt herausstellt.
Mag sein, dass Mr. Etherington weniger @replies erhält, dafür dürfte es künftig wohl etwas mehr Werbung im DM-Postfach sein, die dann so oder so ähnlich aussehen könnte:
„Tolle Homepage, sehr schön designt. Aber wie wäre es mit einem verbesserten SEO/SEM? Einfach DM an @seonerds!“
Toll. Oder? Denn wenn einem nun jeder Follower eine DM übersenden kann, bedeutet das im Umkehrschluss, dass mir nun jeder, wie der fiktive @seonerds, eine DM übersenden kann, solange er mir nur folgt (und ich die Funktion grundsätzlich aktiv habe). Ob man das möchte oder das angenehm findet, ist die eine Sache, eine andere ist, ob diese mögliche Art der Werbung rechtliche Konsequenzen für die Versender haben kann.
Das VG Schleswig hat in der Causa „Facebook“ entschieden – Und nun? Ein datenschutzrechtliches Dilemma.
Wer den Blog liest, der weiß, dass insbesondere meine Wenigkeit sich des Öfteren mit Facebook und der ungefragten Verwendung von personenbezogenen Daten auseinandersetzt, so zum Beispiel hier und hier. Weiter weiß der geneigte Leser, dass wir (in dem Fall konkret: Stephan Dirks) das jüngste Verfahren des ULD in Sachen „Facebook“ mit zwei Blogposts, hier und hier, begleitet haben. Der Artikel zur Entscheidung des VG Schleswig vom 09. Oktober 2013 trägt den Titel „VG Schleswig: Fanpagebetreiber nicht für rechtswidrige Datenverarbeitung durch Facebook verantwortlich.“
Dieser Titel wurde gestern hinterfragt. Das Gericht habe über die Rechtswidrigkeit der Datenverarbeitung bei Facebook doch gar nicht entschieden? Ich kann nur sagen, vielen Dank für diese Nachfrage. Inspiriert sie mich doch dazu, wieder einmal grundsätzlich zum Thema Datenschutz & soziale Netzwerke (heute insbesondere: Facebook) Stellung zu beziehen und noch einmal aufzuzeigen, wo es hakt und warum die Headline des letzten Artikels ist, wie sie ist.
Facebook verändert die Promotion Richtlinie – Was bedeutet das?
Gestern machte es groß die Runde: Facebook hat die Nutzungsbedingungen für Seitenbetreiber dahingehend geändert, als dass Gewinnspiele nun nicht mehr zwingend in Apps oder auf Canvas-Pages stattfinden müssen. Sprich – Gewinnspiele können jetzt einfach auf den Chroniken der Facebook-Fanpages stattfinden. Toll! Oder? Nun, Thomas Hutter, der sich Tag für Tag mit Online und Social Media Marketing befasst, hält aus Marketingsicht „die Lockerungen der Richtlinien […] für einen Schritt in die absolut falsche Richtung.„. Und Christian Henne, Geschäftsführer von HENNEDIGITAL, fasste das Ganze gestern auf Facebook wie folgt treffend zusammen:
Über den Sinn oder Unsinn von Gewinnspielen direkt auf Facebook-Pages dürfen sich die Marketing-Gelehrten nun gerne streiten. Facebook behauptet, die Änderungen seien im Sinne der Unternehmen vorgenommen worden, damit diese nun leichter Gewinnspiele durchführen können.
Was sich nun alles konkret in den Richtlinien geändert hat und ob das Ganze auch rechtlich besehen für Unternehmen den großen Wurf darstellt oder ob es nicht aus juristischer Perspektive ganz sinnvoll wäre, Gewinnspiele weiterhin innerhalb von Facebook-Apps stattfinden zu lassen, das alles habe ich gestern Creditreform – dem Unternehmer-Magazin aus der Verlagsgruppe Handelsblatt einmal erläutert.
Hier geht es zu meinem Artikel
„Was die neuen Gewinnspiel-Richtlinien von Facebook bedeuten„
In diesem Sinne,
weiterhin viel Spaß bei der Gestaltung von Gewinnspielen auf Facebook! 🙂
OLG Hamburg: Mangelhafte Datenschutzerklärungen sind wettbewerbswidrig und mit Abmahnungen angreifbar
Das Oberlandesgericht Hamburg hat Ende Juni eine insbesondere für Agenturen und deren Auftraggeber zwingend zu berücksichtigende Entscheidung (Az. 3 U 26/12) getroffen. Und zwar zum einen hinsichtlich der Frage, ob die Informationspflicht bei Datenerhebungen nach dem Telemediengesetz eine sogenannte Marktverhaltensnorm ist, bei der ein Verstoß eine wettbewerbsrechtliche Abmahnung auslösen kann. Und zum anderen hinsichtlich der Frage, ob neben der ausführenden Agentur auch das beauftragende Unternehmen im wettbewerbsrechtlichen Sinne in Anspruch genommen werden kann.
Doch worum geht es konkret und im Einzelnen?
I. Der Sachverhalt
Das Unternehmen U vertreibt Blutdruckmessgeräte. Der Hersteller H ebenfalls. Der Hersteller beauftragte den Dienstleister D mit der Schaltung von Werbung im Internet. D schaltete Werbung, mittels derer letztlich Diabetiker aufgefordert wurden, sich zu über das Internet zu registrieren, um so dann das Gerät es Herstellers H „unter Alltagsbedingungen zum Kennenlernen“ zu erhalten. Die vom Dienstleister D betriebene Internetseite, auf der die Registrierung vorzunehmen war, enthielt weder ein Impressum noch Informationen zur Erhebung und Verwendung der für die Registrierung der angesprochenen Kunden erforderlichen personenbezogenen Daten.
U wandte sich nun jeweils mit einer Abmahnung gegen den Dienstleister, der diese Werbung schaltete sowie die Landing-Page betrieb und gegen den Hersteller der Blutdruckgeräte, der auch den Dienstleister beauftragt hatte. U machte mit der Abmahnung
- einen Verstoß gegen § 7 Abs. 1 HWG (Heilmittelwerbegesetz),
- einen Verstoß gegen die Impressumspflicht nach § 5 TMG (Telemediengesetz),
- einen Verstoß gegen Informationspflicht nach § 13 TMG,
jeweils in Verbindung mit §§ 3, 4 Nr. 11 UWG (Gesetz gegen den unlauteren Wettbewerb), wonach der Verstoß gegen gesetzliche Vorschriften eine unlautere und mithin verbotene geschäftliche Handlung darstellt, geltend.
Während der Dienstleister umgehend eine strafbewehrte Unterlassungserklärung abgab, verweigerte sich dem der Hersteller. Folglich machte das Unternehmen U weiter gerichtlich seine Forderung auf Unterlassung und Kostentragung gegen den Hersteller H geltend.
Der Hersteller H suchte sich mit den Argumenten zu verteidigen, die Abmahnung entbehre schon inhaltlich jeder Grundlage und zudem könne er selbst gar nicht angegriffen werden, da schließlich die Agentur alles (falsch) gemacht habe.
II. Die Entscheidung des OLG Hamburg
Das OLG Hamburg stellte unmissverständlich klar, dass der Hersteller vorliegend selbstverständlich für einen Verstoß seines Dienstleisters haftet. Dies ergibt sich auch wörtlich aus § 8 Abs. 2 UWG, in dem es heißt:
„Werden die Zuwiderhandlungen in einem Unternehmen von […] Beauftragten begangen, so sind der Unterlassungsanspruch und der Beseitigungsanspruch auch gegen den Inhaber des Unternehmens begründet“
Beauftragter im Sinne dieser Norm ist wiederum jeder, der, ohne Mitarbeiter zu sein, für das Unternehmen eines anderen auf Grund eines vertraglichen oder anderen Rechtsverhältnisses tätig ist und hierbei in die betriebliche Organisation dergestalt eingliedert ist, dass der Erfolg seiner Handlung zumindest auch dem Unternehmensinhaber zugute kommt und dem Unternehmensinhaber ein bestimmender und durchsetzbarer Einfluss jedenfalls auf die beanstandete Tätigkeit eingeräumt ist (Vgl.: Köhler/Bornkamm, § 8, Rn. 2.41). Tja, und da der Hersteller H den Dienstleister D nun einmal zum Zweck der Bewerbung der Produkte vertraglich eingeschaltet hat und zugleich in die Abwicklung der Werbeaktion eingebunden war (der Hersteller hat natürlich die Daten letztlich erhalten und die Blutdruckgeräte versendet), ist die Haftung des Herstellers neben der des Dienstleisters für die genannten Verstöße eindeutig.
1. Verstoß gegen das Heilmittelwerbegesetz
Hierzu will ich mich an dieser Stelle gar nicht weiter auslassen, wen es interessiert, der mag das Urteil selbst, insbesondere die Randzeichen 33 bis 40 lesen. Das Gericht sah jedoch einen Verstoß gegen das Heilmittelwerbegesetz als gegeben an.
2. Verstoß gegen die Impressumspflicht
Uhaaaa. Die Geschichte hat sooooo’nen Bart und kostet das Gericht folglich auch nur müde sechs Zeilen (man möge die lapidare Ausdrucksweise verzeihen): Ein fehlendes Impressum des die Seite betreibenden Dienstleisters D ist natürlich ein Verstoß gegen die Impressumspflicht, welcher auch wettbewerbsrechtliche Relevanz hat. (Wer mehr wissen will, mag das Urteil des KG Berlin Az. 103 O 34/10 lesen, das sich ausdrücklich mit diesem Thema befasst.)
3. Verstoß gegen die Informationspflichten
Nun wird es aber hochgradig spannend. Nicht nur, weil der Datenschutz dank Edward Snowden sowieso gerade in aller Munde ist und ich mir vor zwei Tagen zum Recht der informationellen Selbstbestimmung in Zeiten von #prism und #tempora die Finger wund geschrieben habe, sondern aus dem folgenden Grund:
Bislang ist umstritten, ob datenschutzrechtliche Normen wettbewerbsrechtlich relevant sind und damit ob ein Verstoß gegen eine solche Norm von einem Mitbewerber mit einer wettbwerbsrechtlichen Abmahnung quittiert werden kann.
Einfallstor für den wettbewerbsrechtlichen Bezug und damit die Abmahnung ist der schon genannte § 4 Nr. 11 UWG, in dem es heißt
„Unlauter handelt insbesondere, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.“
Die Frage ist also, ob die Vorschrift des § 13 Abs. 1 TMG, wonach Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten […] n allgemein verständlicher Form zu unterrichten sind, eben eine solche „Marktverhaltensnorm“ im Sinne des UWG darstellt.
Das KG Berlin hat in seiner Entscheidung vom 29.04.2011 (Az. 5 W 88/11) eine solche wettbewerbsbezogene Funktion des § 13 Abs. 1 TMG nicht erkannt. Die Norm solle nur gewährleisten, dass der Nutzer sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann. Und weiter: Für die Beurteilung, ob ein Verstoß im Sinne des § 4 Nr. 11 UWG vorliegt, ist es unerheblich, ob sich ein Unternehmen durch die Missachtung einer derart auf den Datenschutz bezogenen Informationspflicht einen Vorsprung im Wettbewerb verschafft.
Verstanden habe ich diese Argumentation schon damals nicht und schrieb bereits im Oktober 2012 Zusammenhang mit einem Artikel von Dr. Thilo Weichert „Datenschutz als Geschäftsmodell – Der Fall Facebook“ das Folgende:
„Die bestehende Auffassung von einigen Gerichten (KG Berlin, OLG München), dass Datenschutznormen keine Marktverhaltensregelungen im Sinne des UWG darstellen und der Verstoß dagegen deswegen von Mitbewerbern nicht angegriffen werden kann, mutet vor dem Hintergrund, dass eben heutzutage mit eben jenen (wie auch immer erlangten) Daten ein großes Geschäft gemacht wird (also derjenige, der den Datenschutz mit Füßen tritt im Zweifel einen Wettbewerbsvorteil erlangt), nahezu skurril an.“
Das OLG Hamburg sieht dies nun ebenso, denn es führt aus:
„Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln“
Die Begründung des OLG Hamburg unter Randzeichen 58 zur Marktbezogenenheit der Datenschutznorm ist insgesamt sehr lesenswert.
III. Und nun? Was bedeutet das?
Nun stehen sich zwei oberlandesgerichtliche Rechtsprechungen konträr gegenüber. Die einen sagen hü, die anderen hott. Meines Erachtens handelt es sich bei der Entscheidung des KG Berlin allerdings um eine Fehlentscheidung, die vor dem Hintergrund der schon erwähnten heutigen wirtschaftlichen Bedeutung von Daten nicht aufrechterhalten werden kann.
Da meiner Meinung aber nicht wirklich eine irgendwie geartete Relevanz für die in anderen Fällen zu entscheidenden Richter innewohnt, ist das Folgende anzumerken:
Da zum einen die Linie der Rechtsprechung (noch) nicht klar ist, es zum anderen aber nun eine bejahende oberlandesgerichtliche Entscheidung zum Thema „Datenschutzregelungen als Marktverhaltensnormen“, ist in jedem Fall dazu zu raten, jeweils eine ordnungsgemäße Datenschutzerklärung vorzuhalten und den Datenschutz an dieser Stelle ernst zu nehmen. Das sollten Werbetreibende aus vertrauensbildenden Gründen und zur Vermeidung von genervten Kunden zwar ohnehin tun, aber vielen ist und war das dann doch relativ egal. Die Entscheidung des OLG Hamburg zeigt aber nun die dem Datenschutz innewohnende wettbewerbsrechtliche Relevanz auf und macht deutlich, dass wettbewerbsrechtliche Abmahnung in diesem Bereich zu Recht ergehen können. Folglich steigt das Risiko von Mitbewerbern und/oder den Mitbewerbern der beauftragenden Unternehmen abgemahnt zu werden.
IV. Last but not least: Zum Verhältnis zwischen Agentur und Auftraggeber
Darüber hinaus sollten sich Agenturen bewusst machen, dass zwar nach außen auch der Auftraggeber wettbewerbsrechtlich neben der Agentur in Anspruch genommen werden kann, aber der Auftraggeber aller Wahrscheinlichkeit nach und mit gutem Recht bei der Agentur aufgrund der Schlechtleistung Regress nehmen und sich die Kosten für den Rechtsstreit ersetzen lassen wird.
Schließlich ist die Agentur grundsätzlich für die für den Auftraggeber durchgeführte Kampagne verantwortlich. Die Agentur ist zunächst mal dafür verantwortlich, dass eine für den Kunden konzipierte und durchgeführte Kampagne frei von Mängeln ist. Ein Mangel kann auch eine rechtswidrige Werbemaßnahme sein (vgl. OLG Düsseldorf, Az.: 5 U 39/02), denn in dem Fall ist die Kampagne faktisch nicht erlaubt, damit nicht durchführbar und die Agentur hat Ihre (Dienst-)Leistung nicht ordnungsgemäß gegenüber dem Kunden, also dem Auftraggeber, erbracht. Nun ist es der Agentur zwar möglich, die Verantwortung für eine rechtliche Prüfung einer solchen Kampagne und damit die rechtliche Verantwortung qua vertraglicher Vereinbarung auf den Kunden/Auftraggeber abzuwälzen. Dies ist jedoch zum einen nicht ganz einfach. Zum anderen wird es dann schwierig, wenn die Agentur von vornherein weiß, dass die empfohlene Kampagne zu gerichtlich durchsetzbaren Ansprüchen gegenüber dem Kunden führen wird, bzw. führen kann. Dann kann sich die Agentur kaum damit exculpieren (juristisch für: herausreden), dass die rechtliche Prüfung der Angelegenheit Sache des Kunden/Auftraggebers gewesen wäre. Im Übrigen: In der harten Realität alles Fragen der jeweiligen Darlegungs- und Beweislast.
In diesem Sinne,
am besten einfach immer gleich vernünftig um den Datenschutz kümmern.
tl;dr: Datenschutz wird immer wichtiger, wer als Agentur und/oder Auftraggeber dem durch die Entscheidung des OLG Hamburg gestiegenen Abmahnrisiko entgegentreten möchte, sollte sich um vernünftige Datenschutzerklärungen mühen.
Autor: Nina Diercks
Verschlüsselt doch einfach die Emails! Oder: Das Recht auf informationelle Selbstbestimmung in Zeiten von #PRISM und #TEMPORA
Was ist nicht alles schon zu dem Thema geschrieben worden. Alleine bei ZEIT ONLINE oder SPON finden sich unter den jeweiligen Rubriken unzählige Berichte und Kommentare. Und dennoch fehlt etwas. Der Aufschrei, genauer: Der Aufschrei der User. Die machen zwar Witze. So wie diesen
I met Barrack Obama and said, „My dad says you’re spying on us all.“ He said, „He’s not your dad.“
oder diesen
„Hey, NSA! Mir ist heute meine Festplatte kaputt gegangen. Die Daten liegen Euch vor. Bitte übersendet doch eine Kopie.“
aber wahrer Protest? Fehlanzeige. Nina Pauer beschreibt diesen nahezu gleichgültigen Zustand des Durchschnitts-Users in ihrem sehr lesenswerten Artikel „Die Unfähigkeit zu wüten“ auf ZEIT ONLINE vom 27.06.2013.
Ich verstehe es nicht. Gegen ACTA, bei dem aus deutscher Sicht eigentlich nichts los war, gehen die Leute auf die Straße und schreien um Ihre Bürgerrechte. Hier: Nichts. Am besten noch mit dem Kommentar
„Wieso? Ist doch egal! Ich habe nichts zu verbergen“
versehen. Warum dieser Satz den Journalisten Dennis Horn – zu recht – an die Decke gehen lässt, das hat er in seinem Artikel „Ich hab ja nichts zu verbergen“ ganz übersichtlich zusammengefasst.
Was, wenn die verfassungsmäßige Ordnung nichts mehr wert ist?
Ich hingegen weiß gar nicht, ob ich wütend bin. Es ist etwas anderes, schlichte Fassungslosigkeit. Ich bin Rechtsanwältin. Ich habe einen Eid geleistet, der da lautet: „Ich schwöre, die verfassungsmäßige Ordnung zu wahren und die Pflichten einer Rechtsanwältin gewissenhaft zu erfüllen.“ Aber was, wenn die verfassungsmäßige Ordnung und damit das Grundgesetz mit seinen Grundrechten augenscheinlich kaum noch einen Pfifferling wert ist? Was dann?
Und nein, um solch Einwänden gleich zuvor zu kommen, ich bin keine Träumtänzerin, die den harten Aufschlag auf der Realität nicht verkraftet. Ich bin nicht nur Rechtsanwältin. Ich habe auch einen Master in internationaler Sicherheitspolitik (Strategic Studies). Ich weiß, dass gerade in sicherheitspolitischen Fragen nichts so einfach ist, wie es vielleicht scheint.
So ist zum Beispiel die – nicht unberechtigte – Frage, ob die Amerikaner mit ihrer Überwachung des deutschen Datenverkehrs in unzulässiger Weise in die Souveränität Deutschlands eingreifen, hinsichtlich der transatlantischen Beziehungen derart mit Sprengstoff beladen, dass sie – Geheimverträge aus der Besatzungszeit hin oder her – besser niemand auch nur irgendwie anfassen möchte. Das relative Schweigen aus Berlin mag vor diesem Hintergrund verstanden werden.
Und dennoch können all die mit #tempora und #prism verbundenen Fragen nicht unbeantwortet bleiben. Mit dieser Form der Überwachung werden die Rechte jedes Bürgers mit Füßen getreten. Das kann, das darf in einem Rechtsstaat nicht sein. Auch im digitalen Zeitalter muss die Persönlichkeit und das Kommunikationsverhalten eines jeden Schutz finden können. Und ein jeder muss Interesse daran haben, dass das so bleibt. Andernfalls droht die Erosion des Rechtsstaats von innen.
Der Schutz des Persönlichkeitsrechts und das Recht auf informationelle Selbstbestimmung
Um zu verstehen, warum die Erosion des Rechtsstaats von innen durch die massive Überwachung aus- und inländischer Dienste droht, fangen wir aber einmal ganz von vorne an. Das Grundgesetz verbürgt über Art. 2 Abs. 1 in Verbindung mit Art. 2 Abs. 1 den Schutz des allgemeinenen Persönlichkeitsrechtes (APR) eines jeden Individuums. Das Bundesverfassungsgericht sah schon 1973 als Aufgabe des allgemeinen Persönlichkeitsrechts an:
„die engere persönliche Lebenssphäre und die Erhaltung ihrer Grundbedingungen zu gewährleisten, […]; diese Notwendigkeit besteht namentlich auch im Blick auf moderne Entwicklungen und die mit ihnen verbundenen neuen Gefährdungen für den Schutz der menschlichen Persönlichkeit.“
Diesen modernen Entwicklungen hat das BVerfG immer wieder Rechnung getragen. Mit dem Volkszählungs-Urteil wurde 1983 das Recht auf informationelle Selbstbestimmung manifestiert. 2008 setzte das BVerfG dann Online-Durchsuchungen mittels des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme eine besondere Schranke. Beide Rechte sind Ausprägungen des APR. Letzteres ist ein sogenannten Auffanggrundrecht und bietet dann Schutz, wenn die Schilde des Telekommunikationsgeheimnisses (Art. 10 GG) und der Unverletzlichkeit der Wohnung (Art. 13 GG) Lücken bilden.
Kurz: Diese Grundrechte sorgen zum einen dafür, dass wir im geschützten Kreis privater, vertraulicher Kommunikation sagen können, was wir wollen, ohne dass wir Angst haben müssen, dass die Inhalte unserer Kommunikation in den falschen Händen landen. Und zum anderen dafür, dass dass wir frei darüber bestimmen können, wer, wann und wie, welche Daten von uns erhält.
Checks & Balances
Natürlich gibt es zu den allumfassenden und schützenden Grundrechten Ausnahmen. Es darf in das Grundrecht eines Einzelnen eingegriffen werden. Jedoch bedarf es dafür einer verfassungsrechtlichen Rechtfertigung. Das kann ein spezielles Gesetz sein, wie etwa die §§ 101a ff StPO, die die Überwachung der Telekommunikation in einem gewissen Rahmen erlauben und damit das Recht auf das Telekommunikationsgeheimnis einschränken. Dieser gewisse Rahmen ergibt sich, wenn nicht aus dem Gesetz selbst, so doch aus der sogenannten Verhältnismäßigkeitsprüfung. Bei derartigen die Grundrechte einschränkenden Eingriffen muss am Ende des Tages immer gefragt werden, ob die Maßnahme auch verhältnismäßig war. Also, ob die Maßnahme geeignet, erforderlich und angemessen war, den beabsichtigten Zweck zu erfüllen. Hier ein kurzes Beispiel: Der Zweck einer Datenüberwachung ist, den Entführer von der kleinen Amelie und den Aufenthaltsort finden. Es wird vermutet, dass der dringend tatverdächtige V der Entführer ist. Geeignet ist die Maßnahme, wenn der Entführer der kleinen Amelie durch eine Datenüberwachung überhaupt gefunden werden kann. Erforderlich ist sie, wenn es kein milderes, aber gleich wirksames Mittel, also keine andere Möglichkeit gibt, den Entführer ebenso sicher zu ermitteln. Angemessen wäre die Maßnahme dann, wenn alle Nachteile einer solchen Maßnahme – wie eben der Eingriff in Grundrechte des Täters – durch die Vorteile – hier die Rettung des Lebens der kleinen Amelie – überwiegen.
Mit dem Verhältnismäßigkeitsgrundsatz existiert ein austariertes System zum Schutz aller, welches keinen leichtfertigen Eingriff in Grundrechte zulässt. Die Briten haben ein solches Schutzsystem unter dem Schlagwort „Checks & Balances“ in die Welt gebracht. Doch wie man das Kind auch nennt, ein Rechtsstaat, der nur noch frei agiert, die Frage der Verhältnismäßigkeit nicht mehr stellt, keine Beschränkungen mehr kennt und sich auch jeglicher Kontrolle durch die Gerichte entzieht, der kann kaum noch Rechtsstaat sein.
Verschlüsselt doch einfach die Emails!
Nach dem Politredakteur Ulrich Clauß ist es ganz einfach, durch die eng gestrickten Maschen der Geheimdienste zu schlüpfen und als freiheitsliebender Bürger außen vor zu bleiben. Im Presseclub der ARD am 30.06.2013 sagte er sinngemäß „Der Bürger muss eben seinen Email-Verkehr verschlüsseln, dann ist das mit der Überwachung auch kein Problem.“ Ist das die Lösung? Zum einen ist es mit einem ganz erheblichen, nicht alltags-tauglichen Aufwand verbunden, seinen gesamten Email-Verkehr nur noch verschlüsselt zu führen. Wer mag, kann sich dazu die Ausführungen des IT-Experten Felix von Leitner alias @fefe in der FAZ zu Gemüte führen. Zum anderen verkennt Clauß‘ mit dieser Aussage vollkommen die dem Staat obliegenden Schutzpflichten.
Schutzpflichten des Staates?
Die Grundrechte dienen nicht nur der Abwehr und damit dem Schutz des Bürgers gegen staatliche Maßnahmen, sondern die Grundrechte bieten den Bürgern auch Schutz durch staatliche Maßnahmen und gegenüber Dritten, wenn andernfalls irreparable Rechtsgutsverletzungen drohen. Mehrfach wurde dies durch das BVerfG bei Fragen von Leib und Leben herausgearbeitet ( BVerfG 1 BvR 357/05 mwN). Angesichts des jetzigen Abhör-Skandals ist es jedoch offensichtlich, dass auch das allgemeine Persönlichkeitsrecht und das dem entspringende Recht auf informationelle Selbstbestimmung sowie das Recht auf die Vertraulichkeit von IT-Systemen Grundrechte sind, die der Schutzpflicht des Staates bedürfen.
Natürlich gibt es auch eine Pflicht zur informationellen Selbstverantwortung. Der Staat soll und kann nicht alles regulieren. Der Einzelne muss das Seine hinzutun, verantwortungsvoll mit seinen Daten umgehen, überlegen, welche Daten er sozialen Netzwerken anvertrauen mag oder zum Abgriff durch von ihm zugelassene Browser-Cookies für Werbenetzwerke bereithalten will.
Der Ruf nach der Pflicht zur informationellen Selbstverantwortung greift jedoch zu kurz: Zwar kann der User per Click bestimmen, welche Daten er via sozialen Netzwerke der Öffentlichkeit zeigt oder welche Daten er Werbenetzwerken übergibt. Dem Tracking durch die Geheimdienste ist er jedoch hilflos ausgeliefert.
Denn hinsichtlich der Verwendung unserer Daten durch ausländische Dienste, gleich ob Verbindungs- oder Inhaltsdaten, gibt es kaum etwas, was der der Einzelne tun kann. Das darf niemandem egal sein. Der Verweis, das träfe doch nur Terrorverdächtige, zeigt eben die Misere auf: Wie wird man den des Terrors verdächtigt? In dem Indizien dafür sprechen. Woher kommen diese Indizien? Aus der Überwachung. Und was, wenn der Algorithmus jemanden herausgreift, der nach Maßgabe des Algorithmus zur falschen Zeit, am falschen Ort war, mit der falschen Person gesprochen und das falsche Buzzword in einen Chat eingegeben hat? Und der nun bei der Einreise nach Amerika wegen des Terrorverdachts festgehalten wird? Und, um das Horrorszenario auf die Spitze zu treiben, eine freundliche Einladung nach Guantanomo erhält. Einen Ort an dem das Prinzip der Rechtsstaatlichkeit und des fairen Verfahrens einen feuchten Dreck interessiert?
Natürlich kann es falsche Verdächtigungen auch bei einer eingeschränkten digitalen Überwachung, wie sie der StPO entspringt, geben. Hier hilft aber das daneben bestehende strenge gesetzlich vorgeschriebene Verfahren, das auch dem Tatverdächtigen Schutz gewährt.
Von den Interessen und Rechten des Einzelnen abgesehen, ist noch ein weiteres Feld hoch problematisch: Wirtschaftsspionage. Gerade einem Technologie-Standort wie Deutschland kann und darf es nicht egal sein, dass ausländische Geheimdienste willenlos und bar jeder Kontrolle den Datenverkehr durchforsten.
Ja, aber dann müssen die Betroffenen sich eben doch selbst besser schützen!
Nein. Und das aus zwei Gründen. Den einen habe ich bereits angeführt. Dem Einzelnen ist es kaum möglich einen wirksamen Schutz aufzubauen. Allenfalls großen Unternehmen steht die Man-Power und das finanzielle Leistungsvermögen zur Seite, um eine halbwegs abhörsichere IT-Infrastruktur aufzubauen. Der andere lautet schlicht: Wir leben in einem Land mit einer freiheitlich, demokratischen Grundordnung. Das Zusammenleben im Staat basiert darauf, dass ein jeder seine ihm durch die Verfassung garantierten Freiheiten leben darf und nur in ganz besonderen Ausnahmefällen (s.o.) Eingriffe in seine garantierten Rechte dulden muss. Nicht umgekehrt. Der Bürger muss nicht ständig Eingriffe im schlichten Vertrauen darauf, dass der Staat schon „die richtigen Eingriffe“ vornimmt, dulden. Das funktioniert schon deswegen nicht, weil der Staat in Form der Exekutive (oder auch der Legislative) eben auch manchmal nicht das Richtige tut. Es passieren Fehler, manchmal gravierende Fehler. Und an dieser Stelle muss die Überprüfung staatlichen Handels durch eine unabhängige Judikative möglich sein.
Wer will in einem Staat leben, in dem Entscheidungen des Staates gegenüber seinen Bürgern und dessen Rechten nicht mehr nach klaren Regel, sondern nach Gutdünken getroffen werden? Wer fühlt sich noch frei, wenn er stets überlegen muss, wer mithört oder -liest? Und woran erinnert das?
Aber Terrorabwehr ist ein berechtigtes Interesse!
Ja. Ohne Frage. Die Terrorabwehr kann ebenso wie die Verhinderung anderer Straftaten ein berechtigtes Interesse zu Eingriffen in das Kommunikationsverhalten und damit die Grundrechte darstellen. Und nein. Denn Terror- oder sonstige Gefahrenabwehr reicht allein als (Totschlag-)Argument nicht aus. Der Verhältnismäßigkeitsgrundsatz muss gewahrt bleiben. Erst recht, wenn es um Eingriffe in das Kommunikationsverhalten durch dritte Staaten geht.
Von dem Verhältnismäßigkeitsgrundsatz zur Schutzpflicht des Staates
Angenommen, es gibt diese immer noch wirksamen Verträge, die dem Grunde nach zur Überwachung deutscher Staatsbürger durch die Amerikaner und Briten berechtigen. Dann hätte diese Datenausspähung aber immer noch im Licht der Grundrechte und unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes erfolgen müssen. Das ist nicht passiert. Und so ist das Grundrecht auf die freie Entfaltung der Persönlichkeit durch die durch die massive Überwachungstätigkeit ausländischer Geheimdienste zur Disposition gestellt. Denn kein Terrorakt der Welt kann rechtfertigen, dass die im Laufe von Jahrhunderten erkämpften Freiheitsrechte der Bürger unverhältnismäßig beschnitten und der Rechtsstaat untergraben wird.
Aufgrund dieser unverhältnismäßigen Eingriffe in die Grundrechte der Bürger durch dritte Staaten ist der Staat in der Pflicht; in der Pflicht zum Schutz seiner Bürger. Denn wenn der Einzelne sein Recht nicht mehr durchsetzen kann, dann muss der Staat dafür Sorge tragen, dass die Rechte gewahrt werden. Andernfalls ist das Recht nichts mehr wert. Und der Rechtsstaat erodiert.
Und jetzt?
Zwei souveräne Staaten. Verbündete. Ein souveräner Staat greift in die Rechte der Bürger des anderen souveränen Staates ein und beruft sich auf geltende Verträge. Geltendes (Grund-)Recht verbietet diese Eingriffe in die Rechte der Bürger. Und dennoch sind die in ihren Rechten verletzten Bürger diesen Eingriffen des anderen souveränen Staates ausgeliefert. Ein Dilemma, zu dem es nach derzeitiger Lage keine Lösung gibt.
Doch das bedeutet nicht, wegzugucken und den Kopf in den Sand zu stecken. Gerade wegen dieses Dilemmas gehen die Fragen nach Datenschutz, Freiheitsrechten und Rechtsstaat jeden etwas an. Und nein, die Frage ist nicht, ob wir im Netz mit weniger Rechtsstaatlichkeit auskommen. Das Netz ist Teil der realen Welt. Jede Trennung und Aufhebung wäre künstlich und würde dem Einfluss des Internets auf unser Leben nicht gerecht. Die Frage ist, wie also wollen wir leben? Mit garantierten Freiheitsrechten und rechtsstaatlichen, demokratischen Grundsätzen? Oder lieber ohne? Hierfür braucht es einen breiten gesellschaftlichen Diskurs und Denkansätze, die über eine EU-Datenschutzverordnung hinausgehen. Es braucht grundlegende Überlegungen wie digitale Revolution, Globalisierung und mühsam etablierte Freiheitsrechte und Rechtsstaatlichkeit Hand in Hand gehen sollen.
„No one pretends that democracy is perfect or all-wise. Indeed, it has been said that democracy is the worst form of government except all those other forms that have been tried from time to time.“
In diesem Sinne,
immer noch fassungslos.
tl;dr: Steht auf, denkt laut. Die freiheitlich demokratische Grundordnung ist es wert.