A tradition in innovation

Bei unvollständiger Regelung zur Auftragsdatenvereinbarung drohen Bußgelder

Personenbezogene Daten, d.h., Daten, die konkret einer bestimmten Person zuzuordnen sind (Name, Adresse, aber auch z.B. Datum eines Telefonats, wenn dieses einer bestimmten Person zuzuordnen ist) dürfen grundsätzlich nur mit Zustimmung der betreffenden Person weitergegeben werden. Wenn ein Unternehmen seine IT auslagert, in der in der Regel personenbezogene Daten z.B. von Kunden verarbeitet werden, wäre es aber unpraktikabel, jeden einzelnen Kunden um Erlaubnis zu bitten. Der Gesetzgeber hat daher für solche Fälle den Weg der sogenannten Auftragsdatenverarbeitung geschaffen. Wenn Daten nur im Rahmen eines Outsourcings weitergegeben werden, also nur an einen weisungsabhängigen Dienstleister, wird der Dienstleister datenschutzrechtlich wie eine interne Abteilung des auslagernden Unternehmens behandelt. Datenschutzrechtlich liegt dann also gar keine Weitergabe von Daten vor. Daher benötigt das auslagernde Unternehmen dafür dann also auch keine Zustimmung derjenigen, um deren Daten es geht (z.B. der Kunden).

Es ist klar, dass der Gesetzgeber so eine weitreichende Ausnahme vom Datenschutzrecht nur unter der Voraussetzung gewähren kann, dass sichergestellt ist, dass der Dienstleister auch tatsächlich nur wie eine interne Abteilung des auslagernden Unternehmens agiert. Daher ist eine Auftragsdatenverarbeitungsvereinbarung nur wirksam, wenn durch vertragliche Regelungen genau geregelt ist, was der Dienstleister mit den Daten machen darf und wenn vor allem Kontrollmöglichkeiten und technisch-organisatorische Maßnahmen vertraglich fixiert sind. Hierbei reicht es nicht aus, bloß den Gesetzestext zu wiederholen, das hat in einem aktuellen Fall die Bayerische Datenschutzbehörde noch einmal klargestellt. Ist die Regelung nicht vollständig, ist die Auftragsdatenverarbeitungsvereinbarung unwirksam und es liegt daher dann eine Weitergabe von Daten ohne Zustimmung der Betroffenen vor. Im aktuellen Fall enthielt die Auftragsdatenverarbeitungsvereinbarung nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Daher hat die Bayerische Datenschutzbehörde ein Bußgeld in fünfstelliger Höhe verhängt. Denkbar ist zudem, dass die Betroffenen, deren Daten weitergegeben wurden, Ansprüche gegen das auslagernde Unternehmen geltend machen.

Notwendig für eine ausreichende Regelung zu technisch-organisatorische Maßnahmen gewesen wären spezifische Festlegungen zu den Bereichen:

  • Zutrittskontrolle;
  • Zugangskontrolle;
  • Zugriffskontrolle;
  • Weitergabekontrolle;
  • Eingabekontrolle;
  • Verfügbarkeitskontrolle und
  • Trennungskontrolle.

Zusätzlich zu den technischen und organisatorischen Maßnahmen muss eine Auftragsdatenverarbeitungsvereinbarung Regelungen enthalten:

  • zu Gegenstand und Dauer des Auftrags;
  • zu Umfang, Art und Zweck der vorgesehenen Erhebung, zur Verarbeitung oder Nutzung von Daten, zur Art der Daten und zum Kreis der Betroffenen;
  • zur Berichtigung, Löschung und Sperrung von Daten;
  • zu den Pflichten des Auftragnehmers in Bezug auf Datengeheimnis, Datensicherheit und Datenschutzbeauftragten, insbesondere zu den vom Auftragnehmer vorzunehmenden Kontrollen;
  • zu etwaiger Berechtigung zur Begründung von Unterauftragsverhältnissen und
  • zu Kontrollrechten des Auftraggebers und zu den entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers.

Es ist also besonders hohe Sorgfalt auf die Gestaltung und Formulierung der Auftragsdatenverarbeitungsvereinbarung zu legen, um Bußgelder zu vermeiden.

2015-09-15

BGH entscheidet über automatische Suchvorschläge bei Google

Gibt man bei Google ein bestimmtes Wort in das Suchfeld ein, zeigt Google weitere Worte an, die man gleichzeitig suchen lassen kann. Google hat erklärt, dass diese weiteren Worte (Suchvorschläge) automatisch aufgrund bestimmter Kriterien ausgewählt werden; entscheidend ist dabei vor allem, ob die Begriffe oft zusammen gesucht werden. Der Bundesgerichtshof (BGH) hat entschieden, dass auch solch ein automatischer Suchvorschlag eine Verletzung des Persönlichkeitsrechts sein kann und dass Google dafür ggf. haften müsse. Schon durch die Anzeige eines bestimmten Begriffs in Kombination mit einem Namen könne der Eindruck entstehen, der Begriff würde auf den Namensträger zutreffen. Wenn dies nicht der Fall sei und der Begriff negativ besetzt ist (wie z.B. „Betrug“ oder „Scientology“), werde das Persönlichkeitsrecht des Namensträgers verletzt.
 
Da Google die Begriffe nicht selbst in Verbindung bringt, sondern die Verbindung automatisch aufgrund eines Algorithmus erfolgt, muss Google nicht von sich aus prüfen, ob eine Persönlichkeitsverletzung vorliegt. Wird Google aber darauf hingewiesen, dass eine Persönlichkeitsverletzung vorliegt, muss Google die weitere Anzeige des Suchvorschlags verhindern. Der BGH bleibt damit seiner Linie bei der sog. Störerhaftung treu. Danach müssen diejenigen, die Rechte nicht von sich aus verletzen, aber die Rechtsverletzung automatisch verbreitet oder Infrastruktur dafür zur Verfügung stellen – wie etwa Verkaufsplattformen wie ebay bei Markenverletzungen, Filehoster wie rapidshare bei Verbreitung von Software, Spielen, Musik etc., Forenbetreiber bei Persönlichkeitsverletzungen und Suchmaschinen wie Google bei persönlichkeitsverletzenden Suchergebnissen und jetzt auch bei Suchvorschlägen – zwar nicht von sich aus tätig werden, aber dann, wenn sie auf eine Rechtsverletzung hingewiesen werden. Dann müssen sie ggf. sogar Filter einbauen, die zukünftige Rechtsverletzungen verhindern und manuelle Nachkontrollen durchführen.

Impressumspflicht bei Werbung auf "Facebook"

Immer mehr Unternehmen werben nicht nur mit einer eigenen Website, sondern erstellen zu Werbezwecken auch ein Profil auf der Social Media Plattform „Facebook“. Bereits mehrere Gerichte haben entschieden, dass für solche Profile, wenn sie nicht ausschließlich privat genutzt werden, eine Pflicht zur Angabe eines Impressums besteht, wie es bekanntlich auch für Websites von Unternehmen der Fall ist. Auch für das Impressum auf „Facebook“ gelten die gesetzlichen Anforderungen, dass das Impressum leicht erkennbar und unmittelbar erreichbar sein muss. Unmittelbar erreichbar bedeutet unter anderem, dass das Impressum maximal zwei Klicks entfernt sein darf.

Noch nicht ganz geklärt ist die Frage, ob es erlaubt ist, das Impressum unter einer anderen Domain bereit zu halten als den Werbeauftritt selbst. Nach wohl überwiegender Ansicht ist das erlaubt. Dafür spricht auch der Gesetzeswortlaut, aus dem sich nichts Gegenteiliges entnehmen lässt. In der Regel ist von einer Verlinkung auf eine fremde Domain aber abzuraten, u.a., weil das Impressum ständig verfügbar sein muss, so dass z.B. eine längere Abschaltung der Domain, auf der sich das Impressum befindet, ohne gleichzeitige Abschaltung der verlinkenden Domain nicht möglich ist.

In einigen Fällen kann aber eine Verlinkung auf eine fremde Domain sinnvoll sein, z.B. wenn es sich um ein Angebot eines Drittanbieters handelt und der zur Verfügung stehende Platz begrenzt ist. Allerdings müssen dann auch die oben genannten Vorgaben genau beachtet werden. So hatte ein Unternehmen in seinem Auftritt bei „Facebook“ kein vollständiges Impressum angegeben, aber unter der Rubrik „Info“ auf die Website des Unternehmens verlinkt, von der aus man auch auf das Impressum zugreifen konnte. Es wurde daher abgemahnt. Das Landgericht Aschaffenburg hat dem Abmahnenden Recht gegeben. Das Landgericht Aschaffenburg hat entschieden, dass schon der Begriff „Info“ für eine leichte Erkennbarkeit des Impressums nicht ausreiche. Es bleibt abzuwarten, ob sich diese Rechtsauffassung durchsetzt. Weiter hat das Landgericht Aschaffenburg entschieden, dass auch klar sein müsse, auf welche Domain sich das Impressum bezieht, das war aber im Impressum des Unternehmens nicht der Fall. Am sichersten kann dies dadurch erreicht werden, dass im Impressum selbst darauf hingewiesen wird, auf welche Domains es sich bezieht (z.B. auf die Website und auf den Auftritt bei „Facebook“). Wahrscheinlich würde es aber auch ausreichen, wenn der Link von dem Auftritt bei Facebook direkt auf das Impressum zeigt und nicht nur, wie (wohl) im vom Landgericht Aschaffenburg entschiedenen Fall, allgemein auf eine Website, auf der dann erst noch der Link zum Impressum anzuklicken ist.

Da das Thema in der Rechtsprechung noch sehr im Fluss ist, ist es am sichersten, bei „Facebook“ entweder einen eigenen (immer sichtbaren) Tab „Impressum“ anzulegen oder auf jeder Seite im Text nach der (leicht auffindbaren) Angabe „Impressum:“ den Link zum Impressum der Website anzugeben.

Wann liegen AGB vor? – Häufiger als man meint.

In Deutschland gilt zwar die Vertragsfreiheit. Grundsätzlich können Vertragspartner in Verträgen alles vereinbaren, was sie möchten, solange die Vereinbarung nicht sittenwidrig ist oder gegen Gesetze verstößt. Diese Vertragsfreiheit wird aber eingeschränkt, wenn ein Vertragspartner AGB verwendet. Denn der Gesetzgeber geht davon aus, dass derjenige, der AGB verwendet, einen strukturellen Vorteil gegenüber seinem Vertragspartner hat, weil er eben "seine" AGB durchsetzen kann und die AGB durch die Verwendung für mehrere Verträge im Laufe der Zeit immer weiter verbessert werden können und an Erfahrungen aus vorherigen Verträgen angepasst werden können. Daher darf der Verwender von AGB den Vertragspartner nicht allzu sehr benachteiligen: Macht er das doch, ist die entsprechende Regelung in den AGB unwirksam und es gilt die – meist ausgewogene Regelung – des Gesetzes und nicht nur etwa die Regelung, die in AGB gerade noch zulässig wäre. Aus diesem Grund, und auch weil unwirksame AGB ein Grund für eine Abmahnung sein können, ist es wichtig, AGB sorgfältig zu formulieren.

Wegen dieser Bedeutung von AGB ist es wichtig zu wissen, wann Vertragsbedingungen als AGB eingestuft werden. Denn AGB sind nicht nur das "Kleingedruckte", sondern alle Regelungen (das können auch nur einzelne Vertragsbedingungen sein), die mehrfach verwendet werden sollen. Schon seit längerer Zeit ist es ständige Rechtsprechung, dass auch Regelungen, die zum ersten Mal verwendet werden, als AGB eingestuft werden, wenn sie für die mehrfache Verwendung vorgesehen sind. Derjenige, der sich auf die Unwirksamkeit der AGB beruft, muss nachweisen, dass die Regelung mehrfach verwendet werden sollte bzw. verwendet wurde. Der Verwender von AGB kann sich aber nicht darauf verlassen, dass es schwierig ist, nachzuweisen, dass bestimmte Bedingungen für die mehrfache Verwendung vorgesehen sind. Denn das OLG Koblenz hat entschieden, dass dann, wenn ein Vertrag fast gleichlautend zwei Mal verwendet wurde, die Lebenserfahrung dafür spricht, dass er auch ein drittes Mal verwendet werden soll, so dass AGB vorliegen. Dann muss der Verwender der AGB beweisen, dass er den Vertrag kein drittes Mal verwenden wollte und es dürfte praktisch kaum möglich sein, das zu beweisen. Gegen die Entscheidung des OLG Koblenz wurde zum BGH (Bundesgerichtshof) sog. Nichtzulassungsbeschwerde erhoben, die der BGH zurückgewiesen hat, so dass die Entscheidung des OLG Koblenz abschließend ist.

Es ist daher wichtig, Verträge mit Kunden oder Lieferanten genau zu prüfen, denn wenn die Verträge nicht mit dem Kunden oder Lieferanten individuell ausgehandelt wurden, werden die Verträge vermutlich AGB sein, so dass deren Regelungen nur wirksam sind, wenn sie die strengen gesetzlich Anforderungen an AGB einhalten.

2015-06-02

EuGH erlaubt Verkauf gebrauchter Software

Wenn Software auf einem Datenträger verkauft wird, gilt, dass die Software wie jede andere Sache auch ohne Einschränkungen weiterverkauft werden kann, wenn sie einmal innerhalb der EU verkauft ist, sog. Erschöpfung (weil die Rechte des Softwarehauses, die Verbreitung zu unterbinden, mit dem erstmaligen Verkauf erschöpft sind). Natürlich darf der Erstkäufer aber keine Kopie behalten. Diese Regelung soll gewährleisten, dass das Softwarehaus die Märkte der Mitgliedsstaaten der EU nicht gegeneinander abschotten kann. Unklar war bisher, ob das auch gilt, wenn die Software vom Softwarehaus nicht auf einem Datenträger verkauft wird, sondern zum Download bereitgestellt wird. Dies ist im Gesetz nicht klar geregelt. Die Softwarehäuser haben argumentiert, es sei schwierig, zu kontrollieren, ob der Erstkäufer seine Kopie gelöscht habe. Nach jahrelangem Rechtsstreit hat der EuGH aber jetzt entschieden, dass die Verwirklichung des europäischen Binnenmarkts wichtiger und die Art des Verkaufs daher unerheblich ist und daher auch solche Software weiterverkauft werden darf, die zum Download bereitgestellt wurde (der Erstkäufer muss seine Kopie aber natürlich dann löschen). Sie darf sogar von der Website des Softwarehauses noch einmal vom Zweitkäufer heruntergeladen werden (es reicht also, wenn nur der Lizenzkey verkauft wird). Eine Ausnahme gibt es allerdings: Wenn die Lizenz für mehrere Nutzer gilt, darf der Erstkäufer nicht einzelne Nutzungsrechte abspalten und diese isoliert verkaufen. Denn es handelt sich – so der EuGH – immer noch nur um Nutzungsrechte an einer (1) Kopie, die nur insgesamt verkauft werden darf. Die Abgrenzung, wann eine weitere Kopie erworben wurde und wann nur weitere Nutzungsrechte (Lizenzen) an der bereits vorhandenen Kopie erworben wurden, wird in der Praxis wahrscheinlich noch zu Streit führen, gerade beim späteren Zukauf von Lizenzen. Das Thema bleibt also relevant.

Präzisierungen des BGH durch zwei neue Urteile zum Handel mit gebrauchter Software

Der BGH (Bundesgerichtshof) hat in zwei Urteilen Klarstellungen zum Verkauf gebrauchter Software getroffen:

  • Der BGH hat zunächst klargestellt, dass der Käufer die „gebrauchte“ Software (natürlich) nur in dem Umfang benutzen darf, wie das im Vertrag zwischen dem Verkäufer der gebrauchten Software und dem Softwarehaus vereinbart war. Daher müsse der Verkäufer der gebrauchten Software dem Käufer den Inhalt der Lizenz mitteilen.
  • Ferner hat der BGH klargestellt, dass derjenige, der sich darauf beruft, dass die gebrauchte Software benutzt werden darf (das werden in der Regel der Verkäufer oder der Käufer der gebrauchten Software sein, je nachdem, gegen wen das Softwarehaus vorgeht), nachweisen muss,

    • dass der Verkäufer der gebrauchten Software dem Käufer den Inhalt der Lizenz mitgeteilt hat (s.o.);

    • dass das Softwarehaus die Möglichkeit hatte, einen angemessenen Preis die neue Software zu verlangen;

    • dass der Verkäufer der gebrauchten Software die Software ohne zeitliche Begrenzung nutzen durfte;

    • wenn ein Update oder Upgrade der ursprünglichen Version weiterverkauft wurde, dass ein Pflegevertrag bestand;

    • dass der Verkäufer der gebrauchten Software seine Kopie unbrauchbar gemacht hat.

  • In einem weiteren Urteil hat der BGH klargestellt, dass auch dann, wenn Volumenlizenzen verkauft wurden, diese aufgetrennt und einzeln verkauft werden dürfen (anders ist das wohl, wenn nur eine Kopie installiert wer-den durfte, auf die mehrere Nutzer zugreifen dürfen). Weil die Begründung dieses Urteils noch nicht veröffentlich ist, sind Details hierzu aber noch nicht bekannt.

Entscheidungen des BGH zur Kostenerstattung bei unberechtigter Mängelmeldung

Bei einem Werkvertrag muss – nach der Abnahme – der Auftraggeber beweisen, ob der Auftragnehmer für einen Mangel verantwortlich ist.

Wenn der Auftraggeber einen Mangel meldet und sich bei der Mangelsuche dann herausstellt, dass der Auftragnehmer gar nicht für den Mangel verantwortlich war oder gar kein Mangel vorlag, möchte der Auftragnehmer oft Schadensersatz für seine Aufwendungen bei der Mängelsuche. In mehreren aktuellen Urteilen hat der BGH Entscheidungen zu diesen Fragen getroffen.

Mehr zu diesem Thema erfahren Sie hier.

Wann darf man eine fremde Bildmarke verwenden? Klarstellung durch den BGH (Bundesgerichtshof)

Eine Marke darf grundsätzlich nur durch den Markeninhaber benutzt werden. Davon gibt es aber Ausnahmen. Denn manchmal ist es für die eigene Tätigkeit erforderlich, eine fremde Marke zu verwenden. Der Bundesgerichtshof (BGH) hat nun klargestellt, wann eine fremde Bildmarke verwendet werden darf und wann nur eine fremde Wortmarke.

Mehr zu diesem Thema erfahren Sie hier.