+49 228 2861 140 60 info@sicoda.de
Kommerzielles Interesse stellt ein legitimes Interesse im Sinne der DS-GVO dar

Kommerzielles Interesse stellt ein legitimes Interesse im Sinne der DS-GVO dar

Die EU-Kommission hat in einem Brief an die niederländische Aufsichtsbehörde klargestellt, dass ein rein kommerzielles Interesse ein berechtigtes Interesse im Sinne Art. 6 Abs. 1 lit. f) DS-GVO darstellen kann.

Nach der DS-GVO müssen Unternehmen einen Grund haben, die Daten der Nutzer zu verarbeiten. So ist eine Verarbeitung erlaubt, wenn sie zur Wahrung eines berechtigten Interesses erforderlich ist. Jedoch wurde der Begriff des berechtigten Interesses nie klar definiert. Unternehmen kämpfen mit der Frage, was legitim ist und was nicht.

Die niederländische Aufsichtsbehörde hat in der Vergangenheit öfters klargestellt, dass ein rein kommerzielles Interesse an sich, wie z.B. Marketing, nicht geeignet sei, um eine Verarbeitung personenbezogener Daten zu rechtfertigen.

Die europäische Kommission hat der niederländischen Behörde daraufhin mitgeteilt, dass das Recht auf den Schutz personenbezogener Daten nicht absolut sei. Das Persönlichkeitsrecht der Betroffenen ist daher immer gegen andere Rechte abzuwägen, wie z.B. das Recht auf unternehmerische Freiheit, das als Grundrecht in der EU-Charta verankert ist. 

Das Ergebnis einer Abwägungsprüfung ist von verschiedenen Faktoren abhängig, wie bspw. der Art der Daten und ihrer Sensibilität bzgl. des Privatlebens der betroffenen Person. Demnach kann man nicht generell behaupten, dass ein rein kommerzielles Interesse die Grundrechte und -freiheiten der betroffenen Person nicht überwiegen kann, da dies auf der Grundlage einer konkreten Abwägungsprüfung zu beurteilen ist.

Schließlich legte die Europäische Kommission dar, dass das Ziel der DS-GVO nicht die Erschwerung der Geschäftstätigkeiten sei. Stattdessen solle sie die den Betrieb der Unternehmen ermöglichen und gleichzeitig ein hohes Schutzniveau personenbezogener Daten gewährleisten.

Infolgedessen dürfen Unternehmen die Verarbeitung personenbezogener Daten auf rein kommerzielle Interessen stützen, sofern die Interessen der Betroffenen nicht überwiegen.

Drittlandübermittlung bei Clouddiensten

Drittlandübermittlung bei Clouddiensten

Mit dem Beschluss vom 13.07.2022 hat die Vergabekammer Baden-Württemberg über die Frage entschieden, ob bereits dadurch eine Drittlandübermittlung vorliegt, dass Cloudlösungen von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter eingesetzt werden.

Laut dem Beschluss der Vergabekammer ist es egal, wo die Server ihren physischen Standort haben. Die US-Behörden können trotzdem von der Muttergesellschaft in den USA fordern, die Daten in Europa herauszugeben. Da die nichteuropäische Muttergesellschaft auf die Daten zugreifen kann, besteht eine Übermittlung im Sinne der DS-GVO. Es ist unerheblich, ob ein Zugriff tatsächlich stattfindet.

Zusammenfassung:

Allein die hypothetische Zugriffsmöglichkeit amerikanischer Muttergesellschaften auf Cloud-Server, die in der EU stehen, wird als Datenübermittlung in das Drittland USA gewertet.

Hinsichtlich einer Datenübermittlung in die USA fehlt es an einem Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO. Nach der Auffassung der Vergabekammer seien Standarddatenschutzklauseln im Sinne der DS-GVO in diesem Fall jedoch nicht geeignet, Übermittlungen zu legitimieren. Das latente Risiko des Eingriffs wurde mithilfe der Standarddatenschutzklauseln nicht beseitigt.

Laut dem Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ist der Beschluss des Vergabekammers kritisch zu sehen, weil das bloße Risiko eines Eingriffs durch US-Behörden nicht mit einem tatsächlichen Zugriff gleichgestellt werden sollte.

Zudem übersehe die Vergabekammer, dass wirksame Mittel gegen Zugriffsrisiken eingesetzt werden können. Ein pauschales Übermittlungsverbot sei daher abzulehnen. Stattdessen seien Einzelfallprüfungen bei Drittlandübermittlungen weiterhin Mittel der Wahl, die Vorgaben der DS-GVO bestmöglich umzusetzen. Die Vergabekammer habe zusätzliche technisch-organisatorische Maßnahmen nicht weiter geprüft.

Diese Auffassung unterscheidet sich nicht von der Meinung der Datenschutzkonferenz (DSK) zum Drittlandtransfer, die sich aus dem Kurzpapier 4 ergibt.

Infolgedessen ist man nicht automatisch auf der sicheren Seite, wenn man im Rahmen der Verwendung von z.B. AWS, Microsoft Azure oder Google Cloud Europa als Datenstandort auswählt.

Es ist also immer zu raten, dass Unternehmen beim Einsatz außereuropäischer Cloud-Dienste ein Transfer Impact Assessment (TIA) durchführen.

Sie haben Fragen zum Transfer Impact Assessment? Wir unterstützen Sie gerne.

Wer ist die Vergabekammer Baden-Würtemberg?

Die Vergabekammer ist eine gerichtsähnliche Instanz, die grundsätzlich über die Besetzung von Positionen und die Vergabe von Aufträgen entscheidet. Sie ist rechtlich unabhängig.

Welche Rechtswirkung hat die Entscheidung einer Vergabekammer?

Grundsätzlich ist die Entscheidung einer Vergabekammer für die private Wirtschaft nicht bindend. Das bedeutet, dass Entscheidungen von Aufsichtsbehörden und Gerichten nicht anerkannt werden müssen.

Online-Plattform-Verpflichtungen des DSA

Online-Plattform-Verpflichtungen des DSA

Am 23. April 2022 haben der Rat und das Parlament sich auf den Text des Digital Services Act (DSA) geeinigt. Nun ist dieser Kompromisstext verfügbar. Der DSA ist hauptsächlich relevant für Online-Plattform-Betreiber im Rahmen der Platzierung von Werbung.

Zusammenfassung:

  • Werbung muss immer kenntlich gemacht werden.
  • Der Werbetreibende muss genannt werden.
  • Die Kriterien für die Auswahl der Werbung müssen abrufbar sein.
  • Das Profil auf dessen Basis die Werbung angezeigt wurde, kann vom Nutzer zukünftig geändert werden.
  • Werbung, die auf Kinder abzielt, ist zukünftig verboten.

 Nach Art. 24 des finalen Kompromisstextes des DSA müssen Online-Plattform-Betreiber, die Werbung platzieren, gewährleisten, dass die Empfänger ihrer Dienstleistungen in der Lage sind zu erkennen, dass es sich bei den dargebotenen Informationen um Werbung handelt. Diese Pflicht folgt dem Trend im Rahmen dessen Online-Werbung in verschiedenen Bereichen transparent dargestellt werden muss. Zum Beispiel müssen Influencer deutlich kennzeichnen, wenn sie Geld oder eine Gegenleistung für die Erwähnung von Produkten erhalten. Ebenfalls müssen Online-Marktplätzen kennzeichnen, wenn es sich bei einem Angebot eines Anbieters um Werbung handelt.

Auch sollen die natürlichen oder juristischen Personen in deren Namen die Anzeige angezeigt wird und von wem die Anzeige bezahlt wurde, bekannt gegeben werden. Darüber hinaus müssen Informationen über die wichtigsten Parameter zur Auswahl des Empfängers, dem die Werbung angezeigt wird, dargestellt werden und ggf. Möglichkeiten, wie diese Parameter geändert werden können, ersichtlich gemacht werden. Die Änderung der Parameter könnte bspw. erfolgen, indem Nutzer die Möglichkeit bekommen die ihnen zugeordneten Interessen zu löschen oder zu ergänzen. Außerdem dürfen besondere Kategorien von Daten, wie z.B. Gesundheit, Abstammung oder politische Meinungen, nicht für Profiling zur Bestimmung des Empfängers verwendet werden.

Zusätzlich darf nach Art. 24b Minderjährigen keine Werbung gezeigt werden, die auf Profiling mithilfe personenbezogener Daten des Empfängers beruht.

Art. 23a untersagt Online-Plattform-Betreibern ihre Online-Interfaces so zu gestalten, dass die Möglichkeiten der Empfänger freiwillige und informierte Entscheidungen zu treffen, beeinträchtigt werden. Hier geht es um sogenannte Dark Patterns oder Nudging. Jedoch wurde explizit aufgenommen, dass dies nicht für Praktiken gilt, die unter die DS-GVO fallen. Es ist daher anzunehmen, dass diese Vorschrift nicht auf Einwilligungen nach der DS-GVO anwendbar ist. Auf Cookie-Banner findet diese Vorschrift des DSA allerdings Anwendung, da die Anforderungen für Cookie-Einwilligungen in der E-Privacy-Richtlinie geregelt werden. Im Anwendungsbereich der DS-GVO werden Dark Patterns bereits abgelehnt, da derartige Vorgehensweisen nach den Leitlinien des DSA die Freiwilligkeit der Einwilligung negativ beeinflussen könnten.

Anwendung findet der DSA spätestens ab dem 1. Januar 2024. Eine Ausnahme diesbezüglich gilt jedoch für Online-Plattform-Betreiber mit Bezug auf die Pflicht ihre Nutzer*innenzahlen zu veröffentlichen. Die Größe der Plattformen wird so regelmäßig überprüft. Dies ist wichtig, weil der DSA für sehr große Plattformen zusätzliche Verpflichtungen vorsieht. Diese Pflicht muss bereits 3 Monate nach Inkrafttreten eingehalten werden.

Strengere Regeln für Onlinehändler

Strengere Regeln für Onlinehändler

Modernisierung des EU-Verbraucherrechts

Im Rahmen der Richtlinie zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union sind Änderungen an deutschen Vorschriften vom Gesetzgeber vorgenommen worden. Zwei der deutschen Umsetzungsgesetze treten am 28. Mai in Kraft. Wir haben die wichtigsten Änderungen für Sie zusammengefasst.

Informationspflichten bei Fernabsatzverträgen

In Art. 246a § 1 Abs. 1 S. 1 BGB wurde Folgendes angepasst. Bei Fernabsatzverträgen muss künftig stets eine Telefonnummer angegeben werden. Dagegen entfällt die Pflicht, eine Faxnummer angeben zu müssen. Neben der Telefonnummer und der E-Mail-Adresse sind zusätzlich sonstige Kommunikationsmittel zu nennen, sofern diese gewährleisten, dass der Verbraucher seine Korrespondenz mit dem Unternehmer, einschließlich Informationen über Datum und Uhrzeit, auf einem dauerhaften Datenträger speichern kann, z. B. Messenger-Dienste, falls diese angeboten werden. Außerdem müssen Angaben zum Bestehen eines Gewährleistungsrechts auch bei digitalen Inhalten und Dienstleistungen erfolgen sowie Angaben zur Funktionalität, Kompatibilität und Interoperabilität.

Transparenzpflichten für Online-Marktplätze

Der neue § 312k BGB bezieht sich auf Online-Marktplätze. Ein Online-Marktplatz ist demnach ein Dienst, der es Verbrauchern ermöglicht, durch die Verwendung von Software, die vom Unternehmer betrieben wird, Fernabsatzverträge mit anderen Unternehmern oder Verbrauchern abzuschließen.

In Art. 246d § 1 EGBGB befinden sich künftig die neuen Informationspflichten, die der Anbieter des Online-Marktplatzes erfüllen muss.

Der Anbieter muss demgemäß die Hauptparameter für das Ranking der Suchergebnisse der Angebote beschreiben und ihre relative Gewichtung im Verhältnis zu anderen Parametern erläutern. Dies wird auch vom neuen § 5b Abs. 2 UWG gefördert.

Außerdem muss auf wirtschaftliche Verflechtungen zwischen dem Betreiber des Online-Marktplatzes und dem Anbieter hingewiesen werden. § 3 Abs. 3 UWG enthält sogar ein Verbot verdeckter Werbung in Suchergebnissen.

Zudem sollte der Betreiber eines Online-Marktplatzes verlangen, dass der Anbieter seinen Status als Unternehmer oder Verbraucher auf dem Online-Marktplatz offenlegt. Falls es sich nicht um einen Unternehmer handelt, muss darauf hingewiesen werden, dass die europäischen Verbraucherschutzvorschriften keine Anwendung finden.

Darüber hinaus sollen Verbraucher darüber informiert werden, welche sich aus dem Vertrag ergebenden Verpflichtungen, wie z. B. Lieferung, vom Betreiber des Online-Marktplatzes übernommen werden.

Auch muss der Betreiber eines Online-Marktplatzes den Verbraucher darüber informieren, falls ein Anbieter eine Eintrittsberechtigung für eine Veranstaltung weiterverkaufen will und ob und gegebenenfalls in welcher Höhe der Veranstalter nach Angaben des Anbieters einen Preis für den Erwerb dieser Eintrittsberechtigung festgelegt hat.

Insbesondere bei der Verwendung von Vergleichsportalen müssen Verbraucher über die Anbieter informiert werden, deren Angebote bei der Erstellung des Vergleichs berücksichtigt wurden (sogenannte Positivliste der Anbieter).

Die Informationspflichten der Online-Marktplätze müssen nach Art. 245d § 2 EGBGB in klarer, verständlicher und in einer den benutzten Fernkommunikationsmitteln angepassten Weise zur Verfügung gestellt werden. Die Angaben zum Ranking und, im Falle eines Vergleichportals, zu der Berücksichtigung der Anbieter müssen zudem unmittelbar und leicht zugänglich sein.

Informationen bei Bewertungen

§5b Abs. 3 führt eine neue Informationspflicht für Unternehmer ein. Dementsprechend müssen Unternehmer die Verbraucherbewertungen zugänglich machen und Verbraucher darüber informieren, ob und wie sie sicherstellen, dass die Bewertungen tatsächlich von Verbrauchern stammen. Außerdem ist durch die neue Nr. 23b des Anhangs zu § 3 Abs. 3 UWG die Behauptung, dass Bewertungen von Verbrauchern stammen, wenn sie keine angemessenen und verhältnismäßigen Schritte unternommen haben, um zu überprüfen, ob dies auch der Fall ist, untersagt. Auch dürfen Unternehmer nicht an der Abgabe gefälschter Verbraucherbewertungen beteiligt sein.

Personalisierte Preisbildung

Darüber hinaus wird nun unter Art. 246a § 1 Abs. 1 Nr. 6 EGBGB explizit vom Unternehmer verlangt, bei Vorliegen einer, auf Grundlage einer automatisierten Entscheidungsfindung personalisierten, Preisbildung diesen Umstand offenzulegen.

Verbot der Vermarktung wesentlich unterschiedlicher Waren als identisch

Nach § 5 Abs. 3 Nr. 2 ist eine geschäftliche Handlung künftig auch irreführend, wenn eine Ware in einem Mitgliedstaat der EU als identisch mit einer in anderen Mitgliedstaaten der EU auf dem Markt bereitgestellten Ware vermarktet wird, obwohl sich diese Waren in ihrer Zusammensetzung oder in ihren Merkmalen wesentlich voneinander unterscheiden. Eine unlautere Irreführung liegt nicht vor, wenn die Abweichungen durch objektive und legitime Faktoren gerechtfertigt sind.

Widerrufsrecht auch bei kostenfreien Dienstleistungen

Die Anpassungen im § 356 Abs. 4 BGB sind auf den neuen Anwendungsbereich der Verbraucherrichtlinie zurückzuführen. Dieser wurde auf Verträge über die Bereitstellung digitaler Dienstleistungen erweitert, in denen Verbraucher sich nicht nur zur Zahlung eines Preises verpflichten, sondern dem Unternehmer auch personenbezogene Daten zur Verfügung stellen.

Das Widerrufsrecht erlischt bei Verträgen über Dienstleistungen, die den Verbraucher nicht zur Zahlung verpflichten, wenn der Unternehmer die Dienstleistung vollständig erbracht hat. Wenn es sich um ein Dauerschuldverhältnis handelt, ist die Dienstleistung nicht bereits bei erstmaliger Bereitstellung vollständig erbracht.

Gem. § 356 Abs. 5 S. 1 BGB erlischt das Widerrufsrecht bei Verträgen über die Bereitstellung digitaler Inhalte, die nicht auf einem dauerhaften Datenträger geliefert werden und die den Verbraucher nicht zur Zahlung eines Preises verpflichten, wenn der Unternehmer mit der Vertragserfüllung begonnen hat. Bei Verträgen über die Bereitstellung digitaler Inhalte, die nicht auf einem dauerhaften Datenträger geliefert werden und die den Verbraucher zur Zahlung eines Preises verpflichten, ist künftig für das Erlöschen des Widerrufsrechts zusätzlich zu der ausdrücklichen Zustimmung und der Bestätigung des Verbrauchers die Zurverfügungstellung einer Bestätigung des Vertrags auf einem dauerhaften Datenträger nach § 312f BGB notwendig.

Im neuen § 357a BGB wird die Wertersatzpflicht bei Waren und digitalen Inhalten geregelt. Diese Pflicht war zuvor in §357 Abs. 7-9 BGB zu finden. Die Änderungen beziehen sich lediglich darauf, dass klargestellt wurde, dass die Pflicht nur bei Verträgen, für die der Verbraucher zur Zahlung eines Preises verpflichtet ist, gilt. Eine inhaltliche Änderung wurde hier nicht vorgesehen.

Wenn im Falle eines Fernabsatzvertrags nur eine begrenzte Darstellungsmöglichkeit besteht, müssen Unternehmer die Bedingungen, die Fristen und das Verfahren für die Ausübung des Widerrufsrechts nach § 355 Absatz 1 des Bürgerlichen Gesetzbuchs später in geeigneter Weise bereitstellen.

Individuelle Rechtsbehelfe

Um Lücken im Rahmen individueller Rechtsbehelfe von Verbrauchern zu schließen, enthält das UWG im § 9 Abs. 2 künftig einen Schadensersatzanspruch für Verbraucher, die durch eine vorsätzliche oder fahrlässige unlautere geschäftliche Handlung zu einer geschäftlichen Entscheidung veranlasst worden sind, die sie andernfalls nicht getroffen hätten, und hierdurch geschädigt worden sind.

Verschärfte Sanktionen

Auch wurden die Sanktionen für Verstöße gegen der Verbraucherrichtlinie und die Klauselrichtlinie verschärft. Art. 246e EGBGB and § 19 UWG sehen Bußgelder bis zu 4% des Jahresumsatzes oder bis zu zwei Millionen Euro vor.

Instagram muss Nutzerdaten bei Persönlichkeitsrechtsverletzung herausgeben

Instagram muss Nutzerdaten bei Persönlichkeitsrechtsverletzung herausgeben

Das OLG Schleswig-Holstein  hat entschieden, dass Instagram dem Geschädigten bei einer strafrechtlich relevanten Persönlichkeitsrechtsverletzung Auskunft über E-Mail-Adresse und Telefonnummer des Nutzers geben muss.

In dem Rechtsstreit ging es um eine minderjährige Instagram Nutzerin, die auf einem nicht von ihr erstellten Profil auf eine sexualisierte Weise dargestellt wurde. Sie hat bei Instagram die Erteilung einer Auskunft über die vorhandenen Bestandsdaten des Profilerstellers beantragt, da ihr nicht bekannt war, von wem dieses Konto erstellt wurde.

Die Richter erkannten den Auskunftsanspruch nach § 21 Abs. 2, Abs. 3 TTDSG an. Das Gericht ist der Auffassung, dass es sich bei § 21 TTDSG um eine Rechtsvorschrift im Sinne des Art. 6 Abs. 4 DS-GVO handelt. Damit sind derartige Rechtsvorschriften der Mitgliedstaaten gemeint, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DS-GVO genannten Ziele darstellen. Gemäß Art. 23 Abs. 1 lit. j) DS-GVO kann eine solche Maßnahme für die Durchsetzung zivilrechtlicher Ansprüche herangezogen werden.

Ein Anbieter von Telemedien ist nach § 21 Abs. 2 TTDSG verpflichtet, Auskunft über bei ihm vorhandene Bestandsdaten zu erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte notwendig ist. Da die Antragstellerin minderjährig war und den Eindruck hervorgerufen wurde, sie sei an sexuellen Kontakten interessiert, ist der Tatbestand der Beleidigung im Sinne des § 185 StGB erfüllt, denn sie wurde in der öffentlichen Meinung herabgewürdigt. Demnach wurden ihre absolut geschützte Rechte rechtswidrig verletzt. Die Nutzerin ist auf die Auskunft von Instagram angewiesen, weil sie nicht weiß, wer das Nutzerkonto erstellt hat und keine andere Möglichkeit hat es herauszufinden. Allerdings umfasst die Auskunft nach § 21 Abs. 2 TTDSG nur die vorhandenen Bestandsdaten, nicht aber die Nutzungsdaten.