Die einzelnen News

EuGH: Neues zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO

Der EuGH hat in der aktuellen Entscheidung präzisiert, wann und unter welchen Umständen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt (EuGH, Urt. v. 05.12.2023 - Az.: C-683/21).

Die Einordnung als gemeinsame Verantwortliche hat ganz erhebliche praktische Bedeutungen, insbesondere die gemeinsame Haftung für Datenschutzverletzungen.

Dem Sachverhalt lag die Programmierung einer Covid-App in Litauen zugrunde. Hier stellte sich die Frage, ob eine gemeinsame Verantwortlichkeit oder nur ein Auftragsverhältnis bestand.

Die Leitsätze des EuGH dazu lauten:

"1.  Art. 4 Nr. 7 (…) ist dahin auszulegen, dass

eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.

2. Art. 4 Nr. 7 und Art. 26 Abs. 1 (…) sind dahin auszulegen, dass

die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.

3. Art. 4 Nr. 2 (…) ist dahin auszulegen, dass

die Verwendung personenbezogener Daten für IT‑Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne dieser Bestimmung darstellt, es sei denn, diese Daten wurden in einer Weise anonymisiert, dass die Person, auf die sich die Daten beziehen, nicht oder nicht mehr identifiziert werden kann, oder es handelt sich um fiktive Daten, die sich nicht auf eine existierende natürliche Person beziehen.

4.  Art. 83 (…) ist dahin auszulegen, dass

zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne der Abs. 4 bis 6 dieses Artikels begangen hat, und

zum anderen eine solche Geldbuße gegen einen Verantwortlichen für personenbezogene Daten betreffende Verarbeitungsvorgänge, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden, verhängt werden kann, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbeitungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte."

Eine gemeinsame Verantwortlichkeit kann somit auch dann vorliegen, wenn

a) eine der Partei die Daten gar nicht speichert und auf diese auch keinerlei Zugriff hat und

b) auch keine gemeinsamen Zwecke und Mittel der Verarbeitung festgelegt wurden.

Anmerkung von RA Dr. Bahr:

Der EuGH bekräftigt damit seine bisherige extensive Rechtsansicht über die Reichweite der gemeinsamen Verantwortlichkeit. In der Praxis führt dies nicht selten zu einer uferlosen Anwendung des Art. 26 DSGVO.

EuG: Einstufung von TikTok als Torwächter iSd. Digital Markets Act bleibt bestehen

Der Antrag von ByteDance (TikTok) auf Aussetzung des Beschlusses der Kommission, mit dem ByteDance als Torwächter benannt wird, wird zurückgewiesen
ByteDance hat die Dringlichkeit einer vorläufigen Entscheidung zur Verhinderung eines schweren und nicht wiedergutzumachenden Schadens nicht dargetan

Die ByteDance Ltd ist eine 2012 in China gegründete nicht operative Holdinggesellschaft, die über lokale Tochtergesellschaften die Unterhaltungsplattform TikTok bereitstellt.

Mit Beschluss vom 5. September 2023 benannte die Kommission ByteDance als Torwächter gemäß der Verordnung über digitale Märkte.

Im November 2023 erhob ByteDance Klage auf Nichtigerklärung dieses Beschlusses. Mit gesondertem Schriftsatz hat sie einen Antrag auf vorläufigen Rechtsschutz gestellt, mit dem sie die Aussetzung des Kommissionsbeschlusses begehrt. Mit seinem heutigen Beschluss weist der Präsident des Gerichts den Antrag von ByteDance auf vorläufigen Rechtsschutz zurück.

ByteDance hat danach nicht dargetan, dass es erforderlich wäre, den streitigen Beschluss bis zum Abschluss des Verfahrens zur Hauptsache auszusetzen, um zu verhindern, dass sie einen schweren und nicht wiedergutzumachenden Schaden erleidet.

ByteDance machte u. a. geltend, dass bei sofortiger Durchführung des streitigen Beschlusses die Gefahr bestehe, dass sonst nicht öffentliche, hochstrategische Informationen über die Praktiken von TikTok bei der Erstellung von Nutzerprofilen verbreitet würden. Diese Informationen würden es, so ByteDance, den Wettbewerbern von TikTok und sonstigen Dritten ermöglichen, über die TikTok betreffenden Geschäftsstrategien in einer Weise informiert zu
sein, die ihren Tätigkeiten erheblich abträglich wäre. Ausweislich des heutigen Beschlusses hat ByteDance jedoch weder das Bestehen einer tatsächlichen Gefahr der Verbreitung vertraulicher Informationen noch einen etwaigen schweren und nicht wiedergutzumachenden Schaden infolge einer solchen Gefahr dargetan.

Beschluss des Präsidenten des Gerichts in der Rechtssache T-1077/23 R | Bytedance / Kommission

Quelle: Pressemitteilung des EuG v. 09.02.2024
 

BGH: Vorlage an EuGH wg. Werbung in Online-Shop mit Aussage "Bequemer Kauf auf Rechnung"

Der BGH legt dem EuGH die Werbeaussage eines Online-Shops "bequemer Kauf auf Rechnung”  zur Prüfung vor (BGH, Urt. v. 21.12.2023 - Az.: I ZR 14/23).

Der verklagte Online-Shop bot Kleidung zum Verkauf an und warb mit den Worten:

"Bequemer Kauf auf Rechnung".

Ein solcher Kauf war jedoch nur nach vorheriger Prüfung der Kreditwürdigkeit des Käufers möglich.

Die Klägerin beanstandete, dass diese Bedingung nicht direkt bei der Werbeaussage genannt wurde.

Kern der Auseinandersetzung war, ob ein Fall von § 6 Abs.1 Nr.3 TMG vorliegt, wonach bei Angeboten zur Verkaufsförderung die Bedingungen für ihre Inanspruchnahme “leicht zugänglich, klar und unzweideutig” sein müssten.

Die Vorlagefrage des BGH lautete:

"Dem Gerichtshof der Europäischen Union wird (…) folgende Frage zur Vorabentscheidung vorgelegt:

Stellt die Werbung mit einer Zahlungsmodalität (hier: "bequemer Kauf auf Rechnung"), die zwar nur einen geringen Geldwert hat, jedoch dem Sicherheits- und Rechtsinteresse des Verbrauchers dient (hier: keine Preisgabe sensibler Zahlungsdaten; bei Rückabwicklung des Vertrags keine Rückforderung einer Vorleistung), ein Angebot zur Verkaufsförderung (…) dar?"

Wenn der EuGH diese Frage bejaht, läge ein Wettbewerbsverstoß vor, so der BGH in seiner Begründung:

"Die Vorlagefrage ist entscheidungserheblich.

(…) Sofern die beanstandete Angabe ein Angebot zur Verkaufsförderung im Sinne des § 6 Abs. 1 Nr. 3 TMG darstellt, bestehen die mit der Klage geltend gemachten Ansprüche auf Unterlassung und Abmahnkostenersatz, weil die Beklagte die von dieser Vorschrift vorgesehene Information über die Bedingungen für die Inanspruchnahme des Verkaufsförderungsangebots mangels Angabe darüber, dass die beworbene Möglichkeit des Kaufs auf Rechnung von einer vorherigen Prüfung der Kreditwürdigkeit abhängt, unterlassen hat."

OLG Celle: Online-Händler muss Nebenkosten nicht in Gesamtpreis einrechnen

Ein Online-Händler muss auch individuelle Bearbeitungspauschale nicht in den Gesamtpreis des Produktes einreichen. Es reicht vielmehr, wenn er diese gesondert ausweist (OLG Celle, Urt. v. 30.01.2024 - Az.: 13 U 36/23).

Der Beklagte bot einen Online-Shop für Staubsauger und Zubehör an.

Auf einer Unterseite für Filtertüten für einen Vorwerk-Staubsauger gab der Beklagte einen Endpreis von 14,90 EUR an. Rechts neben der Preisangabe war ein Sternchenhinweis angebracht. Darunter befand sich eine Schaltfläche mit der Aufschrift “In den Warenkorb”. Rechts neben dieser Schaltfläche war eine weiße Schaltfläche zu sehen, auf der in schwarzer Schrift „Mehr Info“ stand. 

Sobald die Maus über diesen Sternchenhinweis bewegt wurde, erschien ein Text, nämlich 

“in kl. MwSt. zzgl. Nebenkosten”. 

Die Preisangabe iHv. 14,90 EUR als solche blieb unverändert.

Durch Anklicken des Sternchenhinweises wurden Verbraucher auf eine allgemeine Infoseite geführt, wo zu lesen war:

"Nebenkosten
Wir berechnen keine Gebühren für die Nutzung der Zahlarten Rechnung, PayPal, Lastschrift und Kreditkarte. Vom Warenwert abhängig (ab 50,-€) wird bei Nutzung der Zahlart Vorausüberweisung ein Skontoabzug von 2% gewährt. Vom Warenwert abhängig kann eine nicht erstattungsfähige Bearbeitungspauschale zwischen 3,95 € (ab 11,-€ Warenwert) und 9,-€ (unter 11,-€ Warenwert) anfallen. Ab einem Warenwert von 29,-€ entfällt diese Bearbeitungspauschale Zuschlag generell.“

Im Warenkorb waren schließlich zwei Positionen aufgeführt. Einmal das Produkt zu einem Preis von 14,90 EUR. Zusätzlich tauchte dann ein Betrag iHv. 3,95 EUR mit nachfolgendem Vermerk auf:

"Auf-/Abschlag Kleinstmengenaufschlag (entfällt ab 29,-€ Einkaufswert)" 

Der tatsächliche Kaufpreis lag somit bei 18,85 EUR.

Erstinstanzlich verurteilte das LG Hannover den Beklagten zur Unterlassung, vgl. unsere Kanzlei-News v. 15.01.2024.

In der Berufung hob das OLG Celle diese Entscheidung auf und wies die Klage ab:

"Nach der vorgenannten Definition des Gesamtpreises im Sinne der PAngV ist die Bearbeitungspauschale nicht in den anzugebenden Produktpreis einzurechnen.

Bezogen auf die einzelnen mit einem Kaufpreis von unter 29 € angebotenen Waren ist das Anfallen der Bearbeitungspauschale weder für den Verbraucher unvermeidbar noch für den Verkäufer zum Zeitpunkt der Preisangabe vorhersehbar. Ob die Bearbeitungspauschale anfällt, hängt von dem Bestellvolumen ab, dass der Verbraucher bei seiner Bestellung insgesamt erreicht. Es ist nicht absehbar, ob der Verbraucher nur das fragliche Produkt - einmal - bestellt. Dem Verbraucher steht es frei, ein Produkt mit einem Kaufpreis von unter 29 € in höherer Stückzahl zu bestellen oder es zusammen mit anderen Gegenständen zu erwerben und damit ein Bestellvolumen von mindestens 29 € zu erreichen, bei dem die Bearbeitungspauschale nicht anfällt."

Entscheidend sei somit, ob es sich um eine zwingende oder einzelfallabängige Bearbeitungspauschale handle:

"Entgegen der Auffassung des Klägers und des Landgerichts ist nicht darauf abzustellen, ob die Bearbeitungspauschale anfallen würde, wenn der Verbraucher nur das einzelne Produkt bestellen würde. Hierbei handelt es sich nur um einen möglichen Fall, der für die Preisangabe nicht maßgeblich sein kann. Abzustellen ist darauf, ob bei jedem Bestellvorgang, bei dem der „Warenkorb“ das fragliche Produkt enthält, die Bearbeitungspauschale anfällt.

Ob die Rechtslage anders zu beurteilen wäre, wenn der Verkäufer im Fernabsatz für jeden Bestellvorgang eine feste Kostenpauschale verlangt (…), kann hier dahingestellt bleiben. 

Der Senat neigt allerdings zu der Auffassung, dass auch eine feste Kostenpauschale, die bei einem Bestellvorgang - dem konkreten Fernabsatzvertrag - nur einmal anfällt, nicht bereits in den für die einzelnen angebotenen Produkte anzugebenden Gesamtpreis einzurechnen wäre. Denn solange noch nicht das Preisvolumen der konkreten Bestellung feststeht, ist nicht vorhersehbar, in welcher Höhe sich der Preis für das einzelne Produkt kalkulatorisch durch die für die gesamte Bestellung nur einmal anfallende Pauschale erhöhen würde."

OLG Hamburg: Bewertungs-Plattform Kununu muss Identität des Bewertenden preisgeben nennen oder Rezension löschen

Die Bewertungs-Plattform Kununu muss gegenüber dem betroffenen Arbeitgeber die Identität des Bewertenden preisgeben oder die Rezension löschen (OLG Hamburg, Beschl. v. 08.02.2024 - Az.: 7 W 11/24).

Auf dem Online-Portal Kununu waren zwei negative Bewertungen veröffentlicht.

Der klägerische Arbeitgeber bestritt, dass die Äußerungen von ehemaligen Arbeitnehmern standen und forderte Kununu zur Offenlegung der Identität auf. Dies lehnte die Plattform aus Datenschutzgründen ab.

Zu Unrecht, so das OLG Hamburg. Denn Kununu müsse dem kritisierten Unternehmen die Identität soweit offenlegen, dass eine Zuordnung möglich sei. Geschehe dies nicht, müsse eine Löschung erfolgen:

"Die Antragsgegnerin hat auf die Rüge der Antragstellerin dieser die Bewerter nicht so identifizierbar gemacht, dass die Antragstellerin in der Lage wäre, das tatsächliche Vorliegen eines geschäftlichen Kontaktes zu prüfen. 

Die der Antragstellerin im Laufe des gerichtlichen Verfahrens übermittelten Unterlagen mögen aus dem Geschäftsbereich der Antragstellerin stammen; wer die betreffenden Mitarbeiterinnen oder Mitarbeiter gewesen sein mögen, auf die sie sich beziehen, vermag sie aus diesen Unterlagen aber nicht zu erkennen, so dass sie nicht überprüfen kann, ob die Urkunden wirklich die Urheber der Bewertungen betreffen und ob es sich dabei tatsächlich um Personen handelt, die einmal für sie gearbeitet haben oder noch für sie arbeiten. 

Die Möglichkeit zu einer eigenen Überprüfung des Vorliegens eines geschäftlichen Kontakts darf dem von der Bewertung Betroffenen nicht in der Weise genommen werden, dass der Portalbetreiber die Überprüfung für sich vornimmt und dem Bewerteten dann versichert, sie habe ein positives Ergebnis erbracht; ansonsten stünde der Betroffene, der geltend macht, nicht zu wissen, ob er überhaupt Kontakt zu dem Bewerter hatte, der Behauptung des Portalbetreibers, dies sei der Fall gewesen, wehrlos gegenüber."

Eine solche Offenlegung sei auch angesichts der Tatsache gerechtfertigt, dass dem Bewertenden dann möglicherweise Ungemach drohe:

"Zu einem abweichenden Beurteilungsmaßstab führt auch nicht der Umstand, dass es für den Betreiber eines Arbeitgeber-Bewertungsportals schwieriger sein mag, nach der Beanstandung einer Eintragung einzelne Bewerter dazu zu bewegen, sich zu erkennen zu geben, weil sie im Gegensatz zu Nutzern, die einmalige Geschäftskontakte wie einen Hotelaufenthalt, einen singulären Arztbesuch oder den Ankauf einer Ware bewertet haben, häufig befürchten werden, nach ihrer Kenntlichmachung Repressalien ihres negativ bewerteten Arbeitgebers ausgesetzt zu sein. 

Auch dies aber vermag nicht zu rechtfertigen, dass ein Arbeitgeber, der einer über das Internet verbreiteten Kritik einer Person, die behauptet, für ihn gearbeitet zu haben oder zu arbeiten, ausgesetzt wird, diese öffentliche Kritik hinnehmen muss, ohne die Möglichkeit zu erhalten, sie auf das Vorliegen einer tatsächlichen Grundlage zu prüfen und sich ggf. dazu in der Sache zu positionieren.

Aus dem zuletzt genannten Grund kann die Antragsgegnerin gegen das Erfordernis, dem Bewerteten die Person des Bewerters individualisieren zu müssen, wenn sie die Bewertung weiterhin zugänglich halten will, auch nicht mit Erfolg vorbringen, dass sie den Bewerter aus Datenschutzgründen ohne dessen Zustimmung nicht ohne Weiteres namhaft machen dürfe."

OVG Lüneburg: Online-Versandapotheke darf im Bestellvorgang nicht das Geburtsdatum abfragen, vielmehr reicht einfache Abfrage der Volljährigkeit aus

Eine Online-Versandapotheke darf im Bestellvorgang nicht das konkrete Geburtsdatum abfragen. Vielmehr reicht eine  einfache Abfrage der Volljährigkeit aus (OVG Lüneburg, Beschl. v. 23.01.2024 - Az.: 14 LA 1/24).

Die klägerische Online-Versandapotheke wehrte sich gegen eine Beanstandung der zuständigen Datenschutzbehörde. Diese hatte moniert, dass das Unternehmen bei den Bestellungen das konkrete Geburtsdatum abfrage und nicht eine allgemeine Frage zur Volljährigkeit stelle.

Das OVG Lüneburg gab der Niedersächischen Datenschüzern Recht und wies die Klage ab.

1. Abfrage des Geburtsdatums vertraglich nicht notwendig:

Die Abfrage des Geburtsdatums sei vertraglich nicht notwendig. Ausgereicht hätte auch die bloße Abfrage der Volljährigkeit:

"Die Klägerin trägt vor, um die ihr bei der Durchführung der Verträge (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) obliegenden Beratungs- und Informationspflichten aus § 20 Abs. 1 und 2 der Apothekenbetriebsordnung (ApBetrO) erfüllen zu können, sei es eine unabdingbare Voraussetzung, den Kunden bzw. Patienten zweifelsfrei zu identifizieren. Nur eine solche Identifikation stelle sicher, dass Kunden, welche beispielsweise rezeptpflichtige Medikamente und Nahrungsergänzungsmittel zusammen einnähmen, zur sachgerechten Anwendung und zu möglichen Wechselwirkungen beraten werden können. Dafür werde für jeden Kunden ein Arzneimitteldossier angelegt. 

Für eine einwandfreie Identifikation des Kunden und zur Verhinderung von Dubletten bedürfe sie neben dem Vor- und Nachnamen des Kunden zusätzlich dessen Geburtsdatum. Dieses stelle bei einer Namensgleichheit sicher, dass sie die verschiedenen Kunden hinreichend sicher unterscheiden könne.

Damit zieht die Klägerin die Annahmen des Verwaltungsgerichts nicht durchgreifend in Zweifel. Das Verwaltungsgericht hat zutreffend darauf hingewiesen, dass der Besteller und diejenige Person, für die das bestellte Produkt zur Anwendung bzw. Einnahme bestimmt ist, nicht identisch seien müssen. 

Dieses Argument greift auch, soweit mit der Beschwerdebegründung nunmehr erstmals geltend gemacht wird, dass das Geburtsdatum als Identifizierungskriterium erforderlich sei, um ein Arzneimitteldossier für den Kunden anlegen zu können. Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird."

Und weiter:

"Die Anlage eines Arzneimitteldossiers für den Besteller erscheint daher zur Erfüllung von Beratungs- und Informationspflichten bereits nicht geeignet. Mit dieser schon vom Verwaltungsgericht aufgezeigten Problematik setzt sich die Beschwerdebegründung nicht auseinander. Ob bzw. unter welchen Voraussetzungen die Anlage eines Arzneimitteldossiers überhaupt datenschutzrechtlich zulässig ist, ist nicht Gegenstand des vorliegenden Verfahrens.

Davon abgesehen legt die Beschwerde auch nicht dar, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfügt auch über die Anschrift sowie die Telefonnummer des Bestellers, es wird nicht erläutert und ist auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll. 

Etwas anderes ergibt sich auch nicht aus der von der Klägerin zitierten Entscheidung des OLG München (Urt. v. 28.9.2006 - 29 U 2769/06). Die Entscheidung, die noch zum alten Recht erging, betraf ein Unternehmen, das ein Kundenbindungs- und Rabattsystem mit über 30 Millionen Kunden betrieb. Ein solches Unternehmen ist mit einer Versandapotheke bereits nicht vergleichbar; es verfügt schon nicht zwingend über die aktuelle Anschrift und Telefonnummer seiner Kunden.

Ergänzend wird zudem darauf hingewiesen, dass Versandapotheken zur Erfüllung ihrer Beratungspflicht den Kunden zur Angabe einer Telefonnummer auffordern müssen, unter der er durch pharmazeutisches Personal der Apotheke telefonisch und ohne zusätzliche Gebühren beraten werden kann (§ 17 Abs. 2a Satz 1 Nr. 7 ApBetrO). Sie haben damit die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen."

Es genüge vielmehr die einfache Abfrage des Alters:

"Das Verwaltungsgericht hat dazu ausgeführt, dass für diesen Zweck als milderes Mittel die einfache Abfrage der Volljährigkeit genüge. Damit setzt sich das Beschwerdevorbringen nicht hinreichend auseinander. Es ist auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. 

Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox bietet im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage ist daher ohnehin zweifelhaft."

2. Abfrage des Geburtsdatums auch nicht durch berechtigte Interessen gedeckt:

Das Handeln sei auch nicht durch die berechtigten Interessen (Art. 6 Abs.1 f) DSGVO gedeckt, so die Richter weiter:

"Schließlich wendet die Klägerin ein, die Verarbeitung des Geburtsdatums des Kunden sei auch auf Grundlage eines überwiegenden berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig. Das berechtigte Interesse ergebe sich aus der Notwendigkeit, dieses im Rahmen der Durchsetzung offener Forderungen gegen säumige Kunden verarbeiten zu müssen. Insbesondere bei der Einschaltung eines Gerichtsvollziehers bedürfe dieser bei der Ermittlung des Schuldners bei den in § 755 ZPO genannten Behörden häufig das Geburtsdatum des säumigen Kunden.

Auch damit begründet die Klägerin keine ernsthaften Zweifel an der erstinstanzlichen Entscheidung. Die Klägerin legt bereits nicht dar, welche Zahlungsmöglichkeiten sie anbietet und warum insoweit aus ihrer Sicht ein Ausfallrisiko bestehen soll. 

Ein Ausfallrisiko kann allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung ist beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer kann die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl - etwa aus Marketinggesichtspunkten - in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so muss sie hierfür auf dessen Einwilligung zurückgreifen (…)."

OLG München: Datenschutzerklärung kann urheberrechtlich geschützt sein

Die Datenschutzerklärung auf einer Webseite kann urheberrechtlich geschützt sein, wenn sie eine entsprechende Schöpfungshöhe aufweist. Dem steht nicht entgegen, dass der Rechteinhaber damit wirbt, dass die Datenschutzerklärung “in leicht verständlicher Art verfasst”  wurden (OLG München, Beschl. v. 03.023.2023 - Az.: 6 W 1491/22).

Im Rahmen einer gerichtlichen Auseinandersetzung ging es u.a. um die Frage, ob eine Online-Datenschutzerklärung urheberrechtlichen Schutz genießen kann. Der Beklagte hatte dies verneint und insbesondere beanstandet, dass damit geworben werde, dass die Texte "in leicht verständlicher Art verfasst”  seien und somit keine ausreichende Schöpfungshöhe aufwiesen.

Dies überzeugte das OLG München jedoch nicht. Es bejahte die Anwendung der urheberrechtlichen Vorschriften.

1. Datenschutzerklärung kann urheberrechtlich geschützt sein:

Auch eine Datenschutzerklärung könne urheberrechtlich geschützt sein, wenn diese Werkcharakter habe:

"Vom Vorliegen eines urheberrechtlich geschützten Werks nach § 2 Abs. 1 Nr. 1, Abs. 2 UrhG kann nach summarischer Prüfung ausgegangen werden.

Hinsichtlich des rechtlichen Maßstabs hat die Klägerin im erstinstanzlichen Verfahren unter Verweis auf die Entscheidung des KG vom 11.05.2011 – 24 U 28/11 (GRUR-RS 2011, 14067) ausgeführt, bei Schriftwerken der infrage stehenden Art erfordere die Urheberrechtsschutzfähigkeit ein deutliches Überragen des Alltäglichen, des Handwerksmäßigen, der mechanisch-technischen Aneinanderreihung des Materials. Das KG stützt sich hierbei auf die (älteren) Entscheidungen des BGH „Bedingungsanleitung“ (GRUR 1993, 34) und „Anwaltsschriftsatz“ (BGH GRUR 1986, 739). 

Zwar hat der BGH diese Rechtsprechung – soweit ersichtlich – in der Folge nie ausdrücklich aufgegeben. Gleichwohl hat er in späteren Entscheidungen an diesem strengen Prüfungsmaßstab ersichtlich nicht festgehalten (vgl. etwa BGH, GRUR 2002, 958 – Technische Lieferbedingungen). Auch die Entscheidung „Geburtstagszug“ (BGH, 2014, 175) spricht dafür, dass der BGH für jegliche Arten von Werken einen einheitlichen – niederschwelligen – Prüfungsmaßstab anlegen möchte, wonach auch die „kleine Münze“ stets geschützt ist (vgl. zum Ganzen ausführlich auch: Nordemann, in: Loewenheim, UrhR-HdB, 3. Aufl., § 9 Die Werkarten Rn. 18 ff.).

Gemessen hieran kann das Vorliegen eines urheberrechtlich geschützten Werks vorliegend nicht verneint werden. 

Der Senat schließt sich insoweit nach summarischer Prüfung den Ausführungen des Landgerichts (…) an."

2. Urheberrechtsschutz auch bei Werbeaussage “in leicht verständlicher Form verfasst”:

Dies gelte auch trotz der Werbeaussage, dass die Passagen “in leicht verständlicher Art verfasst” seien:

"Die Werkqualität kann auch nicht mit dem Argument der Klägerin in der Beschwerdebegründung verneint werden, sofern die Klägerin stets betont habe, sie habe die Texte in leicht verständlicher Art verfasst, komme die Klägerin damit nur dem aus Art. 13 Abs. 1 DSGVO (sic, gemeint wohl Art. 12 Abs. 1 Satz 1 DSGVO) folgenden Gebot nach. 

Zum einen handelt es sich bei der verständlichen sprachlichen Umsetzung nur um ein zusätzliches Kriterium neben der Art der Sammlung, Auswahl, Einteilung und Anordnung des Stoffs (…). 

Zum anderen schließt die Erfüllung dieser gesetzlichen Anforderungen es nicht aus, dass darin zugleich eine persönliche geistige Schöpfung im Sinne von § 2 Abs. 2 UrhG liegt, zumal Art. 12 Abs. 1 Satz 1 DSGVO nur eine Zielvorgabe enthält, dem datenschutzrechtlich Verantwortlichen aber nicht vorgibt, wie er dieses Ziel konkret zu erreichen hat, so dass diesem hierbei ein erheblicher Gestaltungsspielraum verbleibt."

ArbG Hamburg: Regeln für ChatGPT-Einsatz in Unternehmen sind nicht mitbestimmungspflichtig

Führt ein Arbeitgeber Regelungen zum Einsatz von ChatGPT ein, so sind diese nicht mitbestimmungspflichtig, d.h. der Betriebsrat muss nicht vorab um Zustimmung angefragt werden (ArbG Hamburg, Beschl. v. 16.01.2024 . At,; 24 BVGa 1/24).

Ein Betriebsrat wehrte sich gegen die Einführung von Regelungen zum Einsatz von ChatGPT in der Firma, ohne vorab um Einwilligung gefragt worden zu sein. 

In der Firma war erlaubt, dass ein Arbeitnehmer sich bei ChatGPT auf eigene Kosten registrierte und das Tool für geschäftliche Zwecke nutzte. Die Kosten musste der Mitarbeiter selbst bezahlen.

Die Arbeitnehmervertretung trug vor, sie sei in zweierlei Hinsicht in ihren Mitbestimmungsrechten verletzt worden: Sowohl die Einführung von ChatGPT (§ 87 I Nr. 6 BetrVG) als auch die Veröffentlichung von Richtlinien (§ 87 Abs. 1 Nr. 1 BetrVG) bedürfe ihrer Zustimmung.

Das angerufene ArbG Hamburg sah dies anders und lehnte das Begehren des Betriebsrats ab.

1. Einführung von ChatGPT-Regeln keine mitbestimmungspflichtige Tätigkeit:

"Wendet man diese Grundsätze der ständigen BAG-Rechtsprechung an, so fallen die Vorgaben zur Nutzung von ChatGPT und vergleichbarer Tools unter das mitbestimmungsfreie Arbeitsverhalten (…). 

Die Beteiligte zu 2. stellt ihren Arbeitnehmern ein neues Arbeitsmittel unter bestimmten Bedingungen zur Verfügung. Richtlinien, Handbuch usw. sind somit Anordnungen, welche die Art und Weise der Arbeitserbringung betreffen, weshalb kein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1 BetrVG besteht.

Der Antragsteller hat in der mündlichen Verhandlung den Einwurf erhoben, dass durch die Erlaubnis der Beteiligten zu 2., die Arbeitnehmer können entscheiden, ob sie ChatGPT einsetzen, letztlich zwei Gruppen von Arbeitnehmern geschaffen wer/den, nämlich die Gruppe der Arbeitnehmer, die Künstlicher Intelligenz aufgeschlossen und die Gruppe, die dieser Entwicklung skeptisch gegenüberstehen, weshalb das Zusammenleben der Belegschaft und damit das Ordnungsverhalten betroffen seien. Eine solche Ansicht hätte zur Konsequenz, dass die nicht flächendeckende Einführung neuer Arbeitsmittel für vergleichbare Arbeitnehmer stets zu einer Zweiteilung führt, nämlich der Gruppe, welche das neue Arbeitsmittel einsetzt und der Gruppe, die noch mit den alten Arbeitsmitteln ihre Arbeitspflicht erfüllt, so dass in diesen Fällen der Betriebsrat zu beteiligen wäre, obwohl der Arbeitgeber nur Anordnungen getroffen hat, wie die Arbeit zu leisten ist. Dies ist mit dem gesetzgeberischen Willen, warum § 87 Abs. 1 Nr. 1 BetrVG ein Beteiligungsrecht begründen soll, nicht vereinbar."

2. Einführung von ChatGPT an sich ebenfalls nicht mitbestimmungspflichtig:

Auch die Einführung von ChatGPT an sich, hänge ebenfalls nicht vom Betriebsrat ab:

"Nach § § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat u.a. mitzubestimmen bei der Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. (…)

Vorliegend ist unstreitig, dass ChatGPT und die vergleichbaren Konkurrenzprodukte nicht auf den Computersystemen der Beteiligten zu 2. installiert wurden. 

Will ein Arbeitnehmer diese Tools nutzen, muss er diese wie jede andere Homepage auch, mittels eines Browsers aufrufen. Zwar wird der Browser die Einwahl regelmäßig aufzeichnen. Dies stellt aber keine Besonderheit von ChatGPT dar, sondern ergibt sich aus den Funktionsmöglichkeiten des Browsers, der den Surfverlauf des Nutzers abspeichert. Der Browser selbst ist somit eine technische Einrichtung, die geeignet ist, Leistungs- und Verhaltensinformationen der Arbeitnehmer aufzuzeichnen. Zur Nutzung von Browsern haben die Beteiligten eine Konzernbetriebsvereinbarung abgeschlossen, weshalb der Antragsteller sein Mitbestimmungsrecht aus § 87 Abs. 1 S. 1 BetrVG bereits ausgeübt hat."

Und weiter:

"Unstreitig ist, dass der Arbeitnehmer selbst einen Account bei ChatGPT anlegen und eventuell entstehende Kosten auch selbst tragen muss, weshalb die Beteiligte zu 2. keinerlei Meldung erhält, wann welcher Arbeitnehmer wie lange und mit welchem Anliegen ChatGPT genutzt hat. Dass der Hersteller etwa von ChatGPT die vorgenannten Daten aufzeichnet, ist zu unterstellen. Dies führt aber nicht zur Mitbestimmung, denn der dadurch entstehende Überwachungsdruck wird nicht vom Arbeitgeber ausgeübt. Die Beteiligte zu 2. kann auf die vom Hersteller gewonnenen Informationen nicht zugreifen. Mit der Nutzung von ChatGPT vergleichbar ist etwa „beck-online“ (Datenbank des Beck-Verlags), wenn der Nutzer seinen eigenen Account angelegt und die Kosten selber zu tragen hat.

Auch die Vorgabe der Beteiligten zu 2., dass Arbeitnehmer Arbeitsergebnisse, die mittels Unterstützung von Künstlicher Intelligenz entstanden sind, kennzeichnen müssen, führt nicht zu einem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Wie ausgeführt muss die technische Einrichtung die Überwachung selbst bewirken, um eine Mitbestimmung auszulösen. Die Kennzeichnung und die damit verbundene Kontrollmöglichkeit der Beteiligten zu 2., wer Chatbots einsetzt, erfolgt aber hier durch den Arbeitnehmer selbst und nicht durch das Tool."

Anmerkung von RA Dr. Bahr:

Am 21.02.2024 gibt es ein Webinar zum Thema “ChatGPT, BERT, Watson, Midjourney & Co: Rechtliche und wirtschaftliche Betrachtung - Ein Update im Jahr 2024”. Die kostenlose Anmeldung gibt es hier.

AG München: Hohe Haftstrafe für Code-Grabbing (Abfangen von PKW-Schlüsselsignalen)

Das Schöffengericht des Amtsgerichts München verurteilte am 20.12.2023 einen 42-jährigen Mann wegen Diebstahls in 23 Fällen zu einer Freiheitsstrafe von drei Jahren und zwei Monaten.

Der bis zur Verhandlung in Untersuchungshaft befindliche Angeklagte hatte im Zeitraum von Juni 2019 bis zu seiner Inhaftierung im Dezember 2022 insgesamt 26 Taten im Raum München begangen. 

Der Angeklagte entriegelte bevorzugt an vielfrequentierten Parkplätzen mithilfe eines Pandora Code-Grabbers parkende Kraftfahrzeuge. Dabei zeichnete er mit dem Gerät die Signale der Originalfahrzeugschlüssel auf und entsperrte die Fahrzeuge anschließend mit dem abgefangenen Schlüsselsignal elektronisch über die Zentralverriegelung. 

Der Angeklagte entwendete jeweils die im Auto befindlichen Wertgegenstände und Schlüssel. Außerdem durchsuchte er die Fahrzeuge nach Dokumenten wie Briefen oder Ausweisen, aus denen sich die Anschrift der Geschädigten ergab.

In sieben Fällen nutze der Angeklagte die Schlüssel und Adressen, um sich Zutritt zu den Wohnungen der Geschädigten zu verschaffen und dort weitere Wertgegenstände zu stehlen. Der Gesamtwert des Diebesgutes betrug 60.910 Euro.

Das Gericht führte zur Strafzumessung insbesondere wie folgt aus:

„Zugunsten des Angeklagten waren folgende Umstände zu berücksichtigen:

Der Angeklagte war vollumfänglich geständig und hat hierdurch eine langwierige Beweisaufnahme, dabei insbesondere den Geschädigten jeweils eine Aussage erspart, die für diese erheblich retraumatisierend hätte sein können. Er hat sich entschuldigt, beim Geschädigten R., der im Sitzungssaal anwesend war, sogar persönlich. (…)

Zu seinen Lasten war zu sehen, dass er bereits strafrechtlich in Erscheinung getreten ist, auch wenn berücksichtigt wurde, dass es sich hierbei um keine einschlägige Eintragung gehandelt hat. Zu berücksichtigen war jeweils der hohe Beutewert und die Verwirklichung von jeweils mehreren Regelbeispielen. Zu berücksichtigen war darüber hinaus zu Lasten des Angeklagten, die hohe kriminelle Energie, die in den Taten zum Ausdruck gekommen ist: Es handelte sich jeweils um geplante Taten mit erheblichem Vorbereitungsaufwand. So hat zunächst der Angeklagte den Pandora Code-Grabber im Internet erworben, sich dann Parkplätze gesucht, bei denen damit zu rechnen war, dass die Leute länger nicht zum Auto zurückkehren, beispielsweise, weil sie spazieren gingen oder Veranstaltungen (…) besuchen und dann bei entsprechendem Auffinden von Adresse und Schlüssel auch für Wohnungen in einem zweiten Akt die Diebstähle nicht nur aus den Autos, sondern aus den Wohnungen heraus begangen.

Bei Letzteren war darüber hinaus zu sehen, dass der Angeklagte, auch wenn es sich um keine Wohnungseinbruchdiebstähle gem. § 244 IV StGB gehandelt hat, jedoch vergleichbar nach Entwenden der jeweiligen Schlüssel in die Wohnungen der Geschädigten gegangen ist, um diese nach stehlenswerten Gegenständen zu durchsuchen und hierbei jeweils in die Privatsphäre der Geschädigten eingedrungen ist, was für diese erhebliche, insbesondere psychische Folgen, hatte. Darüber hinaus waren zu Lasten des Angeklagten generalpräventive Gesichtspunkte zu berücksichtigen.“

Urteil des Amtsgerichts München vom 20.12.2023

Aktenzeichen des AG München: 812 Ls 251 Js 209095/22

Das Urteil ist rechtskräftig.

Quelle: Pressemitteilung des AG München v. 12.02.2024

3. RechtsFAQ zum Digital Service Act: Neue Pflichten für Online-Shops?

Ab sofort gibt es auf unseren Seiten eine weitere RechtsFAQ zum Digital Service Act (DSA). Dieses Mal mit dem Thema: Gelten die neuen Pflichten auch für Online-Shops?

In den letzten Tagen, Wochen und Monaten häufen sich bei uns die Nachfragen, inwieweit denn nun die Pflichten aus dem DSA auch für Online-Shops gelten. In der FAQ geben wir darauf konkrete Antworten.

Die RechtsFAQ gibt es hier

In der Vergangenheit haben wir bereits zwei RechtsFAQ zum DSA veröffentlicht:

Einführung in den DSA:

Die erste FAQ dient als Einführung in den DSA und bietet einen klaren, leicht verständlichen Überblick über dieses komplexe Gesetz. Diese gibt es hier.

Neue Pflichten für Webhosting-Unternehmen:

Diese FAQ richtet sich speziell an Webhosting-Unternehmen und behandelt die neuen Pflichten, die mit dem DSA einhergehen und bis zum 17.02.2024 umgesetzt sein müsse, Die RechtsFAQ gibt es hier.

Webinar mit RA Dr. Bahr "ChatGPT, BERT, Watson, Midjourney & Co: Rechtliche und wirtschaftliche Betrachtung - Ein Update im Jahr 2024" am 21.02.2024

Für Kurzentschlossene: Anmeldung noch bis 11:00 Uhr möglich!!! Heute, am  21.02.2024 gibt es ein kostenloses Webinar mit RA Dr. Bahr zum Thema

"ChatGPT, BERT, Watson, Midjourney & Co: Rechtliche und wirtschaftliche Betrachtung - Ein Update im Jahr 2024"

Vor knapp einem Jahr, im März 2023, gab es das erste Webinar zu diesem Thema. Wer es verpasst hat, kann hier nachträglich die Aufzeichnung anschauen. 

Trotz dieser nur kurzen Zeit, haben sich die Dienste und ihre Leistungen explosionsartig weiterentwickelt.

Ein Update ist daher mehr als dringend geboten: Welche neuen rechtlichen und tatsächlichen Entwicklungen gibt es? Wie ist der aktuelle Rechtsstand? Wie wird die weitere Entwicklung sein? 

Auch dieses Mal wird die Veranstaltung der Frage nachgehen, welche rechtlichen und wirtschaftlichen Konsequenzen sich für uns alle ergeben. 

Zuhörer können Ihre Fragen per Chat oder Video-/Audio-Live-Zuschaltung stellen.

Die Veranstaltung ist kostenfrei.  

Referenten:
Martin Geuß, Blogger & Betreiber von www.drwindows.
Rechtsanwalt Dr. Martin Bahr, Kanzlei Dr. Bahr

Über die Referenten:

Martin Geuß betreibt seit 2007 unter www.drwindows.de eine der führenden Webseiten im deutschsprachigen Raum, die sich mit dem Unternehmen Microsoft und seinen Produkten befassen.

Rechtsanwalt Dr. Martin Bahr ist seit mehr als 20 Jahren Anwalt und spezialisiert auf den Bereich Recht der Neuen Medien und Autor zahlreiche Bücher und Fachaufsätze zum Thema Online, u.a. regelmäßige Kolumne in der Website Boosting“.

Die Veranstaltung ist kostenfrei. Anmeldungen können hier vorgenommen werden. 

Datum: 21.02.2024

Uhrzeit: 14:00 - 15:30 Uhr

Kostenlose Webinar-Anmeldung hier