Aktuelle Rechtstipps des IDO® Verband für Rechts- und Finanzconsulting deutscher Online-Unternehmen e.V. für Juni 2018. Hier die Auswahl der Themen mit Relevanz für Immobilien-Makler.
Weitere Infos zum IDO-Verband und den Leistungen für Mitglieder des IMMOBILIEN-PROFI finden Sie hier >
Kein Anspruch auf zutreffende Geschlechtsbenennung in Formularen
Eine Kundin (Klägerin) hatte von ihrer Sparkasse (Beklagte) gefordert, dass diese in ihren geschäftlichen Formularen neben den männlichen Bezeichnungen für z. B. „Kunde“, „Kontoinhaber“, „Einzahler“ oder „Sparer“ auch entsprechende weibliche Formen benutzt. Im persönlichen Gespräch und in persönlich adressierten Schreiben werde sie schließlich auch in der weiblichen Form angesprochen. Das AG Saarbrücken hatte die Klage auf Verwendung von Formularen mit männlichen und weiblichen Geschlechtsbezeichnungen abgewiesen (Urteil vom 12.02.2016, Az. 36 C 300/15). Die Berufung der Kundin blieb erfolglos (LG Saarbrücken, Urteil vom 10.03.2017, Az. 1 S 4/16), allerdings ließ das Berufungsgericht die Revision zu. Das von der Kundin durchgeführte Revisionsverfahren vor dem BGH (Urteil vom 13.03.2018, Az. VI ZR 143/17) blieb dann aber ebenfalls erfolglos. Der BGH führte dazu aus:
„Es besteht kein gesetzlicher Anspruch darauf, in Vordrucken und Formularen nicht mit Personenbezeichnungen erfasst zu werden, deren grammatisches Geschlecht vom eigenen natürlichen Geschlecht abweicht. Nach dem allgemein üblichen Sprachgebrauch und Sprachverständnis kann der Bedeutungsgehalt einer grammatisch männlichen Personenbezeichnung jedes natürliche Ge-schlecht umfassen („generisches Maskulinum“).“
Weder aus dem Landesrecht, dem Bundesrecht, den Grundrechten noch übergeordneten Rechtsgrundsätzen ergibt sich nach Auffassung des BGH ein solcher Anspruch. Insbesondere bringt der allgemein übliche Sprachgebrauch keine Geringschätzung gegenüber Personen zum Ausdruck, deren natürliches Geschlecht
Zur Haftung des Domain-Treuhänders
Das LG Köln (Urteil vom 03.04.2018, Az. 31 O 179/17) hat eine interessante Entscheidung zur Haftung des Domain-Treuhänders getroffen. Der Kläger des vorgenannten Verfahrens ist Inhaber einer Wortbildmarke. Der Beklagte hatte als Domain-Treuhänder eine DE-Domain für ein russisches Unternehmen registriert. Auf der Webseite kam es zu Markenrechtsverletzungen. Das Gericht führte zunächst aus, dass sich eine DE-Domain an den deutschen Markt richtet. Insofern liegt der – für die gerichtliche Zuständigkeit notwendige – Inlandsbezug vor. Der Domain-Treuhänder ist selbst Domain-Inhaber (und nicht lediglich Admin-C). Damit kam das Gericht in überzeugender Weise zu dem Ergebnis, dass der Domain-Treuhänder für die über den aufrufbaren Online-Shop begangene Markenrechtsverletzung haftet.
DENIC erteilt keine Auskünfte mehr ohne Weiteres
Auf Grund der seit dem 25.05.2018 anwendbaren EU-DSGVO erteilt die DENIC nur noch eingeschränkt Auskünfte. Nach dem Grundsatz der Datenminimierung werden die bisher genutzten Kontaktinformationen zum technischen Verantwortlichen und Zonenverantwortlichen (Tech-C, Zone-C) sowie zum administrativen Ansprechpartner (Admin-C) nicht mehr erfasst und somit in der Domainabfrage auch nicht mehr ausgegeben. Über die Domainabfrage können nur noch eingesehen werden: Der Domainstatus (registriert oder nicht registriert), die technischen Daten und zwei Email-Adressen zur Kontaktaufnahme. Dritte erhalten grundsätzlich keine Daten zum Domaininhaber angezeigt, ausgenommen zur Erfüllung gesetzlicher Pflichten (z. B. Anfragen von Behörden, Erledigung von Pfändungsverfügungen). Bei Nachweise eines – im Einzelfall von der DENIC zu überprüfenden – nachgewiesenen berechtigten Interesses erhält ein Dritter Auskünfte (z. B. bei Kennzeichenrechtsverletzungen oder im Zusammenhang mit Vollstreckungstiteln). Die neuen Grundsätze für die Auskunftserteilungen hat die DENIC auf ihrer Webseite veröffentlicht. Dort finden sich auch für Formulare für die einzelnen Auskunfts-Situationen.
Warnung vor Akquise-Schreiben wegen angeblicher DSGVO-Verstöße
Aus aktuellem Anlass warnen wir davor, auf Schreiben von Anwälten oder Institutionen zu reagieren, die Unternehmer kontaktieren und diesen angebliche datenschutzrechtliche Fehler auf ihren Webseiten suggerieren. Leider werden seit der Anwendbarkeit der DSGVO Ängste geschürt und es wird versucht, auf Kosten der Unternehmen Geld zu verdienen. Die Akquise-Schreiben, die uns vorgelegt wurden, sind größtenteils falsch und verzerrend. In einem Fall hatte ein Anwalt aus Leverkusen, tätig im Familienrecht, angebliche besondere Kenntnisse im Bereich der DSGVO für sich in Anspruch genommen und per Email-Spam Unternehmen kontaktiert. Schaut man sich die Webseite des Anwalts an, so ist nicht ansatzweise die DSGVO umgesetzt worden. Die Emails erfolgten (als verbotene unzumutbare Belästigung nach § 7 UWG) ohne ordnungsgemäße Signatur. Dies ist nur ein Beispiel unter vielen. Es wird dringend angeraten, nicht auf solche „Angebote“ hereinzufallen und in solchen Fällen mit unserer Geschäftsstelle Kontakt aufzunehmen. Diese wird Ihnen erläutern, inwieweit wir – in ausreichender Form –unseren Kunden den Support im Bereich der DSGVO organisiert haben. Gegen missbräuchliche Akquise-Aktionen werden wir ggf. auch gerichtlich vorgehen.
EuGH zu Facebook-Fanpages: Sind Betreiber (auch) datenschutzrechtlich verantwortlich?
Facebook-Fanpages sind bei Unternehmen, Institutionen und Vereinen sehr beliebt und werden gerne vorgehalten. Es ist bekannt, das auf diesen Facebook-Fanpages personenbezogene Daten im Sinne der DSGVO (bzw. bis zum 24.05.2018 des Bundesdatenschutzgesetzes alte Fassung) verarbeitet wurden bzw. werden. Es wurde zuletzt die Frage erörtert, ob für die Verarbeitung dieser Daten ausschließlich Facebook oder zusätzlich zu Facebook auch die Betreiber dieser Fanpages verantwortlich seien. Wäre nur Facebook hierfür verantwortlich, würden den Betreiber der Facebook Fanpages keine datenschutzrechtliche (Informations-) Pflichten treffen; wäre der Betreiber zusätzlich zu Facebook verantwortlich, hätte auch er datenschutzrechtliche (Informations-) Pflichten zu erfüllen.
Der Europäische Gerichtshof (EuGH) hat zu dieser Fragestellung mit seinem Urteil vom 05.06.2018, Az. C-210/16, eine Entscheidung getroffen. Der Sachverhalt datiert aus dem Jahr 2011: damals hatte eine Datenschutzbehörde die Wirtschaftsakademie Schleswig-Holstein aufgefordert, deren Facebook-Fanpages zu deaktivieren, da dort Nutzerdaten erfasst würden, ohne dass die Wirtschaftsakademie Schleswig-Holstein hierüber informiere. Das Verwaltungsgericht Schleswig und das Oberverwaltungsgericht Schleswig hatten dem Betreiber der Facebook-Fanpage Recht gegeben; das Bundesverwaltungsgericht hatte den Streitfall dem EuGH zur Entscheidung vorgelegt. Dieser bestätigte nun die Ansicht der Datenschutzbehörde, wonach auch der Betreiber der Facebook-Fanpage (zusammen mit Facebook) datenschutzrechtlich verantwortlich sei. Im Übrigen hat der EuGH das Verfahren zurück an das Bundesverwaltungsgericht, das nun Detailaspekte klären muss.
In einer Pressemitteilung führte der EuGH aus, dass ein Betreiber einer Facebook-Fanpage gemeinsam mit Facebook als für die fragliche Datenverarbeitung verantwortlich anzusehen sei:
„Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung, u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten, an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit daraufhin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u.a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstand und berufliche Situation), Information über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geographische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und die im ganz allgemeinen ermöglichen, sein Informationsangebot so Ziel gerichtet wie möglich zu gestalten.
Nach Ansicht des Gerichtshofes kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtung in Bereiche des Schützen personenbezogener Daten befreien.“
Dieses Urteil des EuGH ist auf Grundlage der bis zum 24.05.2018 gültigen Rechtslage ergangen. Es stellt sich damit die Frage, ob dieses Urteil auch auf Basis der seitdem 25.05.2018 anwendbaren DSGVO Gültigkeit haben wird.
Der EuGH hat geurteilt, das Facebook und Fanpage-Betreiber gemeinsam „verantwortlich“ seien. Der Begriff des Verantwortlichen gemäß der bis zum 24.05.2018 gültigen Rechtslage und der Begriff des Verantwortlichen in der Fassung seit dem 25.05.2018 gültigen Rechtslage ist jedoch weitgehend identisch. Es wird daher die Ansicht vertreten, dass dieses Urteil auch auf Basis der DSGVO Bestand haben wird.
Die Ausgestaltung der sog. gemeinsamen Verantwortlichkeit ist in Art. 26 DSGVO geregelt. Gemeinsam Verantwortliche sollten vertraglich regeln, wie und von wem die Datenschutzrechtlichen Pflichten, z.B. Informationspflichten, zu erfüllen sind.
Ob und in welcher Form Facebook mit Fanpage-Betreiber zusammenwirken wird, steht derzeit noch nicht fest. Sofern Betreiber von Facebook-Fanpages keinerlei rechtliches Risiko btf. evtl. Datenschutzverstößen begehen wollen, dürfte es empfehlenswert sein, die Facebook-Fanpages (zumindest bis auf weiteres) offline zu stellen.
Aktuelle Stellungnahme der Datenschutzkonferenz zu Facebook-Fanpages
Zu dem vorgenannten Urteil des EuGH vom 05.06.2018 hat sich die sog. Datenschutzkonferenz (Konferenz der Unabhängigen Datenschutzbehörde des Bundes und der Länder) am 06.06.2018 geäußert.
Die Datenschutzkonferenz hat das Urteil des EuGH begrüßt, da es ihre langjährige Rechtsauffassung bestätige. In der Stellungnahme hat die Datenschutzkonferenz Aspekte vorgegeben, die ab nun „zu beachten“ seien. Beispielsweise müsse derjenige, der eine Fanpage besucht, transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage- Betreiber verarbeitet würden. Dies gelte sowohl für Personen, die bei Facebook registriert sein, als auch für nicht registrierte Personen und Besucher des Netzwerkes. Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stelle, die zur Erfüllung der genannten Informationspflichten benötigt würden. Soweit – so ferner die Datenschutzkonferenz – Facebook Besucherinnen und Besucher einer Fanpage durch die Erhebung personenbezogener Daten tracke, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, sei grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DSGVO erfülle.
Nach Ansicht der Datenschutzkonferenz besteht zwingender Handlungsbedarf für die Betreiber von Fanpages. Dabei sei jedoch nicht zu verkennen das Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen könnten, wenn Facebook selbst an der Lösung mitwirke und ein datenschutzkonformes Produkt anbiete.
Auch die Landesbeauftragte für Datenschutz und Informationssicherheit NRW (LDI NRW) hat zwischenzeitlich kundgetan, dass das EuGH-Urteil die Auffassung des LDI NRW ausdrücklich bestätige.
Durch diese „Bestätigungen“ des EuGH-Urteils haben die Datenschutzbehörden Facebook-Fanpage-Betreibern ausdrücklich „Hausaufgaben“ auferlegt. Es kann als „gesichert“ angesehen werden, dass die Datenschutzbehörden das EuGH-Urteil auch auf Grundlage der DSGVO umsetzen werden. Das (Haftungs-Risiko) bei dem Betrieb solcher Fanpages hat sich damit deutlich erhöht.
Was ist datenschutzrechtlich bei der Verwendung von „Google Analytics“ zu beachten ?
Wir hatten bereits mehrfach darüber berichtet, dass derjenige, der „Google Analytics“ verwendet, in seiner Datenschutzerklärung einen entsprechenden Datenschutzhinweis vorhalten muss. Dies entspricht seit Jahren ständiger Rechtsprechung.
Wir hatten im ID 4/18 ferner berichtet, dass auf Grund einer Positionsstimmung der Datenschutzkonferenz vom 26.04.2018 bei der Vorhaltung von Cookies sowie von Tracking-Tools wie Google Analytics ein sog. Opt-In auf der Startseite vorgehalten werden muss. Dies bedeutet, dass Unternehmen, die Websites betreiben, ab dem 25.05.2018 bei dem Einsatz von „Google Analytics“ vorab die Zustimmung des betroffenen Internetnutzers, also des Nutzers ihrer Website, einholen müssen. Der Nutzer muss also vor dem Besuch der Website seine Einwilligung btf. die Nutzung von „Google Analytics“ durch den Unternehmer abgeben.
Darüber hinaus scheint vielen Unternehmen nicht bekannt zu sein, dass bereits vor dem 25.05.2018 mit Google ein Auftragsdatenverarbeitungsvertrag i.S.d. §11 BDSG alte Fassung (seit dem 25.05.2018: Auftragsverarbeitungsvertrag i.S.d. Artikel 28 DSGVO) geschlossen werden muss.
Zahlreiche Gespräche mit Unternehmen haben im Übrigen ergeben, dass „Google Analytics“ von den betroffenen Unternehmen vor langer Zeit „installiert“ worden ist, ohne dass man sich über die rechtlichen Rahmenbedingungen informiert hat.
Eine Zusammenfassung zum rechtskonformen Umgang mit „Google-Analytics“, in der die vorgenannten Aspekte ebenfalls erwähnt sind findet sich unter https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/.
Was ist bei Verwendung von Google Fonts (Webfonts) zu beachten?
Viele Unternehmen verwenden sog. „Google Fonts“ und weisen auf deren Verwendung in der Datenschutzerklärung hin. Bei der Verwendung von „Google Fonts“ werden die jeweiligen Google-Schriften regelmäßig von dem Google-Server in den USA geladen. Bei diesem Ladevorgang kommt es zu einer Übermittlung von personenbezogenen Daten in die USA. In der Datenschutzerklärung muss auf diese Aspekte vor Beginn des Nutzungsvorganges hingewiesen werden. U.a. muss angegeben werden, welche Daten zu welchen Zwecken von wem verarbeitet werden.
Es ist alternativ möglich, die Google Fonts auf dem eigenen Server abzulegen und von dort jeweils einzubinden.
Ob vor diesem Hintergrund und aufgrund des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) die Übermittlung von personenbezogenen Daten an den Google-Server erforderlich ist, sollte zumindest bedacht werden.
Nähere Informationen hierzu finden sich unter https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/.
Abmahnungen im Bereich der DSGVO?
In den Medien war „gewarnt“ worden, dass ab der Anwendbarkeit der DSGVO ab dem 25.05.2018 mit „Abmahnwellen“ zu rechnen sei. Die DSGVO ist nun seit ca. 1 Monat anwendbar. Seit dem 25.05.2018 wird im Internet und in Zeitungen gelegentlich über Abmahnungen im Bereich DSGVO berichtet. Bislang wurde unserem Verband noch keine DSGVO-Abmahnung vorgelegt. Die „befürchteten Abmahnwellen“ hat es nach Kenntnis unseres Verbandes damit nicht gegeben.
An dieser Stelle ist auch zu bedenken, dass die Pflicht zur Vorhaltung einer Datenschutzerklärung seit Jahren geltender Rechtslage sowie ständiger Rechtsprechung entspricht. Fehlte damit in der Vergangenheit auf einer geschäftlichen Website eine Datenschutzerklärung (gänzlich oder teilweise), hätte dies bereits vor dem 25.05.2018 erfolgreich beanstandet werden können.
Auch fehlende Hinweise zur Verwendung von „Google Analytics“ konnten seit Jahren erfolgreich beanstandet werden. Diese Aspekte sind damit „alt“.
Auch die Verwendung des Facebook-Like-Buttons ist seit der Entscheidung des LG Düsseldorf vom 09.03.2016, Az. 12 O 151/15, als „kritisch“ zu beurteilen. Auch dieser Umstand ist damit „nicht neu“.
Dass es ab der Anwendbarkeit jedes neuen Gesetzes zu Abmahnvorgängen kommen kann (und in der Vergangenheit auch gekommen ist), ist ebenfalls nicht neu. Zum 14.06.2014 war u.a. das neue EU-Verbraucherrecht in Kraft getreten. Auch damals war befürchtet worden, dass es unmittelbar nach diesem Datum zu „Abmahnwellen“ kommen würde; auch damals ist dieser Umstand nicht eingetreten. Man sollte sich daher von solchen „medialen Hinweisen zu evtl. Abmahnwellen“ nicht verrückt machen lassen. Andererseits sollte man sich – wie bei jeder anderen Gesetzesnovellierung – auf die neuen Regelungen einstellen und, sofern erforderlich, notwendige Anpassungen vornehmen.
Darüber hinaus sollte im Einzelfall die Berechtigung jeder Abmahnung geprüft werden. Welche Personen im Übrigen seit dem 25.05.2018 datenschutzrechtliche Abmahnungen aussprechen können, ist noch nicht geklärt. Sollten Sie eine Abmahnung aus Datenschutzrecht erhalten haben, steht Ihnen die Geschäftsstelle zur Verfügung.
Zweckbindung bei Kaufverträgen: darf man die Daten für evtl. zukünftige Kaufverträge nutzen?
In Art. 12 ff. DSGVO sind die Rechte der Betroffenen (natürlichen Personen) und die korrespondierenden Pflichten der Verantwortlichen (Unternehmen) geregelt. Diesen Rechten bzw. Informationen liegt u.a. der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) zu Grunde. Hiernach dürfen die (von der betroffenen Person) übermittelten Daten nur für die festgelegten, eindeutigen und legitimierten Zwecke erhoben und nicht in einer mit diesen Zwecken nicht vereinbarenden Weise verarbeitet werden.
Übertragen auf den Fall eines Kaufgeschäftes, bedeutet dies Folgendes: die personenbezogenen Daten des Kunden dürften für die Abwicklung und Durchführung dieses (einzelnen) Kaufvertrages verwendet werden. Für die Abwicklung weiterer Kaufverträge dürfen sie nur dann verwendet werden, wenn eine entsprechende Vereinbarung (im Sinne eines entsprechenden Zweckes) zuvor mit dem Kunden getroffen worden ist: der Kunde muss also zuvor wissen, dass seine Daten auch beid er Abwicklung evtl. weiterer Kaufverträge verwendet werden sollen. In den meisten Konstellationen wird es eine solche Vereinbarung, die sich auf evtl. weitere Kaufvorgänge erstreckt, nicht geben. Dies führt dazu, dass personenbezogene Daten nach der Abwicklung eines Kaufgeschäftes nicht mehr für weitere Kaufgeschäfte verwendet werden dürfen. Dieser datenschutzrechtliche Grundsatz ist daher bei zukünftiger Anfrage von „Alt-Kunden“ zu berücksichtigen.
Es wurde uns von Mitgliedern berichtet, dass Kunden, mit denen keine Vereinbarung über die Nutzung ihrer Daten für evtl. zukünftige Kaufverträge geschlossen wurde, über „Testanrufe“ versuchen heraus zu finden, ob sich Händler an die datenschutzrechtlichen Vorgaben halten.