- Auskunftsanspruch vs. Daten-Backup
- Cookie Update: Planet49 und Cookie Walls
- DSGVO verlangt Double-Opt-In
- Update zum Influencer Advertising
- BGH: Zur Zulässigkeit der Bewertungsdarstellung von Unternehmen auf einem Internet-Bewertungsportal
- EuGH: Pflichtangaben zur alternativen Streitbeilegung in AGB für Verbraucherverträge
- Metadaten sind auch Geschäftsgeheimnisse
- EGMR: Sperrung ganzer Websites verletzt Meinungsfreiheit
1. Auskunftsanspruch vs. Daten-Backup
Mit Urteil vom 6. Februar 2020 hat das LG Heidelberg (Az.: 4 O 6/19) entschieden, dass Auskunftsrechte gemäß Art. 15 DSGVO nicht bestehen, sofern eine solche Auskunft für den Verantwortlichen im Einzelfall einen unverhältnismäßigen Aufwand darstellt. Dies kann dann der Fall sein, wenn auf eine große Zahl an E-Mails nur durch Wiederherstellung aus einem Backup zugegriffen werden könnte.
Fazit: Die Entscheidung des LG Heidelberg kann Aufschluss geben für Auskunftsansprüche, die sich auf Daten aus Backups beziehen. Hier wird es empfehlenswert sein zu prüfen, ob die Wiederherstellung der Daten im konkreten Fall möglicherweise einen unverhältnismäßigen Aufwand darstellt. Es stellt sicher ferner die Frage, ob aus dem Urteil gefolgert werden kann, dass auch Löschanfragen zu Daten in Backups im Einzelfall wegen unverhältnismäßigen Aufwands abgelehnt werden können.
2. Cookie Update: Planet49 und Cookie Walls
Der BGH hat mit Urteil vom 28. Mai 2020 (Az.: I ZR 7/16) bestätigt, dass ein voreingestelltes Ankreuzhäkchen keine ausreichende Einwilligung für Cookies darstellt.
Der Europäische Datenschutzausschuss hat in seinen Leitlinien zur Einwilligung klargestellt, dass Cookie Walls nicht zulässig sind, da keine freiwillige Einwilligung vorliegt. Bei Cookie Walls können Nutzer ein Angebot nur nutzen, wenn sie den Einsatz von Cookies akzeptieren. Der BfDI hat daraufhin in seiner Pressemitteilung vom 7. Mai 2020 klargestellt, dass Cookie-or-Pay-Walls, bei denen der Nutzer zusätzlich die Wahl hat, ein cookiefreies Angebot, dafür aber gegen Zahlung, zu nutzen, zulässig sein kann.
Fazit: Cookies bleiben ein heißes Datenschutzthema. Der BGH hat bestätigt, dass wenn eine Einwilligung erforderlich ist, eine Opt-Out-Lösung nicht ausreicht. Der BGH hat aber nicht weiter ausgeführt, welche Cookies eine Einwilligung erfordern.
3. DSGVO verlangt Double-Opt-In
Double-Opt-In ist bekannt als „deutsche Spezialität“ nach dem UWG. Nun hat die österreichische Datenschutzbehörde mit Entscheidung vom 9. Oktober 2019 (Az.: DSB-D130.073/0008-DSB/2019) bestätigt, dass das Double-Opt-In-Verfahren nach Art. 32 DSGVO auch ein datenschutzrechtliches Erfordernis ist. Die Behörde führt aus: „Beispielsweise kann eine solche Datenschutzsicherheitsmaßnahme in der Implementierung eines Double-Opt-In-Verfahrens zur rechtskonformen Erlangung einer Einwilligung bestehen”.
Fazit: Double-Opt-In ist kein „muss“ nach der DSGVO. Es ist aber zu empfehlen, bei Erstkontakten im Internet (Einholung Einwilligung oder Registrierung zu Nutzerkonten), ein Double-Opt-In-Verfahren durchzuführen.
4. Update zum Influencer Advertising
von Ramona Kimmich
Die deutsche Rechtsprechung zur Kennzeichnungsplicht von Influencer-Posts in sozialen Medien bleibt uneinheitlich. Das OLG Braunschweig hat mit Urteil vom 13. Mai 2020 (Az.: 2 U 78/19) entschieden, dass die Verlinkung von Hersteller-Accounts eine Kennzeichnungspflicht auslöse. Einige Obergerichte haben eine weniger strenge Richtung eingeschlagen und geurteilt, der kommerzielle Zweck von Influencer-Posts sei aus den Umständen erkennbar (OLG Hamburg, Az.: 15 U 142/19; OLG München, Az.: 2 U 78/19).
Der deutsche Gesetzgeber will klarstellen, dass Influencer-Posts nicht als Werbung gekennzeichnet werden müssen, wenn der Influencer keine Gegenleistung erhält und der Post in erster Linie der Information und Meinungsbildung dient. Die Details der geplanten gesetzlichen Vorgaben bleiben jedoch unklar. Mehr auf unserem Blog.
Fazit: Es bleibt abzuwarten, ob der BGH die Gelegenheit bekommt, die Vorgaben zur Kennzeichnungspflicht für Influencer-Posts zu konkretisieren und Rechtssicherheit zu schaffen.
5. BGH: Zur Zulässigkeit der Bewertungsdarstellung von Unternehmen auf einem Internet-Bewertungsportal
von Arne Senger, LL.M.
Der BGH hat mit Urteil vom 14. Januar 2020 (Az.: VI ZR 496/18) bestätigt, dass ein Internet-Bewertungsportal Nutzerbewertungen mit einem Algorithmus bewerten darf. Bei der Gesamtbenotung eines Unternehmens darf das Bewertungsportal solche Bewertungen unberücksichtigt lassen, die als „nicht empfohlen“ bewertet wurden.
Voraussetzung dafür ist laut BGH, dass Nutzer des Bewertungsportals ausreichend über die Zusammensetzung der Gesamtbewertung informiert werden. Bei der Bewertung von Nutzerbewertungen könne das Bewertungsportal sich auf die Berufs- und Meinungsfreiheit berufen. Gewerbetreibende hingegen müssten Kritik an Ihren Leistungen und die öffentliche Erörterung geäußerter Kritik grundsätzlich hinnehmen.
Fazit: Der BGH stärkt mit diesem Urteil die Position von Online-Bewertungsportalen in Bezug auf die Darstellung von Bewertungen. Zu den Voraussetzungen des Einsatzes von Algorithmen zur Bewertung von Nutzerbewertungen führt der BGH nicht aus.
6. EuGH: Pflichtangaben zur alternativen Streitbeilegung in AGB für Verbraucherverträge
von Dr. Philipp Süss, LL.M./Dr. Alexander Hardinghaus, LL.M.
Der EuGH hat mit Urteil vom 25. Juni 2020 (Az.: C-380/19) entschieden, dass ein Unternehmer, der auf seiner Website die Allgemeinen Geschäftsbedingungen für Kauf- oder Dienstleistungsverträge („AGB“) zugänglich macht, in diesen AGB die Informationen über die Stelle oder die Stellen zur alternativen Streitbeilegung gemäß Artikel 13 der Richtlinie 2013/11/EU („AS-Stelle(n)“), von der/denen der Unternehmer erfasst wird, aufführen muss, sofern er sich verpflichtet oder verpflichtet ist, diese AS-Stelle(n) zur Streitbeilegung mit Verbrauchern einzuschalten – und zwar selbst dann, wenn der Unternehmer über diese Website überhaupt keine Verträge mit Verbrauchern schließt. Nach Auffassung des EuGH reiche es insoweit nicht aus, dass der Unternehmer die Informationen in anderen auf der Website zugänglichen Dokumenten oder unter anderen Reitern der Website (etwa im Impressum) aufführt oder sie dem Verbraucher beim Abschluss des Vertrags, für den die AGB gelten, mittels eines gesonderten Dokuments zur Verfügung stellt.
Fazit: Die gängige Praxis, Verbraucher über die jeweiligen AS-Stelle(n) lediglich im Rahmen des Impressums auf der Unternehmens-Website zu informieren, erweist sich angesichts der klaren Feststellung des EuGH als nicht ausreichend. Die Informationen sollten deshalb zusätzlich auch in AGB für Verbraucherverträge aufgenommen werden.
7. Metadaten sind auch Geschäftsgeheimnisse
Das BVerwG hat mit Beschluss vom 5. März 2020 (Az.: 20 F 3.19) entschieden, dass auch äußere Merkmale von Dateien (u.a. Metadaten wie zum Beispiel Dateiendungen, Dateigröße und bestimmte Zusammenstellung dieser) Geschäftsgeheimnisse darstellen können, wenn durch diese Merkmale ein Rückschluss auf entsprechende Geschäfts- und Betriebsgeheimnisse möglich ist (z.B. die verwendete Programmiersprache). Die Weitergabe solcher Dateien ohne vollständige Unkenntlichmachung kann dann eine Verletzung des Geschäftsgeheimnisgesetzes darstellen.
Fazit: Unternehmen müssen bei der Weitergabe fremder Informationen prüfen, ob Rückschlüsse über die erhaltenen vertraulichen Informationen möglich sind und entsprechende Vorkehrungen treffen. Mitarbeiter müssen darüber hinaus sowohl bei der Weitergabe von eigenen Unternehmensinformationen als auch fremden Informationen sensibilisiert werden.
8. EGMR: Sperrung ganzer Websites verletzt Meinungsfreiheit
von Friederike Wilde-Detmering, M.A.
Der EGMR hat mit Urteil vom 23. Juni 2020 (Az.: 10795/14) entschieden, dass die Anordnung einer weltweiten Sperrung von Websites auf Basis lokaler Gesetze die Meinungsfreiheit verletzten kann. Eine solche Sperrung käme dem Verbot einer Zeitung gleich und sei ohne gesetzliche Sicherheitsmechanismen wie z.B. einer ex-ante Folgenabschätzung und der Überwachung durch Gerichte und Behörden zu missbrauchsanfällig.
Fazit: Die Entscheidung ist insbesondere für Hosting Provider interessant, die einer nicht territorial begrenzten Unterlassungsverfügung unterliegen, da sie weitere Argumente gegen eine weltweite Löschpflicht liefert.
Lesehinweise zum IT und Datenschutzrecht
- Europäischer Datenschutzausschuss
- Leitlinien zu Connected Cars
- Leitlinien zur Einwilligung
- Europäische Kommission: DSGVO – Bericht zur Umsetzung nach 2 Jahren
- Tätigkeitsberichte der deutschen Behördens
- Datenschutzkonferenz
- Auftragsverarbeitung nach Art. 28 DSGVO
- Diskussionspapier der deutschen Präsidentschaft des Rats der EU zur ePrivacy Verordung
- Platform-to-Business-Verordnung gilt seit 12. Juli 2020. Mehr in unserem Client Alert.
- Empfehlungen des Europarats zu den Auswirkungen von Künstlicher Intelligenz