Verpflichtung auf das Datengeheimnis unter der DSGVO

Die Datenschutzgrundverordnung (DSGVO), die am 25.05.2018 weitestgehend das bisherige Bundesdatenschutzgesetz ablösen wird, kennt keine Vorschrift, die die den Verantwortlichen (unter dem BDSG: „verantwortliche Stelle„) ausdrücklich verpflichtet, seine Mitarbeiter auf das Datengeheimnis zu verpflichten, wie dies aktuell § 5 BDSG vorsieht.

Dennoch rate ich dazu, auch unter Geltung der Datenschutzgrundverordnung eine solche Verpflichtung vorzunehmen.

Der Grund liegt in Art. 24 DSGVO:

Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen

(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

Der Verantwortliche muss also organisatorische Maßnahmen umsetzen, damit die Datenverarbeitung gemäß der Datenschutzgrundverordnung erfolgt.

Dazu gehört meines Erachtens auch eine entsprechende Belehrung, die früher über § 5 BDSG erfolgte.

Empfehlung: Verpflichten Sie auch Ihre Mitarbeiter unter der DSGVO auf das Datengeheimnis. Verwenden Sie jetzt schon Verpflichtungserklärungen, welche sowohl die Vorschriften des BDSG also auch der DSGVO zitieren. Ab dem 25.05.2018 fallen die alten Vorschriften des BDSG dann weg.

Und achten Sie darauf, dass die Strafvorschriften in Zukunft in § 42 BDSG n.F. und die Bußgeldvorschriften in § 43 BDSG n.F. geregelt sind, nicht mehr wie bisher in § 44 (Strafvorschriften) und § 43 (Bußgeldvorschriften).

AdBlock Plus: Nach OLG München zulässig

Das Oberlandesgericht München hat am 17. August 2017 entschieden, dass Eyeo seinen AdBlocker weiter vertreiben darf.

Es läge keine aggressive geschäftliche Handlung im Sinne des § 4a UWG vor, da keine keine Drohung mit einer rechtlich unzulässigen Handlung vorliege. Den Nutzern sei es schließlich nicht verboten, Werbung zu blockieren.

Auch eine gezielte Behinderung im Sinne des § 4 Nr. 4 UWG läge nicht vor.

Für einen Marktmissbrauch fehle es an der notwendigen Marktmacht.

Bestätigt hat hingegen der OLG, dass ein konkretes Wettbewerbsverhältnis der klagenden Medienunternehmen Süddeutsche Zeitung, des Werbevermarkters IP-Deutschland uvon ProSiebenSat1 vorliegt.

Vorausgegangen waren Entscheidungen des LG München I, welche die Klage abgewiesen haben (Urt. v. 27.05.2015 – Az.: 37 O 11673/14 – ProSiebenSat1; Urt. v. 22.03.2016 – Az.: 33 O 5017/15 – Süddeutsche.de).

Die nächste Station dürfte der BGH sein.

Neue Regeln für Berufsgeheimnisträger

Im Bundestag befindet sich aktuell ein Gesetzentwurf, der es Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten ermöglichen soll, IT-Dienstleister einzuschalten, ohne dass deren Einschaltung den Straftatbestand des § 203 StGB erfüllt.

Geplant ist eine Änderung des § 203 StGB und der BRAO. Die IT-Dienstleister sollen einerseits in den Straftatbestand des § 203 StGB einbezogen werden und andererseits soll kein Offenbaren vorliegen, wenn Geheimnissen IT-Dienstleistern zugänglich gemacht werden. Notwendig wird eine Verpflichtung der Dienstleister zur Verschwiegenheit sein.

Ausländische Dienstleister dürfen nur dann in Anspruch genommen werden, wenn der Schutz von Geheimnissen demjenigen im Inland „vergleichbar“ ist (§ 43e Abs. 4 BRAO-E).

Der Entwurf ist dringend notwendig, da die meisten Berufsgeheimnisträger kaum ohne externe IT-Dienstleister auskommen dürften und sich diese derzeit nicht nur in einem rechtlichen Grau- sondern bereits schwarzen Bereich befinden dürften.

Den Gesetzentwurf finden Sie hier.

BGH: Dynamische IP-Adressen sind personenbezogene Daten

Der Bundesgerichtshof hat nun entschieden, dass dynamische IP-Adressen personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/1, noch nicht im Volltext verfügbar, zur Pressemitteilung). Bei dynamischen IP-Adressen handelt es sich um IP-Adressen, die vom Provider bei jeder Einwahl ins Netz neu vergeben werden. Das Gegenstück dazu ist eine feste IP-Adresse, die immer identisch ist.

Dass diese Frage überhaupt strittig war, liegt daran, dass bei dynamischen IP-Adressen nur der Provider bestimmen kann, zu welchem Zeitpunkt welchem Kunden welche IP-Adresse zugewiesen war. Der Personenbezug ist daher nur mit Hilfe eines Dritten herstellbar.

Der BGH hatte diese Frage zuvor dem EuGH vorgelegt, da dieser die Auslegung der EG-Datenschutzrichtlinie vorzunehmen hat. Der EuGH hat mit Urteil vom 19. Oktober 2016 – C-582/14 – entschieden, dass dynamische IP-Adressen personenbezogene Daten sind.

Hintergrund des Streits ist eine Klage des Piraten-Politikers Patrick Breyer. Er störte sich daran, dass die Webseiten der Bundesregierung die IP-Adressen der Nutzer protokollieren.

Der BGH hat die Sache nun an das LG Berlin zurückverwiesen. Hintergrund ist, dass eine Speicherung der IP-Adressen nach § 15 Abs. 1 TMG dann erfolgen darf, wenn die Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Damit hatte die Bundesregierung argumentiert. Das LG Berlin muss nun hier erneut Beweis erheben und eine Interessenabwägung vornehmen.

Zu-Eigen-Machen bei sozialen Netzwerken

Man haftet als Täter für fremde Informationen unmittelbar aus § 823 BGB bzw. § 1004 BGB, sobald man sich Inhalte zu eigen macht. Anknüpfungspunkt ist hier § 7 TMG und § 10 TMG, die danach unterscheiden, ob es sich um eigene oder fremde Informationen handelt.

Die Rechtsprechung hat hier in der Vergangenheit Kriterien aufgestellt, wann ein Zu-Eigen-Machen von Internetinhalten vorliegt. In der bekannten BGH-Entscheidung marions-kochbuch.de (BGH, Urteil vom 12. November 2009 – I ZR 166/07) wurden als solche Kriterien etwa die vorherige Prüfung der Informationen und die umfassende Einräumung von Nutzungsrechten angesehen.

Wann geteilte Informationen auf sozialen Netzwerken fremde Informationen und wann eigene sind, hat nun das OLG Dresden entschieden (OLG Dresden, Urteil vom 7.02. 2017, Az.: 4 U 1419/16). Das reine Teilen der Information sei noch kein Zu-Eigen-Machen, sehr wohl aber die positive Bewertung des Beitrags etwa mit einem „Gefällt mir“ bei Facebook oder Twitter (Herz).

Im Urteil heißt es

Ein solches Zu-Eigenmachen ist hier allerdings noch nicht daraus abzuleiten, dass der Kläger den Beitrag des Schriftstellers K. bei X. geteilt hat. Bei der Funktion „Teilen“ handelt es sich um eine auf der Plattform bestehende Möglichkeit, auf private Inhalte anderer Nutzer hinzuweisen, ohne dass hiermit zugleich eine Bewertung verbunden wird. Regelmäßig wird diese Funktion von den Nutzern dazu verwendet, Inhalte schnell „viral“ weiterzuverbreiten. Anders als bei der Funktion „gefällt mir“ (vgl. hierzu z.B. Bauer, Kündigung wegen beleidigender Äußerungen auf X., NZA 2013, 67, 71) ist dem „Teilen“ für sich genommen keine über die Verbreitung des Postings hinausgehende Bedeutung zuzumessen (OLG Frankfurt, Urteil vom 26. November 2015 – 16 U 64/15 –, juris).

Gute Zeichen für das Einheitspatent

Im Marken- und im Geschmacksmusterrecht gibt es es schon länger: die Unionsmarke und das Gemeinschaftsgeschmacksmuster, also ein einheitliches europäisches Schutzrecht, das bei einer europäischen Behörde, der EUIPO, eingetragen werden kann, und dann in der gesamten EU besteht.

Auf Patentebene ist dies noch nicht der Fall. Das Europäische Patent, das bisher existiert, ist ein sogenanntes Bündelpatent, d.h. man meldet es bei einer Behörde, z.B. dem Europäischen Patentamt (Art. 75 Abs. 1 lit. a EPÜ) an, danach zerfällt es aber in einzelne, nationale Patente und haben auch die Wirkung nationaler Patente (Art. 64 EPÜ).

Das sog. Einheitspatent (EPeW – Europäisches Patent mit einheitlicher Wirkung) ist schon seit längerem geplant.

Nun hat der Bundestag dem Vorhaben zugestimmt, leider zu so später Stunde, dass nur noch 35 von 630 Abgeordneten anwesend waren und deshalb umstritten ist, ob diese Zustimmung verfassungsrechtlich einwandfrei ist. Die Zustimmung ist daher zumindest angreifbar, was nicht hätte sein müssen, da das EPeW wohl auch bei der Anwesenheit einer größeren Anzahl Abgeordneter eine Mehrheit gefunden hätte.

Da das EPeW kein reines Patent der EU ist, sondern auch Nicht-EU-Staaten daran teilnehmen, wird auch Großbritannien trotz Brexit wohl zustimmen, wie die Regierung erklärt hatte.

Gut so. Ein einheitliches europäisches Patent ist für Unternehmen dringend nötig, um technische Innovationen einfach und kostengünstiger schützen zu lassen.

OLG München sieht keinen Verstoß bei Adblock Plus

Das OLG München hat heute im Berufungsverfahren in der mündlichen Verhandlung klargemacht, dass es keinen Rechtsverstoß von Eyeo, dem Anbieter von Adblock Plus, sieht. Das Berufungsverfahren hatten die Süddeutsche Zeitung, ein Werbevermarkter und ProSiebenSat1 angestrengt. 

Die Argumente sind deshalb interessant, weil die Richter durchaus eine Behinderung bejahten, aber darauf verwiesen, dass ein Verbot hier ultima ratio sei. Die Anbieter hätten andere Möglichkeiten, sich dagegen zu wehren, etwa durch die Einführung von Paywalls. Die Argumentation ist deshalb interessant, weil das Wettbewerbsrecht diese Verhältnismäßigkeitsprüfung so nicht kennt, allenfalls bei der Unlauterbarkeit könnte man hier argumentieren. 

Das Urteil darf mit Spannung erwartet werden und wird sicherlich bis zum BGH gehen.