beA: Signatur der exportierten Nachrichten (Update)

Ein technisches Detail zum beA-Postfach:

Exportiert man eine Nachricht in der Webanwendung, werden alle mit der Nachricht versandten Dateien in einen ZIP-Ordner gepackt und dieser zusammen mit einer P7s-Zertifikatsdatei zum Download bereitgestellt.

Wir machen es in unserer Kanzlei so, dass wir diesen ZIP-Ordner zusammen mit der Zertifikatsdatei in unserer Anwaltssoftware abspeichern, um damit einen rechtssicheren Nachweis zu haben, was über beA versandt wurde, auch deshalb, weil das beA selbst nicht als Dokumentenverwaltung zur dauerhaften Speicherung gedacht ist. Dies sieht auch die RAVPV vor, die der BRAK in § 27 eine Löschungsmöglichkeit einräumt.

Jetzt kam aber die Überraschung: Die Signierung der Nachrichten erfolgt wohl noch nicht richtig. Prüft man die P7s-Datei mit einer Signatursoftware, so erscheint eine Fehlermeldung, dass die Signatur ungültig sei:

Nach etwas Recherche hat sich die Sache aufgeklärt: Im beA-Newsletter 17/2017 vom 26. April 2017 steht etwas versteckt beim Thema „Container-Signatur“:

So wird zum Beispiel beim Export einer Nachricht aus dem beA ein ZIP-Container ausgegeben, der zusammen mit einer (einfachen) Signatur, also einer Container-Signatur, auf dem lokalen System gespeichert wird.

Mit anderen Worten: Es wird eine Signatur angebracht, aber keine qualifizierte Signatur, die im Rahmen des Prüfberichts der Signatursoftware als „gültig“ angezeigt wird. Es kann damit aber die Authentizität der ZIP-Datei festgestellt werden.

Ursprünglicher Artikel vom 16.08.2017 mit Update am 21.09.2017: Artikel aktualisiert, Informationen vom beA-Newsletter eingearbeitet

Ist eine Messe ein Geschäftsraum?

Und noch eine Entscheidung zum Widerrufsrecht.

Immer, wenn ich im Rahmen meiner Vorträge zum Widerrufsrecht erkläre, dass ein Widerrufsrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen (§ 312g BGB, § 312b BGB) besteht, kommt die Frage:

Sind Messestände Geschäftsräume oder nicht?

Meine Antwort:

Das ist noch nicht entschieden. Vom Sinn und Zweck her möchte man bei außerhalb von Geschäftsräumen geschlossenen Verträgen den Verbraucher schützen vor übereiligen Kaufentscheidungen. Wenn er in ein Geschäft geht, weiß er, dass er sich gedanklich mit Kaufentscheidungen beschäftigen muss; außerhalb eines Geschäftes ist er darauf nicht vorbereitet. Wie ist es auf Messen? Ist der Verbraucher psychologisch darauf eingestellt, hier Kaufentscheidungen treffen zu müssen?

„Ist eine Messe ein Geschäftsraum?“ weiterlesen

Widerrufsrecht bei Matratzen: BGH will EuGH vorlegen

Besteht bei Matratzen ein Widerrufsrecht? Der BGH ist sich nicht sicher und hat angekündigt, diese Frage nun dem EuGH vorzulegen (Az. VIII ZR 194/16).

Der Händler der in einem Online-Shop gekauften Matratzen argumentiert, dass die Matratzen aus Gründen der Hygiene nicht zur Rückgabe geeignet waren und deswegen versiegelt wurden. Der Käufer hatte diese Versiegelung entfernt.

Der Händler beruft sich auf die Ausnahme vom Widerrufsrecht, die § 312g Abs. 2 S. 1 Nr. 3 BGB vorsieht:

(2) Das Widerrufsrecht besteht, soweit die Parteien nichts anderes vereinbart haben, nicht bei folgenden Verträgen:
(…)
3.Verträge zur Lieferung versiegelter Waren, die aus Gründen des Gesundheitsschutzes oder der Hygiene nicht zur Rückgabe geeignet sind, wenn ihre Versiegelung nach der Lieferung entfernt wurde,
(…)

Mit der Ausnahme soll verhindert werden, dass etwa Lippenstifte oder Medikamente zurückgegeben werden können. Bei Letzteren wird nicht mit der Hygiene, sondern dem Gesundheitsschutz argumentiert.

Aber gilt dies auch für Matratzen? Der Wortlaut spricht eindeutig davon, dass die Ware aus Gründen des Gesundheitsschutzes oder der Hygiene nicht zur Rückgabe geeignet sei.

Das vorbefasste LG Mainz hat die Ausnahme nicht als einschlägig eingesehen. Denn eine Matratze könne vom Händler schließlich gereinigt und dann neu verkauft werden. Ein Hygieneproblem gebe es dann nicht mehr.

Dies zeigt wieder einmal, dass das am 13.06.2014 in das BGB neu gefasste und auf die europäische Verbraucherrechterichtlinie (RL 2011/83/EU vom 25.10.2011) zurückgehende Widerrufsrecht aufgrund dieser Neuheit noch viele ungeklärte Rechtsfragen enthält. Diese werden erst nach und nach durch die höheren Gerichte geklärt werden.

Bis dahin besteht noch viel Rechtsunsicherheit.

Eine Entscheidung des BGH wird am 8. November erwartet.

Update am 29.08.2017: Aktenzeichen und Verkündungstermin eingefügt.

Verpflichtung auf das Datengeheimnis unter der DSGVO

Die Datenschutzgrundverordnung (DSGVO), die am 25.05.2018 weitestgehend das bisherige Bundesdatenschutzgesetz ablösen wird, kennt keine Vorschrift, die die den Verantwortlichen (unter dem BDSG: „verantwortliche Stelle„) ausdrücklich verpflichtet, seine Mitarbeiter auf das Datengeheimnis zu verpflichten, wie dies aktuell § 5 BDSG vorsieht.

Dennoch rate ich dazu, auch unter Geltung der Datenschutzgrundverordnung eine solche Verpflichtung vorzunehmen.

Der Grund liegt in Art. 24 DSGVO:

Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen

(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

Der Verantwortliche muss also organisatorische Maßnahmen umsetzen, damit die Datenverarbeitung gemäß der Datenschutzgrundverordnung erfolgt.

Dazu gehört meines Erachtens auch eine entsprechende Belehrung, die früher über § 5 BDSG erfolgte.

Empfehlung: Verpflichten Sie auch Ihre Mitarbeiter unter der DSGVO auf das Datengeheimnis. Verwenden Sie jetzt schon Verpflichtungserklärungen, welche sowohl die Vorschriften des BDSG also auch der DSGVO zitieren. Ab dem 25.05.2018 fallen die alten Vorschriften des BDSG dann weg.

Und achten Sie darauf, dass die Strafvorschriften in Zukunft in § 42 BDSG n.F. und die Bußgeldvorschriften in § 43 BDSG n.F. geregelt sind, nicht mehr wie bisher in § 44 (Strafvorschriften) und § 43 (Bußgeldvorschriften).

AdBlock Plus: Nach OLG München zulässig

Das Oberlandesgericht München hat am 17. August 2017 entschieden, dass Eyeo seinen AdBlocker weiter vertreiben darf.

Es läge keine aggressive geschäftliche Handlung im Sinne des § 4a UWG vor, da keine keine Drohung mit einer rechtlich unzulässigen Handlung vorliege. Den Nutzern sei es schließlich nicht verboten, Werbung zu blockieren.

Auch eine gezielte Behinderung im Sinne des § 4 Nr. 4 UWG läge nicht vor.

Für einen Marktmissbrauch fehle es an der notwendigen Marktmacht.

Bestätigt hat hingegen der OLG, dass ein konkretes Wettbewerbsverhältnis der klagenden Medienunternehmen Süddeutsche Zeitung, des Werbevermarkters IP-Deutschland uvon ProSiebenSat1 vorliegt.

Vorausgegangen waren Entscheidungen des LG München I, welche die Klage abgewiesen haben (Urt. v. 27.05.2015 – Az.: 37 O 11673/14 – ProSiebenSat1; Urt. v. 22.03.2016 – Az.: 33 O 5017/15 – Süddeutsche.de).

Die nächste Station dürfte der BGH sein.

Neue Regeln für Berufsgeheimnisträger

Im Bundestag befindet sich aktuell ein Gesetzentwurf, der es Berufsgeheimnisträgern wie Rechtsanwälten oder Ärzten ermöglichen soll, IT-Dienstleister einzuschalten, ohne dass deren Einschaltung den Straftatbestand des § 203 StGB erfüllt.

Geplant ist eine Änderung des § 203 StGB und der BRAO. Die IT-Dienstleister sollen einerseits in den Straftatbestand des § 203 StGB einbezogen werden und andererseits soll kein Offenbaren vorliegen, wenn Geheimnissen IT-Dienstleistern zugänglich gemacht werden. Notwendig wird eine Verpflichtung der Dienstleister zur Verschwiegenheit sein.

Ausländische Dienstleister dürfen nur dann in Anspruch genommen werden, wenn der Schutz von Geheimnissen demjenigen im Inland „vergleichbar“ ist (§ 43e Abs. 4 BRAO-E).

Der Entwurf ist dringend notwendig, da die meisten Berufsgeheimnisträger kaum ohne externe IT-Dienstleister auskommen dürften und sich diese derzeit nicht nur in einem rechtlichen Grau- sondern bereits schwarzen Bereich befinden dürften.

Den Gesetzentwurf finden Sie hier.

BGH: Dynamische IP-Adressen sind personenbezogene Daten

Der Bundesgerichtshof hat nun entschieden, dass dynamische IP-Adressen personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/1, noch nicht im Volltext verfügbar, zur Pressemitteilung). Bei dynamischen IP-Adressen handelt es sich um IP-Adressen, die vom Provider bei jeder Einwahl ins Netz neu vergeben werden. Das Gegenstück dazu ist eine feste IP-Adresse, die immer identisch ist.

Dass diese Frage überhaupt strittig war, liegt daran, dass bei dynamischen IP-Adressen nur der Provider bestimmen kann, zu welchem Zeitpunkt welchem Kunden welche IP-Adresse zugewiesen war. Der Personenbezug ist daher nur mit Hilfe eines Dritten herstellbar.

Der BGH hatte diese Frage zuvor dem EuGH vorgelegt, da dieser die Auslegung der EG-Datenschutzrichtlinie vorzunehmen hat. Der EuGH hat mit Urteil vom 19. Oktober 2016 – C-582/14 – entschieden, dass dynamische IP-Adressen personenbezogene Daten sind.

Hintergrund des Streits ist eine Klage des Piraten-Politikers Patrick Breyer. Er störte sich daran, dass die Webseiten der Bundesregierung die IP-Adressen der Nutzer protokollieren.

Der BGH hat die Sache nun an das LG Berlin zurückverwiesen. Hintergrund ist, dass eine Speicherung der IP-Adressen nach § 15 Abs. 1 TMG dann erfolgen darf, wenn die Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Damit hatte die Bundesregierung argumentiert. Das LG Berlin muss nun hier erneut Beweis erheben und eine Interessenabwägung vornehmen.