Kein iPhone mehr im Job nach der DSGVO?

, ,

Die DSGVO (Datenschutzgrundverordnung) ist bekanntlich seit 25. Mai 2018 in Kraft. Die Datenschutzerklärungen von Unternehmenswebseiten wurden auf Vordermann gebracht, interne Regeln für den Umgang mit personenbezogenen Daten neu aufgesetzt und ausführliche Verzeichnisse angelegt (so hoffe ich doch …).  

Aber was ist mit den Daten auf dem Smartphone? Vereinzelt gab es Artikel, die vor der Nutzung von WhatsApp im Unternehmen gewarnt haben. Wie aber sieht es mit anderen Funktionen aus? Darf ich Kundendaten auf meinem Handy UND in der Cloud speichern? 

1. Die gesetzliche Lage 

Das Unwort des Jahres wird für viele Unternehmer wahrscheinlich der Begriff „Auftragsdatenverarbeitungsvertrag“ sein. Plötzlich wollte alle Welt Verträge über eine Auftragsdatenverarbeitung abschließen, nicht selten über zehn Seiten lang und mit einer Menge von Fragen, die man detailliert beantworten musste. 

Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag eines anderen (so in etwa die Definition auf Wikipedia). Aber nicht jeder Dienstleister ist Auftragsdatenverarbeiter, der Schwerpunkt der Tätigkeit muss hierauf gerichtet sein. Wenn also ein Autohaus personenbezogene Daten verarbeitet, ist es kein Auftragsdatenverarbeiter. Denn der Schwerpunkt der Tätigkeit liegt auf Autos verkaufen / reparieren und nicht auf der Verarbeitung von Daten. Anders bei einem Callcenter, Cloud-Anbieter oder Webhoster. Hier ist der primäre Geschäftszweck auf die Verarbeitung von Daten gerichtet. Wenn man als Unternehmen diese Dienste nutzen möchte, muss man mit den Anbietern einen entsprechenden Auftragsdatenverarbeitungsvertrag abschließen. 

2. Das Problem beim Smartphone

Und genau hier liegt das Problem bei vielen Smartphones. Diese nutzen Cloud-Dienste wie selbstverständlich. Adressbuch oder Kalender in der Cloud sind einfach praktische Tools, die die Arbeit erleichtern. Trage ich unterwegs einen Termin im Handy ein, werde ich später auf meinem Computer daran erinnert. Oder anders herum. Folglich lagern viele personenbezogene Daten in der Cloud, so dass nach Art. 28 Abs. 3 DSGVO ein Vertrag zur Auftragsdatenverarbeitung zwingend erforderlich ist. 

3. Die Lösung in der Praxis

Es gibt hier eigentlich nur zwei Möglichkeiten. Entweder man deaktiviert die Cloud (so die Empfehlung zur Nutzung von WhatsApp mit einer Reihe weiterer notwendiger Maßnahmen) oder man schließt einen Vertrag zur Auftragsdatenverarbeitung ab. Sofern dieser angeboten wird. Einen guten Überblick zu den verschiedenen Möglichkeiten findet sich in dieser Liste.

Was dabei auffällt: Apple fehlt in der Liste vollständig. Google bietet nur für seine speziellen Dienste Verträge an, aber nicht für die schlichte Cloud-Nutzung auf dem Smartphone (hier muss man zur kostenpflichtigen G Suite wechseln). Und WhatsApp fehlt ebenso. 

Da der Auftragsdatenverarbeiter regelmäßige Kontrollen seiner IT-Sicherheit ermöglichen muss, ist nachvollziehbar, wieso einige Konzerne diese Möglichkeit nicht anbieten. Darüber hinaus muss ein Auftragsdatenverarbeiter außerhalb der EU entweder SafeHarbor-zertifiziert sein oder die EU-Standard-Vertragsklauseln mit der verantwortlichen Stelle schließen. 

Vor diesem Hintergrund muss man allen Apple-Usern empfehlen, die Cloud im geschäftlichen Verkehr zu deaktivieren. Dasselbe gilt für die Nutzung WhatsApp. Android-User sollten im geschäftlichen Verkehr ebenfalls die Cloud abschalten oder eine datenschutzkonforme kostenpflichtige Alternative von Google nutzen.  

Urheberrecht für Streichkäse?

, , ,

Urteil Europäischer Gerichtshof in der Rechtssache C-310/17 (Levola Hengelo BV / Smilde Foods BV) vom 13. November 2018

Nein, Sie haben sich nicht verlesen. Es geht um Käse zum Essen, genauer genommen um einen Streichkäse. Im Jahre 2007 hat ein niederländischer Gemüse- und Frischproduktehändler den Streichkäse „Heksenkaas“ kreiert. Die Rechteinhaber sind der Überzeugung, dass ihre Mischung aus Crème fraîche und Kräutern ein geistiges Werk nach dem Urheberrecht darstellt. Dieses Urheberrecht werde nun durch den Streichkäse eine Konkurrenten, nämlich dem „Witte Wievenkaas“ von Smilde, verletzt. Oder umgangssprachlich ausgedrückt: Der eine Streichkäse schmeckt genau so wie der andere. Kannte man eigentlich vor dieser Entscheidung schon von anderen Streichkäsesorten (Anm.: persönliche Ansicht des Verfassers). Aber niemand kam bisher auf die Idee, den Käse als persönliche Schöpfung nach dem Urheberrecht anzusehen.

Der Europäische Gerichtshof entschied klar, dass der Streichkäse „Heksenkaas“ keine eigene geistige Schöpfung darstelle. Grundsätzlich sei hierfür ein Ausdruck dieser eigenen geistigen Schöpfung notwendig, an dem es vorliegend fehle. Ideen, Verfahren, Arbeitsweisen oder mathematische Konzepte als solche fallen nicht unter das Urheberrecht.

Der Geschmack eines Lebensmittels kann nach Meinung des Gerichts nicht präzise und objektiv identifiziert werden. Andere Werke wie z.B. der Literatur oder Musik stellten eine präzise und objektive Ausdrucksform dar, die eine Identifizierung ermöglichte. Der Geschmack eines Lebensmittels hingegen werde nach subjektiven Geschmacksempfindungen und -erfahrungen beurteilt. Diese hingen von den Eigenschaften und Gewohnheiten der testenden Person ab, wie beispielsweise Alter, Ernährungsvorlieben oder Konsumgewohnheiten. 
Schließlich könne die Wissenschaft nach derzeitigem Stand den Geschmack eines Lebensmittels objektiv nicht genau von dem Geschmack anderer Lebensmittel unterscheiden.

Stellungnahme:
Eine interessante Entscheidung, da sie auf das (Geschmacks-)Urteil des Konsumenten abstellt. Die Problematik ist klar, aber andererseits kommen subjektive Einschätzungen im Urheberrecht immer wieder vor. Wann ist ein Werk ein Werk? Hierzu gibt es eine Reihe von Kriterien: Gefordert wird eine persönlich-geistige Schöpfung mit wahrnehmbarer Formgestalt, die individuell ist. Es muss also eine gewisse Schöpfungshöhe gegeben sein. Der BGH sieht diese bei Werken erreicht, „die es nach Auffassung der für Kunst empfänglichen und mit Kunstanschauungen einigermaßen vertrauten Kreise [rechtfertigen], von einer künstlerischen Leistung zu sprechen.“ Aber nach welchen Kriterien beurteilt sich die Auffassung der vertrauten Kreise? Hier noch ein interessanter Artikel zur Problematik des Werkschutzes.

Darf Facebook einen Post löschen?

, , ,

Vor kurzem wurde ich in einem Seminar gefragt, wann Facebook einen Post löschen muss bzw. darf und welche Regeln hierfür gelten. Ich fing an, mit dem sog. virtuellen Hausrecht von Facebook sowie der Meinungsfreiheit nach dem Grundgesetz zu argumentieren. Sicher war ich mir hier allerdings nicht wirklich. Warum nicht? Weil Artikel 2 Grundgesetz eigentlich im Verhältnis des Bürgers zum Staat gilt. Wie sieht es aber bei Unternehmen der Privatwirtschaft wie Facebook aus? Kann sich der User hier auf die Meinungsfreiheit berufen oder kann Facebook einen Post einfach löschen? Die Antwort hat uns das Oberlandesgericht in seinem Beschluss nun gegeben. 

Beschluss des Oberlandesgericht München vom 27.08.2018 – Az.: 18 W 1294/18

Der Sachverhalt 

Auf der Facebook-Seite von „Spiegel-Online“ erschien ein Artikel zu Grenzkontrollen in Österreich. 

Es entspann sich unter den Usern eine Diskussion, in deren Verlauf eine Nutzerin folgenden Kommentar wiedergab:

„… Gar sehr verzwickt ist diese Welt,
mich wundert’s daß sie wem gefällt.
Wilhelm Busch (1832 – 1908)

Wusste bereits Wilhelm Busch 1832 zu sagen 😀 Ich kann mich argumentativ leider nicht mehr mit Ihnen messen, Sie sind unbewaffnet und das wäre nicht besonders fair von mir.“

Facebook löschte den Post, da es darin eine Verletzung seiner Nutzungsbedingungen sah. 

Die entsprechende Klausel 5 lautet wie folgt: 

Schutz der Rechte anderer Personen

Wir respektieren die Rechte anderer und erwarten von dir, dass du dies ebenfalls tust.

1.    Du wirst keine Inhalte auf Facebook posten oder Handlungen auf Facebook durchführen, welche die Rechte einer anderen Person verletzen oder auf sonstige Art gegen das Gesetz verstoßen.

2.    Wir können sämtliche Inhalte und Informationen, die du auf Facebook postest, entfernen, wenn wir der Ansicht sind, dass diese gegen die Erklärung oder unsere Richtlinien verstoßen. (…)“

Die Nutzerin, deren Post gelöscht wurde, ging dagegen gerichtlich vor. 

Die Entscheidung: Post darf nicht gelöscht werden 

Das Gericht bemängelte das einseitige Recht von Facebook, über die Rechtmäßigkeit der Inhalte zu bestimmen und einen Post einfach zu löschen. Dieses Recht widerspreche der gesetzlichen Pflicht der gegenseitigen Rücksichtnahme nach § 241 Abs. 2 BGB. Dabei spiele es insbesondere eine Rolle, dass Facebook ein „öffentlicher Marktplatz“ für Informationen und Meinungsaustausch darstelle. Somit sei die Klausel 5 unwirksam. Sie benachteilige den Verbraucher entgegen den Geboten von Treu und Glauben unangemessen (§ 307 Abs. 1 Satz 1 BGB).

Die Grundrechte und somit das Recht auf Meinungsfreiheit entfalte auch im Verhältnis der Nutzerin zu Facebook eine (mittelbare) Wirkung. Deshalb dürfe eine zulässige Meinungsäußerung nicht einfach von Facebook gelöscht werden. Der Beitrag der Nutzerin verletze im übrigen keine Rechte Dritter, so das Gericht. 

Die Bewertung 

Herrscht nun endlich Klarheit? Nicht wirklich. Denn hier handelt es sich um die Ansicht eines einzelnen Gerichts. Andere Entscheidungen (OLG Dresden, Beschluss vom 08.08.2018 – Az.: 4 W 577/18) haben die Meinungsfreiheit nicht so hoch gehängt. So müsse man immer noch das virtuelle Hausrecht der Plattformbetreiber berücksichtigen, das im Einzelfall stärker wiegen könne. 

Der Uploadfilter kommt 

, ,

Zugegeben, der heute beschlossene Entwurf zur Änderung des Urheberrechts erwähnt den Uploadfilter nicht ausdrücklich. Er verschärft aber die Haftung von Plattformen wie YouTube für rechtsverletzende Inhalte. Die vor Gericht erfolgreich praktizierte Argumentation von YouTube, man hafte nicht für den User-Content, wird in Zukunft aller Voraussicht nach nicht mehr funktionieren. Rechtsgrundlage hierfür ist (noch) § 10 Nr. 1 Telemediengesetz (TMG).

Haftung für fremde Inhalte

Gestritten wird vor allem darüber, ob es für die  Plattformen eine Haftung für sog. „fremde“ Inhalte gibt. Darunter versteht man den Content, den die User uploaden. Befürworter einer Haftung argumentieren, dass sich YouTube den Beitrag zu eigen macht, wenn es ihn mittels Werbung kommerzialisiert.
Bisher verfahren die großen Anbieter nach dem sogenannten Notice-and-Takedown-Prinzip. Sie genügen ihrer Pflicht nach § 10 TMG, wenn sie den rechtsverletzenden Content unverzüglich nach Aufforderung entfernen. Diese Privilegierung soll in Zukunft wegfallen, wobei der Entwurf Ausnahmen für kleine Anbieter vorsieht.  

Gegner sehen den Uploadfilter kritisch

Gegner des Entwurfs befürchten nun eine Zensur des Internets, wenn jeder Beitrag mittels Uploadfilter auf seine Rechtmäßigkeit hin überprüft wird. Sie sehen die Gefahr, dass der Uploadfilter zulässige Zitate einfach schluckt.

Leistungsschutzrecht für Presseverleger

Auch wurde das Leistungsschutzrecht für Presseverleger vom Europaparlament beschlossen. Die Motive der Verleger sind durchaus nachvollziehbar, wenn sie für die Nutzung ihrer Inhalte eine Vergütung möchten.  

Jedoch hat das Leistungsschutzrecht schon auf nationaler Ebene in Deutschland kaum Wirkung entfaltet. Die Staatsministerin für Digitalisierung Dorothee Bär lehnte es ab. Eine kritische Studie, die das Leistungsschutzrecht für wirkungslos hält, wird bisher von der EU-Kommission zurückgehalten. 

Wieso das Leistungsschutzrecht nun auf Europäischer Ebene plötzlich funktionieren soll, bleibt abzuwarten. Fakt ist, dass Google für die Nutzung von Inhalten deutscher Verlage bisher noch keinen Cent gezahlt hat. Zahlreiche juristische Auseinandersetzungen sind anhängig, wobei es da vor allem um formaljuristische Fragen der ordnungsgemäßen Verabschiedung des Gesetzes im Bundestag geht. 

Inhaltlich sind bei der entsprechenden Vorschrift des § 87f UrhG vor allem die Ausnahmeregelungen problematisch. Erlaubt ist danach die Wiedergabe einzelner Wörter oder kleinster Textausschnitte. Welchen Umfang diese haben dürfen, wird allerdings anhand des Einzelfalls entschieden. Für die Praxis gibt es somit kaum brauchbare Kriterien zur Abgrenzung. 

DSGVO

, ,

Datenschutzgrundverordnung (DSGVO)

Der Stichtag für die Datenschutzgrundverordnung (DSGVO) rückt mit dem 25. Mai 2018 immer näher. Anlass, etwas über die datenschutzrechtlich relevanten Elemente einer Webseite zu schreiben. Um den Nutzer über die von ihm verwendeten Daten umfassend zu informieren, sollte man sich über folgende Punkte Gedanken machen: 

  • Newsletter

    Unabhängig von der Tatsache, welche Newsletter-Programme man verwendet, benötigt der Webseitenbetreiber stets die E-Mail-Adresse des Empfängers. Dabei handelt es sich um personenbezogene Daten, die nach der Datenschutzgrundverordnung (DSGVO) relevant werden.
    Ein anderes Thema in diesem Zusammenhang ist die rechtssichere Einholung der Einwilligung zum Zusenden des Newsletters. Hier ist das sog. „Double-Opt-In-Verfahren“ zu empfehlen, bei dem der Empfänger zweimal in die Zusendung des Newsletters einwilligen muss.

  • Blog mit Kommentarfunktion

    Auch bei einem Blog mit Kommentarfunktion werden personenbezogene Daten (zB IP-Adresse) gespeichert, wenn der User einen Kommentar hinterlässt.

  • Social-Media-Plug-Ins

    Social-Media-Plug-Ins sind von einer bloßen Verlinkung zu unterscheiden, die datenschutzrechtlich nicht relevant ist. Es geht also um die Fälle, wo zB eine Facebook-Seite direkt in die Webseite eingebunden ist und Daten des Users speichert. Auch das ist nach der Datenschutzgrundverordnung (DSGVO) relevant.

  • Websiteanalysedienste

    Websiteanalysedienste wie z.B. Google Analytics oder Adobe Analytics speichern auch Nutzerdaten (zB IP-Adresse), sonst wären sie sinnlos. Hier sollte man die Möglichkeit der pseudonymisierten Speicherung nutzen.

  • Bestell- und Registrierungsvorgänge

    Bei Bestell- und Registrierungsvorgänge werden vor allem Cookies gesetzt sowie sog. Log-Files gespeichert. Daten, die zB in den Cookies gespeichert werden sind Spracheinstellungen, Log-In-Informationen, eingegebene Suchbegriffe, Häufigkeit von Seitenaufrufen, Inanspruchnahme von Website-Funktionen. Auch hier gibt es die Möglichkeit der pseudonymisierten Speicherung.

  • Anzeigen- und Marketing-Dienste

    Die Nutzung von Anzeigen- und Marketing-Diensten kann datenschutzrechtlich ebenfalls relevant werden.

  • Kontaktformular

    Das Kontaktformular einer Webseite ist so gesehen ein Datenfresser, werden hier oft die meisten personenbezogenen Daten erhoben. Das können sein: Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum usw. Hier greift auch die Datenschutzgrundverordnung (DSGVO).

  • Weitergabe der besonderen personenbezogene Daten an Dritte

    Werden besondere personenbezogene Daten an Dritte weitergegeben, muss der Nutzer darüber informiert werden. In Frage kommen Post- oder Bezahldienste sowie andere Dienstleister.

  • Auskunfterteilung nach der Datenschutzgrundverordnung (DSGVO)

Bei der Verwendung von sämtlichen personenbezogenen Daten muss nach der Datenschutzgrundverordnung (DSGVO) künftig Auskunft gegeben werden über: 

  • Art der Nutzung
    siehe oben: Blog, Newsletter, Tracking-Tools etc.
  • Umfang der Nutzung
    zB: „Folgende Daten werden im Rahmen des Registrierungsprozesses erhoben:“
  • Zweck der Nutzung
    zB: „Eine Registrierung des Nutzers ist für das Bereithalten bestimmter Inhalte und Leistungen auf unserer Website erforderlich“ oder
    „Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske dient uns allein zur Bearbeitung der Kontaktaufnahme.“
  • Dauer der Verarbeitung / Löschungszeitpunkt
    zB: „Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind“
  • Name und Anschrift des/der Verantwortlichen im Unternehmen / Betrieb
  • Widerspruchs- und Beseitigungsmöglichkeit
    zB „Als Nutzer haben sie jederzeit die Möglichkeit, die Registrierung aufzulösen. Die über Sie gespeicherten Daten können Sie jederzeit abändern lassen.“

    Bei allen Themen rund um den Datenschutz beraten wir Sie gerne!

Werberecht: Zu den Anforderungen an die Einwilligung für Werbung

, , ,

BGH, Urteil vom 01.02.2018 – Az.: III ZR 196/17 zur Einwilligung für Werbung.

Der BGH hatte hier über die Rechtmäßigkeit einer Klausel zu entscheiden. Darin willigte der Kunde in die Verwendung seiner Daten für Werbung ein.

Die Beklagte verwendete in ihren Formularen folgende Klausel:

„Ich möchte künftig über neue Angebote und Services der T. GmbH per E-Mail, Telefon, SMS oder MMS persönlich informiert und beraten werden. Ich bin damit einverstanden, dass meine Vertragsdaten aus meinen Verträgen mit der T. GmbH von dieser bis zum Ende des Kalenderjahres, das auf die Beendigung des jeweiligen Vertrages folgt, zur individuellen Kundenberatung verwendet werden. Meine Vertragsdaten sind die bei der T. GmbH zur Vertragserfüllung (Vertragsabschluss, -änderung, -beendigung, Abrechnung von Entgelten) erforderlichen und freiwillig abgegebenen Daten.“

Der BGH hatte an dieser Klausel nichts auszusetzen und hielt sie daher für rechtmäßig. Dies gelte selbst dann, wenn sich die Zustimmung wie hier auf verschiedene Werbekanäle (E-Mail, Telefon, SMS/MMS) beziehe. Auch die Formulierung „zur individuellen Kundenberatung“ sei bestimmt genug.

Der BGH weicht hier bewusst von seiner bisher strengen Rechtssprechung ab, wo er sogar die Angabe von konkreten Waren- und Dienstleistungsbereichen für die Wirksamkeit einer Klausel forderte.

Wie gesagt gelten die oben genannten Grundsätze nur für die „Opt-In“-Lösungen, der Kunde muss der Verwendung seiner Daten also ausdrücklich zustimmen, die Zustimmung ist auch nachvollziehbar zu protokollieren.

Fotorecht: Google und Getty Images einigen sich auf einen Lizenzvertrag. 

, ,

Seit Jahren haben sich die Bildagentur Getty Images und Google über die Bildvorschau von Google gestritten. Getty war der Ansicht, dass durch die große und hochauflösende Darstellung ihrer Fotos in der Google-Vorschau die Seitenbesucher keinen Anlass hätten, die Original-Bilder zu suchen.

Getty sprach hier gar von „Piraterie“. Darüber hinaus soll Google die Quelle der Fotos nicht ausreichend gekennzeichnet haben.

Dieser Streit scheint nun beigelegt. Details über den Lizenzvertrag wurden allerdings nicht bekannt. Die Beschwerde von Getty-Images bei der EU-Kommission wurde inzwischen zurückgezogen, Google weist bei der Bildvorschau nun auch genauer auf die Bildquelle hin.

Meldung bei Golem vom 12. Februar 2018

Meldung bei Heise Online vom 11. Februar 2018

Meldung bei urheberrecht.org vom 14. Februar 2018