Skip to content

VG Hamburg: Facebook darf personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen

VG Hamburg
Beschluss vom 24.04.2017
13 E 5912/16

Das VG Hamburg hat entschieden, dass Facebook personenbezogene Daten von WhatsApp-Nutzern nur bei Vorliegen einer ausreichenden Einwilligungserklärung nach deutschem Recht nutzen darf.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des VG Hamburg:

Verwaltungsgericht Hamburg entscheidet: Facebook darf vorerst personenbezogene Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung verwenden

Ende August 2016 hat WhatsApp Inc., die 2014 von der Facebook Unternehmensgruppe übernommen worden ist, eine Aktualisierung seiner Nutzungsbedingungen und Datenschutzrichtlinien bekannt gegeben, durch die eine - bis dahin nach den Nutzungsbedingungen nicht zugelassene - Weitergabe von personenbezogenen Daten an die Facebook Unternehmensgruppe vorgesehen ist. Mit sofort vollziehbarem Bescheid vom 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (Datenschutzbeauftragte) der Facebook Ireland Ltd. (Facebook) - dem internationalen Hauptsitz der Facebook Unternehmensgruppe -, die personenbezogenen Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern, soweit und solange ein den deutschen Datenschutzvorschriften entsprechende Einwilligung nicht vorliege (Ziffer 1). Zugleich ordnete der Datenschutzbeauftragte die Löschung von personenbezogenen Daten an, die ohne die notwendige Einwilligung erhoben worden sind, sowie die Dokumentation der Löschung (Ziffer 2 und 3). Gegen diese Verfügung legte Facebook Widerspruch ein und beantragte einstweiligen Rechtsschutz beim Verwaltungsgericht Hamburg.
AZ: 13 E 5912/16
Das Verwaltungsgericht hat entschieden, dass der Bescheid des Datenschutzbeauftragten der Freien und Hansestadt Hamburg, soweit er die angeordnete Löschung und deren Dokumentation betrifft, aufgrund eines formellen Fehlers nicht sofort vollziehbar sei; insoweit muss der Bescheid nicht befolgt werden.
Hingegen dürfe Facebook personenbezogene Daten von deutschen WhatsApp-Nutzern ohne eine Einwilligung, die den Anforderungen an die deutschen Datenschutzvorschriften entspreche, auch während des laufenden Verfahrens nicht nutzen. Zwar sei offen, ob Facebook mit seinem Widerspruch Erfolg haben werde. Derzeit sei noch nicht hinreichend geklärt, ob deutsches Datenschutzrecht zur Anwendung komme und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen könne. Sofern das deutsche Datenschutzrecht zur Anwendung komme, wäre die Anordnung des Datenschutzbeauftragten jedoch voraussichtlich rechtmäßig. Denn die von WhatsApp benutzten Zustimmungserklärungen würden den Anforderungen des deutschen Datenschutzrechts nicht genügen.

Im Rahmen der daher vorzunehmenden Interessenabwägung überwiege das Interesse der deutschen WhatsApp-Nutzer. Denn der Schutz der personenbezogenen Daten stelle ein grundrechtlich geschütztes Rechtsgut von hohem Wert dar, in das durch die geplante Weitergabe qualitativ und quantitativ erheblich eingegriffen werde.

Gegen die Entscheidung des Verwaltungsgerichts kann Beschwerde an das Hamburgische Oberverwaltungsgericht eingelegt werden.


LG Düsseldorf: Unbefugte Weitergabe von Kontodaten verletzt allgemeines Persönlichkeitsrecht und verstößt gegen § 28 BDSG

LG Düsseldorf
Urteil vom 20.02.2017
5 O 400/16


Das LG Düsseldorf hat entschieden, dass die unbefugte Weitergabe von Kontodaten das allgemeine Persönlichkeitsrecht verletzt. Zudem stellt dies zugleich einen Verstoß gegen § 28 BDSG dar. Es bestehen daher Unterlassungsansprüche gemäß §§ 1004, 823 Abs. 1 BGB und §§ 1004, 823 Abs. 2 i.V.m. § 28 BDSG

Aus den Entscheidungsgründen:

"I. Die Verfügungsklägerin hat das Bestehen eines Verfügungsanspruchs aus §§ 1004, 823 Abs. 1 BGB bzw. §§ 1004, 823 Abs. 2 i.V.m. § 28 BDSG bzgl. der Weitergabe ihrer Kontodaten an Dritte glaubhaft gemacht.

Durch die Weitergabe der Kontodaten der Verfügungsklägerin liegt ein Eingriff in deren Allgemeines Persönlichkeitsrecht vor, welches als sonstiges Recht durch§ 823 Abs. 1 BGB geschützt wird. Der Verfügungsbeklagte hat nicht dargelegt, dass dieser Eingriff durch ein berechtigtes Interesse an der Weitergabe der Kontodaten gerechtfertigt ist. Soweit er im Rahmen der persönlichen Anhörung angab, es sei ihm darum gegangen sein Geld zurückzuerhalten, gibt es dafür den Rechtsweg. Es ist nicht ersichtlich, warum er die sensiblen Kontodaten der Verfügungsklägerin an deren Geschäftspartner oder sonstige Dritte weiterleiten muss, um das gewährte Darlehen zurückzuerhalten. Der Verfügungsbeklagte kann gerichtliche Hilfe in Anspruch nehmen, wenn er der Auffassung ist, die Verfügungsklägerin käme ihren Rückzahlungsverpflichtungen nicht nach.

Unter Anwendung des Bundesdatenschutzgesetztes ergibt sich nichts anderes. Gemäß § 28 Abs. 1 und 2 BDSG ist die Übermittlung personenbezogener Daten ebenfalls nur zulässig, wenn ein berechtigtes Interesse vorliegt. Gemäß § 27 Abs. 1 S. 1 Nr. 1 BDSG ist die Vorschrift auf nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 S. 1 BDSG anwendbar, es sei denn die Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Als persönliche Tätigkeit ist zwar die Verwaltung des eigenen Vermögens anzusehen. Diesen privilegierten Bereich hat der Verfügungsbeklagte jedoch durch die Weitergabe der Kontodaten an Dritte verlassen.

Die Ansprüche aus dem BDSG und der Anspruch auf Unterlassung nach §§ 1004, 823 BGB stehen nebeneinander (Palandt/ Sprau, BGB, 76. Auflage 2017, § 823 BGB, Rn. 85).

Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr ergibt sich aus dem Versenden der Nachricht durch den Verfügungsbeklagten an Herrn T am 2.7.2016.


OLG Stuttgart: Panama Papers - Rechtswidrige Erlangung von Dateien steht der Veröffentlichung bei öffentlichem Informationsinteresse nicht entgegen

OLG Stuttgart
Urteil vom 08.02.2017
4 U 166/161


Das OLG Stuttgart hat in Zusammenhang mit den Panama Papers entschieden, dass die rechtswidrige Erlangung von Dateien der Veröffentlichung bei überwiegendem öffentlichen Informationsinteresse nicht entgegensteht.

Die Pressemitteilung des OLG Stuttgart:

Oberlandesgericht Stuttgart entscheidet über die Zulässigkeit eines Presseberichts zu den „Panama Papers“

Der 4. Zivilsenat des Oberlandesgerichts Stuttgart unter dem Vorsitz von Matthias Haag hat mit einem am 8. Februar 2017 im Tenor verkündeten und nachfolgend abgefassten Berufungsurteil über den Erlass einer einstweiligen Verfügung gegen Äußerungen in dem Beitrag „Das Phantom“ entschieden, der am 5. April 2016 in der Süddeutschen Zeitung und unter www.sueddeutsche.de erschienen ist. Kläger ist ein ehemaliger Privatdetektiv und „Geheimagent“, über den in dem Artikel berichtet wird. Die Beklagten sind der Zeitungsverlag sowie die drei Verfasser des Artikels. Anlass der Berichterstattung waren die „Panama Papers“. Hierbei handelt es sich um Dateien zu Briefkastenfirmen, die eine panamaische Rechtsanwaltskanzlei für eine Vielzahl prominenter Kunden geführt haben soll. Ein anonymer Informant soll die Dateien an einen der Beklagten übermittelt haben.

In dem angegriffenen Urteil vom 11. August 2016 hatte das Landgericht Stuttgart einige der Äußerungen untersagt und den Antrag im Übrigen zurückgewiesen. Das Oberlandesgericht hat diese Entscheidung teilweise bestätigt und teilweise abgeändert.

Insbesondere hat sich der Senat – in Anwendung der Maßstäbe aus der höchstrichterlichen Rechtsprechung – mit der Frage auseinandergesetzt, ob die möglicherweise rechtswidrige Erlangung der Dateien der Veröffentlichung insgesamt entgegensteht. In tatsächlicher Hinsicht hat der Senat hierfür die zwischen den Parteien unstreitige Darstellung in dem Buch „Panama Papers – Die Geschichte einer weltweiten Enthüllung“ zugrunde gelegt. Danach sei davon auszugehen, dass die Beklagten nicht lediglich ihnen zugespielte Informationen veröffentlicht haben. Vielmehr habe sich zumindest einer der Beklagten an einem etwaigen Rechtsbruch des Informanten beteiligt, indem er sich auf dessen Angebot eingelassen habe, nicht nur bereits vorhandene, sondern auch neu entstehende Informationen zu übermitteln, sofern diese veröffentlicht werden. Die Frage, ob der Informant rechtswidrig an die Informationen gelangt ist, lässt der Senat offen.

Auf die möglicherweise rechtswidrige Beschaffung kann sich der Kläger jedoch nicht berufen, weil diese keine Straftat zu seinem Nachteil darstellt und ihn im Ergebnis auch nicht in eigenen Rechten verletzt. Insbesondere klagt vorliegend nicht die Kanzlei, bei der das „Leak“ bestand. Der Kläger dieses Verfahrens kann durch die Informationsweitergabe allenfalls in seinem allgemeinen Persönlichkeitsrecht verletzt sein. Dieses hat in der erforderlichen Abwägung mit dem Recht der Beklagten auf Meinungsfreiheit zurückzutreten. Ein überragendes öffentliches Informationsinteresse ergibt sich insbesondere aus der fehlenden Transparenz über den hinter der Briefkastenfirma stehenden wirtschaftlichen Eigentümer, der für die Behörden seines Heimatstaats nicht identifizierbar und mithin auch nicht kontrollierbar ist, und aus dem daraus folgenden Missbrauchspotenzial, etwa für Steuerhinterziehung und Geldwäsche. Bedient sich eine sehr prominente Person wie der Kläger dieses Geschäftsmodells, das in den Augen jedenfalls eines erheblichen Teils der Allgemeinheit per se einen Missstand darstellt, rechtfertigt dies eine identifizierende Berichterstattung.


Hinsichtlich der angegriffenen Äußerungen hat der Senat aufgrund einer Abwägung zwischen dem allgemeinen Persönlichkeitsrecht des Klägers (Art. 1 Abs. 1 und Art. 2 Abs. 1 GG, Art. 8 Abs. 1 EMRK) mit dem Recht der Beklagten auf freie Meinungsäußerung (Art. 5 Abs. 1 GG, Art. 10 EMRK) wie folgt entschieden:


Die detaillierte Beschreibung des vom Kläger bewohnten Anwesens unter gleichzeitiger Nennung des Ortes, in dem dieses liegt, und die Veröffentlichung des diesbezüglichen Grundbuchauszugs verletzen in rechtswidriger Weise das allgemeine Persönlichkeitsrecht des Klägers. Denn der Leser kann auch ohne Angabe des Wohnortes darüber informiert werden, dass sich der Kläger insoweit einer seiner Briefkastenfirmen bedient, die als Eigentümerin im Grundbuch eingetragen ist. Auch für die öffentliche Meinungsbildung zur Frage, welchen Lebenszuschnitt sich der Kläger aufgrund seiner jahrzehntelangen Tätigkeit als „Geheimagent“ leisten kann und ob dieser in angemessenem Verhältnis zu seinen Leistungen steht, genügt die Beschreibung des Anwesens ohne Angabe des Wohnorts.
Die Ablichtung eines Reisepasses des Klägers, der auf eine seiner Tarnidentitäten ausgestellt ist, verletzt ihn hingegen weder in seinem Recht am eigenen Bild noch in seinem Recht auf informationelle Selbstbestimmung. Der Senat ist dem Argument einer Gefährdung des Klägers bereits deswegen nicht gefolgt, weil dieser ohne Weiteres durch Bilder aus allgemein zugänglichen Quellen identifizierbar ist, was eine zusätzliche Gefährdung gerade durch die Veröffentlichung des Passbildes ausschließt. Auch die Tarnidentität selbst ist schon vor der Publikation des streitgegenständlichen Beitrags öffentlich enttarnt worden und über eine Internetrecherche, beispielsweise im Wikipedia-Artikel über den Kläger, zu finden.
Die Äußerung, über den Kläger gebe es das Gerücht, er solle Polizisten bestochen haben, verletzt den Kläger rechtswidrig in seinem allgemeinen Persönlichkeitsrecht. Es handelt sich um eine ehrenrührige Tatsachenbehauptung, deren Wahrheit von den Beklagten glaubhaft zu machen wäre, was ihnen jedoch nicht gelungen ist. Nach den Grundsätzen der Verdachtsberichterstattung, die auch auf die Wiedergabe eines Gerüchts anwendbar sind, ist die Äußerung unzulässig. Ein von den Beklagten angeführtes Strafverfahren in Belgien, in dem der Kläger rechtskräftig freigesprochen worden ist, sowie die Bezugnahme auf nahezu 20 Jahre alte und überwiegend noch ältere Presseberichte genügt den Anforderungen an eine sorgfältige Recherche über den Wahrheitsgehalt des Verdachts nicht.
Einige weitere angegriffene Äußerungen, die hier nicht im Einzelnen wiedergegeben werden, hielt der Senat für zulässig.
Ein weiteres Rechtsmittel gegen das Urteil des Oberlandesgerichts ist nicht gegeben (vgl. § 542 Abs. 2 Satz 1 ZPO).

Bereits am 30. November 2016 hatte ebenfalls der 4. Zivilsenat in einem Verfahren des einstweiligen Rechtsschutzes des Klägers gegen den Verlag und die beiden Autoren des Buches „Panama Papers – Die Geschichte einer weltweiten Enthüllung“ entschieden.

Aktenzeichen
4 U 166/16 - Oberlandesgericht Stuttgart
11 O 102/16 - Landgericht Stuttgart

Neuer Beitrag in der Internet World Business von RA Marcus Beckmann - Cayla weiß zu viel - Vernetzte Puppe als unerlaubtes Spionagewerkzeug

In Ausgabe 5/17, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Cayla weiß zu viel - Vernetzte Puppe als unerlaubtes Spionagewerkzeug".

Siehe auch zum Thema "Bundesnetzagentur: Sendefähige Kinderpuppe Cayla mit Mikrofon und Bluetooth ist eine nach § 90 TKG verbotene Spionageanlage


EuGH: Kein Recht auf Vergessenwerden für im Handelsregister bzw Gesellschaftsregister enthaltene personenbezogene Daten

EuGH
Urteil vom 09.03.2017
C‑398/15
Camera di Commercio,Industria, Artigianato e Agricoltura di Lecce gegen Salvatore Manni


Der EuGH hat entschieden, dass kein Recht auf Vergessenwerden für im Handelsregister bzw Gesellschaftsregister enthaltene personenbezogene Daten besteht.

Nur in ganz engen Ausnahmefällen bei konkreter Beeinträchtigung der Rechte der betroffenen Person kann der Zugriff nach Ablauf einer hinreichend langen Frist nach Auflösung der Gesellschaft auf Dritte mit besonderem Interesse an einer Einsichtnahme beschränkt werden.

Tenor der Entscheidung:

Art. 6 Abs. 1 Buchst. e, Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Verbindung mit Art. 3 der Ersten Richtlinie 68/151/EWG des Rates vom 9. März 1968 zur Koordinierung der Schutzbestimmungen, die in den Mitgliedstaaten den Gesellschaften im Sinne des Artikels 58 Absatz 2 des Vertrages im Interesse der Gesellschafter sowie Dritter vorgeschrieben sind, um diese Bestimmungen gleichwertig zu gestalten, in der durch die Richtlinie 2003/58/EG des Europäischen Parlaments und des Rates vom 15. Juli 2003 geänderten Fassung sind dahin auszulegen, dass es beim derzeitigen Stand des Unionsrechts Sache der Mitgliedstaaten ist, zu entscheiden, ob die in Art. 2 Abs. 1 Buchst. d und j der Richtlinie 68/151 angeführten natürlichen Personen die mit der Führung des zentralen Registers oder des Handels- oder Gesellschaftsregisters betraute Stelle ersuchen können, auf der Grundlage einer Einzelfallbeurteilung zu prüfen, ob es ausnahmsweise gerechtfertigt ist, aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen nach Ablauf einer hinreichend langen Frist nach Auflösung der betreffenden Gesellschaft den Zugang zu den in diesem Register eingetragenen sie betreffenden personenbezogenen Daten auf Dritte zu beschränken, die ein besonderes Interesse an der Einsichtnahme in diese Daten nachweisen.

Die Pressemitteilung des EuGH:

"Nach Ansicht des Gerichtshofs gibt es kein Recht auf Vergessenwerden für die im Gesellschaftsregister eingetragenen personenbezogenen Daten

Die Mitgliedstaaten können jedoch nach Ablauf einer hinreichend langen Frist nach der Auflösung
der betreffenden Gesellschaft in Ausnahmefällen einen beschränkten Zugang Dritter zu diesen
Daten vorsehen Herr Salvatore Manni, Geschäftsführer einer Gesellschaft, die einen öffentlichen Auftrag für die Errichtung einer Ferienanlage in Italien erhielt, ging 2007 gerichtlich gegen die Handelskammer Lecce vor. Er war der Auffassung, dass sich die Immobilien der Anlage deshalb nicht veräußern ließen, weil sich aus dem Gesellschaftsregister ergebe, dass er Geschäftsführer eine anderen Gesellschaft gewesen sei, die 1992 insolvent geworden und 2005 liquidiert worden sei.
Das Tribunale di Lecce (erstinstanzliches Gericht Lecce, Italien) gab der Handelskammer Lecce
auf, die personenbezogenen Daten zu anonymisieren, die Herrn Manni mit der Insolvenz der
früheren Gesellschaft in Verbindung bringen, und verurteilte die Handelskammer zum Ersatz des
Herrn Manni daraus entstandenen Schadens. Die von der Handelskammer Lecce angerufene
Corte suprema di cassazione (Kassationsgerichtshof, Italien) hat dem Gerichtshof mehrere Fragen
zur Vorabentscheidung vorgelegt. Sie möchte wissen, ob es die Richtlinie zum Schutz der Daten
natürlicher Personen und die Richtlinie über die Offenlegung von Gesellschaftsurkunden verbieten, dass jede Person ohne zeitliche Beschränkung Zugang zu natürliche Personen betreffenden Daten im Gesellschaftsregister haben kann.

Im heutigen Urteil weist der Gerichtshof zunächst darauf hin, dass die Offenlegung von
Gesellschaftsregistern die Rechtssicherheit in den Beziehungen zwischen den Gesellschaften und
Dritten sicherstellen soll und u. a. dazu dient, die Interessen Dritter gegenüber
Aktiengesellschaften und Gesellschaften mit beschränkter Haftung zu schützen, da diese zum
Schutz Dritter lediglich ihr Gesellschaftsvermögen zur Verfügung stellen. Außerdem können sich
auch noch mehrere Jahre nach Auflösung einer Gesellschaft Fragen ergeben, die einen Rückgriff
auf im Gesellschaftsregister eingetragene personenbezogene Daten erfordern. In Anbetracht der
Vielzahl der Rechte und Rechtsbeziehungen, die eine Gesellschaft (auch nach ihrer Auflösung) mit
Akteuren in mehreren Mitgliedstaaten verbinden können, und der Unterschiede in den
Verjährungsfristen der verschiedenen nationalen Rechte erscheint es nämlich nicht möglich, eine
einheitliche Frist festzulegen, nach deren Ablauf die Eintragung der Daten im Register und ihre
Offenlegung nicht mehr notwendig wären.

Unter diesen Umständen können die Mitgliedstaaten natürlichen Personen, deren Daten im
Gesellschaftsregister eingetragen sind, nicht das Recht garantieren, nach einer bestimmten Frist
nach Auflösung der Gesellschaft die Löschung der sie betreffenden personenbezogenen Daten
verlangen zu können.

Nach Ansicht des Gerichtshofs ist dieser Eingriff in die Grundrechte der betroffenen Personen
(insbesondere in ihre durch die Charta der Grundrechte der Europäischen Union garantierten
Rechte auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten) nicht
unverhältnismäßig, da erstens nur eine begrenzte Zahl an personenbezogenen Daten im
Gesellschaftsregister eingetragen wird und es zweitens gerechtfertigt ist, dass die natürlichen
Personen, die sich dafür entscheiden, über eine Aktiengesellschaft oder eine Gesellschaft mit
beschränkter Haftung am Wirtschaftsleben teilzunehmen, und die zum Schutz Dritter lediglich das
Vermögen dieser Gesellschaft zur Verfügung stellen, verpflichtet sind, die Daten zu ihren
Personalien und Aufgaben innerhalb der Gesellschaft offenzulegen.

Der Gerichtshof schließt es jedoch nicht aus, dass in besonderen Situationen überwiegende,
schutzwürdige, sich aus dem konkreten Fall der Person ergebende Gründe ausnahmsweise
rechtfertigen können, den Zugang zu den sie betreffenden personenbezogenen Daten nach Ablauf
einer hinreichend langen Frist nach der Auflösung der Gesellschaft auf Dritte zu beschränken, die
ein besonderes Interesse an der Einsichtnahme in die Daten nachweisen. Eine solche
Zugangsbeschränkung zu personenbezogenen Daten muss das Ergebnis einer Einzelfallprüfung
sein. Es ist Sache jedes Mitgliedstaats, zu entscheiden, ob er eine solche Zugangsbeschränkung
in seiner Rechtsordnung wünscht.

Im vorliegenden Fall vertritt der Gerichtshof die Auffassung, dass der Umstand allein, dass sich die
Immobilien der Ferienanlage nicht veräußern lassen, weil die potenziellen Käufer Zugang zu den
im Gesellschaftsregister eingetragenen Daten über Herrn Manni haben, u. a. wegen des
berechtigten Interesses dieser Käufer an diesen Informationen nicht für eine Rechtfertigung der
Zugangsbeschränkung zu diesen Daten ausreichen kann."


Den Volltext der Entscheidung finden Sie hier:

Bundesnetzagentur: Sendefähige Kinderpuppe Cayla mit Mikrofon und Bluetooth ist eine nach § 90 TKG verbotene Spionageanlage

Die Bundesneatzagentur ist der Ansicht, dass die sendefähige Kinderpuppe Cayla mit Mikrofon und Bluetooth eine nach § 90 TKG verbotene Spionageanlage. Die Rechtslage ist aber keineswegs so eindeutig, wie es die Bundesnetzagentur darstellt. Richtiger Ansatzpunkt ist weniger § 90 TKG, sondern das Datenschutzrecht.

Die Pressemitteilung der Bundesnetzagentur

Bundesnetzagentur zieht Kinderpuppe „Cayla“ aus dem Verkehr

Homann: "Privatsphäre ist gerade bei Kindern zu schützen"

Die Bundesnetzagentur geht gegen unerlaubte funkfähige Sendeanlagen in Kinderspielzeug vor und hat bereits erste Exemplare vom Markt genommen.

"Gegenstände, die sendefähige Kameras oder Mikrophone verstecken und so Daten unbemerkt weiterleiten können, gefährden die Privatsphäre der Menschen. Das gilt auch und gerade für Kinderspielzeug. Die Puppe Cayla ist verboten in Deutschland", so Jochen Homann, Präsident der Bundessnetzagentur. "Es geht hier zugleich um den Schutz der Schwächsten in der Gesellschaft".

Versteckte Spionagegeräte
Spielzeug, das funkfähig und zur heimlichen Bild- oder Tonaufnahme geeignet ist in Deutschland verboten. Erste Spielzeuge dieser Art sind auf Betreiben der Bundesnetzagentur bereits im Zusammenwirken mit Händlern vom deutschen Markt genommen.

Gerade von Spielzeug als Spionagegerät gehen Gefahren aus: Ohne Kenntnis der Eltern können die Gespräche des Kindes und anderer Personen aufgenommen und weitergeleitet werden. Über das Spielzeug könnte auch ein Unternehmen das Kind oder die Eltern individuell mit Werbung ansprechen. Weiter kann ein Spielzeug, wenn die Funkverbindung (wie Bluetooth) vom Hersteller nicht ausreichend geschützt wird, von in der Nähe befindlichen Dritten unbemerkt genutzt werden, um Gespräche abzuhören.

Weitere Produkte werden überprüft
Die Bundesnetzagentur wird noch mehr interaktives Spielzeug auf den Prüfstand stellen und wenn nötig dagegen vorgehen. Hierbei müssen immer die Voraussetzungen des § 90 TKG gegeben sein. Gegenstände müssen ihrer Form nach einen anderen Gegenstand vortäuschen oder als Gegenstände des täglichen Gebrauchs verkleidet sein und auf Grund dieser Umstände oder auf Grund ihrer Funktionsweise geeignet sein, das nicht öffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören oder das Bild eines anderen von diesem unbemerkt aufzunehmen. Dies gilt auch für individuell hergestellte Geräte. 

Vorgehen gegen Eltern nicht geplant
Die Bundesnetzagentur informiert über die Gefahren, die von der Puppe „Cayla“ ausgehen. Sie hat bei den Händlern keine Daten der Käufer abgefragt. Eine Abfrage in Zukunft ist auch nicht beabsichtigt. Die Bundesnetzagentur geht davon aus, dass Eltern eigenverantwortlich die Puppe unschädlich machen. Die Einleitung von Verwaltungsverfahren gegen die Eltern ist derzeit nicht geplant.

Die Bundesnetzagentur handelt rein als Verwaltungsbehörde. Ob sich jemand im Zusammenhang mit den nach § 90 TKG verbotenen Spionagegeräten strafbar gemacht hat, entscheiden allein die Strafverfolgungsbehörden in jedem Einzelfall.

Die Bundesnetzagentur ist die zuständige Behörde zur Durchsetzung des Verbotes von Spionagegeräten. Weitergehende Informationen zum Thema finden Sie unter: www.bundesnetzagentur.de/spionagekameras.



VG Köln: Portal zur Bewertung anderer Autofahrer datenschutzwidrig soweit Dritte Daten einsehen können - datenschutzrechtliche Anordnung rechtmäßig

VG Köln
Urteil vom 16.02.2017
13 K 6093/15


Das VG Köln hat entschieden, dass ein Internetportal zur Bewertung anderer Autofahrer datenschutzwidrig ist soweit Dritte und nicht nur der jeweilige Autofahrer die gespeicherten Daten zu seinem KFZ-Kennzeichen einsehen können.

Die Pressemitteilung des VG Köln:

Bewertungsportal für Autofahrer muss angepasst werden

Das Verwaltungsgericht Köln hat mit heute verkündetem Urteil entschieden, dass die gegenüber der Betreiberin eines Fahrer-Bewertungsportals ergangene datenschutzrechtliche Anordnung rechtmäßig ist.

Derzeit können Nutzer dieses Portals das Fahrverhalten anderer Personen unter Angabe eines Kfz-Kennzeichens nach einem Ampelschema (rot = negativ, gelb = neutral, grün = positiv) bewerten. Eine Detail-Bewertung erfolgt durch Auswahl aus vorgegebenen Bewertungen. Die Bewertungsergebnisse zu einzelnen Kfz-Kennzeichen sind in Form einer durchschnittlichen Schulnote für jeden Nutzer einsehbar. Die Klägerin beabsichtigt, mithilfe des Portals Autofahrer dazu anzuhalten, die eigene Fahrweise zu überdenken. Auf diese Weise möchte sie einen Beitrag zu mehr Sicherheit im Straßenverkehr leisten.

Der beklagte Datenschutzbeauftragte für das Land Nordrhein-Westfalen hat der Klägerin aufgegeben, das Portal so zu verändern, dass nur noch nach bestimmten Vorgaben registrierte Kfz-Halter die Bewertungsergebnisse zu ihrem eigenen Kfz-Kennzeichen abrufen können. Damit soll eine Prangerwirkung des Portals verhindert werden.

Die hiergegen erhobene Klage hat die Kammer abgewiesen. Zur Begründung hat sie ausgeführt, dass die auf dem Fahrerbewertungsportal zu einzelnen Kfz-Kennzeichen erhobenen und gespeicherten Daten personenbezogen seien. Die jeweiligen Fahrer bzw. Fahrzeughalter könnten von der Klägerin und auch Portalnutzern mit verhältnismäßigem Aufwand bestimmt werden. Der Datenschutz der bewerteten Fahrer überwiege das Informationsinteresse der Nutzer. Letzteres sei weniger schützenswert als beispielsweise das Interesse einer Person, die sich vor einem Arztbesuch auf einem Ärztebewertungsportal informiere. Bei dem Fahrerbewertungsportal stehe eine Prangerwirkung einzelner Fahrer im Vordergrund. Das von der Klägerin nach ihren Angaben verfolgte Ziel könne auch erreicht werden, wenn Bewertungen – wie von der Anordnung des Landesdatenschutzbeauftragten vorgegeben – lediglich an die Betroffenen selbst übermittelt würden.

Gegen das Urteil kann Berufung eingelegt werden, über die das Oberverwaltungsgericht in Münster entscheidet.


Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




OLG Düsseldorf legt EuGH Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Buttons auf Unternehmenswebseiten vor

OLG Düsseldorf
Beschluss vom 19.01.2017
I-20 U 40/16


Das OLG Düsseldorf hat mehrere Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Button auf Unternehmenswebseiten dem EuGH zur Entscheidung vorgelegt (siehe zur Vorinstanz LG Düsseldorf: Facebook Like / Gefällt Mir-Button auf Unternehmenswebseite ist ein abmahnfähiger Wettbewerbsverstoß ).

Die Vorlagefragen:

"Das Oberlandesgericht Düsseldorf legt dem Gerichtshof der Europäischen Union folgende Fragen zur Vorabentscheidung vor:

1. Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI.
Nr. L 281/31 vom 23.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen ?

Falls die Frage 1) verneint wird:

2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann ?

3. Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen ?

4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritte ?

5. Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?

6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt ?"

Den Volltext der Entscheidung finden Sie hier:

OLG Köln: Schmerzensgeldanspruch bei datenschutzwidriger Weitergabe von Gesundheitsdaten - Verletzung des Rechts auf informationelle Selbstbestimmung

OLG Köln
Urteil vom 30.09.2016
26 O 251/15


Das OLG Köln hat entschieden, dass bei bei datenschutzwidriger Weitergabe von Gesundheitsdaten, ein Anspruch auf Schmerzensgeld bzw. angemessene Entschädigung wegen Verletzung des Rechts auf informationelle Selbstbestimmung bestehen kann.

Aus den Entscheidungsgründen:

"Das Landgericht hat als Anspruchsgrundlage für einen Schadensersatzanspruch allein § 7 BDSG geprüft, der – worauf die Beklagte hinweist – keinen Anspruch auf Ersatz immaterieller Schäden gewährt (Simitis, Bundesdatenschutzgesetz, 8. Aufl., § 7 Rn. 32). Es kommen daneben aber weitere Anspruchsgrundlagen in Betracht, etwa aus dem bürgerlichrechtlichen Deliktsrecht, wie aus § 823 Abs. 1 BGB, weil das Recht auf informationelle Selbstbestimmung ein sonstiges Recht im Sinne dieser Vorschrift ist, aus § 823 Abs. 2 BGB in Verbindung mit Bestimmungen des Bundesdatenschutzgesetzes und aus § 826 BGB. Vorliegend kommt vor allem ein Anspruch des Klägers aus einer vertraglichen oder vertragsähnlichen Beziehung mit der Beklagten in Betracht. Insoweit – wie auch bei einem Anspruch aus § 823 Abs. 1 BGB oder aus § 826 BGB – ist für die Annahme einer Rechts- bzw. Vertragsverletzung unerheblich, ob die Weitergabe des Urteils durch die Beklagte – was diese anzweifelt – unter das Bundesdatenschutzgesetz fällt.

Der durch eine rechtswidrige und schuldhafte Verletzung seines PersönIichkeitsrechts Betroffene kann Ersatz des immateriellen Schadens beanspruchen, wenn die Umstände eine solche Genugtuung erfordern (BGH, Urt. v. 19.9.1961 – VI ZR 259/60, BGHZ 35, 363). Verletzungen des Allgemeinen Persönlichkeitsrechts können auf Grund seines verfassungsrechtlichen Rangs (Art. 1 Abs. 1 und Art. 2 Abs. 1 GG) und seiner Ähnlichkeit zum Eingriff in den Körper und die Gesundheit ein Schmerzensgeld begründen (BeckOK BGB/Spindler, Stand 1.5.2016, § 253 Rn. 16 mwN.).

[...]

Die Gesundheitsdaten des Klägers, die der Beklagten durch den geschäftlichen Kontakt der Parteien bekannt geworden waren, durfte sie grundsätzlich nicht an Dritte – und damit auch nicht an die U AG, ihre Konzernmutter und Arbeitgeberin des Klägers, – weitergeben.

Bei den Gesundheitsdaten handelt es sich um besonders sensible Daten, die als eine besondere Art personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG gesetzlich besonders geschützt sind. Dass sie vom Gesetz als besonders sensibel eingeordnet werden, ergibt sich u.a. aus § 213 VVG, der die Erhebung von Gesundheitsdaten betrifft. Ihre Weitergabe berührt das Persönlichkeitsrecht auf informationelle Selbstbestimmung in besonderem Maße. Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Individuums, über die Preisgabe und Verwendung seiner persönlichen Daten – hier seiner Gesundheitsdaten – selbst zu bestimmen. Es entfaltet als objektive Norm seinen Rechtsgehalt auch im Privatrecht und strahlt so auf die Auslegung und Anwendung privatrechtlicher Vorschriften aus. Verkennt ein Gericht, das eine privatrechtliche Streitigkeit entscheidet, in grundsätzlicher Weise den Schutzgehalt des allgemeinen Persönlichkeitsrechts, verletzt es durch sein Urteil das Grundrecht des Bürgers in seiner Funktion als Schutznorm (BVerfG, Beschl. v. 17.7.2013 – 1 BvR 3167/08, NJW 2013, 3086 mwN.)."


Den Volltext der Entscheidung finden Sie hier:

Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung - EU-DSGVO

Die Bundesregierung hat den vom BMI vorgelegten Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung beschlossen.

Die Pressemitteilung des BMI:

Neu­kon­zep­ti­on des Bun­des­da­ten­schutz­ge­set­zes - Kabinett beschließt Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung

Die Bundesregierung hat heute den vom Bundesminister des Innern vorgelegten Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die EU-Datenschutz-Grundverordnung beschlossen. Mit dem Gesetzentwurf werden zugleich wichtige Teile der EU-Datenschutz-Richtlinie Polizei und Justiz umgesetzt.

Kernstück des Gesetzentwurfs ist die Neukonzeption des Bundesdatenschutzgesetzes. Es ergänzt künftig die unmittelbar geltende Datenschutz-Grundverordnung um die Bereiche, in denen den Mitgliedstaaten Gestaltungsspielräume verbleiben.

„Mit der Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung machen wir einen großen Schritt zur Angleichung der Datenschutzregelungen in Europa und damit zu einem harmonisierten digitalen Binnenmarkt. Frühzeitig und als erstes Land in Europa schaffen wir damit Rechtsklarheit. Das gibt allen Beteiligten genug Zeit, sich auf die neue Rechtslage vorzubereiten. Durch die gleichzeitige Umsetzung wesentlicher Teile der Datenschutzrichtlinie im Bereich Polizei und Justiz schaffen wir ein stimmiges Regelungskonzept innerhalb des EU-Rechtsrahmens. Im Interesse der Betroffenen und im Interesse der Wirtschaft nutzen wir dabei die Spielräume der Datenschutz-Grundverordnung und schaffen damit zugleich Rechtssicherheit und einen angemessenen Ausgleich der Interessen.“, so Bundesinnenminister Dr. Thomas de Maizière.

Darüber hinaus sieht der Gesetzentwurf Änderungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes, des BND-Gesetzes, des Sicherheitsüberprüfungsgesetzes und des Artikel-10-Gesetzes vor, die aus der Ablösung des bisherigen Bundesdatenschutzgesetzes resultieren.

Die am 27. April 2016 verabschiedete EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und EU-Datenschutz-Richtlinie im Bereich Polizei und Justiz (Richtlinie (EU) 2016/680) erfordern bis Mai 2018 eine Anpassung des deutschen Datenschutzrechts auf Bundes- und Länderebene.


OLG Köln: Kein datenschutzrechtlicher Anspruch eines Arztes auf Entfernung seiner öffentlich zugänglichen Daten aus Ärztebewertungsportal - jameda

OLG Köln
Urteil vom 05.01.2017
15 U 121/16


Das OLG Kön hat entschieden, dass ein Arzt keinen datenschutzrechtlichen Anspruch auf Entfernung seiner öffentlich zugänglichen Daten aus einem Ärztebewertungsportal (jameda) hat.


Aus den Entscheidungsgründen:

"Die Zulässigkeit der Speicherung der streitgegenständlichen Daten nach § 29 BDSG hat das Landgericht zu Recht bejaht.

a. Das Landgericht ist dabei zutreffend davon ausgegangen, dass sich die Zulässigkeit der Speicherung nach § 29 BDSG auch hier nach den Grundsätzen beurteilt, die der Bundesgerichtshof in der o.g. K I-Entscheidung vom 23.09.2014 (VI ZR 358/14, BGHZ 202, 242 ff. = GRUR 2014, 1228 ff.) entwickelt hat. Danach bestimmt sich der Prüfungsmaßstab für ein Bewertungsportal wie dasjenige der Beklagten einheitlich nach der Regelung des § 29 Abs. 1 Satz 1 Nr. 1 BDSG und nicht nach der - weniger strengen - Regelung des § 29 Abs. 1 Satz 1 Nr. 2 BDSG, da nur die gemeinsame Verwendung der Daten der Klägerin mit den Bewertungen der Nutzer den von der Beklagten als Arztsuch- und -bewertungsportal verfolgten Zweck erfüllt und daher eine Würdigung im Zusammenhang mit der Speicherung der Bewertungen geboten ist.

[...]
c. Auch wenn man aber nicht § 28 Abs. 1 Satz 1 Nr. 3 BDSG sondern - wie in § 29 BDSG - eine Einbeziehung der Speicherung der Bewertung für geboten und daher § 28 Abs. 1 Satz 1 Nr. 2 BDSG für einschlägig hält, ist die Speicherung der persönlichen Daten der Klägerin zulässig.

Voraussetzung ist dann nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG, dass die Speicherung zu Wahrung berechtigter Interessen der Beklagten erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Klägerin an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

Diese Voraussetzungen sind hier erfüllt:

Wann ein "berechtigtes Interesse" der verantwortlichen Stelle zu bejahen ist, wird nicht einheitlich beurteilt. Überwiegend wird es als ein nach vernünftiger Erwägung durch die Sachlage gerechtfertigtes, also ein tatsächliches Interesse definiert, das wirtschaftlicher oder ideeller Natur sein kann, d.h. es muss sich um einen Zweck handeln, der vom gesunden Rechtsempfinden gebilligt wird (vgl. Gola/Schomerus, BDSG, 12. Aufl. 2015, § 28 Rdn. 24 m.w.Nachw.). Das ist hier bei der von der Beklagten bezweckten Werbefunktion (insbesondere auch unter UWG-Gesichtspunkten, s.o.) der Fall.

Auch die "Erforderlichkeit" der Datenspeicherung für den Zweck der Beklagten ist zu bejahen. Hierfür reicht zwar bloße "Dienlichkeit" nicht aus. Andererseits ist darunter aber auch keine "zwingende Notwendigkeit" zu verstehen, vielmehr geht es um ein bei vernünftiger Betrachtung zu bejahendes Angewiesensein auf das in Frage stehende Mittel. Es genügt daher, wenn nach den Gesamtumständen die Wahl einer anderen Informationsmöglichkeit oder der Verzicht auf die Speicherung zur Erreichung des - legitimen - Zwecks nicht sinnvoll oder unzumutbar wäre (vgl. Gola/Schomerus, a.a.O. § 28 Rdn. 15). Auch das ist hier gegeben. Schließlich ergibt sich aus der obigen, hier entsprechend geltenden Abwägung im Rahmen von § 29 BDSG, dass auch kein Grund für die Annahme überwiegender schutzwürdiger Interessen der Klägerin besteht; auch insoweit wird auf die obigen Ausführungen verwiesen.

II. Ohne Erfolg macht die Klägerin desweiteren geltend, ihr stehe gegen die Beklagte (auch) ein Löschungsanspruch wegen Verletzung ihres allgemeinen Persönlichkeitsrechts gemäß § 1004 analog, § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG zu, da ihre persönlichen Daten durch die Speicherung und Veröffentlichung im Zusammenhang mit der Einblendung der Profile (zahlender) konkurrierender Ärzte über die bloße Bewertungsfunktion des Portals der Beklagten hinaus in unzulässiger Weise auch zu werblichen Zwecken Dritter zwangskommerzialisiert werde.

1. Eine Verletzung des Namensrechts der Klägerin im Sinne von § 12 BGB (als besondere Ausprägung des allgemeinen Persönlichkeitsrechts) durch Benutzung zu Werbezwecken liegt nicht vor.

Wie sich aus dem Wortlaut von § 12 Satz 1 BGB ergibt, schützt die Vorschrift gegen eine Identitätsverwirrung durch unbefugten Namensgebrauch sowie davor, dass dem Namensträger das Recht zum Gebrauch des Namens von einem anderen bestritten wird (vgl. BGH, Urt. v. 13.11.1990 – VI ZR 104/90, NJW 1991, 1532 – Notfallarzt). Beides ist hier nicht gegeben.

Es geht auch im Übrigen zu weit, jeden eigenmächtigen namentlichen Hinweis auf eine andere Person, wenn er im Zusammenhang mit einer Werbung erfolgt, ausnahmslos als einen Namensmissbrauch im Sinne von § 12 BGB zu bezeichnen. Schließt die Art dieses Hinweises die Annahme aus, dass die angepriesenen Leistungen oder Erzeugnisse dem Genannten irgendwie zuzurechnen seien oder unter seinem Namen in Erscheinung treten sollen, so kann eine solche Erwähnung seiner Person zwar aus anderen Gründen eine Rechtsverletzung sein; sie ist aber kein unbefugter Gebrauch des Namens, da sich der Werbende in einem solchen Falle, den durch den Namen repräsentierten Eigenwert der Person des anderen weder für sich noch für seine Erzeugnisse oder Leistungen Dritter aneignet (vgl. BGH, Urt. v. 18.03.1959 - IV ZR 182/58, BGHZ 30, 7 ff., juris Tz. 11 - Caterina Valente; v. 26.06.1981 - I ZR 73/79, BGHZ 81, 75 ff., juris Tz. 9 - Carrera).

Das ist hier der Fall, da der Name der Klägerin im Rahmen der von ihr beanstandeten Werbefunktion der Beklagten gerade nicht dazu dient, ihr die in den Einblendungen anderer Ärzte ausgewiesenen Leistungen in irgendeiner Weise zuzurechnen, sondern vielmehr dazu, Nutzern des Portals alternativ konkurrierende Ärzte in ihrer Umgebung anzuzeigen.

2. Auch eine Verletzung des allgemeinen Persönlichkeitsrechts der Klägerin durch die Verwendung ihrer persönlichen Daten für werbliche Zwecke Dritter („Zwangskommerzialisierung“) liegt nicht vor.

"


Den Volltext der Entscheidung finden Sie hier:

Hackerangriff auf Unternehmensseite - IT-Sicherheit muss stimmen – sonst drohen Schadensersatzansprüche

IT-Sicherheit muss stimmen – sonst drohen Schadensersatzansprüche
Rechtsanwalt Marcus Beckmann

In der Vergangenheit sind große und klein Anbieter von Waren und Dienstleistungen im Internet sowie Cloud-Anbieter Opfer von Datenklau und Erpressungsversuchen gekommen. Wird ein Online-Shop Opfer eines Datenklaus oder Hackerangriffs bedeutet dies nicht nur einen erheblichen Vertrauensverlust, sondern ist auch ein rechtliches Problem

Ein Unternehmen hat grundsätzlich alle ihm zumutbaren Maßnahmen zu treffen, um Schäden von Dritten fernzuhalten. Das Unternehmen haftet für alle vorhersehbaren und vermeidbaren Schäden, die durch eine unzureichende Sicherung vor Datenklau entstanden sind. Auch Zahlungsdienstleister und Kreditkartenunternehmen können ggf. Schadensersatzansprüche haben, wenn Kreditkartendaten missbraucht werden. Schließlich besteht die Gefahr, dass eigene Geschäftsgeheimnisse oder die von Vertragspartnern in falsche Hände geraten. Diese Grundsätze galten auch schon vor Inkrafttreten des IT-Sicherheitsgesetzes. Auch die datenschutzrechtlichen Vorschriften schreiben vor, dass personenbezogene Daten vor dem unbefugten Zugriff Dritter zu schützen sind. Bei einem Verstoß drohen Ordnungsgelder.

Zu den notwendigen Maßnahmen gehört eine dem Stand der Technik entsprechende IT-Infrastruktur sowie die regelmäßige Aktualisierung von Hard- und Software zur Vermeidung von Sicherheitslücken. Regelmäßige Belehrungen und Schulungen der Mitarbeiter zu Sicherheitsfragen und die Überwachung der Integrität der IT-Sicherheit sind ebenso notwendig. Zudem sollten Kunden bzw. Nutzern Informationen an die Hand gegeben werden, um ungewollten Datendiebstahl zu vermeiden.

Kommt es zu einem Datenklau, Hackerangriff oder Erpressungsversuchen gilt es zunächst etwaige Lücken zu stopfen. Zudem sollten strafrechtliche Schritte eingeleitet werden. Darüber hinaus müssen Unternehmen die betroffenen Kunden und Nutzer umgehen über die Sicherheitslücke informieren. Um weiteren Missbrauch durch Accountdaten zu verhindern empfiehlt es sich Kunden zur Änderung der Passwörter aufzufordern bzw. diese zunächst zurückzusetzen.

BGH: Immaterielle Entschädigung für Verletzung des allgemeinen Persönlichkeitsrechts nicht vererblich - § 7 Satz 1 BDSG auch keine Anspruchsgrundlage

BGH
Urteil vom 29.11.2016
VI ZR 530/15
BGB § 823 Abs. 1; BDSG § 7 Satz 1; Richtlinie 95/46/EG Art. 3 Abs. 1, Art. 2 Buchst. c


Der BGH hat abermals bekräftigt, dass eine Immaterielle Entschädigung in Geld für die Verletzung des allgemeinen Persönlichkeitsrechts nicht vererblich. Vorliegend ging es um ein unzureichend anonymisiertes sozialmedizinisches Gutachten mit personenbezogenen Daten. Auch § 7 Satz 1 BDSG scheidet nach Ansicht des BGH als Anspruchsgrundlage für eine Geldentschädigung aus.

Leitsätze des BGH:


1. Die Erbin einer gesetzlich krankenversicherten Patientin kann von der Krankenkasse keine immaterielle Entschädigung wegen einer Verletzung des allgemeinen Persönlichkeitsrechts der Patientin durch die Verwendung eines schriftlichen, die Patientin betreffenden, unzureichend anonymisierten sozialmedizinischen Gutachtens mit personenbezogenen Daten in anderen sozialgerichtlichen Verfahren verlangen. Der Anspruch auf Geldentschädigung wegen Persönlichkeitsrechtsverletzung ist grundsätzlich nicht vererblich (Festhaltung Senatsurteil
vom 29. April 2014 - VI ZR 246/12, BGHZ 201, 45 Rn. 8 ff.).

2. Insbesondere kann ein Anspruch auf immaterielle Entschädigung nicht auf § 7 Satz 1 BDSG gestützt werden. Auch bei richtlinienkonformer Auslegung gewährt § 7 Satz 1 BDSG für diesen Fall nicht-automatisierter Datenverarbeitung keinen Anspruch auf immaterielle Entschädigung. Ein solches (einzelnes) Gutachten ist keine Datei im Sinne von Art. 3 Abs. 1, Art. 2 Buchst. c der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 - Datenschutzrichtlinie -, so dass der Anwendungsbereich der Richtlinie insoweit nicht eröffnet ist.

BGH, Urteil vom 29. November 2016 - VI ZR 530/15 - OLG Düsseldorf - LG Wuppertal

Den Volltext der Entscheidung finden Sie hier:

BSI: Mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen - Sicherheitslücke in veralteter Version

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen sind. Ursache sind Sicherheitslücken in einer veralteten Version, die im Oktober 2016 bekanntgegeben wurden. Grundsätzlich ist der Betreiber eines Online-Shops verpflichtet alle zumutbare Maßnahmen zu ergreifen, um Schäden von seinen Kunden zu verhindern und die die gespeicherten personenbezogenen Daten zu schützen. Tut er dies nicht, so drohen Schadensersatzansprüche und Ordnungsgelder.


Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.