Skip to content

Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - "DSGVO-Konform: So vermeiden Sie die größten Datenfallen"

In Ausgabe 9/22, S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "DSGVO-Konform: So vermeiden Sie die größten Datenfallen" zum datenschutzkonformen Umgang mit Kundendaten.

OLG Stuttgart: Einordnung als Geschäftsgeheimnis setzt voraus dass Inhaber den Umständen nach angemessene Geheimhaltungsmaßnahmen ergriffen hat

OLG Stuttgart
Urteil vom 19.11.2020
2 U 575/19


Das OLG Stuttgart hat entschieden, dass die Einordnung von Informationen als Geschäftsgeheimnis voraussetzt, dass der Inhaber den Umständen nach angemessene Geheimhaltungsmaßnahmen ergriffen hat.

Aus den Entscheidungsgründen:

Entscheidend für die Einordnung als Geschäftsgeheimnis ist, ob ihr Inhaber den Umständen nach angemessene Geheimhaltungsmaßnahmen ergriffen hat. Hierin liegt für den vorliegenden Fall der wesentliche Unterschied der Neuregelung zur bisherigen Rechtslage, die lediglich einen erkennbaren subjektiven Geheimhaltungswillen voraussetzte, der sich in objektiven Umständen manifestierte.

aa) Es handelt sich um eine objektive Voraussetzung, für die der Inhaber im Streitfall beweisbelastet ist (Gesetzentwurf der Bundesregierung, a.a.O.). Aus dem Wortlaut, der lediglich angemessene Maßnahmen erfordert, wird deutlich, dass eine extreme Sicherheit nicht erreicht werden muss. Es geht auch nicht um die Frage, ob im Nachhinein betrachtet ein Geheimnisbruch hätte verhindert werden können. Maßgebend ist vielmehr, ob der Geheimnisinhaber im Vorfeld sinnvolle und effiziente Maßnahmen getroffen hat, um die Informationen zu schützen.

Solange es hierzu noch keine gefestigte Judikatur gibt, besteht für den Geschäftsinhaber zwar das Risiko, dass er die von ihm ergriffenen Maßnahmen als ausreichend einschätzt, dies jedoch von den Gerichten später anders bewertet wird und er dann keinen Schutz nach dem Gesetz zum Schutz von Geschäftsgeheimnissen genießt. Diese Erwägung führt allerdings nicht dazu, zugunsten nachlässiger Geheimnisinhaber die Anforderungen an die Angemessenheit der Maßnahmen aufzuweichen. Der Schutz von Geschäftsgeheimnissen dient auch volkswirtschaftlichen Zwecken und der Stützung des Binnenmarktes (vgl. Erwägungsgrund Nr. 9 zur EU-Richtlinie 2016/943). Obliegenheiten des Geheimnisinhabers stellen für den Gesetzgeber eine effektive Möglichkeit dar, diese Gemeinwohlinteressen zu verfolgen.

bb) Die konkreten Geheimhaltungsmaßnahmen hängen von der Art des Geschäftsgeheimnisses im Einzelnen und von den konkreten Umständen der Nutzung ab (Gesetzentwurf der Bundesregierung, a.a.O.). Bei der Wertung der Angemessenheit der Schutzmaßnahmen können insbesondere berücksichtigt werden: der Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten, die Natur der Informationen, die Bedeutung für das Unternehmen, die Größe des Unternehmens, die üblichen Geheimhaltungsmaßnahmen in dem Unternehmen, die Art der Kennzeichnung der Informationen und vereinbarte vertragliche Regelungen mit Arbeitnehmern und Geschäftspartnern (ebda.). Hieraus folgt als Mindeststandard, dass relevante Informationen nur Personen anvertraut werden dürfen, die die Informationen zur Durchführung ihrer Aufgabe (potentiell) benötigen und die zur Verschwiegenheit verpflichtet sind (vgl. Ohly, GRUR 2019, 441 [444]). Zudem müssen diese Personen von der Verschwiegenheitsverpflichtung in Bezug auf die fraglichen Informationen Kenntnis haben. Weitere Maßnahmen sind den Umständen nach zu ergreifen, wobei eine Gesamtbetrachtung vorzunehmen ist. Genauso wie das Ergreifen verschiedener verstärkender Maßnahmen zu einem angemessenen Schutzniveau führen kann, kann ein in Kauf genommenes „Datenleck“ zu der Bewertung führen, dass insgesamt kein angemessenes Schutzniveau mehr vorliegt.

Auf den vorliegenden Fall angewendet, ist das zugelassene Speichern von Dateien mit Geschäftsgeheimnissen auf privaten Datenträgern als äußerst kritisch anzusehen (vgl. Maaßen, GRUR 2019, 352 [354, 358]). Insbesondere wenn die Dateien dort ohne Passwort zugänglich sind, ist ein Zugriff durch Dritte nicht mehr auszuschließen. Dies gilt nicht nur für berechtigte Mitbenutzer, sondern auch im Falle eines Weiterverkaufs der Privatgeräte ohne vorherige ausreichende Löschung. Damit begibt sich der Geheimnisinhaber der effektiven Kontrolle seiner Daten.

Was in Papierdokumenten verkörperte Geschäftsgeheimnisse angeht, müssen sie gegen den Zugriff unbefugter Personen gesichert sein. Die Stellen im Unternehmen, an denen die Dokumente verwahrt werden, müssen hinreichend gegen den Zutritt unbefugter Personen gesichert sein, bei sensiblen Informationen müssen die Geheimnisse verschlossen oder der Raum abgeschlossen werden (Maaßen, a.a.O., S. 357 f.).

cc) Nach diesen Maßstäben wird festzustellen sein, ob die Klägerin seit dem Inkrafttreten des Geschäftsgeheimnisses am 26. April 2019 ausreichende Geheimhaltungsmaßnahmen zum Schutz ihrer Geschäftsgeheimnisse ergriffen hat. Der unaufgeklärte Diebstahl eines Rechners steht dabei der Einordnung der darauf enthaltenen Informationen als Geschäftsgeheimnis nicht von vornherein entgegen, da die Qualität als Geschäftsgeheimnis nicht schon durch den unfreiwilligen Verlust der Herrschaft über einen einzelnen Informationsträger verloren geht.
II. (Unterlassungsansprüche in Bezug auf die Verwendung von Adress- und Kundenlisten gemäß den Klageanträgen Ziff. III)

Hinsichtlich der Informationen zu den Kunden sind ebenfalls noch Feststellungen zu treffen.

1. Kundendaten eines Unternehmens können ein Geschäftsgeheimnis im Sinne von § 17 UWG a.F. darstellen, wenn sie Kunden betreffen, zu denen bereits eine Geschäftsbeziehung besteht und sie daher auch in Zukunft als Abnehmer der angebotenen Produkte in Frage kommen. Dabei darf es sich nicht lediglich um Angaben handeln, die jederzeit ohne großen Aufwand aus allgemein zugänglichen Quellen erstellt werden können (BGH, Urteil vom 26. Februar 2009 – I ZR 28/06, juris Rn. 13 – Versicherungsuntervertreter). Von einem Geheimhaltungsinteresse ist regelmäßig auszugehen, da es auf der Hand liegt, dass derartige Listen nicht in die Hände von Mitbewerbern geraten dürfen (BGH, Urteil vom 27. April 2006 – I ZR 126/03, juris Rn. 19 – Kundendatenprogramm).

2. Die Feststellungen des Landgerichts zu einem die Wiederholungsgefahr begründenden Erstverstoß sind unzureichend (LGU 53). Der Umstand alleine, dass die Beklagten Ziff. 1 und 2 frühere Kunden der Klägerin beliefern, besagt noch nichts darüber aus, auf welchem Weg die Beklagten diese Kunden gewonnen haben. Insbesondere ergibt sich hieraus nicht, dass sie die beiden fraglichen Dateien verwendet haben. Das Landgericht hat nicht die Möglichkeit gewürdigt, dass sich die Kunden teilweise von selbst an die Beklagte gewandt bzw. ihre Vorstände die Unternehmen im Gedächtnis behalten haben könnten. Eine darauf basierende Geschäftsanbahnung wäre nicht zu beanstanden. Soweit kein Wettbewerbsverbot besteht, ist es nicht unredlich, nach Beendigung eines Beschäftigungsverhältnisses in Konkurrenz zu dem Unternehmen zu treten. Einen generellen Anspruch auf Erhaltung seines Kundenkreises hat der Unternehmer nicht (BGH, Urteil vom 14. Januar 1999 – I ZR 2/97, juris Rn. 26).

a) Insbesondere ist die Verwertung von Erfahrungswissen zulässig, selbst wenn es sich um Geschäftsgeheimnisse handelt. Ein ausgeschiedener Mitarbeiter darf die während der Beschäftigungszeit redlich erworbenen Kenntnisse auch später unbeschränkt verwenden, wenn er keinem Wettbewerbsverbot unterliegt (BGH, Urteil vom 22. März 2018 – I ZR 118/16, juris Rn. 46 – Hohlfasermembranspinnanlage II; BGH, Urteil vom 03. Mai 2001 – I ZR 153/99, juris Rn. 47 – Spritzgießwerkzeuge). Dies bezieht sich indessen nur auf Informationen, die der frühere Mitarbeiter in seinem Gedächtnis bewahrt (BGH, Urteil vom 27. April 2006 – I ZR 126/03, juris Rn. 13 – Kundendatenprogramm). Die Berechtigung, erworbene Kenntnisse nach Beendigung des Dienstverhältnisses auch zum Nachteil des früheren Dienstherrn einzusetzen, bezieht sich dagegen nicht auf Informationen, die dem ausgeschiedenen Mitarbeiter nur deswegen noch bekannt sind, weil er auf schriftliche Unterlagen zurückgreifen kann, die er während der Beschäftigungszeit angefertigt hat (BGH, Urteil vom 22. März 2018 – I ZR 118/16, juris Rn. 46 – Hohlfasermembranspinnanlage II). Entnimmt der ausgeschiedene Mitarbeiter einer privaten Aufzeichnung oder einer auf dem privaten Notebook abgespeicherten Datei, die er während der Beschäftigungszeit angefertigt bzw. angelegt hat, ein Betriebsgeheimnis seines früheren Arbeitgebers, verschafft er sich damit dieses Betriebsgeheimnis „sonst unbefugt“ im Sinne von § 17 Absatz 2 Nr. 2 UWG (BGH, Urteil vom 26. Februar 2009 - I ZR 28/06, juris Rn. 15 – Versicherungsuntervertreter). Stellt er dieses Betriebsgeheimnis einem Dritten, etwa seinem neuen Arbeitgeber, zur Verfügung, verschafft sich auch dieser das Geheimnis unbefugt (BGH, Urteil vom 23. Februar 2012 – I ZR 136/10, juris Rn. 17 – Movicol).

b) Dabei hat das Landgericht seinem Urteil unzutreffend zugrundegelegt, dass die handelnden Personen einem Wettbewerbsverbot unterlagen (LGU 45). Die Beklagten haben vorgetragen, dass das ursprünglich jeweils zwischen der Klägerin und den nunmehrigen Vorständen der Beklagten Ziff. 1 vereinbarte Wettbewerbsverbot aufgehoben worden sei und das Arbeitsgericht Stuttgart jeweils die Wirksamkeit dieser Vertragsänderung festgestellt habe. Aus den gleichlautenden Urteilen – vgl. beispielhaft Anlage B 7 – ergibt sich eine entsprechende Rechtskraftwirkung. Das Arbeitsgericht hat den Klageantrag auf Unterlassung jeglicher Wettbewerbstätigkeit auf dem Gebiet der Klebstofftechnik und der Polyurethanschaumtechnik zum Nachteil der Klägerin rechtskräftig abgewiesen. Die Abweisung dieses Klageanspruchs ist für die Parteien bindend (§ 322 Absatz 1 ZPO).

c) Bei der Beweiswürdigung wird auch zu berücksichtigen sein, dass nach den polizeilichen Ermittlungen die fragliche Datei „Debitoren.xls“ am 01.10.2016 auf die externe Festplatte T. (Asservat 2-2) – nach dem Ausscheiden der Mitarbeiter – kopiert wurde, auf der sich auch die weitere Datei „Adressdatenbank...“ befand (Anlage K 10 Bl. 594/595). Es wird aber auch zu berücksichtigen sein, dass die auf Beklagtenseite Handelnden über viele Jahre bei der Klägerin in Führungspositionen beschäftigt waren und deshalb anzunehmen ist, dass zumindest ein Teil der ehemaligen Kunden und deren Ansprechpartner im Gedächtnis geblieben sein dürften. Schließlich wird zu würdigen sein, ob die im Businessplan angesprochene Erwartung, dass sich Kunden der Klägerin von sich aus an die Beklagte Ziff. 1 wenden würden, zutraf.

d) Gegenständlich zu begrenzen wäre der Unterlassungsanspruch im Hinblick auf Erfahrungswissen, das die Beklagten zulässigerweise einsetzen dürften. Insbesondere dürfen sie Kontakt zu Unternehmen bzw. dort beschäftigte Personen aufnehmen, die ihnen persönlich bekannt sind bzw. deren Kontaktdaten sie aus allgemein zugänglichen Quellen ermitteln können. Hierfür kann ein Anhaltspunkt sein, ob schon während der Beschäftigungszeit bei der Klägerin ein über dienstliche Belange hinausgehender Kontakt bestand.

Den Volltext der Entscheidung finden Sie hier:


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann: Wenn der Datenschützer klingelt - Tipps und Hinweise zum Umgang mit Aufsichtsverfahren durch Landesdatenschutzbehörden

In Ausgabe 11/20, S. 48-49 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wenn der Datenschützer klingelt". Der Beitrag gibt Tipps und Hinweise zum Umgang mit datenschutzrechtlichen Aufsichtsverfahren durch die Landesdatenschutzbehörden.


OVG Münster: Kundenkontaktdaten dürfen weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden

OVG Münster
Beschluss vom 23.06.2020
13 B 695/20.NE


Das OVG Münster hat entschieden, dass Kundenkontaktdaten weiterhin zum Zweck der Kontaktpersonennachverfolgung auf Grundlage der Coronaschutzverordnung erhoben werden dürfen.

Die Pressemitteilung des Gerichts:

Kundenkontaktdaten dürfen weiterhin auf Grundlage der Coronaschutzverordnung erhoben werden

Das Oberverwaltungsgericht hat in einem Eilverfahren mit Beschluss vom heutigen Tag entschieden, dass die in der nordrhein-westfälischen Coronaschutzverordnung vorgesehene Datenerhebung zum Zweck der Kontaktpersonennachverfolgung im Bereich der Gastronomie, des Friseurhandwerks und der Fitnessstudios voraussichtlich rechtmäßig ist.

Zur Rückverfolgbarkeit möglicher Infektionsketten sieht die Coronaschutzverordnung für bestimmte Wirtschaftsbereiche die papiergebundene Erfassung der Kundenkontaktdaten (Name, Adresse, Telefonnummer, Zeitraum des Aufenthalts bzw. Zeitpunkt von An- und Abreise) vor. Die Kontaktdaten sind vier Wochen aufzubewahren und danach zu vernichten. Eine Weitergabe an die für die Nachverfolgung zuständige Behörde erfolgt nur auf deren Verlangen.

Gegen die Regelungen zur Kontaktdatenangabe in Restaurants, Fitnessstudios und Friseursalons hatte sich ein Bochumer Rechtsanwalt gewandt und geltend gemacht, die Datenerhebung verletze ihn in seinem Grundrecht auf informationelle Selbstbestimmung. Die Maßnahme sei insbesondere unverhältnismäßig und verstoße zudem gegen datenschutzrechtliche Vorgaben.

Das Oberverwaltungsgericht hat den Antrag auf Erlass einer einstweiligen Anordnung abgelehnt. Zur Begründung hat es im Wesentlichen ausgeführt, dass die angegriffenen Regelungen voraussichtlich rechtmäßig seien. Mit der vorsorglichen Erhebung der Kundendaten solle sichergestellt werden, dass bei Nachweis einer Neuinfektion die Kontaktpersonen des Betroffenen leichter durch die Gesundheitsämter identifiziert werden könnten. Angesichts der inzwischen weitgehenden Öffnung des sozialen und wirtschaftlichen Lebens sei es voraussichtlich nicht zu beanstanden, wenn der Verordnungsgeber die Kontaktdatenerhebung in bestimmten kontaktintensiven Bereiche als - milderes Mittel - nutze, um Infektionsketten aufzudecken und zu unterbrechen. Das durch die Regelungen in erster Linie betroffene Recht auf informationelle Selbstbestimmung trete gegenüber dem Schutz von Leben und Gesundheit vorübergehend zurück. Dabei sei unter anderem zu berücksichtigen, dass weder der Besuch einer gastronomischen Einrichtung noch das Aufsuchen eines Fitnessstudios oder der Besuch eines Friseursalons der Deckung elementarer Grundbedürfnisse diene und zudem Alternativen zur Verfügung stünden. Der sichere Umgang mit den erhobenen personenbezogenen Daten werde durch die zu beachtenden Vorgaben der Datenschutz-Grundverordnung voraussichtlich gewährleistet.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 695/20.NE



ArbG Siegburg: Missbrauch von Kundendaten durch IT-Mitarbeiter rechtfertigt fristlose Kündigung des Arbeitsverhältnisses

ArbG Siegburg
Urteil vom 15.01.2020
3 Ca 1793/19


Das ArbG Siegburg hat entschieden, dass der Missbrauch von Kundendaten durch einen IT-Mitarbeiter die fristlose Kündigung des Arbeitsverhältnisses rechtfertigt.

Die Pressemitteilung des Gerichts:

Fristlose Kündigung wegen Missbrauchs von Kundendaten

Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber.

Der Kläger war seit 2011 bei der Beklagten als SAP-Berater tätig. Der Kläger bestellte vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin der Beklagten, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Im Rahmen der Bestellung ließ der Kläger dem Vorstand dieser Kundin die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über bestehende Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt am 26.08.2019 eine fristlose Kündigung. Er erhob dagegen Kündigungsschutzklage.

Mit Urteil vom 15.01.2020 wies das Arbeitsgericht Siegburg die Klage ab und entschied, dass die fristlose Kündigung gerechtfertigt sei. Durch sein Vorgehen hat der Kläger nach Überzeugung der 3. Kammer gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten sind zu schützen. Der Kläger hat seinen Datenzugriff missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Die Kunden dürfen der Beklagten und deren Mitarbeiter Schutz und keinesfalls Missbrauch von etwaigen Sicherheitslücken erwarten. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürfen Kundendaten nicht missbraucht werden. Der Kläger hat somit massiv das Vertrauen der Kundin in die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertigt eine fristlose Kündigung.

Die Entscheidung ist noch nicht rechtskräftig. Gegen das Urteil kann Berufung beim Landesarbeitsgericht Köln eingelegt werden.

Arbeitsgericht Siegburg – Aktenzeichen 3 Ca 1793/19 vom 15.01.2020.

Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




BSI: Mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen - Sicherheitslücke in veralteter Version

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen sind. Ursache sind Sicherheitslücken in einer veralteten Version, die im Oktober 2016 bekanntgegeben wurden. Grundsätzlich ist der Betreiber eines Online-Shops verpflichtet alle zumutbare Maßnahmen zu ergreifen, um Schäden von seinen Kunden zu verhindern und die die gespeicherten personenbezogenen Daten zu schützen. Tut er dies nicht, so drohen Schadensersatzansprüche und Ordnungsgelder.


Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.




BGH: Zum Ausgleichsanspruch des Komissionsagenten entsprechend § 89b HGB und zum Zugriff auf den Kundenstamm bei einem weitgehend anonymen stationären Massengeschäft

BGH
Urteil vom 21. Juli 2016
I ZR 229/15
HGB §§ 89b, 383 Abs. 1, § 384 Abs. 2, § 392 Abs. 1 und 2, § 396

Leitsätze des BGH:


a) Ein Vertrag ist als Kommissionsagenturvertrag zu qualifizieren, wenn ein Unternehmer einen anderen gegen Zahlung einer Provision damit beauftragt, ständig von ihm gelieferte, jedoch dem Beauftragten nicht übereignete Ware im eigenen Namen auf Rechnung des Unternehmers zu veräußern, und eine Abtretung der Forderungen aus der Veräußerung der Waren an den Unternehmer vereinbart ist.

b) Dem Kommissionsagenten steht bei Beendigung des Kommissionsagenturvertrags in entsprechender Anwendung von § 89b HGB ein Ausgleichsanspruch gegen den Kommittenten zu, wenn er in dessen Absatzorganisation eingebunden ist und ihm bei Beendigung des Vertragsverhältnisses den Kundenstamm zu überlassen hat.

c) Im weitgehend anonymen Massengeschäft in einem stationären Sonderpostenmarkt benötigt der Kommittent für eine Übernahme des Kundenstamms nicht in gleicher Weise wie beim Verkauf hochwertiger Wirtschaftsgüter den Zugang zu vollständigen Kundendaten. Betreibt der Kommissionsagent in von dem Kommittenten angemieteten Räumen einen
filialähnlich organisierten Markt und hat der Kommittent über ein von ihm vorinstalliertes Kassensystem ständigen Zugriff auf Informationen zu allen Verkaufsvorgängen und auf sämtliche von den Kunden im Rahmen des Bezahlvorgangs mitgeteilten personenbezogenen Daten, ist von einer faktischen Kontinuität des Kundenstamms auszugehen, wenn der Kommittent nach Beendigung des Kommissionsagenturverhältnisses den Markt unter derselben Geschäftsbezeichnung in denselben Geschäftsräumen weiterführen kann.

BGH, Urteil vom 21. Juli 2016 - I ZR 229/15 - OLG Oldenburg - LG Osnabrück

Den Volltext der Entscheidung finden Sie hier:

Vortrag als PDF - CeBIT-Vortrag - Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder

Wir möchten uns ganz herzlich bei den zahlreichen Zuhörern unseres Vortrags "Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder" auf der diesjährigen CeBIT am 16.03.2015 bedanken.

Unsere Vortragspräsentation können Sie hier als PDF-Datei downloaden: Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder.

Zudem finden Sie den Vortrag auch bei Slideshare: http://de.slideshare.net/marcusbeckmann1973



CeBIT-Vortrag von RA Beckmann - Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder - 16.03.2015

" Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder" lautet der Titel des Vortrags von Rechtsanwalt Marcus Beckmann am 16.03.2015 - 11.10 Uhr auf der CeBIT in Hannover Halle 5, Stand D04 ( Mittelstandslounge: „Digitalisierung von A-Z“).

Weitere Informationen zur Veranstaltung finden Sie auf den Seiten der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAVIT) sowie auf der CeBIT-Seite .

Sie haben Interesse an einem persönlichen Gespräch auf der CeBIT ? Senden Sie uns einfach eine kurze Mail (info@beckmannundnorda.de) mit Ihren Terminvorschlägen. Rechtsanwalt Marcus Beckmann steht am 16.03.2015 gerne für ein persönliches Treffen zur Verfügung.