Kategorie: IT-Recht

Neue Informationspflichten ab dem 01.02.2017

Ab morgen (01.02.2017) gelten neue Informationspflichten für Unternehmer, die Verbrauchergeschäfte abschließen.

Das Gesetz, das diese Informationspflicht vorsieht, ist das Gesetz über die alternative Streitbeilegung in Verbrauchersachen (VBSG).

Hier die §§ 36 und 37 dieses Gesetzes, die die Informationspflichten regeln:

§ 36 Allgemeine Informationspflicht

 (1) Ein Unternehmer, der eine Webseite unterhält oder Allgemeine Geschäftsbedingungen verwendet, hat den Verbraucher leicht zugänglich, klar und verständlich

  1. in Kenntnis zu setzen davon, inwieweit er bereit ist oder verpflichtet ist, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen, und
  2. auf die zuständige Verbraucherschlichtungsstelle hinzuweisen, wenn sich der Unternehmer zur Teilnahme an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle verpflichtet hat oder wenn er auf Grund von Rechtsvorschriften zur Teilnahme verpflichtet ist; der Hinweis muss Angaben zu Anschrift und Webseite der Verbraucherschlichtungsstelle sowie eine Erklärung des Unternehmers, an einem Streitbeilegungsverfahren vor dieser Verbraucherschlichtungsstelle teilzunehmen, enthalten.

(2) Die Informationen nach Absatz 1 müssen

  1. auf der Webseite des Unternehmers erscheinen, wenn der Unternehmer eine Webseite unterhält,
  2. zusammen mit seinen Allgemeinen Geschäftsbedingungen gegeben werden, wenn der Unternehmer Allgemeine Geschäftsbedingungen verwendet.

(3) Von der Informationspflicht nach Absatz 1 Nummer 1 ausgenommen ist ein Unternehmer, der am 31. Dezember des vorangegangenen Jahres zehn oder weniger Personen beschäftigt hat.

 

§ 37 Informationen nach Entstehen der Streitigkeit

 (1) Der Unternehmer hat den Verbraucher auf eine für ihn zuständige Verbraucherschlichtungsstelle unter Angabe von deren Anschrift und Webseite hinzuweisen, wenn die Streitigkeit über einen Verbrauchervertrag durch den Unternehmer und den Verbraucher nicht beigelegt werden konnte. Der Unternehmer gibt zugleich an, ob er zur Teilnahme an einem Streitbeilegungsverfahren bei dieser Verbraucherschlichtungsstelle bereit ist oder verpflichtet ist. Ist der Unternehmer zur Teilnahme am Streitbeilegungsverfahren einer oder mehrerer Verbraucherschlichtungsstellen bereit oder verpflichtet, so hat er diese Stelle oder diese Stellen anzugeben.

(2) Der Hinweis muss in Textform gegeben werden.

Unternehmer, die Verbrauchergeschäfte abschließen, müssen also:

  1. in ihren AGB und/oder auf ihrer Website (je nach dem, was der Unternehmer verwendet; hat der Unternehmer AGB und Website, dann muss er die Informationen in seinen AGB und auf der Website bereitstellen) angeben,
    • ob er an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilnimmt
    • und wenn er teilnimmt, Angaben zur Anschrift und Webseite der Verbraucherschlichtungsstelle machen; sowie
  2. im Falle eines entstandenen Streits den Verbraucher auf eine für ihn zuständige Verbraucherschlichtungsstelle in Textform hinweisen und angeben, ob der Unternehmer an einer solchen teilnimmt und wenn ja, an welcher.

Eine Liste der anerkannten Verbraucherschlichtungsstellen befindet sich hier:

https://www.bundesjustizamt.de/DE/SharedDocs/Publikationen/Verbraucherschutz/Liste_Verbraucherschlichtungsstellen.html;jsessionid=201A224A88CAC1AEECB534AFEA141A57.1_cid377?nn=7709020

Wenn der Unternehmer Online-Kaufverträge bzw. Online-Dienstverträge abschließt, ist er bereits seit längerem dazu verpflichtet, auf seiner Website leicht zugänglich einen Link zur ODR-Plattform der EU-Kommission bereitzustellen. Diese Verpflichtung gilt unabhängig von der neuen Verpflichtung zur Unterrichtung nach dem VSBG weiter.

Diese neue Verpflichtung wird ab morgen sicher eine neue Abmahnwelle auslösen.

Der Polizeicomputer und die Zweckbindung

Diese Woche erhielt ich einen Anruf von einer Polizeiinspektion auf dem Handy. Der freundliche Polizist teilte mir mit, dass er die Akte, bei der wir einen Geschädigten vertreten, nun an die Staatsanwaltschaft weiterleiten werde. Nichts Ungewöhnliches.

Ungewöhnlich war dann, als der Polizist fragte, ob ich in … in der …straße wohne. Ich fragte ihn, woher er meine Privatadresse habe. Er scherzte, dass er gute Verbindungen in den Vatikan habe. Zurück in der Kanzlei fragte ich mein Sekretariat, warum der Polizist eigentlich auf meinem Handy angerufen habe und ob sie ihm die Nummer gegeben hätten. Mein Sekretariat verneinte.

Dann wurde mir bewusst, dass er meine Daten aus dem Polizeicomputer haben musste, als ich vor ein paar Monaten im Rahmen einer privaten Angelegenheit meine Daten angab, damit die Polizei mich kontaktieren konnte. Der Polizist erhält ein Schreiben des Anwalts und durchsucht erst einmal den Polizeicomputer, um die Handynummer des Anwalts zu erfahren.

Datenschutzrechtlich ist dies natürlich unzulässig und widerspricht dem Grundsatz der Zweckbindung. Gleichzeitig zeigt diese Geschichte aber auch, wie gefährlich ein großer Datenbestand im Rahmen der Vorgangsverwaltung im Polizeicomputer sein kann.

Vor dem Verwaltungsgericht München hat unsere Kanzlei derzeit eine Klage anhängig, um die Daten eines Mandanten zu löschen, dessen Verfahren auf Körperverletzung eingestellt wurde. Der Mandant hatte Angst, dass diese Sache ihm in den nächsten Jahren immer wieder Schwierigkeiten machen könnte, wenn sie im Polizeicomputer steht, trotz der Einstellung.

Recht hat er, der Mandant.

Das beA – da und doch nicht da

Am 28.11.2016 ist das besondere elektronische Anwaltspostfach (beA) mit fast 12 Monaten Verspätung gestartet. Das beA soll den elektronischen Rechtsverkehr für die Anwaltschaft öffnen. Es soll einerseits die Kommunikation der Anwälte untereinander auf eine zeitgemäße Art und Weise ermöglichen und andererseits, ab dem 01.01.2018, auch die Kommunikation mit den Gerichten. Die einzelnen Bundesländer können allerdings durch Rechtsverordnung die Erreichbarkeit der Gerichte auf den 01.01.2019 oder 01.01.2020 verschieben. Ab dem 01.01.2020 können dann spätestens bundesweit bei allen Gerichten Schriftsätze über das beA eingereicht werden.

Einziger Anwendungsfall für das beA derzeit ist also die Kommunikation der Anwälte untereinander. Aber auch dieser Anwendungsfall fällt derzeit weg: Während ursprünglich vorgesehen war, das beA ab dem 01.01.2016 für alle Rechtsanwälte „scharf zu schalten“ und damit auch eine Kommunikation untereinander zu ermöglichen, besteht eine Pflicht zur Nutzung des beA nun erst ab dem 01.01.2018. Nachdem einige Anwälte beim Anwaltsgerichtshof eine einstweilige Verfügung gegen das beA durchgesetzt hatten, wurden neue Regelungen in RAVPV aufgenommen, wonach gemäß § 31 eine Übergangsregelung bis zum 31.12.2017 besteht. Bis dahin müssen Anwälte das beA nicht nutzen. Es besteht leider auch keine Möglichkeit, anderen im System anzuzeigen, dass man selbst das beA nutzt und darüber erreichbar ist. Selbst die Registrierung schaltet das beA nicht scharf und zeigt an, dass der Anwalt das Postfach nutzt. Begründung: Der Anwalt soll sich erst daran gewöhnen und damit herumspielen. Das beA ist also praktisch da, aber doch nicht, weil niemand sich darauf verlassen kann, dass der Kollege das beA auch nutzt und die Nachrichten auch liest.

In der Praxis heißt es: Bis zum 01.01.2018 ist das beA für die Anwaltsschaft nutzlos. Schade. Es wäre den Kollegen meines Erachtens nicht unzumutbar gewesen, ein System schon früher zu nutzen, das einfach zu bedienen ist wie ein Webmail-System wie man es von GMX, Web.de oder T-Online kennt. Bleibt nur noch die Frage, wie man sich an das beA gewöhnen soll, wenn man doch niemanden damit erreicht.

beA startet heute

Das beA ist doch nicht der BER. Mit knapp 11 Monaten Verzögerung startet heute das beA. Der Anwaltsgerichtshof Berlin hat die einstweilige Verfügung aufgehoben.

Das bea ist ab sofort unter der Adresse https://www.bea-brak.de/ erreichbar.

Eine Plicht zur Nutzung besteht für Anwälte gemäß § 31 RAVPV aber erst ab dem 01.01.2018.

BGH: WLAN-Standardschlüssel kann ausreichend sein

Der Bundesgerichtshof hat heute entschieden, dass der Standard-WLAN-Schlüssel des Routers ausreichend sein kann. Eine Verletzung zumutbarer Prüfpflichten, Voraussetzung der Inanspruchnahme als Störer, sei nach Ansicht des BGH nicht geben. Man muss also den Werksschlüssel nicht zwangsweise ändern bei Inbetriebnahme eines WLANs.

Dies gilt allerdings laut BGH nur, wenn

  • der WLAN-Schlüssel ein individueller ist (also vom Hersteller nicht für mehrere Router gleichzeitig ab Werk gesetzt wird) und
  • der WLAN-Schlüssel marktüblichen Standards entspricht, also etwa eine ausreichende Länge – im Fall: 16 Zeichen – aufweist.

Zudem muss auch eine sichere Verschlüsselungsmethode gewählt werden, also möglichst WPA2.

Das Urteil ist ein Kurswechsel: Im Jahr 2010 hatte der BGH noch entschieden, dass die Standardeinstellungen des Routers geändert werden müssten (BGH, Urteil vom 12. Mai 2010 – I ZR 121/08 – Sommer unseres Lebens).

BGH, Urteil vom 24. November 2016 – I ZR 220/15 – WLAN-Schlüssel

Bundeskanzlerin kritisiert Grundsatz der Datensparsamkeit

§ 3a BDSG beinhaltet des Grundsatz der Datensparsamkeit. Es sollen so wenig personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden. Auch die am 25.05.2018 das BDSG ersetzende und in der gesamten Europäischen Union geltende Datenschutzgrundverordnung (DSGVO) sieht dieses Prinzip in Art. 5 Abs. 1 lit. c DSGVO vor. Dort heißt das Prinzip „Datenminimierung“.

Mitglieder der Bundesregierung haben dieses Prinzip in letzter Zeit des Öfteren als nicht mehr zeitgemäß bezeichnet. Nun hat auch die Bundeskanzlerin den Grundsatz der Datensparsamkeit beim IT-Gipfel in Saarbrücken in Frage gestellt. Das Prinzip der Datensparsamkeit könne heute nicht die generelle Leitschnur sein für die Entwicklung neuer Produkte, so Merkel. Die Politik dürfe die Regeln des Datenschutzes „nicht so restriktiv machen, dass das Big-Data-Management dann doch nicht möglich wird“.

In einem hat die Bundeskanzlerin recht: Big Data ist mit der Sammlung unzähliger Daten, bei denen man bei der Erhebung noch gar nicht weiß, für was man die Daten benutzt, ist mit dem sehr restriktiven deutschen und bald auch vollständig harmonisierten europäischen Datenschutzrecht nur schwer absolut rechtskonform zu realisieren. Allerdings ist gerade die unbeschränkte Datensammlung und die Verknüpfung von Daten besonders gefährlich für das Allgemeine Persönlichkeitsrecht, da der Betroffene oft nicht abschätzen kann, welche Daten erhoben werden und wie sie verknüpft werden. Gerade die Verknüpfung von vermeintlich „harmlosen“ Daten kann dazu führen, dass die Daten hochsensibel werden und umfassende Rückschlüsse auf das Leben der Betroffenen zulassen. Der Grundsatz der Datensparsamkeit (BDSG) bzw. das Prinzip der Datenminimierung (DSGVO) sollte daher unbedingt erhalten bleiben.

Kein Web of Trust

Dass es im Internet zahlreiche Anwendungen gibt, die die Nutzer ausspionieren, ist bekannt. Dass dazu aber auch Anwendungen zählen, die seit Jahren vorgeben, die Sicherheit des Internets zu verbessern und sich als solche einer gewissen Beliebtheit erfreuen, überrascht dann doch. So verhält es sich mit der Browser-Erweiterung Web of Trust (WOT).

Bei der Erweiterung, die sowohl für Mozilla Firefox als auch Google Chrome existiert, handelt es sich um ein Browser-Addon, das Webseiten anhand der URL auf Vertrauenswürdigkeit überprüft. Nutzer, die eine Seite für nicht vertrauenswürdig oder gar schädlich halten, markieren die Seite durch das Addon als nicht vertrauenswürdig. Andere Nutzer sehen dann durch eine grüne oder rote Anzeige beim Besuch der Seite oder sogar in den Suchergebnissen der Suchmaschine, ob die Seite von anderen Nutzern als vertrauenswürdig (dann grün) oder nicht vertrauenswürdig (dann rot) eingestuft wurde. Auf diese Weise weiß der arglose Nutzer allein durch die Farbanzeige von WOT, ob er die Seite besuchen kann oder doch lieber die Finger davon lässt. Auch ich habe diese Erweiterung schätzungsweise seit 10 Jahren genutzt – bis jetzt.

Journalisten des NDR haben nun herausgefunden, dass diese Erweiterung in großem Maße Nutzerdaten ausgespäht und an Dritte weitergegeben hatte. Mozilla und Google haben die Erweiterungen daraufhin aus ihren Addon-Portalen genommen.

Dieses Beispiel zeigt die Wichtigkeit des Datenschutzes. Nutzer wählen eine als seriös geltende Browser-Erweiterung, um ihr Surfverhalten sicherer zu machen. Dabei ist genau diese Erweiterung der „Schädling“, vor dem sie sich eigentlich schützen wollen.

beA startet heute nicht

Heute sollte endlich das beA zur Verfügung stehen. Eigentlich sollte man sich schon eine Woche vorher registrieren können. Schon vor einer Woche fand man keine URL, unter der man die Registrierung vornehmen konnte. Nach langem Suchen über Google konnte man dann endlich auf die Meldung stoßen, dass eine vorherige Registrierung nicht möglich sein soll, sondern erst zum Start des beA am 29.09.2016 im Vollbetrieb. Die Information stammte aber nicht von der BRAK.

Auch heute, dem offiziellen Starttermin, ist eine Registrierung nicht möglich. Die BRAK erklärt dazu weiter nichts; die Informationen auf deren Internetseiten sind veraltet. Unter der URL https://www.bea-brak.de erscheint die Meldung „Http/1.1 Service Unavailable“.

Kollege Joachim Sokolowski klärt auf: Es gab wohl trotz Erlass der Rechtsverordnung keine Einigung zwischen den Antragsgegnern und der BRAK im einstweiligen Verfügungsverfahren. Nun muss der Anwaltsgerichtshof die einstweilige Verfügung erst aufheben.

Eine bessere Informationspolitik von Seiten der BRAK darf man sich aber schon wünschen. Das Vertrauen in das beA wird durch die spärlichen Informationen leider nicht gestärkt. Dabei wäre dies so wichtig, um die Kritiker von der Notwendigkeit des beA zu überzeugen.

EuGH: Öffentliche Zugänglichmachung bei Links

Der EuGH hat nun entschieden, wann eine Verlinkung doch eine öffentliche Zugänglichmachung sein kann.

Wenn der Linksetzende Kenntnis von der Rechtswidrigkeit des sich hinter dem Link befindlichen Inhalts habe, liege ausnahmsweise doch eine öffentliche Zugänglichmachung im Sinne des § 19a UrhG vor. Hintergrund war die Linksetzung eines niederländischen Blogs auf rechtswidrig verbreitete urheberrechtlich geschützte Nacktfotos. Nachdem der Inhalt hinter dem Link entfernt wurde, hat der Blog einfach auf eine neue Quelle verlinkt in Kenntnis der Tatsache, dass beide Inhalte rechtswidrig waren.

Der EuGH betont weiterhin die Wichtigkeit von Links für die Meinungsfreiheit. Das Setzen von Links ist weiterhin rechtmäßig. Dies hatte der BGH bereits in der Paperboy-Entscheidung festgehalten und auch der EuGH sah dies in der Vergangenheit so. Anders als noch der EuGH-Generalanwalt sah das höchste europäische Gericht hier aber die Grenzen der meinungsrelevanten Linksetzung für überschritten.

Update: In einer früheren Version hieß es fälschlicherweise, ein niederländisches Klatschblatt habe verlinkt. Dies wurde korrigiert.

Keine Pflicht zur Herausgabe von Daten auf EU-Servern für US-Unternehmen

Microsoft hat es geschafft! Das Unternehmen hat dafür gekämpft, dass Daten, die es in Rechenzentren außerhalb der USA gespeichert hat, nicht an die US-amerikanischen Ermittlungsbehörden herausgeben werden müssen. Im Jahr 2014 wurde Microsoft von einem US-Gericht dazu verurteilt, die Daten eines Outlook.com-Kontos herauszugeben, die im irländischen Rechenzentrum von Microsoft gespeichert waren.

Gegen dieses Urteil ist Microsoft in Berufung gegangen und hat nun gewonnen. Es besteht keine Herausgabepflicht, wenn die Daten außerhalb der USA gespeichert sind.

Dieses Urteil stärkt den Datenschutz europäischer Kunden von US-Unternehmen erheblich. Nachdem die Cloud immer mehr in den Fokus des Geschäftsmodells von Microsoft rückt, hat Microsoft massiv für dieses Urteil gekämpft. Immerhin ist davon das Vertrauen in die Cloud-Produkte, etwa Office365, abhängig, dass die Daten, die die US-Unternehmen für viel Geld in Rechenzentren in Europa lagern, vor US-Behörden geschützt sind.

Nach dem EU-US Privacy Shield ist dies die zweite Stärkung US-amerikanischer Dienste in Europa.