GDD Infotage 2014 zur Auftragsdatenverarbeitung und Unverständnis über Google-Urteil

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) veranstaltet auch 2014 wieder exklusiv für ihre Mitglieder die Infotage. Der Infotag 2014 steht unter dem Titel „Auftragsdatenverarbeitung in der Praxis“ und findet am 18.6.2014 in Frankfurt/Main im Schulungszentrum der Fraport AG und am 27.6.2014 bei der Vattenfall Europe Hamburg AG in Hamburg statt. Ich werde an beiden Tagen jeweils zum Thema „Unterauftragnehmer und deren Kontrolle durch den Auftraggeber, die Schriftform des Auftrags nach § 11 Abs. 2 S. 2 BDSG und die Änderungen an TOM (Datensicherheitskonzept mit den vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen nach § 9 BDSG). Weitere Vorträge befassen sich u.a. mit dem Leitfaden der GDD zur Prüfung von Rechenzentren sowie dem Datenschutzstandard DS-BvD-GDD-01.

Der Vortrag auf den Infotagen passt hervorragend zu meinen jüngsten Veröffentlichungen im IT-Rechtsberater (ITRB) zu „Leistungsketten in der Auftragsdatenverarbeitung – Anforderungen an die Einbeziehung von (Unter-)Unterauftragnehmern nach dem BDSG“ (ITRB 2014, 60 ff.) und „Gestaltung von Verträgen zur Auftragsdatenverarbeitung – Spielräume bei der Erfüllung der Pflichten aus § 11 BDSG“ (in Veröffentlichung, gemeinsam mit dem Kollegen Stefan Sander, LL,.M. B.Sc.).

Daneben habe ich in der RDV 2/2014 einen Aufsatz zu „Datenschutzerklärungen von Social Media Diensten: Anwendbares Recht und AGB-Kontrolle“ (RDV 2014, 73 ff.) veröffentlicht. Dort habe ich u.a. mit Blick auf die Schlussanträge des Generalanwalts im zwischenzeitlich veröffentlichten Urteil des EuGH v. 13.5.2014 (Az.: C-131/12, Volltext) noch die Hoffnung geäußert, dass der EuGH die extensive Auslegung des Art. 4 DSRL durch den Generalanwalt nicht übernehmen wird – und mich leider getäuscht:

Abweichend von Erwägungsgrund 19 S. 1 DSRL will der Generalanwalt beim EuGH den Begriff der Niederlassung mit Blick auf die Ubiquität des Internet und der dort erfolgenden Verarbeitungen neu fassen. […]

Mit [seiner] Definition der Niederlassung liest der Generalanwalt Art. 3 DS-GVO in Art. 4 Abs. 1 DSRL hinein, was jedoch mit der Systematik von Art. 4 Abs. 1 DSRL unvereinbar ist. Bereits Art. 4 Abs. 1 lit. c) DSRL erlaubt die Erstreckung des europäischen Datenschutzrechts auf für die Verarbeitung Verantwortliche außerhalb von EU/EWR, wenn diese auf in EU/EWR belegene Mittel zu Zwecken der Verarbeitung zurückgreifen. Mit der vom Generalanwalt vorgeschlagenen Erweiterung des Begriffs der Niederlassung würde Art. 4 Abs. 1 lit. c) DSRL überflüssig werden […]

Auch der Wortlaut von Art. 4 Abs. 1 lit. a) BDSG steht einem solchen Verständnis einer Niederlassung entgegen. Hiernach wird das anwendbare Recht nur insoweit durch Art. 4 Abs. 1 lit. a) BDSG bestimmt, wie die Verarbeitungen „im Rahmen der Tätigkeit der Niederlassung ausgeführt werden“. Nach den Vorstellungen des Generalanwalts muss die Niederlassung aber überhaupt keine Verarbeitung mehr ausführen, womit die Wortlautgrenze deutlich überschritten wird.

Das im Schlussantrag des Generalanwalts formulierte Niederlassungsverständnis läuft damit auf eine Gesamtbetrachtung rechtlich selbständiger Konzernunternehmen wegen der von ihnen an welchem Ort auch immer vorgenommenen Verarbeitungen hinaus, solange diese nur in mindestens einen nationalen Markt hineinwirken. Damit konstruiert der Generalanwalt eine Konzerndiskriminierung, obwohl die DSRL im Übrigen ein Konzernprivileg nicht kennt. Es bleibt deshalb zu hoffen, dass der EuGH diese Überlegungen nicht aufgreift […].

Mit diesem Urteil des EuGH sind die bisherigen Entscheidungen in Sachen „Anwendbares Recht“ auf Facebook hinfällig (gemeint sind KG, Urt. v. 24.1.2014 – 5 U 42/12, Volltext, und OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13, Volltext). Denn damit findet auf Facebook stets deutsches Datenschutzrecht Anwendung.

Zu den weiteren Inhalten des Google-Urteils, insbesondere den Erwägungen des EuGH zum Verhältnis des Datenschutzes zur Meinungs- und Informationsfreiheit, hat Kollege Stadler alles geschrieben.

 

B2B-Verträge und die Einbeziehung von AGB (BGH, Urt. v. 15.1.2014 – VIII ZR 111/13)

Für B2C-Verträge werden durch § 305 Abs. 2 BGB strenge Anforderungen an die wirksame Einbeziehung Allgemeiner Geschäftsbedingungen gestellt: Der Verwender muss auf die AGB hinweisen und der anderen Partei die Möglichkeit zur Kenntnisnahme „in zumutbarer Weise“ verschaffen, bevor die andere Partei ihr Einverständnis mit Geltung der AGB erklärt. Auf B2B-Verträge (genauer: Verträge, in denen AGB gegenüber einem Unternehmer, einer juristischen Person des öffentlichen Rechts oder einem öffentlich-rechtlichen Sondervermögen verwendet werden sollen) findet § 305 Abs. 2 BGB wegen § 310 Abs. 1 S. 1 BGB jedoch keine Anwendung.

Offen war bislang (ungeachtet des Umstands, dass auch B2B-Verträge nur durch zwei übereinstimmende Willenserklärungen und einer Einigung über die wesentlichen Vertragsinhalte zustande kommen), ob AGB selbst ohne ausdrücklichen Hinweis des Verwenders hierauf Bestandteil von B2B-Verträgen werden können, wenn die Verwendung von AGB „branchenüblich“ ist – wie auch immer man „Branche“ und „Üblichkeit“ definieren mag. Dem hat der BGH nun mit Urteil vom 15.1.2014 (Az: VIII ZR 111/13 – Pressemitteilung) eine Absage erteilt:

Die Ergänzenden Allgemeinen Versorgungsbedingungen der Klägerin sind nicht Vertragsinhalt geworden, da es an der auch im kaufmännischen Verkehr erforderlichen Einbeziehungsvereinbarung fehlt. Die bloße „Branchenüblichkeit“ reicht für die Beachtlichkeit Allgemeiner Geschäftsbedingungen nicht aus.

Zugegeben, das Urteil betrifft einen zunächst nicht verallgemeinerungsfähig wirkenden Sonderfall („konkludent geschlossener Fernwärmeversorgungsvertrag“) und die Urteilsgründe liegen auch noch nicht vor. Die Aussage in der Pressemitteilung, dass es für die Wirksamkeit von AGB auch im kaufmännischen Verkehr einer Einbeziehungsvereinbarung bedürfe, also einer Einigung der Parteien über die Geltung der AGB des Verwenders, dürfte davon aber nicht berührt werden. Wer bislang in seinen Angebotsvorlagen und Vertragstexten für Unternehmerverträge noch keinen Passus vorgesehen hat, wonach die eigenen AGB Anwendung finden, sollte dies spätestens jetzt schleunigst nachholen. Die Fälle sind gar nicht so selten, wie man glauben mag.

BGH, Bearshare und die Schlussfolgerungen, die man aus einer Pressemitteilung nicht ziehen sollte

Unter dieser Überschrift habe ich heute im CRonline Blog meinen Beitrag zum Urteil des BGH in Sachen Bearshare (Urteil v. 8.1.2014 – I ZR 169/12) veröffentlicht.

Es ist schön, wie schnell Gerichtsentscheidungen von grundsätzlicher Bedeutung heute verbreitet werden; die Pressemitteilung war nach wenigen Minuten auf allen Känalen rum. Weniger schön ist es, welche Ableitungen angebliche oder tatsächliche Experten allein aus einer Pressemitteilung ziehen, gleich ob es um die Missachtung des Inhalts oder die Bedeutung einer Pressemitteilung als solche geht.

Solche „News“ sollte man als das bezeichnen, was sie sind: Werbung.

Und dafür gilt, gleich wie die Werbung verpackt wird, das UWG, etwa § 4 Nr. 2 UWG:

 „Unlauter handelt insbesondere, wer […] geschäftliche Handlungen vornimmt, die geeignet sind, […] die geschäftliche Unerfahrenheit, die Leichtgläubigkeit, die Angst oder die Zwangslage von Verbrauchern ausnutzen.“

Das scheint den Autoren der einen oder anderen Meldung nicht bekannt zu sein oder von diesen ignoriert zu werden.

Der BGH, das TMG und die Unterlassungsansprüche – Teil 2

Nach meinem ersten ausführlichen Beitrag zur Anwendbarkeit der Privilegierungen in den §§ 8 bis 10 TMG auch auf Unterlassungsansprüche im CRonline Blog (KG: Haftungsprivilegierungen im TMG doch auf Unterlassungsansprüche anwendbar) habe ich mich anlässlich der Veröffentlichung der Entscheidungsgründe zu „Kinderhochstühle im Internet II“ (BGH, Urteil v. 16.5.2013 – I ZR 216/11) erneut für das CRonline Blog mit diesem Thema befasst: Der BGH, das TMG und die Unterlassungsansprüche – Teil 2. Leider sorgen die Entscheidungsgründe nicht für Klarheit, sondern nur für überflüssige weitere Verwirrung. Warum: Darum.

OLG Hamm: Zweifach gescheiterte Abnahme kein Indiz für Fehlschlagen der Nacherfüllung

Für das Blog auf CRonline habe ich mich im Beitrag OLG Hamm: Zweifach gescheiterte Abnahme kein Indiz für Fehlschlagen der Nacherfüllung mit dem Urteil des OLG Hamm vom 28.2.2013 (21 U 86/12, Volltext) befasst. Es geht um die Anforderungen an eine ernsthafte und endgültige Erfüllungsverweigerung sowie die Anzahl der Nachbesserungsversuche bis zu einem Fehlschlagen im Werkvertragsrecht, also typischerweise auch in IT-Projekten relevante Fragestellungen.

LG Hamburg zum „complete corresponding source code“ nach der GPLv2

In der Firmware eines Medienplayers fand sich unter der GPLv2 (englisch / deutsch) veröffentlichte Open Source Software („OSS“). Diese Firmware wurde auf der Website des Herstellers zum Download angeboten, dies aber nicht im Quelltext, obwohl Ziff. 3 der GPLv2 unmissverständlich ist:

„You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following:

a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,
c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.)

The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable.

Dies missfiel dem Rechteinhaber, der – nachdem zuvor bereits eine Unterlassungserklärung abgegeben worden war – den Hersteller auf Zahlung einer Vertragsstrafe vor dem LG Hamburg (Urt. v. 14.6.2013 – 308 O 10/13) in Anspruch nahm, dies völlig zu Recht, woran auch das LG Hamburg keinerlei Zweifel ließ:

Weiterlesen

Disclaimer machen E-Mails nicht vertraulich

Disclaimer sollen dem – gewollten oder ungewollten – Empfänger einer E-Mail bestimmte Verpflichtungen auferlegen. Dabei kann es sich etwa um Löschpflichten (etwa bei einer Fehlsendung an einen ungewünschten Adressaten), aber auch um Verschwiegenheitspflichten handeln, die den Inhalt der E-Mail betreffen. Ein solcher Disclaimer beschäftigte das OLG Saarbrücken (Urteil vom 13.6.2012 – 5 U 5/12-2):

“Diese E-Mail enthält vertrauliche und rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind und diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das Kopieren von Inhalten dieser E-Mail und die Weitergabe ohne Genehmigung ist nicht erlaubt und stellt eine Urheberrechtsverletzung dar.”

Es kam, wie es kommen musste: Der – richtige – Empfänger dieser E-Mail veröffentlichte den Inhalt und wurde daraufhin vom Autor der E-Mail auf Unterlassung in Anspruch genommen.

Weiterlesen