Internet-Law

Onlinerecht und Bürgerrechte 2.0

5.9.14

OVG Schleswig bestätigt: Betreiber von Facebook-Fansites haften nicht für Datenschutzverstöße von Facebook

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hatte von den Betreibern von Facebook-Fanpages verlangt, diese Seiten wegen datenschutzrechtlicher Verstöße zu deaktivieren.

Diese Anordnung des ULD hat das Verwaltungsgericht Schleswig aufgehoben. Das Oberverwaltungsgericht hat die Entscheidung des VG jetzt mit Urteil vom 05.09.2014 (Az.: 4 LB 20/13) bestätigt. Wegen der besonderen Bedeutung der Angelegenheit wurde die Revision zum Bundesverwaltungsgericht zugelassen. In der Pressemitteilung des OVG heißt es zur Begründung der Entscheidung u.a.:

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten. (…)

Nach Auffassung des Oberverwaltungsgerichts war diese Anordnung des ULD auch bereits deshalb rechtswidrig, weil vor einer Untersagungsverfügung an einen datenschutzrechtlich Verantwortlichen erst ein abgestuftes Verfahren einzuhalten ist, in dem zunächst eine Umgestaltung der Datenverarbeitung angeordnet und ein Zwangsgeld verhängt werden muss. Eine rechtlich grundsätzlich denkbare Ausnahmesituation hiervon lag nicht vor.

posted by Stadler at 15:41  

17.2.14

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht

Bereits vor einigen Wochen hatte ich über eine neue Entscheidung des Kammergerichts berichtet, die eine Entscheidung des Landgerichts Berlin bestätigt hatte, wonach der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen (Urteil vom 24.01.2014, Az.: 5 U 42/12).

Mittlerweile liegt das Urteil im Volltext vor. Die Ausführungen des Gerichts sind vor allem deshalb interessant, weil es eine Anwendbarkeit des deutschen Datenschutzrechts auf Facebook ausdrücklich bejaht. Das OVG Schleswig geht demgegenüber davon aus, dass für Facebook irisches Datenschutzrecht gilt.

Das Kammergericht stellt maßgeblich darauf ab, dass die Datenverarbeitung bei Facebook faktisch nicht in Irland, sondern in den USA bzw. durch die amerikanische Muttergesellschaft erfolgt. Das KG geht insoweit zudem davon aus, dass Facebbook in Deutschland Daten erhebt, weil es inländische “Mittel” im Sinne der Datenschutzrichtlinie verwendet, indem es Daten – u.a. Cookies – auf den Computern der Nutzer speichert.

Darüber hinaus weist das Kammergericht auch darauf hin, dass das deutsches Datenschutzrecht zudem aufgrund einer Rechtswahl zwischen Facebook und dem Nutzer gelten würde, weil die Nutzungsbedingungen von Facebook ausdrücklich die Geltung des deutschen Rechts vorsehen.

Die Auffassung, dass für Facebook deutsches Datenschutzrecht gilt, habe ich in einem älteren Blogbeitrag ebenfalls vertreten.

posted by Stadler at 14:52  

27.1.14

Kammergericht bestätigt Urteil des LG Berlin: Facebook verstößt gegen deutsches Recht

Das Landgericht Berlin hatte mit Urteil vom 06.03.2012 (Az.: 16 O 551/10) entschieden, dass der FriendFinder von Facebook sowie Teile der Nutzungs- und Datenschutzbedingungen des sozialen Netzwerks gegen deutsches Recht verstoßen. Zum Urteil des Landgerichts Berlin hatte ich hier, hier und hier gebloggt.

Gegen dieses Urteil hat Facebook erwartungsgemäß Berufung eingelegt, die mit Urteil des Kammgerichts vom 24.01.2014 (Az.: 5 U 42/12) zurückgewiesen wurde. Die schriftliche Urteilsbegründung liegt noch nicht vor, in der sehr knappen Pressemitteilung des KG heißt es:

Das Landgericht Berlin hatte der Facebook Ireland Limited mit Urteil vom 6. März 2012 bestimmte Verfahrensweisen bei der Versendung von Freundschaftsanfragen an Dritte untersagt und die Verwendung eines unzureichenden Hinweises auf Datenimport bei der Registrierung beanstandet. Ferner hatte es Facebook die Verwendung verschiedener Vertragsklauseln verboten (vgl. PM 11/2012 und 12/2012). Hiergegen hatte Facebook Berufung zum Kammergericht eingelegt, die heute vom Kammergericht zurückgewiesen worden ist.

posted by Stadler at 09:00  

11.12.13

Massenabmahnung wegen fehlendem Impressum bei Facebook war rechtsmissbräuchlich

Das OLG Nürnberg hat mit Urteil vom 03.12.2013 (Az.: 3 U 348/13) entschieden, dass der Ausspruch von 199 wettbewerbsrechtlichen Abmahnungen wegen fehlerhafter Impressumsangaben bei Facebook rechtsmissbräuchlich ist, wenn die Abmahnwelle in keinem vernünftigen Verhältnis zur gewerblichen Tätigkeit des abmahnenden Unternehmens steht und die Abmahnungen innerhalb von nur wenigen Tagen erfolgen.

Im konkreten Fall war es so, dass die Klägerin bis zum Zeitpunkt der Abmahnungen einen Nettoerlös erwirtschaftet hatte, der rechnerisch niedriger war als die Abmahnkosten. Dieser Umstand hat das OLG neben weiteren Indizien, wie die fehlende Verfolgung des Unterlassungsanspruchs und das geringe wirtschaftliche Eigeninteresse an der Verfolgung dieser Wettbewerbsverstöße, dazu bewogen, eine Rechtsmissbräuchlichkeit anzunehmen.

Das OLG hat die Klage deshalb bereits als unzulässig bewertet und sich mit der interessanten materiellen Frage, unter welchen Voraussetzungen bei Facebook ein wettbewerbsrechtlich relevanter Impressumsverstoß gegeben ist, nicht mehr befasst.

Es handelt sich um eine Einzelfallentscheidung, die nicht verallgemeinerungsfähig ist. Gleichwohl wird erkennbar, dass man bei Massenabmahnungen durch kleine Unternehmen, deren eigenes Interesse an der (massenhaften) Verfolgung eines Verstoßes nicht ohne weiteres ersichtlich ist, durchaus ernsthaft über die Frage des Rechtsmissbrauchs nachdenken muss.

Für das klagende Unternehmen könnte es jetzt teuer werden, sofern eine große Zahl der 199 Abgemahnten ihre Gegenansprüche nunmehr geltend macht und auch durchsetzt.

posted by Stadler at 10:38  

20.11.13

Domainstreitigkeiten: Erste Entscheidung im neuen URS-Verfahren

Zur Lösung von Domainstreitigkeiten gibt es seit kurzem neben dem UDRP-Verfahren das sog. Uniform Rapid Suspension System (URS), das eine schnellere Klärung eindeutiger Fälle bezweckt. Hierzu gibt es nun eine erste Entscheidung des “NATIONAL ARBITRATION FORUM” vom 27.09.2013 zu einer Domain unter einer neuen TLD, nämlich “facebok.pw”. Facebook konnte als Antragsteller die Suspendierung dieser Domain erreichen, weil man den Verstoß augenscheinlich als offensichtlich und die Registrierung zudem als bösgläubig betrachtet hat.

(via muepe.de)

posted by Stadler at 21:12  

12.11.13

Impressumspflicht bei Facebook

Es gibt, soweit ersichtlich, gerade die erste obergerichtliche Entscheidung des OLG Düsseldorf  (Urteil v. 13.8.2013, Az.: I-20 U 75/13), zur Frage der Impressumspflicht bei Facebook. Dass geschäftsmäßige Facebookauftritte ein Impressum benötigen, dürfte mittlerweile keine sensationelle Neuigkeit mehr darstellen. Interessanter ist allerdings nach wie vor die Frage, wie und wo die Anbieterkennzeichnung zu platzieren ist, nachdem Facebook keine Rubrik Impressum bereitstellt.

Das OLG Düsseldorf hält eine Weiterverlinkung auf ein Webimpressum unter der Rubrik “Info” für unzureichend, weil die Bezeichnung “Info” dem durchschnittlichen Nutzer nicht ausreichend verdeutliche, dass hierüber auch Anbieterinformationen abgerufen werden könnten.

Gerade diesen Begründungsansatz halte ich allerdings für schwerlich vertretbar. Denn was soll der durchschnittlich aufmerksame Nutzer unter der Rubrik “Info” denn anderes erwarten, als Informationen zum Anbieter? Das gilt umso mehr, als der durchschnittliche Facebooknutzer vermutlich weiß, dass Facebook eine Rubrik Impressum erst gar nicht anbietet, weshalb es noch naheliegender ist, nach der Anbieterkennzeichung in der Rubrik “Info” zu suchen. Es gibt natürlich auch andere Wege und Möglichkeiten, das Impressum bei Facebook deutlicher darzustellen. Die Frage ist allerdings, ob man den Anbieter darauf verweisen und wirklich so kleinlich argumentieren kann, wie es viele Gerichte derzeit tun. Aus meiner Sicht muss es ausreichen, wenn man die gesetzlich vorgesehenen Informationen ohne erheblichen Aufwand erreichen kann. Und dafür sollte ein in der Rubrik “Info” platzierter Link auf ein Webimpressum ausreichen. Schließlich ist der Maßstab der durchschnittlich aufmerksame Internet- bzw. Facebooknutzer und nicht der überpenible Richter.

(via Shopbetreiber-Blog)

posted by Stadler at 09:39  

9.10.13

VG Schleswig hebt Anordnungen des ULD gegen Betreiber von Facebook-Fanseiten auf

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein kann von den Betreibern von Facebook-Fanpages nicht verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren. Das hat das Verwaltungsgericht Schleswig mit Urteil vom heutigen Tag entschieden (Az.: 8 A 218/11, 8 A 14/12, 8 A 37/12). Aus der Pressemitteilung ergibt sich, dass das Verwaltungsgericht den Betreiber einer Fanpage nicht für datenschutzrechtlich verantwortlich erachtet, weil der Seitenbetreiber keinen Einfluss auf den Datenverkehr zwischen dem Nutzer und Facebook nehmen kann. Das Verwaltungsgericht hat allerdings die Berufung zugelassen.

Die Entscheidung ist im Ergebnis nicht überraschend, nachdem in der juristischen Literatur und auch in diesem Blog schon vor einiger Zeit die Ansicht vertreten wurde, dass der Betreiber der Fanpage nicht als verantwortliche Stelle im Sinne des BDSG zu qualifizieren ist.

posted by Stadler at 18:00  

3.9.13

Facebook will wieder mal Nutzerdaten kommerziell verwerten

Facebook möchte seine Nutzungsbedingungen erneut ändern und zwar wiederum in relativ drastischer Weise zu Lasten der Nutzer, wie der Vorschlag für die “Erklärung der Rechte und Pflichten” belegt. In der dortigen Ziff. 10 heißt es:

Unser Ziel ist es, Werbeanzeigen und sonstige kommerzielle bzw. gesponserte Inhalte, die für unsere Nutzer und Werbetreibenden wertvoll sind, zur Verfügung zu stellen. Um uns dabei zu helfen, erklärst du dich mit Folgendem einverstanden:

1. Du erteilst uns deine Erlaubnis zur Nutzung deines Namens, Profilbilds, deiner Inhalte und Informationen im Zusammenhang mit kommerziellen, gesponserten oder verwandten Inhalten (z. B. eine Marke, die dir gefällt), die von uns zur Verfügung gestellt oder aufgewertet werden. Dies bedeutet beispielsweise, dass du einem Unternehmen bzw. einer sonstigen Organisation die Erlaubnis erteilst, uns dafür zu bezahlen, deinen Namen und/oder dein Profilbild zusammen mit deinen Inhalten oder Informationen ohne irgendeine Entlohnung für dich zu veröffentlichen. Wenn du eine bestimmte Zielgruppe für deine Inhalte oder Informationen ausgewählt hast, werden wir deine Auswahl bei deren Nutzung respektieren. Solltest du jünger als achtzehn (18) Jahre alt sein bzw. gemäß einer anderen gesetzlichen Altersgrenze als minderjährig gelten, versicherst du, dass mindestens ein Elternteil bzw. Erziehungsberechtigter den Bedingungen dieses Abschnitts (sowie der Verwendung deines Namens, Profilbilds, deiner Inhalte und Informationen) in deinem Namen zugestimmt hat.

2. Wir geben deine Inhalte und Informationen nicht ohne deine Zustimmung an Werbetreibende weiter.

3. Du verstehst, dass wir bezahlte Dienstleistungen und Kommunikationen möglicherweise nicht immer als solche kennzeichnen.

Facebook möchte also den Namen, das Profilbild und die Inhalte von Nutzern für kommerzielle Zwecke verwenden, sprich damit Geld verdienen.

Vor der Frage, ob diese Änderungen mit den Vorgaben des deutschen Rechts vereinbar sind, steht natürlich die Klärung der Frage, ob deutsches Recht überhaupt gilt. Man sollte sich hierbei freilich nicht von der Streitfrage ablenken lassen, ob Facebook an deutsches oder irisches Datenschutzrecht gebunden ist.

Denn hier geht es vordergründig um Nutzungsbedingungen und damit um AGB-Kontrolle. Es geht hierbei auch nicht primär um datenschutzrechtliche Fragen, sondern gerade auch um solche des Persönlichkeitsrechts und des Urheberrechts. Facebook regelt sogar selbst die Geltung von deutschem Recht. § 17 Nr. 3 der “Erklärung der Rechte und Pflichten” enthält eine Ausnahmebestimmung für deutsche Nutzer dahingehend, dass diese Erklärung deutschem Recht unterliegt. Eine Rechtswahlklausel die ausländisches Recht zu Lasten eines Verbrauchers zur Anwendung bringen wollte, würde eine unangemessene Benachteiligung darstellen und wäre nach der Rechtsprechung des BGH unwirksam.

Bei den neuen Regelungen von Facebook dürfte es sich inhaltlich um überraschende Klauseln im Sinne von § 305c BGB handeln. Man wird darüber hinaus aber auch eine unangemessene Benachteiligung im Sinne von § 307 BGB diskutieren können.

Die Regelung wonach kommerzielle Kommunikation nicht immer als solche gekennzeichnet wird, verstößt gegen §§ 3, 4 Nr. 3 UWG. Die Verschleierung des Werbecharakters von geschäftlichen Handlungen ist wettbewerbswidrig. Zudem wird damit auch gegen § 6 Abs. 1 TMG verstoßen. Danach muss kommerzielle Kommunikation klar als solche zu erkennen sein. Es handelt sich hierbei übrigens um eine europarechtliche Vorgabe.

Es bleibt also festzuhalten, dass sich Facebook einmal mehr nicht um deutsches und europäisches Recht schert.

posted by Stadler at 09:09  

23.4.13

Klarnamenpflicht: ULD unterliegt Facebook auch beim OVG Schleswig

Facebook darf vorerst auch weiterhin die Konten von Nutzern, die nicht ihre Klarnamen angeben, sperren. Das Oberverwaltungsgericht Schleswig hat die Beschwerden des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen Eilentscheidungen des Verwaltungsgerichts Schleswig zurückgewiesen (Beschlüsse vom 22. April 2013, Az.: 4 MB 10/13 und 11/13).

Auch wenn es sich lediglich um ein Eilverfahren handelt, dürfte es damit für das ULD im Hauptsacheverfahren schwierig werden. Denn das OVG wird seine rechtliche Einschätzung, wonach Facebook nicht an deutsches Datenschutzrecht gebunden ist, vermutlich aufrecht erhalten. Aber vielleicht marschiert Thilo Weichert ja bis zum Bundesverwaltungsgericht.

Warum ich die Ansicht, Facebook sei nicht an deutsches Datenschutzrecht gebunden, für falsch halte und dennoch das Vorgehen des ULD nicht als gerechtfertigt ansehe, habe ich hier und hier erläutert.

 

posted by Stadler at 13:55  

23.4.13

Bayerischer Datenschutzbeauftragter rügt Behörden wegen Social Plugins

Der Bayerische Landesbeauftragte für den Datenschutz hat 66 bayerische Behörden bzw. öffentliche Stellen aufgefordert, die direkte Einbindung von Social Plugins – wie den Gefällt-Mir-Button von Facebook – in ihren Internetauftritt zu unterlassen.

Nach Auffassung der Datenschutzbehörde ist die Einbindung von Social Plugins in die eigene Website datenschutzwidrig. In einer Orientierungshilfe für öffentliche Stellen erläutert der Datenschutzbeauftragte seine Rechtsauffassung folgendermaßen:

Durch eine bloße direkte Einbindung erhält die hinter dem Social Plugin stehende Stelle (beispielsweise Facebook) allein durch den Aufruf der Behördenseite als Information zumindest die IP-Adresse des Seitenbesuchers (bzw. des von ihm verwendeten Rechners), Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite. Im Falle von Facebook fließen die entsprechenden Daten in die USA. Dieser Datenfluss ist unabhängig davon, ob der Besucher der Behördenwebseite ein Mitglied von Facebook ist oder auch nur jemals eine Facebookseite besucht hat.

Auf der Grundlage, dass IP-Adressen personenbezogene Daten sind, gilt Folgendes: Dieser Datenfluss erfolgt ohne gesetzliche Befugnis und regelmäßig ohne wirksame Einwilligung zumindest bei Besuchern der Behördenwebseite, die keine Facebookmitglieder sind.

Eine bayerische Behörde, die durch die direkte Einbindung des Social Plugins in ihre Webseite diesen Informationsfluss erst ermöglicht, muss sich eine entsprechende (Mit-)Verantwortlichkeit zurechnen lassen. Damit werden die datenschutzrechtlichen Vorgaben des Telemediengesetzes, beispielsweise §§ 12, 13 TMG, von dieser Behörde nicht erfüllt.

Über den gerade beschriebenen Datenfluss hinaus können im Übrigen je nach Konstellation weitere Datenflüsse erfolgen, bei denen Datenschutzverstöße im Raum stehen. Enthält der Browser eines Behördenseitenbesuchers etwa bereits einen Facebook Cookie, so wird dieser mit bloßem Aufruf der Behördenseite durch Facebook erkannt und ausgelesen. Facebook Cookies werden übrigens auch in die Browser von Nicht-Facebookmitgliedern gesetzt, wenn sie eine Facebookseite besuchen oder einen Like-Button anklicken.

Diese Vorgaben des Bayerischen Datenschutzbeauftragten gelten unmittelbar nur für Behörden und öffentliche Stellen, da der Datenschutzbeauftragte in Bayern nur für den öffentlichen Bereich zuständig ist. Für Private, insbesondere Unternehmen, ist in Bayern das Landesamt für Datenschutzaufsicht die zuständige Aufsichtsbehörde. In einigen anderen Bundesländern existiert diese gesplittete Zuständigkeit nicht, dort ist vielmehr der Landesdatenschutzbeaftragte sowohl für den öffentlichen als auch den nichtöffentlichen Bereich zuständig.

posted by Stadler at 11:20  
Nächste Seite »