Die deaktivierte facebook-Fanpage

Facebook-Fanpages, mit denen Unternehmen werben, sind datenschutzrechtlich immer noch ein Problem. Wir hatten bereits mehrfach über die Gründe berichtet. Vor ein paar Tagen hat das Bundesverwaltungsgericht (BVerwG) der Geschichte noch eine weitere Wendung hinzugefügt. Es ging darum, ob Datenschutzbehörden den Betrieb einer facebook-Fanseite gegenüber dem beworbenen Unternehmen untersagen können.

Aber zunächst noch einmal eine kurze Rekapitulation: Der Europäische Gerichtshof (EuGH) hatte im Sommer 2018 entschieden, dass nicht nur facebook, sondern auch der Nutzer von sogenannten facebook-Fanpages für das Sammeln und Verarbeiten der Daten verantwortlich ist. Dabei waren diese Fanpages bei vielen Unternehmen, gerade auch Stadtwerken, so beliebt, weil sie relativ günstige und wenig aufwendige Möglichkeiten für Werbung bieten. Allerdings besteht das Geschäftsmodell von facebook bekanntlich im Sammeln von Daten. Und das funktioniert mit den Fanpages sehr gut. Nicht nur hinsichtlich der facebook-Nutzer, die in die Datenschutzrichtlinien dieses social media– Konzerns eingewilligt hatten. Vielmehr sammelt facebook mit Hilfe von Cookies auch die Daten beliebiger Benutzer, die die Seite aufrufen und stellt sie unter anderem den Unternehmen zur Verfügung. Das war dem EuGH natürlich ein Dorn im Auge.

Nachdem die Sache vom EuGH entschieden worden war, ging sie wieder an das BVerwG zurück, das sie dem Gericht in Straßburg vorgelegt hatte. Das BVerwG musste nun darüber entscheiden ging, ob eine Datenschutzbehörde, im konkreten Fall die schleswig-holsteinische Datenaufsicht, anordnen kann, dass der Betreiber des von Facebook unterhaltenen Unternehmensauftritts die Fanseite abschalten muss. Beanstandet wird von der Rechtsprechung nämlich weiterhin, dass die Nutzer der Seiten nicht über Art, Umfang und Zwecke der Erhebung der Daten informiert werden. Außerdem würden sie nicht über ihr Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils zu Werbe- und Marktforschungszwecken unterrichtet.
Die Klägerin, das betroffenen Unternehmen, hat vor diesem Hintergrund argumentiert, dass sich die Datenschutzbehörden doch an facebook wenden sollten. Dagegen hat das BVerwG nun – unter Zurückverweisung an das vorlegende Oberverwaltungsgericht Schleswig – zugunsten der Behörde entschieden. Auch eine Anordnung gegenüber dem Unternehmen kann rechtens sein, wenn die Durchsetzung des europäischen Datenschutzrechts gegenüber facebook zu aufwendig ist.
2019-09-23T20:20:55+02:0023. September 2019|Datenschutz, Digitales, Vertrieb, Wettbewerbsrecht|

Das neue Geheimnisschutzgesetz: Was steht drin, was ist zu tun?

Warum eigentlich ein neues Gesetz zum Schutz vor Geschäftsgeheimnissen (GeschGehG)? Gibt es denn immer noch nicht genug Gesetze? Schließlich sind viele Geschäftsgeheimnisse bereits über das Patent- oder das Urheberrechtsgesetz geschützt. Auch das Gesetz gegen den Unlauteren Wettbewerb (UWG) und die §§ 823 und 826 BGB gewähren einen gewissen Schutz, jedoch geht die Richtlinie 2016/943 vom 15.6.2016) über diesen bereits bestehenden zivilrechtlichen Schutz hinaus, so das der deutsche Gesetzgeber ein neues Gesetz erlassen musste, um technische, aber auch kaufmännische Geheimnisse von Unternehmen besser zu schützen.

Bemerkenswert immerhin: Der Gesetzgeber stellt klar, dass die Entdeckung eines Geschäftsgeheimnisses durch Testen eines Produkts oder Gegenstands, dass jemand beispielsweise gekauft oder auf anderen legalen Wegen erlangt hat, nicht verboten ist. Verboten sind allerdings eine ganze Reihe anderer Verhaltensweisen. Die meisten liegen auf der Hand, wie etwa das unbefugte Kopieren von Dokumenten oder Gegenständen. Eine Generalklausel verbietet alle sonstigen Verhalten, die nicht dem Grundsatz von Treu und Glauben und anständigen Marktgepflogenheiten entsprechen. Diese recht umwenig formulierte Generalklausel dürfte vor Gericht noch zu einigen Interpretationsschlachten einladen.

Geheimnisse, die man so oder auf andere nach dem Gesetz verbotene Weise erworben hat, darf man wieder nutzen noch offenlegen. Verboten ist es auch, das Geschäftsgeheimnis über eine andere Person zu erlangen, also sich etwa an einen Mitarbeiter heranzumachen und ihm die Geheimnisse in einem scheinbar privaten Rahmen zu entlocken. Zum Schutz von Journalisten, Arbeitnehmern und Whistleblowern wurden noch im Gesetzgebungsprozess Ausnahmeregelungen ergänzt, die die Kriminalisierung von Verhaltensweisen verhindert, an denen ein auch grundrechtlich geschütztes öffentliches Interesse besteht. Insbesondere betrifft dies den Quellenschutz bei Journalisten.

Das Gesetz beschränkt sich nicht nur darauf, dass Verbotene zu definieren. Es gewährt dem Verletzten auch Beseitigung-und Unterlassungsansprüche. Der Verletzte kann zudem auch präventiv vor Gericht ziehen. Er kann verlangen, dass der Verletzer das Geheimnis wieder herausgeben muss und alles, was auf dem Geheimnis beispielsweise an Produkten basiert, zurückgerufen bzw. vernichtet werden muss. Diese Rechte werden durch weitgehende Auskunftsverpflichtungen flankiert. Die Unverhältnismäßigkeitsschwelle, die in Extremfällen die Geltendmachung der Rechte der Geheimnisinhaber sperrt, dürfte recht hoch zu veranschlagen sein. Überdies schuldet der Rechtsverletzer Schadensersatz inklusive des durch die Rechtsverletzung erzielten Gewinns und auch immaterieller Schäden. 

Das Gesetz bestimmt, dass durchweg die Landgerichte zuständig sind, auch wenn der Streitwert das an sich nicht hergibt. Wichtig ebenfalls: Im Prozess um Ansprüche nach dem Geschäftsgeheimnisgesetz gelten besondere Geheimhaltungsverpflichtungen für alle Prozessbeteiligten, und eine Geheimhaltungsverpflichtung auch nach Abschluss des Verfahrens. Dies bedingt auch eingeschränkte Akteneinsichtsrechte Dritter; einige weitere prozessuale Besonderheiten werden für die gerichtliche Praxis sicherlich interessant. Auch wichtig: die Verletzung von Geschäftsgeheimnissen ist mit bis zu drei Jahren Freiheitsstrafe oder Geldstrafe belegt, in besonders schweren Fällen sogar bis zu fünf Jahren.

Was bedeutet das nun für die Praxis: Klar ist, dass Unternehmen, die Geschäftsgeheimnisse haben, nicht abwarten können, ob und wann jemand diese verrät. Denn das Gesetz ordnet an, dass Geschäftsgeheimnisse nur dann geschützt sind, wenn sie Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber sind. Unternehmen müssen deswegen in einem ersten Schritt ihre Geheimnisse identifizieren. Sodann müssen sie angemessene Geheimhaltungsmaßnahmen treffen. Unternehmen brauchen also in einem ersten Schritt ein Geheimnisverzeichnis, sodann ein Geheimhaltungskonzept, das das Maß des Angemessenen keinesfalls unterschreitet, und darauf basierende Geheimhaltungsrichtlinien, die bei den mit dem Geheimnis befassten Mitarbeitern entsprechend kommuniziert und regelmäßig aktualisiert werden müssen. 

2019-03-25T09:08:28+01:0025. März 2019|Datenschutz, Industrie, Wettbewerbsrecht|

Schreckgespenst Datenschutz: Bußgeldbescheid nach Behördenanfrage

Eine auf den ersten Blick etwas erschreckende Nachricht wabert durch das Internet: Ein kleiner Online-Versandhandel soll sich im Mai 2018 an den hessischen Beauftragten für Datenschutz gewandt haben und um Rat hinsichtlich eines Dienstleisters gebeten haben, der im Auftrag des Unternehmens Kundendaten verarbeitet, aber trotz Nachfragen keinen Vertrag zur Auftragsdatenverarbeitung geschickt hatte. Offenbar hoffte man auf ein klärendes Wort der Behörde. Diese enttäuschte diese Hoffnung jedoch. Nach Ansicht der Datenschutzbehörde musste sich nämlich das anfragende Unternehmen selbst um eine solche Vereinbarung kümmern und einen Entwurf dem Auftragsverarbeiter vorlegen.

Das Unternehmen sah das anders und verlieh dieser Ansicht auch Ausdruck. Ein Anwalt trat auf den Plan und unterstrich im Auftrag des Unternehmens gegenüber der Behörde noch einmal, dass man den Dienstleister in der Pflicht sah. Die Datenschutzbehörde sah das aber immer noch anders und gab die Angelegenheit nach Hamburg ab. Die Datenschutzbehörde in Hamburg erließ daraufhin gegen das Unternehmen, das nachgefragt hatte, einen Bußgeldbescheid über 5000 €.

Was lernen wir nun aus diesem Verfahren? Besser Abstand halten zu den Datenschutzbehörden? Vielleicht hilft eher ein Blick auf die rechtlichen Grundlagen. Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt. Hiernach muss – die Verordnung beschreibt das recht detailliert – derjenige, der sich als Verantwortlicher eines Dienstleisters bedient, dafür Sorge tragen, dass der einen ordentlichen Datenschutz einhält. Nach Art. 28 Abs. 3 DSGVO ist Grundlage ein zusätzlicher Vertrag, in dem ein recht engmaschig umschriebener Standard verpflichtend vereinbart wird. In Dienstleistungsketten muss eine lückenlose Verpflichtungskette diesen Standard sichern, Art. 28 Abs. 4 DSGVO.

In der Regelung steht nicht, wer den Entwurf dieser Vereinbarung vorzulegen hat. Es entspricht der gängigen Praxis, dass der Auftragsverarbeiter einen Vertrag vorliegt, denn schließlich weiß er am besten, durch welche konkreten Maßnahmen er den rechtskonformen Umgang mit den zu verarbeitenden Daten gewährleisten will. Und was er überhaupt ganz genau mit Daten macht. Juristisch zwingend ist das aber nicht. Entsprechend hat die Behörde nicht ganz unrecht, wenn sie sich darauf beruft, dass dann, wenn dem Auftraggeber schlicht nicht bekannt ist, was der Auftragsverarbeiter mit den Daten macht, und auch keine Vereinbarung vom Verarbeiter vorgelegt wird, auf die Zusammenarbeit verzichtet werden sollte. Denn in einer solchen Lage ist ja kaum vorstellbar, wie die dargestellte Pflicht zum Abschluss des Vertrages überhaupt sachgemäß eingehalten werden soll.

Allerdings: Dies bedeutet nicht, dass nun panisch jedem Dienstleister, der keinen Auftragsverarbeitungsvertrag vorgelegt hat, die Zusammenarbeit aufzukündigen wäre. Nicht alles, was auf den ersten Blick nach Auftragsverarbeitung aussieht, ist auch eine solche. Dies ist im ersten Schritt sorgfältig zu prüfen. Möglicherweise braucht man ja gar keine solche Vereinbarung. Und dies immerhin lehrt dieser Fall: Bevor sich ein Unternehmen aus einer ungeklärten Situation heraus an eine Behörde wendet, sollte sie für sich Klarheit gewonnen haben, ansonsten besteht stets die Gefahr, einen Sachverhalt lückenhaft, ungenau oder gar unrichtig zu kommunizieren, so dass die Behörde sich genötigt sieht, aktiv zu werden. Denn wenn erst einmal Bescheide in der Welt sind, ist es deutlich aufwendiger, gegen diese anzugehen, als von vornherein abgesichert und klar zu kommunizieren.

2019-01-21T23:37:05+01:0021. Januar 2019|Datenschutz|